网络管理与信息安全

网络管理与信息安全第1页，共22页，2023年，2月20日，星期六计算机病毒的历史

1983年11月3日，弗雷德·科恩（FredCohen）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼（LenAdleman）将它命名为计算机病毒（computervirus），并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。1986年初，巴基斯坦的巴锡特（Basit）和阿姆杰德（Amjad）两兄弟编写了Pakistan病毒（即Brain病毒），该病毒在一年内流传到了世界各地。1988年11月2日，美国6000多台计算机被病毒感染，造成Internet不能正常运行据瑞星公司的不完全统计，2004年国内共发现新病毒26025个，比2003年增加了20%。其中，木马13132个，后门程序6351个，蠕虫3154个，脚本病毒481个，宏病毒258个，其余类病毒2649个。由此可见，病毒的泛滥和危害已经到了十分危险的程度。第2页，共22页，2023年，2月20日，星期六8.5.1病毒概述病毒(Virus)定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。一般地，我们所讲的病毒包括特洛伊木马、病毒、细菌和蠕虫等等。特洛伊木马和病毒，它们不能脱离某些特定的的应用程序、应用工具或系统而独立存在；而细菌和蠕虫是完整的程序，操作系统可以调度和运行它们。而且除特洛伊木马外，其他三种形式的病毒都有能够复制。第3页，共22页，2023年，2月20日，星期六8.5.1病毒概述

2.

病毒传染方式病毒的传染途径有电磁波、有线电路、军用或民用设备或直接放毒等。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过程中病毒是否被激活，病毒传染分为静态传染和动态传染。静态传染是指由于用户使用了COPY、DISKCOPY等拷贝命令或类似操作，一个病毒连同其载体文件一起从一处被复制到另一处。而被复制后的病毒不会引起其他文件感染。

动态传染是指一个静态病毒被加载进入内存变为动态病毒后，当其传染模块被激活所发生的传染操作，这是一种主动传染方式。与动态传染相伴随的常常是病毒的发作。第4页，共22页，2023年，2月20日，星期六病毒的生命周期隐藏阶段：处于这个阶段的病毒不进行操作，而是等待事件触发，触发事件包括时间、其它程序或文件的出现、磁盘容量超过某个限度等。但这个周期不是必要的，有的病毒没有隐藏期，而是无条件地传播和感染。传播阶段：在这一阶段的病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去。每个被感染的程序将包含一个该病毒的副本，并且这些副本也可以向其它未感染的程序继续传播病毒的副本。触发阶段：这个阶段病毒将被激活去执行病毒设计者预先设计好的功能。病毒进入这一阶段也需要一些系统事件的触发，比如：病毒本身进行复制的副本数达到了某个数量。执行阶段：这一阶段病毒将执行预先设计的功能直至执行完毕。这些功能可能是无害的，比如：向屏幕发送一条消息；也可能是有害的，比如：删除程序或文件、强行关机等。第5页，共22页，2023年，2月20日，星期六8.5.1病毒概述3.病毒的分类按病毒感染的途径，病毒分为三类：

引导型病毒。它是是藏匿在磁盘片或硬盘的第一个扇区。每次启动计算机时，在操作系统还没被加载之前就被加载到内存中，这个特性使得病毒完全控制DOS的各类中断，并且拥有更大的能力进行传染与破坏。文件型病毒。文件型病毒通常寄生在可执行文件中当这些文件被执行时，病毒的程序就跟着被执行。根据病毒依传染方式的不同，它分成非常驻型和常驻型。复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的特性。它们可以传染*.COM和*.EXE文件，也可以传染磁盘的引导区。第6页，共22页，2023年，2月20日，星期六8.5.1病毒概述4.

病毒结构

计算机病毒是一种特殊的程序，它寄生在正常的、合法的程序中，并以各种方式潜伏下来，伺机进行感染和破坏。在这种情况下，称原先的那个正常的、合法的程序为病毒的宿主或宿主程序。病毒程序一般由以下部份组成：初始化部分。它指随着病毒宿主程序的执行而进入内存并使病毒相对独立于宿主程序的部分。传染部分。它指能使病毒代码连接于宿主程序之上的部分，由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体部分组成。破坏部分或表现部分。主要指破坏被传染系统或者在被传染系统设备上表现特定的现象。它是病毒程序的主体，在一定程度上反映了病毒设计者的意图。第7页，共22页，2023年，2月20日，星期六8.5.1病毒概述5.病毒感染原理引导型病毒感染原理

