第4章 計(jì)算機(jī)病毒1

第四章計(jì)算機(jī)病毒4.1概述4.2計(jì)算機(jī)病毒的特征及分類 4.3常見的病毒類型4.4計(jì)算機(jī)病毒制作與反病毒技術(shù)

4.1概述帶有惡意目的的破壞程序,稱為惡意代碼。計(jì)算機(jī)病毒屬于惡意代碼的一種;在廣義上，計(jì)算機(jī)病毒就是各種惡意代碼的統(tǒng)稱。4.1概述計(jì)算機(jī)病毒最早是由美國南加州大學(xué)的FredCohen提出的。在1983年編寫，小程序，自我復(fù)制，并能在計(jì)算機(jī)中傳播。無害，潛伏，傳染。FredCohen博士對(duì)計(jì)算機(jī)病毒的定義：“病毒是一種靠修改其他程序來插入或進(jìn)行自身拷貝，從而感染其他程序的一段程序?！薄吨腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》計(jì)算機(jī)病毒定義為：“編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行代碼4.1概述

計(jì)算機(jī)病毒的發(fā)展1949年馮·諾伊曼，在論文《復(fù)雜自動(dòng)裝置的理論及組織的進(jìn)行》里給出了計(jì)算機(jī)病毒的雛形。1983年第一個(gè)病毒產(chǎn)生1986年P(guān)akistan病毒1988年蠕蟲病毒1991年病毒用于海灣戰(zhàn)爭實(shí)戰(zhàn)1996年宏病毒1998年CIH病毒2007年熊貓燒香病毒2009年“死?！辈《?010年“鬼影”病毒4.1概述

4.1概述計(jì)算機(jī)病毒的危害（1）占用磁盤空間，破壞數(shù)據(jù)信息（2）干擾系統(tǒng)的正常運(yùn)行（3）心理方面的影響4.2計(jì)算機(jī)病毒的特征及分類計(jì)算機(jī)病毒特征

傳染性破壞性隱蔽性寄生性可觸發(fā)性計(jì)算機(jī)病毒的基本特征按病毒按寄生方式網(wǎng)絡(luò)病毒/文件病毒/引導(dǎo)型病毒/混合型病毒按傳播媒介單機(jī)病毒/網(wǎng)絡(luò)病毒按病毒破壞性分類:良性/惡性按計(jì)算機(jī)病毒的鏈接:源碼/嵌入/外殼/譯碼/操作系統(tǒng)按病毒攻擊的操作系統(tǒng)DOS/Windows/Linux/Unix/Andriod/OS2/Macintosh…按病毒攻擊的機(jī)器類型PC機(jī)/小型機(jī)/工作站/手機(jī)…常見病毒分類4.3常見病毒舉例引導(dǎo)型病毒專門感染磁盤引導(dǎo)扇區(qū)或硬盤主引導(dǎo)區(qū)。按其寄生對(duì)象可分為：MBR（主引導(dǎo)區(qū)）病毒BR（引導(dǎo)區(qū)）病毒。引導(dǎo)型病毒一般通過修改int13h中斷向量將病毒傳染給軟盤，而新的int13h中斷向量地址指向內(nèi)存高端的病毒程序。引導(dǎo)型病毒的寄生對(duì)象相對(duì)固定。文件型病毒：通過文件系統(tǒng)進(jìn)行感染的病毒統(tǒng)稱文件型病毒。COM文件病毒EXE文件病毒。將自身代碼添加在宿主程序中，通過修改指令指針的方式，指向病毒起始位置來獲取控制權(quán)。PE病毒當(dāng)前產(chǎn)生重大影響的病毒類型，如“CIH”、“尼姆達(dá)”、“求職信”、“中國黑客”等。這類病毒主要感染W(wǎng)indows系統(tǒng)中的PE文件格式文件(如EXE,SCR,DLL等)。

蠕蟲通過網(wǎng)絡(luò)傳播的惡意代碼。與文件型病毒和引導(dǎo)性病毒不同，蠕蟲不利用文件寄生，也不感染引導(dǎo)區(qū)，蠕蟲的感染目標(biāo)是網(wǎng)絡(luò)中的所有計(jì)算機(jī)。4.3.2蠕蟲與木馬

蠕蟲：一種通過網(wǎng)絡(luò)傳播的惡意代碼，它不利用文件寄生，也不感染引導(dǎo)區(qū)蠕蟲的主要特點(diǎn)：(1)主動(dòng)攻擊。蠕蟲在本質(zhì)上已變?yōu)楹诳腿肭值墓ぞ撸瑥穆┒磼呙璧焦粝到y(tǒng)，再到復(fù)制副本，整個(gè)過程全部由蠕蟲自身主動(dòng)完成。(2)傳播途徑多樣：包括共享文件、電子郵件、Web服務(wù)器、網(wǎng)頁和網(wǎng)絡(luò)共享等。(3)制作技術(shù)不同于傳統(tǒng)的病毒。許多蠕蟲病毒是利用當(dāng)前最新的編程語言和編程技術(shù)來實(shí)現(xiàn)的，容易修改以產(chǎn)生新的變種。(4)行蹤隱蔽。蠕蟲在傳播過程中不需要像傳統(tǒng)病毒那樣要用戶的輔助工作，所以在蠕蟲傳播的過程中，用戶很難察覺。(5)反復(fù)性。如果沒有修復(fù)系統(tǒng)漏洞，重新接入到網(wǎng)絡(luò)的計(jì)算機(jī)仍然有被重新感染的危險(xiǎn)。蠕蟲與木馬木馬：一種典型的黑客程序，它是一種基于遠(yuǎn)程控制的黑客工具。通過木馬，攻擊者可以遠(yuǎn)程竊取用戶計(jì)算機(jī)上的所有文件、查看系統(tǒng)消息、竊取用戶口令、篡改文件和數(shù)據(jù)、接收執(zhí)行非授權(quán)者的指令、刪除文件甚至格式化硬盤。木馬實(shí)際上是一個(gè)C/S結(jié)構(gòu)的程序：服務(wù)端程序+客戶端程序。以冰河程序?yàn)槔?，被控制端可視為一臺(tái)服務(wù)器運(yùn)行(P92)

G_Server.exe服務(wù)程序，而控制端是一臺(tái)客戶機(jī)安裝了G_Client.exe控制程序?？蛻舳讼蚍?wù)端的端口提出連接請求，服務(wù)段的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，響應(yīng)客戶端的請求木馬的傳播方式：（1）以郵件附件的形式傳播?？刂贫藢⒛抉R程序偽裝后，捆綁在小游戲上，或者將木馬程序的圖標(biāo)直接修改為html,txt,jpg等文件的圖標(biāo)，然后將該木馬程序添加到附件中，發(fā)送給收件人。（2）通過聊天軟件的文件發(fā)送功能。利用聊天對(duì)話的過程中，利用文件傳送功能發(fā)送偽裝后的木馬程序給對(duì)方。（3）通過軟件下載網(wǎng)站傳播。有些網(wǎng)站可能會(huì)被攻擊者利用，將木馬捆綁在軟件上，用戶下載軟件后如果沒有進(jìn)行安全檢查就進(jìn)行安裝，木馬就會(huì)駐留內(nèi)存。（4）通過病毒和蠕蟲傳播。某些病毒和蠕蟲本身就具備木馬的功能，或可能成為木馬的宿主而傳播木馬。（5）通過帶木馬的磁盤/光盤傳播。4.3.2蠕蟲與木馬宏病毒

宏病毒是使用宏語言編寫的程序。宏病毒利用一些數(shù)據(jù)處理系統(tǒng)內(nèi)置宏命令的特性，把特定的宏命令代碼附加在指定的文件上，通過文件的打開或關(guān)閉來獲取系統(tǒng)的控制權(quán)，同時(shí)實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞，以實(shí)現(xiàn)傳染。網(wǎng)頁病毒

網(wǎng)頁病毒使用腳本語言編寫的惡意代碼，利用瀏覽器的漏洞來實(shí)現(xiàn)病毒植入。當(dāng)用戶登錄某些含有網(wǎng)頁病毒的網(wǎng)站時(shí)，網(wǎng)頁病毒便被悄悄激活，這些病毒一旦激活，可以利用系統(tǒng)的一些資源進(jìn)行破壞。其他病毒介紹

4.4計(jì)算機(jī)病毒制作與反病毒技術(shù)4.4.1計(jì)算機(jī)病毒的一般構(gòu)成4.4.2計(jì)算機(jī)病毒制作技術(shù)4.4.3病毒的檢測與查殺4.4.1計(jì)算機(jī)病毒的一般構(gòu)成1．安裝模塊病毒程序通過自身的程序?qū)崿F(xiàn)自啟動(dòng)并安裝到系統(tǒng)中，不同類型病毒程序用不同安裝方法。2．傳染模塊（1）傳染控制部分。病毒一般都有一個(gè)控制條件，一旦滿足這個(gè)條件就開始感染。例如，病毒先判斷某個(gè)文件是否是.EXE文件，如果是再進(jìn)行傳染，否則再尋找下一個(gè)文件；（2）傳染判斷部分。每個(gè)病毒程序都有一個(gè)標(biāo)記，在傳染時(shí)將判斷這個(gè)標(biāo)記，如果磁盤或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了；（3）傳染操作部分。在滿足傳染條件時(shí)進(jìn)行傳染操作。

3．破壞模塊計(jì)算機(jī)病毒的最終目的是進(jìn)行破壞，其破壞的基本手段就是刪除文件或數(shù)據(jù)。破壞模塊包括兩部分：一是激發(fā)控制，另一個(gè)就是破壞操作。4.4.2計(jì)算機(jī)病毒制作技術(shù)計(jì)算機(jī)病毒制作技術(shù)采用自加密技術(shù)采用變形技術(shù)采用特殊的隱形技術(shù)對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)反跟蹤技術(shù)4.4.3病毒的檢測與查殺病毒的檢測（1）特征代碼法（2）校驗(yàn)和法（3）行為監(jiān)測法（4）軟件模擬法4.4.3病毒的檢測與查殺1．特征代碼法從病毒程序中抽取一段獨(dú)一無二、足以代表該病毒特征的二進(jìn)制程序代碼，并將這段代碼作為判斷該病毒的依據(jù)，這就是所謂的病毒特征代碼。采用病毒特征代碼法的檢測工具，必須不斷更新病毒資料庫，否則檢測工具便會(huì)過期老化，逐漸失去實(shí)用價(jià)值。特征代碼法的優(yōu)點(diǎn)檢測準(zhǔn)確快速可識(shí)別病毒的名稱最簡單開銷最小缺點(diǎn)不能檢測未知病毒、變種病毒和隱蔽性病毒，需定期更新病毒資料庫，具有滯后性。4.4.3病毒的檢測與查殺2．校驗(yàn)和法校驗(yàn)和法是根據(jù)文件的內(nèi)容，計(jì)算其校驗(yàn)和，并將所有文件的校驗(yàn)和放在資料庫中。檢測時(shí)將文件現(xiàn)有內(nèi)容的校驗(yàn)和與資料庫中的校驗(yàn)和做比較，若不同則判斷為被感染病毒。運(yùn)用校驗(yàn)和法查病毒可以采用三種方式：

（1）在檢測病毒工具中加入校驗(yàn)和法。（2）在應(yīng)用程序中加入校驗(yàn)和自我檢查功能。

（3）將校驗(yàn)和檢查程序常駐內(nèi)存。4.4.3病毒的檢測與查殺3．行為監(jiān)測法行為監(jiān)測法是將病毒中比較特殊的共同行為歸納起來。當(dāng)程序運(yùn)行時(shí)監(jiān)視其行為，若發(fā)現(xiàn)類似病毒的行為，立即報(bào)警。4．軟件模擬法用程序代碼虛擬一個(gè)CPU、各個(gè)寄存器、硬件端口也虛擬出來，調(diào)入被調(diào)的“樣本”，通過內(nèi)存和寄存器以及端口的變化來了解程序的執(zhí)行情況。將病毒放到虛擬機(jī)中執(zhí)行，則病毒的傳染和破壞等動(dòng)作一定會(huì)被反映出來。4.4.3病毒的檢測與查殺病毒的預(yù)防與清除（1）安全地啟動(dòng)計(jì)算機(jī)系統(tǒng)（2）安全使用計(jì)算機(jī)系統(tǒng)（3）備份重要的數(shù)據(jù)（4）謹(jǐn)慎下載文件（5