計算機(jī)網(wǎng)絡(luò)安全技術(shù)教程第9章 計算機(jī)病毒分析與防治

1、第9章 計算機(jī)病毒分析與防治本章學(xué)習(xí)要點計算機(jī)病毒的定義傳播途徑我國計算機(jī)病毒最新疫情狀況計算機(jī)病毒的引導(dǎo)、傳染、觸發(fā)機(jī)制典型計算機(jī)病毒分析計算機(jī)病毒的防治、殺毒軟件的使用與配置計算機(jī)病毒概述 計算機(jī)系統(tǒng)并不安全，計算機(jī)病毒就是最不安全的因素之一。尤其是近幾年隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，借助于互聯(lián)網(wǎng)這一天然的傳輸媒介，計算機(jī)病毒數(shù)目的增長也日益加快，國內(nèi)多家知名反病毒廠商的監(jiān)測數(shù)據(jù)均顯示：2008年我國國內(nèi)出現(xiàn)的計算機(jī)病毒總數(shù)量已突破千萬，從教材圖9-1來自于過于金山軟件公司計算機(jī)病毒檢測中心的數(shù)據(jù)可以看出，尤其是在剛剛過去的2008年，計算機(jī)病毒的數(shù)量呈現(xiàn)了爆炸性的增長。病毒已經(jīng)構(gòu)成了互聯(lián)網(wǎng)時

2、代網(wǎng)絡(luò)安全的一個主要威脅，我們只有真正了解了計算機(jī)病毒，才能進(jìn)一步防治和清除計算機(jī)病毒。病毒的定義 從本質(zhì)上講，計算機(jī)病毒是一個程序，一段可執(zhí)行代碼。就像生物病毒一樣，計算機(jī)病毒有獨特的復(fù)制能力，計算機(jī)病毒可以很快地蔓延，又常常難以根除。計算機(jī)病毒同生物病毒所相似之處是能夠侵入計算機(jī)系統(tǒng)和網(wǎng)絡(luò),危害正常工作的“病原體”。它能夠?qū)τ嬎銠C(jī)系統(tǒng)進(jìn)行各種破壞,同時能夠自我復(fù)制，具有傳染性。另外，計算機(jī)病毒與生物病毒一樣，有其自身的病毒體（病毒程序）和寄生體（宿主HOST）。 表9-1 計算機(jī)病毒與生物病毒的對比生物病毒計算機(jī)病毒攻擊生物機(jī)體特定細(xì)胞攻擊特定程序（所有*.COM和*.EXE文件以及其他特

3、定文件）修改細(xì)胞的遺傳信息，使病毒在被傳染的細(xì)胞中繁殖操縱程序使被傳染程序能復(fù)制病毒程序被傳染的細(xì)胞不再重復(fù)傳染，并且被傳染的機(jī)體很長時間沒有癥狀很多計算機(jī)病毒只傳染程序一次，被傳染的程序很長時間可以正常運行病毒并非傳染所有的細(xì)胞，并且病毒可以產(chǎn)生變異程序能夠加上免疫標(biāo)志，防止傳染。但計算機(jī)病毒能夠修改自身使免疫失效在中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例中，計算機(jī)病毒被定義為：“計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。這一定義一般可以看作計算機(jī)病毒的狹義定義。計算機(jī)病毒具有有如下的基本特征：(1)

4、傳染性傳染性是所有病毒程序都具有的一大基本特征。通過傳染，病毒就可以擴(kuò)散，病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到病毒的傳染和擴(kuò)散，被嵌入的程序叫被稱為宿主程序。 (2) 破壞性 大多計算機(jī)病毒在發(fā)作時候都具有不同程序的破壞性，有時干擾計算機(jī)系統(tǒng)的正常工作,有的嚴(yán)重消耗系統(tǒng)資源（例如不斷地復(fù)制自身，消耗內(nèi)存和硬盤資源等），而嚴(yán)重的則直接修改和刪除磁盤數(shù)據(jù)或文件內(nèi)容、破壞操作系統(tǒng)正常運行甚至直接損壞計算機(jī)硬件等。 （3）隱蔽性 計算機(jī)病毒的隱蔽性表現(xiàn)在兩個方面，一是結(jié)果的隱蔽性，大多數(shù)病毒在進(jìn)行傳染時的速度極快，傳染后也沒有明顯的結(jié)果顯示，一般不易被人發(fā)現(xiàn)；二是病毒程序

