計(jì)算機(jī)病毒防治 第一章_圖文

1、計(jì)算機(jī)病毒原理及防治2007年9月播放教師:張少敏教材目錄1 計(jì)算機(jī)病毒的概念2 計(jì)算機(jī)病毒的相關(guān)DOS基本系統(tǒng)知識(shí)3計(jì)算機(jī)病毒的結(jié)構(gòu)及作用機(jī)制4 檢測(cè)計(jì)算機(jī)病毒的基本方法5 清除計(jì)算機(jī)病毒的基本技術(shù)1 計(jì)算機(jī)病毒的概念 1.1計(jì)算機(jī)病毒的定義中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中定義為:“計(jì)算機(jī)病毒,是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?.2計(jì)算機(jī)病毒的產(chǎn)生和發(fā)展隨著計(jì)算機(jī)應(yīng)用的普及,計(jì)算機(jī)在工業(yè)、農(nóng)業(yè)和社會(huì)生活各個(gè)領(lǐng)域中已開始發(fā)揮重要作用,早期便有一些科普作家意識(shí)到可能有人會(huì)利用計(jì)算機(jī)進(jìn)行破壞,提出

2、了“計(jì)算機(jī)病毒”這種概念,不久計(jì)算機(jī)病毒便在理論、程序上都得到了證實(shí)。1949年,計(jì)算機(jī)的創(chuàng)始人馮·諾依曼(John Von Neumann發(fā)表了復(fù)雜自動(dòng)機(jī)器的理論和結(jié)構(gòu)的論文,提出計(jì)算機(jī)程序可以在內(nèi)存中進(jìn)行自我復(fù)制和變異的理論。在此之后,許多的計(jì)算機(jī)人員在自己的研究工作中應(yīng)用和發(fā)展了程序自我復(fù)制的理論。1959年,AT&T Bell實(shí)驗(yàn)室的3位成員設(shè)計(jì)出具有自我復(fù)制能力、并能探測(cè)到別的程序在運(yùn)行時(shí)能將其銷毀的程序。1983年,Fred Cohen博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序。并在全美計(jì)算機(jī)安全會(huì)議上提出,在VAXll/150機(jī)上演示,從而證實(shí)計(jì)算機(jī)病毒

3、的存在,這也是公認(rèn)的第一個(gè)計(jì)算機(jī)病毒程序的出現(xiàn)。 隨著計(jì)算機(jī)技術(shù)的發(fā)展,出現(xiàn)了一些具有惡 意的程序。最初是些計(jì)算機(jī)愛好者惡作劇性的游戲, 后來一些軟件公司為防止盜版在自己的軟件中加入了病毒程序。1988年,羅伯特·莫里斯(Rober Moms制 造的蠕蟲病毒是首次通過網(wǎng)絡(luò)傳播的病毒,是一起震撼世界的“計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)的案 件”。后來,又出現(xiàn)了許多惡性計(jì)算機(jī)病毒,這些病毒會(huì)搶占系統(tǒng)資源、刪除和破壞文件,最具破壞性如CIH能對(duì)硬件造成毀壞。網(wǎng)絡(luò)的使用使得計(jì)算機(jī)病毒傳播得更加廣泛、迅速。隨著計(jì)算機(jī)技術(shù)的提高,病毒的制造技術(shù)也在不斷提高。最近幾年,病毒的種類和表現(xiàn)模式不斷變化、改進(jìn),如宏病

4、毒和變形病毒。變形病毒每感染新文件都會(huì)發(fā)生變化,極具隱蔽性。有的病毒利用操作系統(tǒng)、計(jì)算機(jī)硬件管理的缺陷對(duì)系統(tǒng)進(jìn)行破壞。 1.3惡意程序所謂惡意程序是指一類特殊的程序,它們通常在用戶不知曉也未授權(quán)的情況下潛入進(jìn)來,具有用戶不知道(一般也不許可的特性,激活后將影響系統(tǒng)或應(yīng)用的正常功能,甚至危害或破壞系統(tǒng)。惡意程序的表現(xiàn)形式多種多樣。有的是將合法程序進(jìn)行改動(dòng),讓它含有并執(zhí)行某種破壞功能,如程序自毀或磁盤自毀。有的是利用合法程序的功能和權(quán)限,非法獲取或篡改系統(tǒng)資源和敏感數(shù)據(jù),進(jìn)行系統(tǒng)入侵。惡意程序的分類根據(jù)惡意程序威脅的存在形式不同,將其分為需要宿主程序和不需要宿主的可獨(dú)立存在的威脅兩大類,如圖所示。

