《网络信息安全》课件第6章

第6章病毒原理6.1计算机病毒6.2病毒的防治6.3常用的反病毒技术6.4计算机病毒技术新动向习题

6.1计

算

机

病

毒

1．计算机病毒介绍计算机病毒是一个程序，是一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。它可以快速蔓延，并难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。

当某种条件或时机成熟时，它会自身复制并传播，使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制并具有传染性。

几个与计算机病毒相关的概念：木马——来自“特伊诺木马”。现在的木马程序一般是指，利用系统漏洞或用户操作不当进入用户的计算机系统，通过修改启动项目或捆绑进程方式自动运行，运行时有意不让用户察觉，将用户计算机中的敏感信息都暴露在网络中或接受远程控制的恶意程序。蠕虫——是指利用网络缺陷进行繁殖的病毒程序，其原始特征之一是通过网络协议漏洞进行网络传播。

脚本病毒——利用脚本来进行破坏的病毒，其特征为本身是一个ASCII码或加密的ASCII码文本文件，由特定的脚本解释器执行。主要利用脚本解释器的疏忽和用户登陆身份的不当对系统设置进行恶意配置或恶意调用系统命令造成危害。目前，木马、蠕虫、脚本病毒这三种病毒在不断杂交中衍生，已经形成了“你中有我，我中有你”的多态特性。本书将它们统称为“病毒”，但这三种病毒的感染机制和编写方式是不同的。

2．计算机病毒的特征

1)传染性传染性是计算机病毒的基本特征，它是判断一段程序代码是否为计算机病毒的重要依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者存储介质，确定目标后会将自身代码插入其中，以达到自我繁殖的目的，然后通过自我复制迅速传播。由于目前计算机网络日益发达，因此计算机病毒可以在极短的时间内，通过Internet网络传遍世界。

2)隐蔽性计算机病毒往往是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中，或者磁盘上标为坏簇的扇区中，以及一些空闲概率较大的扇区中，这是它的非法可存储性。如果不经过代码分析，病毒程序与正常程序很难区别开来。

3)潜伏性计算机病毒具有依附于其他媒体而寄生的能力，这种媒体称之为计算机病毒的宿主。依靠病毒的寄生能力，病毒传染给合法的程序和系统后并不立即发作，而是悄悄隐藏起来，只是在时机成熟时才表现活跃。这样，病毒就可以在用户不察觉的情况下进行广泛传染。所以说病毒的潜伏性越好，它在系统中存在的时间越长，病毒传染的范围就越广，其危害性也就越大。

4)破坏性无论何种病毒程序，一旦它们侵入系统都会对系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间、占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像，影响系统的正常运行，还有一些病毒程序删除文件，加密磁盘中的数据，甚至摧毁整个系统和数据，使之无法恢复，造成无可挽回的损失。因此，病毒程序的副作用是轻则降低系统工作效率，重则导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。

5)非授权可执行性用户通常调用执行一个程序时，会把系统控制交给这个程序，并分配给它相应的系统资源(如内存)，从而使之能够运行以完成用户的需求，整个执行过程对用户是透明的。而计算机病毒是非法程序，它跟正常程序一样具有可存储性和可执行性。它隐藏在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行，然而此时用户还认为在执行正常程序。

3.计算机病毒工作原理

1)引导型病毒的工作原理磁盘引导区是存放计算机初始化信息的地方，计算机启动时，首先运行引导区的引导程序，然后由引导程序引导操作系统启动计算机。引导型病毒主要感染硬盘主引导扇区或软盘的DoS引导扇区，但是以前者最为常见。

引导型病毒把自己存放在引导区，当作正常的引导程序，而将真正的引导程序搬到其他位置。当计算机启动时，就会把病毒程序当作正常的引导程序来运行，使寄生在磁盘引导区的静态病毒进入计算机，这时病毒程序被激活，可以随时进行感染和破坏活动。大麻病毒就是一种典型的引导型病毒，它也叫做“石头”病毒或“新西兰”病毒。它感染硬盘的主引导区，即硬盘的0柱面0头1扇区，或者软盘的DoS引导区。对硬盘而言，正常的引导程序存放在第7个扇区，大麻病毒的程序长度为512个字节。病毒将自身驻留在计算机的内存高端，使内存总量比实际值少2KB，病毒发作时，屏幕上会出现“YourPCisnowStoned!”。大麻病毒的工作原理如下：

