计算机网络安全技术- 课件 王艳军 第3章 计算机病毒与木马

计算机病毒的定义一、计算机病毒的定义计算机病毒（ComputerVirus）是人为制造的，有破坏性，又有传染性和潜伏性的，对计算机信息或系统起破坏作用的程序。它不是独立存在的，而是隐蔽在其他可执行的程序之中。计算机中病毒后，轻则影响机器运行速度，重则死机系统破坏；因此，病毒给用户带来很大的损失，通常情况下，我们称这种具有破坏作用的程序为计算机病毒。1994年2月18日，我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》（以下简称《条例》）。在《条例》中明确定义为“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码”。一、计算机病毒的定义计算机病毒与医学上的“病毒”不同，计算机病毒不是天然存在的，是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质（或程序）里，条件满足时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。感谢您的观看主讲崔升广ThankYOU!计算机病毒的产生及原因主讲崔升广一、计算机病毒的产生及原因计算机病毒的起源，到现在还没有一个为大家所公认的说法，尽管如此，对于计算机病毒的发源地，大家一致认为是美国。至今，在全世界发现的病毒已经有几十万种，病毒的不断翻新，编程高手也越来越多，令人防不胜防。一、计算机病毒的产生及原因计算机病毒并非最近才出现的产物，早在1949年，计算机的先驱者冯•诺依曼在其论文《复杂自动装置的理论及组织的行为》中就提出一种会自我繁殖的程序，即现在的计算机病毒。在冯•诺依曼发表《复杂自动装置的理论及组织的行为》一文的10年之后，美国电话电报公司的贝尔实验室的3个年轻工程师开发了一种叫作磁芯大战的电子游戏。其进行过程如下：双方各编写一套程序，输入同一台计算机中；这两套程序在计算机内存中运行，并且相互追杀；有时会设置一些关卡，有时会停下来修复被对方破坏的指令；被困时，可以自己复制自己，逃离险境，这就是计算机病毒的雏形。1983年11月3日，费雷德•科恩在南加州大学攻读博士学位期间，研制出一种在运行过程中可以复制自身的破坏程序，第一次公开展示了计算机病毒，在他的论文中，将病毒定义为“一个可以通过修改其他程序来复制自己并感染它们的程序”，从而在实验上验证了计算机病毒的存在。（1）计算机病毒的出现一、计算机病毒的产生及原因1986年初，第一个广泛传播的真正的计算机病毒问题，即巴基斯坦出现的“Brain”病毒。该病毒在1年内流传到了世界各地，并且出现了多个对原始程序的修改版本，引发如“迈阿密”等病毒的涌现，这些病毒都针对PC用户，并以软盘为载体，随寄主程序的传递感染其他计算机。我国的计算机病毒最早出现于1989年，是来自西南铝加工厂的病毒报告，即“小球病毒报告”。此后，国内各地陆续报告发现该病毒。在不到3年的时间内，我国又出现了“黑色星期五”“磁盘杀手”等数百种不同传染和发作类型的病毒。1989年7月，针对国内出现的病毒，公安部计算机管理和监察局监察处反病毒研究小组迅速编写了反病毒软件KILL，这是国内第一个反病毒软件。（1）计算机病毒的出现一、计算机病毒的产生及原因①恶作剧型。有些编程人员在无聊时处于游戏的心理编制了一些有一定破坏性小程序，并用此类程序相互制造恶作剧，于是形成了一类新的病毒，如最早的“磁芯大战”就是这样产生的。为了满足自己的表现欲，故意编制出一些特殊的计算机程序，让别人的计算机出现一些动画，或播放声音，或提出问题让使用者回答。而此种程序流传出去就演变成计算机病毒，此类病毒破坏性一般不大。②报复心理型。美国一家计算机公司的一名程序员被辞退后，决定对公司进行报复，离开前向公司计算机系统中输入了一个病毒程序，“埋伏”在公司计算机系统里，结果这个病毒潜伏了5年多才发作，造成整个计算机系统的紊乱，给公司造成了巨大损失。（2）计算机病毒产生的原因一、计算机病毒的产生及原因③版权保护型。在软件上运用了加密和保护技术，并编写了一些特殊程序附在正版软件上，如遇到非法使用，则此类程序将自动激活并对盗用者的计算机系统进行干扰和破坏，这实际上也是一类新的病毒，如巴基斯坦病毒。④特殊目的型。一些组织或个人编制的一些病毒程序用于攻击特殊目标计算机，给特殊目标计算机造成灾难或直接性的经济损失，对机构的特殊系统进行干扰或破坏等。计算机病毒的产生是一个历史问题，是计算机科学技术高度发展与计算机文明迟迟得不到完善这样一种不平衡发展的结果，它充分暴露了计算机信息系统本身的脆弱性和安全管理方面存在的问题，如何防范计算机病毒的侵袭已成为国际上亟待解决的重大课题。