第8讲 计算机病毒、攻击

网络与信息安全I

第8讲

计算机病毒

与攻击

主要内容

计算机病毒概述

计算机病毒防治中的常见问题

黑客及攻击

信息时代威胁图

减小美国决策空间、战略优势，制造混乱，

国家信息战士

安全进行目标破坏

威胁情报机构搜集政治、军事，经济信息

恐怖分子破坏公共秩序，制造混乱，发动政变

共同

工业间谍掠夺竞争优势，恐吓

威胁

犯罪团伙施行报复，实现经济目的，破坏制度

社会型黑客攫取金钱，恐吓，挑战，获取声望

局部

威胁

娱乐型黑客以吓人为乐，喜欢挑战

8.1计算机病毒概述

一、计算机病毒发展简史

。1.计算机病毒的概念

对于病毒概念的起源可追溯到科幻小说。在20世纪70年代，美国作家

雷恩出版的《P1的青春》一书中构思了一种能够自我复制、利用通信进行

传播的计算机程序，并称之为计算机病毒。“病毒”一词是借用生物学中

的病毒。通过分析研究计算机病毒，人们发现它在很多方面与生物病毒有

着相似之处。计算机病毒有很多种定义，从广义上讲，凡是能引起计算机

故障，破坏计算机中数据的程序都统称为计算机病毒。依据此定义，诸如

逻辑炸弹、蠕虫等均可称为计算机病毒。现今国外流行的定义是：计算机

病毒是一段依附在其他程序上，可以实现自我繁殖的程序代码。

。在国内，《中华人民共和国计算机信息系统安全保护条例》

对病毒的定义为：“计算机病毒是指编制或者在计算机程序

中插入的破坏计算机功能或者数据，影响计算机使用，并且

能够自我复制的一组计算机指令或者程序代码”。

。2.计算机病毒发展简史

孝(1)DOS病毒

♦：♦(2)Windows病毒

*(3)计算机网络病毒

二、计算机病毒的分类

1.按传染方式分类

（1）引导型病毒（2）文件型病毒（3）复合型病毒

2.按寄生方式分类

（1）操作系统型病毒（2）外壳型病毒（3）入侵型病毒（4）

源码型病毒

3.按危害程度分类

♦(1)良性病毒又称表现型病毒

♦：♦(2)恶性病毒又称破坏型病毒

(3)中性病毒是指那些既不对计算机系统造成直接破坏，

又没有表现症状，只是疯狂地复制自身的计算机病毒，也就

是常说的蠕虫型病毒

4.按攻击对象分类

(1)攻击DOS的病毒

♦(2)攻击Windows的病毒

(3)攻击网络的病毒

三、计算机病毒的特征

传染性

❖2.破坏性

❖3.潜伏性

❖4.可触发性

❖5.演变性

❖6.不可预见性

病毒的危害情况

□a数据部分丢失

h不知道口b系统无法使用

8%■c浏览器配置被修改

□d网络无法使用

a数据部分丢失

g数据全部丢失□e使用受限

19%

5%■f受到远程控制

f受到远程控自■g数据全部丢失

8%□h不知道

e使用受限

11%b系统无法使用

19%

d网络无法

13%c浏览器配置被

修改

17%

病毒感染的途径

(1)引进的计算机系统和软件中带有病毒。

(2)各类出国人员带回的机器和软件染有病毒。

(3)染有病毒的游戏软件。

(4)非法拷贝中毒。

(5)计算机生产、经营单位销售的机器和软件染有病毒。

(6)维修部门交叉感染。

(7)有人研制、改造病毒。

(8)敌对分子以病毒为媒体或武器进行宣传和破坏。

(9)通过互联网(访问web、下载email和文件等)传入的。

♦:♦按照病毒编造者的目的，病毒大概有以下几种来源:

1.研究、兴趣等目的；2.游戏、恶作剧、表现欲等目的;

