工学计算机病毒

2023/12/61第14讲计算机病毒及其防范王志伟Email:zhwwang@2023/12/62课程内容病毒概述及其发展史病毒的原理与检测技术

病毒防范技术措施4123病毒类型介绍什么是病毒?医学上的病毒定义： 是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。

什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他文件传播的程序。2023/12/65计算机病毒的起源1949年，电脑的先驱者冯·诺伊曼在他的一篇文章《复杂自动装置的理论及组织的行为》中，即提出一种会自我繁殖的程序的可能。十年之后，在贝尔实验室中，这个概念在一个电子游戏中形成了。这个电子游戏叫“CoreWar”2023/12/66CorewarCoreWar的玩法如下：双方各编写一套程序，输入同一部电脑中。这两套程序在计算机内存中运行，它们相互追杀。有时它们回放下一些关卡，有时会停下来修复被对方破坏的指令。当它们被困时，可以自己复制自己，逃离险境。因为它们都在电脑的内存（以前是用core做内存的）游走，因此叫CoreWar。这个游戏的特点，在於双方的程序进入电脑之后,玩游戏的人只能看着屏幕上显示的战况，而不能做任何更改，一直到某一方的程式被另一方的程式完全[吃掉]为止。计算机病毒发展

1、DOS引导阶段 1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。

当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有"石头2"。

计算机病毒发展

2、DOS可执行阶段

1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为"耶路撒冷","星期天"病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。

3、伴随型病毒阶段

1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体，这样,在DOS加载文件时,病毒就取得控制权。计算机病毒发展 4、幽灵、多形阶段 1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。计算机病毒发展

5、生成器阶段 1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是“病毒制造机“。计算机病毒发展 6、网络蠕虫阶段 1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,"蠕虫"是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。计算机病毒发展 7、Windows病毒阶段

1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。计算机病毒发展 8、宏病毒阶段

1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel出现的相同工作机制的病毒也归为此类。计算机病毒发展 9、互连网阶段 1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。计算机病毒发展2023/12/616瑞星安全报告:2007年电脑病毒暴增7成“网游盗号木马”成为2007年十大病毒之首。安全厂商瑞星发布《2007年电脑病毒疫情和互联网安全报告》显示，全年截获病毒样本约91.8万个，比上一年增加70%，其中木马和后门病毒占总体病毒的84.5%。报告指出，以前病毒制造者与安全厂商之间的对抗，主要是逃避查杀，而今则演变为主动对抗。即病毒对安全软件进行专门的攻防试验，试图制造可以越过或关闭杀毒软件的病毒。值得注意的是，“恶意网站”成为新的安全热点，包括网页挂马、钓鱼网站、流氓网站等在内的恶意网站成为新的威胁来源2023/12/618瑞星安全报告2009年上半年摘录2009年上半年，瑞星“云服务”系统拦截到的挂马网页数累计达2.9亿个，共有11.2亿人次网民遭木马攻击，平均每天有622万余人次网民被挂马网站攻击，广东、北京、湖南是受木马网站攻击次数最多三个省。“云服务”应用——瑞星安全搜索。瑞星用户在通过百度、Google进行网页搜索时，浏览的网页都会经过瑞星诊断，安全和存在风险的网页可以清晰地进行区分，从而解决用户在搜索网页过程中访问挂马网站、感染木马病毒等问题。随着杀毒软件对挂马网站的有效拦截，目前木马病毒的增长势头被成功遏制，而传统的“感染型病毒”逐渐抬头，这表明病毒制造团伙在挂马网站被封堵的情况下，只好回归以往高成本的“感染性病毒”（编写较为复杂、感染效率低）攻击方式。2023/12/619课程内容病毒概述及其发展史病毒的原理与检测技术

病毒防范技术措施4123病毒类型介绍传统病毒的分类

DOS病毒

Windows病毒

宏病毒

脚本病毒

引导型病毒病毒的不同类型引导型病毒计算机启动时使用了被病毒感染的磁盘启动病毒感染硬盘在此以后所有使用的磁盘都会感染DOS病毒*.COM*.EXE*.SYS*.OVL*.DRV*.BINDOS病毒是一种只能在DOS环境下运行，传染的计算机病毒，是最早出现的计算机病毒。Windows病毒Windows病毒是指能感染Windows可执行程序并可在Windows下运行的一类病毒。Windows病毒按其感染的对象又可分为感染NE格式（Windows3.X）可执行程序的Windows3.X病毒；感染PE格式（Windows95/98）可执行程序的WIN95/98病毒。Windows病毒

