計算機病毒概論

計算機病毒概論第1頁，課件共23頁，創(chuàng)作于2023年2月本章概要

病毒、惡意代碼和垃圾郵件是計算機系統(tǒng)中常見的安全威脅。這些安全威脅有以下共性：它們都是來自網絡以外；它們使用或破壞計算機資源；它們通常在用戶不知情或無意的情況下進入計算機系統(tǒng)。2第2頁，課件共23頁，創(chuàng)作于2023年2月課程目標通過本章的學習，讀者應能夠：定義惡意代碼；描述惡意代碼的一般特征；識別幾種計算機惡意代碼并能列舉范例；識別幾種特殊類型惡意代碼并了解其特性；解釋各種類型的惡意代碼是如何進入計算機系統(tǒng)，以及是如何在計算機系統(tǒng)中傳播的；了解可能感染惡意代碼的系統(tǒng)所表現(xiàn)出的常見癥狀或行為。3第3頁，課件共23頁，創(chuàng)作于2023年2月9.1什么是病毒？

惡意代碼或Malware，是一個可以中斷或破壞計算機網絡的程序或代碼。一些惡意代碼可以將自己附在宿主程序或文件中，而另一些惡意代碼則是獨立的。雖然一些惡意代碼破壞力很小，但大多數(shù)破壞類型的惡意代碼可能會降低系統(tǒng)運行速度，造成數(shù)據(jù)丟失和文件毀壞，注冊表和配置文件被修改，或為攻擊者創(chuàng)造條件，使其可以繞過系統(tǒng)的安全程序。

提示：病毒是惡意代碼的一種形式。然而，病毒有某些其他類型惡意代碼所沒有的屬性。例如，他們只感染可執(zhí)行程序，不像其他惡意代碼可能是獨立的程序或能夠感染數(shù)據(jù)文件。此外，病毒有許多不同類型；所以為了區(qū)分明確，我們將病毒作為單獨的一個計算機威脅類型在第10章中討論。4第4頁，課件共23頁，創(chuàng)作于2023年2月9.2病毒簡史20世紀60年代初，美國貝爾實驗室里，三位年輕的程序員編寫了一個名為“磁芯大戰(zhàn)”的游戲，游戲中通過復制自身來擺脫對方的控制，這就是所謂“病毒”的第一個雛形。

20世紀70年代，美國作家雷恩在其出版的《P1的青春》一書中構思了一種能夠自我復制的計算機程序，并第一次稱之為“計算機病毒”。

1983年11月，在國際計算機安全學術研討會上，美國計算機專家首次將病毒程序在VAX/750計算機上進行了實驗，世界上第一個計算機病毒就這樣出生在實驗室中。5第5頁，課件共23頁，創(chuàng)作于2023年2月

20世紀80年代后期，巴基斯坦有兩個以編軟件為生的兄弟，他們?yōu)榱舜驌裟切┍I版軟件的使用者，設計出了一個名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導。這就是最早在世界上流行的一個真正的病毒。

1988年至1989年，我國也相繼出現(xiàn)了也能感染硬盤和軟盤引導區(qū)的Stoned(石頭)病毒，該病毒體代碼中有明顯的標志“YourPCisnowstoned！”、“LEGALISEMARIJUANA！”，也稱為“大麻”病毒等。該病毒感染軟硬盤0面0道1扇區(qū)，并修改部分中斷向量表。6第6頁，課件共23頁，創(chuàng)作于2023年2月

該病毒不隱藏也不加密自身代碼，所以很容易被查出和解除。類似這種特性的還有“小球”、Azusa/Hong－Kong/2708、Michaelangelo，這些都是從國外傳染進來的。而國產的有Bloody、Torch、DiskKiller等病毒，實際上它們大多數(shù)是Stoned病毒的翻版。

20世紀90年代初，感染文件的病毒有Jerusalem(黑色13號星期五)、YankeDoole、Liberty、1575、Traveller、1465、2062，4096等，主要感染.COM和.EXE文件。這類病毒修改了部分中斷向量表，被感染的文件明顯的增加了字節(jié)數(shù)，并且病毒代碼主體沒有加密，也容易被查出和解除。7第7頁，課件共23頁，創(chuàng)作于2023年2月

