信息安全技術(shù)-11病毒防范技術(shù)與殺病毒軟件

信息安全技術(shù)第7講

病毒防范技術(shù)7.1病毒防范技術(shù)與殺病毒軟件7.2解析計算機蠕蟲病毒第7-1講

病毒防范技術(shù)與殺病毒軟件計算機病毒實際上是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害計算機系統(tǒng)功能的程序。在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一種能力，為攻擊系統(tǒng)、網(wǎng)絡(luò)提供條件。例如向系統(tǒng)中侵入病毒、蛀蟲、特洛伊木馬、陷門、邏輯炸彈；或通過竊聽、冒充等方式來破壞系統(tǒng)正常工作。因特網(wǎng)是目前計算機病毒的主要傳播源。針對病毒的嚴重性，我們應(yīng)提高防范意識，做到所有軟件都經(jīng)過嚴格審查，經(jīng)過相應(yīng)的控制程序后才能使用；積極采用防病毒軟件，定時對系統(tǒng)中的所有工具軟件、應(yīng)用軟件進行檢測，以防止各種病毒的入侵。第7-1講

病毒防范技術(shù)與殺病毒軟件1.計算機病毒的概念“病毒”一詞源于生物學(xué)，人們通過分析研究發(fā)現(xiàn)，計算機病毒在很多方面與生物病毒有相似之處，以此借用生物病毒的概念。在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中的相關(guān)定義是：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并且能夠自我復(fù)制的一組計算機指令或者程序代碼?！钡?-1講

病毒防范技術(shù)與殺病毒軟件(1)病毒的產(chǎn)生和發(fā)展隨著計算機應(yīng)用的普及，早期就有一些科普作家意識到可能會有人利用計算機進行破壞，提出了“計算機病毒”這個概念。不久，計算機病毒便在理論、程序上都得到了證實。第7-1講

病毒防范技術(shù)與殺病毒軟件1949年，計算機的創(chuàng)始人馮·諾依曼發(fā)表《復(fù)雜自動機器的理論和結(jié)構(gòu)》的論文，提出了計算機程序可以在內(nèi)存中進行自我復(fù)制和變異的理論。

此后，許多計算機人員在自己的研究

工作中應(yīng)用和發(fā)展了程序自我復(fù)制的

理論。第7-1講

病毒防范技術(shù)與殺病毒軟件1959年，AT＆T貝爾實驗室的3位成員設(shè)計出具有自我復(fù)制能力、并能探測到別的程序在運行時能將其銷毀的程序。1983年，F(xiàn)redCohen博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序。并在全美計算機安全會議上提出和在VAXII/150機上演示，從而證實計算機病毒的存在，這也是公認的第一個計算機病毒程序的出現(xiàn)。第7-1講

病毒防范技術(shù)與殺病毒軟件隨著計算機技術(shù)的發(fā)展，出現(xiàn)了一些具有惡意的程序。最初是一些計算機愛好者惡作劇性的游戲，后來有一些軟件公司為防止盜版在自己的軟件中加入了病毒程序。1988年，羅伯特·莫里斯(RoberMoms)制造的蠕蟲病毒是首個通過網(wǎng)絡(luò)傳播而震撼世界的“計算機病毒侵入網(wǎng)絡(luò)的案件”。后來，又出現(xiàn)了許多惡性計算機病毒。計算機病毒會搶占系統(tǒng)資源、刪除和破壞文件，甚至對硬件造成毀壞，而網(wǎng)絡(luò)的普及使得計算機病毒傳播更加廣泛和迅速。第7-1講

病毒防范技術(shù)與殺病毒軟件(2)惡意程序所謂惡意程序是指一類特殊的程序，它們通常在用戶不知曉也末授權(quán)的情況下潛入進來，具有用戶不知道(一般也不許可)的特性，激活后將影響系統(tǒng)或應(yīng)用的正常功能，甚至危害或破壞系統(tǒng)。惡意程序的表現(xiàn)形式多種多樣，有的是改動合法程序，讓它含有并執(zhí)行某種破壞功能；有的是利用合法程序的功能和權(quán)限，非法獲取或篡改系統(tǒng)資源和敏感數(shù)據(jù)，進行系統(tǒng)入侵。第7-1講

病毒防范技術(shù)與殺病毒軟件根據(jù)惡意程序威脅的存在形式不同，將其分為需要宿主程序和不需要宿主程序可獨立存在的威脅兩大類，前者基本上是不能獨立運行的程序片段，而后者是可以被操作系統(tǒng)調(diào)度和運行的自包含程序。第7-1講

