计算机计算机病毒分析与防范

计算机病毒的分析与防范

1.计算机病毒的引入

1983年11月3日，弗雷德•科恩(FredCohen)博士研制出一种在运行过

程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机)

伦•艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在

每周一次的计算机安全讨论会上正式提出。

2.计算机病毒发展史

1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如

大麻、IBM圣诞树•、黑色星期五等等。

1989年全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多

计算机用户造成极大损失。

1991年在“海湾战争”中，美军第一次将计算机病毒用于实战。

1992年出现针对杀毒软件的“幽灵”病毒，如One-half。

1997年1997年被公认为计算机反病毒界的“宏病毒''年。

1998年出现针对Windows95/98系统的病毒，如CIH(1998年被公认为计

算机反病毒界的CIH病毒年)。

1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒

将成为病毒新的增长点。

2000年出现了拒绝服务(DenialofService)和恋爱邮件(LoveLetter)

这次拒绝服务袭击规模巨大，致使雅虎，亚马逊书店等主要网站服务瘫痪。

2002年多变的混合式病毒求职信(Klez)及FunLove病毒席卷全球。

2003年，冲击波(Blaster)病毒于8月开始爆发。

2004年，MyDoom、网络天空(NetSky)及震荡波(Sasser)病毒出现。

3.基础知识——计算机病毒的本质

计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界，病毒

(Virus)是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传

物质两部分组成的比细菌还要小的病原体生物，如大肠杆菌、口蹄疫、狂犬病毒、

天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看

到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。由于病毒利

用寄主细胞的营养生长和繁殖后代，因此给寄主生物造成极大的危害。计算机病

毒之所以被称为病毒，是因为它们与生物医学上的病毒也有着很多的相同点。例

如，它们都具有寄生性、传染性和破坏性。

《中华人民共和国计算机信息系统安全保护条例》第二十八条中将计算机病

毒定义为："指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，

影响计算机使用并能自我复制的一组计算机指令或者程序代码。”