這些病毒中，略有對抗反病毒手段的只有YankeeDoole病毒，當它發(fā)現(xiàn)你用Debug工具跟蹤它的話，它會自動從文件中逃走。接著，又一些能對自身進行簡單加密的病毒相繼出現(xiàn)，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它們加密的目的主要是防止跟蹤或掩蓋有關特征等。在內存有1741病毒時，用DIR列目錄表，病毒會掩蓋被感染文件所增加的字節(jié)數(shù)，使看起來字節(jié)數(shù)很正常。而1345－64185病毒卻每傳染一個目標就增加一個宇節(jié)，增到64185個字節(jié)時，文件就被破壞。8第8頁，課件共23頁，創(chuàng)作于2023年2月

以后又出現(xiàn)了引導區(qū)、文件型“雙料”病毒，這類病毒既感染磁盤引導區(qū)、又感染可執(zhí)行文件，常見的有Flip/Omicron、XqR(Newcentury)、Invader/侵入者、Plastique/塑料炸彈、3584/鄭州(狼)、3072(秋天的水)、ALFA/3072－2、Ghost/OneHalf/3544(幽靈)、Natas幽靈王)、TPVO/3783等，如果只解除了文件上的病毒，而沒解除硬盤主引導區(qū)的病毒，系統(tǒng)引導時又將病毒調入內存，會重新感染文件。如果只解除了主引導區(qū)的病毒，而可執(zhí)行文件上的病毒沒解除，一執(zhí)行帶毒的文件時，就又將硬盤主引導區(qū)感染。9第9頁，課件共23頁，創(chuàng)作于2023年2月Flip/Omicron(顛倒)、XqR(Newcentury新世紀)這兩種病毒都設計有對抗反病毒技術的手段，F(xiàn)lip(顛倒)病毒對其自身代碼進行了隨機加密，變化無窮，使絕大部分病毒代碼與前一被感染目標中的病毒代碼幾乎沒有三個連續(xù)的字節(jié)是相同的，該病毒在主引導區(qū)只潛藏了少量的代碼，病毒另將自身全部代碼潛藏于硬盤最后6個扇區(qū)中，并將硬盤分區(qū)表和DOS引導區(qū)中的磁盤實用扇區(qū)數(shù)減少了6個扇區(qū)，所以再次啟動系統(tǒng)后，硬盤的實用空間就減少了6個扇區(qū)。這樣，原主引導記錄和病毒主程序就保存在硬盤實用扇區(qū)外，避免了其他程序的覆蓋，而且用Debug的L命令也不能調出查看，就是用Format進行格式化也不能消除病毒，可見，病毒編制者用意深切！與此相似的還有Denzuko病毒。10第10頁，課件共23頁，創(chuàng)作于2023年2月

XqR(Newcentury新世紀)病毒也有它更狡猾的一面，它監(jiān)視著INT13、INT21中斷有關參數(shù)，當你要查看或搜索被其感染了的主引導記錄時，病毒就調換出正常的主引導記錄給你查看或讓你搜索，使你認為一切正常，病毒卻蒙混過關。病毒的這種對抗方法，我們在此稱為：病毒在內存時，具有“反串”(反轉)功能。這類病毒還有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽靈)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、3783病毒等，現(xiàn)在的新病毒越來越多的使用這種功能來對抗安裝在硬盤上的抗病毒軟件，但用無病毒系統(tǒng)軟盤引導機器后，病毒就失去了“反串”(反轉)功能。

1345、1820、PCTCOPY－2000病毒卻直接隱藏在COMMAND.COM文件內的空閑(0代碼)部位，從外表上看，文件一個字節(jié)也沒增加。11第11頁，課件共23頁，創(chuàng)作于2023年2月

