第十章計算機病毒及防治

第十章計算機病毒及防治10.1計算機病毒概述10.2

DOS環(huán)境下的病毒10.3宏病毒10.4網(wǎng)絡計算機病毒10.5反病毒技術10.6軟件防病毒技術10.7典型病毒實例——CIH病毒介紹10.1計算機病毒概述一、計算機病毒的定義二、計算機病毒的發(fā)展歷史三、計算機病毒的分類四、計算機病毒的特點五、計算機病毒的隱藏之處和入侵途徑六、現(xiàn)代計算機病毒的流行特征七、計算機病毒的破壞行為八、計算機病毒的作用機制一、計算機病毒的定義“計算機病毒”最早是由美國計算機病毒研究專家F.Cohen博士提出的?！坝嬎銠C病毒”有很多種定義，國外最流行的定義為：計算機病毒，是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。二、計算機病毒的發(fā)展歷史1．計算機病毒發(fā)展簡史

世界上第一例被證實的計算機病毒是在1983年，出現(xiàn)了計算機病毒傳播的研究報告。同時有人提出了蠕蟲病毒程序的設計思想；1984年，美國人Thompson開發(fā)出了針對UNIX操作系統(tǒng)的病毒程序。

1988年11月2日晚，美國康爾大學研究生羅特·莫里斯將計算機病毒蠕蟲投放到網(wǎng)絡中。該病毒程序迅速擴展，造成了大批計算機癱瘓，甚至歐洲聯(lián)網(wǎng)的計算機都受到影響，直接經(jīng)濟損失近億美元。

2．計算機病毒在中國的發(fā)展情況

在我國，80年代末，有關計算機病毒問題的研究和防范已成為計算機安全方面的重大課題。1982年“黑色星期五”病毒侵入我國；1985年在國內(nèi)發(fā)現(xiàn)更為危險的“病毒生產(chǎn)機”，生存能力和破壞能力極強。這類病毒有1537、CLME等。進入90年代，計算機病毒在國內(nèi)的泛濫更為嚴重。CIH病毒是首例攻擊計算機硬件的病毒，它可攻擊計算機的主板，并可造成網(wǎng)絡的癱瘓。二、計算機病毒的發(fā)展歷史3．計算機病毒發(fā)展的10個階段（1）DOS引導階段

（2）DOS可執(zhí)行文件階段

（3）混合型階段

（4）伴隨型階段

（5）多形型階段

（6）生成器，變體機階段

（7）網(wǎng)絡，蠕蟲階段

（8）Windows階段

（9）宏病毒階段

（10）Internet階段

二、計算機病毒的發(fā)展歷史三、計算機病毒的分類病毒種類眾多，分類如下：1．按傳染方式分為引導型、文件型和混合型病毒2．按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒3．按破壞性可分為良性病毒和惡性病毒4．網(wǎng)絡病毒四、計算機病毒的特點

（1）刻意編寫，人為破壞

（2）自我復制能力

（3）奪取系統(tǒng)控制權(quán)

（4）隱蔽性

（5）潛伏性

（6）不可預見性

五、計算機病毒的隱藏之處和入侵途徑1．病毒的隱藏之處（1）可執(zhí)行文件。（2）引導扇區(qū)。（3）表格和文檔。

（4）Java小程序和ActiveX控件。2．病毒的入侵途徑

（1）傳統(tǒng)方法

（2）Internet六、現(xiàn)代計算機病毒的流行特征1．攻擊對象趨于混合型

2．反跟蹤技術

3．增強隱蔽性

4．加密技術處理

5．病毒繁衍不同變種

增強隱蔽性：（1）避開修改中斷向量值

（2）請求在內(nèi)存中的合法身份

（3）維持宿主程序的外部特性

（4）不使用明顯的感染標志

六、現(xiàn)代計算機病毒的流行特征加密技術處理：（1）對程序段動態(tài)加密

（2）對顯示信息加密

（3）對宿主程序段加密

六、現(xiàn)代計算機病毒的流行特征七、計算機病毒的破壞行為

（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)

（2）攻擊文件

（3）攻擊內(nèi)存

（4）干擾系統(tǒng)運行，使運行速度下降

（5）干擾鍵盤、喇叭或屏幕

（6）攻擊CMOS（7）干擾打印機

（8）網(wǎng)絡病毒破壞網(wǎng)絡系統(tǒng)