5、前者基本上是不能獨(dú)立于某個(gè)實(shí)際的應(yīng)用程序、實(shí)用程序或系統(tǒng)程序的程序片段,后者是可以被操作系統(tǒng)調(diào)度和運(yùn)行的自包含程序。另外,也可以將這些惡意程序威脅分成不進(jìn)行復(fù)制工作的和進(jìn)行復(fù)制工作的。前者是一些當(dāng)宿主程序被調(diào)用時(shí)被激活起來完成一個(gè)特定功能的程序片段;后者由程序片段(病毒或由獨(dú)立程序(蠕蟲、細(xì)菌組成,在執(zhí)行時(shí)可以在同一個(gè)系統(tǒng)或某個(gè)其他系統(tǒng)中產(chǎn)生自身的一個(gè)或多個(gè)以后將被激活的副本。惡意程序需要宿主獨(dú)立存在程序陷門邏輯炸彈特洛伊木馬細(xì)菌蠕蟲圖1-1惡意程序分類事實(shí)上,惡意程序的分類已隨著惡意程序彼此間的交叉和互相滲透(變異變得模糊。如邏輯炸彈或特洛伊木馬可能只是一個(gè)病毒或蠕蟲的一部分。1.陷門(Tr

6、ap Doors是進(jìn)入程序的秘密入口,知道陷門的人可以不經(jīng)過通常的安全訪問過程而獲得訪問權(quán)力。陷門被無所顧忌的程序員用來獲得非授權(quán)訪問時(shí),陷門就變成了威脅。2.邏輯炸彈邏輯炸彈是嵌入在某個(gè)合法程序里面的一段代碼,被設(shè)置成當(dāng)滿足特定條件時(shí)就會(huì)“爆炸”:執(zhí)行一個(gè)有害行為的程序。3.特洛伊木馬特洛伊木馬是指一個(gè)有用的,或者表面上有用的程序或命令過程,但其中包含了一段隱藏的、激活時(shí)將執(zhí)行某種有害功能的代碼,可以控制用戶計(jì)算機(jī)系統(tǒng)的程序,并可能造成用戶的系統(tǒng)被破壞甚至癱瘓。4 . 細(xì)菌細(xì)菌是一些并不明顯破壞文件的程序,它們的惟一目的就是繁殖自己。一個(gè)典型的細(xì)菌程序可能不做什么其他的事情。除了在多進(jìn)程系統(tǒng)

7、中同時(shí)執(zhí)行自己的兩個(gè)副本,或者可能創(chuàng)建兩個(gè)新的文件外,每一個(gè)都是細(xì)菌程序原始源文件的一個(gè)復(fù)制品。那些程序然后又能將自己兩次復(fù)制,依此類推,細(xì)菌以指數(shù)級(jí)地再復(fù)制,最終耗盡了所有的處理機(jī)能、存儲(chǔ)器或磁盤空間,從而拒絕用戶訪問這些資源。5 . 蠕蟲計(jì)算機(jī)蠕蟲是一種可以通過網(wǎng)絡(luò)進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活,蠕蟲可以表現(xiàn)得像計(jì)算機(jī)病毒或細(xì)菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序,或者進(jìn)行任何次數(shù)的破壞或毀滅行動(dòng)。普通計(jì)算機(jī)病毒需要在計(jì)算機(jī)的硬盤或文件系統(tǒng)中繁殖,而典型的蠕蟲程序則不同,只會(huì)在內(nèi)存中維持一個(gè)活動(dòng)副本,甚至根本不向硬盤中寫入任何信息。蠕蟲是一個(gè)獨(dú)立運(yùn)行的程序,自身不改變其他的程序,但可攜

8、帶具有改變其他程序功能的病毒。病毒演示由于計(jì)算機(jī)病毒的特殊功能和潛在的威脅,它已成為所有計(jì)算機(jī)惡意程序的代名詞 1.4計(jì)算機(jī)病毒的危害據(jù)1998年CSI/FBI計(jì)算機(jī)犯罪和安全調(diào)查報(bào)告中對(duì)攻擊的分類調(diào)查顯示,計(jì)算機(jī)病毒占所有攻擊類型的首位,如下圖所示。1998年CSI /FBI 計(jì)算機(jī)犯罪和安全調(diào)查報(bào)告中對(duì)攻擊的分類020406080病毒內(nèi)部人員對(duì)網(wǎng)絡(luò)的濫用筆記本電腦盜竊未授權(quán)的內(nèi)部訪問系統(tǒng)入侵偷窺私人信息電信欺騙金融欺騙破壞被動(dòng)搭線竊聽主動(dòng)搭線竊聽占有率1.計(jì)算機(jī)病毒對(duì)獨(dú)立計(jì)算機(jī)系統(tǒng)的危害(1破壞磁盤文件分配表或目錄區(qū),使用戶磁盤上的信息丟失。(2刪除軟盤或硬盤上的可執(zhí)行文件或系統(tǒng)文件,使系

