计算机病毒分析与防治

1、第第9章章 计算机病毒分析与防治计算机病毒分析与防治计算机病毒的定义传播途径我国计算机病毒最新疫情状况计算机病毒的引导、传染、触发机制典型计算机病毒分析计算机病毒的防治、杀毒软件的使用与配置计算机系统并不安全，计算机病毒就是最不安全的因素之一。尤其是近几年随着互联网技术的飞速发展，借助于互联网这一天然的传输媒介，计算机病毒数目的增长也日益加快，国内多家知名反病毒厂商的监测数据均显示：2008年我国国内出现的计算机病毒总数量已突破千万，从教材图9-1来自于过于金山软件公司计算机病毒检测中心的数据可以看出，尤其是在刚刚过去的2008年，计算机病毒的数量呈现了爆炸性的增长。病毒已经构成了互联网时代网

2、络安全的一个主要威胁，我们只有真正了解了计算机病毒，才能进一步防治和清除计算机病毒。从本质上讲，计算机病毒是一个程序，一段可执行代码。就像生物病毒一样，计算机病毒有独特的复制能力，计算机病毒可以很快地蔓延，又常常难以根除。计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制，具有传染性。另外，计算机病毒与生物病毒一样，有其自身的病毒体（病毒程序）和寄生体（宿主HOST）。 表9-1 计算机病毒与生物病毒的对比生物病毒生物病毒计算机病毒计算机病毒攻击生物机体特定细胞攻击生物机体特定细胞攻击特定程序（所有攻击特定程序（

3、所有* *.COM.COM和和* *.EXE.EXE文件以及其他特定文件）文件以及其他特定文件）修改细胞的遗传信息，使病毒修改细胞的遗传信息，使病毒在被传染的细胞中繁殖在被传染的细胞中繁殖操纵程序使被传染程序能复制操纵程序使被传染程序能复制病毒程序病毒程序被传染的细胞不再重复传染，被传染的细胞不再重复传染，并且被传染的机体很长时间没并且被传染的机体很长时间没有症状有症状很多计算机病毒只传染程序一很多计算机病毒只传染程序一次，被传染的程序很长时间可次，被传染的程序很长时间可以正常运行以正常运行病毒并非传染所有的细胞，并病毒并非传染所有的细胞，并且病毒可以产生变异且病毒可以产生变异程序能够加上免疫

4、标志，防止程序能够加上免疫标志，防止传染。但计算机病毒能够修改传染。但计算机病毒能够修改自身使免疫失效自身使免疫失效在中华人民共和国计算机信息系统安全保护条例中，计算机病毒被定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。这一定义一般可以看作计算机病毒的狭义定义。计算机病毒具有有如下的基本特征：(1) 传染性传染性是所有病毒程序都具有的一大基本特征。通过传染，病毒就可以扩散，病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散，被嵌入的程序叫被称为宿主程序。 (2) 破坏

5、性 大多计算机病毒在发作时候都具有不同程序的破坏性，有时干扰计算机系统的正常工作,有的严重消耗系统资源（例如不断地复制自身，消耗内存和硬盘资源等），而严重的则直接修改和删除磁盘数据或文件内容、破坏操作系统正常运行甚至直接损坏计算机硬件等。 （3）隐蔽性 计算机病毒的隐蔽性表现在两个方面，一是结果的隐蔽性，大多数病毒在进行传染时的速度极快，传染后也没有明显的结果显示，一般不易被人发现；二是病毒程序本身存在隐蔽性，一般的病毒程序都寄生于正常程序中，很难被发现，而一旦病毒发作出来，往往已经给计算机系统造成了不同程度的破坏。 （4）寄生性 病毒程序嵌入到宿主程序之中，依赖于宿主程序的执行而生存。这就是

6、计算机病毒的寄生性，病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁殖。 （5）潜伏性 计算机病毒侵入系统后，一般不立即发作，而是具有一定的潜伏期，病毒不同其潜伏期的长短就不同，有的潜伏期为几个星期，又有的潜伏期甚至长达几年，在潜伏期中病毒程序只要在可能的条件下就会不断地进行自我复制繁殖，一旦条件成熟，病毒就开始发作，发作的条件随病毒的不同而不同，这一条件是计算机病毒设计人员所设计的，病毒程序在运行时，每次都要检测这一发作条件是否成立。计算机病毒的传播有如下几个主要途径 ：1软盘2光盘3可移动磁盘4有线网络5无线网络概述

