计算机安全技术第章七

第七章计算机病毒及防范小到个人，大到全世界，凡是在使用计算机的人无一不在受计算机病毒的困扰。对于那些侥幸未受病毒骚扰的人，也不能麻痹大意。对于计算机病毒，最好还是能防患于未然！为了能更好地做好防范工作，我们必须了解它的工作原理、传播途径、表现形式，同时必须掌握它的检测、预防和清除方法。

7-1计算机病毒基础知识

7-1-1计算机病毒的定义

在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。此定义具有法律性、权威性。

7-1-2计算机病毒的历史

1949年，距离第一部商用计算机的出现还有好几年时，计算机的先驱者冯·诺依曼在他的一篇论文《复杂自动机组织论》，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来。十年之后，在美国电话电报公司(AT&T)的贝尔实验室中，三个年轻程序员道格拉斯·麦耀莱、维特·维索斯基和罗伯·莫里斯在工作之余想出一种电子游戏叫做“磁芯大战”，而它成了计算机病毒的祖先。

7-1-2计算机病毒的历史（续）1977年夏天，托马斯·捷·瑞安的科幻小说《P-1的青春》中，作者幻想了世界上第一个计算机病毒，可以从一台计算机传染到另一台计算机，最终控制了7000台计算机，酿成了一场灾难，这是计算机病毒的思想基础。1983年11月3日，弗雷德·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼将它命名为计算机病毒，并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。

7-1-2计算机病毒的历史（续）1987年10月，在美国，世界上第一例计算机病毒（Brian）发现，这是一种系统引导型病毒。它以强劲的执着蔓延开来。世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。1988年11月3日，美国康乃尔大学23岁的研究生罗伯特·莫里斯将计算机病毒蠕虫投放到网络中，结果使美国6千台计算机被病毒感染，造成Internet不能正常运行。这是一次非常典型计算机病毒入侵计算机网络的事件，引起了世界范围的轰动。

7-1-2计算机病毒的历史（续）1991年，在“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统，使之瘫痪，保证了战斗顺利进行，直至最后胜利。1998年，首例破坏计算机硬件的CIH病毒出现，引起人们的恐慌。1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失。

7-1-3计算机病毒的结构

计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分。7-1-4计算机病毒的特征

在计算机病毒所具有的众多特征中，传染性、潜伏性、触发性和破坏性是它的基本特征。其次，它还有隐蔽性、衍生性和持久性等。网络时代，计算机病毒的新特点：①主动通过网络和邮件系统传播②传播速度极快③危害性极大④变种多⑤难于控制⑥难于根治、容易引起多次疫情⑦具有病毒、蠕虫和后门（黑客）程序的功能