程序/可执行文件

[NE,PE](*.EXE)

其它带有可执行代码的文件(*.SCR,*.HLP,*.OCX)

设备驱动程序[LE,PE](*.DLL,*.DRV,*.VXD)通常感染的文件类型：Windows病毒可执行文件信息的改变（例如文件大小，时间标记，行为等）任何异常的任务/进程注册表或者配置文件的异常或可疑的改动载体程序病毒代码病毒防护检查内容：Windows病毒许多Windows病毒都是将自己的代码插入到载体文件中去，从而文件长度会有所增加。VirusHeaderVirusVirusVirusHeader其它一些复杂的Windows病毒会自动查找可执行程序的空闲空间，将自身程序分成小段插入进去，因此文件长度不会改变。VirusVirusVirusHeaderVirusVirusVirusVirusAppendPrependInsert宏病毒WordBasicVisualbasicforApplications(VBA)宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。当被感染的文件用Word应用程序打开的时候，通常其中包含的宏代码就会复制到通用模板中去当病毒长驻在通用模板中时，它会自动生成一些额外的拷贝到别的被Word打开的文档中去通用模板用于文档设置和宏的基本设定Word文档中的宏病毒当启动文件夹中有宏病毒时，它会在所有用Excel打开的电子表格中添夹自身的副本。当Excel启动的时候，在启动文件夹中的Excel文件中的宏会被自动执行。Excel文档中的宏病毒一个被感染病毒的电子表格文件被Excel打开时，它会自动在启动文件夹中添加一份自身的副本。宏病毒某些症状被感染的文件的大小会增加当你关闭文件时程序会问你是否要保存所做的更改，而实际上你并没有对文件做任何改动。普通的文件被当作模板保存起来（针对Word宏病毒）脚本病毒如果一封邮件或某个网页有恶意脚本恶意脚本会利用网页浏览器或者邮件程序脚本解释执行程序导致它们可以传播和复制到其它的邮件接收者和网页的使用者脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，一般带有广告性质，会修改您的IE首页、修改注册表等信息，造成用户使用计算机不方便。点击Yes会执行该脚本，有可能含有恶意代码；而点击No则会显示下面的信息当接收到一封带有脚本的邮件时，会有以下的信息显示脚本病毒脚本病毒查看脚本图标来看电子邮件中是否包含了脚本在其中

脚本图标的样子你可以在打开电子邮件之前，先将其保存为HTML格式来检查脚本病毒一旦保存为HTML格式以后，您就可以查看电子邮件中的脚本代码了现代计算机病毒类型现代计算机病毒类型

特洛伊木马程序

蠕虫

玩笑程序

恶意程序dropper

后门程序

DDos攻击程序特洛伊木马程序特洛伊木马程序是指潜伏在电脑中，受外部用户控制以窃取本机信息或者控制权的程序。木马程序危害在于多数有恶意企图，例如占用系统资源，降低电脑效能，危害本机信息安全（盗取QQ帐号、游戏帐号甚至银行帐号），将本机作为工具来攻击其他设备等。蠕虫计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。玩笑程序玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。玩笑程序常见表现特征：类似常见的普通可执行程序

不会感染其它程序不会造成直接破坏可能给用户带来烦恼和困惑可能不容易中断和停止某些设备（例如鼠标或键盘）可能会暂时工作反常病毒或恶意程序Droppers病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序在病毒或恶意程序植入后，可以感染文件和对系统造成破坏用于生成病毒或恶意程序的计算机程序后门程序后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略.DDos攻击程序DDos攻击程序通常用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务。网络病毒的概念利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。网络病毒的特点及危害破坏性强传播性强针对性强扩散面广传染方式多消除难度大病毒——网络攻击的有效载体网络攻击的程序可以通过病毒经由多种渠道广泛传播攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查病毒的潜伏性和可触发性使网络攻击防不胜防许多病毒程序可以直接发起网络攻击植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。病毒——网络攻击的有效载体网络的新威胁——病毒+网络攻击2023/12/647课程内容病毒概述及其发展史病毒的特征与检测