引导型病毒通过执行启动计算机的动作作为感染的途径。一般正常软盘启动动作为：开机、执行BIOS、读入BOOT程序执行和加载DOS。假定某张启动软盘已经了感染病毒，那么该软盘上的BOOT扇区将存放着病毒程序，而不是BOOT程序。所以，“读入BOOT程序并执行”将变成“读入病毒程序并执行”，等到病毒入侵内存后，等到病毒入侵内存后，再由病毒程序读入原始BOOT程序，既然病毒DOS先一步进入内存中，自然在DOS下的所有读写动作将受到病毒控制。所以，当使用者只要对另一张干净的软盘进行读写，驻在内存中的病毒可以感染这张软盘。

第8页，共22页，2023年，2月20日，星期六8.5.1病毒概述

若启动盘是硬盘。因硬盘多了一个分区表，分区表位于硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是“读入分区表并执行”，比软盘启动多了一道手续。所以和感染软盘不同的地方是病毒不但可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。

感染BOOT扇区是在“读入分区表并执行”之后，“读入BOOT程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入病毒程序并执行”之后，“读入分区表并执行”之前“读入BOOT程序并执行”。不管是软盘还是硬盘，引导型病毒一定比DOS早一步进入内存中，并控制读写动作，伺机感染其他未感染病毒的磁盘。第9页，共22页，2023年，2月20日，星期六8.5.1病毒概述文件型病毒感染原理

对非常驻型病毒而言，只要一执行中毒的程序文件，病毒便立即寻找磁盘中尚未感染病毒的文件，若找到了便加以感染。一般而言，对于.COM型文件，病毒替换它的第一条指令；对于.ExE文件，病毒改变入口指针。而常驻型病毒必须常驻内存，才能达到感染其他文件的目的。在每一个程序文件在执行时，都会调用INT21H中断命令，所以病毒必须拦截INT21H的调用，使其先通过病毒的程序，再去执行真正的INT21H服务程序。这样，每个要被执行的程序文件都要先通过病毒“检查”是否已中毒，若未中毒则病毒感染该文件。复合型病毒感染原理就启动动作来说，假设以感染复合型病毒的磁盘启动，那么病毒便先潜入内存中，伺机感染其他未中毒的磁盘，而当DOS载入内存后，病毒再拦截INT21H已达到感染文件的目的。第10页，共22页，2023年，2月20日，星期六8.5.1病毒概述6.病毒的网络威胁

工作站受到的威胁。病毒对网络工作站的攻击途径主要包括：利用软盘读写进行传播、通过网络共享进行攻击、通过电子邮件系统进行攻击、通过FTP下载进行攻击和通过WWW浏览进行攻击。

服务器受到的威胁。网络操作系统一般都采用WindowsNT/2000Server和少量Unix/Linux，而Unix/Linux本身的计算机病毒的流行报告几乎很少。但到目前为止感染WindowsNT系统的病毒已有一定数量。Web站点受到的威胁。一般Web站点，用户访问量很大，目前能通过WEB站点传播的病毒只有脚本蠕虫、一些恶意Java代码和ActiveX。

第11页，共22页，2023年，2月20日，星期六8.5.2宏病毒

1.宏病毒的传染原理

每个Word文本对应一个模板，而且对文本进行操作时，如打开、关闭文件等，都执行了相应模板中的宏程序，由此可知：当打开一个带病毒模板后，该模板可以通过执行其中的宏程序，如AutoOpen、AutoExit等将自身所携带病毒程序拷贝到Word系统中的通用模板上，如Normal.dot中。若使用带病毒模板对文件进行操作时，如存盘FileSave等，可以将该文本文件重新存盘为带毒模板文件，即由原来不带宏程序的纯文本文件转换为带病毒的模板文件。上述两步循环就构成了病毒的基本传染原理。第12页，共22页，2023年，2月20日，星期六8.5.2宏病毒2.

宏病毒的危害

Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。具体表现为:对Word的运行破坏。不能正常打印、封闭或改变文件存储路径、将文件改名等。对系统的破坏。WordBasic语言能够调用系统命令，这将造成破坏。第13页，共22页，2023年，2月20日，星期六8.5.2宏病毒3.