5、本身存在隱蔽性，一般的病毒程序都寄生于正常程序中，很難被發(fā)現(xiàn)，而一旦病毒發(fā)作出來，往往已經(jīng)給計算機(jī)系統(tǒng)造成了不同程度的破壞。 （4）寄生性 病毒程序嵌入到宿主程序之中，依賴于宿主程序的執(zhí)行而生存。這就是計算機(jī)病毒的寄生性，病毒程序在侵入到宿主程序中后，一般對宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進(jìn)行自我復(fù)制和繁殖。 （5）潛伏性 計算機(jī)病毒侵入系統(tǒng)后，一般不立即發(fā)作，而是具有一定的潛伏期，病毒不同其潛伏期的長短就不同，有的潛伏期為幾個星期，又有的潛伏期甚至長達(dá)幾年，在潛伏期中病毒程序只要在可能的條件下就會不斷地進(jìn)行自我復(fù)制繁殖，一旦條件成熟，病毒就開始發(fā)作，發(fā)作的

6、條件隨病毒的不同而不同，這一條件是計算機(jī)病毒設(shè)計人員所設(shè)計的，病毒程序在運行時，每次都要檢測這一發(fā)作條件是否成立。病毒的傳播 計算機(jī)病毒的傳播有如下幾個主要途徑 ：1軟盤2光盤3可移動磁盤4有線網(wǎng)絡(luò)5無線網(wǎng)絡(luò) 我國計算機(jī)病毒最新疫情 概述 （1）病毒制造進(jìn)入“機(jī)械化”時代。（2）病毒制造的模塊化、專業(yè)化特征明顯。（3）病毒“運營”模式互聯(lián)網(wǎng)化。 （4）病毒對于新漏洞的利用更加迅速。（5） 病毒與安全軟件的對抗日益激烈。 計算機(jī)病毒疫情統(tǒng)計和分析 年度十大病毒（1）機(jī)器狗系列病毒。 （2）AV終結(jié)者病毒系列。（3）在線網(wǎng)絡(luò)游戲病毒系列。（4）HB蝗蟲系列木馬。（5）掃蕩波病毒。（6）QQ大盜。（

7、7）RPC盜號者。（8）偽QQ系統(tǒng)消息。（9）QQ幽靈。（10）磁碟機(jī)。計算機(jī)病毒的發(fā)展趨勢 （1）0Day漏洞將與日俱增。2008年安全界關(guān)注的最多的不是Windows系統(tǒng)漏洞，而是每在微軟發(fā)布補(bǔ)丁隨后幾天之后，黑客們放出來的0Day 漏洞，這些漏洞由于處在系統(tǒng)更新的空白期，使得所有的電腦都處于無補(bǔ)丁可補(bǔ)的危險狀態(tài)。 （2）網(wǎng)頁掛馬現(xiàn)象日益嚴(yán)峻。網(wǎng)頁掛馬已經(jīng)成為木馬、病毒傳播的主要途徑之一。入侵網(wǎng)站，篡改網(wǎng)頁內(nèi)容，植入各種木馬，用戶只要瀏覽被植入木馬的網(wǎng)站，即有可能遭遇木馬入侵，甚至遭遇更猛烈的攻擊，造成網(wǎng)絡(luò)財產(chǎn)的損失。 （3）病毒與反病毒廠商對抗將加劇。隨著反病毒廠商對于安全軟件自保護(hù)能力

8、的提升，病毒的對抗會越發(fā)的激烈。病毒不再會局限于結(jié)束和破壞殺毒軟件，隱藏和局部“寄生”系統(tǒng)文件的弱對抗性病毒將會大量增加。（4）新平臺上的嘗試。病毒、木馬進(jìn)入新經(jīng)濟(jì)時代后，肯定是無孔不入，網(wǎng)絡(luò)的提速實際上讓病毒更加的泛濫。因此我們可以預(yù)估vista、windows 7系統(tǒng)的病毒將可能成為病毒作者的新寵；當(dāng)我們的智能 進(jìn)入3G時代后， 平臺的病毒/木馬活動會上升。軟件漏洞的無法避免，在新平臺上的漏洞也會成為病毒/木馬最主要的傳播手段。 計算機(jī)病毒的工作機(jī)制 病毒的引導(dǎo)機(jī)制 計算機(jī)病毒的寄生對象： 寄生對象主要有兩種，一種是寄生在磁盤引導(dǎo)扇區(qū)；另一種是寄生在可執(zhí)行文件（.EXE或.COM）中。這是

