第3章-計算機病毒課件

第3章計算機病毒計算機病毒定義計算機病毒的特征計算機病毒的分類計算機病毒的命名計算機病毒的邏輯結(jié)構(gòu)計算機病毒的工作流程和工作機制計算機病毒的防治提綱：2024/1/62第3章計算機病毒重點：2024/1/63第3章計算機病毒計算機病毒的基本概念1計算機病毒的工作流程、機制2計算機病毒的防治技術(shù)3由生物醫(yī)學上的“病毒”一詞借用而來與生物醫(yī)學上“病毒”的異同同:都具有傳染性、流行性、以及針對性……異:不是天生的,是人為編制的具有特殊功能的程序從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒(ComputerVirus)。依據(jù)此定義，諸如邏輯炸彈、蠕蟲、木馬等均可稱為計算機病毒。計算機病毒名稱來歷2024/1/64第3章計算機病毒國內(nèi)學者給出的一種較為廣泛的定義:計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)（或程序）里,當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。美國計算機安全專家FredCohen1989年把計算機病毒定義為：“病毒程序通過修改（操作）而傳染其它程序，即修改其他程序使之含有病毒自身的精確版本或可能演化版本、變種或其他的病毒繁衍體。病毒可以看作是攻擊者愿意使用的任何代碼的攜帶者。病毒中的代碼可經(jīng)由系統(tǒng)或網(wǎng)絡(luò)進行擴散，從而強行修改程序和數(shù)據(jù)。3.1計算機病毒的定義2024/1/65第3章計算機病毒直至1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。2024/1/66第3章計算機病毒3.1計算機病毒的定義3.2計算機病毒的基本特征寄生性（依附性）計算機病毒是一種特殊的計算機程序，它不是以獨立的文件的形式存在的，它寄生在合法的程序中.

病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性。傳染性計算機病毒的傳染性是指計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。2024/1/67第3章計算機病毒隱蔽性計算機病毒在發(fā)作之前，必須能夠?qū)⒆陨砗芎玫碾[蔽起來，不被用戶發(fā)覺，這樣才能實現(xiàn)進入計算機系統(tǒng)、進行廣泛傳播的目的。計算機病毒的隱蔽性表現(xiàn)為傳染的隱蔽性與存在的隱蔽性。潛伏性計算機病毒的潛伏性是指病毒程序為了達到不斷傳播并破壞系統(tǒng)的目的，一般不會在傳染某一程序后立即發(fā)作，否則就暴露了自身。潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。3.2計算機病毒的基本特征2024/1/68第3章計算機病毒可觸發(fā)性因某個特征或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。破壞性共同的危害，即降低計算機系統(tǒng)的工作效率，占用系統(tǒng)資源，其具體情況取決于入侵系統(tǒng)的病毒程序。同時計算機病毒的破壞性主要取決于計算機病毒設(shè)計者的目的.有時幾種本來沒有多大破壞作用的病毒交叉感染，也會導致系統(tǒng)崩潰等重大惡果。2024/1/69第3章計算機病毒3.2計算機病毒的基本特征按照計算機病毒攻擊的操作系統(tǒng)分類（1）攻擊DOS系統(tǒng)的病毒。（2）攻擊Windows系統(tǒng)的病毒。（3）攻擊UNIX系統(tǒng)的病毒。攻擊UNIX操作系統(tǒng)的計算機病毒相對來講，為數(shù)不多，傳播效率低，不易流行。