計(jì)算機(jī)病毒與防范講義課件

第15章計(jì)算機(jī)病毒與防范隨著計(jì)算機(jī)在各行各業(yè)的大量應(yīng)用，計(jì)算機(jī)病毒也隨之滲透到計(jì)算機(jī)世界的每個(gè)角落，常以人們意想不到的方式侵入計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)病毒的流行引起了人們的普遍關(guān)注，成為影響計(jì)算機(jī)安全運(yùn)行的一個(gè)重要因素。隨著網(wǎng)絡(luò)的普及，計(jì)算機(jī)病毒的傳播速度大大提高了，傳播形式也有了新的變化。第15章計(jì)算機(jī)病毒與防范NetworkandInformationSecurity15.1計(jì)算機(jī)病毒簡(jiǎn)介15.1.1惡意代碼在討論計(jì)算機(jī)病毒之前，我們先看惡意代碼的分類情況。這些威脅可以分成兩類：需要宿主的程序和可以獨(dú)立運(yùn)行的程序。前者實(shí)際上是程序片段，它們不能脫離某些特定的應(yīng)用程序、應(yīng)用工具或系統(tǒng)程序而獨(dú)立存在；后者是完整的程序，操作系統(tǒng)可以調(diào)度和運(yùn)行它們。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范惡意代碼的分類

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.1.3計(jì)算機(jī)病毒的發(fā)展史DOS時(shí)代Windows時(shí)代3.Internet時(shí)代由于網(wǎng)絡(luò)的快速和便捷，網(wǎng)絡(luò)病毒的傳播是以幾何級(jí)數(shù)進(jìn)行的，其危害比以前的任何一種病毒都要大?，F(xiàn)在，計(jì)算機(jī)病毒有一個(gè)新的發(fā)展趨勢(shì)。利用漏洞進(jìn)行破壞性攻擊的病毒已經(jīng)逐漸不再唱主角了，電腦用戶安全的最大威脅已經(jīng)讓位于以經(jīng)濟(jì)利益為目的，以欺騙用戶為手段，嚴(yán)重干擾人們?nèi)粘９ぷ?、?shù)據(jù)安全和個(gè)人隱私的各類間諜、木馬、釣魚軟件。有報(bào)告顯示，這類軟件的危害已經(jīng)超越傳統(tǒng)病毒，成為互聯(lián)網(wǎng)安全最大的威脅。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.1.4計(jì)算機(jī)病毒的分類1.系統(tǒng)引導(dǎo)病毒系統(tǒng)引導(dǎo)病毒又稱引導(dǎo)區(qū)型病毒。直到20世紀(jì)90年代中期，引導(dǎo)區(qū)型病毒是最流行的病毒類型，主要通過軟盤在DOS操作系統(tǒng)里傳播。引導(dǎo)區(qū)型病毒侵染軟盤中的引導(dǎo)區(qū)，蔓延到用戶硬盤，并能侵染到用戶硬盤中的主引導(dǎo)記錄(也稱為主引導(dǎo)扇區(qū))。一旦硬盤中的引導(dǎo)區(qū)被病毒感染，病毒就試圖侵染每一個(gè)插入計(jì)算機(jī)的從事訪問的軟盤的引導(dǎo)區(qū)。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范2.文件型病毒文件型病毒是文件侵染者，也被稱為寄生病毒。它運(yùn)作在計(jì)算機(jī)存儲(chǔ)器里，通常它感染擴(kuò)展名為COM、EXE、DRV、BIN、OVL、SYS等的文件。每一次它們激活時(shí)，被感染文件把自身復(fù)制到其他文件中，并能在存儲(chǔ)器里保存很長(zhǎng)時(shí)間，直到病毒又被激活。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范5.網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒大體上可分為兩類：一類是局域網(wǎng)上的病毒；另一類就是隨著互聯(lián)網(wǎng)的興起產(chǎn)生的新的網(wǎng)絡(luò)病毒。