7、（1）病毒制造进入“机械化”时代。（2）病毒制造的模块化、专业化特征明显。（3）病毒“运营”模式互联网化。 （4）病毒对于新漏洞的利用更加迅速。（5） 病毒与安全软件的对抗日益激烈。 计算机病毒疫情统计和分析 （1）机器狗系列病毒。 （2）AV终结者病毒系列。（3）在线网络游戏病毒系列。（4）HB蝗虫系列木马。（5）扫荡波病毒。（6）QQ大盗。（7）RPC盗号者。（8）伪QQ系统消息。（9）QQ幽灵。（10）磁碟机。（1）0Day漏洞将与日俱增。2008年安全界关注的最多的不是Windows系统漏洞，而是每在微软发布补丁随后几天之后，黑客们放出来的0Day 漏洞，这些漏洞由于处在系统更新的空白

8、期，使得所有的电脑都处于无补丁可补的危险状态。 （2）网页挂马现象日益严峻。网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站，篡改网页内容，植入各种木马，用户只要浏览被植入木马的网站，即有可能遭遇木马入侵，甚至遭遇更猛烈的攻击，造成网络财产的损失。 （3）病毒与反病毒厂商对抗将加剧。随着反病毒厂商对于安全软件自保护能力的提升，病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件，隐藏和局部“寄生”系统文件的弱对抗性病毒将会大量增加。（4）新平台上的尝试。病毒、木马进入新经济时代后，肯定是无孔不入，网络的提速实际上让病毒更加的泛滥。因此我们可以预估vista、windows 7系统的

9、病毒将可能成为病毒作者的新宠；当我们的智能手机进入3G时代后，手机平台的病毒/木马活动会上升。软件漏洞的无法避免，在新平台上的漏洞也会成为病毒/木马最主要的传播手段。 病毒的引导机制病毒的引导机制 计算机病毒的寄生对象： 寄生对象主要有两种，一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件（.EXE或.COM）中。这是由于不论是磁盘引导扇区还是可执行文件，它们都有获取执行权的可能，这样病毒程序寄生在它们的上面，就可以在一定条件下获得执行权 。计算机病毒的寄生方式 计算机病毒的寄生方式有两种，一种是采用替代法；另一种是采用链接法。所谓替代法是指病毒程序用自己的部分或全部指令代码，替代磁盘引导扇

10、区或文件中的全部或部分内容。所谓链接法则是指病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，病毒链接的位置可能在正常程序的首部、尾部或中间，寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在可执行文件中的病毒一般采用链接法。 （）驻留内存。 病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。当然，也有部分病毒不驻留内存。 （）窃取系统控制权。 在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。（）恢复系统功能。 病毒为隐蔽自

11、己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行传染和破坏的目的。计算机病毒的传染方式 ：主动传染、被动传染。计算机病毒的传染过程 ：以文件型病毒为例，阐述一下计算机病毒的传染具体过程。当用户执行被传染的.COM或.EXE可执行文件时，病毒驻入内存。一旦病毒驻入内存，便开始监视系统的运行。当它发现被传染的目标时，进行如下操作：（1）首先对运行的可执行文件特定地址的标识位信息进行判断是否已传染了病毒。（2）当条件满足，利用INT 13H将病毒链接到可执行文件的首部或尾部或中间，并存入磁盘中。（3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。可触发性是病毒的攻

12、击性和潜伏性之间的调整杠杆，可以控制病毒传染和破坏的频度，兼顾杀伤力和潜伏性。 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足条件则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。病毒采用的触发条件主要有以下几种： （1）以时间为为触发条件：早期的病毒通常选择在某一特定日期或某一时间为触发机制，一旦日期与病毒预设日期符合，病毒则开始发作。典型的如CIH病毒，在每月的26日发作。 （2）利用系统漏洞触发：一些病毒利用操作系统漏洞作为发作机制。如求职信病毒，只要用户电脑存在IFRAME漏洞，则无需运行附件，只需预览邮件病毒就可以发作。（3）诱骗用户

13、点击触发：如今多数网络病毒已经不以时间为触发条件，大多数蠕虫病毒通过发送一些带有诱骗性的邮件，将自身隐藏在附件中，伪装成一个图片或一个文档的形式，诱使电脑用户点击运行，一旦被点击病毒立即发作。 （4）网页浏览触发：如今最让人头疼的非木马莫属，而网页木马又在其中扮演着重要的角色。通过在网页中加入脚本语言而挂马，当用户访问挂有木马的网页，就会自动运行病毒程序。 （5）击键和鼠标触发：有些病毒会监视用户的击键动作，当检测到某个特定键时，病毒被激活。键盘触发包括击键次数触发、组合键触发、热启动触发等。此外，一些木马病毒利用操作系统漏洞，监控鼠标动作，一旦发现鼠标有拖放操作时，病毒就被下载到本地并发作。

