第一講計算機病毒的概述

第一講計算機病毒的概述課程目標理解病毒的概念熟悉病毒的發(fā)展史掌握病毒的特點掌握病毒的分類掌握病毒的結(jié)構(gòu)掌握病毒的識別與防治病毒的概念計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中的定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。

病毒的發(fā)展史1．DOS時代

DOS是一個安全性較差的操作系統(tǒng)，所以在DOS時代，計算機病毒無論是數(shù)量還是種類都非常多。按照傳染方式可以分為：系統(tǒng)引導(dǎo)病毒、外殼型病毒、復(fù)合型病毒。各類病毒的具體內(nèi)容見“病毒的分類”。2．Windows時代1995年8月，微軟發(fā)布Windows95，標志著個人電腦的操作系統(tǒng)全面進入了Windows9X時代，而Windows9X對DOS的弱依賴性則使得計算機病毒也進入了Windows時代。這個時代的最大特征便是大量DOS病毒的消失以及宏病毒的興起。

3．Internet時代可以這樣說，網(wǎng)絡(luò)病毒大多是Windows時代宏病毒的延續(xù)，它們往往利用強大的宏語言讀取用戶E-mail軟件的地址簿，并將自身作為附件發(fā)向地址簿內(nèi)的那些E-mail地址去。由于網(wǎng)絡(luò)的快速和便捷，網(wǎng)絡(luò)病毒的傳播是以幾何級數(shù)進行的，其危害比以前的任何一種病毒都要大。病毒的特點1．傳染性:傳染性是病毒的基本特征。計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。2．破壞性:計算機病毒可以破壞系統(tǒng)，刪除或修改數(shù)據(jù)，占用系統(tǒng)資源，干擾計算機的正常工作，嚴重的可使整個系統(tǒng)陷于癱瘓。3．隱蔽性:計算機病毒進入計算機以后常常不是立即發(fā)生，它可以有足夠的時間去實現(xiàn)感染和破壞作用。病毒的特點4．潛伏性:計算機病毒侵入計算機以后可潛伏在合法的文件中并不立即發(fā)作。經(jīng)過一段時間或一旦買組了某些條件病毒便開始發(fā)作，觸發(fā)計算機條件可以是某個日期、某個時間等。各種病毒潛伏期不同，短這數(shù)天、數(shù)月，長者可達數(shù)年之久。5．不可預(yù)見性病毒的傳播途徑通過移動存儲設(shè)備來傳播（包括軟盤、光盤、U盤等）。通過計算機網(wǎng)絡(luò)進行傳播。3.通過點對點通信系統(tǒng)和無線通道傳播。病毒的分類一、按傳染方式分類1．系統(tǒng)引導(dǎo)病毒系統(tǒng)引導(dǎo)病毒又稱引導(dǎo)區(qū)型病毒。直到20世紀90年代中期，引導(dǎo)區(qū)型病毒是最流行的病毒類型，主要通過軟盤在DOS操作系統(tǒng)里傳播。引導(dǎo)區(qū)型病毒侵染軟盤中的引導(dǎo)區(qū)，蔓延到用戶硬盤，并能侵染到用戶硬盤中的“主引導(dǎo)記錄”。一旦硬盤中的引導(dǎo)區(qū)被病毒感染，病毒就試圖侵染每一個插入計算機的從事訪問的軟盤的引導(dǎo)區(qū)。2．文件型病毒文件型病毒是文件侵染者，也被稱為寄生病毒。它運作在計算機存儲器里，通常它感染擴展名為COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它們激活時，感染文件把自身復(fù)制到其他文件中，并能在存儲器里保存很長時間，直到病毒又被激活。病毒的分類3.復(fù)合型病毒復(fù)合型病毒有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特征。既感染引導(dǎo)區(qū)又感染文件，因此擴大了這種病毒的傳染途徑。4.宏病毒宏病毒一般是指用WordBasic書寫的病毒程序，寄存在MicrosoftOffice文檔上的宏代碼。它影響對文檔的各種操作，如打開、存儲、關(guān)閉或清除等。當打開Office文檔時，宏病毒程序就會被執(zhí)行，即宏病毒處于活動狀態(tài)，當觸發(fā)條件滿足時，宏病毒才開始傳染、表現(xiàn)和破壞。病毒的分類病毒的分類二、按破壞性分類

