计算机病毒与防范讲义课件

第15章计算机病毒与防范随着计算机在各行各业的大量应用，计算机病毒也随之渗透到计算机世界的每个角落，常以人们意想不到的方式侵入计算机系统。计算机病毒的流行引起了人们的普遍关注，成为影响计算机安全运行的一个重要因素。随着网络的普及，计算机病毒的传播速度大大提高了，传播形式也有了新的变化。第15章计算机病毒与防范NetworkandInformationSecurity15.1计算机病毒简介15.1.1恶意代码在讨论计算机病毒之前，我们先看恶意代码的分类情况。这些威胁可以分成两类：需要宿主的程序和可以独立运行的程序。前者实际上是程序片段，它们不能脱离某些特定的应用程序、应用工具或系统程序而独立存在；后者是完整的程序，操作系统可以调度和运行它们。

NetworkandInformationSecurity第15章计算机病毒与防范恶意代码的分类

NetworkandInformationSecurity第15章计算机病毒与防范15.1.3计算机病毒的发展史DOS时代Windows时代3.Internet时代由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。现在，计算机病毒有一个新的发展趋势。利用漏洞进行破坏性攻击的病毒已经逐渐不再唱主角了，电脑用户安全的最大威胁已经让位于以经济利益为目的，以欺骗用户为手段，严重干扰人们日常工作、数据安全和个人隐私的各类间谍、木马、钓鱼软件。有报告显示，这类软件的危害已经超越传统病毒，成为互联网安全最大的威胁。NetworkandInformationSecurity第15章计算机病毒与防范15.1.4计算机病毒的分类1.系统引导病毒系统引导病毒又称引导区型病毒。直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的主引导记录(也称为主引导扇区)。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。NetworkandInformationSecurity第15章计算机病毒与防范2.文件型病毒文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等的文件。每一次它们激活时，被感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，直到病毒又被激活。NetworkandInformationSecurity第15章计算机病毒与防范5.网络病毒网络病毒大体上可分为两类：一类是局域网上的病毒；另一类就是随着互联网的兴起产生的新的网络病毒。这类新的病毒又可以根据提供的服务来细分。互联网提供了众多的服务，如WWW服务、电子邮件服务、文件传输服务等。病毒可以利用这些服务来传播，因而可以把网络病毒分为邮件病毒、网页病毒、FTP病毒等。其中，邮件病毒在网络病毒中占绝大多数。NetworkandInformationSecurity第15章计算机病毒与防范15.1.5计算机病毒的特点计算机病毒一般具有以下八个特点：破坏性、隐蔽性、潜伏性、传染性、未经授权而执行、依附性、针对性、不可预见性。

NetworkandInformationSecurity第15章计算机病毒与防范15.2.1计算机病毒的结构计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分三部分组成。1.引导部分：也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。2.传染部分：作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows95/98操作系统。3.表现部分：这是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。NetworkandInformationSecurity15.2计算机病毒的工作机理

第15章计算机病毒与防范15.2.3文件型病毒的工作机理文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中，并等待程序运行。病毒会驻留在内存中，企图感染其它文件。同引导扇区病毒不同，文件型病毒把自己附着或追加在EXE和COM这样的可执行文件上。根据附着类型不同可分为三种文件病毒：覆盖型、前后附加型和伴随型文件病毒。NetworkandInformationSecurity第15章计算机病毒与防范1.覆盖型病毒简单地把自己覆盖到原始文件代码上，显然这会完全摧毁该文件，所以这种病毒比较容易被发现。当用户运行该文件时，病毒代码就会得到运行，而原始文件则不能正常运行。现在有些新型病毒可以覆盖那些不影响宿主程序运行的那部分代码，人们也就不容易发现这种病毒。覆盖病毒的优势就是不改变文件长度，使原始文件看起来正常，但杀毒程序还是可以检测到这种病毒代码的存在。2.前后附加型病毒前附加型病毒把自己附加在文件的开始部分，后附加型正好相反。这种病毒会增加文件的长度。也就容易被检测和发现，并被清除。NetworkandInformationSecurity第15章计算机病毒与防范3.伴随型文件病毒为EXE文件创建一个同名的含有病毒代码的COM文件。由于同名时COM文件先于EXE文件运行，因此当有人运行EXE文件时，控制权就会转到COM文件上，病毒代码就得以运行。它执行完之后，再将控制权转到EXE文件，这样用户不会发现任何问题。NetworkandInformationSecurity第15章计算机病毒与防范宏病毒的传播方法与其它病毒不同，在我们的Office目录下，有一个“Templates”目录，里面有一个Normal.dot文件，这个文件就是Word的常规模板文件，每次我们启动Word的时候，该文件都会先被Word启动并执行里面的VBA语句(宏语句)。通常来说，一般用户的Normal.dot里面是没有VBA语句的，毕竟不是每个人都会编写VBA。因此，大多数宏病毒都会采用感染Normal.dot的方法，把自身的恶意VBA语句复制到Normal.dot里面，使Word每次启动时都执行里面的恶意VBA语句，并将自己的代码复制到其它Word文档里面，以达到传染的目的。NetworkandInformationSecurity第15章计算机病毒与防范15.2.5网络病毒的工作机理以下将以典型的RemoteExplorer(远程探险者)病毒为例进行分析。该病毒仅在WindowsNTServer和WindowsNTWorkstation平台上起作用，专门感染EXE文件。RemoteExplorer的破坏作用主要表现在：加密某些类型的文件，使其不能再用，并且能够通过局域网或广域网进行传播。NetworkandInformationSecurity第15章计算机病毒与防范15.3.1CIH病毒CIH病毒从分类来说属于文件型病毒(只感染Windows9X下的可执行文件)。CIH攻击的就是用户的主板，发作时有两个症状：一个是擦除ROMBIOS中的数据(当然也包括其中的程序)；另一个是从硬盘的主引导区开始做低级格式化。一旦ROMBIOS中的程序被破坏了，那么计算机连开机自检、系统引导都无法进行了，更不用说启动操作系统了。因此计算机被破坏后，企图象往常一样格式化硬盘，重装操作系统是不可能的。数据丢失造成的损失先不管，仅仅恢复计算机的正常工作就是非常困难的。NetworkandInformationSecurity第15章计算机病毒与防范15.3常见的计算机病毒

