計算機病毒的防治1

系統(tǒng)安全——計算機病毒防治1主講：劉亞琦《辦公自動化》12.1計算機病毒的定義隨著計算機在社會各個領(lǐng)域的廣泛運用，計算機病毒攻擊與防治技術(shù)也在不斷拓展。世界各地遭受計算機病毒感染和攻擊的事件不計其數(shù)，嚴重地干擾了人類的生產(chǎn)生活，給計算機網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。與此同時，病毒技術(shù)在戰(zhàn)爭領(lǐng)域也曾廣泛的運用，戰(zhàn)爭雙方都曾利用計算機病毒發(fā)起攻擊，破壞對方的計算機網(wǎng)絡(luò)和系統(tǒng)，達到了一定的政治目的與軍事目的。計算機病毒：指編制或在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。12.2計算機病毒的發(fā)展電腦病毒的概念其實源起相當早，電腦的先驅(qū)者馮?諾伊曼在他的一篇論文《復雜自動裝置的理論及組識的進行》里，已經(jīng)勾勒出病毒程序的藍圖。1960年代初，美國麻省理工學院的一些青年研究人員，在做完工作后，利用業(yè)務(wù)時間玩一種他們自己創(chuàng)造的計算機游戲。做法是某個人編制一段小程序，然后輸入到計算機中運行，并銷毀對方的游戲程序。而這也可能就是計算機病毒的雛形?！安《尽币辉~廣為人知是得力于科幻小說。一部是1970年代中期大衛(wèi)·杰洛德（DavidGerrold）的《WhenH.A.R.L.I.E.wasOne》，描述了一個叫“病毒”的程序和與之對戰(zhàn)的叫“抗體”的程序；另一部是約翰·布魯勒爾（JohnBrunner）1975年的小說《震蕩波騎士（ShakewaveRider）》，描述了一個叫做“磁帶蠕蟲”、在網(wǎng)絡(luò)上刪除數(shù)據(jù)的程序?！犊茖W美國人》的月刊中，一位叫作杜特尼的專欄作家在討論”磁芯大戰(zhàn)”與蘋果二型電腦時，開始把這種程序稱之為病毒。從此以后我們對于這種具備感染或破壞性的程序，終于有一個”病毒”的名字可以稱呼了。到了1987年，第一個電腦病毒C-BRAIN終于誕生了。這個病毒程序是由一對巴基斯坦兄弟：巴斯特和阿姆捷特所寫的，他們在當?shù)亟?jīng)營一家販賣個人電腦的商店，由于當?shù)乇I拷軟件的風氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。1.第一代病毒第一代病毒的產(chǎn)生年代通常認為在1986至1989年之間,這一期間出現(xiàn)的病毒稱之為傳統(tǒng)病毒,是計算機病毒的萌芽和滋生時期?此時計算機的應(yīng)用軟件少，而且大多是單機運行環(huán)境,因此病毒沒有大量流行，流行病毒的種類也很有限,病毒的清除工作相對來說較容易?2.第二代病毒第二代病毒又稱為混合型病毒,其產(chǎn)生的年代在1989至1991年之間,它是計算機病毒由簡單發(fā)展到復雜,由單純走向成熟的階段?第二代病毒有如下特點：(1)病毒攻擊的目標趨于混合型,即一種病毒既可感染磁盤引導扇區(qū),又可感染可執(zhí)行文件?(2)病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運行,而采取更為隱蔽的方法駐留內(nèi)存和感染目標?(3)病毒傳染目標后沒有明顯的特征,如磁盤上不出現(xiàn)壞扇區(qū),可執(zhí)行文件的長度增加不明顯,不改變被感染文件原來的建立日期和時間等等?(4)病毒程序往往采取了自我保護措施,如加密技術(shù)?反跟蹤技術(shù),制造各種障礙,增加人們剖析病毒的難度,也增加了病毒的發(fā)現(xiàn)與殺除難度?(5)出現(xiàn)許多病毒的變種,這些變種病毒較原病毒的傳染性更隱蔽,破壞性更大?3.第三代病毒第三代病毒的產(chǎn)生是從1992年開始至1995年,此類病毒稱為“多態(tài)性”病毒或“自我變形”病毒?所謂“多態(tài)性”或“自我變形”的含義是指此類病毒在每次傳染目標時,侵入宿主程序中的病毒程序大部分都是可變的,即在收集到同一種病毒的多個樣本中,病毒程序的代碼絕大多數(shù)是不同的,這是此類病毒的重要特點?正是由于這一特點,傳統(tǒng)的利用特征碼法檢測病毒的產(chǎn)品很難檢測出此類病毒?4.第四代病毒20世紀90年代中后期,隨著因特網(wǎng)?遠程訪問服務(wù)的開通,病毒流行面更加廣泛,病毒的流行迅速突破地域的限制,首先通過廣域網(wǎng)傳播至局域網(wǎng)內(nèi),再在局域網(wǎng)內(nèi)傳播擴散?隨著因特網(wǎng)的普及,電子郵件的使用,以及Office系列辦公軟件被廣泛應(yīng)用,夾雜于電子郵件內(nèi)的Office宏病毒成為當時病毒的主流?由于宏病毒編寫簡單?破壞性強和清除繁雜,加上微軟對文檔結(jié)構(gòu)沒有公開,給直接基于文檔結(jié)構(gòu)的宏病毒清除帶來了諸多不便?