病毒防范技术措施4123病毒类型介绍2023/12/648当前流行的病毒特征1.抗分析性--具有这类新特性的病毒采用了加密技术和反跟踪技术来对抗反病毒技术的分析、扫描，极大地增加了计算机病毒防范人员对病毒工作机理的分析难度。--这里的加密技术是一种防静态分析技术，使得病毒分析者无法在不执行病毒的情况下阅读加密的计算机病毒源程序；而反跟踪技术则是使病毒分析者无法动态跟踪计算机病毒程序的运行，从而增加了计算机病毒程序的抗破译能力和伪装能力。2023/12/6492.隐蔽性--计算机病毒具备隐蔽性和抗分析性的目的相同，即都是为了躲避现有计算机病毒检测技术，使之不被用户或病毒防范人员发现。这类病毒附着于正常程序之中、磁盘较隐蔽的地方或以隐含文件的形式出现。--这类病毒可驻留在内存高端。分析内存的占用情况（如Bios检测内存容量）不能发现计算机病毒占用了内存。在带毒环境下，用DIR命令和DEBUG查看已被感染文件时，看到的是该文件原先未被感染前的正确长度，日期和完全正确的文件头；例如4096病毒就是具备这种特征的计算机病毒。2023/12/6503.诱惑欺骗性--计算机病毒已由当初有针对性的单一传播，单种表现破坏行为演变成当前的依赖互联网传播，其扩散速度极快，并且部分病毒还具备跨平台攻击的能力。某些计算机病毒不再追求隐蔽性，这类具有与隐蔽性特征完全相反的计算机病毒特征是以某种特殊的表现方式，尽可能地显示病毒的存在，达到引诱、欺骗用户不自觉地触发、激活病毒的目的。--这类病毒为了触发其破坏模块，会通过许多意想不到的表现手法，利用人性固有的弱点，诱惑用户去激活病毒的发作，以实施其破坏功能。2023/12/6514.传播方式的多样性与广泛性--当前已出现可以通过多种方式进行传播的计算机病毒。这类病毒具有不少于两种的传播方式：既可通过文件传染，又可通过电子邮件传播；既可通过局域网快速传播，也可利用ISS4.0/5.0（InternetSecurityScanner）的Unicode后门进行主动传播。2023/12/6525.破坏性--破坏性是每一个计算机病毒最基本的特征之一，只是破坏性的程度有别，自出现CIH病毒以来，计算机病毒的主要破坏目标和攻击部件由系统数据区、文件、内存、CMOS向攻击硬件数据的方向发展。2023/12/6536.变形性

--所谓“变形”，即若通过修改病毒代码而形成一种新的病毒，使其可以逃匿反病毒手段的检测，则称该新出现的病毒是原来未被修改病毒的变形。--这类“变形性”病毒可以是基于病毒变形技术的名谓“病毒制造工厂（VirusProductionFactory，VPF）”的一类开发病毒工具软件产生出来的。这种病毒自生成程序能够制造出称得上是“海量”的新病毒，企图从病毒的数量上对抗反病毒技术。--另一方面，病毒变形还可以通过手工，利用当今新的编程语言与技术来生成。2023/12/6547.远程启动性--WindowsNT支持的远程启动是网络管理的有效手段之一。如果病毒成功地利用了远程启动功能，则该病毒只需感染局域网中的一台计算机，就可以使该病毒的破坏行为扩散到整个局域网。例如WantJob病毒在部分条件下可以调用远程Service启动函数，远程启动病毒程序（对于WindowsNT/2000服务器很具杀伤性）。2023/12/6558.攻击对象的混合性--传统的病毒攻击对象单一、代码精练、表现形式明显。因此早期的病毒要么就是引导型病毒，要么就是文件型病毒。随着病毒技术的成熟与进步，编写病毒程序技巧的日益完善，使新的病毒对象由单个趋向多个、由单一趋向混合。共生性亦称复合感染性，具有这种特性的病毒称为“共生病毒”。共生病毒可以表现为不同的形态，既可以同时感染引导区和文件，又可同时感染Office文档和普通的可执行文件。2023/12/6569.攻击技术的混合性--当前流行的病毒所采用的攻击技术的另一个动向是集文件传染、蠕虫、黑客等多种技术于一身。--值得关注的一个重要趋势是，黑客技术和病毒技术的混合，即黑客借助病毒的广泛而迅速的传播特性，把黑客攻击手段从以往一对一的攻击变成了一对多的攻击模式；同时，病毒技术亦借助黑客技术使得病毒的激活变得似乎不复存在，攻击强度骤增。2023/12/65710.多态性--具有多态性的病毒是由于采取了特殊的加密技术编写的、能够躲避一般的反病毒软件的检测的一类病毒；这类病毒的出现使得所有基于简单特征码的病毒检测技术失效；极大的增加了查毒软件的编写难度。病毒的常见症状电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少可执行程序的大小改变了内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称，扩展名，日期，属性被更改过 病毒的常见传播途径文件传输介质