RPC服务终止的对话框NetworkandInformationSecurity第15章计算机病毒与防范2004年5月1日，“震荡波”病毒出现了。该病毒可利用Windows平台的Lsass漏洞进行广泛的传播。中毒后的系统将开启上百个线程去攻击网上其他的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于2003年的“冲击波”。

NetworkandInformationSecurity第15章计算机病毒与防范两大恶性病毒的四大区别：1.利用的漏洞不同：冲击波病毒利用的是系统的RPC漏洞，病毒攻击系统时会使RPC服务崩溃，震荡波病毒利用的是系统的LSASS服务。2.产生的文件不同：冲击波病毒运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波病毒运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe的病毒文件。3.利用的端口不同：冲击波病毒会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波病毒会在本地开辟后门，监听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。4.攻击目标不同：冲击波病毒攻击所有存在RPC漏洞的电脑和微软升级网站，而震荡波病毒攻击的是所有存在LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。

NetworkandInformationSecurity第15章计算机病毒与防范15.4计算机病毒的预防和清除

关于计算机病毒的预防，应该用两种手段：一是管理手段，二是技术手段，二缺一不可。15.4.1病毒发作时常见的现象（1）程序装入时间比平时长，运行异常；（2）有规律的发现异常信息；（3）用户访问设备(例如打印机)时发现异常情况，如打印机不能联机或打印符号异常；（4）磁盘的空间突然变小了，或不识别磁盘设备；（5）程序和数据神秘地丢失了，文件名不能辨认；（6）显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、圆点等）；（7）机器经常出现死机现象或不能正常启动；（8）发现可执行文件的大小发生变化或发现不知来源的隐藏文件。

NetworkandInformationSecurity第15章计算机病毒与防范15.4.2Word宏病毒的防范和清除（1）对于已染病毒的NORMAL.DOT文件，首先应将NORMAL.DOT中的自动宏清除，然后将NORMAL.DOT置成只读方式。（2）对于其它已感染病毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。（3）平时使用时要加强防范：定期检查活动宏表，对来历不明的宏最好予以删除；如果发现后缀为.DOC的文件变成模板（.DOT）时，则可怀疑其已染宏病毒，其主要表现是在SaveAs文档时，选择文件类型的下拉框变为灰色。（4）在启动Word、创建文档、打开文档、关闭文档以及退出Word时，按住SHIFT键可以阻止自动宏的运行。（5）存储一个文档时，务必明确指定该文档的扩展名。NetworkandInformationSecurity第15章计算机病毒与防范15.5.2江民杀毒软件2005年9月6日，江民科技隆重发布了其KV2006新品，KV2006是能够兼容32位操作系统的64位杀毒软件，并在KV2005系统级杀毒、主动防御未知病毒以及诸多强大功能的基础上，新增了BOOTSCAN杀毒技术、64位智能杀毒、插入移动设备自动查毒、系统漏洞检查、垃圾邮件识别等10项强大功能。

NetworkandInformationSecurity第15章计算机病毒与防范15.5.3金山毒霸2005年12月6日，国内著名安全厂商金山软件正式