（2）计算机病毒产生的原因感谢您的观看主讲崔升广ThankYOU!计算机病毒的主要特征主讲崔升广一、计算机病毒的主要特征任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致数据丢失、系统崩溃。计算机病毒的程序性，代表它和其他合法程序一样，是一段可执行程序，但它不是一段完整的程序，而是寄生在其他可执行程序上的一段程序，只有其他程序运行的时候，病毒才起破坏作用。病毒一旦其进入计算机后得到执行，它就会搜索其他符合条件的环境，确定目标后再将自身复制其中，从而到达自我繁殖的目的。因此，传染性是判断计算机病毒的重要条件。一、计算机病毒的主要特征传染性是计算机病毒最重要的特征，能够通过U盘、网络等途径入侵计算机。在入侵之后，往往可以实现病毒扩散，感染未感染计算机，进而造成大面积瘫痪等事故。随着网络信息技术的不断发展，在短时间之内，病毒能够实现较大范围的恶意入侵。因此，在计算机病毒的安全防御中，如何面对快速的病毒传染，成为有效防御病毒的重要基础，也是构建防御体系的关键。例如，2002年十大流行的病毒之一的“欢乐时光”病毒就是通过网络传播的。计算机感染该病毒后会产生大量“desktop.ini”“FOLDER.HTT”两个文件，如图3.1所示，而且这两个文件属性是隐藏的。1．传染性一、计算机病毒的主要特征病毒入侵计算机，往往具有极大的破坏性，能够破坏数据信息，甚至造成大面积的计算机瘫痪，对计算机用户造成较大损失。如常见的木马、蠕虫等计算机病毒，可以大范围入侵计算机，为计算机带来安全隐患；严重的计算机病毒会破坏硬件，如“CIH”病毒，它不仅破坏硬盘的引导区和分区表，还破坏计算机系统FlashBIOS芯片中的系统程序；如感染“熊猫烧香”病毒后，系统的文件会被破坏，如图3.2所示。程序的破坏性体现了病毒设计者的真正意图，这种破坏性所带来的经济损失是非常巨大的。自2017年出现勒索病毒之后，2020年和2021年勒索病毒都相当活跃，变种越来越多，且影响十分严重，造成的经济损失也越来越大。近几年来，计算机病毒引起信息泄露事件逐渐增多，涉及面也越来越广，这些事件造成的经济损失也很难估算，对信息安全的威胁是巨大的。2．破坏性一、计算机病毒的主要特征计算机病毒不易被发现，这是由于计算机病毒具有较强的隐蔽性，其往往以隐含文件或程序代码的方式存在，在普通的病毒查杀中，难以实现及时有效的查杀。病毒伪装成正常程序，计算机病毒扫描难以发现。并且，一些病毒被设计成病毒修复程序，诱导用户使用，进而实现病毒植入，入侵计算机。因此，计算机病毒的隐蔽性，使得计算机安全防范处于被动状态，造成严重的安全隐患。3．隐蔽性一、计算机病毒的主要特征计算机病毒还具有寄生性特点。计算机病毒需要在宿主中寄生才能生存，才能更好地发挥其功能，破坏宿主的正常机能。通常情况下，计算机病毒都是在其它正常程序或数据中寄生，在此基础上利用一定媒介实现传播，在宿主计算机实际运行过程中，一旦达到某种设置条件，计算机病毒就会被激活，随着程序的启动，计算机病毒会对宿主计算机文件进行不断辅助、修改，使其破坏作用得以发挥。4．寄生性一、计算机病毒的主要特征计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。5．可执行性一、计算机病毒的主要特征病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特征。例如，著名的“黑色星期五”病毒在每月逢13号的星期五发作；“PETER-2”病毒在每年2月27日会提出3个问题，答错后会将硬盘加密；以及每月26日发作的“CIH”病毒。6．可触发性一、计算机病毒的主要特征病毒对系统的攻击是主动的，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。7．攻击的主动性一、计算机病毒的主要特征计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对IBMPC机及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。例如，小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。8．病毒的针对性感谢您的观看主讲崔升广ThankYOU!计算机病毒的危害表现主讲崔升广一、计算机病毒的危害表现病毒是引起大多数软件故障的主要原因，计算机病毒其实是一种自我复制能力的程序或脚本语言，这些计算机程序或脚本语言利用计算机的软件或硬件的缺陷控制或破坏计算机，可使系统运行缓慢、不断重启或使用户无法正常操作计算机，甚至可能在硬件上造成损坏。一、计算机病毒的危害表现（1）破坏内存。