病毒防范技術(shù)與殺病毒軟件第7-1講

病毒防范技術(shù)與殺病毒軟件也可以根據(jù)是否進行復(fù)制來區(qū)分這些惡意程序。前者是當宿主程序被調(diào)用時被激活起來完成一個特定功能的程序片段；后者是由程序片段(病毒)或由獨立程序(蠕蟲、細菌)組成，在執(zhí)行時可以在同一個系統(tǒng)或某個其他系統(tǒng)中產(chǎn)生自身的一個或多個以后將被激活的副本。事實上，隨著惡意程序彼此間的交叉和互相滲透(變異)，這些區(qū)分正變得模糊起來。惡意程序的出現(xiàn)、發(fā)展和變化給計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和各類信息系統(tǒng)帶來了巨大的危害。第7-1講

病毒防范技術(shù)與殺病毒軟件1)陷門。是進入程序的秘密入口。知道陷門的人可以不經(jīng)過通常的安全訪問過程而獲得訪問權(quán)力。陷門技術(shù)本來是程序員為了進行調(diào)試和測試程序時避免繁瑣的安裝和鑒別過程，或者想要保證存在另一種激活或控制的程序而采用的方法。如通過一個特定的用戶ID、秘密的口令字、隱蔽的事件序列或過程等，這些方法都避開了建立在應(yīng)用程序內(nèi)部的鑒別過程。第7-1講

病毒防范技術(shù)與殺病毒軟件當陷門被無所顧忌地用來獲得非授權(quán)訪問時，就變成了威脅。如一些典型的可潛伏在用戶計算機中的陷門程序，可將用戶上網(wǎng)后的計算機打開陷門，任意進出；可以記錄各種口令信息，獲取系統(tǒng)信息，限制系統(tǒng)功能；還可以遠程對文件操作、對注冊表操作等。第7-1講

病毒防范技術(shù)與殺病毒軟件在有些情況下，系統(tǒng)管理員會使用一些常用的技術(shù)來加以防范。例如，利用工具給系統(tǒng)打補丁，把已知的系統(tǒng)漏洞給補上；對某些存在安全隱患的資源進行訪問控制；對系統(tǒng)的使用人員進行安全教育等。這些安全措施是必要的，但絕不是足夠的。只要是在運行的系統(tǒng)，總是可能找出它的漏洞而進入系統(tǒng)，問題只是進入系統(tǒng)的代價大小不同。另外，信息網(wǎng)絡(luò)的迅速發(fā)展是與網(wǎng)絡(luò)所能提供的大量服務(wù)密切相關(guān)的。由于種種原因，很多服務(wù)也存在這樣或那樣的漏洞，這些漏洞若被入侵者利用，就成了有效進入系統(tǒng)的陷門。第7-1講

病毒防范技術(shù)與殺病毒軟件2)邏輯炸彈。在病毒和蠕蟲之前，最古老的軟件威脅之一就是邏輯炸彈。邏輯炸彈是嵌入在某個合法程序里面的一段代碼，被設(shè)置成當滿足特定條件時就會“爆炸”，執(zhí)行一個有害行為的程序，如改變、刪除數(shù)據(jù)或整個文件，引起機器關(guān)機，甚至破壞整個系統(tǒng)等破壞話動。第7-1講

病毒防范技術(shù)與殺病毒軟件3)特洛伊木馬。是指一個有用的或者表面上有用的程序或命令過程，但其中包含了一段隱藏的、激活時將執(zhí)行某種有害功能的代碼，可以控制用戶計算機系統(tǒng)的程序，并可能造成用戶的系統(tǒng)被破壞甚至癱瘓。特洛伊木馬程序是一個獨立的應(yīng)用程序，不具備自我復(fù)制能力，但具有潛伏性，常常有更大的欺騙性和危害性，而且特洛伊木馬程序可能包含蠕蟲病毒程序。第7-1講

病毒防范技術(shù)與殺病毒軟件特洛伊木馬的一個典型例子是被修改過的編譯器。該編譯器在對程序(例如系統(tǒng)注冊程序)進行編譯時，將一段額外的代碼插入到該程序中。這段代碼在注冊程序中構(gòu)造陷門，使得可以使用專門口令來注冊系統(tǒng)。不閱讀注冊程序的源代碼，永遠不可能發(fā)現(xiàn)這個特洛伊木馬。第7-1講

病毒防范技術(shù)與殺病毒軟件4)細菌。是一些并不明顯破壞文件的程序，它們的惟一目的就是繁殖自己。一個典型的細菌程序除了在多進程系統(tǒng)中同時執(zhí)行自己的兩個副本，或者可能創(chuàng)建兩個新的文件(每一個都是細菌程序原始源文件的一個復(fù)制品)外，可能不做什么其他事情。那些新創(chuàng)建的程序又可能將自己兩次復(fù)制，依此類推，細菌以指數(shù)級地再復(fù)制，最終耗盡了所有的處理機能力、存儲器或磁盤空間，從而拒絕用戶訪問這些資源。第7-1講