（4）攻擊OS/2系統(tǒng)的病毒。（5）攻擊嵌入式操作系統(tǒng)的病毒。傳統(tǒng)方式下，特定的病毒只能在特定的操作系統(tǒng)下運行3.3計算機病毒的分類2024/1/610第3章計算機病毒按照計算機病毒的鏈結(jié)方式分類（1）源碼型病毒:該病毒攻擊高級語言編寫的程序，在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。（2）入侵型病毒:這種病毒是將自身嵌入到攻擊目標中，代替宿主程序中不常用到的堆棧區(qū)或功能模塊，而不是鏈接在它的首部或尾部（3）外殼型病毒:寄生在宿主程序的前面或后面，并修改程序的第一個執(zhí)行指令，使病毒先于宿主程序執(zhí)行，這樣隨著宿主程序的使用而傳染擴散（4）操作系統(tǒng)型病毒:這種病毒在運行時，用自己的邏輯模塊取代操作系統(tǒng)的部分合法程序模塊。3.3計算機病毒的分類2024/1/611第3章計算機病毒3.3計算機病毒的分類按照計算機病毒的危害程度分類（1）良性計算機病毒良性病毒是指那些不對計算機系統(tǒng)直接進行破壞，只是具有一定表現(xiàn)癥狀的病毒。（2）惡性計算機病毒惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用，諸如刪除數(shù)據(jù)、格式化硬盤。（3）中性病毒中型病毒指那些對計算機系統(tǒng)不造成直接破壞，又沒有表現(xiàn)癥狀，只是瘋狂復制自身的病毒，也就是常說的蠕蟲性病毒。2024/1/612第3章計算機病毒3.3計算機病毒的分類按照寄生方式分類引導型病毒就是通過磁盤引導區(qū)傳染的病毒，主要是用病毒的全部或部分邏輯取代正常的引導記錄，而將正常的引導記錄隱藏在磁盤的其他地方。文件型病毒主要以感染可執(zhí)行程序為主，病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒也就被激活，并將自身駐留內(nèi)存，然后設(shè)置觸發(fā)條件，進行感染?；旌闲筒《臼侵讣葌魅敬疟P引導扇區(qū)又傳染可執(zhí)行文件的病毒，綜合了系統(tǒng)型和文件型病毒的特性。按照傳染途徑分類又可分為駐留內(nèi)存型和不駐留內(nèi)存型，駐留內(nèi)存型按其駐留內(nèi)存方式又可細分。2024/1/613第3章計算機病毒3.3計算機病毒的分類從廣義的病毒定義，邏輯炸彈、特洛伊木馬和蠕蟲都屬于計算機病毒，但是這三類病毒與通常所說的病毒相比，又具有一定的特殊性。（1）邏輯炸彈是指修改計算機程序，使它在某種特殊條件下按某種不同的方式運行。邏輯炸彈也是由程序員插入其它程序代碼中間的，但并不進行自我復制。（2）特洛伊木馬泛指那些內(nèi)部包含有為完成特殊任務(wù)而編制的代碼的程序，一種潛伏執(zhí)行非授權(quán)功能的技術(shù)。木馬本身不進行自我復制。（3）計算機蠕蟲程序是一種通過某種網(wǎng)絡(luò)媒介——電子郵件、TCP/IP等自身從一臺計算機復制到其他計算機的程序。與病毒在文件之間進行傳播不同，它們是從一臺計算機傳播到另一臺計算機，從而感染整個系統(tǒng)。2024/1/614第3章計算機病毒3.4計算機病毒的命名常用的命名方法對病毒命名的目的使人們快速、準確地辯識出該病毒，以便防范和診治。一種計算機病毒往往有多個名字，如“PE_KRIZ.3740”病毒，又稱圣誕CIH病毒，圣誕節(jié)病毒（ChristmasVirus）、W32.KRIZ病毒。命名病毒的常用方法有以下幾種：1．按病毒發(fā)作的時間命名，即按病毒表現(xiàn)或破壞的時間命名。如“黑色星期五病毒”在某月13日恰逢星期五發(fā)作，“米開朗基羅”病毒的發(fā)作時間是3月6日，即意大利著名藝術(shù)家米開朗基羅的生日?！