1、良性病度:可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。

2、惡性病毒:有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對數(shù)據(jù)造成不可挽回的破壞。病毒的結(jié)構(gòu)

計算機病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)部分、傳染部分、表現(xiàn)部分三部分組成。1.引導(dǎo)部分也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進入內(nèi)存，為傳染部分做準備。2.傳染部分作用是將病毒代碼復(fù)制到目標上去。一般病毒在對目標進行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經(jīng)感染過該目標等，如CIH病毒只針對Windows95/98操作系統(tǒng)。3.表現(xiàn)部分是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會觸發(fā)其表現(xiàn)部分的。病毒的結(jié)構(gòu)病毒的危害1、攻擊系統(tǒng)數(shù)據(jù)區(qū)。攻擊部位包括硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。一般來說，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。2、攻擊文件。病毒對文件的攻擊方式很多，如刪除、改名、替換內(nèi)容、丟失簇和對文件加密等。3、攻擊內(nèi)存。內(nèi)存是計算機的重要資源，也是病毒攻擊的重要目標。病毒額外地占用和消耗內(nèi)存資源，可導(dǎo)致一些大程序運行受阻。病毒攻擊內(nèi)存的方式有大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存等。病毒的危害4、干擾系統(tǒng)運行。不執(zhí)行用戶指令、干擾指令的運行、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘倒轉(zhuǎn)、自動重新啟動計算機、死機等。5、速度下降。不少病毒在時鐘中納入了時間的循環(huán)計數(shù)，迫使計算機空轉(zhuǎn)，計算機速度明顯下降。6、攻擊磁盤。攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時丟字節(jié)等。7、擾亂屏幕顯示。字符顯示錯亂、跌落、環(huán)繞、倒置、光標下跌、滾屏、抖動、吃字符等。病毒的危害8、攻擊鍵盤。響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)輸入。9、攻擊喇叭。發(fā)出各種不同的聲音，如演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲10、攻擊CMOS。對CMOS區(qū)進行寫入動作，破壞系統(tǒng)CMOS中的數(shù)據(jù)。11、干擾打印機。間斷性打印、更換字符等。病毒的識別與防治1.病毒發(fā)作常見的現(xiàn)象

下列一些異?，F(xiàn)象可以作為檢測病毒的參考：程序裝入時間比平時長，運行異常；有規(guī)律的發(fā)現(xiàn)異常信息；用戶訪問設(shè)備（例如打印機）時發(fā)現(xiàn)異常情況，如打印機不能聯(lián)機或打印符號異常；磁盤的空間突然變小了，或不識別磁盤設(shè)備；程序和數(shù)據(jù)神秘的丟失了，文件名不能辨認；顯示器上經(jīng)常出現(xiàn)一些莫名其妙的信息或異常顯示（如白斑、圓點等）；機器經(jīng)常出現(xiàn)死機現(xiàn)象或不能正常啟動；發(fā)現(xiàn)可執(zhí)行文件的大小發(fā)生變化或發(fā)現(xiàn)不知來源的隱藏文件。2.病毒預(yù)防在計算機上安裝病毒監(jiān)控程序；使用他人的軟盤、U盤要先查毒；不使用盜版軟件；使用從網(wǎng)絡(luò)上下載的軟件要先查毒；不接受來歷不明的電子郵件。3.病毒清除目前病毒的破壞力越來越強，幾乎所有的軟、硬件故障都可能與病毒有牽連，所以，當操作時發(fā)現(xiàn)計算機有異常情況，首先應(yīng)懷疑的就是病毒在作怪，而最佳的解決辦法就是利用殺毒軟件對計算機進行一次全面的清查。病毒的識別與防治網(wǎng)絡(luò)病毒及其防治網(wǎng)絡(luò)病毒的特點網(wǎng)絡(luò)病毒的傳播網(wǎng)絡(luò)病毒的防治