7-2计算机病毒的工作原理

7-2-1计算机病毒的工作过程计算机病毒的完整工作过程一般应包括以下几个环节：1．传染源2．传染媒介3．病毒触发（激活）4．病毒表现5．传染7-2-2计计算机病毒毒的引导机制制1.计算机机病毒的寄生生对象2.计算机机病毒的寄生生方式3.计算机机病毒的引导导过程计算机病毒的的引导过程一一般包括以下下三方面。驻留内存(2)窃取取系统控制权权(3)恢复复系统功能7-2-3计算机病毒的的触发机制计算机病毒在在传染和发作作之前，往往往要判断某些些特定条件是否否满足，满足足则传染或发发作，否则不不传染、不发作作或只传染不不发作，这个个条件就是计计算机病毒的触触发条件。实实际上病毒采采用的触发条条件花样繁多，，目前病毒采采用的触发条条件主要有以以下几种。日期触发2.时间触触发3.键盘触触发4.感染触触发5.启动触触发6.访问磁磁盘次数触发发7.调用中中断功能触发发7-2-4计算机病毒破破坏行为根据有的病毒毒资料可以把把病毒的破坏坏目标和攻击击部位归纳如如下：①攻击系统统数据区②攻击文件件③③攻攻击内存④干扰系统统运行⑤运行速度度下降⑥攻击磁盘盘⑦攻击CMOS7-2-5计算机病毒的的传播计算机病毒传传播的一般过过程在系统运行时时，计算机病病毒通过病毒毒载体即系统统的外存储器进入入系统的内存存储器，常驻驻内存。该病病毒在系统内存中中监视系统的的运行，当它它发现有攻击击的目标存在并满满足条件时，，便从内存中中将自身存入入被攻击的目标，，从而将病毒毒进行传播。。而病毒利用用系统INT13H读写磁盘的中中断又将其写写入系统的外外存储器软盘或硬盘盘中，再感染染其他系统。。7-2-5计算机病毒的的传播（续）2.计算机机病毒的传播播途径①移动存储储设备（包括括软盘、磁带带等）②网络和电电子邮件③通信系统统和通道7-2-6计算机病毒与与故障、黑客客软件的区别别1.计算机机病毒与计算算机故障的区区别计算机病毒表表现现象计算机在感染染病毒后，总总是有一定规规律地出现异异常现象：①屏幕显示示异常，屏幕幕显示出不是是由正常程序序产生的画面或或字符串，屏屏幕显示混乱乱。②程序装入入时间增长，，文件运行速速度下降。③丢失数据据或程序，文文件字节数发发生变化。④内存空间间、磁盘空间间减小。⑤异异常死机。。⑥系统引导导时间增长，，磁盘访问时时间比平时增增长7-2-6计算机机病毒毒与故故障、、黑客客软件件的区区别（（续））(2)与与病毒毒现象象类似似的硬硬件故故障硬件的的故障障范围围不太太广泛泛，但但是很很容易易被确确认。。在处处理计计算机机的异异常现现象时时很容容易被被忽略略，只只有先先排除除硬件件故障障，才才是解解决问问题的的根本本。①电电源电电压不不稳定定②插插件接接触不不良③软软驱故故障7-2-6计算机机病毒毒与故故障、、黑客客软件件的区区别（（续））(3)与与病毒毒现象象类似似的软软件故故障①出出现““Invalid；drive；specification”(非法驱驱动器器号)②引引导过过程故故障7-2-6计算机机病毒毒与故故障、、黑客客软件件的区区别（（续））２．计计算机机病毒毒与黑黑客软软件的的区别别计算机机病毒毒与黑黑客软软件都都有隐隐藏性性、潜潜伏性性、可可触发性性、破破坏性性和持持久性性等基基本特特点。。它们们的不不同之处处在于于：病病毒是是寄生生在其其他的的文件件中，，可以以自我复复制，，可以以感染染其他他文件件，其其目的的是破破坏文文件或系系统。。而黑黑客软软件，，它不不能寄寄生，，不可可复制制和感染染文件件，其其目的的是盗盗取密密码和和远程程监控控系统统。7-3计算机机病毒毒的分分类１．按按照寄寄生方方式和和传染染途径径分类类计算机机病毒毒按其其寄生生方式式大致致可分分为两两类：：一是引导导型病病毒，，二是是文件件型病病毒；；它们再再按其其传染染途径径又可可分为为驻留留内存存型和和不驻留内内存型型，驻驻留内内存型型按其其驻留留内存存方式式又可细分分。7-3计算机机病毒毒的分分类（续））2．按按照传传播媒媒介分分类按照计计算机机病毒毒的传传播媒媒介来来分类类，可可分为单机机病毒毒和网网络病病毒。。（1））单机机病毒毒（2））网络络病毒毒7-4计计算机机病毒毒的发发展趋趋势随着因因特网网的普普及和和广泛泛应用用，计计算机机病毒毒在传传播形式式、病病毒制制作技技术和和病毒毒的形形式方方面有有了根根本的改改变。。在此此通过过对近近年来来计算算机病病毒的的疫情情特点分分析，，将计计算机机病毒毒的发发展趋趋势归归纳如如下：：1．高高频度度2．传传播速速度快快，危危害面面广3．病病毒制制作技技术新新4.病病毒毒形式式多样样化5．病病毒生生成工工具7-5计算机机病毒毒的检检测、、防范范和清清除7-5-1计算算机病病毒的的检测测如何能能够及及早地地发现现新病病毒呢呢？用用户可可做以以下简简单判断断：首首先应应注意意内存存情况况；其次应应注意意常用用的可执执行文文件（（如）的字节节数。检测病病毒方方法有有：特特征代代码法法、校校验和和法、、行为监监测法法、软软件模模拟法法，这这些些方法法依据据的原原理不同同，实实现时时所需需开销销不同同，检检测范范围不不同，，各有所所长。。