3.软件保护目的；4.破坏、报复目的；5.军事目的

♦:♦制造计算机病毒者，归纳起来有6类人：

1.学生、研究生和学者；2.玩家；3.电脑学会

4.软件商；5.职员；6.恐怖组织

8.2计算机病毒防治中的常见问题

一、根据名称识别计算机病毒

♦下面是对一些常见病毒前缀的解释。

1.系统病毒

系统病毒的前缀为：Win32>PE、Win95>W32、W95等，

这些病毒的一般共有特性是可以感染windows操作系统的

*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。

❖2.蠕虫病毒

蠕虫病毒的前缀是：Wornio这种病毒的共有特性是通过网

络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发

送带毒邮件、阻塞网络的特性。比如冲击波（阻塞网络），

小邮差（发带毒邮件）等。

/3.木马病毒、黑客病毒

木马病毒其前缀是：Trojan,黑客病毒前缀名一般为Hack。

木马病毒的共有特性是通过网络或者系统漏洞进入用户的系

统并隐藏，然后向外界泄露用户的信息；而黑客病毒则有一

个可视的界面，能对用户的计算机进行远程控制。木马、黑

客病毒往往是成对出现的，即木马病毒负责侵入用户的计算

机，黑客病毒则会通过该木马病毒来进行控制。现在这两种

类型都越来越趋向于整合了。

一般的木马如QQ消息尾巴木马Trojan.QQ3344,还有比较

多见的针对网络游戏的木马病毒，如Trojan.LMir.PSW.60。

病毒名中有PSW或者PWD之类的，一般都表示这个病毒

有盗取密码的功能(这些字母为“密码”的英文

“password”缩写)。一些黑客程序，如网络枭雄

(Hack.Nether.Client)等。

❖4.脚本病毒

脚本病毒的前缀是：Scripto脚本病毒的共有特性是使用脚

本语言编写，通过网页进行传播的病毒，如红色代码

(Script.Redlof)。脚本病毒还会有如下前缀：VBS、JS

(表明是何种脚本编写的)，如欢乐时光

(VBS.Happytime)、十四日(Js.Fortnight.es)等。

♦：♦5.宏病毒

其实宏病毒也是脚本病毒的一种，由于它的特殊性，因此单独算成一类。

宏病毒的前缀是：Macro,第二前缀是：Word、Word97>Excek

Excel97o感染WORD97及以前版本WORD文档的病毒，采用Word97作

为第二前缀，格式是：Macro.Word97；感染WORD97以后版本WORD

文档的病毒，采用Word作为第二前缀，格式是：Macro.Word；感染

EXCEL97及以前版本EXCEL文档的病毒，采用Excel97作为第二前缀，

格式是：Macro.Excel97；感染EXCEL97以后版本EXCEL文档的病毒，

采用Excel作为第二前缀，格式是：Macro.Excel,依此类推。该类病毒

的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行

传播，如：美丽莎病毒(Macro.Melissa)。

❖6.后门病毒

♦后门病毒的前缀是：Backdooro该类病毒的共有特性是通

过网络传播，给系统开后门，给用户计算机埋下安全隐患。

如很多用户遇到过的IRC后门Backdoor.IRCBoto

❖7.病毒种植程序病毒

这类病毒的共有特性是运行时会从体内释放出一个或几个

新的病毒到系统目录下，由释放出来的新病毒产生破坏。如:

冰河播种者(Dropper.BingHe2.2C)、MSN射手

(Dropper.Worm.Smibag)等。

❖8.破坏性程序病毒

破坏性程序病毒的前缀是：Harmo这类病毒的共有特性是

以好看的图标来诱惑用户单击。当用户单击这类病毒时，病

毒便会直接对用户计算机产生破坏。如：格式化C盘

(Harm.formatC.f)、杀手命令(Harm.Command.Killer)