網(wǎng)絡(luò)反病毒技術(shù)的特點病毒防火墻的反病毒的特點網(wǎng)絡(luò)病毒的特點1．傳染方式多2．傳播速度快3．清除難度大4．破壞性強網(wǎng)絡(luò)病毒的傳播1．文件病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)局域網(wǎng)：大多數(shù)公司使用局域網(wǎng)文件服務(wù)器，用戶直接從文件服務(wù)器復(fù)制已感染的文件。用戶在工作站上執(zhí)行一個帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其他可執(zhí)行文件。用戶在工作站上執(zhí)行內(nèi)存駐留文件帶毒，當訪問服務(wù)器上的可執(zhí)行文件時進行感染。對等網(wǎng)：使用網(wǎng)絡(luò)的另一種方式是對等網(wǎng)絡(luò)，在端到端網(wǎng)絡(luò)上，用戶可以讀出和寫入每個連接的工作站上本地硬盤中的文件。因此，每個工作站都可以有效地成為另一個工作站的客戶和服務(wù)器。而且，端到端網(wǎng)絡(luò)的安全性很可能比專門維護的文件服務(wù)器的安全性更差。這些特點使得端到端網(wǎng)絡(luò)對基于文件的病毒的攻擊尤其敏感。如果一臺已感染病毒的計算機可以執(zhí)行另一臺計算機中的文件，那么這臺感染病毒計算機中的活動的、內(nèi)存駐留病毒能夠立即感染另一臺計算機硬盤上的可執(zhí)行文件。網(wǎng)絡(luò)病毒的傳播網(wǎng)絡(luò)病毒的傳播

Internet：文件病毒可以通過Internet毫無困難地發(fā)送。而可執(zhí)行文件病毒不能通過Internet在遠程站點感染文件。此時Internet是文件病毒的載體。網(wǎng)絡(luò)病毒的防治1．基于工作站的防治方法工作站病毒防護芯片:將防病毒功能集成在一個芯片上，安裝于網(wǎng)絡(luò)工作站，以便經(jīng)常性地保護工作站及其通往服務(wù)器的途徑。其基本原理是:網(wǎng)絡(luò)上的每個工作站都要求安裝網(wǎng)絡(luò)接口卡，而網(wǎng)絡(luò)接口上有一個BootROM芯卡，因為多數(shù)網(wǎng)卡的BootROM并沒有充分利用，都會剩余一些使用空間，所以如果防毒程序夠小的話，就槽內(nèi)，用戶可以免去許多繁瑣的管理工作?？梢园惭b在網(wǎng)絡(luò)的BootROM的剩余空間內(nèi)，而不必另插一塊芯片。這樣，將工作站存取控制與病毒保護能力合二為一地插在網(wǎng)卡的RPROM2．基于服務(wù)器的防治方法目前，基于服務(wù)器的防治病毒方法大都采用了以NLM（NetwWareLoadableModule）可裝載模塊技術(shù)進行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒能力。市場上較有代表性的產(chǎn)品，如：Intel公司的LANdeskVirusProtect和Symantec公司的CenterPointAnti一Virus和S&SSoftwareInternational公司的Dr．Solomon’sAnti—VirusToolkit，以及我國北京威爾德電腦公司的LANClear網(wǎng)絡(luò)病毒的防治網(wǎng)絡(luò)反病毒技術(shù)的特點1．網(wǎng)絡(luò)反病毒技術(shù)的安全度取決于“木桶理論”被計算機安全界廣泛采用的著名的“木桶理論”認為，整個系統(tǒng)的安全防護能力，取決于系統(tǒng)中安全防護能力最薄弱的環(huán)節(jié)。計算機網(wǎng)絡(luò)病毒防治是計算機安全極為重要的一個方面，它同樣也適用于這一理論。一個計算機網(wǎng)絡(luò)，對病毒的防御能力取決于網(wǎng)絡(luò)中病毒防護能力最薄弱的一個節(jié)點。2．網(wǎng)絡(luò)反病毒技術(shù)尤其是網(wǎng)絡(luò)病毒實時監(jiān)測技術(shù)應(yīng)符合“最小占用”原則該技術(shù)符合“最小占用”原則，對網(wǎng)絡(luò)運行效率不產(chǎn)生本質(zhì)影響。網(wǎng)絡(luò)反病毒產(chǎn)品是網(wǎng)絡(luò)應(yīng)用的輔助產(chǎn)品，因此對網(wǎng)絡(luò)反病毒技術(shù)，尤其是網(wǎng)絡(luò)病毒實時監(jiān)測技術(shù)，在自身的運行中不應(yīng)影響網(wǎng)絡(luò)的正常運行。網(wǎng)絡(luò)反病毒技術(shù)的應(yīng)用，理所當然會占用網(wǎng)絡(luò)系統(tǒng)資源（增加網(wǎng)絡(luò)負荷、額外占用CPU、占用服務(wù)器內(nèi)存等）。正由于此，網(wǎng)絡(luò)反病毒技術(shù)應(yīng)符合“最小占用”原則，以保證網(wǎng)絡(luò)反病毒技術(shù)和網(wǎng)絡(luò)本身都能發(fā)揮出應(yīng)有的正常功能。網(wǎng)絡(luò)反病毒技術(shù)的特點3.網(wǎng)絡(luò)反病毒技術(shù)的兼容性是網(wǎng)絡(luò)防毒的重點與難點網(wǎng)絡(luò)上集成了那么多的硬件和軟件，流行的網(wǎng)絡(luò)操作系統(tǒng)也有好幾種，按照一定網(wǎng)絡(luò)反病毒技術(shù)開發(fā)出來的網(wǎng)絡(luò)反病毒產(chǎn)品，要運行于這么多的軟、硬件之上，與它們和平共處，實在是非常之難，遠比單機反病毒產(chǎn)品復(fù)雜。這既是網(wǎng)絡(luò)反病毒技術(shù)必須面對的難點，又是其必須解決的重點。網(wǎng)絡(luò)反病毒技術(shù)的特點網(wǎng)絡(luò)蠕蟲的傳統(tǒng)威脅消耗網(wǎng)絡(luò)資源導(dǎo)致網(wǎng)絡(luò)擁塞甚至癱瘓?zhí)攸c：不可控（感染范圍、所阻塞的網(wǎng)絡(luò)）攻擊者不（直接）受益趨勢：更強的能力（感染規(guī)模、蔓延速度）“定向”能力（IPv6地地址分配規(guī)則確定之后會更容易？）“自適應(yīng)”能力爭議：是否還是主要威脅？典型病毒介紹宏病毒電子郵件病毒

