第十章计算机病毒及防治

第十章计算机病毒及防治10.1计算机病毒概述10.2

DOS环境下的病毒10.3宏病毒10.4网络计算机病毒10.5反病毒技术10.6软件防病毒技术10.7典型病毒实例——CIH病毒介绍10.1计算机病毒概述一、计算机病毒的定义二、计算机病毒的发展历史三、计算机病毒的分类四、计算机病毒的特点五、计算机病毒的隐藏之处和入侵途径六、现代计算机病毒的流行特征七、计算机病毒的破坏行为八、计算机病毒的作用机制一、计算机病毒的定义“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。二、计算机病毒的发展历史1．计算机病毒发展简史

世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。

1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。

2．计算机病毒在中国的发展情况

在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。二、计算机病毒的发展历史3．计算机病毒发展的10个阶段（1）DOS引导阶段

（2）DOS可执行文件阶段

（3）混合型阶段

（4）伴随型阶段

（5）多形型阶段

（6）生成器，变体机阶段

（7）网络，蠕虫阶段

（8）Windows阶段

（9）宏病毒阶段

（10）Internet阶段

二、计算机病毒的发展历史三、计算机病毒的分类病毒种类众多，分类如下：1．按传染方式分为引导型、文件型和混合型病毒2．按连接方式分为源码型、入侵型、操作系统型和外壳型病毒3．按破坏性可分为良性病毒和恶性病毒4．网络病毒四、计算机病毒的特点

（1）刻意编写，人为破坏

（2）自我复制能力

（3）夺取系统控制权

（4）隐蔽性

（5）潜伏性

（6）不可预见性

五、计算机病毒的隐藏之处和入侵途径1．病毒的隐藏之处（1）可执行文件。（2）引导扇区。（3）表格和文档。

（4）Java小程序和ActiveX控件。2．病毒的入侵途径

（1）传统方法

（2）Internet六、现代计算机病毒的流行特征1．攻击对象趋于混合型

2．反跟踪技术

3．增强隐蔽性

4．加密技术处理

5．病毒繁衍不同变种

增强隐蔽性：（1）避开修改中断向量值

（2）请求在内存中的合法身份

（3）维持宿主程序的外部特性

（4）不使用明显的感染标志

六、现代计算机病毒的流行特征加密技术处理：（1）对程序段动态加密

（2）对显示信息加密

（3）对宿主程序段加密

六、现代计算机病毒的流行特征七、计算机病毒的破坏行为

（1）攻击系统数据区

（2）攻击文件

（3）攻击内存

（4）干扰系统运行，使运行速度下降

（5）干扰键盘、喇叭或屏幕

（6）攻击CMOS（7）干扰打印机

（8）网络病毒破坏网络系统

八、计算机病毒的作用机制

1．计算机病毒的一般构成

2．计算机病毒的引导机制

3．计算机病毒的传染机制

4．计算机病毒的破坏机制

一个引导病毒传染的实例假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自举以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段，即97C0：7C00处；然后修改INT13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作：1）读入目标软磁盘的自举扇区（BOOT扇区）。2）判断是否满足传染条件。3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。4）跳转到原INT13H的入口执行正常的磁盘系统操作。

一个文件病毒传染的实例假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改INT21H的中断向量，使之指向病毒传染模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒的传染模块将通过INT21H的调用率先获得控制权，并进行以下操作：1）读出该文件特定部分。2）判断是否传染。3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。4）转回原INT21H入口，对该执行文件进行正常加载。计算机病毒的传染过程计算机病毒的传染过程1）驻入内存。2）判断传染条件。3）传染。

10.2

DOS环境下的病毒一、DOS基本知识介绍二、常见DOS病毒分析一、DOS基本知识介绍

1．DOS的基本结构

2．DOS启动过程

3．DOS的程序加载过程

4．DOS的中断系统

1．DOS的基本结构（1）引导记录模块

（2）基本输入输出管理模块

（3）核心模块

（4）SHELL模块

2．DOS启动过程PCX86系列计算机设计时，都使地址0FFFF0H处于ROM区中，并将该地址的内容设计为一条跳转指令并首先执行它，这样就将控制权交给了自检程序和ROM引导装入程序。启动过程为：硬件自检→自举→系统初始化→内核初始化→建立系统运行环境→COMMAND.COM初始化。3．DOS的程序加载过程（1）COMMAND处理命令的过程