(1)加载：由于大麻病毒将自身存放在硬盘的主引导区(或软盘的DoS引导区)，因而系统启动时，把病毒体当作系统引导程序装入到内存，并将系统控制权交给病毒程序。病毒修改INT13H的程序入口地址(即中断向量)，将其指向病毒本身，同时把正确的INT13H的程序入口地址保存。减少DoS可用内存空间，使病毒程序常驻内存。最后把正确的主引导区原来的内容调入内存，并开始正常的计算机启动工作。

(2)感染：当其他程序通过INT13H中断服务程序执行硬盘操作时，由于这时该中断向量已经指向病毒程序，因此病毒程序自动获得控制权，首先运行。病毒程序首先判断是不是读盘操作，若是，则把当前磁盘的0号相对扇区读入内存，并判断它是否感染过这个病毒，如果已经感染，则执行正常的读盘操作；否则，把正常的0扇区放到病毒指定的位置，再将病毒程序写入该磁盘的0号扇区，之后才执行正常的磁盘操作。

(3)破坏：因为病毒把原引导区写到硬盘文件分配表的第7扇区，DoS认为这个扇区中表项为0的对应磁盘上的簇是自由空间，就会往里存放数据。这样经过一段时间，这个主引导扇区中所有为0的字节都会被其他内容填充，以至于磁盘主引导区被破坏，下次病毒再调用时就无法启动计算机。

2)文件型病毒的工作原理文件型病毒主要攻击COM、EXE、SYS、DLL等可执行文件。下面以CIH病毒为例介绍其工作原理。

CIH是真正意义上的MSWindows病毒。它采用一种独特的方式感染可执行程序，它打入Windows内核，取得核心级控制权，被感染文件的大小没有任何改变。病毒的大小约在1KB左右。跟其他文件型病毒一样，当受感染的可执行文件执行后，CIH病毒便驻留在内存中，通过修改INT21H中断向量，使其指向病毒程序所在的内存地址，并保留正常的INT21H中断向量。它会感染所接触到的其他PE格式执行程序。论其破坏方式主要有以下两个方面。

(1)攻击BIOS：CIH最异乎寻常之处是它对计算机BIOS的攻击。打开计算机时，BIOS(基本输入输出系统)首先取得系统的控制权，从CMOS中读取系统设置参数，初始化并协调有关系统设备的数据流，在这之后，系统控制权移交给硬盘或软盘的引导区，最后转达给操作系统。在CIH发作时，会试图向BIOS中写入垃圾信息，BIOS中的内容会被彻底洗去。这时，补救的办法只有更换BIOS，或是向固定在主板上的BIOS中重新写入原来版本的程序。从这个角度上，CIH病毒被称为是首例直接攻击和破坏计算机硬件系统的病毒。

(2)覆盖硬盘：向硬盘写入垃圾内容也是CIH的破坏性之一，从实际的影响看，覆盖硬盘所带来的损失至少不逊于对BIOS的攻击。CIH发作时，调用IOS-SendCommand直接对硬盘进行存取，将垃圾代码以208个扇区为单位，循环写入硬盘，直到所有硬盘(含逻辑盘)的数据均被破坏为止。

CIH的工作原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法。使用这一方法的目的是获取高的CPU权限。CIH首先使用SIDT取得IDTbaseaddress(中断描述符表基地址)，然后把IDT的INT3的入口地址改为指向CIH自己的INT3程序入口部分，再利用自己产生一个INT3指令运行至CIH自身的INT3入口程序处，这样CIH病毒就可以获得最高级别的权限(即权限0)，接着病毒将检查DR0寄存器的值是否为0，用以判断先前是否有CIH病毒已经驻留。如DR0的值不为0，则表示CIH病毒程序已驻留，则此CIH副本将恢复原先的INT3入口，然后正常退出(这一特点也可以被我们利用来欺骗CIH程序，以防止它驻留在内存中，但是应当防止其可能的后继派生版本)。

