计算机病毒及其防范技术课件

计算机病毒及其防范技术part1计算机病毒及其防范技术part1第一章计算机病毒概述第一章计算机病毒概述本章学习目标掌握计算机病毒的基本概念了解计算机病毒发展的历史转折点熟悉计算机病毒的分类熟悉商业计算机病毒命名规则掌握计算机病毒的发展趋势本章学习目标掌握计算机病毒的基本概念一、计算机病毒的定义计算机病毒产生的动机(原因)：计算机系统的脆弱性(IBM病毒防护计划)作为一种文化（hacker）病毒编制技术学习恶作剧\报复心理用于版权保护（江民公司）用于特殊目的（军事、计算机防病毒公司）一、计算机病毒的定义计算机病毒产生的动机(原因)：“计算机病毒”与医学上的“病毒”不同， 它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。“计算机病毒”为什么叫做病毒？与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。“计算机病毒”与医学上的“病毒”不同，FredCohen定义：

计算机病毒是一种程序，他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序，从而感染其它程序。FredCohen认为：

病毒不是利用操作系统运行的错误和缺陷的程序，病毒是正常的用户程序。FredCohen定义：标准定义（中国）：直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出："计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。"此定义具有法律性、权威性。标准定义（中国）：二、计算机病毒的特性

破坏性传染性隐蔽性

寄生性触发（潜伏）性二、计算机病毒的特性计算机病毒及其防范技术课件/*引导功能模块*/{将病毒程序寄生于宿主程序中；加载计算机程序；病毒程序随其宿主程序的运行进入系统；}{传染功能模块；}{破坏功能模块；}main(){调用引导功能模块；A：do{寻找传染对象；if(传染条件不满足) gotoA；}while(满足传染条件)；调用传染功能模块；while(满足破坏条件) {激活病毒程序； 调用破坏功能模块；}运行宿主源程序； if不关机 gotoA；关机；}/*引导功能模块*/while(满足破坏条件)计算机病毒感染率变化趋势数据来源：中国计算机病毒应急处理中心

计算机病毒感染率变化趋势数据来源：中国计算机病毒应急处理中心三、计算机病毒简史年份三、计算机病毒简史年份计算机病毒简史在第一部商用电脑出现之前，冯·诺伊曼在他的论文《复杂自动装置的理论及组识的进行》里，就已经勾勒出了病毒程序的蓝图。70年代美国作家雷恩出版的《P1的青春－TheAdolescenceofP1》一书中作者构思出了计算机病毒的概念。美国电话电报公司(AT&T)的贝尔实验室中，三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一种电子游戏叫做“磁芯大战(corewar)”。计算机病毒简史在第一部商用电脑出现之前，冯·诺伊曼在他的论文博士论文的主题是计算机病毒1983年11月3日，FredCohen博士研制出第一个计算机病毒（Unix）。博士论文的主题是计算机病毒1986年初，巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了

Pakistan病毒，即Brain，其目的是为了防范盗版软件。Dos–PC–引导区1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。1986年初，巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了视窗病毒1988年3月2日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。视窗病毒1988年3月2日，一种苹果机的病毒发作，肇事者-RobertT.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家。机理-利用sendmail,finger等服务的漏洞，消耗CPU资源，并导致拒绝服务。影响-Internet上大约6000台计算机感染，占当时Internet联网主机总数的10%，造成9600万美元的损失。CERT/CC的诞生-DARPA成立CERT（ComputerEmergencyResponseTeam），以应付类似事件。莫里斯蠕虫（MorrisWorm）1988年肇事者莫里斯蠕虫（MorrisWorm）1988年1989年，全世界计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户（包括中国）造成了极大损失。全球流行DOS病毒1989年，全世界计算机病毒攻击十分猖獗，其中“米开朗基罗”伊拉克战争中的病毒-AF/91（1991）在沙漠风暴行动的前几周，一块被植入病毒的计算机芯片被安装进了伊拉克空军防卫系统中的一台点阵打印机中。该打印机在法国组装，取道约旦、阿曼运到了伊拉克。病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机，据说非常成功。伊拉克战争中的病毒-AF/91（1991）在沙漠风暴行动的前宏病毒1996年，出现针对微软公司Office的“宏病毒”。1997年公认为计算机反病毒界的“宏病毒年”。特点：书写简单，甚至有很多自动制作工具宏病毒1996年，出现针对微软公司Office的“宏病毒”。CIH（1998-1999）1998年，首例破坏计算机硬件的CIH病毒出现，引起人们的恐慌。1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失。CIH（1998-1999）1998年，首例破坏计算机硬件的蠕虫——病毒新时代1999年3月26日，出现一种通过因特网进行传播的美丽莎病毒。2001年7月中旬，一种名为“红色代码”的病毒在美国大面积蔓延，这个专门攻击服务器的病毒攻击了白宫网站，造成了全世界恐慌。2003年，“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。记忆犹新的3年（2003-2005）蠕虫——病毒新时代1999年3月26日，出现一种通过因特2004年是蠕虫泛滥的一年，大流行病毒：网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Worm.Klez)大无极(Worm.SoBig)2004年是蠕虫泛滥的一年，大流行病毒：2005年是木马流行的一年，新木马包括：8月9日，“闪盘窃密者（Trojan.UdiskThief）”病毒。该木马病毒会判定电脑上移动设备的类型，自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下，这样可能造成某些公用电脑用户的资料丢失。11月25日，“证券大盗”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码，被盗号的股民账户存在被人恶意操纵的可能。7月29日，“外挂陷阱”（troj.Lineage.hp）。此病毒可以盗取多个网络游戏的用户信息，如果用户通过登陆某个网站，下载安装所需外挂后，便会发现外挂实际上是经过伪装的病毒，这个时候病毒便会自动安装到用户电脑中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取《热血江湖》、《传奇》、《天堂Ⅱ》、《工商银行》、《中国农业银行》等数十种网络游戏及网络银行的账号和密码。该病毒发作时，会显示一张照片使用户对其放松警惕。2005年是木马流行的一年，新木马包括：2006年木马仍然是病毒主流，变种层出不穷2006年上半年，江民反病毒中心共截获新病毒33358种，另据江民病毒预警中心监测的数据显示，1至6月全国共有7322453台计算机感染了病毒，其中感染木马病毒电脑2384868台，占病毒感染电脑总数的32.56%，感染广告软件电脑1253918台，占病毒感染电脑总数的17.12%，感染后门程序电脑