八、計算機病毒的作用機制

1．計算機病毒的一般構(gòu)成

2．計算機病毒的引導機制

3．計算機病毒的傳染機制

4．計算機病毒的破壞機制

一個引導病毒傳染的實例假定用硬盤啟動，且該硬盤已染上了小球病毒，那么加電自舉以后，小球病毒的引導模塊就把全部病毒代碼1024字節(jié)保護到了內(nèi)存的最高段，即97C0：7C00處；然后修改INT13H的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫軟磁盤的操作通過INT13H的作用，計算機病毒的傳染塊便率先取得控制權(quán)，它就進行如下操作：1）讀入目標軟磁盤的自舉扇區(qū)（BOOT扇區(qū)）。2）判斷是否滿足傳染條件。3）如果滿足傳染條件（即目標盤BOOT區(qū)的01FCH偏移位置為5713H標志），則將病毒代碼的前512字節(jié)寫入BOOT引導程序，將其后512字節(jié)寫入該簇，隨后將該簇標以壞簇標志，以保護該簇不被重寫。4）跳轉(zhuǎn)到原INT13H的入口執(zhí)行正常的磁盤系統(tǒng)操作。

一個文件病毒傳染的實例假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么運行該文件后，耶路撒冷病毒的引導模塊會修改INT21H的中斷向量，使之指向病毒傳染模塊，并將病毒代碼駐留內(nèi)存，此后退回操作系統(tǒng)。以后再有任何加載執(zhí)行文件的操作，病毒的傳染模塊將通過INT21H的調(diào)用率先獲得控制權(quán)，并進行以下操作：1）讀出該文件特定部分。2）判斷是否傳染。3）如果滿足條件，則用某種方式將病毒代碼與該可執(zhí)行文件鏈接，再將鏈接后的文件重新寫入磁盤。4）轉(zhuǎn)回原INT21H入口，對該執(zhí)行文件進行正常加載。計算機病毒的傳染過程計算機病毒的傳染過程1）駐入內(nèi)存。2）判斷傳染條件。3）傳染。

10.2

DOS環(huán)境下的病毒一、DOS基本知識介紹二、常見DOS病毒分析一、DOS基本知識介紹

1．DOS的基本結(jié)構(gòu)

2．DOS啟動過程

3．DOS的程序加載過程

4．DOS的中斷系統(tǒng)

1．DOS的基本結(jié)構(gòu)（1）引導記錄模塊

（2）基本輸入輸出管理模塊

（3）核心模塊

（4）SHELL模塊

2．DOS啟動過程PCX86系列計算機設計時，都使地址0FFFF0H處于ROM區(qū)中，并將該地址的內(nèi)容設計為一條跳轉(zhuǎn)指令并首先執(zhí)行它，這樣就將控制權(quán)交給了自檢程序和ROM引導裝入程序。啟動過程為：硬件自檢→自舉→系統(tǒng)初始化→內(nèi)核初始化→建立系統(tǒng)運行環(huán)境→COMMAND.COM初始化。3．DOS的程序加載過程（1）COMMAND處理命令的過程