如果判断DR0值为0，则CIH病毒将尝试进行驻留，其首先将当前EBX寄存器的值赋给DR0寄存器，以生成驻留标记。然后调用INT20中断，使用VxDcallPageAllocate系统调用，要求分配Windows系统内存(systemmemory)，Windows系统内存地址范围为C0000000h～FFFFFFFFh，它是用来存放所有的虚拟驱动程序的内存区域，如果程序想长期驻留在内存中，则必须申请到此区段内的内存，即申请到映射地址空间在C0000000h以上的内存。如果内存申请成功，则接着将从被感染文件中把原先分成多段的病毒代码收集起来，并进行组合后放到申请到的内存空间中。

完成组合、放置过程后，CIH病毒将再次调用INT3中断进入CIH病毒体的INT3入口程序，接着调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序，用来在文件系统处理函数中挂接钩子，以截取文件调用的操作，最后修改IFSMgr_InstallFileSystemApiHook的入口，这样就完成了挂接钩子的工作。同时Windows默认IFSMgr_Ring0_FileIO(IFSMgr，InstallableFileSystemManager)服务程序的入口地址将被保留，以便于CIH病毒调用，这样，一旦出现要求开启文件的调用，则CIH将在第一时间截获此文件，并判断此文件是否为PE格式的可执行文件，如果是，则感染，如果不是，则放过去，并将调用转接给正常的WindowsIFSMgr_IO服务程序。

CIH不会重复多次地感染PE格式文件，感染文件后，文件的日期与时间信息将保持不变。对于绝大多数的PE程序，其被感染后，程序的长度也将保持不变，CIH将会把自身分成多段，插入到程序的空域中。完成驻留工作后的CIH病毒将把原先的IDT中断表中的INT3入口恢复成原样。

6.2病

毒

的

防

治

1．从用户的角度谈病毒防治

1)计算机病毒的预防计算机病毒防治的关键是做好预防工作，即防患于未然。而预防工作从宏观上来讲是一个系统工程，要求全社会来共同努力。从国家来说，应当健全法律、法规来惩治病毒制造者，这样可减少病毒的产生；从各级单位而言，应当制定出一套具体措施，以防止病毒的相互传播；从个人的角度来说，每个人不仅要遵守病毒防治的有关措施，还应不断增长知识，积累防治病毒的经验，不仅不要成为病毒的制造者，而且也不要成为病毒的传播者。

要做好计算机病毒的预防工作，建议从以下两方面着手：

(1)树立牢固的计算机病毒的预防思想：解决病毒的防治问题，最关键的一点是要在思想上给予足够的重视。要采取“预防为主，防治结合”的八字方针，从加强管理入手，制定出切实可行的管理措施。由于计算机病毒的隐蔽性和主动攻击性，要杜绝病毒的传染，在目前的计算机系统总体环境下，特别是对于网络系统和开放式系统而言，几乎是不可能的。因此，以预防为主，制定出一系列的安全措施，可大大降低病毒的传染，而且即使受到传染，也可立即采取有效措施将病毒消除。

(2)堵塞计算机病毒的传染途径：堵塞传播途径是防治计算机病毒侵入的有效方法。根据病毒传染途径，确定严防死守的病毒入口点，同时做一些经常性的病毒检测工作，最好在计算机中装入具有动态预防病毒入侵功能的系统，即可将病毒的入侵率降低到最低限度，同时也可将病毒造成的危害减少到最低限度。

2)计算机病毒的检测和消除要有效地阻止病毒的危害，关键在于及早发现病毒，并将其消除。目前计算机病毒的检测和消除办法有两种：一是人工方法，二是自动方法。人工方法检测和消除病毒是借助于调试程序及工具软件等进行手工检测和消除处理。这种方法要求操作者对系统十分熟悉，且操作复杂，容易出错，有一定的危险性，一旦操作不慎就会导致意想不到的后果。这种方法常用于消除自动方法无法消除的新病毒。自动检测和消除是针对某一种或多种病毒使用专门的反病毒软件自动对病毒进行检测和消除处理。这种方法不会破坏系统数据，操作简单，运行速度快，是一种较为理想和目前较为通用的检测及消除病毒的方法。

2．从技术的角度谈病毒防治

1)病毒预防技术计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏的，实际上它是一种特征判定技术，也可能是一种行为规则的判定技术。也就是说，计算机病毒的预防是根据病毒程序的特征对病毒进行分类处理，而后在程序运行中凡有类似的特征点出现则认定是计算机病毒的。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作，以达到保护系统的目的。