病毒传播载体：网络、电磁性介质和光学介质。

病毒传染的基本条件：计算机系统的运行、读写介质（磁盘）上的数据和程序。

病毒的传播步骤：驻留内存、寻找传染的机会、进行传染。

病毒传染方式：引导扇区（包括硬盘的主引导扇区）传染类、文件型病毒

4.基础知识——计算机病毒的特点

1）传染性：自我复制。

2）破坏性：干扰系统、破坏数据、占用资源。

3）潜伏性：定期发作。

4）隐蔽性：计算机病毒式一种短小精悍的可执行程序，•般只有儿百字节

或几千字节，而且隐藏在不同的位置上。

5）寄生性

6）针对性

7）可触发性：控制条件，日期、时间、标识、计数器。

5.基础知识——计算机病毒的分类

5.1按破坏性分类

良性病毒：是指那些只是为了表现自己而并不破坏系统数据，只占用系统

CPU资源或干扰系统工作的一类计算机病毒。

恶性病毒：是指病毒制造者在主观上故意要对被感染的计算机实施破坏，

这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘,

使系统处于瘫痪状态。

5.2按照计算机病毒的寄生部位或传染对象分

磁盘引导区传染的计算机病毒

操作系统传染的计算机病毒

可执行程序传染的计算机病毒

5.3按寄生方式分类

系统引导型：系统引导时病毒装入内存，同时获得对系统的控制权，对外

传播病毒，并且在一定条件下发作，实施破坏。

文件型（外壳型）：将自身包围在系统可执行文件的周围、对原文件不作修

改、运行可执行文件时，病毒程序首先被执行，进入到系统中，获得对系统的控

制权。

源码型：在源被编译之前，插入到源程序中，经编译之后，成为合法程序

的一部分。

入侵型：将自身入侵到现有程序之中，使其变成合法程序的一部分。

5.4按广义病毒概念分类

蠕虫（worm）：监测IP地址，网络传播

逻辑炸弹（logicbomb）：条件触发，定时器

特洛伊木马（TrojanHorse）：隐含在应用程序上的一段程序，当它被执行

时，会破坏用户的安全性。

陷门：在某个系统或者某个文件中设置机关，使得当提供特定的输入数据

时，允许违反安全策略。

细菌（Germ）:不断繁殖，直至添满整个网络的存储系统

5.5按照计算机病毒攻击的系统分类

攻击DOS系统的病毒

攻击Windows系统的病毒

攻击UNIX/Linux系统的病毒

攻击OS/2系统的病毒

攻击Macintosh系统的病毒

其他操作系统上的病毒

5.6按照计算机病毒的链接方式分类

源码型病毒

嵌入型病毒

外壳型病毒

操作系统型病毒

5.7按照计算机病毒激活的时间分类

定时病毒

随机病毒

按照计算机病毒传播的媒介分类

单机病毒

网络病毒

5.8按照计算机病毒寄生方式和传染途径分类

引导型病毒

文件型病毒

混合型病毒

5.9按照计算机病毒特有的算法分类

伴随型病毒

“蠕虫”型病毒

寄生型病毒

练习型病毒

诡秘型病毒

变型病毒（又称幽灵病毒）

6.基础知识——计算机病毒基本结构

计算机病毒程序结构

引导部分：把病毒程序加载到内存。

功能：驻留内存、修改中断、修改高端内存、保存原中断向量。

传染部分：把病毒代码复制到传染目标上。

功能：条件判断、与主程序连接、设置标志。

表现部分：运行、实施破坏。

功能：条件判断、显示、文件读写

7.基础知识——计算机病毒存储结构

磁盘空间的总体划分：主引导记录区（只有硬盘有）、引导记录区、文件分

配表（FAT）、目录区和数据区。

软盘空间的总体划分：引导记录区、文件分配表1、文件分配表2、根目录

区以及数据区

硬盘空间的总体划分：

主引导记录区：主引导程序、分区信息表

多个系统分区。

系统型病毒的磁盘存储结构：磁盘引导扇区（引导部分）、磁盘其他的扇区

（传染、表现部分）

病毒程序定位

文件型病毒的磁盘存储结构

外壳病毒

8.基础知识——计算机病毒破坏行为

（1）攻击系统数据区

（2）干扰系统运行，使运行速度下降。

（3）攻击文件

（4）抢占系统资源

（5）干扰I/O设备，篡改预定设置以及扰乱运行

（6）导致系统性能下降

（7）攻击存储器

（8）破坏CMOS中的数据

（9）破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，

占用网络带宽等。

9.典型病毒举例

9.1蠕虫病毒——莫里斯

1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑

病毒送进了美国最大的电脑网络——互联网。

1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。

当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。

冲击波病毒是一种利用系统RPC漏洞进行传播和破坏的蠕虫病毒。当感染

了冲击波病毒的计算机中的冲击波病毒发作的时候，蠕虫病毒会给

Windows2000、WindowsXP系统带来非常不稳定、重新启动、死机等后果。

中了冲击波病毒，系统会出现•个提示框，指出由于远程过程调用(RPC)