病毒防范技術(shù)與殺病毒軟件5)蠕蟲。是一種可以通過網(wǎng)絡(luò)進行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得像計算機病毒或細菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序，或者進行任何次數(shù)的破壞或毀滅行動。普通計算機病毒需要在計算機的硬盤或文件系統(tǒng)中繁殖，而典型的蠕蟲程序只會在內(nèi)存中維持一個活動副本，甚至根本不向硬盤中寫入任何信息。此外，蠕蟲是一個獨立運行的程序，自身不改變其他程序，但可攜帶一個具有改變其他程序功能的病毒。第7-1講

病毒防范技術(shù)與殺病毒軟件為了自身復(fù)制，網(wǎng)絡(luò)蠕蟲使用了某種類型的網(wǎng)絡(luò)傳輸機制。例如電子郵件。網(wǎng)絡(luò)蠕蟲表現(xiàn)出有潛伏期、繁殖期、觸發(fā)期和執(zhí)行期的特征。第7-1講

病毒防范技術(shù)與殺病毒軟件2.計算機病毒的原理(1)病毒的特征(2)病毒的分類(3)病毒的傳播(4)病毒的結(jié)構(gòu)第7-1講

病毒防范技術(shù)與殺病毒軟件(1)病毒的特征計算機病毒的特征主要是傳染性、隱蔽性、潛伏性和表現(xiàn)性。第7-1講

病毒防范技術(shù)與殺病毒軟件1)傳染性。計算機病毒會通過各種媒體從已被感染的計算機擴散到未被感染的計算機。這些媒體可以是程序、文件、存儲介質(zhì)甚至網(wǎng)絡(luò)，并在某些情況下造成被感染的計算機工作失常甚至癱瘓。這就是計算機病毒最重要的特征——傳染和破壞。一般地，若計算機在正常程序控制下工作，只要不運行帶病毒的程序，則這臺計算機總是正常的，例如反病毒技術(shù)人員整天就是在這樣的環(huán)境下工作的。第7-1講

病毒防范技術(shù)與殺病毒軟件然而，一旦在計算機上運行，絕大多數(shù)病毒首先要做初始化工作，在內(nèi)存中找一片安身之處，隨后將自身與系統(tǒng)軟件掛鉤，再執(zhí)行原來被感染的程序。這一系列的操作中，只要系統(tǒng)不癱瘓，系統(tǒng)每執(zhí)行一個操作，病毒就有機會得以運行，危害未曾被感染的程序。病毒程序與正常系統(tǒng)程序在同一臺計算機內(nèi)爭奪系統(tǒng)控制權(quán)時，結(jié)果會造成系統(tǒng)崩潰、導(dǎo)致計算機癱瘓。因此，反病毒技術(shù)要提前取得計算機系統(tǒng)的控制權(quán)，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)。第7-1講

病毒防范技術(shù)與殺病毒軟件一個好的抗病毒系統(tǒng)甚至應(yīng)該能夠識別出未知計算機病毒在系統(tǒng)內(nèi)的行為，阻止其傳染和破壞系統(tǒng)的行動。而低性能的抗病毒系統(tǒng)只能完成抵御已知病毒的任務(wù)。第7-1講

病毒防范技術(shù)與殺病毒軟件2)隱蔽性。不經(jīng)過程序代碼分析或計算機病毒代碼掃描，計算機病毒程序與正常程序是不容易區(qū)別的。在沒有防護措施的情況下，計算機病毒程序一經(jīng)運行取得系統(tǒng)控制權(quán)后，可以迅速傳染其他程序，而在屏幕上沒有任何異常顯示。傳染操作完成后，計算機系統(tǒng)以及被感染的程序仍能執(zhí)行。這種現(xiàn)象就是計算機病毒傳染的隱蔽性。第7-1講

病毒防范技術(shù)與殺病毒軟件3)潛伏性。病毒具有依附其他媒體寄生的能力，它可以在磁盤、光盤或其他介質(zhì)上潛伏幾天，甚至幾年，不滿足其觸發(fā)條件時，除了傳染以外不做其他破壞。觸發(fā)條件一旦得到滿足，病毒就四處繁殖、擴散、破壞。計算機病毒使用的觸發(fā)條件主要有：利用計算機系統(tǒng)時鐘、利用病毒體自帶計數(shù)器、利用計算機內(nèi)執(zhí)行的某些特定操作等。第7-1講

病毒防范技術(shù)與殺病毒軟件4)表現(xiàn)性。當觸發(fā)條件滿足時，病毒在被感染的計算機上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。根據(jù)計算機病毒的危害性不同，病毒發(fā)作時表現(xiàn)出來的癥狀可能有很大差別。從顯示一些令人討厭的信息，到降低系統(tǒng)性能，破壞數(shù)據(jù)(信息)，直到永久性摧毀計算機硬件和軟件，造成系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓等等。第7-1講

病毒防范技術(shù)與殺病毒軟件(2)病毒的分類分類方式不同，計算機病毒的類型也不同。通常，計算機病毒可做如下分類。按感染形式按寄生方式按攻擊方式根據(jù)病毒操作的方式或使用的編程技術(shù)第7-1講