這一時期的病毒的最大特點是利用Internet作為其主要傳播途徑,傳播對象從傳統(tǒng)的引導型和依附于可執(zhí)行程序文件而轉(zhuǎn)向流通性更強的文檔文件中?因而,病毒傳播快,隱蔽性強?破壞性大?這些都給病毒防治帶來新的挑戰(zhàn)?根據(jù)多年對計算機病毒的研究，計算機病毒按照存儲介質(zhì)、破壞力等方法可分類如下：1、根據(jù)病毒存在的媒體根據(jù)病毒存在的媒體，病毒可以劃分為：網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件文件病毒感染計算機中的用戶文件（如：COM，EXE，DOC等）引導型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。2、根據(jù)病毒破壞的能力根據(jù)病毒破壞的能力可劃分為以下幾種：無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。12.3計算機病毒的分類這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。3、根據(jù)病毒特有的算法

根據(jù)病毒特有的算法，病毒可以劃分為：伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM.病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件?！叭湎x”型病毒：通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。寄生型病毒：除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播，按算法分為：練習型病毒：病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調(diào)試階段。詭秘型病毒：它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。變型病毒（又稱幽靈病毒）：這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。計算機受到病毒感染后，會表現(xiàn)出不同的癥狀，下邊把一些經(jīng)常碰到的現(xiàn)象列出來，但需要注意的是當前越來越多的計算機病毒是以竊取用戶金融資料和隱私等為主要目的，往往在外部表現(xiàn)上并不明顯。單純破壞性的病毒集中在通過優(yōu)盤等移動存儲設(shè)備傳播。 機器不能正常啟動加電后機器根本不能啟動，或者可以啟動，但所需要的時間比原來的啟動時間變長了。有時會突然出現(xiàn)黑屏現(xiàn)象。 運行速度降低如果發(fā)現(xiàn)在運行某個程序時，讀取數(shù)據(jù)的時間比原來長，存文件或調(diào)文件的時間都增加了，那就可能是由病毒造成的。 磁盤空間迅速變小由于病毒程序要進駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小甚至變?yōu)椤?”，用戶什么信息也進不去。 文件內(nèi)容和長度有所改變一個文件存入磁盤后，本來它的長度和其內(nèi)容都不會改變，可是由于病毒的干擾，文件長度可能改變，文件內(nèi)容也