7-5-2计算机机病毒毒的防防范防范是是对付付计算算机病病毒的的积极极而又又有效效的措施，，比等等待计计算机机病毒毒出现现之后后再去去扫描和清清除能能更有有效地地保护护计算算机系系统。。要做好计计算机机病毒毒的防防范工工作，，首先先是防防范体系和和制度度的建建立。。其次次，利利用反反病毒毒软件及时时发现现计算算机病病毒侵侵入，，对它它进行行监视、跟跟踪等等操作作，并并采取取有效效的手手段阻阻止它的传传播和和破坏坏。7-5-2计算机机病毒毒的防防范（（续））反病毒毒软件件常用用以下下几种种反病病毒技技术来来对病病毒进进行预预防和和彻底底杀除除：①实实时监监视技技术②全全平台台反病病毒技技术7-5-.3计计算算机病病毒的的清除除及常常用反反病毒毒软件件计算机机病毒毒的清清除：：文件型型病毒毒清除除(2)引引导型型病毒毒的清清除(3)内内存解解毒常用的的反病病毒软软件：：KV3000瑞星杀杀毒软软件2003版版NortonAntivirus20037-6计算算机染染毒以以后的的危害害修复复措施施对病毒毒造成成的危危害进进行修修复，，不论论是手手工修复还还是用用专用用工具具修复复，都都是危危险操操作，，有可能能不仅仅修不不好，，反而而彻底底破坏坏。因因此，，为了修修复病病毒危危害，，用户户应采采取以以下措措施：：１．重重要数数据必必须备备份２．立立刻切切断电电源关关机，，提高高修复复成功功率３３．备备份染染毒信信息，，以防防不测测４．修修复病病毒危危害7-7计算算机病病毒实实例目前病病毒的的种类类很多多，本本节主主要举举几个个著名的病病毒来来说明明如何何检测测、防防范和和消除除网络蠕虫虫病毒毒和宏宏病毒毒等。。１．““2003蠕虫虫王（（Worm.NetKiller2003））”病毒2．““硬盘盘杀手手”病病毒３．““好大大（I-Worm/Sobig））”病毒4．．“美美丽杀杀手（（W97M/Melissa））”病毒9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶叶树，灯下下白头人。。。20:49:0220:49:0220:4912/29/20228:49:02PM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2220:49:0220:49Dec-2229-Dec-2212、故人江江海别，，几度隔隔山川。。。20:49:0220:49:0220:49Thursday,December29,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2220:49:0220:49:02December29,202214、他乡生白白发，旧国国见青山。。。29十二二月20228:49:03下下午20:49:0312月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:49下下午午12月月-2220:49December29,202216、行行动动出出成成果果，，工工作作出出财财富富。。。。2022/12/2920:49:0320:49:0329December202217、做前，，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。。。8:49:03下午午8:49下午午20:49:0312月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。20:49:0320:49:0320:4912/29/20228:49:03PM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2220:49:0320:49Dec-2229-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。20:49:0320:49:0320:49Thursday,December29,202213、不知香积积寺，数里里入云峰。。。12月-2212月-2220:49:0320:49:03December29,202214、意志坚强的的人能把世界界放在手中像像泥块一样任任意揉捏。29十二月月20228:49:03下午20:49:0312月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月228:49下午午12月-2220:49December29,202216、少年十五二二十时，步行行夺得胡马骑骑。。2022/12/2920:49:0320:49:0329December202217、空山新雨雨后，天气气晚来秋。。。8:49:03下下午8:49下下午20:49:0312月-229、杨柳柳散和和风，，青山山澹吾吾虑。。。12月月-2212月月-22Thursday,December29,202210、阅读一切切好书