计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。计算机病毒的预防应该包括两个部分：对已知病毒的预防和对未知病毒的预防。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。

2)病毒检测技术计算机病毒的检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种，一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序的自身检测技术，即对某个文件或数据段进行检测并保存其结果，尔后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在。

计算机病毒的检测技术已从早期的人工观察发展到能自动检测到某一类病毒，今天又发展到能自动对多个驱动器和上千种病毒自动扫描检测。目前，有些病毒检测软件还具有在不扩展由压缩软件生成的压缩文件内进行病毒检测的能力。现在大多数商品化的病毒检测软件不仅能检查隐藏在磁盘文件和引导扇区内的病毒，还能检测内存中驻留的计算机病毒。而对于能自我变化的被称作Polymophics(多形性)病毒的检测还需要进一步研究。

3)病毒消除技术计算机病毒的消除技术是计算机病毒检测技术发展的必然结果，是病毒传染程序的一种逆过程。从原理上讲，只要病毒不进行破坏性的覆盖式写盘操作，病毒就可以被清除出计算机系统。安全、稳定的计算机病毒清除工作完全基于准确、可靠的病毒检测工作。计算机病毒的消除严格地讲是计算机病毒检测的延伸，病毒消除是在检测发现特定的计算机病毒基础上，根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。

4)病毒免疫技术计算机病毒的免疫技术目前没有很大发展。针对某一种病毒的免疫方法已没有人再用了，而目前尚没有出现通用的能对各种病毒都有免疫作用的技术，也许根本就不存在这样一种技术。现在，某些反病毒程序使用给可执行程序增加保护性外壳的方法，能在一定程度上起保护作用。若在增加保护性外壳前该文件已经被某种尚无法由检测程序识别的病毒感染，则此时作为免疫措施为该程序增加的保护性外壳就会将程序连同病毒一起保护在里面。等检测程序更新了版本，能够识别该病毒时又因为保护程序外壳的“护驾”，而不能检测出该病毒。另外，某些如DIR2类的病毒仍能突破这种保护性外壳的免疫作用。

6.3常用的反病毒技术

1．特征码技术特征码技术是基于对已知病毒分析、查解的反病毒技术。目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行，亦即在查病毒时采用特征码查毒，在杀病毒时采用人工编制解毒代码。特征码查毒方案实际上是人工查毒经验的简单表述，它再现了人工辨识病毒的一般方法，采用了“同一病毒或同类病毒的某一部分代码相同”的原理，也就是说，如果病毒及其变种、变形病毒具有同一性，则可以对这种同一性进行描述，并通过对程序体与描述结果(亦即“特征码”)进行比较来查找病毒。而并非所有病毒都可以描述其特征码，很多病毒都是难以描述甚至无法用特征码进行描述的。使用特征码技术需要实现一些补充功能，例如近来的压缩包、压缩可执行文件自动查杀技术。

但是，特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素，从长达数千字节的病毒体中撷取10余字节的病毒特征码，需要对病毒进行跟踪、反汇编以及其他分析，如果病毒本身具有反跟踪技术和变形、解码技术，那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外，要撷取一个病毒的特征码，必然要获取该病毒的样本。再由于对特征码的描述有许多种，因此特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上，而杀病毒技术又导致了反病毒软件的技术迟滞。

2．实时监视技术实时监视技术为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。时刻监视系统当中的病毒活动，时刻监视系统状况，时刻监视软盘、光盘、因特网、电子邮件上的病毒传染，将病毒阻止在操作系统外部。且优秀的反病毒软件由于采用了与操作系统的底层无缝连接技术，实时监视器占用的系统资源极小，用户一方面完全感觉不到反病毒软件对机器性能的影响，另一方面根本不用考虑病毒的问题。只要反病毒软件实时地在系统中工作，病毒就无法侵入我们的计算机系统。可以保证反病毒软件只需一次安装，今后计算机运行的每一秒钟都会执行严格的反病毒检查，使通过因特网、光盘、软盘等途径进入计算机的每一个文件都安全无毒，如有毒则自动进行杀除。