這類新的病毒又可以根據(jù)提供的服務(wù)來細(xì)分?；ヂ?lián)網(wǎng)提供了眾多的服務(wù)，如WWW服務(wù)、電子郵件服務(wù)、文件傳輸服務(wù)等。病毒可以利用這些服務(wù)來傳播，因而可以把網(wǎng)絡(luò)病毒分為郵件病毒、網(wǎng)頁(yè)病毒、FTP病毒等。其中，郵件病毒在網(wǎng)絡(luò)病毒中占絕大多數(shù)。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.1.5計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒一般具有以下八個(gè)特點(diǎn)：破壞性、隱蔽性、潛伏性、傳染性、未經(jīng)授權(quán)而執(zhí)行、依附性、針對(duì)性、不可預(yù)見性。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.2.1計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒在結(jié)構(gòu)上有著共同性，一般由引導(dǎo)部分、傳染部分、表現(xiàn)部分三部分組成。1.引導(dǎo)部分：也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染部分做準(zhǔn)備。2.傳染部分：作用是將病毒代碼復(fù)制到目標(biāo)上去。一般病毒在對(duì)目標(biāo)進(jìn)行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經(jīng)感染過該目標(biāo)等，如CIH病毒只針對(duì)Windows95/98操作系統(tǒng)。3.表現(xiàn)部分：這是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會(huì)觸發(fā)其表現(xiàn)部分的。NetworkandInformationSecurity15.2計(jì)算機(jī)病毒的工作機(jī)理

第15章計(jì)算機(jī)病毒與防范15.2.3文件型病毒的工作機(jī)理文件型病毒的宿主不是引導(dǎo)區(qū)而是一些可執(zhí)行程序。病毒把自己附加在可執(zhí)行文件中，并等待程序運(yùn)行。病毒會(huì)駐留在內(nèi)存中，企圖感染其它文件。同引導(dǎo)扇區(qū)病毒不同，文件型病毒把自己附著或追加在EXE和COM這樣的可執(zhí)行文件上。根據(jù)附著類型不同可分為三種文件病毒：覆蓋型、前后附加型和伴隨型文件病毒。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范1.覆蓋型病毒簡(jiǎn)單地把自己覆蓋到原始文件代碼上，顯然這會(huì)完全摧毀該文件，所以這種病毒比較容易被發(fā)現(xiàn)。當(dāng)用戶運(yùn)行該文件時(shí)，病毒代碼就會(huì)得到運(yùn)行，而原始文件則不能正常運(yùn)行?，F(xiàn)在有些新型病毒可以覆蓋那些不影響宿主程序運(yùn)行的那部分代碼，人們也就不容易發(fā)現(xiàn)這種病毒。覆蓋病毒的優(yōu)勢(shì)就是不改變文件長(zhǎng)度，使原始文件看起來正常，但殺毒程序還是可以檢測(cè)到這種病毒代碼的存在。2.前后附加型病毒前附加型病毒把自己附加在文件的開始部分，后附加型正好相反。這種病毒會(huì)增加文件的長(zhǎng)度。也就容易被檢測(cè)和發(fā)現(xiàn)，并被清除。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范3.伴隨型文件病毒為EXE文件創(chuàng)建一個(gè)同名的含有病毒代碼的COM文件。由于同名時(shí)COM文件先于EXE文件運(yùn)行，因此當(dāng)有人運(yùn)行EXE文件時(shí)，控制權(quán)就會(huì)轉(zhuǎn)到COM文件上，病毒代碼就得以運(yùn)行。它執(zhí)行完之后，再將控制權(quán)轉(zhuǎn)到EXE文件，這樣用戶不會(huì)發(fā)現(xiàn)任何問題。