第一讲计算机病毒的概述

第一讲计算机病毒的概述课程目标理解病毒的概念熟悉病毒的发展史掌握病毒的特点掌握病毒的分类掌握病毒的结构掌握病毒的识别与防治病毒的概念计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

病毒的发展史1．DOS时代

DOS是一个安全性较差的操作系统，所以在DOS时代，计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为：系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。2．Windows时代1995年8月，微软发布Windows95，标志着个人电脑的操作系统全面进入了Windows9X时代，而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。

3．Internet时代可以这样说，网络病毒大多是Windows时代宏病毒的延续，它们往往利用强大的宏语言读取用户E-mail软件的地址簿，并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。病毒的特点1．传染性:传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。2．破坏性:计算机病毒可以破坏系统，删除或修改数据，占用系统资源，干扰计算机的正常工作，严重的可使整个系统陷于瘫痪。3．隐蔽性:计算机病毒进入计算机以后常常不是立即发生，它可以有足够的时间去实现感染和破坏作用。病毒的特点4．潜伏性:计算机病毒侵入计算机以后可潜伏在合法的文件中并不立即发作。经过一段时间或一旦买组了某些条件病毒便开始发作，触发计算机条件可以是某个日期、某个时间等。各种病毒潜伏期不同，短这数天、数月，长者可达数年之久。5．不可预见性病毒的传播途径通过移动存储设备来传播（包括软盘、光盘、U盘等）。通过计算机网络进行传播。3.通过点对点通信系统和无线通道传播。病毒的分类一、按传染方式分类1．系统引导病毒系统引导病毒又称引导区型病毒。直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。2．文件型病毒文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时，感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，直到病毒又被激活。病毒的分类3.复合型病毒复合型病毒有引导区型病毒和文件型病毒两者的特征。既感染引导区又感染文件，因此扩大了这种病毒的传染途径。4.宏病毒宏病毒一般是指用WordBasic书写的病毒程序，寄存在MicrosoftOffice文档上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。当打开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。病毒的分类病毒的分类二、按破坏性分类

1、良性病度:可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。

2、恶性病毒:有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。病毒的结构

计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分三部分组成。1.引导部分也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。2.传染部分作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows95/98操作系统。3.表现部分是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。病毒的结构病毒的危害1、攻击系统数据区。攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。2、攻击文件。病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。3、攻击内存。内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。病毒的危害4、干扰系统运行。不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。5、速度下降。不少病毒在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。6、攻击磁盘。攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。7、扰乱屏幕显示。字符显示错乱、跌落、环绕、倒置、光标下跌、滚屏、抖动、吃字符等。病毒的危害8、攻击键盘。响铃、封锁键盘、换字、抹掉缓存区字符、重复输入。9、攻击喇叭。发出各种不同的声音，如演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声10、攻击CMOS。对CMOS区进行写入动作，破坏系统CMOS中的数据。11、干扰打印机。间断性打印、更换字符等。病毒的识别与防治1.病毒发作常见的现象

下列一些异常现象可以作为检测病毒的参考：程序装入时间比平时长，运行异常；有规律的发现异常信息；用户访问设备（例如打印机）时发现异常情况，如打印机不能联机或打印符号异常；磁盘的空间突然变小了，或不识别磁盘设备；程序和数据神秘的丢失了，文件名不能辨认；显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、圆点等）；机器经常出现死机现象或不能正常启动；发现可执行文件的大小发生变化或发现不知来源的隐藏文件。2.病毒预防在计算机上安装病毒监控程序；使用他人的软盘、U盘要先查毒；不使用盗版软件；使用从网络上下载的软件要先查毒；不接受来历不明的电子邮件。3.病毒清除目前病毒的破坏力越来越强，几乎所有的软、硬件故障都可能与病毒有牵连，所以，当操作时发现计算机有异常情况，首先应怀疑的就是病毒在作怪，而最佳的解决办法就是利用杀毒软件对计算机进行一次全面的清查。病毒的识别与防治网络病毒及其防治网络病毒的特点网络病毒的传播网络病毒的防治