14、 （6）启动系统触发。一些病毒被下载到本地后，并不马上发作，当用户再次启动计算机时，则随操作系统一起运行。 （7）访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以此作为触发条件。 （8）调用中断功能触发：对中断调用次数计数，以此作为触发条件。 （9）cpu型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件，这种病毒的触发方式相对比较少见。 引导型病毒引导型病毒 引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导的内容为依据。因而病毒占据该物理位置可获得控制权，而将真正的引导区

15、内容转移或替换，待病毒程序执行后，再将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染发作。现在的杀毒软件基本上都可以发现引导型病毒。 文件型病毒文件型病毒 文件型病毒的传染方式 文件型病毒的检测：常用的办法借助于杀毒软件，杀毒软件检测的基本思路是：在一个文件的特定位置（如文件尾），查找病毒的特定标识（如一串连续的某个字母），如果存在，则认为该文件被病毒传染。这种检测病毒的方法称为“特征标识匹配法”，它一次可以检查磁盘上的所有可执行文件。 清除文件中的病毒一般应按照以下步骤进行：（1） 分析病毒与被传染文件之间的连接方式（跳转指令、修改中断向量等）。

16、（2） 确定病毒程序是驻留在文件的首部还是尾部，并找到病毒程序的开始和结束位置，把被传染文件的主要部分还原。（3） 恢复被传染文件的头部参数。（4） 把恢复后的内容写到文件中。文件长度要变短一些，只要把文件的正常内容写到文件中，病毒体就从文件中剥离出来。宏病毒是一种寄生在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。 宏病毒的原理 ：以Word宏病毒为例，一旦病毒宏侵入Word，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和 FilePrint等等，并通过这些宏所关联

17、的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会纂夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等等。 宏病毒的预防：（1）将常用的Word模板文件改为只读属性，可防止Word系统被传染。 （2）将自动执行宏功能禁止掉，即使有宏病毒存在，但无法被激活，也无法发作传染、破坏 。脚本病毒通常是网页脚本代码编写的恶意代码 ，脚本病毒的前缀一般是Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行传播，如红色代码（Script.Redlof）脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的）。 VBS病毒是用VB Script编写而

18、成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。 脚本病毒从触发机制上来讲属于被动触发，因此防御脚本病毒最好的方法是不访问带毒的文件或者网页 。蠕虫病毒的前缀是：Worm，最初的蠕虫得名是因为在DOS环境下，蠕虫发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。 蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重的占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。 蠕虫病毒常见的传播方式有两种：一是利用系统漏洞传播。蠕

19、虫病毒利用计算机系统的设计缺陷，通过网络主动的将自己扩散出去。二是利用电子邮件传播。蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个网络中，这也是个人计算机被感染的主要途径。 震荡波（Worm.Sasser）病毒是蠕虫病毒的一个典型代表。震荡波病毒发作时，在本地开辟后门，监听TCP 5554端口，作为FTP服务器等待远程控制命令，黑客可以通过这个端口窃取用户机器的文件和其他信息。同时，病毒开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用Windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮

20、的传播，攻击失败也会造成对方机器的缓冲区溢出，导致对方机器程序非法操作以及系统异常等。计算机病毒发作前的表现现象计算机病毒发作前的表现现象 计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。它会以各式各样的手法来隐藏自己，在不被发现的同时，又自我复制，以各种手段进行传播。计算机病毒发作后的表现现象计算机病毒发作后的表现现象 检测病毒的一般方法有：特征代码法、校验和法、行为监测法、软件模拟法 。下面是反病毒软件中普遍采用的几种主流的病毒检测技术：特征码技术：特征码技术是反病毒技

21、术中最基本的技术，也是反病毒软件普遍采用的方法，是基于已知病毒的静态反病毒技术。反病毒研究人员通过对病毒样本的分析，提取病毒中具有代表性的数据串写入反病毒软件的病毒库。当反病毒软件查毒时发现目标文件中的代码与反病毒软件病毒库中的特征码相符合时，就认为该文件含毒并对其进行清除。特征码技术具有低误报率、高准确性、高可靠性等优势，其技术机理和执行流程也非常成熟。特征码技术固有的弊端也是明显的，其“截获反应升级”的流程使其滞后于病毒的出现，也不能发现和清除未知病毒。基于虚拟机的反病毒技术“虚拟机反病毒技术”即是在电脑中创造一个虚拟CPU环境，将病毒在虚拟环境中激活，根据其行为特征，从而判断是否是病毒。这个技术主要用来应对加壳和加密的病毒。行为监视法 病毒传染文件时，常常有一些不同于正常程序的行为。行为监视法就是引入一些人工智能技术，通过分析检查对象的逻辑结构，将其分为多个模块，分别引入虚拟机中执行并监测，从而查出使用特定触发条件的病毒。 CRC校验和检查法 CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和)，这些CRC值被杀毒软件保存到自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，这样就可以知道文件