第九章-计算机病毒概论

第九章

计算机病毒概论主要内容什么是计算机病毒病毒的生命周期病毒发展简史病毒的不良特征及危害病毒的分类病毒的命名原则计算机病毒研究准则9.1什么是计算机病毒1.广义定义泛指所有的恶意软件，即Malware。Malware是由两个英文单词融合而成，分别是Malicious（怀恶意的,恶毒的）和Software（软件）其他表述：恶意软件是运行在计算机上的一段代码，这些代码可以使计算机系统做一些攻击者想让它做的行为。恶意软件指所有设计用来对单台计算机、服务器或计算机网络造成危害的软件。目前，国外关于计算机病毒（Computerviruses，简称病毒）最流行的定义：计算机病毒是一段附着在其它程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中，关于计算机病毒的定义是：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。2.狭义定义指恶意软件中的一种——文件感染型病毒。这类恶意软件与其他的恶意软件的不同之处在于会感染其他可执行文件。9.2病毒的生命周期计算机病毒的产生过程可分为程序设计—传播—潜伏—触发—运行—实行攻击。计算机病毒拥有一个完整的生命周期，从产生到彻底根除，病毒生命周期包括： （1）开发期（2）传播期 （3）潜伏期（4）发作期 （5）发现期（6）消化期 （7）消亡期

（1）开发期制造病毒，通常计算机病毒是一些误人歧途的、试图传播计算机病毒和破坏计算机的个人或组织制造的。（2）传播期在一个病毒制造出来后，病毒的编写者将其拷贝并确认其已被传播出去。（3）潜伏期病毒是自然地复制的。一个设计良好的病毒可以在它活化前长时期里被复制。这就给了它充裕的传播时间。这时病毒的危害在于暗中占据存储空间。（4）发作期带有破坏机制的病毒会在遇至某一特定条件时发作，一旦遇上某种条件病毒就被活化了。没有感染程序的病毒属于没有活化，这时病毒的危害在于暗中占据存储空间。（5）发现期当一个病毒被检测到并被隔离出来后，它被送到计算机安全协会或反病毒厂家，在那里病毒被通报和描述给反病毒研究工作者。通常发现病毒是在病毒成为计算机社会的灾难之前完成的。（6）消化期在这一阶段，反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。这段时间的长短取决于开发人员的素质和病毒的类型。（7）消亡期若是所有用户安装了最新版的杀毒软件，那么任何已知病毒都将被扫除。这样没有什么病毒可以广泛地传播，但有一些病毒在消失之前有一个很长的消亡期。计算机病毒的起源科学幻想起源说恶作剧起源说游戏程序起源说软件商保护软件起源说归纳起来，计算机系统、Internet的脆弱性是产生计算机病毒的根本技术原因之一，计算机科学技术的不断进步，个人计算机的快速普及应用是产生计算机病毒的加速器。111961年，美国的三个程序员通过编写小程序破坏对方、复制自身等来获取游戏胜利；这是计算机病毒“雏形”1971年，世界上第一个病毒CREEPER（爬行者）出现；不久一个名为Reaper（收割机）的程序出现，这是病毒史上的第一个专杀工具“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1的青春》中提出1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性1989年全世界的计算机病毒攻击十分猖獗，其中"米开朗基罗"病毒给许多计算机用户造成极大损失。9.3病毒发展简史12计算机病毒历史1989年全世界的计算机病毒攻击十分猖獗，其中"米开朗基罗"病毒给许多计算机用户造成极大损失。1991年在“海湾战争”中，美军第一次将计算机病毒用于实战1992年出现针对杀毒软件的"幽灵"病毒，如One-half。1996年首次出现针对微软公司Office的"宏病毒"。1997年被公认为计算机反病毒界的“宏病毒”年。1998年出现针对Windows95/98系统的病毒，如CIH（1998年被公认为计算机反病毒界的CIH病毒年）。1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。

13重大计算机病毒事件1988年11月2日，Internet前身Arpanet网络遭到蠕虫的攻击，导致瘫痪，其始作俑者为康奈尔大学计算机科学系研究生罗伯特·莫里斯