服务意外终止，Windows必须立即关闭。同时，消息框给出了一个倒计时，当倒

计时完成时，计算机就将重新启动或者关闭

蠕虫(Worm)病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病

毒、宏病毒等传统病毒较晚，但是无论是传播的速度、传播范围还是破坏程度上

都要比以往传统的病毒严重的多。

蠕虫病毒一般由两部分组成：一个主程序和一个引导程序。主程序的功能是

搜索和扫描。它可以读取系统的公共配置文件，获得网络中的联网用户的信息，

从而通过系统漏洞，将引导程序建立到远程计算机上。引导程序实际是蠕虫病毒

主程序的一个副本，主程序和引导程序都具有自动重新定位的能力。

9.2蠕虫病毒的传播

利用微软的系统漏洞攻击计算机网络

利用电子邮件进行传播

蠕虫程序的工作流程

蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。

蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工

作包括：隐藏、信息搜集等

蠕虫程序生成多个副本，重复上述流程。

9.3蠕虫病毒的行为特征

自我繁殖：蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释

放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流

程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。

利用软件漏洞：任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获

得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。

造成网络拥塞：在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否

存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产

生附加的网络数据流量。

消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自

己的多个副本，每个副本启动搜索程序寻找新的攻击目标。

留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息

等），并在系统中留下后门。

9.4DOS病毒

DOS病毒是指针对DOS操作系统开发的病毒，它们是最早出现、数量最多、

变种也最多的计算机病毒。由于Windows系统的普及，DOS病毒几乎绝迹

一部分DOS病毒可以在Win9x中进行传播和破坏,甚至在Windows的DOS

窗口下运行。

毛毛虫病毒发作时在DOS系统的界面上。有一只毛毛虫不停的走动。毛毛

虫经过的区域，屏幕上原来正常显示的内容被遮住了，同时DOS系统无法进行

正常工作。

9.5引导型病毒

引导型病毒是指改写磁盘上的引导扇区信息的病毒。

引导型病毒主要感染软盘和硬盘的引导扇区或者主引导区，在系统启动时，

由于先行执行引导扇区上的引导程序，使得病毒加载到系统内存上。引导型病毒

一般使用汇编语言编写，因此病毒程序很短，执行速度很快。

例如Stone、Brain、Pingpang,Monkey等

小球病毒在系统启动后进入系统内存，执行过程中在屏幕上一直有一个小球

不停的跳动，呈近似正弦曲线状。

9.6文件病毒

文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病

毒主要感染可执行文件或者数据文件。

文件型病毒是数量最为庞大的一种病毒，它主要分为伴随型病毒、“蠕虫”

型病毒和寄生型病毒几种。

例如CIH病毒、红色代码、蓝色代码。

9.7CIH

CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生

陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文

名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使

反病毒软件公司难堪

CIH病毒很多人会闻之色变，因为CIH病毒是有史以来影响最大的病毒之

0

从1998年6月，从台湾出现之后，CIH病毒引起了持续一年的恐慌，因为

它本身具有巨大的破坏性，尤其它是第一个可以破坏某些电脑硬件的病毒。

CIH病毒只在每年的4月26日发作，其主要破坏硬盘上的数据，并且破坏部

分类型主板上的FlashBIOS,是一种既破坏软件又破坏硬件的恶性病毒。

当系统的时钟走到了4月26日这一天，中了CIH病毒的计算机将受到巨大

的打击。病毒开始发作时，出现“蓝屏”现象，并且提示当前应用被终止，系统需

要重新启动

当计算机被重新启动后，用户会发现自己计算机硬盘上的数据被全部删除

了，甚至某些计算机使用者主板上FlashROM中的BIOS数据被清除。

虽然CIH病毒感染的是Windows95、Windows98可执行文件的病毒，其威

胁已经儿乎退出了历史舞台，但是CIH病毒给当时计算机界带来的影响是巨大

的，而且由于其首次实现了对硬件的破坏，对人们的心里造成的危害也是无法估

量的。

红色代码病毒是一种网络传播的文件型病毒。该病毒主要针对微软公司的

MicrosoftIIS和索引服务的WindowsNT4.0以及Windows2000服务器中存在的技

术漏洞进行对网站的攻击。

服务器受到感染的网站将被修改。如果是在英文系统下，红色代码病毒会继

续修改网页；如果是在中文系统下，红色代码病毒会继续进行传播。

9.8宏病毒

宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让

人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工

具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事

先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的

是让用户文档中的一些任务自动化。

可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取

控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情

况下获取某种控制权，达到传染的目的。

以Word为例，一旦病毒宏侵入WORD,它就会替代原有的正常宏，如

FileOpen、FileSave>FileSaveAs和FilePrint等等，并通过这些宏所关联的文件

操作功能获取对文件交换的控制。

宏病毒的表现现象

尝试保存文档时，Word只允许保存为文档模板

Word文档图标的外形类似文档模板图标而不是文档图标

在工具菜单上选择“宏”并单击“宏''后，程序没有反应

宏列表中出现新宏

打开Word文档或模板时显示异常消息

如果打开一个文档后没有进行修改，立即就有存盘操作

9.9Word文档杀手病毒

Word文档杀手病毒通过网络进行传播，大小为53248字节。该病毒运行后

会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档，并试图用

自身覆盖找到的Word文档，达到传播的目的。

病毒将破坏原来文档的数据，而且会在计算机管理员修改用户密码时进行键

盘记录，记录结果也会随病毒传播一起被发送。

Word文档杀手病毒运行后，将在用户计算机中创建图中所示的文件。

当sys文件创建好后，Word文档杀手病毒将在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\

Explorer'Run]"Explorer"="%SystemDir%\sys.exe"。这样，在Windows启动时，

病毒就可以自动执行了。

病毒运行后，当用户试图打开Word文档，则出现下图所示的消息框。

版本冲突区

无法打开高版本的Word文档，

希F吟|

9.10“武汉男生”俗称“熊猫烧香”

2007年李俊制作该病毒。它是个感染型的蠕虫病毒，它能感染系统中exe,

com,pif,src,