计算机病毒及防治技术

主要内容计算机病毒概述

1计算机病毒的防治技术

2常见的杀毒软件简介

3://1计算机病毒的开展://2计算机病毒的开展第一阶段原始病毒阶段

第二阶段第三阶段多态性病毒阶段

混合型病毒阶段

第二阶段第四阶段网络病毒阶段

主动攻击型病毒

第五阶段://3计算机病毒的开展 第一阶段〔1986年－1989年〕，为原始病毒阶段。 这个阶段是计算机病毒的萌芽和产生时期。当时计算机的应用软件少，而且大多是单机运行，因此病毒的种类很有限，传染目标单一，病毒主要是采取截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染；病毒传染目标后磁盘上出现坏扇区、可执行文件的长度增加、文件建立时间发生改变等明显的特征，病毒程序本身不具有自我保护的措施，也没有大量传播、流行，容易被人工或查毒软件所发现、分析和去除。典型传统型有巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊〞的病毒，该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。://4计算机病毒的开展第二阶段〔1989年－1991年〕，混合型病毒阶段。 这段时间是计算机病毒由简单开展到复杂、由幼稚走向成熟的阶段。当时计算机局域网开始应用与普及，应用软件开始转向网络环境并且更加成熟和丰富，由于当时网络系统平安防护的意识比较薄弱，缺乏在网络环境下病毒防御的思想准备与方法对策，致使这个阶段全世界的计算机病毒十分猖獗，成为计算机病毒流行的第一次顶峰。://5计算机病毒的开展第三阶段(1992年-1995年)，多态性病毒阶段。 这一阶段是病毒的成熟开展阶段，病毒开始向多维化、多态化或自我变形化开展，即在每次传染目标时，放入宿主程序中的病毒程序大局部都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的。由此导致传统的利用特征码法检测病毒的查杀软件不能很难检测出此类病毒。://6计算机病毒的开展第四阶段上世纪90年代中后期开始，网络病毒阶段。 现阶段计算机病毒起源于这一时期，随着互联网、远程终端访问效劳的普及，依赖互联网络传播的邮件病毒和宏病毒等大量涌现，病毒传播快、隐蔽性强、破坏性大。病毒传播日益肆虐，病毒的传播迅速突破地域的界限，通过广域网传播至局域网内，并在局域网内相互传播扩散。这一时期病毒的最大特点是利用Internet作为其主要传播途径，因而，病毒传播快、隐蔽性强、破坏性大。像美丽莎、CIH等病毒都通过电子邮件附件传播，在双击这些附件时，便立即开始传播。://7计算机病毒的开展第五阶段从2000年至今，为主动攻击型病毒。 该阶段是主动攻击型病毒大闹互联网的开展期。典型代表为前几年出现的“冲击波〞病毒、“震荡波〞病毒和去年流行的“熊猫烧香〞这些病毒利用操作系统的漏洞进行进攻型的扩散，并不需要任何媒介或操作，用户只要接入互联网络就有可能被感染。正因为如此，该病毒的危害性更大。://8计算机病毒的开展2.计算机病毒的定义 计算机病毒是一个程序或一段可执行代码。计算机病毒之所以称为病毒是因为它具有像生物界的病毒一样的特性，计算机病毒有很强的自我复制能力，计算机病毒可以很快地传染和破坏计算机软、硬件和数据资源，但又难于发现和铲除，故由生物医学上的“病毒〞概念引申而来。但又与医学上的“病毒〞不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。://9计算机病毒的开展3.计算机病毒开展的趋势 未来的计算机病毒的开展趋势具有如下特征： 1〕病毒的网络化。病毒与Internet和Intranet更紧密地结合，利用Internet上一切可以利用的方式进行传播，如邮件、局域网、远程管理、实时通信工具等。 2〕病毒功能的综合化。新型病毒集文件传染、蠕虫、木马、黑客程序特点于一身，破坏性大大加强。 3〕传播渠道的多样化。病毒通过网络共享、网络漏洞、网络浏览、电子邮件、即时通信软件等途径传播。 4〕病毒的多平台化。目前，各种常用的操作系统平台病毒均已出现，第一个跨Windows和Linux平台的病毒Winux也于四年前出现，跨各种新型平台的病毒也会推出和普及。://10计算机病毒的特征1.传染性 传染性是病毒的根本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，病毒程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码程序插入其中，到达自我繁殖、传染和扩散的目的。而且如果处理不及时，被感染的程序和系统将成为新的传染源，在与其它系统和设备接触时继续进行传播，导致更多的文件被感染。而被感染的文件又成为新的传染源，再与其他计算机进行数据交换或通过网络连接时，病毒还会继续进行传染。病毒的传染可以通过各种移动存储设备，如软盘、移动硬盘、U盘、可擦写光盘、、PDA等；病毒可以通过有线网络、无线网络、网络等渠道迅速涉及全球。://11计算机病毒的特征2.潜伏性