664589台，占病毒感染电脑总数的9.03%，蠕虫病毒216228台，占病毒感染电脑总数的2.95%，监测发现漏洞攻击代码感染181769台，占病毒感染电脑总数的2.48%，脚本病毒感染15152台，占病毒感染电脑总数的2.06%。2006年木马仍然是病毒主流，变种层出不穷最前沿病毒2007年：流氓软件——反流氓软件技术对抗的阶段。Cnnic3721–yahoo熊猫烧香2008年：木马ARPPhishing（网络钓鱼）最前沿病毒2007年：2009年恶意代码产业化木马是主流其他：浏览器劫持、下载捆绑、钓鱼2009年2010年新增恶意代码750万（瑞星）；流行恶意代码：快捷方式真假难分、木马依旧猖獗，但更注重经济利益和特殊应用。2010年恶意代码的发展趋势卡巴斯基实验室的高级研究师DavidEmm研究获悉，到2008年底为止，全球大约存在各种恶意代码1,400,000个。恶意代码的发展趋势卡巴斯基实验室的高级研究师DavidEm发展趋势网络化发展专业化发展简单化发展多样化发展自动化发展犯罪化发展发展趋势四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses)，并在每周一次的计算机安全讨论会上正式提出。四、病毒人生（法律）1983年11月3日，弗雷德·1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里·李·帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病李俊，大学本科毕业大于1000万用户染毒损失数亿元人民币处罚：最高无期？李俊，大学本科毕业五、计算机病毒的主要危害直接危害：1.病毒激发对计算机数据信息的直接破坏作用2.占用磁盘空间和对信息的破坏3.抢占系统资源4.影响计算机运行速度5.计算机病毒错误与不可预见的危害6.计算机病毒的兼容性对系统运行的影响五、计算机病毒的主要危害直接危害：病毒的危害情况

病毒的危害情况间接危害：1.计算机病毒给用户造成严重的心理压力2.造成业务上的损失3.法律上的问题间接危害：近几年来的重大损失

年份攻击行为发起者受害PC数目损失金额(美元)2006木马和恶意软件————2005木马————2004Worm_Sasser(震荡波)————2003Worm_MSBLAST(冲击波)超过140万台——2003SQLSlammer超过20万台9.5亿至12亿2002Klez超过6百万台90亿2001RedCode超过1百万台26亿2001NIMDA超过8百万台60亿2000LoveLetter——88亿1999CIH超过6千万台近100亿近几年来的重大损失年份攻击行为发起者受害PC数目损六、计算机病毒的分类六、计算机病毒的分类1、按病毒存在的媒体分类网络病毒：通过计算机网络传播感染网络中的可执行文件；文件病毒：感染计算机中的文件（如：ＣＯＭ，ＥＸＥ，ＤＯＣ等）；引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（ＭＢＲ）；混合型病毒：是上述三种情况的混合。例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。1、按病毒存在的媒体分类网络病毒：通过计算机网络传播感染网络2、按病毒传染的方法分类引导扇区传染病毒：主要使用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。网络传染病毒：这类病毒是当前病毒的主流，特点是通过互联网络进行传播。例如，蠕虫病毒就是通过主机的漏洞在网上传播。2、按病毒传染的方法分类引导扇区传染病毒：主要使用病毒的全3、按病毒破坏的能力分类无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。

无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造成严重的错误。

非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。3、按病毒破坏的能力分类无害型：除了传染时减少磁盘的可用空4、按病毒算法分类伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源寄生型病毒：依附在系统的引导扇区或文件中，通过系统的功能进行传播。练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。变形病毒：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和经过变化的病毒体组成。4、按病毒算法分类伴随型病毒：这一类病毒并不改变文件本身，5、按计算机病毒的链结方式分类源码型病毒：该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。嵌入型病毒：这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。外壳型病毒：外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。操作系统型病毒：这种病毒用自身的程序加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。5、按计算机病毒的链结方式分类源码型病毒：该病毒攻击高级语6、按病毒攻击操作系统分类MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）6、按病毒攻击操作系统分类MicrosoftDOS病毒的发展是伴随着计算机软硬件的发展而发展的。沿着操作系统发展的几个阶段来看看病毒技术与反病毒技术演化。DOS时代（1981－）Window9x时代（1995－）WindowsNT/2000时代（1996－）嵌入式系统（2000—）操作系统及病毒变化病毒的发展是伴随着计算机软硬件的发展而发展的。沿着操作系统发（一）DOS操作系统时代的病毒DOS操作系统简介16位的操作系统（8086、8088）实模式、单用户、单任务字符界面中断机制（一）DOS操作系统时代的病毒DOS操作系统简介DOS可执行文件病毒原理COM病毒EXE病毒常见感染手法通过查目录进行传播通过执行进行传播通过文件查找进行传播通过文件关闭的时候进行传播DOS可执行文件病毒原理COM病毒DOS反病毒原理特征码技术模糊匹配技术（广谱杀毒）行为判定技术启发式扫描技术对各种可疑功能进行加权判断；MOVAH,5；INT,13h;formatDOS反病毒原理特征码技术（二）Windows操作系统32位操作系统抢占式多任务操作系统保护模式下运行友好的图形界面（二）Windows操作系统32位操作系统Windows病毒可执行文件病毒宏病毒脚本病毒蠕虫病毒木马病毒Windows病毒可执行文件病毒可执行文件病毒典型病毒（CIH）感染原理特点反病毒技术文件监控内存监控可执行文件病毒典型病毒（CIH）蠕虫病毒典型病毒感染原理特点反病毒技术邮件监控网络监控蠕虫病毒典型病毒席卷全球的NIMDA病毒席卷全球的NIMDA病毒木马病毒典型病毒感染原理特点反病毒技术文件监控防火墙木马病毒典型病毒宏病毒典型病毒感染原理特点反病毒技术OFFICE嵌入式查毒特征代码宏病毒典型病毒脚本病毒典型病毒感染原理特点反病毒技术脚本监控脚本病毒典型病毒智能手机病毒-手机木马（WinCE.Brador.A）病毒名称：