❖9.玩笑病毒

玩笑病毒的前缀是：Joke,也称恶作剧病毒。这类病毒的共

有特性也是以好看的图标来诱惑用户单击。当用户单击这类

病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并

没有对用户计算机进行任何破坏。如：女鬼

(Joke.Girlghost)病毒。

♦:70.捆绑机病毒

捆绑机病毒的前缀是：Bindero这类病毒的共有特性是病毒

作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、

IE捆绑起来，表面上看是一个正常的文件，当用户运行这些

捆绑病毒时，表面上是运行这些应用程序，实际上是隐藏运

行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ

(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。

二、区别计算机病毒与计算机故障

♦:7.计算机病毒的现象与查解方法

在一般情况下，计算机病毒总是依附某一系统软件或用户程

序进行繁殖和扩散的，病毒发作时危及计算机的正常工作，

破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，

总是有一定规律地出现异常现象，如下所列。

（1）屏幕显示异常，屏幕显示出不是由正常程序产生的画面，而是显示混

乱

（2）程序装入时间增长，文件运行速度下降

（3）用户没有访问的设备却出现工作信号

（4）磁盘出现莫名其妙的文件和坏块，卷标发生变化

（5）系统自行引导

（6）丢失数据或程序，文件字节数发生变化

（7）内存空间、磁盘空间减小

（8）异常死机

（9）磁盘访问时间比平时增长

（10）系统引导时间增长

2.与病毒现象类似的硬件故障

(1)系统的硬件配置

(2)电源电压不稳定

(3)插件接触不良

(4)软驱故障

(5)CMOS的问题

3.与病毒现象类似的软件故障

（1）出现"Invaliddrivespecification^（非法驱动器号）

（2）软件程序已被破坏（非病毒）

（3）DOS系统配置不当

（4）软件与DOS版本的兼容性

（5）引导过程故障

（6）用不同的编辑软件编写程序

（7）有关FoxBASE问题

三、计算机病毒防治策略

为什么需要策略？

《技术不能完全解决问题

9策略是对技术的补充

9策略可以使有限技术发挥最大限度的作用

计算机病毒防治策略的基本准则

。拒绝访问能力

力来历不明的各种应用软件，尤其是通过网络传过来的应

用软件，不得进入计算机系统。

病毒检测能力

6计算机病毒总是有机会进入系统，因此，系统中应设置

检测病毒的机制来阻止外来病毒的侵犯。

计算机病毒防治策略的基本准则

。清除能力

力如果病毒突破了系统的防护，即使它的传播受到了控制,

但也要有相应的措施将它清除掉。

。控制病毒传播的能力

9被病毒感染将是一个必然事件。关键是，一旦病毒进入

了系统，应该具有阻止病毒在系统中到处传播的能力和

手段。

计算机病毒防治策略的基本准则

♦:♦恢复能力

Y“在病毒被清除以前，就已经破坏了系统中的数据”，是非常可怕

但是又非常可能发生的事件。因此，系统应提供一种高效的方法来

恢复这些数据，使数据损失尽量减到最少。

替代操作

《可能会遇到这种情况：当发生问题时，手头又没有可用的技术来解

决问题，但是任务又必须继续执行下去。为了解决这种窘况，系统

应该提供一种替代操作方案：在系统未恢复前用替代系统工作，等

问题解决以后再换回来。

国家层面上的病毒防治策略

第一，落实病毒防治的规章制度

第二，建立我国的计算机病毒预警系统

第三，建立快速、有效的病毒应急体系

第四，建立动态的系统风险评估措施

第五，建立病毒事故分析制度

第六，制定备份和恢复计划，减少损失

第七，进一步加强计算机安全培训

第八，提高国内运营商自身的安全性

第九，加强技术防范措施

杀毒软件必备功能

病毒查杀能力

对新病毒的反应能力

对文件的备份和恢复能力

实时监控功能

及时有效的升级功能

杀毒软件必备功能

智能安装、远程识别功能

界面友好、易于操作

对现有资源的占用情况

系统兼容性

软件的价格

软件商的实力

四、手机病毒

手机病毒其实也和计算机病毒一样，它可以通过计算机执行

从而向手机乱发短信息

。侵袭上网手机的病毒，会自动启动电话录音功能，并将录音

四处传送，病毒也会自动打出电话、删除手机上的档案内容,

以及制造出金额庞大的电话账单

四、手机病毒

。严格地讲，手机病毒应该是一种计算机病毒，这种病毒只能

在计算机网络上进行传播而不能通过手机进行传播，因此所

谓的手机病毒其实是计算机病毒程序启动了电信公司的一项

服务，例如电子邮件到手机短信息的功能，而且它发给手机

的是文档，根本就无破坏力可言。当然也有的手机病毒破坏

力还是比较大的，一旦发作可能比个人计算机病毒更厉害，

传播速度更快

❖另外由于手机还有其他的数据通讯方式，例如短信息、

WAP服务，以及GRPS高速因特网连接服务，一方面它们确

实能给我们带来方便，只需按几个键就可以换个LOGO、下

载喜爱的铃声，甚至可以实现高速的因特网连接。但也正是

这些功能，可以写入系统或手机内存指令，攻击者只要找到

缺口，传出一个带毒的短信息，以手机操作系统的汇编语言

编写病毒指令，改变系统的机内码(machinecode),将指令

藏在记忆体中，然后再开启其他手机的电话本，大肆传播病