（2）.EXE文件的加载

（3）.COM文件的加载

4．DOS的中断系统（1）中断向量表

（2）中断响应过程

（3）计算机病毒经常使用的中断

多数病毒经常使用磁盘服务中断和时钟中断。1）ROMBIOS软中断INT13H。

2）磁盘逻辑扇区读/写中断INT25H、INT26H。

3）间隔时钟中断INT1CH。

4）时钟中断INT8H。是ROMBIOS硬中断，其向量地址为0000:0020H~0000:0023H。

5）屏幕显示中断INT10H。向量地址为0000:0040H~0000:0043H。

6）程序正常结束中断INT20H。是DOS软中断，其向量地址为0000:0080~0000:0083H。

7）系统功能调用中断INT21H。

二、常见DOS病毒分析1．引导记录病毒

（1）引导型病毒的传播、破坏过程

（2）引导型病毒实例：火炬病毒

2．文件型病毒（1）文件型病毒的类型（2）文件型病毒的感染方式

（3）.COM文件的感染

（4）.EXE文件的感染

（5）.SYS文件的感染

（a）引导型病毒（b）文件型病毒图10.1病毒的传播、破坏过程10.3宏病毒一、宏病毒的分类二、宏病毒的行为和特征三、宏病毒的特点四、宏病毒的防治和清除方法一、宏病毒的分类1．公（共）用宏病毒这类宏病毒对所有的Word文档有效，其触发条件是在启动或调用Word文档时，自动触发执行。它有两个显著的特点：1）只能用“Autoxxxx”来命名，即宏名称是用“Auto”开头，xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。2）它们一定要附加在Word共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时，它们应是附加在Normal.dot模板上，或者首先要能将自己写进这样的模板才行。2．私用宏病毒私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。一、宏病毒的分类二、宏病毒的行为和特征宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows95/98/NT、OS/2、MacintoshSystem7等操作系统上执行病毒行为。

宏病毒的主要特征如下：1）宏病毒会感染.DOC文档和.DOT模板文件。

2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。

3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。

4）宏病毒中总是含有对文档读写操作的宏命令。5）宏病毒在.DOC文档、.DOT模板中以BFF（BinaryFileFormat）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。6）宏病毒具有兼容性。

二、宏病毒的行为和特征三、宏病毒的特点1．传播极快

2．制作、变种方便3．破坏可能性极大

四、宏病毒的防治和清除方法Word宏病毒，是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的编制、发作过程之后，即使是普通的计算机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。

1．查看“可疑”的宏

2．按使用习惯编制宏

3．防备Autoxxxx宏

4．小心使用外来的Word文档

5．使用选项“PrompttoSaveNormalTemplate”

6．通过Shift键来禁止运行自动宏

7．查看宏代码并删除

8．使用DisableAutoMarcros宏

9．使用OFFICE97的报警设置

10．设置Normal.dot的只读属性

11．Normal.dot的密码保护

12．创建Payload宏

13．使用WordViewer或WordPad14．将文档存储为RTF格式

10.4网络计算机病毒一、网络计算机病毒的特点二、网络对病毒的敏感性三、网络病毒实例——电子邮件病毒一、网络计算机病毒的特点

在网络环境中，计算机病毒具有如下一些新的特点：（1）传染方式多

（2）传染速度快

（3）清除难度大

（4）破坏性强

（5）可激发性

（6）潜在性

二、网络对病毒的敏感性1．网络对文件病毒的敏感性2．网络对引导病毒的敏感性3．网络对宏病毒的敏感性1．网络对文件病毒的敏感性（1）网络服务器上的文件病毒

（2）端到端网络上的文件病毒

（3）Internet上的文件病毒

2．网络对引导病毒的敏感性（1）网络服务器上的引导病毒

（2）端到端网络上的引导病毒

（3）Internet上的引导病毒

3．网络对宏病毒的敏感性（1）网络服务器上的宏病毒

（2）端到端网络上的宏病毒

（3）Internet上的宏病毒

三、网络病毒实例——电子邮件病毒1．电子邮件病毒的特点（1）邮件格式不统一，杀毒困难

（2）传播速度快，传播范围广，破坏力大

2．电子邮件病毒的防范措施

1）首先，不要轻易打开陌生人来信中的附件文件。

2）对于比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行。

3）给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事。

4）不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范。5）使用优秀的防毒软件对电子邮件进行专门的保护。

6）使用防毒软件同时保护客户机和服务器。

7）使用特定的SMTP杀毒软件。

三、网络病毒实例——电子邮件病毒10.5反病毒技术一、计算机病毒的检测二、计算机病毒的防治三、计算机感染病毒后的修复一、计算机病毒的检测1．异常情况判断2．计算机病毒的检查1．异常情况判断计算机工作出现下列异常现象，则有可能感染了病毒：1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。4）硬盘不能引导系统。5）磁盘上的文件或程序丢失。

6）磁盘读/写文件明显变慢，访问的时间加长。7）系统引导变慢或出现问题，有时出现“写保护错”提示。8）系统经常死机或出现异常的重启动现象。9）原来运行的程序突然不能运行，总是出现出错提示。10）打印机不能正常启动。1．异常情况判断2．计算机病毒的检查（1）检查磁盘主引导扇区（2）检查FAT表（3）检查中断向量（4）检查可执行文件（5）检查内存空间（6）根据特征查找二、计算机病毒的防治1．建立、健全法律和管理制度