9、統(tǒng)無法啟動(dòng)。(3修改或破壞文件的數(shù)據(jù)。(4病毒程序自身在計(jì)算機(jī)系統(tǒng)中多次復(fù)制,使系統(tǒng)的存儲(chǔ)空間減少造成正常的文件不能存儲(chǔ)。(5刪除或改寫磁盤上的特定扇區(qū)。(6對(duì)系統(tǒng)中用戶存儲(chǔ)的特定文件進(jìn)行非法加密或解密。(7感染和破壞壓縮文件,使其在解壓時(shí)失敗。(8改寫B(tài)IOS中的內(nèi)容,使主板遭到毀滅性的破壞。2.計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)的危害(1病毒通過“自我復(fù)制”傳染正在運(yùn)行的系統(tǒng)與正常的運(yùn)行程序爭奪系統(tǒng)資源,造成系統(tǒng)癱瘓,并通過網(wǎng)絡(luò)系統(tǒng)侵害與之聯(lián)網(wǎng)的其他計(jì)算機(jī)。(2病毒會(huì)導(dǎo)致計(jì)算機(jī)控制的空中交通失靈,衛(wèi)星、導(dǎo)彈失控,自動(dòng)生產(chǎn)線控制紊亂,銀行金融系統(tǒng)癱瘓等。(3病毒會(huì)導(dǎo)致電子郵件傳遞混亂或E-mail系統(tǒng)關(guān)閉。(

10、4病毒程序在激活時(shí),能沖毀系統(tǒng)存取器中的大量數(shù)據(jù),使與之相連的計(jì)算機(jī)用戶的程序和數(shù)據(jù)丟失。計(jì)算機(jī)病毒的危害1.5計(jì)算機(jī)病毒的特征1. 傳染性2.隱蔽性3.潛伏性4.表現(xiàn)性1.傳染性計(jì)算機(jī)病毒一經(jīng)在計(jì)算機(jī)上運(yùn)行,絕大多數(shù)病毒首先要做初始化工作,在內(nèi)存中找一片安身之處,隨后將自身與系統(tǒng)軟件掛起鉤來,然后再執(zhí)行原來被感染的程序。這一系列的操作中,只要系統(tǒng)不癱瘓,系統(tǒng)每執(zhí)行一次操作,病毒就有機(jī)會(huì)得以運(yùn)行,危害未曾被感染的程序。病毒程序與正常系統(tǒng)程序在同一臺(tái)計(jì)算機(jī)內(nèi)爭奪系統(tǒng)控制權(quán)時(shí),結(jié)果會(huì)造成系統(tǒng)崩潰、導(dǎo)致計(jì)算機(jī)癱瘓。2.隱蔽性計(jì)算機(jī)病毒一經(jīng)在計(jì)算機(jī)上運(yùn)行,絕大多數(shù)病毒首先要做初始化工作,在內(nèi)存中找一片

11、安身之處,隨后將自身與系統(tǒng)軟件掛起鉤來,然后再執(zhí)行原來被感染的程序。這一系列的操作中,只要系統(tǒng)不癱瘓,系統(tǒng)每執(zhí)行一次操作,病毒就有機(jī)會(huì)得以運(yùn)行,危害未曾被感染的程序。病毒程序與正常系統(tǒng)程序在同一臺(tái)計(jì)算機(jī)內(nèi)爭奪系統(tǒng)控制權(quán)時(shí),結(jié)果會(huì)造成系統(tǒng)崩潰、導(dǎo)致計(jì)算機(jī)癱瘓。計(jì)算機(jī)病毒的隱蔽性主要表現(xiàn)(1短小精悍,占用空間小(2屬性管理(3暗中活動(dòng)(4欺騙(5加密(6多變性3.潛伏性(1利用計(jì)算機(jī)系統(tǒng)時(shí)鐘作觸發(fā)器(2利用病毒體自帶計(jì)數(shù)器作觸發(fā)器(3利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器(7攻擊系統(tǒng)數(shù)據(jù)區(qū)(8攻擊文件(9攻擊內(nèi)存(10間諜活動(dòng),竊取機(jī)密信息(11竊取核心控制權(quán)(12破壞網(wǎng)絡(luò)系統(tǒng)4.表現(xiàn)性(1有益