3．虚拟机技术虚拟机技术是启发式探测未知病毒的反病毒技术。虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性，而这个标准是不易被使用和实现的，因此如果病毒已经传染了才判定出它是病毒，定会给病毒的清除带来麻烦。那么检查病毒用什么方法呢？客观地说，在各类病毒检查方法中，特征值方法是适用范围最宽、速度最快、最简单、最有效的方法。但由于其本身的缺陷问题，它只适用于已知病毒，对于未知病毒，如果能够让病毒在控制下先运行一段时间，让其自己还原，那么，问题就会相对明了。可以说，虚拟机是这种情况下的最佳选择。

虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒。首先，虚拟机必须提供足够的虚拟，以完成或将近完成病毒的“虚拟传染”；其次，尽管根据病毒定义而确立的“传染”标准是明确的，但是，这个标准假如能够实施，它在判定病毒的标准上仍然会有问题；第三，假如上一步能够通过，那么，我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。

6.4计算机病毒技术新动向

1．抗分析病毒技术顾名思义，这种病毒技术是针对病毒分析者的。为了使病毒的分析者难以分析清楚病毒的原理，这种病毒综合采用了以下两种技术：其一是加密技术，这是一种防止静态分析的技术，使得分析者无法在不执行病毒的情况下，阅读加密过的病毒程序。其二是反跟踪技术，其目的是使分析者无法动态跟踪病毒程序的运行。

2．多态性病毒技术多态性病毒是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。这种病毒在每次感染时，放入宿主程序的代码互不相同，不断变化，几乎就没有稳定的代码。所有采用特征代码法的检测工具都不能识别它们。多态性病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，使得查毒软件的编写变得更加困难，并还会带来许多的误报。国际上造成全球范围传播和破坏的第一例多态性病毒是TEQUTLA病毒，从该病毒的出现到编制出能够完全查出该病毒的软件，研究人员花费了九个月的时间。

3．插入性病毒技术一般病毒感染文件时，是将病毒代码放在文件头部，或者放在尾部，虽然可能对宿主代码作某些改变，但从总体上说，病毒与宿主程序有明显的界限。插入性病毒在不了解宿主程序的功能及结构的前提下，能够将宿主程序在适当处拦腰截断，在宿主程序的中部插入病毒程序，并且能做到：病毒首先获得运行权；病毒不能被卡死；宿主程序不会因为插入病毒而卡死。很久以前，曾有文献介绍了此种病毒，直到1991年在保加利亚才发现了首例实战型病毒。这是最为简单的插入性病毒，感染的是简单的COM型文件。由于病毒是插入到文件的中部，因此如果不对病毒作剖析，仅仅采用一般的杀毒工具很难消除此类病毒。此类病毒给自动杀毒工具提出了新的难题。

4．超级病毒技术超级病毒技术是一种很先进的病毒技术。它的主要目的是对抗计算机病毒的预防技术。假定一个计算机病毒进行感染、破坏时，反病毒工具根本无法获取运行的机会，那么病毒的感染、破坏过程也就可以顺利地完成了。由于计算机病毒的感染、破坏必然伴随着磁盘的读写操作，因此能否预防计算机病毒的关键在于在对磁盘进行读写操作时，病毒预防工具能否获得运行的机会以对这些读写操作进行判断和分析。

超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的技术。一般病毒攻击计算机时，往往窃取某些中断功能，要借助于DoS的帮助，才能完成操作。例如，在PC机中病毒要写盘，必须借助于原DoS的INT13H，病毒作者知道，反病毒工具(软件的或硬件的)都是在DoS中设置许多陷阱，等待病毒来碰。一碰陷阱，病毒便被抓获。超级病毒作者以更高的技术编写了完全不借助于DoS系统而能攻击计算机的病毒，此类病毒攻击计算机时，完全依靠病毒内部代码来进行操作，避免碰触DoS系统，不会掉入反病毒陷阱，极难捕获。一般的软件或反病毒工具遇到此类病毒都会失效。

5．破坏性感染病毒技术破坏性感染病毒是针对计算机病毒消除技术的。计算机病毒消除技术就是将患病程序中的病毒代码摘除，使之变为无毒可运行的健康程序。一般病毒感染文件时，不伤害宿主程序代码。有的病毒虽然会移动或变动一部分宿主代码，但最后在内存运行时，还是要恢复其原样，以保证宿主程序正常运行。任何文件只要感染破坏性感染病毒，宿主部分便不能正常运行，如果没有副本的话，任何人、任何工具都不能使之康复。因