第7章-计算机病毒

第7章计算机病毒

本章要点：计算机病毒概述计算机病毒的分类计算机病毒的工作原理反病毒技术常见计算机病毒介绍常用杀毒软件17.1计算机病毒概述计算机病毒的定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的发展历史2计算机病毒的危害破坏磁盘文件分配表删除软盘或磁盘上的可执行文件或数据文件，使文件丢失修改或破坏文件中的数据产生垃圾文件，占据磁盘空间，使磁盘空间逐渐减少破坏硬盘的主引导扇区，使计算机无法启动对整个磁盘或磁盘的特定扇区进行格式化，使磁盘中的全部或部分信息丢失破坏计算机主板上的BIOS内容，使计算机无法正常工作破坏网络中的资源占用CPU运行时间，使运行效率降低破坏屏幕正常显示，干扰用户的操作破坏键盘的输入程序，使用户的正常输入出现错误破坏系统设置或对系统信息加密，使用户系统工作紊乱3计算机病毒的特征

传染性潜伏性破坏性隐蔽性触发性衍生性寄生性持久性

4按照病毒的传染途径进行分类，可划分为引导型病毒、文件型病毒和混合型病毒:引导型病毒文件型病毒混合型病毒按照病毒的传播媒介分类:单机病毒网络病毒按照病毒的表现性质分类:良性病毒恶性病毒

7.2计算机病毒的分类5按照病毒破坏的能力分类:无害型病毒无危险型病毒危险型病毒非常危险型病毒按照病毒的攻击对象分类:攻击DOS的病毒攻击Windows的病毒攻击网络的病毒7.2计算机病毒的分类6计算机病毒的结构:引导部分传染部分表现部分引导型病毒的工作原理:加载过程传染过程破坏过程文件型病毒的工作原理:加载过程传染过程发作过程7.3计算机病毒的工作原理77.4反病毒技术反病毒技术的发展第一代反病毒技术是采取单纯的病毒特征代码分析，将病毒从带毒文件中清除掉。

第二代反病毒技术是采用静态广谱特征扫描方法检测病毒表现部分。

第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一。第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理。87.4反病毒技术从杀毒技术上来讲，当前，最流行的杀毒软件都是一个扫描器，扫描的算法有多种，通常为了使杀毒软件功能更强大，会结合使用好几种扫描方法。简单特征码80年代末期，基于个人电脑病毒的诞生，随即就有了清除病毒的工具──反病毒软件。这一时期，病毒所使用的技术还比较简单，从而检测相对容易，最广泛使用的就是特征码匹配的方法。特征码是什么呢？比如说，“如果在第1034字节处是下面的内容：0xec,0x99,0x80,0x99，就表示是大麻病毒。”这就是特征码，一串表明病毒自身特征的十六进制的字串。特征码一般都选得很长，有时可达数十字节，一般也会选取多个，以保证正确判断。杀毒软件通过利用特征串，可以非常容易的查出病毒。97.4反病毒技术广谱特征为了躲避杀毒软件的查杀，电脑病毒开始进化。病毒为了躲避杀毒软件的查杀，逐渐演变为变形的形式，每感染一次，就对自身变一次形，通过对自身的变形来躲避查杀。这样一来，同一种病毒的变种病毒大量增加，甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连续字节是相同的。为了对付这种情况，首先特征码的获取不可能再是简单的取出一段代码来，而是分段的，中间可以包含任意的内容（也就是增加了一些不参加比较的“掩码字节”，在出现“掩码字节”的地方，出现什么内容都不参加比较）。这就是曾经提出的广谱特征码的概念。这个技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀，并且还可能把正规程序当作病毒误报给用户.107.4反病毒技术启发式扫描为了对付病毒的不断变化和对未知病毒的研究，启发式扫描方式出现了。启发式扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如非常规读写文件，终结自身，非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。这种启发式扫描比起静态的特征码扫描要先进的多，可以达到一定的未知病毒处理能力，但还是会有不准确的时候。特别是因为无法确定一定是病毒，而不可能做未知病毒杀毒。

117.4反病毒技术

行为判定针对变形病毒、未知病毒等复杂的病毒情况，极少数杀毒软件采用了虚拟机技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的，由软件模拟出来的程序虚拟运行环境，就像我们看的电影《黑客帝国》一样。在这一环境中虚拟执行的程序，就像生活在母体(Matrix)中的人，不论好坏，其一切行为都是受到建筑师(architect)控制的。虽然病毒通过各种方式来躲避杀毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。127.4反病毒技术CRC检查:循环冗余校验CRC(Cyclic