计算机破坏内存的方法主要是大量占用计算机内存、禁止分配内存、修改内存容量和消耗内存4种。病毒在运行时占用大量的内存和消耗大量的内存资源，导致系统资源匮乏，进而导致死机。（2）文件丢失或破坏文件。病毒破坏文件的方式主要包括重命名、删除、替换内容、颠倒或复制内容、丢失部分程序代码、写入时间空白、分割或假冒文件、丢失文件簇和丢失数据文件等。受到病毒坏的文件，如果不及时杀毒，将不能使用。（3）影响计算机运行速度。病毒在计算机中一旦被激活，就会不停的运行，占用了计算机大量的系统资源，使计算机的系统资源，使计算机的运行速度明显减慢。（4）影响操作系统正常运行。计算机病毒还会破坏操作系统的正常运行，主要表现方式包括自动重启计算机、无故死机、不执行命令、干扰内部命令的执行、打不开文件、虚假报警、占用特殊数据区、强制启动软件和扰乱各种输出/入口等。一、计算机病毒的危害表现（5）破坏硬盘或BIOS程序。计算机病毒攻击硬盘主要表现包括破坏硬盘中存储的数据、不读/写硬盘、交换操作和不完全写硬盘等，或是本输入输出系统（BasicInputOutputSystem，BIOS）程序混乱使主板遭破坏，如同CIH病毒发作后的情形，系统主板上的BIOS被病毒改写，致使系统主板无法正常工作，计算机系统被破坏。（6）破坏系统数据区。由于硬盘的数据区中保存了很多的文件及重要数据，计算机病毒对其进行破坏通常会引起毁灭性的后果。病毒主要攻击的是硬盘主引导扇区、BOOT扇区、FAT表和文件目录等区域，当这些位置被病毒破坏的时候，只能通过专业的数据恢复来还原数据了。（7）部分文档自动加密。病毒利用加密算法，将密钥保存在病毒程序内或其他隐蔽处，使用感染的文件被加密，当内存中驻留此病毒后，系统访问被感染的文件时可自动解密，不易被察觉，一旦此种病毒被清除，被加密的文档将难以恢复。（8）导致计算机网络瘫痪，无法正常提供网络服务。感谢您的观看主讲崔升广ThankYOU!计算机病毒程序的构成主讲崔升广一、计算机病毒程序的构成计算机病毒程序通常由3个模块和1个标志构成，即引导模块、感染模块、破坏表现模块和感染标志构成。一、计算机病毒程序的构成1．引导模块引导模块用于将计算机病毒程序引入计算机内存，并使得感染模块和破坏表现模块处于活动状态。引导模块需要提供自我保护功能，避免内存中的自身代码被覆盖或清除。计算机病毒程序引入内存后为感染模块和破坏表现模块设置了相应的启动条件，以便在适当的时候或者合适的条件下激活感染模块或者触发破坏表现模块。2．感染模块感染模块包括条件判断子模块和功能实现子模块两部分。感染条件判断子模块依据引导模块设置的感染条件，判断当前系统环境是否满足感染条件。感染功能实现子模块判断是否满足感染条件，如果满足则启动感染功能，将计算机病毒程序附加在其他宿主程序中。一、计算机病毒程序的构成3．破坏表现模块病毒的破坏表现模块主要包括两部分。一部分是激发控制，当病毒满足某个条件时，就会发作；另一部分就是破坏操作，不同计算机病毒有不同的操作方法，典型的恶性病毒会疯狂复制自身、删除其他文件等。4．感染标志在感染计算机病毒前，需要先通过识别感染标志判断计算机系统是否被感染了。若判断没有被感染，则将病毒程序的主体设法引导安装在计算机系统中，为其感染模块和破坏表现模块的引入、运行和实施做好准备。感谢您的观看主讲崔升广ThankYOU!计算机病毒诊断方法主讲崔升广一、计算机病毒诊断方法自20世纪80年代出现具有危害性的计算机病毒以来，计算机专家们就开始研究防病毒技术，防病毒技术随着病毒技术的发展而发展。常用的计算机病毒诊断方法有如下几种，这些方法依据的原理不同，实现时所需的开销不同，检测范围也不同，各有所长。一、计算机病毒诊断方法（1）特征代码法特征代码法是现在大多数防病毒软件的静态扫描所采用的方法，是检测已知病毒最简单、开销最小的方法，当防病毒软件公司收集到一种新的病毒时，就会从这个病毒中截取一小段独一无二而且足以表示这种病毒的二进制代码，来当作扫描此病毒的依据，而这段独一无二的代码就是所谓的病毒特征代码。分析出病毒的特征代码后，将其集中存放于病毒代码库文件中，在扫描的时候将扫描对象与特征代码库进行比较，如果吻合，则判断为感染了病毒。特征代码法实现简单，对于查杀已知的文件型病毒特别有效，由于已知特征代码，清除病毒十分安全和彻底。特征代码优点：检测准确，可识别病毒的名称，误报率低，依据检测结果可做杀毒处理。特征代码缺点：速度慢，不能检查多态型病毒，不能检查隐蔽型病毒，不能检查未知病毒。一、计算机病毒诊断方法（2）检验和法。病毒在感染程序时，大多会使被感染的程序大小增加或者日期改变，校验和法就是根据病毒的这种行为来进行判断的。其把硬盘中的某些文件的资料汇总并记录下来，在以后的检测过程中重复此项动作，并与前次