计算机病毒和反病毒技术专家讲座

第9章计算机病毒与反病毒技术1计算机病毒和反病毒技术专家讲座第1页导读计算机病毒发展历史及危害计算机病毒基本特征和传输方式病毒结构惯用反病毒技术惯用病毒防范方法2计算机病毒和反病毒技术专家讲座第2页

9.1.1计算机病毒历史9.1计算机病毒1977年科幻小说《TheAdolescenceofP-1》构思了一个能够自我复制、利用通信进行传输计算机程序。1983年FredAdleman首次在VAX11/750上试验病毒；1987年Brain病毒在全世界传输；1988年11月2日Cornell大学Morris编写Worm病毒攻击美国6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国(小球病毒)；1991年,病毒第一次用于战争实战;1998年,CIH病毒出现,第一例破坏硬件病毒;3计算机病毒和反病毒技术专家讲座第3页病毒产生它产生是计算机技术和社会信息化发展到一定阶段必定产物.1、计算机病毒产生背景（1）是计算机犯罪新形式：计算机病毒是高技术犯罪，含有瞬时性、动态性和随机性。不易取证，风险小破坏大。（2）计算机软硬件产品脆弱性是根本技术原因。（3）微机普及应用是计算机病毒产生必要环境。9.1计算机病毒4计算机病毒和反病毒技术专家讲座第4页2、计算机病毒产生原因搞计算机人员和业余兴趣者恶作剧、寻开心制造出病毒,比如象圆点一类良性病毒。

个他人报复心理。比如1987年底出现在以色列耶路撒冷西伯莱大学犹太人病毒,就是雇员在工作中受挫或被解聘时有意制造。

用于版权保护目标而采取报复性处罚办法。

用于研究或有益目标而设计程序,因为某种原因失去控制或产生了意想不到效果。

9.1计算机病毒5计算机病毒和反病毒技术专家讲座第5页9.1.2病毒本质病毒概念计算机病毒是能够经过某种路径潜伏在计算机存放介质（或程序）里,当到达某种条件时即被激活含有对计算机资源进行破坏作用一组程序或指令集合。

“计算机病毒（ComputerVirus）是指编制或者在计算机程序中插入破坏计算机功效或者破坏数据，影响计算机使用并能够自我复制一组计算机指令或者程序代码。”9.1计算机病毒6计算机病毒和反病毒技术专家讲座第6页病毒定义借用了生物学病毒概念,计算机病毒同生物病毒所相同之处是能够侵入计算机系统和网络,危害正常工作“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,含有传染性。与生物病毒不一样是几乎全部计算机病毒都是人为地有意制造出来,有时一旦扩散出来后连编者自己也无法控制。它已经不是一个简单纯计算机学术问题,而是一个严重社会问题了。9.1计算机病毒7计算机病毒和反病毒技术专家讲座第7页病毒生命周期（1）隐藏阶段：这个阶段病毒不进行操作，而是等候事件触发。（2）传输阶段：病毒会把本身一个副本传输到未感染这种病毒程序或磁盘某个扇区中去。（3）触发阶段：病毒将被激活去执行病毒设计者预先设计好功效。（4）执行阶段：这一阶段病毒将执行预先设计功效直至执行完成。9.1计算机病毒8计算机病毒和反病毒技术专家讲座第8页病毒生存周期:1.判断部分

判断是否满足发作条件

2.执行部分

执行恶意代码

3.伪装、复制部分

1)伪装成正常程序，或者隐藏本身。（木马惯用）

2)复制本身代码依附到其它正常程序上（传染），这是传统病毒特征。

9.1计算机病毒9计算机病毒和反病毒技术专家讲座第9页病毒特征：

（1）传染性；传染性是病毒基本特征。计算机病毒会经过各种渠道从已被感染计算机扩散到未被感染计算机，使被感染计算机工作失常甚至瘫痪。病毒程序普通经过修改磁盘扇区信息或文件内容并把本身嵌入到其中，利用这种方法到达病毒传染和扩散。（被嵌入程序叫做宿主程序）