幾個病毒實例

宏病毒1．宏病毒的定義所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的工作。所謂宏病毒，就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。2．宏病毒的分類宏病毒根據(jù)傳染的宿主的不同可以分為：傳染W(wǎng)ord的宏病毒、傳染Excel的宏病毒和傳染AmiPro的宏病毒。由于目前國內(nèi)Word系統(tǒng)應(yīng)用較多，所以大家談?wù)摰暮瓴《疽话闶侵竁ord宏病毒。宏病毒3．Word宏病毒的特點（1）以數(shù)據(jù)文件方式傳播，隱蔽性好，傳播速度快，難于殺除（2）制作宏病毒以及在原型病毒上變種非常方便（3）破壞可能性極大宏病毒4．Word宏病毒的表現(xiàn)

Word宏病毒在發(fā)作時，會使Word運行出現(xiàn)怪現(xiàn)象，如自動建文件、開窗口、內(nèi)存總是不夠、關(guān)閉WORD不對已修改文件提出未存盤警告、存盤文件丟失等，有的使打印機無法正常打印。Word宏病毒在傳染時，會使原有文件屬性和類型發(fā)生改變，或Word自動對磁盤進行操作等。當內(nèi)存中有Word宏病毒時，原Word文檔無法另存為其他格式的文件，只能以模板形式進行存儲。宏病毒5．Word宏病毒的防范（1）對于已染病毒的NORMAL.DOT文件，首先應(yīng)將NORMAL.DOT中的自動宏清除，然后將NORMAL.DOT置成只讀方式。（2）對于其它已感染病毒的文件均應(yīng)將自動宏清除，這樣就可以達到清除病毒的目的。（3）平時使用時要加強防范。定期檢查活動宏表，對來歷不明的宏最好予以刪除；如果發(fā)現(xiàn)后綴為.DOC的文件變成模板（.DOT）時，則可懷疑其已染宏病毒，其主要表現(xiàn)是在SaveAs文檔是，選擇文件類型的框變?yōu)榛疑：瓴《荆?）在啟動Word、創(chuàng)建文檔、打開文檔、關(guān)閉文檔以及退出Word時，按住SHIFT鍵可以阻止自動宏的運行。例如，當用含有AutoNew宏的模板新建一文檔時，在“新建”對話框中單擊“確定”按鈕時按住SHIFT鍵，就可以阻止AutoNew宏的執(zhí)行。（5）存儲一個文檔時，務(wù)必明確指定該文檔的擴展名。宏病毒總是試圖把模板文件的擴展名加到你指定的文件名后面，無論擴展名是否已經(jīng)存在。例如，你指定文件名如下TEST.DOC，最終這個文件名會變?yōu)門EST.DOC.DOT，顯然這個文件名在DOS下不可接受的。由此就可以察覺到宏病毒的存在。宏病毒宏病毒6．宏病毒的清除（1）手工清除Word宏病毒（2）使用殺毒軟件清除Word宏病毒電子郵件病毒

