計算機病毒原理與防范基礎課件

計算機病毒原理與防范胡繼榮制作

病毒起因計算機病毒的起因多種多樣，有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來,有的則是為防止自己的產品被非法拷貝而制造的報復性懲罰。一般可分為這樣幾種情況：1.惡作劇：美國康奈爾大學的莫里斯，編寫蠕蟲程序肇事后，被稱為電腦奇才，一些公司出高薪爭相聘用他。2.加密陷阱論：巴基斯坦病毒是世界上唯一給出病毒作者姓名、地址的病毒。由該國一家電腦商店的兩兄弟編寫，目的是追蹤軟件產品的非法用戶。3.游戲程序起源：1960年美國人約翰康維在編寫生命游戲程序時，萌發(fā)了程序自我自制技術。其程序運行時屏幕上有許多生命元素圖案在運動變化，元素在過于擁擠和稀疏時都會因缺少生存條件而死亡，只有處于合適環(huán)境中的元素才能自我復制并進行傳播。4.政治、經濟和軍事：一些組織和個人也會編制一些程序勝于進攻對方電腦，給對方造成災難或直接經濟損失。病毒與計算機犯罪莫里斯事件：1988年11月2日，康奈爾大學計算機科學系研究生羅但特.莫里斯制造的蠕蟲案件。

震蕩波事件：2004年德國18歲的技校生為顯示自己的才能,用自己組裝的電腦編寫了一個名為“震蕩波”的程序。該病毒不是通常意義上的病毒，而是一種以某種程序語言編寫的程序文本。造成了全球巨大經濟損失。美國德爾塔航空公司取消周末全部航班、歐萌委員會1200臺計算機失靈、芬蘭一家銀行關閉全部營業(yè)處。

混客絕情炸彈：2001年由黑龍江17歲的高中學生池某制造。

感染標記：即病毒簽名。常以ASCⅡ方式放在程序里。破壞模塊：實現(xiàn)病毒編寫者預定的破壞動作代碼。觸發(fā)模塊：根據預定條件是否滿足，控制病毒的感染或破壞。主控模塊：包括調用感染模塊,進行感染；調用觸發(fā)模塊，接受其返回值；根據返回值決定是否執(zhí)行破壞。分類方法有很多。根據攻擊系統(tǒng)分類：攻擊DOS型、攻擊WINDOWS型、攻擊UNIX型、攻擊OS/2型。根據攻擊機型分：微型計算機病毒、小型計算機病毒、工作站病毒。根據病毒鏈接方式分：源碼型、嵌入型、外殼性、操作系統(tǒng)型。按破壞情況分:良性病毒、惡性病毒按傳播媒介分:單機病毒、網絡病毒計算機病毒的特點可執(zhí)行性傳染性潛伏性可觸發(fā)性破壞性攻擊主動性針對性非授權性隱蔽性衍生性寄生性不可預見性欺騙性持久性計算機病毒的結構計算機病毒的分類計算機病毒技術基礎文件系統(tǒng)馮.諾依曼體系結構WINDOWS程序工作原理磁盤結構

計算機病毒的制造、傳染和發(fā)作，依賴于具體的計算機硬件與軟件，必須符合這些硬件和軟件系統(tǒng)的規(guī)范要求，而這些規(guī)范要求實際就是計算機病毒的技術基礎。不同的計算機硬件環(huán)境、不同的軟件環(huán)境，都會制造出不同的病毒。了解和掌握計算機硬件與軟件的基礎知識，對我們分析了解計算機病毒技術的特點、工作原理是十分必要的。馮.諾依曼機體系結構

馮.諾依曼是是20世紀最杰出的數(shù)學家之一，于1945年提出了“程序內存式”計算機的設計思想。這一卓越的思想為電子計算機的邏輯結構設計奠定了基礎，已成為計算機設計的基本原則。馮.諾依曼式計算機的硬件由五大部件構成：輸入設備外存儲器輸出設備程序存儲器計算結果控制器外部設備接口運算器原始數(shù)據指令控制信號存數(shù)取數(shù)磁盤結構

了解磁盤的結構及其數(shù)據組織的特點，對于檢測和預防計算機病毒具有十分重要的意義。

硬盤盤面以轉軸中心為圓心，被均勻地劃分成若干個半徑不等的稱為磁道的同心圓，不同盤面上的相同直徑的磁道，在垂直方向構成一個叫做柱面的圓柱。顯然柱面數(shù)等于磁道數(shù)。

磁道由首部、18個扇區(qū)和尾部構成。扇區(qū)由標識區(qū)(ID區(qū))、間隙、數(shù)據區(qū)和間隙組成。每個扇區(qū)為512B?！撞课膊可葏^(qū)1扇區(qū)NID區(qū)間隙間隙間隙ID區(qū)數(shù)據區(qū)扇區(qū)2索引信號容量=碰頭數(shù)×磁道數(shù)/面×扇區(qū)數(shù)/磁道×512B/扇區(qū)標識扇區(qū)的開始與記錄目標地址的信息主引導扇區(qū)結構與文件系統(tǒng)用戶可用DEBUG來查看主引導記錄。

文件系統(tǒng)是操作系統(tǒng)中借以組織、存儲和命名文件的結構。磁盤或分區(qū)和它所包括的文件系統(tǒng)的不同是很重要的，大部分應用程序都基于文件系統(tǒng)進行操作，在不同種文件系統(tǒng)上是不能工作的。

在Windows9x、NT、2000下，所有的Win32可執(zhí)行文件(除VxD與DLL)都是基于Microsoft設計的一種新的文件格式：可移植的執(zhí)行體,即PE格式。該格式的一些特性源自UNIX的COFF(命令目標文件)文件格式。Windows下感染可執(zhí)行文件的病毒，就必須對PE格式的可執(zhí)行文件進行修改。PE文件結構格式如下：HomePageGameDirectionsPE文件格式概念組成分類特征植入方法

特洛伊木馬一種能夠在受害者毫無察覺的情況下滲透到系統(tǒng)的代碼硬件部分軟件部分具體連接部分遠程控制型密碼發(fā)送型鍵盤記錄型毀壞型FTP型多媒體型隱蔽性自動運行性欺騙性自動恢復性功能特殊性軟件復制電子郵件發(fā)送超鏈接緩沖區(qū)溢出攻擊WINDOWS程序設計是一種事件驅動方式的程序設計模式。其應用程序最大的特點就是程序無固定的流程，只是針對某個事件的處理有特定的子流程，WINDOWS應用程序就是由許多這樣的子流程構成的。

WINDOWS應用程序本質上是面向對象的。程序提供給用戶界面的可視圖像在程序內部一般也是一個對象，用戶對可視對象的操作通過事件驅動模式觸發(fā)相應對象的可用方法。程序的運行就是用戶外部操作不斷產生事件，這些事件又被相應的對象處理的過程。

CIH病毒剖析CIH病毒是一種文件型病毒,是第一例感染WINDOWS環(huán)境下的PE格式文件的病毒。目前CIH病毒有多個版本，最流行的是CIH1.2版本。受感染的EXE文件的文件長度未改變。DOS及Win3.1格式的或執(zhí)行文件不受感染，且在WinNT中無效查找包含EXE特征“CIHv”過程中顯示一大堆符合查找特征的可執(zhí)行文件4月26日開機會黑屏、硬盤指示燈閃爍、重新開機時無法啟動CIH病毒的表現(xiàn)形式、危害及傳播途徑CIH病毒的運行機制碎洞攻擊，將病毒化整為零插入到宿主文件中，利用BIOS芯片可重寫特點，發(fā)作時向主板BIOS中寫入亂碼，開創(chuàng)了病毒直接進攻硬件的行先例。CIH病毒程序的組成引導模塊：感染了該病毒的EXE文件運行時修改文件程序的入口地址傳染模塊：病毒駐留內存過程中調用WINDOWS內核底層表現(xiàn)模塊腳本病毒

腳本宿主簡稱WSH，是一種與語言無關的腳本宿主，可用于與WINDOWS腳本兼容的腳本引擎。WSH是一種WINDOWS管理工具。當腳本到達計算機時，WSH先充當主機的一部分，它使對象和服務可用于腳本，并提供一系列腳本執(zhí)行指南。腳本語言的前身實際上就是DOS系統(tǒng)下的批處理文件。腳本的應用是對應用系統(tǒng)的一個強大的支撐，需要一個運行環(huán)境?，F(xiàn)在比較流行的腳本語言的Unix/Linuxshell、VBScript、PHP、JavaScript、JSP等。現(xiàn)在流行的腳本病毒大都是利JavaScript和VBScript編寫。

JavaScript是一種解釋型的、基于對象的腳本語言，是一種寬松類型的語言，不必顯式地定義變量的數(shù)據類型。大多數(shù)情況下，該語言會根據需要自動進行轉換。

VBScript使用ActiverXScript與宿主應用程序對話。VBS腳本病毒

該病毒是用VBScript編寫的，其腳本語言功能非常強大，利用WINDOWS系統(tǒng)的開放性特點，通過調用一些現(xiàn)成的WINDOWS對象、組件，可直接對文件系統(tǒng)、注冊表等進行控制，功能非常強大。VBS腳本病毒具有如下特點：編寫簡單破壞力大感染力強傳播范圍廣病毒碼容易被獲取、變種多欺騙性強病毒生產機實現(xiàn)起來非常容易VBS腳本病毒的防范VBS病毒具有一些弱點：運行是時需要用到一個對象：FileSystemObject代碼通過WindowsScriptHost來解釋執(zhí)行運行時需要其關聯(lián)程序Wscript.exe的支持通過網頁傳播的病毒需要ActiveX的支持通過E-mail傳播的病毒需要OE的自動發(fā)送郵件功能支持，但絕大多數(shù)病毒都是以E-mail為主要傳播方式的預防措施：禁用文件系統(tǒng)對象FileSystemObject卸載WindowsScriptHost刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射在Windows目錄中找到Wscript.exe，更名或刪除在瀏覽器安全選項中將“ActiveX”控件及插件設為禁用禁止OE的自動收發(fā)郵件功能不要隱藏系統(tǒng)中書籍文件類型的擴展名安裝防病毒軟件宏病毒MicrosoftWord對宏的定義是：能組織到一起作為一個獨立的命令使用的一系列Word命令，它能使日常工作變得更容易。Word宏病毒是一些制作病毒的專業(yè)人員利用MicriptWord的開放性即WordBasic編程接口，專門制作