病毒在进入系统之后通常不会马上发作，可长期隐藏在系统中，除了传染外不做什么破坏，以提供足够的时间繁殖扩散。病毒在潜伏期，不破坏系统，因而不易被用户发现。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大。病毒只有在满足特定触发条件时才启动其破坏模块。://12计算机病毒的特征3.触发性 计算机病毒因某个事件或数值的出现，激发其进行传染，或者激活病毒的表现局部或破坏局部的特性称为可触发性。为了实现破坏的目的，病毒必须潜伏，隐蔽自己，然后等待适宜的条件来触发。病毒一般都有一个或者多个触发条件，病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件可能是时间、日期、操作或某些特定数据等。病毒运行时触发机制检查预定条件是否满足，如果满足，那么病毒触发感染或执行破坏动作，使病毒进行感染或攻击；否那么继续潜伏。://13计算机病毒的特征4.破坏性 计算机病毒的破坏性主要取决于计算机病毒设计者的目的。如果病毒设计者的目的在于彻底破坏系统的正常运行，那么这种病毒对于计算机系统进行攻击造成的后果是不堪设想的，它可以毁掉系统的局部数据，也可以破坏全部数据并使之无法恢复。 并非所有的病毒都对系统产生极其恶劣的破坏作用。任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。轻者会降低计算机的工作效率，占用系统资源，重者可导致系统崩溃。根据此特性，可将病毒分为良性病毒与恶性病毒。良性病毒可能只是干扰显示屏幕，显示一些乱码或无聊的语句，或者根本无任何破坏动作，只是占用系统资源。恶性病毒那么有明确的目的，它们破坏数据、删除文件、加密磁盘甚至格式化磁盘、破坏硬件，对数据造成不可挽回的破坏。另外，病毒的交叉感染，也会导致系统崩溃等恶果。://14计算机病毒的特征5.非授权性

