信息安全技术-11病毒防范技术与杀病毒软件

信息安全技术第7讲

病毒防范技术7.1病毒防范技术与杀病毒软件7.2解析计算机蠕虫病毒第7-1讲

病毒防范技术与杀病毒软件计算机病毒实际上是一种在计算机系统运行过程中能够实现传染和侵害计算机系统功能的程序。在系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入一种能力，为攻击系统、网络提供条件。例如向系统中侵入病毒、蛀虫、特洛伊木马、陷门、逻辑炸弹；或通过窃听、冒充等方式来破坏系统正常工作。因特网是目前计算机病毒的主要传播源。针对病毒的严重性，我们应提高防范意识，做到所有软件都经过严格审查，经过相应的控制程序后才能使用；积极采用防病毒软件，定时对系统中的所有工具软件、应用软件进行检测，以防止各种病毒的入侵。第7-1讲

病毒防范技术与杀病毒软件1.计算机病毒的概念“病毒”一词源于生物学，人们通过分析研究发现，计算机病毒在很多方面与生物病毒有相似之处，以此借用生物病毒的概念。在《中华人民共和国计算机信息系统安全保护条例》中的相关定义是：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码。”第7-1讲

病毒防范技术与杀病毒软件(1)病毒的产生和发展随着计算机应用的普及，早期就有一些科普作家意识到可能会有人利用计算机进行破坏，提出了“计算机病毒”这个概念。不久，计算机病毒便在理论、程序上都得到了证实。第7-1讲

病毒防范技术与杀病毒软件1949年，计算机的创始人冯·诺依曼发表《复杂自动机器的理论和结构》的论文，提出了计算机程序可以在内存中进行自我复制和变异的理论。

此后，许多计算机人员在自己的研究

工作中应用和发展了程序自我复制的

理论。第7-1讲

病毒防范技术与杀病毒软件1959年，AT＆T贝尔实验室的3位成员设计出具有自我复制能力、并能探测到别的程序在运行时能将其销毁的程序。1983年，FredCohen博士研制出一种在运行过程中可以复制自身的破坏性程序。并在全美计算机安全会议上提出和在VAXII/150机上演示，从而证实计算机病毒的存在，这也是公认的第一个计算机病毒程序的出现。第7-1讲

病毒防范技术与杀病毒软件随着计算机技术的发展，出现了一些具有恶意的程序。最初是一些计算机爱好者恶作剧性的游戏，后来有一些软件公司为防止盗版在自己的软件中加入了病毒程序。1988年，罗伯特·莫里斯(RoberMoms)制造的蠕虫病毒是首个通过网络传播而震撼世界的“计算机病毒侵入网络的案件”。后来，又出现了许多恶性计算机病毒。计算机病毒会抢占系统资源、删除和破坏文件，甚至对硬件造成毁坏，而网络的普及使得计算机病毒传播更加广泛和迅速。第7-1讲

病毒防范技术与杀病毒软件(2)恶意程序所谓恶意程序是指一类特殊的程序，它们通常在用户不知晓也末授权的情况下潜入进来，具有用户不知道(一般也不许可)的特性，激活后将影响系统或应用的正常功能，甚至危害或破坏系统。恶意程序的表现形式多种多样，有的是改动合法程序，让它含有并执行某种破坏功能；有的是利用合法程序的功能和权限，非法获取或篡改系统资源和敏感数据，进行系统入侵。第7-1讲

病毒防范技术与杀病毒软件根据恶意程序威胁的存在形式不同，将其分为需要宿主程序和不需要宿主程序可独立存在的威胁两大类，前者基本上是不能独立运行的程序片段，而后者是可以被操作系统调度和运行的自包含程序。第7-1讲

病毒防范技术与杀病毒软件第7-1讲

病毒防范技术与杀病毒软件也可以根据是否进行复制来区分这些恶意程序。前者是当宿主程序被调用时被激活起来完成一个特定功能的程序片段；后者是由程序片段(病毒)或由独立程序(蠕虫、细菌)组成，在执行时可以在同一个系统或某个其他系统中产生自身的一个或多个以后将被激活的副本。事实上，随着恶意程序彼此间的交叉和互相渗透(变异)，这些区分正变得模糊起来。恶意程序的出现、发展和变化给计算机系统、网络系统和各类信息系统带来了巨大的危害。第7-1讲

