计算机病毒防治 课件

1计算机病毒的定义2计算机病毒的特点3计算机病毒的分类4计算机病毒的介绍5计算机病毒的对抗技术主要内容计算机病毒与对抗1.计算机病毒的定义 1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。”此定义具有法律效力和权威性。计算机病毒的定义从其产生发展至今逐渐有了质的变化，如今的病毒结合各类技术向多方面发展，基本上可以说只要对计算机系统、计算机网络有不良影响的行为都能称得上是计算机病毒，简言之：恶意代码就是计算机病毒。

广义上的计算机病毒还包括：蠕虫、木马、后门、流氓软件、间谍软件、广告软件、黑客工具等。计算机病毒的特点

2.1破坏性

2.2隐蔽性

2.3潜伏性

2.4传染性

2.5不可预见性2.计算机病毒的特点2.4传染性

对大多数计算机病毒，传染是它的一个重要特点。它用过修改别的程序，并把自身的副本包括进去，从而达到扩散的目的。病毒能将自身的代码强行传染到一切符合其传染条件的未感染的文件，而且还可以通过各种可能的渠道感染其他计算机。2.5不可预见性

从病毒检测技术来看，病毒还有不可预见性，不同种类病毒，其代码千差万别，有的正常的程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术，甄别起来更是困难，再加上病毒的制作技术也在不断的提高，所以病毒对反病毒软件永远是超前的。

2.计算机病毒的特点1．按其破坏性分类可分为：良性病毒和恶性病毒。2．按照病毒的功能进行分类可分为：感染性病毒、蠕虫、木马、Backdoor、VirusTools工具等。3．按照病毒链接方式分类可分为：源码型、嵌入型、操作系统型和外壳型病毒。4．按寄生方式可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。5．其他一些分类方式按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击的机型。3计算机病毒的分类计算机病毒的工作机理

1．计算机病毒的结构

计算机病毒在结构上有着共同性，一般由引导模块、传染模块、表现（破坏）模块3部分组成。必须指出的是，不是任何病毒都必须包含这3个模块。

2．计算机病毒的工作机理

因为计算机病毒的传染和发作需要使用一些系统函数及硬件，而后者往往在不同的平台上是各不相同的，因此大多数计算机病毒都是针对某种处理器和操作系统编写的。我根据病毒的寄生方式分类介绍病毒。4计算机病毒的介绍常见的恶意代码（广义的病毒定义）

4计算机病毒的介绍恶意代码分类示意图引导型病毒的工作机理

引导扇区是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引导指令对于操作系统的装载起着十分重要的作用。一般来说，引导扇区在CPU的运行过程中最先获得对CPU的控制权，病毒一旦控制了引导扇区，也就意味着病毒控制了整个计算机系统。

引导型病毒程序会用自己的代码替换原始的引导扇区信息，并把这些信息转移到磁盘的其他扇区中。当系统需要访问这些引导数据信息时，病毒程序会将系统引导到存储这些引导信息的新扇区，从而使系统无法发觉引导信息的转移，增强了病毒自身的隐蔽性。4计算机病毒的介绍磁盘硬盘引导区病毒感染引导指令引导区引导指令文件型病毒的工作机理

当今，绝大多数的文件型病毒都属于Win32PE病毒，我来介绍一下Win32PE病毒的原理。一般来说，病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下：①用户点击或系统自动运行HOST程序；②装载HOST程序到内存；③通过PE文件中的AddressOfEntryPoint+ImageBase，定位第一条语句的位置(程序入口)；④从第一条语句开始执行(这时执行的其实是病毒代码)；⑤病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码；⑥HOST程序继续执行。4计算机病毒的介绍4.3混合病毒混合型病毒是指那些既可以对引导区进行感染也可以对文件进行感染的病毒。这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入电脑，用时使用了加密和变形技术，所以这类病毒清除的难度更大。具体的技术我在后面部门简述。4计算机病毒的介绍4.4网络病毒网络病毒是指通过计算机网络传播或感染网络中和网络上计算机文件的病毒。它不再只是靠移动式存储载体，而是网络通道。这种病毒的传染力更大，破坏力更强。例如蠕虫病毒和木马病毒等。