病毒防范技術(shù)與殺病毒軟件按感染形式分類，主要有：1)文件型病毒。通過在執(zhí)行系列中插入指令把自己依附在可執(zhí)行文件上。此種病毒感染文件，并寄生在文件中，進而造成文件損壞。2)引導(dǎo)型病毒：會在軟盤或者硬盤的引導(dǎo)區(qū)、主引導(dǎo)記錄(分區(qū)扇區(qū))中插入指令。此時，如果計算機從被感染的磁盤引導(dǎo)時，病毒就會感染，并把自己的代碼調(diào)入內(nèi)存。觸發(fā)引導(dǎo)區(qū)病毒的典型事件是系統(tǒng)日期和時間。第7-1講

病毒防范技術(shù)與殺病毒軟件3)混合型病毒：此種病毒具有兼顧引導(dǎo)型和文件型兩種病毒的特性，不但能夠感染和破壞硬盤的引導(dǎo)區(qū)，而且能感染和破壞文件。4)宏病毒：宏病毒不只是感染可執(zhí)行文件，它可以感染一般軟件文件。雖然宏病毒不會有嚴重的危害，但它仍是令人討厭的事，因為它會影響系統(tǒng)的性能以及用戶的工作效率。此種病毒是利用Office軟件的宏指令產(chǎn)生的，所以稱為宏病毒。第7-1講

病毒防范技術(shù)與殺病毒軟件計算機病毒傳染的前提就是尋找病毒宿主，然后將自身寄生到宿主中。按寄生方式分類主要有：1)代替式病毒：計算機病毒用自身代碼的部分或全部替代常規(guī)程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。2)連接式病毒：這種方式一般以傳染文件為主，即病毒與宿主文件相連接時宿主文件的字節(jié)長度增加，但不破壞原合法程序的代碼。第7-1講

病毒防范技術(shù)與殺病毒軟件3)轉(zhuǎn)儲式病毒：病毒將原合法的程序代碼轉(zhuǎn)儲到存儲介質(zhì)的其他部位，而用病毒代碼占據(jù)原合法程序的位置。4)填充式病毒：這種病毒有的傳染引導(dǎo)程序，有的傳染文件，病毒一般侵入宿主的空閑存儲空間，這樣就不會改變宿主程序的字節(jié)長度。第7-1講

病毒防范技術(shù)與殺病毒軟件按攻擊方式分，可將病毒分為源碼病毒、機器碼病毒和混合碼病毒；根據(jù)病毒模塊存在的形式，如存在的形式為源碼則稱為源碼病毒，如是機器碼則稱為機器碼病毒，如兩種形式都有則稱為混合碼病毒。第7-1講

病毒防范技術(shù)與殺病毒軟件源碼病毒還可細分為Shell(命令解釋程序)型和語言型。Shell型一般指接收標準輸入并將命令轉(zhuǎn)交給系統(tǒng)的命令解釋器或程序。Shell型病毒包括各種操作系統(tǒng)的Shell程序。如UNIX的BShell、CShell，以及DOS的，Windows的cmd.exe等；語言型包括匯編語言、C語言、BASIC語言，F(xiàn)ORTRAN語言和VisualC++、VisualBasic、VisualJ++等。第7-1講

病毒防范技術(shù)與殺病毒軟件根據(jù)病毒操作的方式或使用的編程技術(shù)分，有：1)隱蔽病毒：使用某種技術(shù)來隱蔽程序被感染的事實。例如當操作系統(tǒng)發(fā)出調(diào)用要得到的某些信息時，它記錄下必要的信息，以便于以后欺騙操作系統(tǒng)和病毒程序的掃描。第7-1講

病毒防范技術(shù)與殺病毒軟件2)變形病毒：能變化，使得它們更難被鑒別出來。病毒的變化過程稱為變異，變異中，病毒改變其大小和構(gòu)成。通常，病毒掃描程序通過搜索已知的模式(大小、校驗碼、日期等)來檢測病毒，一個經(jīng)巧妙設(shè)計的變形病毒則可逃脫這些固定模式的檢測，使傳統(tǒng)的模式匹配法對此顯得軟弱無力。第7-1講

病毒防范技術(shù)與殺病毒軟件(3)病毒的傳播計算機病毒一般通過某個入侵點進入系統(tǒng)來感染該系統(tǒng)。最明顯、也是最常見的入侵點是從工作站傳到工作站的軟盤；在網(wǎng)絡(luò)系統(tǒng)中，可能的入侵點包括服務(wù)器、E-mail附加部分、因特網(wǎng)BBS上下載的文件、網(wǎng)站、FTP文件下載、共享網(wǎng)絡(luò)文件及常規(guī)的網(wǎng)絡(luò)通信、盜版軟件、示范軟件、計算機實驗室以及其他共享設(shè)備等。第7-1講