9.1计算机病毒10计算机病毒和反病毒技术专家讲座第10页（2）破坏性 对系统来讲，全部计算机病毒都存在一个共同危害，即占用系统资源，降低计算机系统工作效率。 计算机病毒可能会彻底破坏系统正常运行它能够毁掉系统部分数据，也能够破坏全部数据并使之无法恢复。并非全部病毒都有恶劣破坏作用，有些病毒除了占用磁盘和内存外，没有别危害。但有时几个本没有多大破坏作用病毒交叉感染，也会造成系统瓦解。9.1计算机病毒11计算机病毒和反病毒技术专家讲座第11页（3）潜伏性：

计算机病毒程序进入系统之后普通不会马上发作，能够在几周或者几个月内隐藏在正当文件中，对其它系统进行传染，而不被人发觉。潜伏性越好，它危害就越大潜伏性第一个表现是指，病毒程序不用专用检测程序是检验不出来。潜伏性第二种表现是指，计算机病毒内部往往有一个触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。

9.1计算机病毒12计算机病毒和反病毒技术专家讲座第12页（4）可执行性计算机病毒与其它正当程序一样，是一段可执行程序，但它不是一个完整程序，而是寄生在其它可执行程序中。只有在执行时，才含有传染性、破坏性。

未经授权而执行： 病毒经过悄悄地篡夺正当程序系统控制权而得到运行机会。普通正常程序是由用户开启，完成用户交给任务，其目标对用户是可见。而病毒隐藏在正当程序中，当用户开启正当程序时窃取到系统控制权，先于正常程序执行。病毒动作、目标对用户是未知，是未经用户允许。9.1计算机病毒13计算机病毒和反病毒技术专家讲座第13页（5）可触发性：病毒因某个事件或数值出现，诱使病毒实施感染或进行攻击特征称为可触发性。病毒触发机制用来控制感染和破坏动作频率。病毒含有预定触发条件，这些条件可能是时间、日期、文件类型或一些特定数据等。如CIH，触发条件：26日9.1计算机病毒14计算机病毒和反病毒技术专家讲座第14页（6）隐蔽性：病毒普通不经过代码分析，极难与正常程序是区分出来。普通在没有防护办法情况下，计算机病毒程序取得系统控制权后，能够在很短时间里传染大量程序。一是传染隐蔽性，大多数病毒在传染时速度是极快，不易被人发觉。二是病毒程序存在隐蔽性，普通病毒程序都附在正常程序中或磁盘较隐蔽地方，也有个别以隐含文件形式出现，目标是不让用户发觉它存在。9.1计算机病毒15计算机病毒和反病毒技术专家讲座第15页（7）衍生性：分析计算机病毒结构可知，传染和破坏部分反应了设计者设计思想和设计目标。不过，这能够被其它掌握原理人进行任意改动，从而又衍生出一个不一样于原版本新计算机病毒（又称为变种），这就是计算机病毒衍生性。这种变种病毒造成后果可能比原版病毒严重得多。9.1计算机病毒16计算机病毒和反病毒技术专家讲座第16页（8）寄生性：病毒程序嵌入到宿主程序中，依赖于宿主程序执行而生存，这就是计算机病毒寄生性。病毒程序在侵入到宿主程序中后，普通对宿主程序进行一定修改，宿主程序一旦执行，病毒程序就被激活，从而能够进行自我复制和繁衍。9.1计算机病毒17计算机病毒和反病毒技术专家讲座第17页9.1计算机病毒9.1.3病毒分类按破坏性分为：无害型无危险型危险型非常危险型按激活时间分为定时随机18计算机病毒和反病毒技术专家讲座第18页按照病毒特有算法分为：伴随型病毒：产生EXE文件伴随体COM，病毒把本身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，经过网络搜索传输病毒。寄生型病毒：除了伴随和“蠕虫”型以外病毒，它们依附在系统引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传输一次都含有不一样内容和长度。普通作法是一段混有没有关指令解码算法和被改变过病毒体组成。9.1计算机病毒19计算机病毒和反病毒技术专家讲座第19页按传染方式分为：文件型：病毒普通附着在可执行文件上,长驻内存;引导型：影响软盘引导扇区及硬盘主引导扇区,当系统引导时进入内存，控制系统；混合型：既可感染引导区，又可感染文件。宏病毒：感染MSOffice文档网络病毒:木马、蠕虫病毒、网页病毒9.1计算机病毒20计算机病毒和反病毒技术专家讲座第20页理论上，与外界交换数据全部场所都有可能。传输路径：因特网传输:经过电子邮件传输、经过浏览网页和下载软件传输、经过即时通讯软件传输、经过网络游戏传输；局域网传输：数据在从一台计算机发送到其它计算机上时，传输了被感染文件；经过不可移动计算机硬件设备传输：计算机专用集成电路芯片(ASIC)和硬盘为病毒主要传输媒介。极为少见，但破坏性强。9.1.3病毒传输及危害9.1计算机病毒21计算机病毒和反病毒技术专家讲座第21页经过移动存放设备传输：移动存放设备包含我们常见软盘、磁带、光盘、移动硬盘、U盘(含数码相机、MP3等)。U盘病毒逐步增加，使得U盘成为第二大病毒传输路径。无线设备传输：伴随手机功效性开放和增值服务拓展，手机病毒会成为新一轮电脑病毒危害“源头”。尤其是智能手机和3G网络发展，让手机病毒传输速度和危害程度与日俱增。9.1计算机病毒22计算机病毒和反病毒技术专家讲座第22页病毒危害：国家计算机病毒应急处理中心年公布数据显示，我国计算机病毒感染率到达91.47％。在受病毒感染用户中，感染病毒3次以上用户达53.64％、密码被盗用户占14.24％。