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范宏病毒的傳播方法與其它病毒不同，在我們的Office目錄下，有一個(gè)“Templates”目錄，里面有一個(gè)Normal.dot文件，這個(gè)文件就是Word的常規(guī)模板文件，每次我們啟動(dòng)Word的時(shí)候，該文件都會(huì)先被Word啟動(dòng)并執(zhí)行里面的VBA語(yǔ)句(宏語(yǔ)句)。通常來說，一般用戶的Normal.dot里面是沒有VBA語(yǔ)句的，畢竟不是每個(gè)人都會(huì)編寫VBA。因此，大多數(shù)宏病毒都會(huì)采用感染Normal.dot的方法，把自身的惡意VBA語(yǔ)句復(fù)制到Normal.dot里面，使Word每次啟動(dòng)時(shí)都執(zhí)行里面的惡意VBA語(yǔ)句，并將自己的代碼復(fù)制到其它Word文檔里面，以達(dá)到傳染的目的。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.2.5網(wǎng)絡(luò)病毒的工作機(jī)理以下將以典型的RemoteExplorer(遠(yuǎn)程探險(xiǎn)者)病毒為例進(jìn)行分析。該病毒僅在WindowsNTServer和WindowsNTWorkstation平臺(tái)上起作用，專門感染EXE文件。RemoteExplorer的破壞作用主要表現(xiàn)在：加密某些類型的文件，使其不能再用，并且能夠通過局域網(wǎng)或廣域網(wǎng)進(jìn)行傳播。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.3.1CIH病毒CIH病毒從分類來說屬于文件型病毒(只感染W(wǎng)indows9X下的可執(zhí)行文件)。CIH攻擊的就是用戶的主板，發(fā)作時(shí)有兩個(gè)癥狀：一個(gè)是擦除ROMBIOS中的數(shù)據(jù)(當(dāng)然也包括其中的程序)；另一個(gè)是從硬盤的主引導(dǎo)區(qū)開始做低級(jí)格式化。一旦ROMBIOS中的程序被破壞了，那么計(jì)算機(jī)連開機(jī)自檢、系統(tǒng)引導(dǎo)都無法進(jìn)行了，更不用說啟動(dòng)操作系統(tǒng)了。因此計(jì)算機(jī)被破壞后，企圖象往常一樣格式化硬盤，重裝操作系統(tǒng)是不可能的。數(shù)據(jù)丟失造成的損失先不管，僅僅恢復(fù)計(jì)算機(jī)的正常工作就是非常困難的。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.3常見的計(jì)算機(jī)病毒

RPC服務(wù)終止的對(duì)話框NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范2004年5月1日，“震蕩波”病毒出現(xiàn)了。該病毒可利用Windows平臺(tái)的Lsass漏洞進(jìn)行廣泛的傳播。中毒后的系統(tǒng)將開啟上百個(gè)線程去攻擊網(wǎng)上其他的用戶，可造成機(jī)器運(yùn)行緩慢、網(wǎng)絡(luò)堵塞，并讓系統(tǒng)不停的進(jìn)行倒計(jì)時(shí)重啟。其中毒現(xiàn)象非常類似于2003年的“沖擊波”。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范兩大惡性病毒的四大區(qū)別：1.利用的漏洞不同：沖擊波病毒利用的是系統(tǒng)的RPC漏洞，病毒攻擊系統(tǒng)時(shí)會(huì)使RPC服務(wù)崩潰，震蕩波病毒利用的是系統(tǒng)的LSASS服務(wù)。2.產(chǎn)生的文件不同：沖擊波病毒運(yùn)行時(shí)會(huì)在內(nèi)存中產(chǎn)生名為msblast.exe的進(jìn)程，在系統(tǒng)目錄中產(chǎn)生名為msblast.exe的病毒文件，震蕩波病毒運(yùn)行時(shí)會(huì)在內(nèi)存中產(chǎn)生名為avserve.exe的進(jìn)程，在系統(tǒng)目錄中產(chǎn)生名為avserve.exe的病毒文件。