病毒防范技术与杀病毒软件1)陷门。是进入程序的秘密入口。知道陷门的人可以不经过通常的安全访问过程而获得访问权力。陷门技术本来是程序员为了进行调试和测试程序时避免繁琐的安装和鉴别过程，或者想要保证存在另一种激活或控制的程序而采用的方法。如通过一个特定的用户ID、秘密的口令字、隐蔽的事件序列或过程等，这些方法都避开了建立在应用程序内部的鉴别过程。第7-1讲

病毒防范技术与杀病毒软件当陷门被无所顾忌地用来获得非授权访问时，就变成了威胁。如一些典型的可潜伏在用户计算机中的陷门程序，可将用户上网后的计算机打开陷门，任意进出；可以记录各种口令信息，获取系统信息，限制系统功能；还可以远程对文件操作、对注册表操作等。第7-1讲

病毒防范技术与杀病毒软件在有些情况下，系统管理员会使用一些常用的技术来加以防范。例如，利用工具给系统打补丁，把已知的系统漏洞给补上；对某些存在安全隐患的资源进行访问控制；对系统的使用人员进行安全教育等。这些安全措施是必要的，但绝不是足够的。只要是在运行的系统，总是可能找出它的漏洞而进入系统，问题只是进入系统的代价大小不同。另外，信息网络的迅速发展是与网络所能提供的大量服务密切相关的。由于种种原因，很多服务也存在这样或那样的漏洞，这些漏洞若被入侵者利用，就成了有效进入系统的陷门。第7-1讲

病毒防范技术与杀病毒软件2)逻辑炸弹。在病毒和蠕虫之前，最古老的软件威胁之一就是逻辑炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码，被设置成当满足特定条件时就会“爆炸”，执行一个有害行为的程序，如改变、删除数据或整个文件，引起机器关机，甚至破坏整个系统等破坏话动。第7-1讲

病毒防范技术与杀病毒软件3)特洛伊木马。是指一个有用的或者表面上有用的程序或命令过程，但其中包含了一段隐藏的、激活时将执行某种有害功能的代码，可以控制用户计算机系统的程序，并可能造成用户的系统被破坏甚至瘫痪。特洛伊木马程序是一个独立的应用程序，不具备自我复制能力，但具有潜伏性，常常有更大的欺骗性和危害性，而且特洛伊木马程序可能包含蠕虫病毒程序。第7-1讲

病毒防范技术与杀病毒软件特洛伊木马的一个典型例子是被修改过的编译器。该编译器在对程序(例如系统注册程序)进行编译时，将一段额外的代码插入到该程序中。这段代码在注册程序中构造陷门，使得可以使用专门口令来注册系统。不阅读注册程序的源代码，永远不可能发现这个特洛伊木马。第7-1讲

病毒防范技术与杀病毒软件4)细菌。是一些并不明显破坏文件的程序，它们的惟一目的就是繁殖自己。一个典型的细菌程序除了在多进程系统中同时执行自己的两个副本，或者可能创建两个新的文件(每一个都是细菌程序原始源文件的一个复制品)外，可能不做什么其他事情。那些新创建的程序又可能将自己两次复制，依此类推，细菌以指数级地再复制，最终耗尽了所有的处理机能力、存储器或磁盘空间，从而拒绝用户访问这些资源。第7-1讲

病毒防范技术与杀病毒软件5)蠕虫。是一种可以通过网络进行自身复制的病毒程序。一旦在系统中激活，蠕虫可以表现得像计算机病毒或细菌。可以向系统注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬盘或文件系统中繁殖，而典型的蠕虫程序只会在内存中维持一个活动副本，甚至根本不向硬盘中写入任何信息。此外，蠕虫是一个独立运行的程序，自身不改变其他程序，但可携带一个具有改变其他程序功能的病毒。第7-1讲