病毒防范技術(shù)與殺病毒軟件(4)病毒的結(jié)構(gòu)雖然不同類型計算機病毒的機制和表現(xiàn)手法不盡相同，但其結(jié)構(gòu)基本相似。一般說來都由以下3個程序模塊組成。1)引導(dǎo)模塊。2)傳染模塊。3)破壞與表現(xiàn)模塊。第7-1講

病毒防范技術(shù)與殺病毒軟件1)引導(dǎo)模塊。當被感染的應(yīng)用程序開始工作時，病毒的引導(dǎo)模塊將病毒由外存引入內(nèi)存，并使病毒程序成為相對獨立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進入待機狀態(tài)。在某些病毒中，尤其是傳染引導(dǎo)區(qū)的計算機病毒，其引導(dǎo)模塊還承擔將分開存儲的病毒程序片斷鏈接的任務(wù)。第7-1講

病毒防范技術(shù)與殺病毒軟件2)傳染模塊。由于計算機病毒具有復(fù)制自身(或變形后的自身)的能力，因此它能使其他程序同樣具備這種傳染能力。這一點是判斷一個程序是否為病毒程序的必要條件，所以，這部分程序?qū)σ粋€病毒程序來說是不可缺少的，它主要負責捕捉傳染的條件和傳染的對象，在保證被傳染程序可正常運行的情況下完成計算機病毒的復(fù)制傳播任務(wù)。第7-1講

病毒防范技術(shù)與殺病毒軟件3)破壞與表現(xiàn)模塊。破壞與表現(xiàn)模塊是病毒程序的核心部分，也是病毒設(shè)計者意圖的體現(xiàn)部分。這里的破壞不僅毀壞系統(tǒng)的軟、硬件和磁盤上的數(shù)據(jù)、文件，而且還表現(xiàn)在顯著降低整個系統(tǒng)的運行效率。這部分程序負責捕捉進入破壞程序的條件，在條件滿足時開始進行破壞系統(tǒng)或數(shù)據(jù)的工作，甚至可以毀掉包括病毒程序本身在內(nèi)的系統(tǒng)資源。一般計算機病毒并不是進入計算機系統(tǒng)就進行破壞，而是等待具備一定條件后才實施破壞。第7-1講

病毒防范技術(shù)與殺病毒軟件3.反病毒技術(shù)現(xiàn)在，成熟的反病毒技術(shù)已經(jīng)能夠可以做到對已知病毒的徹底預(yù)防和殺除，這主要涉及以下三大技術(shù)：1)實時監(jiān)視技術(shù)。2)自動解壓縮技術(shù)。3)全平臺反病毒技術(shù)。第7-1講

病毒防范技術(shù)與殺病毒軟件1)實時監(jiān)視技術(shù)。這個技術(shù)為計算機構(gòu)筑起一道動態(tài)、實時的反病毒防線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備反病毒功能，拒病毒于計算機系統(tǒng)之外。該技術(shù)能時刻監(jiān)視系統(tǒng)中的病毒活動、系統(tǒng)狀況、軟盤、光盤、因特網(wǎng)、電子郵件上的病毒傳染，將病毒阻止在操作系統(tǒng)外部。且優(yōu)秀的反病毒軟件由于采用了與操作系統(tǒng)底層的無縫連接技術(shù)，實時監(jiān)視器占用的系統(tǒng)資源極小，用戶完全感覺不到對機器性能的影響。一般來說，只要反病毒軟件實時地在系統(tǒng)中工作，病毒就無法侵入計算機系統(tǒng)。第7-1講

病毒防范技術(shù)與殺病毒軟件2)自動解壓縮技術(shù)。目前在因特網(wǎng)、光盤以及Windows系統(tǒng)中接觸到的大多數(shù)文件都以壓縮狀態(tài)存放，以便節(jié)省傳輸時間或節(jié)約存放空間，這就使得各類壓縮文件成為計算機病毒傳播的溫床。如果用戶從網(wǎng)上下載了一個帶病毒的壓縮文件包，或從光盤里運行一個壓縮過的帶毒文件，自己的系統(tǒng)就會被壓縮文件包中的病毒感染。優(yōu)秀的反病毒軟件應(yīng)結(jié)合壓縮軟件技術(shù)，使得無論何種壓縮標準的軟件都能做到邊解壓邊殺毒。第7-1講

病毒防范技術(shù)與殺病毒軟件3)全平臺反病毒技術(shù)。目前病毒活躍的平臺主要有：Windows9x、Windows2000、WindowsXP等。為了使反病毒軟件做到與系統(tǒng)的底層無縫連接，可靠地實時檢查和殺除病毒，必須在不同的平臺上使用相應(yīng)平臺的反病毒軟件。第7-1講

病毒防范技術(shù)與殺病毒軟件(1)病毒的防治策略系統(tǒng)對于計算機病毒的實際防治能力和效果要從防毒、查毒和解毒能力3方面來評判。1)防毒能力。指預(yù)防病毒侵入計算機系統(tǒng)的能力。根據(jù)系統(tǒng)特性，通過采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計算機。第7-1講