近年来病毒功效越来越强大，不但拥有蠕虫病毒传输速度和破坏能力，而且还含有木马控制计算机和偷窃主要信息功效。如“熊猫烧香”

病毒制造、传输者追求经济利益目标越来越强，这种趋利性引发了大量网络犯罪活动。9.1计算机病毒23计算机病毒和反病毒技术专家讲座第23页危害表现：1．病毒激发对计算机数据信息直接破坏作用。如：格式化磁盘、改写文件分配表和目录区、删除或者改写替换文件等。2．占用磁盘空间和对信息破坏。引导型病毒侵占引导扇区，造成文件丢失。文件型病毒大量侵占磁盘空间。3．抢占系统资源病毒抢占内存，造成内存降低，一部分软件不能运行。抢占中止，破坏正常运行。

9.1计算机病毒24计算机病毒和反病毒技术专家讲座第24页4．影响计算机运行速度长驻内存病毒或多或少要消耗系统处理时间。5．计算机病毒错误与不可预见危害病毒尤其是变种病毒存在大量错误，带来极大危害6．计算机病毒兼容性对系统运行影响病毒兼容性较差，经常造成死机。7．计算机病毒给用户造成严重心理压力经常遭到病毒攻击，造成用户对病毒产生恐惧心理，从而产生误判，带来损失。9.1计算机病毒25计算机病毒和反病毒技术专家讲座第25页病毒破坏行为常见表现：BIOS病毒现象

1、开机运行几秒后突然黑屏

2、外部设备无法找到

3、硬盘无法找到

4、电脑发出异样声音硬盘引导区病毒现象

1、无法正常开启硬盘

2、引导时出现死机现象

3、执行C盘时显示“NotreadyerrordriveAAbort，Retry，Fail?”9.1计算机病毒26计算机病毒和反病毒技术专家讲座第26页操作系统病毒现象