3.利用的端口不同：沖擊波病毒會(huì)監(jiān)聽端口69,模擬出一個(gè)TFTP服務(wù)器，并啟動(dòng)一個(gè)攻擊傳播線程,不斷地隨機(jī)生成攻擊地址，嘗試用有RPC漏洞的135端口進(jìn)行傳播。震蕩波病毒會(huì)在本地開辟后門，監(jiān)聽TCP的5554端口，然后做為FTP服務(wù)器等待遠(yuǎn)程控制命令，并瘋狂地試探連接445端口。4.攻擊目標(biāo)不同：沖擊波病毒攻擊所有存在RPC漏洞的電腦和微軟升級(jí)網(wǎng)站，而震蕩波病毒攻擊的是所有存在LSASS漏洞的電腦，但目前還未發(fā)現(xiàn)有攻擊其它網(wǎng)站的現(xiàn)象。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.4計(jì)算機(jī)病毒的預(yù)防和清除

關(guān)于計(jì)算機(jī)病毒的預(yù)防，應(yīng)該用兩種手段：一是管理手段，二是技術(shù)手段，二缺一不可。15.4.1病毒發(fā)作時(shí)常見的現(xiàn)象（1）程序裝入時(shí)間比平時(shí)長(zhǎng)，運(yùn)行異常；（2）有規(guī)律的發(fā)現(xiàn)異常信息；（3）用戶訪問設(shè)備(例如打印機(jī))時(shí)發(fā)現(xiàn)異常情況，如打印機(jī)不能聯(lián)機(jī)或打印符號(hào)異常；（4）磁盤的空間突然變小了，或不識(shí)別磁盤設(shè)備；（5）程序和數(shù)據(jù)神秘地丟失了，文件名不能辨認(rèn)；（6）顯示器上經(jīng)常出現(xiàn)一些莫名其妙的信息或異常顯示（如白斑、圓點(diǎn)等）；（7）機(jī)器經(jīng)常出現(xiàn)死機(jī)現(xiàn)象或不能正常啟動(dòng)；（8）發(fā)現(xiàn)可執(zhí)行文件的大小發(fā)生變化或發(fā)現(xiàn)不知來源的隱藏文件。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.4.2Word宏病毒的防范和清除（1）對(duì)于已染病毒的NORMAL.DOT文件，首先應(yīng)將NORMAL.DOT中的自動(dòng)宏清除，然后將NORMAL.DOT置成只讀方式。（2）對(duì)于其它已感染病毒的文件均應(yīng)將自動(dòng)宏清除，這樣就可以達(dá)到清除病毒的目的。（3）平時(shí)使用時(shí)要加強(qiáng)防范：定期檢查活動(dòng)宏表，對(duì)來歷不明的宏最好予以刪除；如果發(fā)現(xiàn)后綴為.DOC的文件變成模板（.DOT）時(shí)，則可懷疑其已染宏病毒，其主要表現(xiàn)是在SaveAs文檔時(shí)，選擇文件類型的下拉框變?yōu)榛疑＃?）在啟動(dòng)Word、創(chuàng)建文檔、打開文檔、關(guān)閉文檔以及退出Word時(shí)，按住SHIFT鍵可以阻止自動(dòng)宏的運(yùn)行。（5）存儲(chǔ)一個(gè)文檔時(shí)，務(wù)必明確指定該文檔的擴(kuò)展名。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.5.2江民殺毒軟件2005年9月6日，江民科技隆重發(fā)布了其KV2006新品，KV2006是能夠兼容32位操作系統(tǒng)的64位殺毒軟件，并在KV2005系統(tǒng)級(jí)殺毒、主動(dòng)防御未知病毒以及諸多強(qiáng)大功能的基礎(chǔ)上，新增了BOOTSCAN殺毒技術(shù)、64位智能殺毒、插入移動(dòng)設(shè)備自動(dòng)查毒、系統(tǒng)漏洞檢查、垃圾郵件識(shí)別等10項(xiàng)強(qiáng)大功能。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.5.3金山毒霸2005年12月6日，國(guó)內(nèi)著名安全廠商金山軟件正式