病毒防范技術(shù)與殺病毒軟件2)查毒能力。指發(fā)現(xiàn)和追蹤病毒來源的能力。對于確定的環(huán)境(包括內(nèi)存、文件、引導(dǎo)區(qū)、網(wǎng)絡(luò)等)，應(yīng)該能夠準確地發(fā)現(xiàn)計算機系統(tǒng)是否感染有病毒，并能給出統(tǒng)計報告，報告病毒的名稱，來源等。此能力由查毒率和誤報率來評判。3)解毒——指從感染對象中清除病毒，恢復(fù)被病毒感染前的原始信息的能力。根據(jù)不同類型病毒對感染對象的修改，并按照病毒的感染特性所進行的恢復(fù)，其恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。此能力用解毒率來評判。第7-1講

病毒防范技術(shù)與殺病毒軟件(2)檢測病毒原理計算機病毒要進行傳染，必然會留下痕跡。因此，為檢測病毒，首先應(yīng)注意內(nèi)存情況，絕大部分的病毒是要駐留內(nèi)存的，應(yīng)注意被占用的內(nèi)存數(shù)是否無故減少其次應(yīng)注意常用的可執(zhí)行文件的字節(jié)數(shù)。絕大多數(shù)的病毒在對文件進行傳染后會使文件的長度增加。但在查看文件字節(jié)數(shù)時應(yīng)首先用干凈系統(tǒng)盤啟動。第7-1講

病毒防范技術(shù)與殺病毒軟件檢測主要基于4種方法第7-1講

病毒防范技術(shù)與殺病毒軟件1)比較法。用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進行比較。比較時可以靠打印的代碼清單或用程序來進行比較。第7-1講

病毒防范技術(shù)與殺病毒軟件2)特征代碼掃描法。病毒的特征代碼是病毒程序編制者用來識別自己編寫程序惟一的代碼串，因此也可利用病毒的特征代碼檢測病毒程序和防止病毒程序傳染。第7-1講

病毒防范技術(shù)與殺病毒軟件特征代碼掃描法所用的軟件稱病毒掃描軟件。病毒掃描軟件由兩部分組成：一部分是病毒代碼庫，含有經(jīng)過特別選定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的程序。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定被查文件中患有何種病毒。面對不斷出現(xiàn)的新病毒，采用病毒特征代碼掃描法的檢測工具，必須不斷更新版本。第7-1講

病毒防范技術(shù)與殺病毒軟件3)校驗和法。將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法。這種方法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但它不能識別病毒類別。由于病毒感染并非文件內(nèi)容改變的惟一原因，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。第7-1講

病毒防范技術(shù)與殺病毒軟件病毒檢測的分析法是反病毒工作中不可或缺的重要技術(shù)，任何一個性能優(yōu)良的反病毒系統(tǒng)的研制和開發(fā)都離不開專門人員對各種病毒的詳盡而認真的分析。但使用分析法要求使用者具有比較全面的有關(guān)計算機操作系統(tǒng)結(jié)構(gòu)功能調(diào)用以及關(guān)于病毒方面的各種知識，這是與檢測病毒的前三種方法不一樣的地方。第7-1講

病毒防范技術(shù)與殺病毒軟件病毒檢測的分析法是反病毒工作中不可或缺的重要技術(shù)，任何一個性能優(yōu)良的反病毒系統(tǒng)的研制和開發(fā)都離不開專門人員對各種病毒的詳盡而認真的分析。但使用分析法要求使用者具有比較全面的有關(guān)計算機操作系統(tǒng)結(jié)構(gòu)功能調(diào)用以及關(guān)于病毒方面的各種知識，這是與檢測病毒的前三種方法不一樣的地方。第7-1講

病毒防范技術(shù)與殺病毒軟件XP系統(tǒng)文件被諾頓當病毒誤殺導(dǎo)致系統(tǒng)崩潰，數(shù)百萬電腦面臨滅頂之災(zāi)[2007年5月18日消息](賽門鐵克)諾頓殺毒軟件出現(xiàn)重大問題。升級病毒庫后，諾頓網(wǎng)絡(luò)版殺毒軟件誤把WindowsXP系統(tǒng)的關(guān)鍵系統(tǒng)文件netapi32.dll、lsasrv.dll當作隔離病毒清除，重啟后系統(tǒng)將會癱瘓。有消息稱，國內(nèi)某大型網(wǎng)絡(luò)游戲公司的2000多臺機器已經(jīng)全部崩潰。截至中午12點已有超過7千名個人用戶和近百家企業(yè)用戶向瑞星客戶服務(wù)中心求助，更多用戶由于系統(tǒng)繁忙無法打入電話。第7-1講