RedundancyCheck)是对一个传送数据块进行高效的差错控制方法。CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和)，这些CRC值被杀毒软件保存到自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，这样就可以知道文件是否已经修改或被病毒感染。137.4反病毒技术虚拟机(行为判定)就像是一个侦探，可以根据对人的行为识别犯罪活动；启发式扫描就像是警察，看你身上携带了枪支而怀疑你；广谱特征是拿着照片追查已知的罪犯，但是会注意是否带了假发或者墨镜来逃避检查；而特征码识别就只是通过对人的外貌来判断。14病毒防治常用方法1．计算机内要运行实时的监控软件和防火墙软件。当然，这些软件必须是正版的。例如：瑞星、KV、诺顿、金山毒霸、卡巴斯基等杀毒软件；2．要及时的升级杀毒软件的病毒库；3．如果用的是Windows操作系统，最好经常到微软网站查看有无最新发布的补丁，以便及时升级；4．不要打开来历不明的邮件，特别是有些附件；5．接收远程文件时，不要直接将文件写入硬盘，最好将远程文件先存入软盘，然后对其进行杀毒，确认无毒后再拷贝到硬盘中。6．尽量不要共享文件或数据。7．最后，就是要对重要的数据和文件做好备份，最好是设定一个特定的时间，例如每晚12:00，系统自动对当天的数据进行备份；157.4.3Windows病毒防范技术1．经常对系统升级并经常浏览微软的网站去下载最新补丁2．正确配置Windows操作系统在安装完Windows操作系统以后，一定要对系统进行配置，这对Windows操作系统防病毒起着至关重要的作用，正确的配置也可以使Windows操作系统免遭病毒的侵害。(1)正确配置网络。(2)正确配置服务3．利用Windows系统自带的工具(1)利用注册表工具(2)利用Msinfo32.exe命令(查看全面的系统信息)167.4.3Windows病毒防范技术177.5典型病毒7.5.1蠕虫病毒1.蠕虫病毒的定义2.蠕虫病毒与一般病毒的异同下表给出了蠕虫病毒和普通病毒的区别。普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行指令代码执行直接攻击传染目标本地文件网络上的计算机187.5.1蠕虫病毒3.蠕虫造成的破坏4.蠕虫病毒的特点和发展趋势1) 利用操作系统和应用程序的漏洞主动进行攻击2) 传播方式多样3) 病毒制作技术与传统的病毒不同4) 与黑客技术相结合5.网络蠕虫病毒分析和防范1) 利用系统漏洞的恶性蠕虫病毒分析2) 企业防范蠕虫病毒措施3) 对个人用户产生直接威胁的蠕虫病毒4) 个人用户对蠕虫病毒的防范措施197.5.2网页脚本病毒1.脚本病毒的定义脚本病毒是指利用.asp、.htm、.html、.vbs、.js类型的文件进行传播的基于VBScript和JavaScript脚本语言并由WindowsScriptingHost解释执行的一类病毒。2.脚本病毒的特点(1) 编写简单。(2) 破坏力大。(3) 感染力强。(4) 传播范围大。(5) 病毒源码容易被获取，变种多。(6) 欺骗性强。(7) 病毒生产机实现起来非常容易。207.5.2网页脚本病毒3.VBS脚本病毒原理分析1) VBS脚本病毒如何感染、搜索文件2) VBS脚本病毒通过网络传播的几种方式及代码分析