病毒防范技术与杀病毒软件为了自身复制，网络蠕虫使用了某种类型的网络传输机制。例如电子邮件。网络蠕虫表现出有潜伏期、繁殖期、触发期和执行期的特征。第7-1讲

病毒防范技术与杀病毒软件2.计算机病毒的原理(1)病毒的特征(2)病毒的分类(3)病毒的传播(4)病毒的结构第7-1讲

病毒防范技术与杀病毒软件(1)病毒的特征计算机病毒的特征主要是传染性、隐蔽性、潜伏性和表现性。第7-1讲

病毒防范技术与杀病毒软件1)传染性。计算机病毒会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。这些媒体可以是程序、文件、存储介质甚至网络，并在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征——传染和破坏。一般地，若计算机在正常程序控制下工作，只要不运行带病毒的程序，则这台计算机总是正常的，例如反病毒技术人员整天就是在这样的环境下工作的。第7-1讲

病毒防范技术与杀病毒软件然而，一旦在计算机上运行，绝大多数病毒首先要做初始化工作，在内存中找一片安身之处，随后将自身与系统软件挂钩，再执行原来被感染的程序。这一系列的操作中，只要系统不瘫痪，系统每执行一个操作，病毒就有机会得以运行，危害未曾被感染的程序。病毒程序与正常系统程序在同一台计算机内争夺系统控制权时，结果会造成系统崩溃、导致计算机瘫痪。因此，反病毒技术要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权。第7-1讲

病毒防范技术与杀病毒软件一个好的抗病毒系统甚至应该能够识别出未知计算机病毒在系统内的行为，阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成抵御已知病毒的任务。第7-1讲

病毒防范技术与杀病毒软件2)隐蔽性。不经过程序代码分析或计算机病毒代码扫描，计算机病毒程序与正常程序是不容易区别的。在没有防护措施的情况下，计算机病毒程序一经运行取得系统控制权后，可以迅速传染其他程序，而在屏幕上没有任何异常显示。传染操作完成后，计算机系统以及被感染的程序仍能执行。这种现象就是计算机病毒传染的隐蔽性。第7-1讲

病毒防范技术与杀病毒软件3)潜伏性。病毒具有依附其他媒体寄生的能力，它可以在磁盘、光盘或其他介质上潜伏几天，甚至几年，不满足其触发条件时，除了传染以外不做其他破坏。触发条件一旦得到满足，病毒就四处繁殖、扩散、破坏。计算机病毒使用的触发条件主要有：利用计算机系统时钟、利用病毒体自带计数器、利用计算机内执行的某些特定操作等。第7-1讲

病毒防范技术与杀病毒软件4)表现性。当触发条件满足时，病毒在被感染的计算机上开始发作，表现出一定的症状和破坏性。根据计算机病毒的危害性不同，病毒发作时表现出来的症状可能有很大差别。从显示一些令人讨厌的信息，到降低系统性能，破坏数据(信息)，直到永久性摧毁计算机硬件和软件，造成系统崩溃，网络瘫痪等等。第7-1讲

病毒防范技术与杀病毒软件(2)病毒的分类分类方式不同，计算机病毒的类型也不同。通常，计算机病毒可做如下分类。按感染形式按寄生方式按攻击方式根据病毒操作的方式或使用的编程技术第7-1讲

病毒防范技术与杀病毒软件按感染形式分类，主要有：1)文件型病毒。通过在执行系列中插入指令把自己依附在可执行文件上。此种病毒感染文件，并寄生在文件中，进而造成文件损坏。2)引导型病毒：会在软盘或者硬盘的引导区、主引导记录(分区扇区)中插入指令。此时，如果计算机从被感染的磁盘引导时，病毒就会感染，并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。第7-1讲

病毒防范技术与杀病毒软件3)混合型病毒：此种病毒具有兼顾引导型和文件型两种病毒的特性，不但能够感染和破坏硬盘的引导区，而且能感染和破坏文件。4)宏病毒：宏病毒不只是感染可执行文件，它可以感染一般软件文件。虽然宏病毒不会有严重的危害，但它仍是令人讨厌的事，因为它会影响系统的性能以及用户的工作效率。此种病毒是利用Office软件的宏指令产生的，所以称为宏病毒。第7-1讲