1、引导系统时间变长

2、计算机处理速度比以前显著放慢

3、系统文件出现莫名其妙丢失，或字节变长，日期修改等现象

4、系统生成一些特殊文件

5、驱动程序被修改使得一些外设不能正常工作

6、软驱、光驱丢失

7、计算机经常死机或重新开启9.1计算机病毒27计算机病毒和反病毒技术专家讲座第27页应用程序病毒现象

1、开启应用程序出现“非法错误”对话框

2、应用程序文件变大

3、应用程序不能被复制、移动、删除

4、硬盘上出现大量无效文件

5、一些程序运行时载入时间变长9.1计算机病毒28计算机病毒和反病毒技术专家讲座第28页格式：<病毒前缀>.<病毒名>.<病毒后缀>病毒前缀是指一个病毒种类，他是用来区分病毒种族分类。病毒名是指一个病毒家族特征，是用来区分和标识病毒家族。病毒后缀是指一个病毒变种特征，是用来区分具体某个家族病毒某个变种，可能有多个。

9.1.5病毒命名9.1计算机病毒29计算机病毒和反病毒技术专家讲座第29页CIH病毒是一个能够破坏计算机系统硬件恶性病毒，台湾制造。CIH病毒传输主要路径是Internet和电子邮件，它也会经过软盘或光盘交流传输。CIH病毒只感染Windows95/98操作系统，对DOS操作系统及NT以上系统(winNT,,XP,,VISTA等)无危害。传输实时性和隐蔽性很强。9.2经典病毒分析9.2.1CIH病毒30计算机病毒和反病毒技术专家讲座第30页CIH病毒发作特征当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏情况下硬盘全部数据(含全部逻辑盘数据)均被破坏。2、一些主板上FlashRom中BIOS信息将被去除。

9.2经典病毒分析31计算机病毒和反病毒技术专家讲座第31页CIH病毒版本CIH病毒属文件型病毒，其别名有Win95.CIH、Win32.CIH、PE_CIH，发展过程经历了v1.0,v1.1,v1.2,v1.3,v1.4共5个版本，最流行是v1.2版本。在CIH相关版本中，只有v1.2、v1.3、v1.4这3个版本病毒含有实际破坏性，v1.0感染后只增加文件长度，v1.1含有可判断WinNT软件功效，一旦判断用户运行是WinNT，则不发生作用，进行自我隐藏，以防止产生错误提醒信息。9.2经典病毒分析32计算机病毒和反病毒技术专家讲座第32页宏是微软企业为其OFFICE软件包设计一个特殊功效，目标是让用户文档中一些任务自动化。OFFICE中WORD和EXEAL都有宏。宏病毒是一个存放在文档或模板宏中计算机病毒。一旦打开中毒文档，宏就会被执行，宏病毒就会被激活，从而转移到计算机上，并驻留在Normal模板上。使得以后编辑自动保留文档都会感染。9.2经典病毒分析9.2.2宏病毒33计算机病毒和反病毒技术专家讲座第33页宏病毒危害：1.对WORD运行破坏是：不能正常打印；封闭或改变文件存放路径；将文件更名；乱复制文件；封闭相关菜单；文件无法正常编辑。2.对系统破坏是：WORDBasic语言能够调用系统命令，造成破坏。

特点：感染数据文件、多平台交叉感染、轻易编写、轻易传输9.2经典病毒分析34计算机病毒和反病毒技术专家讲座第34页宏病毒预防与去除预防：启用宏病毒防护功效，预防宏自动执行。将自动执行宏功效禁止掉，即使有宏病毒存在，但无法被激活，也无法发作传染、破坏，这么就起到了防毒效果。方法：在“Windows资源管理器”中，按住Shift键，然后再双击该Word文档，则可阻止自动宏运行。9.2经典病毒分析35计算机病毒和反病毒技术专家讲座第35页在确定不使用宏情况下，删除模板中宏。怀疑文件有宏病毒时，在WORD打开后另存为RTF格式（写字板）或者WORD6.0格式，EXCEL另存为CSV格式。利用NORMAL摸板保留提醒预防自动保留引发病毒感染和激活。将惯用Word模板文件改为只读属性，可预防Word系统被感染；DOS下autoexec.bat和config.sys文件最好也都设为只读属性文件。9.2经典病毒分析36计算机病毒和反病毒技术专家讲座第36页去除：①手工：以Word为例，选取“工具”菜单中“宏”一项，进入“管理器”，在“宏有效范围”下拉列表框中打开要检验文档。将上面列表框中不明起源自动执行宏删除即可。