9、由于不論是磁盤引導(dǎo)扇區(qū)還是可執(zhí)行文件，它們都有獲取執(zhí)行權(quán)的可能，這樣病毒程序寄生在它們的上面，就可以在一定條件下獲得執(zhí)行權(quán) 。計算機(jī)病毒的寄生方式 計算機(jī)病毒的寄生方式有兩種，一種是采用替代法；另一種是采用鏈接法。所謂替代法是指病毒程序用自己的部分或全部指令代碼，替代磁盤引導(dǎo)扇區(qū)或文件中的全部或部分內(nèi)容。所謂鏈接法則是指病毒程序?qū)⒆陨泶a作為正常程序的一部分與原有正常程序鏈接在一起，病毒鏈接的位置可能在正常程序的首部、尾部或中間，寄生在磁盤引導(dǎo)扇區(qū)的病毒一般采取替代法，而寄生在可執(zhí)行文件中的病毒一般采用鏈接法。 計算機(jī)病毒的引導(dǎo)過程 （）駐留內(nèi)存。 病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存。為此

10、就必須開辟所用內(nèi)存空間或覆蓋系統(tǒng)占用的部分內(nèi)存空間。當(dāng)然，也有部分病毒不駐留內(nèi)存。 （）竊取系統(tǒng)控制權(quán)。 在病毒程序駐留內(nèi)存后，必須使有關(guān)部分取代或擴(kuò)充系統(tǒng)的原有功能，并竊取系統(tǒng)的控制權(quán)。此后病毒程序依據(jù)其設(shè)計思想，隱蔽自己，等待時機(jī)，在條件成熟時，再進(jìn)行傳染和破壞。（）恢復(fù)系統(tǒng)功能。 病毒為隱蔽自己，駐留內(nèi)存后還要恢復(fù)系統(tǒng)，使系統(tǒng)不會死機(jī)，只有這樣才能等待時機(jī)成熟后，進(jìn)行傳染和破壞的目的。病毒的傳染機(jī)制 計算機(jī)病毒的傳染方式 ：主動傳染、被動傳染。計算機(jī)病毒的傳染過程 ：以文件型病毒為例，闡述一下計算機(jī)病毒的傳染具體過程。當(dāng)用戶執(zhí)行被傳染的.COM或.EXE可執(zhí)行文件時，病毒駐入內(nèi)存。一旦病

11、毒駐入內(nèi)存，便開始監(jiān)視系統(tǒng)的運行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時，進(jìn)行如下操作：（1）首先對運行的可執(zhí)行文件特定地址的標(biāo)識位信息進(jìn)行判斷是否已傳染了病毒。（2）當(dāng)條件滿足，利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間，并存入磁盤中。（3）完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標(biāo)。病毒的觸發(fā)機(jī)制可觸發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒傳染和破壞的頻度，兼顧殺傷力和潛伏性。 計算機(jī)病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足條件則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個條件就是計算機(jī)病毒的觸發(fā)條件。病毒采用的觸發(fā)條件主要有以下幾種： （1

12、）以時間為為觸發(fā)條件：早期的病毒通常選擇在某一特定日期或某一時間為觸發(fā)機(jī)制，一旦日期與病毒預(yù)設(shè)日期符合，病毒則開始發(fā)作。典型的如CIH病毒，在每月的26日發(fā)作。 （2）利用系統(tǒng)漏洞觸發(fā)：一些病毒利用操作系統(tǒng)漏洞作為發(fā)作機(jī)制。如求職信病毒，只要用戶電腦存在IFRAME漏洞，則無需運行附件，只需預(yù)覽郵件病毒就可以發(fā)作。（3）誘騙用戶點擊觸發(fā)：如今多數(shù)網(wǎng)絡(luò)病毒已經(jīng)不以時間為觸發(fā)條件，大多數(shù)蠕蟲病毒通過發(fā)送一些帶有誘騙性的郵件，將自身隱藏在附件中，偽裝成一個圖片或一個文檔的形式，誘使電腦用戶點擊運行，一旦被點擊病毒立即發(fā)作。 （4）網(wǎng)頁瀏覽觸發(fā)：如今最讓人頭疼的非木馬莫屬，而網(wǎng)頁木馬又在其中扮演著重要

13、的角色。通過在網(wǎng)頁中加入腳本語言而掛馬，當(dāng)用戶訪問掛有木馬的網(wǎng)頁，就會自動運行病毒程序。 （5）擊鍵和鼠標(biāo)觸發(fā)：有些病毒會監(jiān)視用戶的擊鍵動作，當(dāng)檢測到某個特定鍵時，病毒被激活。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)、熱啟動觸發(fā)等。此外，一些木馬病毒利用操作系統(tǒng)漏洞，監(jiān)控鼠標(biāo)動作，一旦發(fā)現(xiàn)鼠標(biāo)有拖放操作時，病毒就被下載到本地并發(fā)作。 （6）啟動系統(tǒng)觸發(fā)。一些病毒被下載到本地后，并不馬上發(fā)作，當(dāng)用戶再次啟動計算機(jī)時，則隨操作系統(tǒng)一起運行。 （7）訪問磁盤次數(shù)觸發(fā)：病毒對磁盤I/O訪問的次數(shù)進(jìn)行計數(shù)，以此作為觸發(fā)條件。 （8）調(diào)用中斷功能觸發(fā)：對中斷調(diào)用次數(shù)計數(shù)，以此作為觸發(fā)條件。 （9）cpu型號/