例如CIH病毒，通过复制感染程序传播电子邮件 例如梅丽莎病毒，第一个通过电子邮件传播的病毒网络共享

例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播文件共享软件 例如WORM_LIRVA.C病毒可以通过点对点文件共享软件传播 2023/12/660计算机病毒的检测方法11比较法--用原始备份与被检测的引导扇区或被检测的文件进行比较--好处是简单、方便，不需要专用软件--缺点是无法确认计算机病毒的种类名称2023/12/661计算机病毒的检测方法2加总比对法（Checksum）--根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面。--或是将所有检查码放在同一个数据库中，再利用加总对比系统，追踪并记录是否更改。2023/12/662计算机病毒的检测方法3特征字串搜索法用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描，如果在被检测对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的计算机病毒分为两部分1.计算机病毒代码库2.扫描程序2023/12/663计算机病毒的检测方法3特征字串搜索法的不足1.当被扫描的文件很长、很多时，扫描的时间就越多2.不容易选出特征串3.无法识别出新病毒4.病毒制造者可以分析代码库，生成新病毒变种5.易产生误报6.不易识别多维变形计算机病毒2023/12/664计算机病毒的检测方法4其它方法虚拟机查毒法人工智能陷阱技术分析法先知扫描法虚拟执行技术该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点：在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀

文件实时监控技术通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径，但是这种技术的实现难度较大，系统资源的占用率也会有所降低。2023/12/667病毒防范的常见方法服务器的防病毒措施（1）安装正版的杀毒软件（2）拦截受感染的附件

（3）合理设置权限（4）取消不必要的共享

（5）重要数据定期存档终端用户防病毒措施（1）安装杀毒软件和个人防火墙（2）禁用预览窗口功能（3）删除可疑的电子邮件（4）不要随便下载文件（5）定期更改密码欺骗性强

很多病毒利用人们的好奇心理，往往具有很强的诱惑性和欺骗性，使得它更容易传染，如“库尔尼科娃”病毒即是利用网坛美女库尔尼科娃的魅力；大量消耗系统与网络资源计算机感染了REDCODE等病毒后，病毒会不断遍历磁盘、分配内存，导致系统资源很快被消耗殆尽，最终使得计算机速度越来越慢或网络阻塞；病毒出现频度高，病毒生成工具多

早期的计算机病毒都是编程高手制作的，编写病毒是为了显示自己的技术，但库尔尼科娃病毒的设计者只是修改了下载的VBS蠕虫孵化器变生成了该病毒。这种工具在网络上很容易就可以获得，因此新病毒的出现频度超出以往的任何时候。智能引擎技术

智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件2003版即采用了此项技术，使病毒扫描速度比2002版提高了一倍之多；（3）魔高一尺，道高一丈，反病毒技术也随着病毒的发展而发展，新技术包括：计算机监控技术文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控嵌入式杀毒技术

嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技术，它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS-Office、Outlook、IE、Winzip、NetAnt等应用软件进行被动式杀毒。未知病毒查杀技术

未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。压缩智能还原技术世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果被这样的工具处理后被层层包裹起来，对于防病毒软件来说，就是一个噩梦。为了使用统一的方法来解决这个问题，反病毒专家们发明了未知解压技术，它可以对所有的这类文件在内存中还原，从而使得病毒完全暴露出来。多层防御，集中管理技术反病毒要以网为本，从网络系统的角度设计反病毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护和管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。病毒免疫技术病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上，最近出现的软件安全认证技术也应属于此技术的范畴，由于用户应用软件的多样性和环境的复杂性，病毒免疫技术到广泛使用还有一段距离。3.病毒防治技术的趋势前瞻加强对未知病毒的查杀能力加强对未知病毒的查杀能力是反病毒行业的持久课题，目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀，但据我们研究，国内外的产品只有少数可以对同一家族的病毒进行预警，不能清除。目前瑞星公司已经在这一领域取得了突破性的进展，可以对未知DOS病毒、未知PE病毒、未知宏病毒进行防范，其中对未知DOS病毒能查到90%以上，并能准确清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能实现查杀90%