WinCE.Brador.A

类型：Backdoor公布日期：未知影响平台：WindowsMobile病毒别名：Backdoor.WinCE.Brador.a大小：5632发源地区：俄罗斯概述：Brador.A是已知第一个针对PocketPC手持设备的后门程序。运行时，后门程序将自己复制到启动文件夹，将PDA的IP地址邮件发送给后门程序的作者，并开始监听一个TCP端口的命令。然后黑客可以通过TCP端口连接回PDA，通过后门程序控制PDA。智能手运行时，后门程序将自己复制到启动文件夹，将PDA的IP地址邮件发送给后门程序的作者，并开始监听一个TCP端口的命令。然后黑客可以通过TCP端口连接回PDA，通过后门程序控制PDA。端口：2989D:浏览文件G:上传文件P:下载文件R:执行命令M:屏幕显示F:退出运行时，后门程序将自己复制到启动文件夹，将PDA的IP运行时，Brador.A会将自己作为svchost.exe复制到PocketPC设备上的Windows\StartUp文件夹，以致设备每次启动时它都会自动启动

安装程序对复制到Windows\StartUp文件夹的文件作了轻微修改。因此文件每次启动时会有所不同，虽然这不会影响后门程序的操作。仍不清楚这是安装程序有意的还是附带的结果。运行时，Brador.A会将自己作为svchost.e危害当Brador.A安装到系统时，会读取本地主机IP地址并email发送给作者。邮件发送IP地址后后门程序打开一个TCP端口，开始监听来自它的命令。后门程序能够从PDA上传、下载文件，执行任意命令并对PDA用户显示信息。危害七、计算机病毒的传播途径

七、计算机病毒的传播途径

1、软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。1、软盘2、光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒，这就给本来“干净”的计算机带来了灾难。

2、光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒3、硬盘（含移动硬盘、USB）有时，带病毒的硬盘在本地或移到其他地方使用甚至维修等，就会将干净的软盘传染或者感染其他硬盘并扩散。3、硬盘（含移动硬盘、USB）有时，带病毒的硬盘在本地或移网络——〉病毒的加速器网络病毒技术社区集体攻击病毒蠕虫病毒特洛伊木马黑客技术脚本病毒邮件病毒病毒源码发布4、有线网络网络——〉病毒的加速器网络病毒技术社区集体攻击病毒蠕虫病毒触目惊心的计算——卿斯汉如果：20分钟产生一种新病毒，通过因特网传播（30万公里/秒）。联网电脑每20分钟感染一次，每天开机联网2小时。结论：一年以內一台联网的电脑可能会被最新病毒感染2190次。另一个数字：75％的电脑被感染。触目惊心的计算——卿斯汉如果：网络服务——〉传播媒介网络的快速发展促进了以网络为媒介的各种服务（FTP,WWW,BBS,EMAIL等）的快速普及。同时，这些服务也成为了新的病毒传播方式。电子布告栏（BBS）：电子邮件（Email）：即时消息服务（QQ,ICQ,MSN等）：WEB服务：FTP服务：新闻组：网络服务——〉传播媒介网络的快速发展促进了以网络为媒介的各种5、无线通讯系统病毒对手机的攻击有3个层次：攻击WAP服务器，使手机无法访问服务器；攻击网关，向手机用户发送大量垃圾信息；直接对手机本身进行攻击，有针对性地对其操作系统和运行程序进行攻击，使手机无法提供服务。5、无线通讯系统病毒对手机的攻击有3个层次：攻击WAP服务器八、染毒计算机的症状病毒表现现象：计算机病毒发作前的表现现象病毒发作时的表现现象病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障八、染毒计算机的症状病毒表现现象：1、发作前的现象平时运行正常的计算机突然经常性无缘无故地死机操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word，打开Word文档后，该文件另存时只能以模板方式保存磁盘空间迅速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来的电子邮件1、发作前的现象平时运行正常的计算机突然经常性无缘无故地死机2、发作时的现象提示一些不相干的话发出一段的音乐产生特定的图像硬盘灯不断闪烁进行游戏算法Windows桌面图标发生变化计算机突然死机或重启自动发送电子邮件鼠标自己在动2、发作时的现象提示一些不相干的话3、发作后的现象硬盘无法启动，数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密修改Autoexec.bat文件使部分可软件升级主板的BIOS程序混乱，主板被破坏网络瘫痪，无法提供正常的服务3、发作后的现象硬盘无法启动，数据丢失4、与病毒现象类似的软件故障出现“Invaliddrivespecification”(非法驱动器号)软件程序已被破坏(非病毒)软件与操作系统的兼容性引导过程故障用不同的编辑软件程序4、与病毒现象类似的软件故障出现“Invaliddriv5、与病毒现象类似的硬件故障系统的硬件配置电源电压不稳定插件接触不良软驱故障关于CMOS的问题5、与病毒现象类似的硬件故障系统的硬件配置九、计算机病毒的命名规则

CARO命名规则，每一种病毒的命名包括五个部分：病毒家族名病毒组名大变种小变种修改者CARO规则的一些附加规则包括：不用地点命名不用公司或商标命名如果已经有了名字就不再另起别名变种病毒是原病毒的子类九、计算机病毒的命名规则CARO命名规则，每一种病毒的命名精灵（Cunning）病毒是瀑布（Cascade）病毒的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。Cascade是家族名，1701是组名。因为Cascade病毒的变种的大小不一（1701,1704,1621等），所以用大小来表示组名。A表示该病毒是某个组中的第一个变种。