病毒防范技术与杀病毒软件计算机病毒传染的前提就是寻找病毒宿主，然后将自身寄生到宿主中。按寄生方式分类主要有：1)代替式病毒：计算机病毒用自身代码的部分或全部替代常规程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。2)连接式病毒：这种方式一般以传染文件为主，即病毒与宿主文件相连接时宿主文件的字节长度增加，但不破坏原合法程序的代码。第7-1讲

病毒防范技术与杀病毒软件3)转储式病毒：病毒将原合法的程序代码转储到存储介质的其他部位，而用病毒代码占据原合法程序的位置。4)填充式病毒：这种病毒有的传染引导程序，有的传染文件，病毒一般侵入宿主的空闲存储空间，这样就不会改变宿主程序的字节长度。第7-1讲

病毒防范技术与杀病毒软件按攻击方式分，可将病毒分为源码病毒、机器码病毒和混合码病毒；根据病毒模块存在的形式，如存在的形式为源码则称为源码病毒，如是机器码则称为机器码病毒，如两种形式都有则称为混合码病毒。第7-1讲

病毒防范技术与杀病毒软件源码病毒还可细分为Shell(命令解释程序)型和语言型。Shell型一般指接收标准输入并将命令转交给系统的命令解释器或程序。Shell型病毒包括各种操作系统的Shell程序。如UNIX的BShell、CShell，以及DOS的，Windows的cmd.exe等；语言型包括汇编语言、C语言、BASIC语言，FORTRAN语言和VisualC++、VisualBasic、VisualJ++等。第7-1讲

病毒防范技术与杀病毒软件根据病毒操作的方式或使用的编程技术分，有：1)隐蔽病毒：使用某种技术来隐蔽程序被感染的事实。例如当操作系统发出调用要得到的某些信息时，它记录下必要的信息，以便于以后欺骗操作系统和病毒程序的扫描。第7-1讲

病毒防范技术与杀病毒软件2)变形病毒：能变化，使得它们更难被鉴别出来。病毒的变化过程称为变异，变异中，病毒改变其大小和构成。通常，病毒扫描程序通过搜索已知的模式(大小、校验码、日期等)来检测病毒，一个经巧妙设计的变形病毒则可逃脱这些固定模式的检测，使传统的模式匹配法对此显得软弱无力。第7-1讲

病毒防范技术与杀病毒软件(3)病毒的传播计算机病毒一般通过某个入侵点进入系统来感染该系统。最明显、也是最常见的入侵点是从工作站传到工作站的软盘；在网络系统中，可能的入侵点包括服务器、E-mail附加部分、因特网BBS上下载的文件、网站、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、计算机实验室以及其他共享设备等。第7-1讲

病毒防范技术与杀病毒软件(4)病毒的结构虽然不同类型计算机病毒的机制和表现手法不尽相同，但其结构基本相似。一般说来都由以下3个程序模块组成。1)引导模块。2)传染模块。3)破坏与表现模块。第7-1讲

病毒防范技术与杀病毒软件1)引导模块。当被感染的应用程序开始工作时，病毒的引导模块将病毒由外存引入内存，并使病毒程序成为相对独立于宿主程序的部分，从而使病毒的传染模块和破坏模块进入待机状态。在某些病毒中，尤其是传染引导区的计算机病毒，其引导模块还承担将分开存储的病毒程序片断链接的任务。第7-1讲

病毒防范技术与杀病毒软件2)传染模块。由于计算机病毒具有复制自身(或变形后的自身)的能力，因此它能使其他程序同样具备这种传染能力。这一点是判断一个程序是否为病毒程序的必要条件，所以，这部分程序对一个病毒程序来说是不可缺少的，它主要负责捕捉传染的条件和传染的对象，在保证被传染程序可正常运行的情况下完成计算机病毒的复制传播任务。第7-1讲