INT60(0002)病毒隱藏的更加神秘，它不修改主引導記錄，只將硬盤分區(qū)表修改了兩個字節(jié)，使那些只檢查主引導記錄的程序認為完全正常，病毒主體卻隱藏在這兩個字節(jié)指向的區(qū)域。硬盤引導時，ROM-BIOS程序糊里糊涂的按這兩個字節(jié)的引向，將病毒激活。病毒太狡猾了，只需兩個字節(jié)，就可以牽著機器的鼻子走！

Monkey(猴子)、PC_LOCK(加密鎖)病毒將硬盤分區(qū)表加密后再隱藏起來，如果輕易將硬盤主引導記錄更換，或用FDISK/MBR格式輕易將硬盤主引導記錄更換，那么，就再進不了硬盤了，數(shù)據(jù)也取不出來了，所以，不要輕易使用FDISK/MBR格式。12第12頁，課件共23頁，創(chuàng)作于2023年2月1992年以來，DIR2－3、DIR2－6、NEWDIR2病毒以一種全新的面貌出現(xiàn)，具有極強感染力，無任何表現(xiàn)，不修改中斷向量表，而直接修改系統(tǒng)關鍵中斷的內核，修改可執(zhí)行文件的首簇數(shù)，將文件名字與文件代碼主體分離。在系統(tǒng)有此病毒的情況下，一切就像沒發(fā)生一樣；而當系統(tǒng)無病毒時，此時用無病毒的文件去覆蓋有病毒的文件幟丫突岱⑸趟斜桓腥鏡目芍蔥形募諶荻際歉嶄哺墻サ奈募諶。這是病毒“我死你也活不成”的罪惡伎倆。該病毒的出現(xiàn)，使病毒又多了一種新類型。

20世紀內，絕大多數(shù)病毒是基于DOS系統(tǒng)的，有80％的病毒能在Windows中傳染。TPVO/3783病毒是“雙料性”、(傳染引導區(qū)、文件)“雙重性”(DOS、Windows)病毒，這是病毒隨著操作系統(tǒng)發(fā)展而發(fā)展。當然，Internet的廣泛應用，Java惡意代碼病毒也出現(xiàn)了。13第13頁，課件共23頁，創(chuàng)作于2023年2月

腳本病毒“HAPPYTIME(快樂時光)”是一種傳染能力非常強的病毒。該病毒利用體內VBScript代碼在本地的可執(zhí)行性(通過WindowsScriptHost進行)，對當前計算機進行感染和破壞。即，一旦我們將鼠標箭頭移到帶有HAPPYTIME病毒體的郵件名上時，不必打開信件，就將受到HAPPYTIME病毒的感染，該病毒傳染能力很強。14第14頁，課件共23頁，創(chuàng)作于2023年2月

近幾年，出現(xiàn)了近萬種Word(MACRO宏)病毒，并以迅猛的勢頭發(fā)展，已形成了病毒的另一大派系。由于宏病毒編寫容易，不分操作系統(tǒng)，再加上Internet網上用Word格式文件進行大量的交流，宏病毒會潛伏在這些Word文件里，被人們在Internet網上傳來傳去。早在1995年時，出現(xiàn)了一個更危險的信號，病毒專家在對眾多的病毒剝析中，發(fā)現(xiàn)部分病毒好像出于一個家族，其“遺傳基因”相同，簡單的說是“同族”病毒。但絕不是其他好奇者簡單的修改部分代碼而產生的“改形”病毒。15第15頁，課件共23頁，創(chuàng)作于2023年2月“改形”病毒的定義與“原種”病毒的代碼長度相差不大，絕大多數(shù)病毒代碼與“原種”的代碼相同，并且相同的代碼其位置也相同，否則就是一種新的病毒。大量具有相同“遺傳基因”的“同族”病毒的涌現(xiàn)，使人不得不懷疑“病毒生產機”軟件已出現(xiàn)。1996年下半年在國內終于發(fā)現(xiàn)了“G2、IVP、VCL”三種“病毒生產機軟件”，不法之徒，可以用來編出千萬種新病毒。目前國際上已有上百種“病毒生產機”軟件。16第16頁，課件共23頁，創(chuàng)作于2023年2月