一般正常的程序是先由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切权限，它隐藏在正常程序中，当用户调用正常程序时它窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。病毒对系统的攻击是主动的，不以人的意志为转移。从一定的程度上讲，计算机系统无论采取多么严密的保护措施都不可能彻底排除病毒对系统的攻击，而保护措施充其量只是一种预防的手段而已。://15计算机病毒的特征6.隐蔽性 计算机病毒的隐蔽性表现在两个方面：一是传染的隐蔽性，大多数病毒在进行传染时速度是极快的，一般不具有外部表现，不易被人发现。二是病毒程序存在的隐蔽性，病毒一般都附着在正常程序之中，正常程序被计算机病毒感染后，其原有功能根本上不受影响。而一旦病毒发作出来，在正常程序的工作过程中不断得到运行，传染更多的系统和资源，与正常程序争夺系统的控制权和磁盘空间，不断地破坏正常的系统，甚至导致整个系统的瘫痪。://16计算机病毒的特征7.衍生性 很多病毒使用高级语言编写，如“爱虫〞是脚本语言病毒，“美丽杀〞是宏病毒,通过分析计算机病毒的结构可以了解设计者的设计思想，从而衍生出各种新的计算机病毒，称为病毒变种。这就是计算机病毒的衍生性。变种病毒造成的后果可能比原版病毒更为严重。“爱虫〞病毒在十几天中，出现三十多种变种。“美丽杀〞病毒也有多种变种，并且此后很多宏病毒都使用了“美丽杀〞的传染机理。这些变种的主要传染和破坏的机理与母体病毒根本一致，只是改变了病毒的外部表象。://17计算机病毒的类型1.按照计算机病毒攻击的操作系统不同分类 〔1〕攻击DOS系统的病毒。DOS系统是人们使用最早最广的操作系统，没有自我保护的机制，因而这类病毒出现最早、最多，变种也最多。 〔2〕攻击Windows系统的病毒。随着Windows系统的开展，它的图形用户界面(GUI)和多任务操作系统深受用户的欢送，Windows系统已经取代DOS系统，成为病毒攻击的主要对象。 〔3〕攻击UNIX系统的病毒。由于UNIX系统应用非常广泛，并且许多大型的主机均采用UNIX作为其主要的操作系统，UNIX病毒就是针对这些大型主机的。 〔4〕攻击OS/2系统的病毒。目前已经出现了攻击OS/2系统的病毒。 〔5〕攻击NetWare系统的病毒。在以前NetWare系统应用非常广泛，NetWare病毒就是针对此类系统的。://18计算机病毒的类型 2.按照病毒的攻击机型不同分类 〔1〕攻击微型计算机的病毒。微型计算机是我们最常用的设备，攻击微型计算机的病毒也最广。 〔2〕攻击小型机的计算机病毒。小型机的应用范围也是极为广泛的，它既可以作为网络的一个节点机，也可以作为小的计算机网络的主机。 〔3〕攻击工作站的计算机病毒。近几年来，计算机工作站有了较大的进展，并且应用范围也有了较大的开展，攻击计算机工作站的病毒也应运而生。://19计算机病毒的类型://20计算机病毒的类型4.按照计算机病毒的破坏情况不同分类 〔1〕良性计算机病毒。良性病毒是指其不包含对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。 〔2〕恶性计算机病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。://21计算机病毒的类型5.按照传播媒介不同分类〔1〕单机病毒。单机病毒的载体是磁盘或U盘，常见的是病毒从软盘或U盘传入硬盘，感染系统，然后再传染其他软盘或U盘，软盘或U盘又传染其他系统。〔2〕网络病毒。网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。://22计算机病毒的类型6.按传染方式不同分类〔1〕引导型病毒 引导型病毒主要是感染磁盘的引导区，在使用受感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权，驻留内存之后再引导系统，并伺机传染其他软盘或硬盘的引导区，它一般不对磁盘文件进行感染。引导型病毒按其寄生对象的不同又可分为两类，即MBR(主引导区)病毒及BR(引导区)病毒。〔2〕文件型病毒 文件型病毒一般只传染磁盘上的可执行文件(COM、EXE)，在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。〔3〕混合型病毒。混合型病毒那么兼有以上两种病毒的特点，既感染引导区又感染文件，因而扩大了这种病毒的传染途径。://23计算机病毒的类型7.根据病毒特有的算法不同分类〔1〕伴随型病毒 这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名COM。〔2〕蠕虫型病毒 通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其他机器的内存，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其他资源。〔3〕寄生型病毒 除了伴随和蠕虫型，其他病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，它还可以细分为练习型病毒。://245.1.3计算机病毒的工作方式1.计算机病毒的传播途径 第一种途径 通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机专用芯片和硬盘等。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段。第二种途径 通过磁盘、U盘、移动硬盘等可以移动的存储介质传播。现在，U盘、移动硬盘等移动存储设备已经成为最广泛、应用最频繁的存储介质，然而，这些移动存储设备也成了计算机病毒寄生的“温床〞。当一个移动的存储介质在一台已感染机器上使用时，该介质就会被病毒感染，当该介质在另一台易感机器上使用时，易感机器就会被感染，这样就完成了一个传染过程。目前，大多数计算机病毒就是通过这种途径传播的。

