新型计算机病毒的发展趋势及特点和技术

优秀精品课件文档资料.任课教师：乔奎贤E-mail：cren616@126.com计算机病毒原理与防范第4章新型计算机病毒的发展

趋势及特点和技术4.1新型计算机病毒的发展趋势4.2新型计算机病毒发展的主要特点4.3新型计算机病毒的主要技术4.1新型计算机病毒的发展趋势网络化

利用基于Internet的编程语言与编程技术实现，易于修改以产生新的变种，从而逃避反计算机病毒软件的搜索。如利用Java、ActiveX和VBScript等技术，使病毒潜伏在HTML页面中。

例如：“爱虫”病毒、“Kakworm”病毒人性化

充分利用了心理学知识，针对人类的心理制造计算机病毒，其主题、文件名更具人性化和极具诱惑性。

例如：“My-babypic”病毒多样化

新计算机病毒可以是可执行文件、脚本语言和HTML网页等多种形式，并向电子邮件、网上贺卡、卡通图片、ICQ和OICQ等发展。4.1新型计算机病毒的发展趋势隐蔽化

新一代计算机病毒更善于隐蔽自己、伪装自己，其主题会在传播中改变，或具有诱惑性的主题、附件名。

如：主页计算机病毒、“维罗纳”病毒、“Matrix”病毒平民化

由于脚本语言的广泛使用，专用计算机病毒生成工具的流行，计算机病毒的制造不再是计算机专家表现自己的高超技术。智能化

可对外设、硬件设施物理性破坏，也可对人体实施攻击。4.2新型计算机病毒发展的主要特点4.2.1新型计算机病毒的主要特点4.2.2基于Windows的计算机病毒4.2.3新型计算机病毒的传播途径4.2.4新型计算机病毒的危害4.2.5电子邮件成为病毒传播的主要媒介4.2.6新型计算机病毒的最主要载体4.2.1新型计算机病毒的主要特点利用系统漏洞将成为计算机病毒有力的传播方式局域网内快速传播以多种方式快速传播欺骗性增强大量消耗系统与网络资源更广泛的混合性特征计算机病毒与黑客技术的融合计算机病毒出现频度高，计算机病毒生成工具多，计算机病毒的变种多难于控制和彻底根治，容易引起多次疫情

4.2.2基于Windows的计算机病毒1．什么是Windows计算机病毒？Windows计算机病毒：

指能感染Windows可执行程序并可在Windows系统下运行的计算机病毒。Windows计算机病毒分类：感染NE格式(Windows3.X)可执行程序的计算机病毒感染PE格式(Windows95以上)可执行程序的计算机病毒4.2.2基于Windows的计算机病毒2．为什么Windows计算机病毒这么多？

一方面，随着人们对Windows操作系统认识的深入，系统功能的强大而使系统庞大，不可避免地出现错误和漏洞；另一方面，Windows系统源码保密。危害系统主机的非授权主机进程的表现形式：病毒程序蠕虫木马后门漏洞4.2.2基于Windows的计算机病毒危害系统主机的非授权主机进程的表现形式：病毒程序病毒程序一般比较小巧，表现为强传染性，会传染它所能访问的文件系统中的文件。蠕虫蠕虫是利用网络进行传播的程序。利用主机提供的服务缺陷攻击目标机。目标机感染后，一般会随机选择一段IP地址进行扫描，寻找下一个有缺陷的目标进行攻击。如：“Lion”——针对DNS解析的服务程序BIND； “冲击波”、“震荡波”——针对Windows系统。4.2.2基于Windows的计算机病毒危害系统主机的非授权主机进程的表现形式：木马