随着互联网和无线互联网日趋完善，病毒的技术和攻击目的也更加多样，好多病毒的功能越来越多元化，集成化，智能化。4计算机病毒的介绍4.4.1特洛伊木马

（1）木马病毒概述“特洛伊木马”的英文名称为TrojanHorse（其名称取自希腊神话的《特洛伊木马记》），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它的破坏性是隐蔽的。计算机中的木马是一种基于远程控制的黑客工具，采用客户机/服务器（c/s）工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用户的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动攻击。木马的控制端和被控制端通过网络进行交互。4计算机病毒的介绍（2）木马的特点木马具有隐蔽性和非授权性的特点。所谓隐蔽性，是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马。这样，被控制端即使发现感染了木马，也不能确定其准确的位置。所谓非授权性，是指一旦控制端与被控制端连接后，控制端将享有被控制端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是被控制端赋予的，而是通过木马程序窃取的。4计算机病毒的介绍（3）木马的工作过程

木马对网络主机的入侵过程，可大致分为6个步骤。配置木马（制造者）传播木马（制造者上传，用户下载）运行木马（用户运行）信息泄露（病毒程序）连接建立（病毒程序）远程控制（病毒程序）

4计算机病毒的介绍4.4.2蠕虫病毒（1）蠕虫的定义蠕虫病毒和普通病毒有着很大的区别。普通病毒主要是感染文件和引导区，而蠕虫则是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计算机。在破坏性上，蠕虫病毒也不是普通病毒所能比的，网络的发展使得蠕虫可以在短短的时间内蔓延到整个网络，造成网络瘫痪。4计算机病毒的介绍4计算机病毒的介绍蠕虫病毒与一般病毒的区别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机(3)蠕虫的传播

蠕虫程序的一般传播过程如下：（1）扫描。由蠕虫的扫描功能模块负责收集目标主机的信息，寻找可利用的漏洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机，探测主机的操作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。（2）攻击。攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权限（一般为管理员权限），获得一个Shell。（3）复制。复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并启动。

4计算机病毒的介绍4.5宏病毒

为了减少用户的重复劳作，例如进行相似的操作，Office提供了一种所谓宏的功能。利用这个功能，用户可以把一系列的操作记录下来，作为一个宏。之后只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便了普通的计算机用户，另一方面却也给病毒制造者提供了可乘之机。宏病毒是一种专门感染Office系列文档的恶性病毒。1995年，世界上发现了第一个宏病毒Concept。由于宏的编程语言VBA简单易学，因此大量的宏病毒层出不穷，短短两年时间其数量就上升至20000多种!4计算机病毒的介绍（1）病毒的隐藏技术5计算机病毒的对抗技术（1）病毒文件的隐藏技术用户态文件隐藏用户态HOOK（主要为IAT钩子）挂钩API两个函数：FindFirstFile和FindNextFile内核态文件隐藏核心态HOOK（主要为SSDT钩子）挂钩API一个函数：ZwQueryDirectoryFile5计算机病毒的对抗技术（2）病毒文件的花指令

一个没有任何防护措施的程序，很容易被完整地静态反汇编出来。为了达到迷惑破解者的目的，病毒作者往往在程序中加入花指令。这不仅仅用在计算机病毒中以防止被轻易分析出其病毒结构和原理，它也常常用在很多正常的软件中，以防止遭到非法破解。所谓花指令就是在我们的程序之间加入一些似乎没有什么意义的代码，这些代码不会妨碍程序的正常低运行，但是在静态反汇编时，去会让原本正常的代码解释成难以读懂甚至有些怪异的汇编代码。5计算机病毒的对抗技术（4）加壳技术壳是一种专用的加密软件，现在越来越多的软件都是用加壳保护。在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序，它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权还给原始程序，执行原来的代码部分。这段程序就是“壳”。病毒同样运用了这个技术来防止程序被静态反编译。

5计算机病毒的对抗技术（5）特征码定位特征码识别是杀毒软件查杀病毒的重要手段之一。病毒在特征码就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。

特征码定位的原理就是使用特定的字符，每次修改原文件部分内容，然后将新生成的所有文件交给杀毒软件扫描，如果原文件的特征码部分被修改了，这个新生成的文件就无法被杀毒软件扫描出来。因此就可以找到原文件的特征码在哪个位置，然后病毒的编写者针对相应位置进行修改。

5计算机病毒的对抗技术（6）反调试技术反虚拟分析环境反调试抗动态启发式扫描

5计算机病毒的对抗技术5.2计算机病毒对抗技术（1）病毒的检测技术（多用于杀毒软件）（2）病毒发现与清除（多用于手动查杀）5计算机病毒的对抗技术（1）病毒的检测技术（多用于杀毒软件）特征值检测技术校验和检测技术启发式扫描技术虚拟机技术主动防御技术5计算机病毒的对抗技术（1）病毒的检测技术（多用于杀毒软件）特征值检测技术计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号，是指病毒在传染宿主程序时，首先判断该病毒欲传染的宿主是否已染有该病毒，按照特定的偏移量从文件中提出的特征值。校验和检测技术