14、主板型號觸發(fā)：病毒能識別運行環(huán)境的CPU型號/主板型號，以預(yù)定CPU型號/主板型號做觸發(fā)條件，這種病毒的觸發(fā)方式相對比較少見。 典型計算機(jī)病毒分析 引導(dǎo)型病毒 引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個固定的位置，并且控制權(quán)的轉(zhuǎn)交方式是以物理位置為依據(jù)，而不是以操作系統(tǒng)引導(dǎo)的內(nèi)容為依據(jù)。因而病毒占據(jù)該物理位置可獲得控制權(quán)，而將真正的引導(dǎo)區(qū)內(nèi)容轉(zhuǎn)移或替換，待病毒程序執(zhí)行后，再將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容，使得這個帶病毒的系統(tǒng)看似正常運轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染發(fā)作。現(xiàn)在的殺毒軟件基本上都可以發(fā)現(xiàn)引導(dǎo)型病毒。 文件型病毒 文件型病毒的傳染方式 文件型病毒的檢測：常用的辦法借助于殺毒軟件，殺

15、毒軟件檢測的基本思路是：在一個文件的特定位置（如文件尾），查找病毒的特定標(biāo)識（如一串連續(xù)的某個字母），如果存在，則認(rèn)為該文件被病毒傳染。這種檢測病毒的方法稱為“特征標(biāo)識匹配法”，它一次可以檢查磁盤上的所有可執(zhí)行文件。 清除文件中的病毒一般應(yīng)按照以下步驟進(jìn)行：（1） 分析病毒與被傳染文件之間的連接方式（跳轉(zhuǎn)指令、修改中斷向量等）。（2） 確定病毒程序是駐留在文件的首部還是尾部，并找到病毒程序的開始和結(jié)束位置，把被傳染文件的主要部分還原。（3） 恢復(fù)被傳染文件的頭部參數(shù)。（4） 把恢復(fù)后的內(nèi)容寫到文件中。文件長度要變短一些，只要把文件的正常內(nèi)容寫到文件中，病毒體就從文件中剝離出來。宏病毒 宏病毒是

16、一種寄生在文檔或模板的宏中的計算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機(jī)上，并駐留在Normal模板上。 宏病毒的原理 ：以Word宏病毒為例，一旦病毒宏侵入Word，它就會替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和 FilePrint等等，并通過這些宏所關(guān)聯(lián)的文件操作功能獲取對文件交換的控制。當(dāng)某項功能被調(diào)用時，相應(yīng)的病毒宏就會纂奪控制權(quán)，實施病毒所定義的非法操作，包括傳染操作、表現(xiàn)操作以及破壞操作等等。 宏病毒的預(yù)防：（1）將常用的Word模板文件改為只讀屬性，可防止Word系統(tǒng)被傳染。 （2）將自動執(zhí)行宏功能禁

17、止掉，即使有宏病毒存在，但無法被激活，也無法發(fā)作傳染、破壞 。腳本病毒 腳本病毒通常是網(wǎng)頁腳本代碼編寫的惡意代碼 ，腳本病毒的前綴一般是Script。腳本病毒的共有特性是使用腳本語言編寫，通過網(wǎng)頁進(jìn)行傳播，如紅色代碼（）腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的）。 VBS病毒是用VB Script編寫而成，該腳本語言功能非常強(qiáng)大，它們利用Windows系統(tǒng)的開放性特點，通過調(diào)用一些現(xiàn)成的Windows對象、組件，可以直接對文件系統(tǒng)、注冊表等進(jìn)行控制，功能非常強(qiáng)大。 腳本病毒從觸發(fā)機(jī)制上來講屬于被動觸發(fā)，因此防御腳本病毒最好的方法是不訪問帶毒的文件或者網(wǎng)頁 。蠕蟲病毒 蠕蟲病毒