(1) 通过E-mail附件传播。(2) 通过局域网共享传播。(3) 通过感染htm、asp、jsp、php等网页文件传播。217.5.2网页脚本病毒4.防范脚本病毒的安全建议(1) 养成良好的上网习惯，不浏览不熟悉的网站，尤其是一些个人主页和色情网站，从根本上减少被病毒侵害的机会。(2) 选择安装适合自身情况的主流厂商的杀毒软件，安装个人防火墙，在上网前打开“实时监控功能”，尤其要打开“网页监控”和“注册表监控”两项功能。(3) 将正常的注册表进行备份，或者下载注册表修复程序，一旦出现异常情况，马上进行相应的修复。(4) 如果发现不良网站，立刻向有关部门报告，同时将网站添加到“黑名单”中，如图4-1所示。227.5.2网页脚本病毒(5) 提高IE等浏览器的安全级别。将IE的安全级别设置为“高”，如图所示。237.5.3即时通讯病毒1.即时通讯病毒的特点及分类1) 更强的隐蔽性2) 攻击更加便利3) 更快的传播速度247.5.3即时通讯病毒2.防范即时通讯病毒的安全建议(1) 尽量不要在公共场合使用IM软件(2) 随时注意微软公司官方的安全公告，及时下载更新系统漏洞补丁，不给病毒制造者以可乘之机。(3) 养成良好的上网习惯，时刻提高警惕。(4) 制定适合公司环境的内部信息交换规范，严格管理并实时监测内部员工IM软件的使用情况。(5) 关闭或删除系统中不需要的服务。(6) 建议使用8位以上的复杂密码。(7) 当发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，感染其他计算机。(8) 使用最新版本的主流信息安全产品，提高系统安全级别。257.5.4木马病毒1.木马病毒的定义计算机世界的特洛伊木马(Trojan)病毒(也叫黑客程序或后门病毒)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、发送密码、记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。