病毒防范技术与杀病毒软件3)破坏与表现模块。破坏与表现模块是病毒程序的核心部分，也是病毒设计者意图的体现部分。这里的破坏不仅毁坏系统的软、硬件和磁盘上的数据、文件，而且还表现在显著降低整个系统的运行效率。这部分程序负责捕捉进入破坏程序的条件，在条件满足时开始进行破坏系统或数据的工作，甚至可以毁掉包括病毒程序本身在内的系统资源。一般计算机病毒并不是进入计算机系统就进行破坏，而是等待具备一定条件后才实施破坏。第7-1讲

病毒防范技术与杀病毒软件3.反病毒技术现在，成熟的反病毒技术已经能够可以做到对已知病毒的彻底预防和杀除，这主要涉及以下三大技术：1)实时监视技术。2)自动解压缩技术。3)全平台反病毒技术。第7-1讲

病毒防范技术与杀病毒软件1)实时监视技术。这个技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之外。该技术能时刻监视系统中的病毒活动、系统状况、软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统底层的无缝连接技术，实时监视器占用的系统资源极小，用户完全感觉不到对机器性能的影响。一般来说，只要反病毒软件实时地在系统中工作，病毒就无法侵入计算机系统。第7-1讲

病毒防范技术与杀病毒软件2)自动解压缩技术。目前在因特网、光盘以及Windows系统中接触到的大多数文件都以压缩状态存放，以便节省传输时间或节约存放空间，这就使得各类压缩文件成为计算机病毒传播的温床。如果用户从网上下载了一个带病毒的压缩文件包，或从光盘里运行一个压缩过的带毒文件，自己的系统就会被压缩文件包中的病毒感染。优秀的反病毒软件应结合压缩软件技术，使得无论何种压缩标准的软件都能做到边解压边杀毒。第7-1讲

病毒防范技术与杀病毒软件3)全平台反病毒技术。目前病毒活跃的平台主要有：Windows9x、Windows2000、WindowsXP等。为了使反病毒软件做到与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件。第7-1讲

病毒防范技术与杀病毒软件(1)病毒的防治策略系统对于计算机病毒的实际防治能力和效果要从防毒、查毒和解毒能力3方面来评判。1)防毒能力。指预防病毒侵入计算机系统的能力。根据系统特性，通过采取相应的系统安全措施预防病毒侵入计算机。第7-1讲

病毒防范技术与杀病毒软件2)查毒能力。指发现和追踪病毒来源的能力。对于确定的环境(包括内存、文件、引导区、网络等)，应该能够准确地发现计算机系统是否感染有病毒，并能给出统计报告，报告病毒的名称，来源等。此能力由查毒率和误报率来评判。3)解毒——指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复，其恢复过程不能破坏未被病毒修改的内容。此能力用解毒率来评判。第7-1讲

病毒防范技术与杀病毒软件(2)检测病毒原理计算机病毒要进行传染，必然会留下痕迹。因此，为检测病毒，首先应注意内存情况，绝大部分的病毒是要驻留内存的，应注意被占用的内存数是否无故减少其次应注意常用的可执行文件的字节数。绝大多数的病毒在对文件进行传染后会使文件的长度增加。但在查看文件字节数时应首先用干净系统盘启动。第7-1讲

病毒防范技术与杀病毒软件检测主要基于4种方法第7-1讲

病毒防范技术与杀病毒软件1)比较法。用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单或用程序来进行比较。第7-1讲

病毒防范技术与杀病毒软件2)特征代码扫描法。病毒的特征代码是病毒程序编制者用来识别自己编写程序惟一的代码串，因此也可利用病毒的特征代码检测病毒程序和防止病毒程序传染。第7-1讲

病毒防范技术与杀病毒软件特征代码扫描法所用的软件称病毒扫描软件。病毒扫描软件由两部分组成：一部分是病毒代码库，含有经过特别选定的各种计算机病毒的代码串；另一部分是利用该代码库进行扫描的程序。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定被查文件中患有何种病毒。面对不断出现的新病毒，采用病毒特征代码扫描法的检测工具，必须不断更新版本。第7-1讲