木马是网络攻击成功后有意放置的程序，用于与外界的攻击程序接口，以非法访问被攻击主机为目的。绝大多数针对Windows系统。后门

后门是写系统或网络服务程序的公司或个人放置在系统上，以进行非法访问为目的的代码。只存在于不开放源码的操作系统中。漏洞

漏洞是指由于程序编写过程中的失误，导致系统被非法访问4.2.2基于Windows的计算机病毒3．Windows系统与计算机病毒的斗争Windows系统只有通过不断升级、完善，才可以减少受计算机病毒骚扰的机会。4.2.3新型计算机病毒的传播途径1．传播途径软盘光盘硬盘BBS网络4.2.3新型计算机病毒的传播途径2．计算机病毒传播呈现多样性(1)隐藏在即时通信软件中的计算机病毒即时通信IM软件：ICQ、QQ、MSNMessenger例如：“求职信”病毒：第一个通过ICQ进行传播的恶性蠕虫“爱情森林”系列病毒、“QQ尾巴”病毒：通过腾讯QQ进行传播“MSN射手”病毒、“W32.HLLW.Henpeck”病毒：通过腾讯MSNMessenger进行传播通过即时通信软件传播病毒的原因：用户数量庞大，有利于病毒的迅速传播；软件内建有联系人清单，可方便地获取传播目标。4.2.3新型计算机病毒的传播途径2．计算机病毒传播呈现多样性隐藏在即时通信软件中的计算机病毒在IRC中的计算机病毒点对点计算机病毒4.2.4新型计算机病毒的危害1．计算机病毒肆虐：以“震荡波”病毒为例2．计算机病毒与IT共存

据海外有关数据显示：全球每月产生新计算机病毒300种，一年就达4000~5000种。全球每年造成巨大的经济损失。

典型案例：“尼姆达”、“美丽莎”、“CIH”、“Sircam”病毒

网络攻击手段：密码攻击、分组窃听和IP地址欺骗，以及拒绝服务（Ddos）、未授权访问和特洛伊木马（Trojan）专家针对计算机病毒推荐的防范措施：1．及时关注微软公司官方网站公布的系统漏洞，下载正式补丁；2．购买专业杀毒软件厂商的软件及其后台服务，及时升级；3．定期备份计算机上的重要文件。4.2.5电子邮件成为计算机病毒传播的主要媒介“BubbleBoy”病毒：无需用户打开附件就能感染用户的计算机系统。通过E-mail进行传播的计算机病毒的主要特点：（1）传播速度快、传播范围广；（2）破坏力大、破坏性强。典型案例：2000年5月4日“爱虫”计算机病毒的爆发

4.2.6新型计算机病毒的最主要载体目前，计算机网络成为计算机病毒传播的最主要载体。1．网络蠕虫成为最主要和破坏力量最大的计算机病毒类型“蠕虫”病毒主要利用系统漏洞进行传播，在控制系统的同时，为系统打开后门，成为一种黑客攻击工具。“蠕虫”病毒编写简单，往往直接利用VBS来编写。如“欢乐时光”病毒。2．恶意网页、木马和计算机病毒4.2.6新型计算机病毒的最主要载体蠕虫（Worm）：虽然蠕虫可以在计算机系统中繁殖，有的蠕虫甚至还可以在内存、磁盘、网络中移动、爬行，但它们不依附于其他程序，即不需要宿主对象。严格地说，蠕虫与计算机病毒的一个最大区别在于：蠕虫程序本身并不具备传染性。在其他方面，蠕虫与计算机病毒又极为类似，它是计算机病毒的“近亲”，而被视为是另一种类型的计算机病毒4.2.6新型计算机病毒的最主要载体目前，计算机网络成为计算机病毒传播的最主要载体。1．网络蠕虫成为最主要和破坏力量最大的计算机病毒类型2．恶意网页、木马和计算机病毒恶意网页的特点：在用户不知道情况下，修改用户浏览器选项；修改用户注册表选项，锁定注册表，修改系统启动选项，以及在用户桌面生成网页快捷访问方式。格式化用户硬盘（很少出现）。注意：在当前计算机病毒定义下，不能称恶意网页为计算机病毒，因为它不能自我复制；也不能称为木马，因为它没有远程控制。木马的最主要特点：远程控制4.2.6新型计算机病毒的最主要载体特洛伊木马（TrojanHorse）：——借古罗马战争中的“木马”战术而得名原理：木马实际上是一种在远程计算机之间建立起连接，使远程计算机能通过网络控制本地计算机上的程序。传播：木马以合法而正常的程序（如计算机游戏、压缩工具乃至防治计算机病毒软件等）面目出现，来达到欺骗并在用户计算机上运行、产生用户所料不及的破坏后果之目的。组成：一般情况下，木马程序由服务器端程序和客户端程序组成。其中服务器端程序安装在被控制对象的计算机上，客户端程序是控制者所使用的。4.2.6新型计算机病毒的最主要载体特洛伊木马（TrojanHorse）：危害：通过远程控制对目标计算机进行危险的文件管理，包括可从受害者的计算机查看、删除、移动、上传、下载、执行任何文件；进行警告信息发送、键盘记录、记录机内保密信息、关闭窗口、鼠标控制、计算机基本设置等非法操作木马和远程控制软件的区别：木马具有隐蔽性。例如国内的血蜘蛛、国外的PCAnyWhere等远程控制软件，其服务器端在目标计算机上运行时，目标计算机上会出现很醒目的标志；而木马类软件的服务器在运行时则应用多种手段来隐藏自己。类型：远程访问木马 密码发送型木马 FTP型木马键盘记录型木马 毁坏型木马 4.3新型计算机病毒发展的主要技术4.3.1ActiveX与Java4.3.2计算机病毒的驻留内存技术4.3.3修改中断向量表技术4.3.4计算机病毒隐藏技术4.3.5对抗计算机病毒防范系统技术4.3.6技术的遗传与结合4.3.1ActiveX与Java传统计算机病毒与新型计算机病毒：1．宿主程序：传统计算机病毒：一定有一个“宿主”程序，如.EXE文件、.COM文件以及.DOC文件宏病毒：感染Word，如：“TaiwanNo.1”病毒新型计算机病毒：完全不需要宿主程序2．寄生方式传统计算机病毒：寄生在可执行程序代码中，伺机对系统进行破坏新型计算机病毒：利用网页编写所用的Java或ActiveX语言编写的可执行程序，当浏览网页时就会下载并在系统中执行。4.3.1ActiveX与JavaJava或ActiveX语言：用来编写具有动感十足的网页Java或ActiveX语言的执行方式：