宏病毒的预防与清除为了有效防止Word系统被感染，可将常用的Word模板文件改为只读属性。当文件被感染后，应及时加以清除，以防其进一步扩散和复制。通常可采取以下措施：

手工杀毒。以Word为例，从“工具”菜单选取“宏”一项，进入“管理器”，选取标题为“宏”的一页，在“宏有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除即可。使用专业软件杀毒。目前杀毒软件公司都具备清除宏病毒的能力，当然也只能对已知的宏病毒进行检查和清除，对于新出现的病毒或病毒的变种则可能不能正常地清除，或者将会破坏文件的完整性，此时还是采取手工清理。

第14页，共22页，2023年，2月20日，星期六8.5.3CIH病毒

CIH病毒工作原理

CIH病毒属于文件型病毒，只感染Windows9X下可执行文件。当受感染的.EXE文件执行后，该病毒便驻留内存中，并感染所接触到的其他PE格式执行程序。CIH通过攻击BIOS，覆盖硬盘，进入Windows内核实现对硬盘的破坏。攻击BIOS。当CIH发作时，它会试图向BIOS中写入垃圾信息，BIOS中的内容会被彻底洗去。覆盖硬盘。CIH发作时，调节器用IOS-SendCommand直接对硬盘进行存取，将垃圾代码以205个扇区为单位，循环写入硬盘，直到所有硬盘上的数据均被破坏为止。进入Windows内核。无论是要攻击BIOS，还是设法驻留内存来为病毒传播创造条件，对CIH这类病毒而言，关键是要进入Windows内核，取得核心级控制权。

第15页，共22页，2023年，2月20日，星期六8.5.2CIH病毒2.

CIH病毒防范措施

修改系统时间，跳过病毒的发作日。有些电脑系统主板具备BIOS写保护跳线，但一般设置均为开，可将其拨至关的位置，这样可以防止病毒向BIOS写入信息。检查CIH病毒的方法可采用压缩并解压缩文件的方式，如果解压缩出现问题，多半可以肯定有CIHＶ1.2的存在，但用该方法不能判断CIHＶ1.4病毒。用户不要轻易启动从电子邮件或从网站上下载的未知软件。由于病毒将垃圾码写入硬盘，导致硬盘的数据是不能恢复，务必将重要数据备份，以免造成损失。

第16页，共22页，2023年，2月20日，星期六8.5.4

常用反病毒技术

1.反病毒技术分类

从研究的角度，反病毒技术主要分３类：

预防病毒技术。它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术。它是通过对计算机病毒的特征来进行判断的侦测技术，如自身校验、关键字等。消除病毒技术。它通过对病毒的分析，杀除病毒并恢复原文件。第17页，共22页，2023年，2月20日，星期六8.5.4

常用反病毒技术2.

常用反病毒技术从具体实现技术的角度，常用的反病毒技术有：病毒代码扫描法。将新发现的病毒加以分析后根据其特征编成病毒代码，加入病毒特征库中。每当执行杀毒程序时，便立刻扫描程序文件，并与病毒代码比对，便能检测到是否有病毒。加总比对法(Check-sum)。根据每个程序的文件名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附在程序后面，或是将所有检查码放在同一个资料库中，再利用Check-sum系统，追踪并记录每个程序的检查码是否遭更改，以判断是否中毒。第18页，共22页，2023年，2月20日，星期六8.5.4

常用反病毒技术人工智能陷阱。它是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来，一旦发现内存的程序有任何不当的行为，系统就会有所警觉，并告知用户。软件模拟扫描法。它专门用来对付千面人病毒。千面人病毒在每次传染时，都以不同的随机数加密于每个中毒的文件中，传统病毒代码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行，在其设计的DOS虚拟机器下模拟执行病毒的变体引擎解码程序，将多型体病毒解开，使其显露原本的面目，再加以扫描。VICE先知扫描法。由于软件模拟可以建立一个保护模式下的DOS虚拟机器，模拟CPU动作并模拟执行程序以解开变体引擎病毒，应用类似的技术也可以用来分析一般程序检查可疑的病毒代码。因此，VICE将工程师用来判断程序是否有病毒代码存在的方法，分析归纳成专家系统知识库，再利用软件工程的模拟技术假执行新的病毒，就可分析出新病毒代码对付以后的病毒。第19页，共22页，2023年，2月20日，星期六8.5.4

常用反病毒技术实