毒，在一定时间内发作，破坏手机的开机系统

手机病毒的攻击方式及危害

。针对手机的攻击，主要可以分为以下几类：

9攻击WAP服务器等相关设备，使WAP手机无法接收正常

信息

9攻击、控制接入服务器，或者利用网关漏洞，向手机发

送大量垃圾信息。典型的就是利用各大门户网站的手机

服务漏洞，编写程序，不停地用某个手机号码订阅某项

服务或者退定某个服务，例如SMS.Flood病毒

手机病毒的攻击方式及危害

。针对手机的攻击，主要可以分为以下几类：

W直接攻击手机本身，使手机无法提供服务。这种破坏方

式难度相对较大，目前主要是利用手机程序的漏洞，发

送精心构造的短信(SMS)或者彩信(MMS),造成手机内部

程序出错，从而导致手机不能正常工作，就像我们经常

在计算机上看到的“程序出错”情况一样。典型的例子

就是针对西门子手机的Mobile.SMSDOS病毒

手机漏洞分析

♦:♦攻击手机的一个重要途径，就是利用手机漏洞。主要有以下

一些手机漏洞：

《Nokia某些产品PDU格式漏洞

gSiemens35系列特殊字符漏洞

9Panasonic的GD87彩信手机漏洞

9Orange的SPV存在允许运行非认证软件漏洞

《Nokia的VCard存在漏洞

9Siemens的"%String”漏洞

9手机操作系统Symbian§60存在漏洞

手机病毒的发展趋势

。目前，编写手机病毒存在不少困难：

力手机操作系统是专用操作系统，不对普通用户开放，不

像计算机操作系统，容易学习、编写和调试程序，而且

它所使用的芯片等硬件也都是专用的，平时很难接触到

小手机系统中可以“写”的地方太少，在以前的手机中，

用户是不可以往手机里面写数据的，唯一可以保存数据

的只有SIM卡

手机病毒的发展趋势

。目前，编写手机病毒存在不少困难：

9以前手机接收的数据基本上都是文本格式数据，我们知

道文本格式也是计算机系统中最难附带病毒的文件格式,

同样在手机系统中，病毒也很难附加在文本内容上

手机病毒的发展趋势

。随着手机行业的快速发展和基于手机的应用不断增多，手机将面临

更多、更大的威胁：

9K—JAVA大量运用于手机，使得编写用于手机的程序越来越容易

9基于Symbian、PocketPC和SmartPhone的操作系统的手机种类

不断扩大，同时手机使用的芯片（如Intel的StrongARM）等硬件

也逐渐固定下来，使手机有了比较标准的操作系统，而且这些手

机操作系统厂商甚至芯片都是对用户开放API并且鼓励在他们之

上做开发的，这样在方便用户的同时，也方便了病毒编写者

手机病毒的发展趋势

随着手机行业的快速发展和基于手机的应用不断增多，手机将面

临更多、更大的威胁：

《手机的容量不断扩大，既增加了手机的功能，同时也使得病毒

有了藏身之地

小手机直接传输的内容也复杂了很多，由以前只有文本的SMS发

展到现在支持2进制格式文件的EMS和MMS,因此病毒就可以

附加在这些文件中进行传播

小蓝牙等技术的应用，也为手机病毒的传播创造了条件

手机病毒的防范

♦:♦对手机病毒的防范，分为三个方面

9手机厂商防止出现手机的安全漏洞

小手机网络运营商在WAP服务器、网关等部位设置安全系

统，加强对手机病毒的防范，堵死手机病毒传播通道

小手机用户对病毒的防范

手机病毒的防范

❖手机用户对手机病毒采取的措施主要包括以下几种

Y关闭乱码电话

9尽量少从网上下载信息

力删除异常短信息

9对手机进行查杀病毒

。目前应对手机病毒的主要技术措施有两种

9通过无线网站对手机进行杀毒

力通过手机的IC接入口或红外传输口进行杀毒

8.3黑客及攻击

❖1.黑客概述

在各种媒体上有许多关于Hacker这个名词的定义，一般是指计算

机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到

几十年前第一台微型计算机刚刚诞生的时代。那时有一个由程序

设计专家和网络名人所组成的具有分享特质的文化族群。这一文

化族群的成员创造了Hacker这个名词。他们建立了Internet,创

造出现在使用的UNIX操作系统，使Usenet运作起来，并且让

WorldWideWeb传播开来，这就是最早的Hacker。

*也存在另外一个团体，其成员也称自己为Hacker。这些人

专门闯入计算机或入侵电话系统，真正的Hacker称他们为入

侵者（Cracker）,并且不愿意和他们在一起做任何事。

Hacker们认为这些人懒惰，不负责任，并且不够光明正大。

他们认为，能破解安全系统并不能使你成为一位Hacker。基

本上，Hacker和Cracker之间最主要的不同是，Hacker创造

新东西，Cracker破坏东西。

。现在，人们所说的黑客是指Cracker。

2.黑客常用的攻击方法

♦：♦(1)获取口令

♦：♦(2)放置特洛伊木马程序

(3)WWW的欺骗技术

(4)电子邮件攻击

(5)通过一个节点来攻击其他节点

♦(6)网络监听

(7)寻找系统漏洞

(8)利用账号进行攻击

(9)偷取特权

g络攻击的动机

♦:♦偷取国家机密

商业竞争行为

内部员工对单位的不满

♦:♦对企业核心机密的企望

。网络接入帐号、信用卡号等金钱利益的诱惑

♦利用攻击网络站点而出名

♦:♦对网络安全技术的挑战

♦:♦对网络的好奇心

攻击的一般过程

预攻击攻击后攻击

目的：

收集信息，进行进进行攻击，获得系消除痕迹，长期维

一务攻击决策统的一定权限持一定的权限

内容：

获得域名及IP分布获得远程权限植入后门木马

获