将程序代码写在网页上，当访问网站时，用户浏览器将这些程序代码下载，然后用用户的系统资源去执行。例如：ActiveX控件病毒——“Exploder”：能关闭Windows95系统，可见其控制能力之强。利用Java编写的包含恶意代码的程序：Applicationmacros、Navigatorplug-ins、Macintosh等应用程序

现在有些计算机病毒是在用户未知情况下所执行的一些操作而感染传播的。4.3.2计算机病毒的驻留内存技术1．引导型病毒的驻留内存技术引导型病毒是在计算机启动时从磁盘的引导扇区被ROMBIOS中的引导程序读入内存的。在将控制权转交给正常引导程序去做进一步的系统启动工作之前，将自身搬移到内存的高端，即RAM的最高端，同时修改可用内存空间。例如：“小球”、“大麻”、“米开朗琪罗”等病毒引导型病毒总是以驻留内存的形式进行感染的。利用DOS的Chkdsk或Pctools程序可发现内存总数的减少；利用Debug不仅可发现内存的减少，而且可发现病毒在内存的具体位置。4.3.2计算机病毒的驻留内存技术2．文件型病毒的不驻留内存技术感染方法是只要被运行一次，就在磁盘中寻找一个未被该病毒感染的文件进行感染。当程序运行结束，病毒连同其宿主程序一起离开内存，不留任何痕迹。其传染和扩散速度相对于内存驻留型病毒稍差些。如：“维也纳DOS648”、“Taiwan”、“Syslock”、“W13”等病毒4.3.2计算机病毒的驻留内存技术3．文件型病毒的驻留内存技术