病毒防范技術(shù)與殺病毒軟件諾頓是賽門鐵克公司旗下的著名殺毒軟件，在全球占據(jù)相當份額，特別在金融、電信等行業(yè)擁有一定的優(yōu)勢，因此，此次誤殺會導(dǎo)致許多企業(yè)網(wǎng)絡(luò)完全癱瘓。由于國外品牌的筆記本和臺式機多數(shù)預(yù)裝了WindowsXP系統(tǒng)和諾頓殺毒軟件，這些用戶極其容易遭到此次“誤殺”攻擊，因此，中國大陸地區(qū)將有數(shù)百萬臺電腦面臨崩潰的危險。由于該次誤殺只發(fā)生在簡體中文版的XP系統(tǒng)上，因此對國外用戶幾乎沒有影響。第7-1講

病毒防范技術(shù)與殺病毒軟件國內(nèi)反病毒安全專家表示，此次諾頓誤殺將是近年來最嚴重的一次安全事故，給國內(nèi)用戶造成的整體經(jīng)濟損失甚至可能超過“熊貓燒香”病毒。為此，國內(nèi)不少反病毒公司發(fā)布今年首個紅色病毒警報，但針對的不是電腦病毒，而是國際知名反病毒軟件諾頓將簡體中文版XP系統(tǒng)中的文件當成電腦病毒進行查殺，導(dǎo)致電腦系統(tǒng)崩潰。第7-1講

病毒防范技術(shù)與殺病毒軟件賽門鐵克隨后對諾頓進行了緊急升級。當天下午15:00，賽門鐵克公司推出了最新的諾頓補丁程序，使用WindowsXP簡體中文版的用戶在點擊諾頓更新后，可以實現(xiàn)正常關(guān)機與開機操作。賽門鐵克就此給用戶帶來的不便表示歉意，并承認，有兩個簡體中文版本微軟Windows系統(tǒng)文件通過LiveUpdate或網(wǎng)站下載文件更新方式，被錯誤地添加到賽門鐵克的防病毒軟件定義中。導(dǎo)致安裝了MS06-070補丁的XP系統(tǒng)，在將諾頓升級到最新病毒庫之時，諾頓殺毒軟件將把系統(tǒng)文件netapi32.dll和lsasrv.dll隔離清除，從而造成系統(tǒng)崩潰。第7-1講

病毒防范技術(shù)與殺病毒軟件新浪的網(wǎng)上調(diào)查顯示，有63.9%的被調(diào)查者正在使用諾頓殺毒軟件；38.59%的被調(diào)查者在此次諾頓“誤殺”事件中不幸“中招”。賽門鐵克此次“誤殺事件”將直接影響其在中國推廣。網(wǎng)上調(diào)查顯示，72.33%的被調(diào)查者認為此次“誤殺”事件將影響其對諾頓產(chǎn)品的選擇。第7-1講

病毒防范技術(shù)與殺病毒軟件第7講

病毒防范技術(shù)7.1病毒防范技術(shù)與殺病毒軟件7.2解析計算機蠕蟲病毒第7-2講

解析計算機蠕蟲病毒凡是能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序我們都統(tǒng)稱為計算機病毒。所以，從這個意義上說，蠕蟲也是一種病毒。但與傳統(tǒng)的計算機病毒不同，網(wǎng)絡(luò)蠕蟲病毒以計算機為載體，以網(wǎng)絡(luò)為攻擊對象，其破壞力和傳染性不容忽視。第7講

病毒防范技術(shù)1.蠕蟲病毒的定義蠕蟲病毒和普通病毒有很大區(qū)別。一般認為，蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。第7講

病毒防范技術(shù)根據(jù)其發(fā)作機制，蠕蟲病毒一般可分為兩類一類是利用系統(tǒng)級別漏洞(主動傳播)，主動攻擊企業(yè)用戶和局域網(wǎng)的蠕蟲病毒，這種病毒以“紅色代碼”、“尼姆達”以及“SQL蠕蟲王”為代表，可以對整個因特網(wǎng)造成癱瘓性的后果；另一類是針對個人用戶，利用社會工程學(xué)(欺騙傳播)，通過網(wǎng)絡(luò)電子郵件和惡意網(wǎng)頁等形式迅速傳播的蠕蟲病毒，以愛蟲、求職信病毒為例。在這兩類中，第一類具有很大的主動攻擊性，而且爆發(fā)也有一定的突然性，但相對來說，查殺這種病毒并不是很難；第二種病毒的傳播方式比較復(fù)雜和多樣，少數(shù)利用了應(yīng)用程序的漏洞，更多的是利用社會工程學(xué)對用戶進行欺騙和誘使，這樣的病毒造成的損失非常大，同時也很難根除。比如求職信病毒，在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn)，但直到2002年底依然排在病毒危害排行榜的首位。第7講