1998年出现的CIH病毒是一个全新的新型病毒。这种病毒与DOS下的传统病毒有很大不同，它使用面向Windows的VXD技术编制。该病毒是第一个直接攻击，导致硬件不能正常工作的计算机病毒。它主要感染Windows95/98的可执行程序，发作时破坏计算机FlashBIOS芯片中的系统程序，导致主板损坏，同时破坏硬盘中的数据。

14重大计算机病毒事件1999年4月出现的梅丽莎病毒，是第一个通过电子邮件传播的病毒，短短24小时之内就使美国数万台服务器、数十万台工作站瘫痪，造成损失高达10亿美元。15重大计算机病毒事件2003年，冲击波病毒利用Windows操作系统的RPC漏洞大量传播，导致上百万台计算机被迫重启，损失不计其数。在其之后的震荡波病毒，同样应用了类似的漏洞，这使中国广大的计算机使用者，第一次面对“漏洞”这个名词的时候，不得不同时面对巨大的损失。16重大计算机病毒事件

2007年所有人几乎“谈熊猫色变”，熊猫烧香在短短几个月时间里感染了几百万台电脑，。该病毒不仅感染可执行文件，还会感染网页文件，并通过局域网、U盘等渠道传播，而且该病毒还对主流杀毒软件进行攻击，并删除gho后缀名的文件，使中毒的计算机无法恢复。

2007年2月12日抓获病毒作者李俊（男，25岁，武汉新洲区人），他编写的“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元计算机病毒伴随计算机、网络信息技术的快速发展而日趋复杂多变，其破坏性和传播能力也不断增强。计算机病毒发展主要经历了五个重要的阶段。（1）原始病毒阶段（第一阶段）（2）混合型病毒阶段（第二阶段）（3）多态性病毒阶段（第三阶段）（4）网络病毒阶段（第四阶段）（5）主动攻击型病毒阶段（第五阶段）

总结：（1）原始病毒阶段（第一阶段） 特点：攻击目标和破坏性比较单一，主要通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染，病毒程序不具有自我保护功能，较容易被人们分析、识别和清除。（2）混合型病毒阶段（第二阶段） 特点：攻击目标趋于混合，以更隐蔽的方法驻留在内存和传染目标中，系统感染病毒后没有明显的特征，病毒程序具有自我保护功能，出现众多病毒的变种。（3）多态性病毒阶段（第三阶段） 特点：每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的； 防病毒软件查杀困难； 病毒技术开始向多维化方向发展。（4）网络病毒阶段（第四阶段）随着互联网的广泛发展，依赖互联网传播的邮件病毒和宏病毒等大肆泛滥，呈现出病毒传播快、隐蔽性强、破坏性大的特点。反病毒产业开始产生并逐步形成了规模较大的新兴产业。（5）主动攻击型病毒阶段（第五阶段）各种病毒具有主动攻击性，利用操作系统的漏洞进行攻击性的传播扩散，并不需要任何物理媒介或操作，用户只要接入互联网络就可能被感染，病毒对网络系统软硬件和重要信息的危害性更大。9.4病毒的不良特征及危害传播性隐蔽性感染性潜伏性可激发性表现性破坏性一般至少有两个或两个以上的不良特征传播性病毒一般会自动利用各种方式传播常见传播方式：邮件、即时通信软件、局域网共享文件夹、软件漏洞传播、移动存储器等传播性是蠕虫病毒的典型特征之一隐蔽性一般具有隐藏或系统属性，并隐藏在某个用户不常去的系统文件夹中部分病毒使用和系统进程相同或相似的名称部分病毒使用“无进程”技术或插入到某个系统的关键进程，在任务管理器中找不到单独的运行进程利用社会工程学的伪装技术隐蔽性是木马病毒的典型特征之一感染性通过感染达到自我复制，保护自己的目的感染性是感染性病毒的典型特征之一潜伏性具有一定的“潜伏期”，能在特定的日子爆发如黑色星期五、CIH病毒可激发性根据作者的“需求”，设置触发病毒攻击的“扳机”表现性运行后，会有一定的表现特征具有明显表现特征的病毒日趋减少破坏性具有明显破坏性的病毒比例也呈下降趋势计算机病毒危害窃取敏感信息破坏文件或数据占用系统资源占用系统网络资源破坏操作系统等软件或计算机主板等硬件其他错误及不可预知的危害计算机病毒发作前的表现（1）平时运行正常的计算机突然经常性无缘无故地死机（2）操作系统无法正常启动（3）运行速度明显变慢（4）正常运行的软件经常发生内存不足问题（5）打印和通讯出现异常（6）无意中要求对U盘进行写操作（7）以往正常运行的应用程序经常发生死机或者非法错误（8）系统文件的时间、日期、大小发生变化（9）无法另存为一个Word文档（10）磁盘空间迅速减少（11）网络驱动器卷或共享目录无法调用。（12）基本内存发生变化。（13）陌生人发来的电子邮件（14）自动链接到一些陌生的网站计算机病毒发作时的现象（1）提示不相关对话（2）发出音乐（3）产生特定的图象（4）硬盘灯不断闪烁（5）进行游戏算法（6）Windows桌面图标发生变化（7）突然死机或重启（8）自动发送电子邮件（9）鼠标自己在动计算机病毒发作后的表现（1）硬盘无法启动，数据丢失（2）系统文件丢失或被破坏（3）文件目录发生混乱（4）部分文档丢失或被破坏（5）部分文档自动加密码（6）修改Autoexec.bat文件，导致计算机重新启动时格式化硬盘（7）使部分可软件升级主板的BIOS程序混乱，主板被破坏（8）网络瘫痪，无法提供正常的服务计算机病毒的传播途径计算机病毒的传染性是计算机病毒最基本的特性，病毒的传染性是病毒赖以生存繁殖的条件，如果计算机病毒没有传播渠道，则其破坏性小，扩散面窄，难以造成大面积流行。计算机病毒必须要“搭载”到计算机上才能感染系统，通常它们是附加在某个文件上。计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝与文件传送需要传输媒介，文件执行则是病毒感染的必然途径（Word、Excel等宏病毒通过Word、Excel调用间接地执行），因此，病毒传播与文件传播媒体的变化有着直接关系。计算机病毒的主要传播途径有：

1、软盘

软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。

2、光盘

光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。3、u盘、移动硬盘：携带方便，为了方便计算机相互之间传递文件，经常使用u盘、移动硬盘，就将一台计算机的病毒传播到另一台。4、网络传播：信息技术的进步为计算机病毒的传播提供了新的“高速公路”。计算机病毒附着在正常文件中通过网络进入一个又一个系统，成为病毒传播的第一途径。同时，还有新兴的点对点通信系统和无线通道传播，而且这种传播途径已经呈现愈演愈烈的态势。5、下载传播：在计算机日益普及的今天人们通过计算机网络相互传递文件，信件，这样使病毒传播速度加快，因为资源的共享，人们经常网上下载免费共享软件，很多下载的资源中都会夹带木马、后门、蠕虫、病毒、插件，进而危害更多的计算机。

9.5病毒的分类根据感染平台分类感染DOS系统的病毒感染Windows系统的病毒感染Unix/Linux系统的病毒感染其他操作系统的病毒跨平台病毒根据宿主或感染对象分类⑴引导区型病毒

引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的“主引导记录”。⑵文件型病毒

文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。⑶混合型病毒

混合型病毒具有引导区型病毒和文件型病毒两者的特点。多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。⑷宏病毒

宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。

根据文件类型分类可执行文件文本文件其他形式的文件根据恶意行为分类木马——特点是伪装成正常的程序或文件蠕虫——一种会自我传播的病毒后门程序——一类绕过一般的认证体系对计算机进行控制的程序文件感染性病毒——最大的特点是感染其他正常文件按照计算机病毒的破坏能力分类无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。以病毒的攻击机型分类攻击微型计算机的病毒攻击小型机的计算机病毒攻击服务器的计算机病毒按照传播媒介不同分类单机病毒网络病毒按照病毒激活的时间分类定时病毒——仅在某一特定的时间才发作随机病毒——一般不是由时钟来激活恶意病毒“四大家族”一、宏病毒

由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场，加上Windows和Office提供了宏病毒编制和运行所必需的库（以VB库为主）支持和传播机会，所以宏病毒是最容易编制和流传的病毒之一，很有代表性。

宏病毒发作方式:在Word打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，或直接删除文件等等。Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。判断是否被感染:宏病毒一般在发作的时候没有特别的迹象，通常是会伪装成其他的对话框让你确认。在感染了宏病毒的机器上，会出现不能打印文件、Office文档无法保存或另存为等情况。宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。二、CIH病毒

CIH是本世纪最著名和最有破坏力的病毒之一，它是第一个能破坏硬件的病毒。

发作破坏方式:主要是通过篡改主板BIOS里的数据，造成电脑开机就黑屏，从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。三、蠕虫病毒

蠕虫病毒以尽量多复制自身（像虫子一样大量繁殖）而得名，多感染电脑和占用系统、网络资源，造成PC和服务器负荷过重而死机，并以使系统内数据混乱为主要的破坏方式。它不一定马上删除你的数据让你发现，比如著名的爱虫病毒和尼姆达病毒。四、木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出;捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。木马病毒的破坏性:木马病毒的发作要在用户的机器里运行服务端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。文件类型

如Win32、W32、Win16、BAT、JS等

病毒类型

如WORM、TROJAN、BACKDOOR等

病毒（家族）名

如NETSKY、VIKING、CIH等

病毒变种名

一般以顺序排列的字母后缀或数字组成55一般来说病毒名称至少包含以下内容中的一至多项：9.6病毒的命名原则趋势科技对于病毒的命名56病毒名称前缀病毒类型TROJ木马WORM蠕虫PE文件感染型ADW广告组件TSPY间谍木马JS脚本VBSVB脚本PACKER加壳文件BKDR后门程序JOKE玩笑程序EXPL利用漏洞攻击趋势科技对于病毒命名的规则形式：

<病毒类型_><病毒名称><.变种>57病毒类型病毒（家族）名病毒变种名++例：

TSPY_ONLINEG.QID BKDR_HUPIGON.WKZTSPY_ONLINEG.QIDTSPY——木马间谍软件的缩写ONLINEG——网络游戏的缩写QID——变种名称BKDR_HUIPIGON.WKZBKDR——后门程序HUIPIGON——灰鸽子的缩写WKZ——WKZ变种9.7计算机病毒研究准则研究病毒必须的设备一台个人计算机或工作平台，有网络地址并提供电子邮箱及网络接入功能（网络系统）一个独立的不连接、并且不会因疏忽而能连接网络系统的计算机系统（隔离的独立系统）一个已经建立的隔离的并且不会因疏忽而能连接外部网络系统的网络环境（病毒实验室系统）有关安全条例与管理办法《中华人民共和国计算机信息系统安全保护条例》《计算机病毒防治管理办法》9.8磁盘引导区结构磁盘一种磁介质的外部存储设备在其盘片的每一面上，以转动轴为轴心、以一定的磁密度为间隔的若干同心圆被划分成磁道(Track)，每个磁道又被划分为若干个扇区(Sector)，数据就按扇区存放在硬盘上。磁盘引导区记录着磁盘的一些最基本的信息，磁盘的第一个扇区被保留为主引导扇区，它位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR(MainBootRecord)和分区表DPT(DiskPartitionTable)以及磁盘的有效标志。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。主引导扇区——512字节MBR——占446个字节(偏移0—偏移1BDH)DPT——占64个字节(偏移1BEH—偏移1FDH)最后两个字节“55AA”——(偏移1FEH—偏移1FFH)是硬盘有效标志。以下表格注明了标准的主引导扇区的结构：分区表DPT(DiskPartitionTable)，总共64个字节，每个分区占16个字节，可以表示四个分区，所以说一个磁盘的主分区和扩展分区之和总共只能有四个。以下表格表明了分区的具体含义：主引导区记录被破坏后，往往会出现“Non-Systemdiskordiskerror,replacediskandpressakeytoreboot”(非系统盘或盘出错)、“ErrorLoadingOperatingSystem”(装入DOS引导记录错误)“NoROMBasic,SystemHalted”(不能进入ROMBasic，系统停止响应)等提示信息。在较为严重的情况下，则不会出现任何信息。主引导记录或者引导扇区都有可能被感染。当感染后，正常的主引导记录或引导扇区的代码被病毒代码替换，电脑启动时首先运行的是病毒代码，正常情况下，病毒代码会一直驻留在内存中等待感染时机。引导病毒感染硬盘后，一般会把原来的主引导记录保存在硬盘上的其他扇区中，若代码超过一个扇区大小，则会分布在几个扇区中。比较完善的引导型病毒会将自己放置在比较安全的地方。9.9病毒特性根据对计算机病毒的产生、传播和破坏行为的分析，可以将计算机病毒概括为以下6个主要特点。1.取得系统控制权

2.自我复制能力3.隐蔽性4.破坏性5.潜伏性6.不可预见性

9.10传播技术计算机病毒的传播方式用户在进行复制磁盘或文件时，把病毒由一个载体复制到另一个载体上，或者通过网络把一个病毒程序从一方传递到另一方，这种传播方式叫做计算机病毒的被动传播。计算机病毒以计算机系统的运行以及病毒程序处于激活状态为先决条件，在病毒处于激活状态下，只要传播条件满足，病毒程序能主动把病毒自身传播给另一个载体或另一个系统，这种传播方式叫做计算机病毒的主动传播。计算机病毒的传播途径：通过不可移动的计算机硬件设备进行传播，即利用专用ASIC芯片和硬盘进行传播；通过移动存储设备来传播，其中U盘和移动硬盘是使用最广泛、移动最频繁的存储介质；通过计算机网络进行传播；通过点对点通信系统和无线通道传播。

计算机病毒的传播过程对于计算机病毒的被动传播而言，其传播过程是随着复制磁盘或文件工作的进行而进行的；对于计算机病毒的主动传播而言，其传播过程是在系统运行时，病毒通过病毒载体，即系统的外存储器进入系统的内存储器，然后常驻内存，并在系统内存中监视系统的运行。

9.11计算机病毒的触发机制病毒的基本特性——感染、潜伏、可触发、破坏。感染使病毒得以传播，破坏性体现了病毒的杀伤能力。感染和破坏行为总是使系统或多或少地出现异常，频繁的感染和破坏会使病毒暴露，而不破坏、不感染又会使病毒失去杀伤力。可触发性是病毒的攻击性和潜伏性之间的调整杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。触发条件——计算机病毒在传染和发作之前，往往哦判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作，这个条件即为病毒的触发条件。目前病毒采用的触发条件主要有以下几种。（1）时间触发（2）键盘触发（3）感染触发（4）启动触发（5）访问磁盘次数触发（6）调用中断功能触发（7）CPU型号/主板型号触发9.12计算机病毒的检测

1．特征代码法2．校验和法3．行为监测法4．分析法

1．特征代码法步骤如下：采集已知病毒样本，在病毒样本中，抽取特征代码。在唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。

将特征代码纳入病毒数据库。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。采用病毒特征代码法的检测工具，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。2.校验和法对正常文件的内容计算其校验和，将该校验和写入文件中保存。在使用文件的过程中，定期地或每次使用文件前，检查文件现在的内容并算出校验和与原来保存的校验和是否一致，可以发现文件是否被感染。3．行为监测法利用病毒的特有行为的特征性检测病毒的方法，称为行为检测法。通过对病毒多年的观察、研究，有一些特殊行为是病毒的共同行为。4．分析法

利用相关的专业知识，通过详细分析病毒文件代码，掌握确切的病毒特征和信息，并从中提取特征码。静态分析法——指利用反汇编程序将病毒代码反汇编后，对程序清单进行分析，从而查看病毒文件的构成，各个模