文件型病毒可以驻留在内存高端，也可驻留在内存低端

如：“1575”、“DIR2”、“4096”、“新世纪”、“中国炸弹”、“旅行者1202”等病毒采用DOS的中断调用27H和系统功能调用31H。

文件型病毒可驻留在它被系统调入内存时所在的位置（往往是内存低端）。可被DOS的MEM和Pctools的MI查看到。

如：“1808”病毒很多病毒采用了直接修改MCB的方法。

可以驻留在内存的低端，也可搬移到内存高端，可以躲避监视。

如：“1575”、“4096”等病毒4.3.2计算机病毒的驻留内存技术Windows环境下病毒的内存驻留（补充）方法一：病毒作为一个应用程序由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口(可能是隐藏的)、拥有自己的消息处理函数方法二：病毒独立占用系统内存块使用DPMI申请一块系统内存，将病毒代码放置其中方法三：病毒作为一个设备驱动程序将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在WinNT／Win2000下的设备驱动程序WDM加载到内存中运行4.3.3修改中断向量表技术引导型病毒和驻留内存的文件型病毒大都要修改中断向量表，以达到将计算机病毒代码挂接入系统的目的。对于引导型病毒，磁盘输入输出中断13H是其传染磁盘的唯一通道。通过将病毒的传染模块链入13H磁盘读写中断服务程序，就可在用户利用正常系统服务时感染软硬盘。4.3.4计算机病毒隐藏技术采用“隐藏”技术的计算机病毒表现形式：计算机病毒进入内存后，若计算机用户不用专用软件或专门手段去检查，则几乎感觉不到因计算机病毒驻留内存而引起的内存可用容量的减少。计算机病毒感染了正常文件后，该文件的日期和时间不发生变化。因此用DIR命令查看目录时，看不到某个文件因被计算机病毒改写过造成的日期、时间有变化。计算机病毒在内存中时，用DIR命令看不见因计算机病毒的感染而引起的文件长度的增加。4.3.4计算机病毒隐藏技术采用“隐藏”技术的计算机病毒表现形式：计算机病毒在内存中时，若查看被该计算机病毒感染的文件，则看不到计算机病毒的程序代码，只看到原正常文件的程序代码。计算机病毒在内存中时，若查看被计算机病毒感染的引导扇区，则只会看到正常的引导扇区，而看不到实际上处于引导扇区位置的计算机病毒程序。计算机病毒在内存中时，计算机病毒防范程序和其他工具程序检查不出中断向量被计算机病毒接管，但实际上计算机病毒代码已链接到系统的中断服务程序中4.3.4计算机病毒隐藏技术1．静态隐藏技术静态隐藏技术：指计算机病毒代码依附在宿主程序上时所拥有的固有的隐蔽性一般由父病毒在感染目标程序时，依照目标程序的特性，产生特定的子病毒，使其能隐蔽在宿主程序中而不被发现秘密行动法秘密行动法：通过清除感染程序所留下的痕迹，恢复宿主文件的特征，向查询者返回虚假信息，而达到隐藏病毒的目的碎片技术：利用Windows环境PE可执行文件分段存储，而各段有一些未使用的剩余空间这一特征，将自身分割成小块，隐藏在内存空隙中，从而消除病毒改变文件长度的缺陷4.3.4计算机病毒隐藏技术秘密行动法：引导型病毒的隐藏方法一感染时，修改中断服务程序使用时，截获INT13调用读请求读请求返回数据返回数据返回数据DOS应用程序原来的INT13H服务程序DOS下的杀毒软件病毒感染后的INT13H服务程序普通扇区普通扇区被病毒感染的扇区被病毒感染的扇区的原始扇区读扇区调用4.3.4计算机病毒隐藏技术秘密行动法：引导型病毒的隐藏方法二针对杀毒软件对磁盘直接读写的特点，截获INT21H，然后恢复感染区，最后，再进行感染。感染后的INT21H功能40H（加载一个程序执行）执行反病毒程序恢复被病毒感染的扇区为原来的内容原来的INT21H功能重新感染扇区返回DOS命令解释程序（COMMAND..COM）DOS命令解释程序（COMMAND..COM）4.3.4计算机病毒隐藏技术秘密行动法：文件型病毒的隐藏方法拦截（API,INT调用）访问——恢复——再感染DOSINT21H调用隐藏病毒扇区列目录时显示感染前的文件大小读写文件看到正常的文件内容执行或者搜索时隐藏病毒在支持长文件名的系统隐藏自身INT13H（直接磁盘访问）列目录功能读写功能(Read、Write)执行功能（EXEC）其他功能（rename等）视窗操作系统下，支持长文件名的扩展DOS调用4.3.4计算机病毒隐藏技术自加密技术计算机病毒可以对静态计算机病毒加密，同时也可以对进驻内存的动态计算机病毒进行加密MutationEngine多态技术采用特殊的加密技术，每感染一个对象，放入宿主程序的代码都不相同，几乎没有任何特征代码串，从而能有效对抗采用特征串搜索法类杀毒软件的查杀插入性病毒技术插入性病毒在不了解宿主程序的功能和结构的前提下，能将宿主程序在适当处截断，在宿主程序的中部插入病毒程序，并做到使病毒能获得运行权，达到与宿主程序融为一体4.3.4计算机病毒隐藏技术2．动态隐藏技术动态隐藏技术：指计算机病毒代码在驻留、运行和发作期间所拥有的隐蔽性计算机病毒利用操作系统的功能和漏洞，后台执行监视和感染的功能，防止被一般的内存或进程管理程序发现反Debug跟踪技术Debug主要利用系统中断INT1和INT3进行动态跟踪。计算机病毒抑制跟踪的方法主要是修改INT1和INT3中断服务程序入口地址的内容来破坏跟踪此外，常见的其他反跟踪技术有：封锁键盘输入、封锁屏幕输出等4.3.4计算机病毒隐藏技术检测系统调试寄存器，防止计算机病毒被动态跟踪调试现在的操作系统中出现