病毒防范技術(shù)(1)蠕蟲病毒與普通病毒的異同普通病毒是需要寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就稱為“宿主”。例如，當病毒感染W(wǎng)indows可執(zhí)行文件時，就在宿主程序中建立一個新節(jié)，將病毒代碼寫到新節(jié)中，并修改程序的入口點等，這樣，宿主程序執(zhí)行的時候就可以先執(zhí)行病毒程序，然后再把控制權(quán)交給原來的宿主程序指令。可見，普通病毒主要是感染文件，當然也有像DIRII這樣的鏈接型病毒和引導(dǎo)區(qū)病毒等。蠕蟲一般不采取插入文件的方法，而是在因特網(wǎng)環(huán)境下通過復(fù)制自身進行傳播，普通病毒的傳染主要針對計算機內(nèi)的文件系統(tǒng)，而蠕蟲病毒的傳染目標是因特網(wǎng)內(nèi)的所有計算機局域網(wǎng)條件下的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁、存在著大量漏洞的服務(wù)器等，這些都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的普及與發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球，而且其主動攻擊性和突然爆發(fā)性將使人們手足無策。參見表7.5。表7.5蠕蟲病毒與普通病毒的異同普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡(luò)計算機(2)蠕蟲的破壞和變化1988年，一個由美國CORNELL大學(xué)研究生莫里斯編寫的蠕蟲病毒蔓延造成了數(shù)千臺計算機停機，蠕蟲病毒開始現(xiàn)身網(wǎng)絡(luò)；而后來的紅色代碼和尼姆達病毒瘋狂的時候曾造成幾十億美元的損失；2003年1月26日，一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使因特網(wǎng)嚴重堵塞，作為因特網(wǎng)主要基礎(chǔ)的域名服務(wù)器(DNS)的癱瘓造成網(wǎng)民瀏覽因特網(wǎng)網(wǎng)頁及收發(fā)電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷，機票等網(wǎng)絡(luò)預(yù)訂系統(tǒng)的運作中斷，信用卡等收付款系統(tǒng)出現(xiàn)故障。專家估計，此病毒造成的直接經(jīng)濟損失至少在12億美元以上。第7講

病毒防范技術(shù)通過對蠕蟲病毒的分析，可以知道蠕蟲發(fā)作的一些特點和變化。1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊。例如，由于IE瀏覽器的漏洞，使得感染了“尼姆達”病毒的郵件在不打開附件的情況下就能激活病毒；“紅色代碼”是利用了微軟IIS服務(wù)器軟件的漏洞(idq.dll遠程緩存區(qū)溢出)來傳播的；SQL蠕蟲王病毒則是利用了微軟數(shù)據(jù)庫系統(tǒng)的一個漏洞進行大肆攻擊。2)傳播方式多樣。如“尼姆達”和“求職信”等病毒，其可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等。3)病毒制作技術(shù)與傳統(tǒng)的病毒不同。許多新病毒是利用當前最新的編程語言與編程技術(shù)實現(xiàn)的，易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技術(shù)，可以潛伏在HTML頁面里，在上網(wǎng)瀏覽時觸發(fā)。4)與黑客技術(shù)相結(jié)合，潛在的威脅和損失更大。以紅色代碼為例，感染后，機器web目錄下的\scripts子目錄將生成一個root.exe文件，可以遠程執(zhí)行任何命令，從而使黑客能夠再次進入。第7講

病毒防范技術(shù)(1)蠕蟲病毒與普通病毒的異同普通病毒是需要寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就稱為“宿主”。例如，當病毒感染W(wǎng)indows可執(zhí)行文件時，就在宿主程序中建立一個新節(jié)，將病毒代碼寫到新節(jié)中，并修改程序的入口點等，這樣，宿主程序執(zhí)行的時候就可以先執(zhí)行病毒程序，然后再把控制權(quán)交給原來的宿主程序指令?？梢?，普通病毒主要是感染文件，當然也有像DIRII這樣的鏈接型病毒和引導(dǎo)區(qū)病毒等。蠕蟲一般不采取插入文件的方法，而是在因特網(wǎng)環(huán)境下通過復(fù)制自身進行傳播，普通病毒的傳染主要針對計算機內(nèi)的文件系統(tǒng)，而蠕蟲病毒的傳染目標是因特網(wǎng)內(nèi)的所有計算機局域網(wǎng)條件下的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁、存在著大量漏洞的服務(wù)器等，這些都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的普及與發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球，而且其主動攻擊性和突然爆發(fā)性將使人們手足無策。參見表7.5。第7講

病毒防范技術(shù)(2)蠕蟲的破壞和變化1988年，一個由美國CORNELL大學(xué)研究生莫里斯編寫的蠕蟲病毒蔓延造成了數(shù)千臺計算機停機，蠕蟲病毒開始現(xiàn)身網(wǎng)絡(luò)；而后來的紅色代碼和尼姆達病毒瘋狂的時候曾造成幾十億美元的損失；2003年1月26日，一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使因特網(wǎng)嚴重堵塞，作為因特網(wǎng)主要基礎(chǔ)的域名服務(wù)器(DNS)的癱瘓造成網(wǎng)民瀏覽因特網(wǎng)網(wǎng)頁及收發(fā)電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷，