计算机病毒及防范技术的知识

1、第八章 计算机病毒及防范技术信息安全9/2/20221本章主要内容 8.1 计算机病毒概念 8.2 计算机病毒原理 8.3 反病毒技术 9/2/20222本章学习目标 本章介绍计算机病毒的定义、由来、特征、分类、传播及工作方式、破坏行为、作用机制；分析一些病毒的原理，介绍病毒检测、清除、预防等原理，最后介绍一些防病毒软件的使用。 通过本章的学习，学生应该掌握以下内容： （1）了解计算机病毒的定义、由来、特征、分类传播及工作方式、破坏行为、作用机制； （2）理解病毒预防、检测、清除、等原理。 （3）掌握KV3000杀毒软件的使用。 9/2/20223 8.1 计算机病毒概念 在中华人民共和国计算

2、机信息系统安全保护条例中定义为：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。 计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能生成自身的拷贝并且插入其他的程序中，执行恶意的行动。 8.1.1计算机病毒定义 9/2/20224 8.1 计算机病毒概念 1949年计算机的创始人冯诺依曼的复杂自动机器的理论和结构论文，提出计算机程序可以在内存中进行自我复制和变异的理论。1959年AT&TBell实验室的3位成员设计出具有自我复制能力

3、、并能探测到别的程序在运行时能将其销毁的程序。1983年Fred Cohen博士研制出一种在运行过程中可以复制自身破坏性程序。并在全美计算机安全会议上提出，在VAXll150机上演示，从而证实计算机病毒的存在，这也是公认的第一个计算机病毒程序的出现。 1988年罗伯特莫里斯（Rober Moms）制造的蠕虫病毒首次通过网络传播病毒，是一起震撼世界的“计算机病毒侵入网络的案件”。8.1.2 计算机病毒产生和发展 9/2/20225 8.1 计算机病毒概念 恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：计算机病毒(computer virus) 计算机蠕虫(computer worm) 特

4、洛伊木马(Trojan horse) 逻辑炸弹(logic bomb)9/2/20226 8.1 计算机病毒概念 恶意程序是指一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入进来，具有用户不知道（一般也不许可）的特性，激活后将影响系统或应用的正常功能，甚至危害或破坏系统。恶意程序的表现形式多种多样。有的是将合法程序进行改动，让它含有并执行某种破坏功能，如程序自毁或磁盘自毁。有的是利用合法程序的功能和权限，非法获取或篡改系统资源和敏感数据，进行系统入侵。 8.1.3 恶意程序9/2/20227 8.1 计算机病毒概念 1.逻辑炸弹 在病毒和蠕虫之前，最古老的软件威胁之一就是逻辑炸弹。逻辑

5、炸弹是嵌入在某个合法程序里面的一段代码，被设置成当满足特定条件时就会“爆炸”：执行一个有害行为的程序，如改变、删除数据或整个文件，引起机器关机，甚至破坏整个系统等破坏活动。8.1.3 恶意程序9/2/20228 8.1 计算机病毒概念 2.特洛伊木马 特洛伊木马是指一个有用的，或者表面上有用的程序或命令过程，但其中包含了一段隐藏的、激活时将执行某种有害功能的代码，可以控制用户计算机系统的程序，并可能造成用户的系统被破坏甚至瘫痪。 特洛伊木马程序可以用来非直接地完成一些非授权用户不能直接完成的功能。8.1.3 恶意程序9/2/20229 8.1 计算机病毒概念 3.蠕虫 计算机蠕虫是一种可以通过

6、网络（永久性网络连接或拨号网络）进行自身复制的病毒程序。一旦在系统中激活，蠕虫可以表现得像计算机病毒或细菌。可以向系统注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬盘或文件系统中繁殖，而典型的蠕虫程序则不同，只会在内存中维持一个活动副本，甚至根本不向硬盘中写入任何信息。此外，蠕虫是一个独立运行的程序，自身不改变其他的程序，但可携带一个具有改变其他程序功能的病毒。 8.1.3 恶意程序9/2/202210 8.1 计算机病毒概念 4.细菌 细菌是一些并不明显破坏文件的程序，它们的惟一目的就是繁殖自己。一个典型的细菌程序可能不做什么其他的事情。除了在多进程系统

7、中同时执行自己的两个副本，或者可能创建两个新的文件外，每一个都是细菌程序原始源文件的一个复制品。那些程序然后又可能将自己两次复制，依次类推细菌以指数级地再复制，最终耗尽了所有的处理机能力、存储器或磁盘空间，从而拒绝用户访问这些资源。 8.1.3 恶意程序9/2/202211病毒未授权的内部访问系统入侵偷窥私人信息电信欺骗金融欺骗破坏被动搭线窃听主动搭线窃听笔记本电脑盗窃内部人员对网络的滥用736857391020304050607080021731614131391 8.1 计算机病毒概念 8.1.4 计算机病毒的危害 据1998年CSI/FBI计算机犯罪和安全调查报告中对攻击的分类调查显示，

8、计算机病毒占所有攻击类型的首位.9/2/202212 8.1 计算机病毒概念 1.计算机病毒对独立计算机系统的危害 （1）破坏磁盘文件分配表或目录区，使用户磁盘上的信息丢失。 （2）删除软盘或硬盘上的可执行文件或系统文件，使系统无法启动。 （3）修改或破坏文件的数据。 （4）病毒程序自身在计算机系统中多次复制，使系统的存储空间减少，造成正常的文件不能存储。 （5）删除或改写磁盘上的特定扇区。 （6）对系统中用户存储的特定文件进行非法加密或解密。 （7）感染和破坏压缩文件，使其在解压时失败。 （8）改写BIOS中内容，使主板遭到毁灭性的破坏。8.1.4 计算机病毒的危害 9/2/202213 8

9、.1 计算机病毒概念 2.计算机病毒对网络的危害 病毒对网络的危害远比对独立计算机系统危害大得多。据国外有关调查表明，1998年底，90的Internet用户都遭受过来自Internet网上的病毒的侵扰。病毒对网络的危害主要有： （1）病毒通过“自我复制”传染正在运行的系统，与正常的运行程序争夺系统资源，造成系统瘫痪，并通过网络系统侵害与之联网的其他计算机。 （2）病毒会导致计算机控制的失灵。 （3）病毒会导致电子邮件传递混乱或Email系统关闭。 （4）病毒程序在激活时，能冲毁系统存取器中的大量数据，使与之相联的计算机用户的程序和数据丢失。 8.1.4 计算机病毒的危害 9/2/202214

10、 8.2 计算机病毒原理 1.传染性:计算机病毒也会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。 2.隐蔽性:计算机病毒隐蔽性是指计算机病毒不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。 3.潜伏性:计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。潜伏性的一种表现指的是病毒程序如果不用专门的检测程序是检测，是检查不来的，因此，病毒可以在磁盘、光盘或其他介质上静静的呆上几天，甚至是几年。 4.表现性 :病毒的表现性是指当病毒触发条件满足时，病毒在被计算机病毒感染的计算机上开始发作，表现出一定的症状和破坏性。8.2.1 计算机病毒特征 9/2/202

11、215 8.2 计算机病毒原理 1. 按感染形式分类文件病毒：通过在执行系列中插入指令把自己依附在可执行文件上，此种病毒感染文件，并寄生在文件中，进而造成文件损坏。引导区病毒：潜伏在软盘的引导扇区，或在硬盘的引导区，或主引导纪录（分区扇区）中插入指令。如果计算机用被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。混合型病毒：具有引导型和文件型两种病毒的特性。CIH病毒就是这种混合型病毒。宏病毒：即感染可执行文件和一般文件。虽无严重的危害，但对系统的性能及用户工作效率有影响，在网络中进行交叉感染。“美丽杀手” 就是一种宏病毒，8.2.2 计算机病毒的分类 9/2/202216

12、8.2 计算机病毒原理 2. 按寄生方式分类代替式计算机病毒：计算机病毒用自身代码的部分或全部替代常规程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。连接式计算机病毒：这种方式一般以传染文件为主，即病毒与宿主文件相连接时宿主文件的字节长度增加，但不破坏原合法程序的代码。 转储式计算机病毒：病毒将原合法的程序代码转储到存储介质的其他部位，而用病毒代码占据原合法程序的位置。充式计算机病毒：这种病毒有的传染引导程序，有的传染文件，病毒一般侵入宿的空闲存储空间，这样就不会改变宿主程序的字节长度。8.2.2 计算机病毒的分类 9/2/202217 8.2 计算机病毒原理 3按攻击方式分类 这

13、种方法划分有利于分析病毒的攻击对象和传染范围。源码病毒 存在的形式为源码。可细分为Shell型和语言型。 Shell（命令解释程序），一般指接收标准输入并将命令转交给系统的命令解释器或程序，Shell型病毒包括各种操作系统的Shell程序。如Unix的B Shell、C Shell，DOS ，Windows NT的cmd.exe 等。 语言型包括汇编、C、B、Fortran语言和微软的VC、VB，VJ等。机器码病毒 指各种处理器的机器码构成的病毒，如Intel86系列病毒、Motorola的68000，系列病毒、Zilog系列病毒和Macintosh系列病毒等。混合码病毒 两种形式都有则称为混

14、合码病毒。8.2.2 计算机病毒的分类 9/2/202218 8.2 计算机病毒原理 4根据病毒操作的方式或使用的编程技术分类 隐蔽病毒：使用某种技术来隐蔽程序被感染的事实。例如当操作系统发出调用要得到的某些信息时，它记录下必要的信息，以便于以后欺骗操作系统和病毒程序的扫描。 变形病毒：变形病毒能变化，使得它们更难被鉴别出来。如有一种使用高级加密技术的多态病毒。其使用了可变化的签名。变化过程称为变异。变异中，病毒改变它的大小和构成。通常，病毒扫描程序通过搜索已知的模式（大小、校验码、日期等）来检测病毒，一个经巧妙设计的变形病毒则可逃脱这些固定模式的检测，是传统的模式匹配法对此显得软弱无力。8.

15、2.2 计算机病毒的分类 9/2/202219 8.2 计算机病毒原理 1、感染2、变异3、触发4、破坏5、高级功能病毒8.2.4 病毒的工作方式 9/2/202220 8.2 计算机病毒原理 1.感染8.2.4 病毒的工作方式内存病毒 感染其它磁盘原始引导扇区信息引导扇区病毒感染过程9/2/202221 8.2 计算机病毒原理 1.感染8.2.4 病毒的工作方式覆盖型文件病毒 依附型文件病毒 伴随型病毒 . EXE病毒.EXE文件型病毒工作方式.EXE.COM9/2/202222 8.2 计算机病毒原理 2.变异 变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一

16、种“功能”。8.2.4 病毒的工作方式 AA AF AE AD AC AB病毒代码AA病毒的变异9/2/202223 8.2 计算机病毒原理 3.触发 计算机病毒为了能在合适的时候发作，需要预先设置一些触发的条件，并使之先置于触发状态。众所周知的基于某个特定日期的，如每个月的几号或星期五同时又是13号或3月6号（Michelangelo的生日）开始它的“工作”。除了以时间作为触发条件外，也有当程序运行了多次后，或在文件病毒被拷贝到不同的系统上多次以后，病毒便被启动而立即“工作”。触发在逻辑炸弹中很流行。8.2.4 病毒的工作方式9/2/202224 8.2 计算机病毒原理 虽然不同类型的计算机

17、病毒的机制和表现手法不尽相同，但计算机病毒的结构基相似，一般说来是由以下三个程序模块组成。 1.引导模块 2.传染模块 3.破坏与表现模块8.2.5 计算机病毒的结构 9/2/202225 8.2 计算机病毒原理 1.引导模块 当被感染的软硬盘，应用程序开始工作时，病毒的引导模块将病毒由外存引入存，并使病毒程序成为相对独立于宿主程序的部分，从而使病毒的传染模块和破坏模块进入待机状态。在某些病毒中，尤其是传染引导区的计算机病毒，其引导模块还承担将分开存储的病毒程序片断链接的任务。8.2.5 计算机病毒的结构 9/2/202226 8.2 计算机病毒原理 2.传染模块 由于计算机病毒具有复制自身（

18、或变形后的自身）的能力，因此它能使其他程序同样具备这种传染能力。这一点是判断一个程序是否为病毒程序的必要条件，所以，这部分程序对一个病毒程序来说是不可缺少的。这部分程序主要负责捕捉传染的条件和传染的对象，在保证被传染程序可正常运行的情况下完成计算机病毒的复制传播任务。8.2.5 计算机病毒的结构 9/2/202227 8.2 计算机病毒原理 3.破坏与表现模块 破坏与表现模块是病毒程序的核心部分，也是病毒设计者意图的体现部分。这里的破坏并不仅毁坏系统的软、硬件和磁盘上的数据、文件，而且还表现在显著地降低了整个系统的运行效率。这部分程序负责捕捉进入破坏程序的条件，在条件满足时开始进行破坏系统或数

19、据的工作，甚至可以毁掉包括病毒程序本身在内的系统资源。 8.2.5 计算机病毒的结构 9/2/202228 8.2 计算机病毒原理 VBS.LoveLetter（我爱你）病毒、Pretty Park蠕虫、Happy 99蠕虫 、Melissa病毒、Explore. zip蠕虫 、W97M/Ethan.A 宏病毒 、One Half 病毒 、CIH病毒 、YAI病毒等。8.2.6几种常见病毒 9/2/202229 8.3 反病毒技术 现在世界上成熟的反病毒技术已经完全可以作到对所有的已知病毒彻底预防、彻底杀除，主要涉及以下三大技术。 1.实时监视技术 2.自动解压缩技术 3.全平台反病毒技术8.

20、3.1 概述 9/2/202230 8.3 反病毒技术 计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。 “防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。 “查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。 “解毒”是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。 8.3.2 病毒的防治策略 9/2/2

21、02231 8.3 反病毒技术 检测的原理主要是基于四种方法： 8.3.3 检测病毒原理 比较法特征代码扫描法校验和法检测原理观察比较用程序比较用专用软件用通用软件分析法9/2/202232 8.3 反病毒技术 1.比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单 （比如DEBUG的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP、COM P或PCTOOLS等其它软件）。这种比较法不需要专用的查病毒程序，只要用常规DOS软件和PCTOO LS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查病毒程序发现的计

22、算机病毒。因为病毒传播得很快，新病毒层出不穷，还没有做出通用的能查出一切病毒，发现新病毒就只有靠比较法和分析法，有时必须结合这两者来一同工作。 8.3.3 检测病毒原理 9/2/202233 8.3 反病毒技术 2.特征代码扫描法 病毒的特征代码是病毒程序编制者用来识别自己编写程序唯一的代码串。可利用病毒的特征代码检测病毒程序和防止病毒程序传染。 特征代码扫描法所用的软件称病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的扫描程序。打开被检测文件，搜索检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特

23、征代码与病毒一一对应，便可以断定被查文件中患有何种病毒。常见的病毒扫描程序有我国公安部发行的SCAN. EXE和美国McAfee Associates的SCAN.EXE。8.3.3 检测病毒原理 9/2/202234 8.3 反病毒技术 3.校验和法 将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。8.3.3

24、 检测病毒原理 9/2/202235 8.3 反病毒技术 4.分析法 一般使用分析法的人不是普通用户，而是反病毒技术人员。使用分析法的目的在于：确认被观察的磁盘引导区和程序中是否含有病毒；如果有病毒，确认病毒的类型和种类，判定其是否是一种新病毒； 如果是新病毒，搞清楚病毒体的大致结构，提取特征代码或特征字，用于增添到病毒代码库供病毒扫描和识别程序用；详细分析病毒代码，为制定相应的反病毒措施制定方案。8.3.3 检测病毒原理 9/2/202236 8.3 反病毒技术 清除计算机病毒完全是建立在正确检测出病毒的基础之上的。没有正确的判断，就没有正确的行动。 清除计算机病毒主要包括的工作：清除计算机

25、病毒主要包括的工作8.3.4 清除病毒原理 清除内存中的病毒清除磁盘中的病毒病毒发作后的善后处理工作清除病毒引导区病毒文件病毒9/2/202237 8.3 反病毒技术 1.防病毒软件功能 预防，预防病毒对系统的感染、对可执行文件（.COM 和.EXE）的改变并在文件分配表或引导扇区被改变或硬盘将被重新格式化时发出声音警告。检测，在磁盘和系统的其它部分寻找病毒。包括将文件与预先设定的算法或特征进行对比，或计算每个文件的检查摘要。消除，包括将病毒代码从文件和磁盘上清除出去。免疫，在可执行文件（.COM 和.EXE）中加入特殊的代码，在程序运行时检查特征的改变或其它的不正常情况。破坏控制，减少病毒导致的破坏。8.3.5 防病毒软件 9/2/202238 8.3 反病毒技术 2.常用反病毒程序有反病毒扫描软件完整性检查程序行为封锁软件病毒消除8.3.5 防病毒软件 9/2/202239 8.3 反病毒技术 3.防、杀毒软件的选择 选购防病毒、杀病毒软件，需要注意的指标包括：扫描速度、正确识别率、误报率、技术支持水