（2）.EXE文件的加載

（3）.COM文件的加載

4．DOS的中斷系統(tǒng)（1）中斷向量表

（2）中斷響應過程

（3）計算機病毒經(jīng)常使用的中斷

多數(shù)病毒經(jīng)常使用磁盤服務中斷和時鐘中斷。1）ROMBIOS軟中斷INT13H。

2）磁盤邏輯扇區(qū)讀/寫中斷INT25H、INT26H。

3）間隔時鐘中斷INT1CH。

4）時鐘中斷INT8H。是ROMBIOS硬中斷，其向量地址為0000:0020H~0000:0023H。

5）屏幕顯示中斷INT10H。向量地址為0000:0040H~0000:0043H。

6）程序正常結(jié)束中斷INT20H。是DOS軟中斷，其向量地址為0000:0080~0000:0083H。

7）系統(tǒng)功能調(diào)用中斷INT21H。

二、常見DOS病毒分析1．引導記錄病毒

（1）引導型病毒的傳播、破壞過程

（2）引導型病毒實例：火炬病毒

2．文件型病毒（1）文件型病毒的類型（2）文件型病毒的感染方式

（3）.COM文件的感染

（4）.EXE文件的感染

（5）.SYS文件的感染

（a）引導型病毒（b）文件型病毒圖10.1病毒的傳播、破壞過程10.3宏病毒一、宏病毒的分類二、宏病毒的行為和特征三、宏病毒的特點四、宏病毒的防治和清除方法一、宏病毒的分類1．公（共）用宏病毒這類宏病毒對所有的Word文檔有效，其觸發(fā)條件是在啟動或調(diào)用Word文檔時，自動觸發(fā)執(zhí)行。它有兩個顯著的特點：1）只能用“Autoxxxx”來命名，即宏名稱是用“Auto”開頭，xxxx表示的是具體的一種宏文件名。如AutoOpen、AutoClose、AutoCopy等。2）它們一定要附加在Word共用模板上才有“公用”作用。通常在用戶不規(guī)定和另行編制其他的公用模板時，它們應是附加在Normal.dot模板上，或者首先要能將自己寫進這樣的模板才行。2．私用宏病毒私用宏病毒與公用宏病毒的主要區(qū)別是：前者一般放在用戶自定義的Word模板中，僅與使用這種模板的Word文檔有關，即只有使用這個特定模板的文檔，該宏病毒才有效，而對使用其他模板的文檔，私用宏病毒一般不起作用。一、宏病毒的分類二、宏病毒的行為和特征宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒?？梢栽赪indows、Windows95/98/NT、OS/2、MacintoshSystem7等操作系統(tǒng)上執(zhí)行病毒行為。

宏病毒的主要特征如下：1）宏病毒會感染.DOC文檔和.DOT模板文件。

2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。

3）多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。

4）宏病毒中總是含有對文檔讀寫操作的宏命令。5）宏病毒在.DOC文檔、.DOT模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。6）宏病毒具有兼容性。

二、宏病毒的行為和特征三、宏病毒的特點1．傳播極快

2．制作、變種方便3．破壞可能性極大

四、宏病毒的防治和清除方法Word宏病毒，是近年來被人們談論得最多的一種計算機病毒。與那些用復雜的計算機編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的編制、發(fā)作過程之后，即使是普通的計算機用戶，不借助任何殺毒軟件，就可以較好地對其進行防冶。

1．查看“可疑”的宏

2．按使用習慣編制宏

3．防備Autoxxxx宏

4．小心使用外來的Word文檔

5．使用選項“PrompttoSaveNormalTemplate”

6．通過Shift鍵來禁止運行自動宏

7．查看宏代碼并刪除

8．使用DisableAutoMarcros宏

9．使用OFFICE97的報警設置

10．設置Normal.dot的只讀屬性

11．Normal.dot的密碼保護

12．創(chuàng)建Payload宏

13．使用WordViewer或WordPad14．將文檔存儲為RTF格式

10.4網(wǎng)絡計算機病毒一、網(wǎng)絡計算機病毒的特點二、網(wǎng)絡對病毒的敏感性三、網(wǎng)絡病毒實例——電子郵件病毒一、網(wǎng)絡計算機病毒的特點

在網(wǎng)絡環(huán)境中，計算機病毒具有如下一些新的特點：（1）傳染方式多

（2）傳染速度快

（3）清除難度大

（4）破壞性強

（5）可激發(fā)性

（6）潛在性

二、網(wǎng)絡對病毒的敏感性1．網(wǎng)絡對文件病毒的敏感性2．網(wǎng)絡對引導病毒的敏感性3．網(wǎng)絡對宏病毒的敏感性1．網(wǎng)絡對文件病毒的敏感性（1）網(wǎng)絡服務器上的文件病毒

（2）端到端網(wǎng)絡上的文件病毒

（3）Internet上的文件病毒

2．網(wǎng)絡對引導病毒的敏感性（1）網(wǎng)絡服務器上的引導病毒

（2）端到端網(wǎng)絡上的引導病毒

（3）Internet上的引導病毒

3．網(wǎng)絡對宏病毒的敏感性（1）網(wǎng)絡服務器上的宏病毒

（2）端到端網(wǎng)絡上的宏病毒

（3）Internet上的宏病毒

三、網(wǎng)絡病毒實例——電子郵件病毒1．電子郵件病毒的特點（1）郵件格式不統(tǒng)一，殺毒困難

（2）傳播速度快，傳播范圍廣，破壞力大

2．電子郵件病毒的防范措施

1）首先，不要輕易打開陌生人來信中的附件文件。

2）對于比較熟悉、了解的朋友們寄來的信件，如果其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運行。

3）給別人發(fā)送程序文件甚至包括電子賀卡時，一定要先在自己的計算機中試試，確認沒有問題后再發(fā)，以免好心辦了壞事。

4）不斷完善“網(wǎng)關”軟件及病毒防火墻軟件，加強對整個網(wǎng)絡入口點的防范。5）使用優(yōu)秀的防毒軟件對電子郵件進行專門的保護。

6）使用防毒軟件同時保護客戶機和服務器。

7）使用特定的SMTP殺毒軟件。

三、網(wǎng)絡病毒實例——電子郵件病毒10.5反病毒技術一、計算機病毒的檢測二、計算機病毒的防治三、計算機感染病毒后的修復一、計算機病毒的檢測1．異常情況判斷2．計算機病毒的檢查1．異常情況判斷計算機工作出現(xiàn)下列異常現(xiàn)象，則有可能感染了病毒：1）屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統(tǒng)很難退出或恢復。2）揚聲器發(fā)出與正常操作無關的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。3）磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇數(shù)目不斷增多，直到無法繼續(xù)工作。4）硬盤不能引導系統(tǒng)。5）磁盤上的文件或程序丟失。