网络反病毒技术的特点病毒防火墙的反病毒的特点网络病毒的特点1．传染方式多2．传播速度快3．清除难度大4．破坏性强网络病毒的传播1．文件病毒在网络上的传播与表现局域网：大多数公司使用局域网文件服务器，用户直接从文件服务器复制已感染的文件。用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络上其他可执行文件。用户在工作站上执行内存驻留文件带毒，当访问服务器上的可执行文件时进行感染。对等网：使用网络的另一种方式是对等网络，在端到端网络上，用户可以读出和写入每个连接的工作站上本地硬盘中的文件。因此，每个工作站都可以有效地成为另一个工作站的客户和服务器。而且，端到端网络的安全性很可能比专门维护的文件服务器的安全性更差。这些特点使得端到端网络对基于文件的病毒的攻击尤其敏感。如果一台已感染病毒的计算机可以执行另一台计算机中的文件，那么这台感染病毒计算机中的活动的、内存驻留病毒能够立即感染另一台计算机硬盘上的可执行文件。网络病毒的传播网络病毒的传播

Internet：文件病毒可以通过Internet毫无困难地发送。而可执行文件病毒不能通过Internet在远程站点感染文件。此时Internet是文件病毒的载体。网络病毒的防治1．基于工作站的防治方法工作站病毒防护芯片:将防病毒功能集成在一个芯片上，安装于网络工作站，以便经常性地保护工作站及其通往服务器的途径。其基本原理是:网络上的每个工作站都要求安装网络接口卡，而网络接口上有一个BootROM芯卡，因为多数网卡的BootROM并没有充分利用，都会剩余一些使用空间，所以如果防毒程序够小的话，就槽内，用户可以免去许多繁琐的管理工作。可以安装在网络的BootROM的剩余空间内，而不必另插一块芯片。这样，将工作站存取控制与病毒保护能力合二为一地插在网卡的RPROM2．基于服务器的防治方法目前，基于服务器的防治病毒方法大都采用了以NLM（NetwWareLoadableModule）可装载模块技术进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上较有代表性的产品，如：Intel公司的LANdeskVirusProtect和Symantec公司的CenterPointAnti一Virus和S&SSoftwareInternational公司的Dr．Solomon’sAnti—VirusToolkit，以及我国北京威尔德电脑公司的LANClear网络病毒的防治网络反病毒技术的特点1．网络反病毒技术的安全度取决于“木桶理论”被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面，它同样也适用于这一理论。一个计算机网络，对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。2．网络反病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则该技术符合“最小占用”原则，对网络运行效率不产生本质影响。网络反病毒产品是网络应用的辅助产品，因此对网络反病毒技术，尤其是网络病毒实时监测技术，在自身的运行中不应影响网络的正常运行。网络反病毒技术的应用，理所当然会占用网络系统资源（增加网络负荷、额外占用CPU、占用服务器内存等）。正由于此，网络反病毒技术应符合“最小占用”原则，以保证网络反病毒技术和网络本身都能发挥出应有的正常功能。网络反病毒技术的特点3.网络反病毒技术的兼容性是网络防毒的重点与难点网络上集成了那么多的硬件和软件，流行的网络操作系统也有好几种，按照一定网络反病毒技术开发出来的网络反病毒产品，要运行于这么多的软、硬件之上，与它们和平共处，实在是非常之难，远比单机反病毒产品复杂。这既是网络反病毒技术必须面对的难点，又是其必须解决的重点。网络反病毒技术的特点网络蠕虫的传统威胁消耗网络资源导致网络拥塞甚至瘫痪特点：不可控（感染范围、所阻塞的网络）攻击者不（直接）受益趋势：更强的能力（感染规模、蔓延速度）“定向”能力（IPv6地地址分配规则确定之后会更容易？）“自适应”能力争议：是否还是主要威胁？典型病毒介绍宏病毒电子邮件病毒

几个病毒实例

宏病毒1．宏病毒的定义所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的工作。所谓宏病毒，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。2．宏病毒的分类宏病毒根据传染的宿主的不同可以分为：传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。由于目前国内Word系统应用较多，所以大家谈论的宏病毒一般是指Word宏病毒。宏病毒3．Word宏病毒的特点（1）以数据文件方式传播，隐蔽性好，传播速度快，难于杀除（2）制作宏病毒以及在原型病毒上变种非常方便（3）破坏可能性极大宏病毒4．Word宏病毒的表现

Word宏病毒在发作时，会使Word运行出现怪现象，如自动建文件、开窗口、内存总是不够、关闭WORD不对已修改文件提出未存盘警告、存盘文件丢失等，有的使打印机无法正常打印。Word宏病毒在传染时，会使原有文件属性和类型发生改变，或Word自动对磁盘进行操作等。当内存中有Word宏病毒时，原Word文档无法另存为其他格式的文件，只能以模板形式进行存储。宏病毒5．Word宏病毒的防范（1）对于已染病毒的NORMAL.DOT文件，首先应将NORMAL.DOT中的自动宏清除，然后将NORMAL.DOT置成只读方式。（2）对于其它已感染病毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。（3）平时使用时要加强防范。定期检查活动宏表，对来历不明的宏最好予以删除；如果发现后缀为.DOC的文件变成模板（.DOT）时，则可怀疑其已染宏病毒，其主要表现是在SaveAs文档是，选择文件类型的框变为灰色。宏病毒（4）在启动Word、创建文档、打开文档、关闭文档以及退出Word时，按住SHIFT键可以阻止自动宏的运行。例如，当用含有AutoNew宏的模板新建一文档时，在“新建”对话框中单击“确定”按钮时按住SHIFT键，就可以阻止AutoNew宏的执行。（5）存储一个文档时，务必明确指定该文档的扩展名。宏病毒总是试图把模板文件的扩展名加到你指定的文件名后面，无论扩展名是否已经存在。例如，你指定文件名如下TEST.DOC，最终这个文件名会变为TEST.DOC.DOT，显然这个文件名在DOS下不可接受的。由此就可以察觉到宏病毒的存在。宏病毒宏病毒6．宏病毒的清除（1）手工清除Word宏病毒（2）使用杀毒软件清除Word宏病毒电子邮件病毒

电子邮件病毒的防范:（1）思想上要有防毒意识（2）使用防毒软件几个病毒实例1．CIH病毒

CIH病毒是一种文件型病毒，主要传染Windows95／98应用程序。该病毒发作时，破坏计算机系统FlashMemory芯片中的BIOS系统程序，导致系统主板损坏，同时破坏硬盘中的数据。CIH病毒是首例直接攻击、破坏硬件系统的计算机病毒，是迄今为止破坏力最为严重的病毒之一。

2．“台湾1号”宏病毒在每月13日，若用户使用打开一个带“台湾1号”宏病毒的Word文档（模板）时，该病毒会被激发。激发时的现象是：在屏幕正中央弹出一个对话框，该对话框提示用户做一个心算题，如做错，它将会无限制地打开文件，直至Word内存不够，Word出错为止；如心算题作对，会提示用户“什么是巨集病毒（宏病毒）？”，回答是“我就是巨集病毒”，再提示用户：“如何预防巨集病毒？”，回答是“不要看我”。几个病毒实例几个病毒实例3.“冲击波”（WORM＿MSBlast.A）2003年8月11日，一种名为“冲击波”（WORM＿MSBlast.A）的新型蠕虫病毒开始在互联网和部分专用信息网络上传播。该病毒利用Windows系统的漏洞，如疾风般横扫全球各地计算机，其传播速度快、波及范围广，对计算机正常使用和网络运行造成严重影响，并且已经造成某些服务器停顿及企业Internet网络拥塞无法使用。计算机防毒软件厂商趋势科技的病毒分析师指出，这种蠕虫在互联网上广泛扫描没有安装补丁的Windows2000/XP/2003计算机，能够在25分钟之内感染这种计算机。据估计“冲击波”可能已经感染了全球一两亿台计算机。几个病毒实例4．电子邮件炸弹电子邮件炸弹是指发件者以不明来历的电子邮件地址，不断重复将电子邮件寄于同一个收件人。由于情况就像是战争时利用某种战争工具对同一个地方进行大轰炸，因此称为电子邮件炸弹（E－mailBomber）。几个病毒实例5．“小邮差”最新变种（Worm.Mimail.c）最近网络上流行一种恶性蠕虫“小邮差”最新变种（Worm.Mimail.c），该蠕虫病毒继承了原版本发送邮件功能，利用自带的邮件服务器疯狂发送带毒邮件，在用户邮箱中以信息的形式出现，主题大多是“我们的私人照片”（ourprivatephotos）。并且病毒主程序采用双后缀名，使用其看起来和图片文件一样，加大了病毒的欺骗性。引诱用户打开附件，病毒激活后会随机发起DoS(拒绝服务式攻击)，大量浪费网络资源。Norton（诺顿）杀毒软件瑞星杀毒软件KV3000常用杀毒软件介绍

Norton（诺顿）杀毒软件

NortonAntiVirus具有以下特点：1．保护计算机远离病毒的威胁2．自动清除病毒3．加强了对未知病毒的预防能力4．完善的安全响应机制，以对付最新病毒的威胁