267.5.4木马病毒2.木马病毒的工作原理木马病毒一般分为客户端(Client)和服务器端(Server)两部分。

服务器端收到请求后会根据请求执行相应的操作，其中包括：查看文件系统，修改、删除、获取文件；查看系统注册表，修改系统配置；截取计算机的屏幕显示，并且发送给控制端；查看系统中的进程，启动和停止进程；控制计算机的键盘、鼠标或其他硬件设备的动作；以本机为跳板，攻击网络中的其他计算机；通过网络下载新的病毒文件。277.5.4木马病毒3.木马病毒的危害及特点1) 隐蔽性2) 自动运行性3) 欺骗性4) 自动恢复5) 自动打开端口6) 功能的特殊性287.5.4木马病毒4.防范木马病毒的安全建议(1) 使用正版的杀毒软件和防火墙产品，并对杀毒软件和防火墙进行合理配置。(2) 使用工具软件隐藏本机的真实IP地址。(3) 注意电子邮件安全，尽量不要在网络中公开自己关键的邮箱地址，不要打开陌生地址发来的电子邮件，更不要在没有采取任何安全措施的情况下下载或打开邮件的附件。(4) 在使用即时通讯软件时，不要轻易运行“朋友”发来的程序或链接。(5) 尽量少浏览和访问个人网站。(6) 不用隐藏文件的扩展名。(7) 定期检查计算机的启动配置，熟悉每一个配置对应的文件，一旦发现没见过的启动项，要立即检查是否是病毒建立的。(8) 定期检查系统服务管理器中的服务，检查是否有病毒新建的服务进程。(9) 根据文件创建日期定期检查系统目录下是否有近期新建的可执行文件，如果有的话，很可能是病毒文件。297.6常见计算机病毒介绍CIH病毒CIH病毒介绍CIH病毒的传播方法CIH病毒的防范和清除－防范CIH病毒－清除CIH病毒Word宏病毒宏病毒介绍Word宏病毒的传播方法Word宏病毒的防范和清除307.6常见计算机病毒介绍317.6.3冲击波病毒1．冲击波病毒介绍2．冲击波病毒的特征（1）反复重新启动计算机；（2）Windows界面下的某些功能无法正常使用；（3）Office等文件无法正常使用，一些功能如“复制”、“粘贴”等无法使用。（4）用IE浏览器无法打开链接，网络速度明显变慢；3．冲击波病毒的防范和清除如果一台计算机不幸感染了冲击波病毒，可按如下方法进行清除：（1）断开与网络的所有连接；（2）终止病毒运行。（3）查找注册表中的主键值。（4）为系统的RPC漏洞，打上安全的补丁，并重新启动计算机。（5）关闭135端口、69端口。（6）运行杀毒软件，再对系统进行彻底的杀毒工作。327.6.4振荡波病毒1．振荡波病毒介绍2．振荡波病毒的特征当用户的计算机出现如下特征时，表明该计算机可能感染了振荡波病毒。（1）病毒一旦感染系统，会开启上百个线程，占用大量系统资源，使CPU占用率达到100%，系统运行速度极为缓慢。（2）系统感染病毒后，会在内存中产生名为avserve.exe的进程，您可以同时按下Ctrl+Shift+Esc三个按键，调出"Windows任务管理器"，然后在"进程"中查看系统中是否存在该进程。（3）病毒感染系统后，会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒程序。（4）病毒感染系统后，会将"avserve.exe"="%WINDOWS%\avserve.exe"，加入注册表键值中：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。337.6.4振荡波病毒3．振荡波病毒的防范和清除（1）立刻将网络断开。（2）查找名为avserve.exe和*_up.exe的文件，并将其删除。（3）运行注册表编辑器，打开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，并删除窗口右侧的“avserve”=”c:\winnt\avserve”。（4）下载微软补丁程序，网址为：/china/technet/security/bulletin/ms04-011.mspx（5）迅速升级杀毒软件到最新版本，然后打开个人防火墙，将安全等级设置为中、高级，关闭TCP的5554端口以阻止SASSER蠕虫通过TCP进行文件传输。（6）运行杀毒软件，再对系统进行彻底的杀毒工作。347.6.5熊猫烧香病毒1．熊猫烧香病毒介绍2．解决办法（1）立即检查本机administrators组成员口令，一定要重新设置,放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合。（2）利用组策略，关闭所有驱动器的自动播放功能。（3）修改文件夹选项，以查看不明文件的真实属性，避免无意打开病毒程序。（4）时刻保持操作系统获得最新的安全更新，不要随意访问来源不明的网站，特别是微软的MS06-014漏洞，应立即打好该漏洞补丁。同时，QQ、UC的漏洞也可以被该病毒利用，因此，用户应该去他们的官方网站打好最新补丁。此外，由于该病毒会利用IE浏览器的漏洞进行攻击，因此用户还应该给IE打好所有的补丁。（5）启用Windows防火墙保护本地计算机。（6）局域网用户尽量避免创建可写的共享目录。357.6.6其他类型病毒1．后门工具(BackDoor.XXX)后门工具一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。如灰鸽子Backdoor.Huigezi，灰鸽子是国内一款著名后门。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。这就好比火药，用在不同的场合，给人类带来不同的影响。367.6.6其他类型病毒2．黑客工具(HackTool.XXX)黑客工具是黑客用来入侵其它计算机的工具，它既可以作为主要工具，也可以作为一个跳板工具安装在计算机上供黑客侵入计算机系统使用。如流光、X-scan。3．广告软件(Adware.XXX)Adware就是传统意义上的广告软件，处于商业目的。