電子郵件病毒的防范:（1）思想上要有防毒意識（2）使用防毒軟件幾個病毒實例1．CIH病毒

CIH病毒是一種文件型病毒，主要傳染W(wǎng)indows95／98應(yīng)用程序。該病毒發(fā)作時，破壞計算機系統(tǒng)FlashMemory芯片中的BIOS系統(tǒng)程序，導(dǎo)致系統(tǒng)主板損壞，同時破壞硬盤中的數(shù)據(jù)。CIH病毒是首例直接攻擊、破壞硬件系統(tǒng)的計算機病毒，是迄今為止破壞力最為嚴重的病毒之一。

2．“臺灣1號”宏病毒在每月13日，若用戶使用打開一個帶“臺灣1號”宏病毒的Word文檔（模板）時，該病毒會被激發(fā)。激發(fā)時的現(xiàn)象是：在屏幕正中央彈出一個對話框，該對話框提示用戶做一個心算題，如做錯，它將會無限制地打開文件，直至Word內(nèi)存不夠，Word出錯為止；如心算題作對，會提示用戶“什么是巨集病毒（宏病毒）？”，回答是“我就是巨集病毒”，再提示用戶：“如何預(yù)防巨集病毒？”，回答是“不要看我”。幾個病毒實例幾個病毒實例3.“沖擊波”（WORM＿MSBlast.A）2003年8月11日，一種名為“沖擊波”（WORM＿MSBlast.A）的新型蠕蟲病毒開始在互聯(lián)網(wǎng)和部分專用信息網(wǎng)絡(luò)上傳播。該病毒利用Windows系統(tǒng)的漏洞，如疾風般橫掃全球各地計算機，其傳播速度快、波及范圍廣，對計算機正常使用和網(wǎng)絡(luò)運行造成嚴重影響，并且已經(jīng)造成某些服務(wù)器停頓及企業(yè)Internet網(wǎng)絡(luò)擁塞無法使用。計算機防毒軟件廠商趨勢科技的病毒分析師指出，這種蠕蟲在互聯(lián)網(wǎng)上廣泛掃描沒有安裝補丁的Windows2000/XP/2003計算機，能夠在25分鐘之內(nèi)感染這種計算機。據(jù)估計“沖擊波”可能已經(jīng)感染了全球一兩億臺計算機。幾個病毒實例4．電子郵件炸彈電子郵件炸彈是指發(fā)件者以不明來歷的電子郵件地址，不斷重復(fù)將電子郵件寄于同一個收件人。由于情況就像是戰(zhàn)爭時利用某種戰(zhàn)爭工具對同一個地方進行大轟炸，因此稱為電子郵件炸彈（E－mailBomber）。幾個病毒實例5．“小郵差”最新變種（Worm.Mimail.c）最近網(wǎng)絡(luò)上流行一種惡性蠕蟲“小郵差”最新變種（Worm.Mimail.c），該蠕蟲病毒繼承了原版本發(fā)送郵件功能，利用自帶的郵件服務(wù)器瘋狂發(fā)送帶毒郵件，在用戶郵箱中以信息的形式出現(xiàn)，主題大多是“我們的私人照片”（ourprivatephotos）。并且病毒主程序采用雙后綴名，使用其看起來和圖片文件一樣，加大了病毒的欺騙性。引誘用戶打開附件，病毒激活后會隨機發(fā)起DoS(拒絕服務(wù)式攻擊)，大量浪費網(wǎng)絡(luò)資源。Norton（諾頓）殺毒軟件瑞星殺毒軟件KV3000常用殺毒軟件介紹

Norton（諾頓）殺毒軟件

NortonAntiVirus具有以下特點：1．保護計算機遠離病毒的威脅2．自動清除病毒3．加強了對未知病毒的預(yù)防能力4．完善的安全響應(yīng)機制，以對付最新病毒的威脅