2．加强教育和宣传

3．采取更有效的技术措施

4．网络计算机病毒的防治

采取更有效的技术措施（1）系统安全

（2）软件过滤

（3）文件加密

（4）生产过程控制

（5）后备恢复

（6）其他有效措施

其他有效措施1）重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。2）消灭传染源。

3）建立程序的特征值档案。4）严格内存管理。5）严格中断向量的管理。6）强化物理访问控制措施7）一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。防范计算机网络病毒的一些措施：1）在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。

2）在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。

3）对非共享软件，将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器上，定期从服务器上拷贝到本地硬盘上进行重写操作。4）接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。5）工作站采用防病毒芯片，这样可防止引导型病毒。6）正确设置文件属性，合理规范用户的访问权限。

7）建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。

8）目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如LANProtect和LANClearforNetWare等。9）为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet，用户与网络之间进行隔离。

三、计算机感染病毒后的修复1．修复引导记录病毒（1）修复感染的软盘（2）修复感染的主引导记录（3）利用反病毒软件修复2．修复可执行文件病毒即使有经验的用户也会认为修复文件病毒感染很困难。一般要先用杀病毒软件杀毒，再用未感染的备份拷贝代替它，这是修复被感染程序文件的最有效途径。如果得不到备份，反病毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序文件。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。三、计算机感染病毒后的修复10.6软件防病毒技术一、防、杀毒软件的选择二、反病毒软件三、常用反病毒软件产品一、防、杀毒软件的选择1．防、杀毒软件的选购指标

2．上网一族常用的防、杀毒软件

3．著名杀毒软件公司的站点地址

1．防、杀毒软件的选购指标（1）扫描速度

（2）识别率

（3）病毒清除测试

2．上网一族常用的防、杀毒软件Command'sF－PROT专业版ForWin95。NortonAntiVirusForWin95。NortonAntiVirusForWinNT。PC－CillinAnti－VirusForWin95。VirusScanForWin95。WebScanXForWin95或NT。eSafeProtectForWin95等等。3．著名杀毒软件公司的站点地址表8.1著名杀毒软件公司的网址二、反病毒软件1．病毒扫描程序

2．内存扫描程序

3．完整性检查器

4．行为监视器

1．病毒扫描程序（1）串扫描算法

（2）入口点扫描算法

（3）类属解密法

2．内存扫描程序内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件和引导记录病毒。尽管病毒可以毫无觉察的把自己隐藏在程序和文件中，但病毒不能在内存中隐藏自己。因此内存扫描程序可以直接搜索内存，查找病毒代码。如果一个反病毒产品不使用内存扫描，其病毒检测技术是很不完善的，很可能漏查、漏杀某些病毒。3．完整性检查器完整性检查器的工作原理基于如下的假设：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。这样，计算机在未感染状态，取得每个可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中。

完整性检查器是一种强有力的防病毒保护方式。因为几乎所有的病毒都要修改可执行文件引导记录，包括新的未发现的病毒，所以它的检测率几乎百分之百。引起完整性检查器失效的可能有：有些程序执行时必须要修改它自己；对已经被病毒感染的系统再使用这种方法时，可能遭到病毒的蒙骗等。4．行为监视器行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动，它就会通知用户，并且让用户决定这一类活动是否继续。三、常用反病毒软件产品

随着世界范围内计算机病毒的大量流行，病毒编制花样不断变化，反病毒软件也在经受一次又一次考验，各种反病毒产品也在不断地推陈出新、更新换代。这些产品的特点表现为技术领先、误报率低、杀毒效果明显、界面友好、良好的升级和售后服务技术支特、与各种软硬件平台兼容性好等方面。常用的反病毒软件有KV3000、瑞星（2001版）等。10.7典型病毒实例——CIH病毒介绍一、CIH病毒简介二、恢复被CIH病毒破坏的硬盘信息三、CIH病毒的免疫一、CIH病毒简介1．CIH病毒分析CIH病毒是迄今为止发现的最阴险、危害最大的病毒之一。它发作时不仅破坏硬盘的引导扇区和分区表，而且破坏计算机系统FLASHBIOS芯片中的系统程序，导致主板损坏。2．CIH病毒发作时的现象CIH病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统BOOT区，改写硬盘数据，破坏FLASHBIOS，用随机数填充FLASH内存，导致机器无法运行。所以该病毒发作时仅会破坏可升级主板的FLASHBIOS。二、恢复被CIH病毒破坏的硬盘信息1．修复硬盘分区表信息

2．恢复C分区上的数据

3．查杀CIH病毒后的遗留问题

1．修复硬盘分区表信息1）准备一张无病毒的启动盘，注意要根据原有操作系统及分区情况制作FAT16或FA