6）磁盤讀/寫文件明顯變慢，訪問的時間加長。7）系統(tǒng)引導變慢或出現(xiàn)問題，有時出現(xiàn)“寫保護錯”提示。8）系統(tǒng)經(jīng)常死機或出現(xiàn)異常的重啟動現(xiàn)象。9）原來運行的程序突然不能運行，總是出現(xiàn)出錯提示。10）打印機不能正常啟動。1．異常情況判斷2．計算機病毒的檢查（1）檢查磁盤主引導扇區(qū)（2）檢查FAT表（3）檢查中斷向量（4）檢查可執(zhí)行文件（5）檢查內(nèi)存空間（6）根據(jù)特征查找二、計算機病毒的防治1．建立、健全法律和管理制度

2．加強教育和宣傳

3．采取更有效的技術措施

4．網(wǎng)絡計算機病毒的防治

采取更有效的技術措施（1）系統(tǒng)安全

（2）軟件過濾

（3）文件加密

（4）生產(chǎn)過程控制

（5）后備恢復

（6）其他有效措施

其他有效措施1）重要的磁盤和重要的帶后綴.COM和.EXE的文件賦予只讀功能，避免病毒寫到磁盤上或可執(zhí)行文件中。2）消滅傳染源。

3）建立程序的特征值檔案。4）嚴格內(nèi)存管理。5）嚴格中斷向量的管理。6）強化物理訪問控制措施7）一旦發(fā)現(xiàn)病毒蔓延，要采用可靠的殺毒軟件和請有經(jīng)驗的專家處理，必要時需報告計算機安全監(jiān)察部門，特別要注意不要使其繼續(xù)擴散。防范計算機網(wǎng)絡病毒的一些措施：1）在網(wǎng)絡中，盡量多用無盤工作站，不用或少用有軟驅(qū)的工作站。

2）在網(wǎng)絡中，要保證系統(tǒng)管理員有最高的訪問權(quán)限，避免過多地出現(xiàn)超級用戶。

3）對非共享軟件，將其執(zhí)行文件和覆蓋文件如*.COM、*.EXE、*.OVL等備份到文件服務器上，定期從服務器上拷貝到本地硬盤上進行重寫操作。4）接收遠程文件輸入時，一定不要將文件直接寫入本地硬盤，而應將遠程輸入文件寫到軟盤上，然后對其進行查毒，確認無毒后再拷貝到本地硬盤上。5）工作站采用防病毒芯片，這樣可防止引導型病毒。6）正確設置文件屬性，合理規(guī)范用戶的訪問權(quán)限。

7）建立健全的網(wǎng)絡系統(tǒng)安全管理制度，嚴格操作規(guī)程和規(guī)章制度，定期作文件備份和病毒檢測。

8）目前預防病毒最好的辦法就是在計算機中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。采用優(yōu)秀的網(wǎng)絡防病毒軟件，如LANProtect和LANClearforNetWare等。9）為解決網(wǎng)絡防病毒的要求，已出現(xiàn)了病毒防火墻，在局域網(wǎng)與Internet，用戶與網(wǎng)絡之間進行隔離。

三、計算機感染病毒后的修復1．修復引導記錄病毒（1）修復感染的軟盤（2）修復感染的主引導記錄（3）利用反病毒軟件修復2．修復可執(zhí)行文件病毒即使有經(jīng)驗的用戶也會認為修復文件病毒感染很困難。一般要先用殺病毒軟件殺毒，再用未感染的備份拷貝代替它，這是修復被感染程序文件的最有效途徑。如果得不到備份，反病毒程序一般使用它們的病毒掃描器組件檢測并修復感染的程序文件。如果文件被非覆蓋型病毒感染，那么這個程序很可能會被修復。三、計算機感染病毒后的修復10.6軟件防病毒技術一、防、殺毒軟件的選擇二、反病毒軟件三、常用反病毒軟件產(chǎn)品一、防、殺毒軟件的選擇1．防、殺毒軟件的選購指標