业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。这样，梅丽莎病毒的一个变种的命名就成了W97M.Melissa.AA，Happy99蠕虫就被称为Win32.Happy99.Worm。精灵（Cunning）病毒是瀑布（Cascade）病VGrep是反病毒厂商的一种尝试，这种方法将已知的病毒名称通过某种方法关联起来，其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。VGrep将病毒文件读入并用不同的扫描器进行扫描，扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。VGrep的参与者赞同为每一种病毒起一个最通用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用VGrep命名，这对于在世界范围内跟踪多个病毒的一致性很有帮助。VGrep是反病毒厂商的一种尝试，这种方法将已知的病毒名称通十、计算机病毒防治十、计算机病毒防治病毒防治的公理1、不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。2、不存在这样一种病毒程序，能够让未来的所有反病毒软硬件都无法检测。3、目前的反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。4、病毒产生在前，反病毒手段滞后的现状，将是一个长期的过程。病毒防治的公理1、不存在这样一种反病毒软硬件，能够防治未来产人类为防治病毒所做出的努力立体防护网络版单机版防病毒卡人类为防治病毒所做出的努力对计算机病毒应持有的态度

1.客观承认计算机病毒的存在，但不要惧怕病毒。

3.树立计算机病毒意识，积极采取预防（备份等）措施。4.掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。5.发现病毒，冷静处理。对计算机病毒应持有的态度1.客观承认计算机病毒的存在，但不目前广泛应用的几种防治技术：特征码扫描法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；目前广泛应用的几种防治技术：特征码扫描法特征码扫描法是分析出虚拟执行技术该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点：在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀

虚拟执行技术该技术通过虚拟执行方法查杀病毒，可以对付智能引擎技术

智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件2003版即采用了此项技术，使病毒扫描速度比2002版提高了一倍之多；智能引擎技术智能引擎技术发展了特征码扫描法的优点，改进计算机监控技术文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控参考：计算机监控技术文件实时监控未知病毒查杀技术

未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。未知病毒查杀技术未知病毒技术是继虚拟执行技术后的又一大压缩智能还原技术世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果被这样的工具处理后被层层包裹起来，对于防病毒软件来说，就是一个噩梦。为了使用统一的方法来解决这个问题，反病毒专家们发明了未知解压技术，它可以对所有的这类文件在内存中还原，从而使得病毒完全暴露出来。压缩智能还原技术世界上的压缩工具、打包工具、加“壳”工具多多层防御，集中管理技术反病毒要以网为本，从网络系统的角度设计反病毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护和管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。多层防御，集中管理技术反病毒要以网为本，从网络系统的角度设计病毒免疫技术病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上，最近出现的软件安全认证技术也应属于此技术的范畴，由于用户应用软件的多样性和环境的复杂性，病毒免疫技术到广泛使用还有一段距离。病毒免疫技术病毒免疫技术一直是反病毒专家研究的热点，它通过病毒防治技术的趋势前瞻加强对未知病毒的查杀能力加强对未知病毒的查杀能力是反病毒行业的持久课题，目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀，但据我们研究，国内外的产品只有少数可以对同一家族的新病毒进行预警，不能清除。目前有些公司已经在这一领域取得了突破性的进展，可以对未知DOS病毒、未知PE病毒、未知宏病毒进行防范。其中对未知DOS病毒能查到90%以上，并能准确清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能实现查杀90%.病毒防治技术的趋势前瞻加强对未知病毒的查杀能力加强对未知病毒防杀针对掌上型移动通讯工具和PDA的病毒随着掌上型移动通讯工具和PDA的广泛使用，针对这类系统的病毒已经开始出现，并且威胁将会越来越大，反病毒公司将投入更多的力量来加强此类病毒的防范。防杀针对掌上型移动通讯工具和PDA的病毒随着掌上型移兼容性病毒的防杀

目前已经发现可以同时在微软WINDOWS和日益普及的LINUX两种不同操作系统内运作的病毒，此类病毒将会给人们带来更多的麻烦，促使反病毒公司加强防杀此类病毒。兼容性病毒的防杀目前已经发现可以同时在微软WINDO蠕虫病毒和脚本病毒的防杀不容忽视

蠕虫病毒是一种能自我复制的程序，驻留内存并通过计算机网络复制自己，它通过大量消耗系统资源，最后导致系统瘫痪。给人们带来了巨大的危害，脚本病毒因为其编写相对容易正成为另一种趋势，这两类病毒的危害性使人们丝毫不能忽视对其的防杀。蠕虫病毒和脚本病毒的防杀不容忽视蠕虫病毒是一种能自我复十一、杀毒软件及评价十一、杀毒软件及评价病毒查杀能力对新病毒的反应能力对文件的备份和恢复能力实时监控功能及时有效的升级功能智能安装、远程识别功能界面友好、易于操作对现有资源的占用情况（一）杀毒软件必备功能

病毒查杀能力（一）杀毒软件必备功能系统兼容性软件的价格软件商的实力系统兼容性（二）国内外杀毒软件及市场金山毒霸、瑞星杀毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。（二）国内外杀毒软件及市场金山毒霸、瑞星杀毒、KV3000、《电脑报》2008评测结果《电脑报》2008评测结果AV-Test2007年5月排名AV-Test2007年5月排名十二、解决方案和策略十二、解决方案和策略企业网络中的病毒漏洞FileServerMailServerClientInternetGatewayFirewallInternet

企业网络基本结构

网关（Gateway)

服务器（Servers)