://255.1.3计算机病毒的工作方式://26计算机病毒的工作方式2.计算机病毒的触发条件 〔1〕时间触发：包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。 〔2〕键盘触发：有些病毒监视用户的击键动作，当用户进入病毒预定的键入区时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。 〔3〕感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。 〔4〕启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。 〔5〕访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。 〔6〕调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 〔7〕CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件，这种病毒的触发方式奇特罕见。://27计算机病毒的工作方式3.计算机病毒感染的表现 在一般情况下，计算机在感染病毒后总有一些异常现象出现，其中具有代表性的行为有：电脑动作比平常迟钝；程序载入时间比平时长，这是因为有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，将执行这些病毒，因而会花更多时间来载入程序；对一个简单的工作，磁盘似乎花了比预期长的时间；不寻常的错误信息出现，表示病毒已经试图去读取磁盘并感染它，特别是当这种信息出现繁复时；硬盘的指示灯无缘无故地闪亮；系统内存突然大量减少，有些病毒会消耗大量的内存，曾经执行过的程序，再次执行时，突然提示没有足够的空间可以利用；磁盘可利用的空间突然减少，这个信息说明病毒已经开始复制了；可执行文件的大小改变了，正常情况下，这些程序应该维持固定的大小，但有些不太高明的病毒会增加程序的大小；坏道增加，有些病毒会将某些磁道标注为坏道，而将自己隐藏其中，于是扫毒软体往往也无法检查病毒的存在，如DiskKiller会寻找3或5个连续未用的磁区，并将其标示为坏道；内存中增加来路不明的常驻程序或进程；文件奇怪地消失；文件的内容被加进一些奇怪的资料；系统文件出现莫名其妙的丧失，或字节变长，日期修改等。://28://29://30://31://32主机病毒的防治方法1.安装防杀病毒软件 很多公司都推出防杀病毒软件，每个软件都试图保护主机并查杀病毒。在局域网中，安装正版的杀毒软件，并实时更新病毒库，开启实时监控系统，定期对主机进行查毒杀毒，这样根本上可以有效的预防病毒入侵和去除病毒。2.应用平安更新 操作系统和应用程序在不同程度上都存在漏洞和后门，这给病毒入侵提供了可乘之机，病毒可以通过这些缺陷和漏洞进行入侵和传播。所以，应及时利用平安更新管理效劳，修补系统和应用程序的漏洞，例如WindowsUpdate效劳。://33主机病毒的防治方法://34主机病毒的防治方法5.合理设置权限 系统管理员要为其他用户合理设置权限，使用“最少授权策略〞即提供尽可能少的权限，将用户的权限设置为最低，这样就可以最大限度的保护主机免受病毒的入侵。6.限制可疑的应用程序 对于的电子邮件和下载文件，应该提高警惕，电子邮件如果发现可以千万不要翻开邮件特别是附件，尽量在下载后立即进行病毒查杀。://35主机病毒的防治方法7.重要数据定期备份 数据备份是保证数据平安的重要手段，可以通过与备份文件的比较来判定是否有病毒入侵。当系统文件被病毒感染，可用备份文件恢复原有的系统。数据备份可采用自动方式，也可采用手动方式；可定期备份和也可按需备份。数据备份不仅可用于被病毒侵入破坏的数据恢复，而且可在其它原因破坏了数据完整性后进行系统恢复。 还有，对系统用Ghost作镜像文件备份，如果系统中了病毒有难以去除的时候，就可利用镜像文件来恢复系统。://36网络病毒的防治方法1.网络病毒 Internet的开放性为计算机网络病毒广泛传播提供了有利条件，近几年，在计算机系统里肆虐的病毒主要是网络病毒。据统计，目前利用网络作为传播渠道的病毒占所有病毒的97%，而利用其他途径传播的病毒只占3%，而在网络上通过电子邮件传播的病毒又占其中的80%以上。 网络病毒有如下特点：传播方式复杂；传播速度快；传播范围广；去除难道大；破坏危害大；病毒变种多；病毒功能多样化等。因此网络环境下计算机病毒的防治就更为重要。 蠕虫病毒和木马病毒是网络病毒中最具代表性的病毒，下面就简单介绍一下蠕虫病毒和木马病毒：://37网络病毒的防治方法1〕蠕虫病毒 “蠕虫〞(Worm)是一种通过网络传播的恶意程序或程序序列，它通过分布式网络来扩散传播特定的信息或错误，进而造成网络效劳遭到拒绝并发生死锁或系统崩溃。 计算机蠕虫病毒是—种可以通过永久性网络连接或拨号网络进行自身复制的程序，与普通病毒有着很大的不同。普通病毒是需要寄生的，被感染的文件叫做“宿主〞，宿主程序执行的时候，先执行病毒程序，然后再把控制权交给宿主程序。所以，普通病毒主要感染文件和引导区。而蠕虫病毒具有自我复制支持能力，不需要宿主程序。所以，其破坏力和传染性比普通病毒更强，危害也跟大。典型的蠕虫病毒只会在内存中维持—个活动副本，甚至根木不向硬盘中写入它自己的任何信息。://38网络病毒的防治方法下面列举几个典型的蠕虫病毒： 2000年，爆发了“爱虫〞病毒，其通过电子邮件传播，一旦感染就它会删除系统中JPEG和MP3文件，造成巨大的损失。 2001年，爆发了codeRed(红色代码)病毒，它会进行DoS(拒绝效劳)攻击篡改web网页，造成网络瘫痪，并且会在进行了主要攻击之后执行一个特洛伊木马程序。它还有一个变种称为CodeRedII。 2001年，还爆发了Nimda病毒，它可以修改现有的web站点，使之向其web客户提供受传染的代码，因此具有很强的创新性。这些客户—旦被传染，就会搜索更薄弱的Web站点，而使这种传染过程不断持续下去。 2003年，爆发了著名的“蠕虫王〞和“冲击波〞病毒，大量的网络瘫痪，造成了巨大的经济损失。 2004年，爆发了震荡波，大量的网站和效劳器遭到了垃圾邮件的攻击，造成了巨大的经济损失。 2005年，Zotob蠕虫Worm.Zotob病毒及其变种〔Worm