校验和技术是冗余校验的一种形式，一般在数据通信和数据处理时用来校验一组数据的完整性。其原理就是当等校验的数据发生改变是，重新生成的校验和就会发生变化。5计算机病毒的对抗技术（1）病毒的检测技术（多用于杀毒软件）启发式扫描技术启发式扫描技术是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染病。病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如：非常规读写文件，终结自身，非常规切入等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。虚拟机技术很多杀毒软件厂商引入了虚拟机的概念，让病毒程序虚拟执行解密出的病毒体并暴露病毒的行为，反病毒虚拟机控制着病毒的每条指令的执行，等到病毒执行到特定的位置进行查毒和清毒的操作。5计算机病毒的对抗技术（1）病毒的检测技术（多用于杀毒软件）主动防御技术主动防御技术是近几年反病毒厂商所采用的新技术之一，特指对计算机病毒的行为进行分析来实现的检测技术。主动防御技术是基于程序文件特征和程序行为自主分析判断的实时防护技术。

应用层的应用程序执行的功能最终都要通过SSDT表转到内核层实现。只要将SSDT表中的内核API地址替换成我们自己的函数地址，这样就可以拦截用户层的API调用了，还可以根据条件拒绝API的调用，从而实现病毒行为的阻止。这就是我之前说的SSDTHOOK技术。5计算机病毒的对抗技术（2）病毒的发现与清除（多用于手动查杀）手动查杀的时机与目的（对于非专业人士）：在没有杀毒软件或是杀毒软件被干掉的情况下感染的病毒计算机需要手动查杀，目的是为了结束病毒的运行和控制，是杀毒软件可以正常安装或运行，最终查杀还是需要交给专业的杀毒软件。病毒行为分析：虚拟机(vmware)+反病毒小工具。反病毒小工具：IDA（反汇编）、ProcessMonitor（监控文件，注册表，端口、进程）、xuetr（手杀辅助工具）、Iceword（手杀辅助工具）。5计算机病毒的对抗技术5.3病毒预防

1．使用正版软件

2．从可靠渠道下载软件

3．安装防病毒软件、防火墙等防病毒工具，准备一套具有查毒、防毒、杀毒及修复系统的工具软件，并定期对软件进行升级、对系统进行查毒。

4．对电子邮件提高警惕

5．经常对系统中的文件进行备份

6．安装系统还原软件，定期做好备份5计算机病毒的对抗技术

7．开机时使用本地硬盘

8．做好系统配置

9．尽量做到专机专用

10．新购置的计算机软件或硬件也要先查毒再使用

11．使用复杂的密码

12．注意自己的机器最近有无异常

13．了解一些病毒知识

5计算机病毒的对抗技术5.4病毒防治软件介绍常用病毒防治软件简介

（1）国际品牌级①卡巴斯基（俄罗斯）②赛门铁克（美国）③NOD32（斯洛伐克）

（2）国产品牌级

奇虎360金山瑞星江民5计算机病毒的对抗技术5.5计算机病毒的发展趋势

1．病毒的网络化

2．病毒功能的综合化

3．传播途径的多样化

4．病毒的多平台化

5．攻击对象趋于混合型

6．使用反跟踪技术

5计算机病毒的对抗技术7．增强隐蔽性病毒通过各种手段，尽量避免出现容易使用户产生怀疑的病毒感染特征。

（1）避开修改中断向量值。（2）请求在内存中的合法身份。（3）维持宿主程序的外部特性。（4）不使用明显的感染标志。

8．进行加密技术处理

（1）对程序段进行动态加密。（2）对显示信息进行加密。（3）对宿主程序段进行加密。

9．病毒不断繁衍不同变种5计算机病毒的对抗技术小结

计算机病毒防治是信息系统安全的一个重要方面，了解病毒的发展历史、病毒特点、分类等基本知识，理解病毒的作用机理，掌握基本的病毒检查、清除方法和防治管理措施，对于构建安全的信息系统、减小病毒所造成的损失具有积极的作用。

计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。它具有发生侵害的主动性、传染性、隐蔽性、表现性、破坏性、难确定性等特