邮件服务器文件/应用服务器客户端（clients)企业网络中的病毒漏洞FileServ趋势整体防病毒解决方案FirewallInternetFileServerClientInternetGatewayInterScanVirusWallServerProtectforNT

forNetWareCentralControlTVCSMailServerScanMailforExchange

forLotusNotesOfficeScanClientsOfficeScanServerOfficeScanServer趋势整体防病毒解决方案

1网关级解决方案InterScanViruswall

2服务器级解决方案

邮件服务器ScanMail

forExchange/forNotes

文件服务器ServerProtect

forNT/Netware3客户端解决方案OfficeScan4集中管理系统解决方案TVCS

(TrendVirusControlSystem)趋势整体防病毒解决方案FirewallInt防病毒策略1、建立病毒防治的规章制度，严格管理；

2、建立病毒防治和应急体系；

3、进行计算机安全教育，提高安全防范意识；

4、对系统进行风险评估；

5、选择经过公安部认证的病毒防治产品；

6、正确配置，使用病毒防治产品；

防病毒策略1、建立病毒防治的规章制度7、正确配置系统，减少病毒分侵害事件；

8、定期检查敏感文件；

9、适时进行安全评估，调整各种病毒防治策略；

10、建立病毒事故分析制度；

11、确保恢复，减少损失；7、正确配置系统，减少病毒分侵害事件；十三、国内外病毒产品的技术发展态势十三、国内外病毒产品的技术发展态势国内外反病毒公司在反病毒领域各有所长国内外产品竞争激烈

随着中国信息化进程的深入开展，多家国际反病毒公司均加大了对中国市场的力度；国内反病毒企业发展势头强劲

国内的瑞星、江民等公司都引进了一些国外技术；国内外反病毒公司在反病毒领域各有所长国内外产品竞争激烈反病毒服务是竞争关键要推动企业信息安全建设、并从根本上改变国内信息安全现状，建立健全的服务体系是关键。我们相信人类受到病毒侵害及由此带来的损失将逐步减少，国内反病毒行业在政府的规范和用户的支持下将取得更好的成绩！反病毒服务是竞争关键要推动企业信息安全建设、并从根本相关资源1.Wildlist国际组织该网站维护世界各地发现的病毒列表。网站负责维护这个列表，并且按月打包供用户下载。此外，网站上还有一些计算机病毒方面的学术论文。2.病毒公告牌对于任何关心恶意代码和垃圾信息防护、检测和清除的人来说，病毒公告在线杂志是一个必不可少的参考。逐日逐月地，病毒公告牌提供如下信息：1)来自于反恶意代码业界的发人深省的新闻和观点2)最新恶意代码威胁的详细分析3)探索反恶意代码技术开发的长篇文档4)反恶意代码专家的会见5)对当前反病毒产品的独立评测6)覆盖垃圾邮件和反垃圾邮件技术的月报相关资源1.Wildlist国际组织3.29A病毒技术组织/29a/这个网站包含病毒、木马和其他一些能够破坏计算机系统安全的软件。29A的成员对病毒技术特别感兴趣，用户可以从这里学到病毒制作技术。该网站是黑客不可或却的学习网站。4.亚洲反病毒研究者协会(AVAR)AVAR(亚洲反病毒研究者协会)成立于1998年6月。协会的宗旨是预防计算机病毒的传播和破坏，促进亚洲的反病毒研究者间建立良好的合作关系。该协会是独立的、非盈利性组织，主要面向的对象是亚太地区。本协会有来自以下国家和地区资深的反病毒专家：澳大利亚、中国、中国香港、印度、日本、韩国、菲律宾、新加坡、中国台北、英国以及美国。我们的独立性保证了我们能在对抗计算机病毒的过程中发挥重要的作用，同时会提醒人们对计算机安全的警惕性。AVAR的主要工作包括：1)组织和承办以反病毒为主题的AVAR年会和论坛2)在AVAR网站上提供亚洲的计算机病毒事件的信息3)通过邮件的形式在AVAR的成员中建立邮件列表，并在会员中交换意见与信息

3.29A病毒技术组织5.国家计算机病毒应急处理中心网站主要内容是病毒流行列表、病毒SOS求救、数据恢复等。6.病毒观察网站主要内容包括病毒预报、新闻、评论、相关法规、反病毒资料、安全漏洞、密码知识、病毒百科在线检索等。5.国家计算机病毒应急处理中心7.中国绿盟;网站内容包括安全论坛、安全文献、系统工具、工具介绍等。8.安全焦点网站内容包括安全文献、安全工具、安全漏洞、焦点论坛等。7.中国绿盟9.病毒资讯网网站主要内容包括黑客频道、防毒技巧、网络安全新闻、病毒新闻等。10.国际计算机安全联合会(ICSA-InterNationalComputerSecwrityAssociation)/如要对Internet的安全问题感兴趣,你可以访问国家计算机安全联合会(NCSA)的站点。这里会看到很多关于国家计算机安全联合会各种活动的信息,包括会议,培训、产品认证和安全警告等。在这里你可以了解到国际知名的病毒防治软件登记请况。9.病毒资讯网第二章计算机病毒理论模型第二章计算机病毒理论模型本章学习目标掌握计算机病毒的抽象描述掌握基于图灵机的计算机病毒模型掌握基于递归函数的计算机病毒模型掌握网络蠕虫传播模型掌握计算机病毒预防理论模型本章学习目标掌握计算机病毒的抽象描述虚拟案例一个文本编辑程序被病毒感染了。每当使用文本编辑程序时，它总是先进行感染工作并执行编辑任务，其间，它将搜索合适文件以进行感染。每一个新被感染的程序都将执行原有的任务，并且也搜索合适的程序进行感染。这种过程反复进行。当这些被感染的程序跨系统传播，被销售，或者送给其他人时，将产生病毒扩散的新机会。最终，在1990年1月1日以后，被感染的程序终止了先前的活动。现在，每当这样的一个程序执行时，它将删除所有文件。虚拟案例一个文本编辑程序被病毒感染了。每当使用文本编辑程序时计算机病毒伪代码{main:= Callinjure; … Callsubmain; … Callinfect;}{injure:= Ifconditionthenwhateverdamageistobedoneandhalt;}{infect:= Ifconditiontheninfectfiles;}计算机病毒伪代码{main:=案例病毒的伪代码{main:= Callinjure; Callsubmain; Callinfect;}{injure:= Ifdate>=Jan.1,1990then Whilefile!=0 File=get-random-file; Deletefile; Halt;}案例病毒的伪代码{main:={infect:= Iftruethen File=get-random-executable-file; Renamemainroutinesubmain; Prependselftofile;}{infect:=精简后的伪代码(压缩或变型){main:= Callinjure; Decompresscompressedpartofprogram; Callsubmain; Callinfect;}{injure:= Iffalsethenhalt;}精简后的伪代码(压缩或变型){main:={infect:=Ifexecutable!=0thenFile=get-random-executable-file;Renamemainroutinesubmain;Compressfile;Prependselftofile;