2．上網(wǎng)一族常用的防、殺毒軟件

3．著名殺毒軟件公司的站點地址

1．防、殺毒軟件的選購指標（1）掃描速度

（2）識別率

（3）病毒清除測試

2．上網(wǎng)一族常用的防、殺毒軟件Command'sF－PROT專業(yè)版ForWin95。NortonAntiVirusForWin95。NortonAntiVirusForWinNT。PC－CillinAnti－VirusForWin95。VirusScanForWin95。WebScanXForWin95或NT。eSafeProtectForWin95等等。3．著名殺毒軟件公司的站點地址表8.1著名殺毒軟件公司的網(wǎng)址二、反病毒軟件1．病毒掃描程序

2．內(nèi)存掃描程序

3．完整性檢查器

4．行為監(jiān)視器

1．病毒掃描程序（1）串掃描算法

（2）入口點掃描算法

（3）類屬解密法

2．內(nèi)存掃描程序內(nèi)存掃描程序采用與病毒掃描程序同樣的基本原理進行工作。它的工作是掃描內(nèi)存以搜索內(nèi)存駐留文件和引導記錄病毒。盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內(nèi)存中隱藏自己。因此內(nèi)存掃描程序可以直接搜索內(nèi)存，查找病毒代碼。如果一個反病毒產(chǎn)品不使用內(nèi)存掃描，其病毒檢測技術是很不完善的，很可能漏查、漏殺某些病毒。3．完整性檢查器完整性檢查器的工作原理基于如下的假設：在正常的計算機操作期間，大多數(shù)程序文件和引導記錄不會改變。這樣，計算機在未感染狀態(tài)，取得每個可執(zhí)行文件和引導記錄的信息指紋，將這一信息存放在硬盤的數(shù)據(jù)庫中。

完整性檢查器是一種強有力的防病毒保護方式。因為幾乎所有的病毒都要修改可執(zhí)行文件引導記錄，包括新的未發(fā)現(xiàn)的病毒，所以它的檢測率幾乎百分之百。引起完整性檢查器失效的可能有：有些程序執(zhí)行時必須要修改它自己；對已經(jīng)被病毒感染的系統(tǒng)再使用這種方法時，可能遭到病毒的蒙騙等。4．行為監(jiān)視器行為監(jiān)視器又叫行為監(jiān)視程序，它是內(nèi)存駐留程序，這種程序靜靜地在后臺工作，等待病毒或其他有惡意的損害活動。如果行為監(jiān)視程序檢測到這類活動，它就會通知用戶，并且讓用戶決定這一類活動是否繼續(xù)。三、常用反病毒軟件產(chǎn)品

隨著世界范圍內(nèi)計算機病毒的大量流行，病毒編制花樣不斷變化，反病毒軟件也在經(jīng)受一次又一次考驗，各種反病毒產(chǎn)品也在不斷地推陳出新、更新?lián)Q代。這些產(chǎn)品的特點表現(xiàn)為技術領先、誤報率低、殺毒效果明顯、界面友好、良好的升級和售后服務技術支特、與各種軟硬件平臺兼容性好等方面。常用的反病毒軟件有KV3000、瑞星（2001版）等。10.7典型病毒實例——CIH病毒介紹一、CIH病毒簡介二、恢復被CIH病毒破壞的硬盤信息三、CIH病毒的免疫一、CIH病毒簡介1．CIH病毒分析CIH病毒是迄今為止發(fā)現(xiàn)的最陰險、危害最大的病毒之一。它發(fā)作時不僅破壞硬盤的引導扇區(qū)和分區(qū)表，而且破壞計算機系統(tǒng)FLASHBIOS芯片中的系統(tǒng)程序，導致主板損壞。2．CIH病毒發(fā)作時的現(xiàn)象CIH病毒發(fā)作時，將用凌亂的信息覆蓋硬盤主引導區(qū)和系統(tǒng)BOOT區(qū)，改寫硬盤數(shù)據(jù)，破壞FLASHBIOS，用隨機數(shù)填充FLASH內(nèi)存，導致機器無法運行。所以該病毒發(fā)作時僅會破壞可升級主板的FLASHBIOS。二、恢復被CIH病毒破壞的硬盤信息1．修復硬盤分區(qū)表信息

2．恢復C分區(qū)上的數(shù)據(jù)

3．查殺CIH病毒后的遺留問題

1．修復硬盤分區(qū)表信息1）準備一張無病毒的啟動盤，注意要根據(jù)原有操作系統(tǒng)及分區(qū)情況制作FAT16或FA