12、的服務(wù)(2占用CPU資源,降低系統(tǒng)工作效率(3干擾系統(tǒng)運(yùn)行(4干擾鍵盤、喇叭或屏幕(5干擾打印機(jī)(6攻擊CMOS,攻擊硬件1.6 計(jì)算機(jī)病毒發(fā)作前的癥狀計(jì)算機(jī)病毒發(fā)作前階段,是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng),潛伏在系統(tǒng)內(nèi)開始,直到激發(fā)條件滿足,計(jì)算機(jī)病毒發(fā)作之前的階段。在這個(gè)階段,計(jì)算機(jī)病毒的行為主要是以潛伏、傳播為主。計(jì)算機(jī)病毒會(huì)以各式各樣的手法來隱藏自己,在不易被發(fā)現(xiàn)的前提下,自我復(fù)制,以各種手段進(jìn)行傳播。但它總有一些表現(xiàn),例如: 原來運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)由于修改了中斷引起的系統(tǒng)不穩(wěn)定。操作系統(tǒng)無法正常啟動(dòng)可能由于感染病毒后系統(tǒng)文件結(jié)構(gòu)發(fā)生變化,無法被操作系統(tǒng)加載、引導(dǎo)。

13、 運(yùn)行速度明顯變慢可能由于計(jì)算機(jī)病毒占用了大量的系統(tǒng)資源,并且自身的運(yùn)行,占用了大量的處理器時(shí)間,造 成系統(tǒng)資源不足,運(yùn)行變慢。原來正常運(yùn)行的軟件總出現(xiàn)內(nèi)存不足的錯(cuò)誤可能是計(jì)算機(jī)病毒駐留后占用了系統(tǒng)中大量 的內(nèi)存空間,使得可用內(nèi)存空間減小。打印和通信異?？赡苡捎谟?jì)算機(jī)病毒駐留內(nèi)存后占用了打印 端口、串行通信端口的中斷服務(wù)程序,使之不能正常工作。應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤可能由于計(jì)算機(jī)病毒破壞了應(yīng)用程序本身的正常功能,或者計(jì)算機(jī)病毒程序本身存在著兼容性方面的問題造成的。系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化這是最明顯的計(jì)算機(jī)病毒感染跡像。打開的Word文檔另存時(shí)只能以模板方式保存往往是打開的W

14、ord文檔中感染了Word宏病毒的緣故。 磁盤空間突然迅速減少網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化(一般少1KB-幾KB 通常是感染了引導(dǎo)型計(jì)算機(jī)病毒所致陌生人發(fā)來的電子郵件自動(dòng)鏈接到一些陌生的網(wǎng)站 注意:一般的系統(tǒng)故障是有別于計(jì)算機(jī)病毒感染的。系統(tǒng)故障大多只符合上面的一點(diǎn)或兩點(diǎn)現(xiàn)象,而計(jì)算機(jī)病毒感染所出現(xiàn)的現(xiàn)象會(huì)有很多。1.7 計(jì)算機(jī)病毒發(fā)作時(shí)的癥狀計(jì)算機(jī)病毒發(fā)作是指滿足計(jì)算機(jī)病毒發(fā)作的條件,計(jì)算機(jī)病毒程序開始破壞行為的階段。通常,不同的計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)也不相同。下面是一些病毒發(fā)作時(shí)常見的表現(xiàn)現(xiàn)象:出現(xiàn)一些不相干的文字提示產(chǎn)生特定的圖像,如小球計(jì)算機(jī)病毒發(fā)出一段音樂,如“楊基(Yangkee”計(jì)算機(jī)病毒和中國的“瀏陽河”計(jì)算機(jī)病毒硬盤燈不斷閃爍,病毒使有持續(xù)大量的硬盤讀寫操作Windows桌面圖標(biāo)發(fā)生變化計(jì)算機(jī)突然死機(jī)或重啟鼠標(biāo)指針自己動(dòng)自動(dòng)發(fā)送電子郵件注意:上述現(xiàn)象需與計(jì)算機(jī)正常運(yùn)行時(shí)的表現(xiàn)相區(qū)分。Happy99病毒演示 反之,則少。如在8086CPU中,CPU通過系統(tǒng)總線訪問存儲(chǔ)器或I/O接口,即由總線接口部件執(zhí)行總線周期完成訪存操作。所謂總線周期就