}{infect:=病毒伪代码的共同性质1．对于每个程序，都存在该程序相应的感染形式。也就是，可以把病毒看作是一个程序到一个被感染程序的映射。2．每一个被感染程序在每个输入（输入是指可访问信息，例如，用户输入，系统时钟，数据或程序文件等）上形成如下3个选择：病毒伪代码的共同性质1．对于每个程序，都存在该程序相应的感染破坏(Injure)：不执行原先的功能，而去完成其它功能。何种输入导致破坏以及破坏的形式都与被感染的程序无关，而只与病毒本身有关。传染(Infect)：执行原先的功能，并且，如果程序能终止，则传染程序。对于除程序以外的其它可访问信息（如时钟、用户/程序间的通信）的处理，同感染前的原程序一样。另外，不管被感染的程序其原先功能如何（文本编辑或编译器等），它传染其它程序时，其结果是一样的。也就是说，一个程序被感染的形式与感染它的程序无关。模仿(Imitate)：既不破坏也不传染，不加修改地执行原先的功能。这也可看作是传染的一个特例，其中被传染的程序的个数为零。破坏(Injure)：不执行原先的功能，而去完成其它功能。何基于图灵机的计算机病毒的计算模型基本图灵机(TM)图灵机的经典问题：图灵机停机问题图灵机存在不可计算数基于图灵机的计算机病毒的计算模型基本图灵机(TM)随机访问计算机（RandomAccessMachine——RAM）ENIAC随机访问计算机（RandomAccessMachine随机访问存储程序计算机（RamdomAccessStoredProgramMachine,RASPM）随机访问存储程序计算机（RamdomAccessStor包含后台存储带的随机访问存储程序计算机(TheRandomAccessStoredProgramMachinewithAttachedBackgroundStorage,RASPM_ABS)现在的计算机包含后台存储带的随机访问存储程序计算机(TheRandom基于RASPM_ABS的病毒计算机病毒被定义成程序的一部分，该程序附着在某个程序上并能将自身链接到其他程序上。当病毒所附着的程序被执行时，计算机病毒的代码也跟着被执行。基于RASPM_ABS的病毒1.病毒的传播模型如果病毒利用了计算机的一些典型特征或服务，那么病毒的这种传播方式被称作专用计算机的传播方式。如果病毒在传播时没有利用计算机的服务，那么此传播方式被称为独立于计算机的传播方式。PC中，引导型病毒就具有专用计算机的传播方式感染C源文件的病毒就是具有独立计算机的传播方式1.病毒的传播模型2.少态型病毒和多态型病毒当有两个程序被同样的病毒以指定传播方式感染，并且病毒程序的代码顺序不同时，这种传播方式称为少形态的。当有两个程序被同样的病毒以指定传播方式感染，并且病毒程序的代码顺相同但至少有一部分病毒代码被使用不同的密钥加密时，这种传播方式称为多形态的。2.少态型病毒和多态型病毒多态型病毒的实现要比少态型病毒的实现复杂得多，它们能改变自身的译码部分。例如，通过从准备好的集合中任意选取译码程序。该方法也能通过在传播期间随即产生程序指令来完成。例如，可以通过如下的方法来实现：改变译码程序的顺序；处理器能够通过一个以上的指令（序列）来执行同样的操作；向译码程序中随机地放入哑命令（DummyCommand）。多态型病毒的实现要比少态型病毒的实现复杂得多，它们能改变自身3.病毒检测的一般问题如果存在着某一能够解决病毒检测问题的算法，那么就能通过建立图灵机来执行相应的算法。不幸的是，即使在最简单的情况下，我们也不可能制造出这样的图灵机。定理：不可能制造出一个图灵机，利用该计算机，我们能够判断RASPM_ABS中的可执行文件是否含有病毒。3.病毒检测的一般问题4.病毒检测方法如果我们只涉及一些已知病毒的问题，那么就可能简化病毒检测问题。在此情况下，可以将已知病毒用在检测算法上。我们从每个已知病毒提取一系列代码，当病毒进行传播时，它们就会在每个被感染了的文件中显示出来。我们将这一系列代码成为序列。病毒检测程序的任务就是在程序中搜寻这些序列。4.病毒检测方法检测多态型病毒的难点不能确定多态型病毒是否含有某些序列，能够通过这些序列可以检测病毒的所有变异。当发现序列是随机的时，不知道发生错误报警的概率。发现任意序列的概率：N表示一个序列的长度；M表示序列的总个数；用L(L>>N)表示被检测文件的总长度；n是字符集大小（对应二进制为16）该采用什么样的费用标准来衡量序列搜寻算法的实现。检测多态型病毒的难点基于递归函数的计算机病毒的数学模型Adlemen给出的计算机病毒形式定义：（1）S表示所有自然数有穷序列的集合。（2）e表示一个从S╳S到N的可计算的入射函数，它具有可计算的逆函数。（3）对所有的s,t∈S,用<s,t>表示e（s,t）。（4）对所有部分函数f：N→N及所有s,t∈S,用f(s,t)表示f(<s,t>)。（5）e′表示一个从N╳N到N的可计算的入射函数，它具有可计算的逆函数，并且对所有i,j∈N，e′(i,j)≥i。基于递归函数的计算机病毒的数学模型Ad（6）对所有i,j∈N，<i,j>表示e′(i,j)。（7）对所有部分函数f：N→N及所有i,j∈N,f(i,j)表示f(<i,j>)。（8）对所有部分函数f：N→N及所有n∈N,f(n)↓表示f(n)是有定义的。（9）对所有部分函数f：N→N及所有n∈N,f(n)↑表示f(n)是未定义的。（6）对所有i,j∈N，<i,j>表示e′(i,j)。Adlemen病毒模型有如下缺陷：⑴计算机病毒的面太广。不具传染性的也当作病毒⑵定义并没有反映出病毒的传染特性。⑶定义不能体现出病毒传染的传递特性。⑷“破坏”的定义不合适。原程序功能保留不明确Adlemen病毒模型有如下缺陷：⑴计算机病毒的面太广Internet蠕虫传播模型SI(Susceptible[易受感染的]-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed)Internet蠕虫传播模型SI(Susceptible[易SIS模型和SI模型某种群中不存在流行病时，其种群（N）的生长服从微分系统。其中表示t时刻该环境中总种群的个体数量，表示种群中单位个体的生育率，d表示单位个体的自然死亡率。