②使用专业杀毒软件：当前杀毒软件都具备去除宏病毒能力，不过只能对已知宏病毒进行检验和去除,对于新出现病毒或病毒变种则可能不能正常地去除，或者将会破坏文件完整性，此时还是手工清理为妙。

9.2经典病毒分析37计算机病毒和反病毒技术专家讲座第37页蠕虫病毒是一个常见计算机病毒。它是利用网络进行复制和传输，传染路径是经过网络和电子邮件。蠕虫病毒是自包含程序,它能传输它本身功效拷贝或它一些部分到其它计算机系统中。蠕虫不需要将其本身附着到宿主程序，它是一个独立智能程序。9.2.3蠕虫病毒9.2经典病毒分析38计算机病毒和反病毒技术专家讲座第38页蠕虫病毒常见传输方式有两种：

1.利用系统漏洞传输：蠕虫病毒利用计算机系统设计缺点，经过网络主动将自己扩散出去。

2.利用电子邮件传输：蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个网络中，这也是个人计算机被感染主要路径。感染对象：感染对象是全网络中全部计算机，而且这种感染是主动进行，几小时能够蔓延全球。

9.2经典病毒分析39计算机病毒和反病毒技术专家讲座第39页预防方法：大多数蠕虫经过都是利用了微软Outlook漏洞进行传输，所以需要尤其注意微软网站提供补丁。尽可能少用OUTLOOK。对于邮件附件尽可能小心，打开邮件之前对附件进行预扫描。设置文件夹选项，显示文件名扩展名，预防后缀名为VBS、SHS等有毒文件。千万别打开扩展名为VBS、SHS和PIF邮件附件。另外对于有2个扩展名附件也要慎重。

9.2经典病毒分析40计算机病毒和反病毒技术专家讲座第40页普通情况下勿将磁盘上目录设为共享，假如确有必要，请将权限设置为只读，读操作须指定口令。当你收到邮件广告或者主动提供电子邮件时，不要打开附件以及它提供链接。将浏览器隐私设置设为“高”。不要从在线聊天系统陌生人那里接收附件，比如ICQ或QQ中传来东西。9.2经典病毒分析41计算机病毒和反病毒技术专家讲座第41页病毒发展趋势（1）传输网络化（2）利用操作系统和应用程序漏洞（3）混合型威胁（4）病毒制作技术新（5）病毒家族化特征显著

9.2经典病毒分析42计算机病毒和反病毒技术专家讲座第42页9.3.1反病毒技术发展阶段一个合理反病毒方法，应包含以下几个办法：检测：就是能够确定一个系统是否已发生病毒感染，并能正确确定病毒位置。识别：检测到病毒后，能够辩别出病毒种类。去除：识别病毒之后，对感染病毒程序进行检验，去除病毒并使程序还原到感染之前状态，从系统中去除病毒以确保病毒不会继续传输。9.3反病毒技术43计算机病毒和反病毒技术专家讲座第43页预防病毒基本办法（1）人工预防也称标志免疫法。因为任何一个病毒都有一定标志，将此标志固定在某一位置，然后把程序修更正确，到达免疫目标。（2）软件预防主要是使用计算机病毒疫苗程序，这种程序能够监督系统运行，并预防一些病毒入侵。（3）硬件预防主要采取两种方法：一是改变计算机系统结构；二是插入附加固件。（4）管理预防：法律制度、计算机系统管理制度。9.3反病毒技术44计算机病毒和反病毒技术专家讲座第44页去除病毒基本方法去除病毒基本方法包含人工处理和利用反病毒软件两种。人工处理方法是去除病毒最基本方法，也是非常主要方法，它经过准确分析判断直接去除病毒。反病毒软件含有对特定种类病毒进行检测功效，大部分反病毒软件可同时消除查出来病毒。另外，利用反病毒软件消除病毒时，普