病毒防范技术与杀病毒软件3)校验和法。将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。这种方法既能发现已知病毒，也能发现未知病毒，但它不能识别病毒类别。由于病毒感染并非文件内容改变的惟一原因，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。第7-1讲

病毒防范技术与杀病毒软件病毒检测的分析法是反病毒工作中不可或缺的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒的详尽而认真的分析。但使用分析法要求使用者具有比较全面的有关计算机操作系统结构功能调用以及关于病毒方面的各种知识，这是与检测病毒的前三种方法不一样的地方。第7-1讲

病毒防范技术与杀病毒软件病毒检测的分析法是反病毒工作中不可或缺的重要技术，任何一个性能优良的反病毒系统的研制和开发都离不开专门人员对各种病毒的详尽而认真的分析。但使用分析法要求使用者具有比较全面的有关计算机操作系统结构功能调用以及关于病毒方面的各种知识，这是与检测病毒的前三种方法不一样的地方。第7-1讲

病毒防范技术与杀病毒软件XP系统文件被诺顿当病毒误杀导致系统崩溃，数百万电脑面临灭顶之灾[2007年5月18日消息](赛门铁克)诺顿杀毒软件出现重大问题。升级病毒库后，诺顿网络版杀毒软件误把WindowsXP系统的关键系统文件netapi32.dll、lsasrv.dll当作隔离病毒清除，重启后系统将会瘫痪。有消息称，国内某大型网络游戏公司的2000多台机器已经全部崩溃。截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助，更多用户由于系统繁忙无法打入电话。第7-1讲

病毒防范技术与杀病毒软件诺顿是赛门铁克公司旗下的著名杀毒软件，在全球占据相当份额，特别在金融、电信等行业拥有一定的优势，因此，此次误杀会导致许多企业网络完全瘫痪。由于国外品牌的笔记本和台式机多数预装了WindowsXP系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击，因此，中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上，因此对国外用户几乎没有影响。第7-1讲

病毒防范技术与杀病毒软件国内反病毒安全专家表示，此次诺顿误杀将是近年来最严重的一次安全事故，给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。为此，国内不少反病毒公司发布今年首个红色病毒警报，但针对的不是电脑病毒，而是国际知名反病毒软件诺顿将简体中文版XP系统中的文件当成电脑病毒进行查杀，导致电脑系统崩溃。第7-1讲

病毒防范技术与杀病毒软件赛门铁克随后对诺顿进行了紧急升级。当天下午15:00，赛门铁克公司推出了最新的诺顿补丁程序，使用WindowsXP简体中文版的用户在点击诺顿更新后，可以实现正常关机与开机操作。赛门铁克就此给用户带来的不便表示歉意，并承认，有两个简体中文版本微软Windows系统文件通过LiveUpdate或网站下载文件更新方式，被错误地添加到赛门铁克的防病毒软件定义中。导致安装了MS06-070补丁的XP系统，在将诺顿升级到最新病毒库之时，诺顿杀毒软件将把系统文件netapi32.dll和lsasrv.dll隔离清除，从而造成系统崩溃。第7-1讲

病毒防范技术与杀病毒软件新浪的网上调查显示，有63.9%的被调查者正在使用诺顿杀毒软件；38.59%的被调查者在此次诺顿“误杀”事件中不幸“中招”。赛门铁克此次“误杀事件”将直接影响其在中国推广。网上调查显示，72.33%的被调查者认为此次“误杀”事件将影响其对诺顿产品的选择。第7-1讲

病毒防范技术与杀病毒软件第7讲

病毒防范技术7.1病毒防范技术与杀病毒软件7.2解析计算机蠕虫病毒第7-2讲

解析计算机蠕虫病毒凡是能够引起计算机故障，破坏计算机数据的程序我们都统称为计算机病毒。所以，从这个意义上说，蠕虫也是一种病毒。但与传统的计算机病毒不同，网络蠕虫病毒以计算机为载体，以网络为攻击对象，其破坏力和传染性不容忽视。第7讲