广告软件是在未经用户许可的情况下，下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序，弹出让用户非常反感的广告，并偷偷收集用户个人信息，转交给第三方。安装广告软件之后，往往造成系统运行缓慢或系统异常。防治广告软件，应注意以下方面：（1）不要轻易安装共享软件或"免费软件"，这些软件里往往含有广告程序、间谍软件等不良软件，可能带来安全风险。（2）有些广告软件通过恶意网站安装，所以，不要浏览不良网站。（3）采用安全性比较好的网络浏览器，并注意弥补系统漏洞。377.6.6其他类型病毒4．密码大盗(Password.XXX)密码偷窃程序是现在互联网上对个人用户危害最大的木马程序，黑客出于经济利益目的，安装此类程序以获取用户的机密信息，如网上银行账户，网络游戏密码，QQ，MSN密码等，这是在互联网上给用户的真实财富带来最大威胁的后门程序。5．恶作剧程序(Joker.XXX)恶作剧的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如女鬼病毒。387.7常用杀毒软件7.7.1瑞星杀毒软件“瑞星杀毒软件”是北京瑞星科技股份有限公司自主研制开发的反病毒工具，主要用于对病毒或黑客等的查找、实时监控、清除病毒、恢复被病毒感染的文件或系统，以及维护计算机系统的安全。瑞星是一款非常有特色的杀毒软件，由于界面简单易用、功能强大而倍受用户的喜爱。下面就对最新版的瑞星全功能安全软件进行详细的介绍：1．安装瑞星全功能安全软件2．瑞星全功能安全软件的功能（1）智能主动防御（2）“云安全”策略（3）智能解包还原技术，支持族群式变种病毒查杀（4）增强型行为判断技术，防范各类未知病毒（5）文件级、邮件级、内存级、网页级一体化实时监控系统397.7常用杀毒软件7.7.1瑞星杀毒软件2．瑞星全功能安全软件的功能（6）三重病毒分析过滤技术（7）SME技术（8）硬盘数据保护系统，自动恢复硬盘数据（9）屏幕保护程序杀毒，充分利用计算机的空闲时间（10）内嵌信息中心，及时为您提供最新的安全信息和病毒预警提示（11）主动式智能升级技术，无需再为软件升级操心（12）瑞星注册表修复工具，安全修复系统故障（13）安全级别设置，快速设定不同安全级别（14）支持多种压缩格式（15）Windows共享文件杀毒407.7常用杀毒软件7.7.1瑞星杀毒软件2．瑞星全功能安全软件的功能（16）实现在DOS环境下查杀NTFS分区（17）瑞星系统漏洞扫描（18）瑞星安全助手（19）邮件发送失败列表（20）可疑文件上报（21）自动语言配置（22）即时升级（23）主动防御（24）账号保险柜（25）木马查杀（26）系统保护417.7常用杀毒软件7.7.1瑞星杀毒软件3．瑞星全功能安全软件的使用瑞星全功能安全软件的主要功能如下：(1)杀毒(2)防御(3)访问控制(4)工具(5)安检(6)软件升级427.7常用杀毒软件437.7.2江民杀毒软件江民杀毒软件KV2009是江民反病毒专家团队全新研发推出的计算机反病毒与网络安全防护软件。江民科技是国内首家研发成功启发式扫描、内核级自防御引擎的企业，填补了国产杀毒软件在启发式病毒扫描以及内核级自我保护方面的技术空白。KV2009具有启发式扫描、虚拟机脱壳、“沙盒”（Sandbox）技术、内核级自我保护金钟罩、智能主动防御、网页防木马墙、ARP攻击防护、互联网安检通道、系统检测安全分级、反病毒Rootkit/HOOK技术、“云安全”防毒系统等十余项新技术，KV2009组合版具有防毒、杀毒、防黑、系统加固、系统一键恢复、隐私保护、反垃圾邮件、网址过滤等三十余项安全防护功能。江民杀毒软件KV2009采用了智能分级高速杀毒引擎，占用系统资源少，扫描速度得到了大幅提升。KV2009在人机对话友好性和易用性上下足功夫，可有效防杀计算机病毒、木马、网页恶意脚本、后门黑客程序等恶意代码以及绝大部分未知病毒。447.7.2江民杀毒软件457.7.2江民杀毒软件1．安装江民杀毒软件2．江民杀毒软件的功能特色KV2009具有十余项创新技术，包含了防毒、杀毒、防黑、系统加固、系统一键恢复、隐私保护、反垃圾邮件、网址过滤等三十余项安全防护功能，实现了从已知病毒到未知病毒的立体式无间隙的安全防范。（1）较以前版本，新增加的功能有：①强大的启发式扫描、虚拟机脱壳②“沙盒”（Sandbox）技术③ARP攻击防护④互联网安检通道⑤系统检测安全分级467.7.2江民杀毒软件2．江民杀毒软件的功能特色（2）增强的功能：①自我保护金钟罩②智能主动防御体系③反病毒Rootkit/HOOK④网页防马墙网页安全专家⑤系统漏洞自动管理⑥“云安全”防毒系统3．江民杀毒软件的使用江民杀毒软件的主要功能如下：（1）杀毒(2)升级（3）监视（4）主动防御477.7.3 卡巴斯基反病毒软件1.卡巴斯基发展简史卡巴斯基总部设在俄罗斯首都莫斯科，卡巴斯基实验室KasperskyLabs是国际著名的信息安全领导厂商。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。经过十四年与计算机病毒的战斗，被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。1989年，EugeneKaspersky开始研究计算机病毒现象。从1991年到1997年，他在俄罗斯大型计算机公司“KAMI”的信息技术中心，带领一批助手研发出了AVP反病毒程序。在杀毒软件的历史上，有这样一个世界纪录：让一个杀毒软件的扫描引擎在不使用病毒特征库的情况下，扫描一个包含当时已有的所有病毒的样本库。结果是，仅仅靠“启发式扫描”技术，该引擎创造了95%检出率的纪录。这个纪录，是由AVP创造的。卡巴斯基实验室KasperskyLab于1997年成立，EugeneKaspersky是创始人之一。2000年11月，AVP更名为KasperskyAnti-Virus。EugeneKaspersky是计算机反病毒研究员协会(CARO)的成员。487.7.3 卡巴斯基反病毒软件2．卡