SIS模型和SI模型某种群中不存在流行病时，其种群（N）的生有疾病传播时的模型S，I分别表示易感者类和染病者类β表示一个染病者所具有的最大传染力r表示疾病的恢复力d表示自然死亡率a表示额外死亡率有疾病传播时的模型流行病的传播服从双线形传染率的SIS模型总种群的生长为：在SIS模型中，当a=0时，该模型变为SI模型。流行病的传播服从双线形传染率的SIS模型在SIS模型中，当aSIR模型两个假设：已被病毒感染的文件（档）具有免疫力。病毒的潜伏期很短，近似地认为等于零。把系统中可执行程序分为三种：被传播对象，即尚未感染病毒的可执行程序，用S(t)表示其数目。带菌者，即已感染病毒的可执行程序，用p(t)表示其数目。被感染后具有免疫力的可执行程序，也包括被传播后在一定时间内不会运行的可执行程序（相当患病者死去），用R(t)表示其数目。SIR模型λ表示传播（感染）速度；表示每个时间段接触次数；ｕ表示第Ⅱ类程序变成第Ⅲ类程序的速度；公式的解释：⑴S(t)的变化率即经第Ⅰ类程序变成第Ⅱ类程序的变化率，它与传染者和被传染者之间的接触次数有关，并且正比于这两类文件的乘积。 ⑵R(t)的变化率即第Ⅱ类程序变成第Ⅲ类程序的变化率，与当时第Ⅱ类的可执行程序数目成正比。⑶在考虑的时间间隔内，系统内可执行程序的总数变化不大，并且假设它恒等于常数（即没有文件被撤消，也没有外面的新文件进来），从而可执行程序总数的变化率为零。计算机病毒及其防范技术课件计算机病毒及其防范技术课件预防理论模型Fred.Cohen”四模型”理论(1)基本隔离模型该模型的主要思想是取消信息共享，将系统隔离开来，使得计算机病毒既不能从外部入侵进来，也不可能把系统内部的病毒扩散出去。(2)分隔模型将用户群分割为不可能互相传递信息的若干封闭子集。由于信息处理流的控制，使得这些子集可被看作是系统被分割成的相互独立的子系统，使得计算机病毒只能感染整个系统中的某个子系统，而不会在子系统之间进行相互传播。预防理论模型Fred.Cohen”四模型”理论(3)流模型对共享的信息流通过的距离设定一个阀值，使得一定量的信息处理只能在一定的区域内流动，若该信息的使用超过设定的阀值，则可能存在某种危险。(4)限制解释模型即限制兼容，采用固定的解释模式，就有可能不被计算机病毒感染。(3)流模型类IPM模型把计算机程序或磁盘文件类比为不断生长变化的植物。把计算机系统比作一个由许多植物组成的田园。把计算机病毒看成是侵害植物的害虫。把计算机信息系统周围的环境看作农业事物处理机构。类IPM模型把计算机程序或磁盘文件类比为不断生长变化的植物。农业上的IPM(IntegratedPestManagement)模型实质上是一种综合管理方法。它的基本思想是：一个害虫管理系统是与周围坏境和害虫种类的动态变化有关的。它以尽可能温和的方式利用所有适用技术和措施治理害虫，使它们的种类维持在不足以引起经济损失的水平之下。农业上的IPM(IntegratedPestManage第三章计算机病毒结构分析第三章计算机病毒结构分析本章学习目标掌握计算机病毒的结构掌握计算机病毒的工作机制了解各种计算机病毒技术本章学习目标掌握计算机病毒的结构一、计算机病毒的结构和工作机制

四大模块：感染模块触发模块破坏模块（表现模块）引导模块（主控模块）两个状态：静态动态一、计算机病毒的结构和工作机制四大模块：工作机制工作机制引导模块引导前——寄生寄生位置：引导区可执行文件寄生手段：替代法（寄生在引导区中的病毒常用该法）链接法（寄生在文件中的病毒常用该法）引导模块引导前——寄生引导过程驻留内存窃取系统控制权恢复系统功能引导区病毒引导过程搬迁系统引导程序-〉替代为病毒引导程序启动时-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术最后，转向系统引导程序-〉引导系统引导过程文件型病毒引导过程修改入口指令-〉替代为跳转到病毒模块的指令执行时-〉跳转到病毒引导模块-〉病毒引导模块-〉加载传染、破坏和触发模块到内存-〉使用常驻技术最后，转向程序的正常执行指令-〉执行程序文件型病毒引导过程感染模块病毒传染的条件被动传染（静态时）用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。主动传染（动态时）以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。感染模块病毒传染的条件传染过程系统（程序）运行-〉各种模块进入内存-〉按多种传染方式传染传染方式立即传染，即病毒在被执行的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序。驻留内存并伺机传染，内存中的病毒检查当前系统环境，在执行一个程序、浏览一个网页时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机。传染过程文件型病毒传染机理首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒；当条件满足时，将病毒链接到文件的特定部位，并存入磁盘中；完成传染后，继续监视系统的运行，试图寻找新的攻击目标。文件型病毒传染途径加载执行文件浏览目录过程创建文件过程