病毒防范技术1.蠕虫病毒的定义蠕虫病毒和普通病毒有很大区别。一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。第7讲

病毒防范技术根据其发作机制，蠕虫病毒一般可分为两类一类是利用系统级别漏洞(主动传播)，主动攻击企业用户和局域网的蠕虫病毒，这种病毒以“红色代码”、“尼姆达”以及“SQL蠕虫王”为代表，可以对整个因特网造成瘫痪性的后果；另一类是针对个人用户，利用社会工程学(欺骗传播)，通过网络电子邮件和恶意网页等形式迅速传播的蠕虫病毒，以爱虫、求职信病毒为例。在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难；第二种病毒的传播方式比较复杂和多样，少数利用了应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失非常大，同时也很难根除。比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位。第7讲

病毒防范技术(1)蠕虫病毒与普通病毒的异同普通病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就称为“宿主”。例如，当病毒感染Windows可执行文件时，就在宿主程序中建立一个新节，将病毒代码写到新节中，并修改程序的入口点等，这样，宿主程序执行的时候就可以先执行病毒程序，然后再把控制权交给原来的宿主程序指令。可见，普通病毒主要是感染文件，当然也有像DIRII这样的链接型病毒和引导区病毒等。蠕虫一般不采取插入文件的方法，而是在因特网环境下通过复制自身进行传播，普通病毒的传染主要针对计算机内的文件系统，而蠕虫病毒的传染目标是因特网内的所有计算机局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、存在着大量漏洞的服务器等，这些都成为蠕虫传播的良好途径。网络的普及与发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且其主动攻击性和突然爆发性将使人们手足无策。参见表7.5。表7.5蠕虫病毒与普通病毒的异同普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机(2)蠕虫的破坏和变化1988年，一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络；而后来的红色代码和尼姆达病毒疯狂的时候曾造成几十亿美元的损失；2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使因特网严重堵塞，作为因特网主要基础的域名服务器(DNS)的瘫痪造成网民浏览因特网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障。专家估计，此病毒造成的直接经济损失至少在12亿美元以上。第7讲

病毒防范技术通过对蠕虫病毒的分析，可以知道蠕虫发作的一些特点和变化。1)利用操作系统和应用程序的漏洞主动进行攻击。例如，由于IE浏览器的漏洞，使得感染了“尼姆达”病毒的邮件在不打开附件的情况下就能激活病毒；“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播的；SQL蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行大肆攻击。2)传播方式多样。如“尼姆达”和“求职信”等病毒，其可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等。3)病毒制作技术与传统的病毒不同。许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。4)与黑客技术相结合，潜在的威胁和损失更大。以红色代码为例，感染后，机器web目录下的\scripts子目录将生成一个root.exe文件，可以远程执行任何命令，从而使黑客能够再次进入。第7讲

病毒防范技术(1)蠕虫病毒与普通病毒的异同普通病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就称为“宿主”。例如，当病毒感染Windows可执行文件时，就在宿主程序中建立一个新节，将病毒代码写到新节中，并修改程序的入口点等，这样，宿主程序执行的时候就可以先执行病毒程序，然后再把控制权交给原来的宿主程序指令。可见，普通病毒主要是感染文件，当然也有像DIRII这样的链接型病毒和引导区病毒等。蠕虫一般不采取插入文件的方法，而是在因特网环境下通过复制自身进行传播，普通病毒的传染主要针对计算机内的文件系统，而蠕虫病毒的传染目标是因特网内的所有计算机局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、存在着大量漏洞的服务器等，这些都成为蠕虫传播的良好途径。网络的普及与发展也使得蠕虫病毒可以在几个小时内蔓延全球，而且其主动攻击性和突然爆发性将使人们手足无策。参见表7.5。第7讲

病毒防范技术(2)蠕虫的破坏和变化1988年，一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络；而后来的红色代码和尼姆达病毒疯狂的时候曾造成几十亿美元的损失；2003年1月26日，一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球，致使因特网严重堵塞，作为因特网主要基础的域名服务器(DNS)的瘫痪造成网民浏览因特网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，