這種“病毒生產機”軟件可不用絞盡腦汁的去編程序，便會輕易的自動生產出大量的“同族”新病毒。這些病毒代碼長度各不相同，自我加密、解密的密鑰也不相同，原文件頭重要參數(shù)的保存地址不同，病毒的發(fā)作條件和現(xiàn)象不同，但是，這些病毒的主體構造和原理基本相同。“病毒生產機”軟件，其“規(guī)格”有專門能生產變形病毒的、有專門能生產普通病毒的。目前，國內發(fā)現(xiàn)的、或有部分變形能力的病毒生產機有“G2、IVP、VCL病毒生產機等十幾種。具備變形能力的有CLME、DAME－SP/MTE病毒生產機等。它們生產的病毒都有“遺傳基因”于相同的特點。沒有廣譜性能的查毒軟件，只能是知道一種，查一種，難于應付“病毒生產機”生產出的大量新病毒。17第17頁，課件共23頁，創(chuàng)作于2023年2月

據(jù)某報報導，香港地區(qū)已有人也模仿歐美的MutationEneine(變形金剛病毒生產機)軟件編寫出了一種稱為CLME(CrazyLordMutationEneine)即“瘋狂貴族變形金剛病毒生產機”，已放出了幾種變形病毒，其中一種名為CLME.1528。國內也發(fā)現(xiàn)了一種名為CLME.1996、DAME－SP/MTE的病毒。更令人可惡的是，編程者公然在BBS站和國際互聯(lián)網Internet中慫恿他人下傳。“病毒生產機”的存在，隨時存在著“病毒暴增”的危機！危機一個接一個，網絡蠕蟲病毒I－WORM.AnnaKournikova就是一種VBS/I-WORM病毒生產機生產的，它一出來，短時間內就傳遍了全世界。這種病毒生產機也傳到了我國。

Windows9x、Windows2000操作系統(tǒng)的發(fā)展，也使病毒種類和樣隨其變化而變化。18第18頁，課件共23頁，創(chuàng)作于2023年2月1999年2月，“美麗莎”病毒席卷歐美大陸，是世界上最大的一次病毒浩劫，也是最大的一次網絡蠕蟲大泛濫。

1998年2月，臺灣省的陳盈豪編寫出破壞性極大的Windows惡性病毒CIH-1.2版，并定于每年的4月26日發(fā)作破壞，然后，悄悄的潛伏在網上的一些供人下載的軟件中。

1999年4月26日，一個計算機行業(yè)難以忘卻的日子，也就是到了CIH－1.2病毒第二年的發(fā)作日，人們早晨上班打開計算機準備工作時，發(fā)現(xiàn)計算機屏幕一閃，接著就黑暗一片。再打開另外幾臺，也同樣一閃后就再也啟動不起來了……計算機史上，病毒造成的又一次巨大的浩劫發(fā)生了。隨著Internet網的發(fā)展，使病毒傳播更加方便、更加廣泛，網絡蠕蟲病毒已成為病毒主力，這應使我們嚴加防范。19第19頁，課件共23頁，創(chuàng)作于2023年2月

最早的網絡蠕蟲病毒作者是美國的小莫里斯，他編寫的蠕蟲病毒是在美國軍方的局域網內活動，但是，必需事先獲取局域網的權限和口令。世界性的第一個大規(guī)模在Internet網上傳播的網絡蠕蟲病毒是1998年底的Happy99網絡蠕蟲病毒，當你在網上向外發(fā)出信件時，HAPPY99網絡蠕蟲病毒會代替你的信件或隨你的信件從網上傳到發(fā)信的目標地，當1月1日到來時，收件人一執(zhí)行便會在屏幕上不斷爆發(fā)出絢麗多彩的禮花，然后機器就再也不干了。

1999年3月，歐美爆發(fā)了“Melissa”網絡蠕蟲宏病毒，歐美最大的一些網站頻頻遭受到堵塞，造成巨大經濟損失。

2000年至今，是網絡蠕蟲在互聯(lián)網上的泛濫期。20第20頁，課件共23頁，創(chuàng)作于2023年2月9.3病毒危害

計算機病毒的危害主要表現(xiàn)在3個方面，一是破壞文件或