18、的前綴是：Worm，最初的蠕蟲得名是因為在DOS環(huán)境下，蠕蟲發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。 蠕蟲病毒主要的破壞方式是大量的復(fù)制自身，然后在網(wǎng)絡(luò)中傳播，嚴(yán)重的占用有限的網(wǎng)絡(luò)資源，最終引起整個網(wǎng)絡(luò)的癱瘓，使用戶不能通過網(wǎng)絡(luò)進(jìn)行正常的工作。 蠕蟲病毒常見的傳播方式有兩種：一是利用系統(tǒng)漏洞傳播。蠕蟲病毒利用計算機(jī)系統(tǒng)的設(shè)計缺陷，通過網(wǎng)絡(luò)主動的將自己擴(kuò)散出去。二是利用電子郵件傳播。蠕蟲病毒將自己隱藏在電子郵件中，隨電子郵件擴(kuò)散到整個網(wǎng)絡(luò)中，這也是個人計算機(jī)被感染的主要途徑。 震蕩波（）病毒是蠕蟲病毒的一個典型代表。震蕩波病毒發(fā)作時，在本地開辟后門，監(jiān)聽TCP 5

19、554端口，作為FTP服務(wù)器等待遠(yuǎn)程控制命令，黑客可以通過這個端口竊取用戶機(jī)器的文件和其他信息。同時，病毒開辟128個掃描線程，以本地IP地址為基礎(chǔ)，取隨機(jī)IP地址，瘋狂的試探連接445端口，試圖利用Windows的LSASS 中存在一個緩沖區(qū)溢出漏洞進(jìn)行攻擊，一旦攻擊成功會導(dǎo)致對方機(jī)器感染此病毒并進(jìn)行下一輪的傳播，攻擊失敗也會造成對方機(jī)器的緩沖區(qū)溢出，導(dǎo)致對方機(jī)器程序非法操作以及系統(tǒng)異常等。計算機(jī)病毒的防治技術(shù) 計算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象 計算機(jī)病毒發(fā)作前，是指從計算機(jī)病毒感染計算機(jī)系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，一直到激發(fā)條件滿足，計算機(jī)病毒發(fā)作之前的一個階段。在這個階段，計算機(jī)病毒的行為主要是以

20、潛伏、傳播為主。它會以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)的同時，又自我復(fù)制，以各種手段進(jìn)行傳播。計算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象 主流反病毒技術(shù)分析 檢測病毒的一般方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法 。下面是反病毒軟件中普遍采用的幾種主流的病毒檢測技術(shù)：特征碼技術(shù)：特征碼技術(shù)是反病毒技術(shù)中最基本的技術(shù)，也是反病毒軟件普遍采用的方法，是基于已知病毒的靜態(tài)反病毒技術(shù)。反病毒研究人員通過對病毒樣本的分析，提取病毒中具有代表性的數(shù)據(jù)串寫入反病毒軟件的病毒庫。當(dāng)反病毒軟件查毒時發(fā)現(xiàn)目標(biāo)文件中的代碼與反病毒軟件病毒庫中的特征碼相符合時，就認(rèn)為該文件含毒并對其進(jìn)行清除。特征碼技術(shù)具有低誤報率、

21、高準(zhǔn)確性、高可靠性等優(yōu)勢，其技術(shù)機(jī)理和執(zhí)行流程也非常成熟。特征碼技術(shù)固有的弊端也是明顯的，其“截獲反應(yīng)升級”的流程使其滯后于病毒的出現(xiàn)，也不能發(fā)現(xiàn)和清除未知病毒?；谔摂M機(jī)的反病毒技術(shù)“虛擬機(jī)反病毒技術(shù)”即是在電腦中創(chuàng)造一個虛擬CPU環(huán)境，將病毒在虛擬環(huán)境中激活，根據(jù)其行為特征，從而判斷是否是病毒。這個技術(shù)主要用來應(yīng)對加殼和加密的病毒。行為監(jiān)視法 病毒傳染文件時，常常有一些不同于正常程序的行為。行為監(jiān)視法就是引入一些人工智能技術(shù)，通過分析檢查對象的邏輯結(jié)構(gòu)，將其分為多個模塊，分別引入虛擬機(jī)中執(zhí)行并監(jiān)測，從而查出使用特定觸發(fā)條件的病毒。 CRC校驗和檢查法 CRC掃描的原理是計算磁盤中的實際文件或系統(tǒng)扇區(qū)的CRC值(檢驗和)，這些CRC值被殺毒軟件保存到自己的數(shù)據(jù)庫中，在運行殺毒軟件時，用備份的CRC值與當(dāng)前計算的值比較，這樣就可以知道文件是否已經(jīng)修改或被病毒傳染。 解壓縮與去殼 病毒隱藏自身的方法還有加殼