文件型病毒传染机理破坏模块破坏是Vxer的追求，病毒魅力的体现破坏模块的功能破坏、破坏、还是破坏……破坏对象系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。破坏的程度破坏模块破坏是Vxer的追求，病毒魅力的体现触发模块触发条件计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡大范围的感染行为、频繁的破坏行为可能给用户以重创，但是，它们总是使系统或多或少地出现异常，容易使病毒暴露。而不破坏、不感染又会使病毒失去其特性。可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。触发模块触发条件病毒常用的触发条件日期触发时间触发键盘触发感染触发例如，运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。启动触发访问磁盘次数触发CPU型号/主板型号触发病毒常用的触发条件日期触发二、常见计算机病毒的技术特征

驻留内存病毒变种EPO（EntryPointObscuring）技术抗分析技术（加密、反跟踪）隐蔽性病毒技术多态性病毒技术

插入型病毒技术超级病毒技术破坏性感染技术网络病毒技术二、常见计算机病毒的技术特征驻留内存1驻留内存:DOSTSRDOS系统区内存控制块（MCB）内存块1为病毒分配的内存块内存块2为病毒分配一块内存高端内存区域视频内存块中断向量表空闲区域病毒代码空闲区域空闲区域空闲区域DOS病毒驻留内存位置示意图1驻留内存:DOSTSRDOS系统区内存控制块（MCB）1驻留内存：引导区病毒的内存驻留

大小在1K或者几K为了避免用户可以很容易的觉察到系统可用内存的减少，一些病毒会等待DOS完全启动成功，然后使用DOS自己的功能分配内存。不用考虑重载。1驻留内存：引导区病毒的内存驻留大小在1K或者几K1驻留内存：Windows环境下病毒的内存驻留三种驻留内存的方法由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口（可能是隐藏的）、拥有自己的消息处理函数；另外一种方法是使用DPMI申请一块系统内存，然后将病毒代码放到这块内存中；第三种方法是将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在WinNT／Win2000下的设备驱动程序WDM加载到内存中运行。

1驻留内存：Windows防止重载的方法传统的防止重入方法禁止启动两个实例对于VXD病毒静态加载时，病毒会在“SYSTEM.INI”文件中包含加载设备驱动程序的一行信息；动态加载时，可能使用某些英特尔CPU的一些特殊状态位来表示病毒是否存在于内存中（CIH病毒就采用了这种方法）。防止重载的方法1驻留内存：宏病毒的内存驻留方法病毒随着宿主程序而被加载并且一直存在于系统中，所以从某种意义上，宏病毒都是内存驻留病毒。宏病毒通过检测自己的特征防止重入。1驻留内存：宏病毒的内存驻留方法病毒随着宿主程序而被加载并2病毒变种变形变种——〉新品种两种方式：手工变种自动变种（MutationEngine：变形机）保加利亚DarkAvenger的变形机VCS（病毒构造工具箱，VirusConstructionSet）GenVirVCL（病毒制造实验室，VirusCreationLaboratory）PS-MPC（Phalcon-SkismMass-ProducedCodeGenerator）NGVCK（下一代病毒机，NextGenerationVirusCreationKit）VBS蠕虫孵化器2病毒变种变形变种分类第一类，具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码及其相对空间的排列位置是不变动的。这里称其为一维变形病毒。第二类，除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置）也是变化的，有的感染文件的字节数不定。这里称其为二维变形病毒。变种分类第一类，具备普通病毒所具有的基本特性，然而，病毒每感第三类，具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。例如，在某台机器中，病毒的一部分可能藏在机器硬盘的主引导区中，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏等等。在另一台被感染的机器内，病毒可能又改变了其潜藏的位置。这里称其为三维变形病毒。第四类，具备三维变形病毒的特性，并且，这些特性随时间动态变化。例如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。这里称其为四维变形病毒。第三类，具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，3EPO（EntryPointObscuring）技术为什么要采用EPO技术呢？杀毒技术提高〉防止被发现〉EPO实现方法：最早的EPO通过改变程序入口处的代码实现的。简单但无用把宿主程序的任意位置的指令替换为跳转语句。难点在于定位一个完整的指令（类似于一个反编译器）3EPO（EntryPointObscuring）技术如果在一段代码中有一条指令：228738fdff15eb0f107d

call

[7d100febh]

把它替换成新的指令Call[Addressofvirus]

在病毒体内还要再次调用Call[7d100febh]来完成宿主程序的功能。代码如下：dwff15h;ff15eb0f107d的前缀

backaddrdd0;存放ff15eb0f107d的后缀，这个后缀是变化的在病毒代码中，把backaddr的值动态的改为Call[7d100febh]指令编译后的后缀。如果在一段代码中有一条指令：4抗分析技术加密技术：这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。反跟踪技术：使得分析者无法动态跟踪病毒程序的运行。Win95.Flagger病毒4抗分析技术加密技术：这是一种防止静态分析的技术，使得分析4抗分析技术：自加密技术数据加密（信息加密）例如：6.4计算机病毒就是这样处理的，计算机病毒发作时将在屏幕上显示的字符串被用异或操作的方式加密存储。1575病毒加密数据文件。加密文件名COMMAND.COM病毒代码加密ChineseBomb把宿主程序前6个字节加密并转移位置。1701/1704用宿主程序的长度作为密钥加密代码。4抗分析技术：自加密技术数据加密（信息加密）4抗分析技术：反跟踪技术DOS下，修改int0-3