癙E_KRIZ.3740”病毒，每逢12月25日發(fā)作，由于剛好是圣誕節(jié)的時間，所以我們也稱它為圣誕節(jié)病毒（ChristmasVirus）2．按病毒發(fā)作癥狀命名，如“小球”病毒、“火炬”病毒、“Yankee”病毒、"蠕蟲"病毒等。2024/1/615第3章計算機病毒3.4計算機病毒的命名3．按病毒中出現(xiàn)的標志命名，如“大麻(Marijunana)”病毒、“Liberty”病毒、“磁盤殺手（DiskKiller）”病毒、“CIH”病毒等。4．按病毒的首先發(fā)現(xiàn)的地點命名，如“ZHENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶，“黑色星期五病毒”又名“耶路撒冷（Jurusalem）”病毒，它首先在Jurusalem發(fā)現(xiàn)。5．按病毒感染文件時文件增加的字節(jié)長度或病毒自身代碼長度命名，如4096、1210、1554、1701、1704、903等。6．按計算機傳染方式命名，如“黑色星期五”病毒感染文件時不作標記，故反復感染，因此又名瘋狂拷貝病毒。7．以計算機病毒宣布的編寫者的名稱來命名，如“Ogre”病毒也即“DiskKiller”病毒。8.按病毒宣布的編寫時間命名，如“4月1日”病毒。2024/1/616第3章計算機病毒

國際上對病毒命名的慣例：前綴+病毒名+后綴。

前綴表示該病毒發(fā)作的操作平臺或者病毒的類型，而DOS下的病毒一般是沒有前綴的；病毒名為該病毒的名稱及其家族；后綴一般可以不要的，只是以此區(qū)別在該病毒家族中各病毒的不同，可以為字母，或者為數(shù)字以說明此病毒的大小。“W97M.Melissa.BG”病毒，BG表示在Melissa病毒家族中的一個變種，W97M表示該病毒是一個Word97宏病毒。3.4計算機病毒的命名2024/1/617第3章計算機病毒3.4計算機病毒的命名2024/1/618第3章計算機病毒3.4計算機病毒的命名2024/1/619第3章計算機病毒3.5計算機病毒的邏輯結(jié)構(gòu)計算機病毒程序一般包括3個功能模塊：病毒的引導模塊、傳染模塊、破壞(或表現(xiàn))模塊。(1)病毒的引導模塊：引導模塊的作用是當病毒的宿主程序開始工作時將病毒程序從外存引入內(nèi)存，使其與宿主程序獨立，并且使病毒的傳染模塊和破壞模塊處于活動狀態(tài)，以監(jiān)視系統(tǒng)運行。(2)病毒傳染模塊：染模塊負責將病毒傳染給其他計算機程序，使病毒向外擴散。病毒的傳染模塊由兩部分組成：病毒傳染的條件判斷部分和病毒傳染程序主體部分。（3）病毒破壞（表現(xiàn)）模塊：該模塊是病毒的核心部分，它體現(xiàn)了病毒制造者的意圖。病毒的破壞模塊也是由兩部分組成：病毒破壞的條件判斷部分和破壞程序主體部分。2024/1/620第3章計算機病毒2024/1/6212024/1/6222024/1/6233.6計算機病毒的作用機制計算機病毒從邏輯結(jié)構(gòu)上可以分為三大模塊，每一個模塊有其自己的工作原理，稱其為作用機制。三大模塊的作用機制分別叫做引導機制、傳染機制和破壞機制傳染機制與破壞機制在設(shè)計原則、工作原理上基本相同。它們都是通過修改某一中斷向量人口地址，使該中斷向量指向病毒程序的傳染模塊或破壞模塊。2024/1/624第3章計算機病毒3.7計算機病毒防治技術(shù)計算機病毒發(fā)作時，通常會出現(xiàn)以下幾種情況，這樣我們就能盡早地發(fā)現(xiàn)和清除它們。（1）電腦運行比平常遲鈍。（2）程序載入時間比平常久。（3）對一個簡單的工作，磁盤似乎花了比預期長的時間。（4）不尋常的錯誤信息出現(xiàn)。（5）由于病毒程序的異?；顒?，造成對磁盤的異常訪問。當你沒有存取磁盤，但磁盤指示燈卻亮了，表示電腦這時已經(jīng)受到病毒感染了。（6）系統(tǒng)內(nèi)存容量忽然大量減少。（7）磁盤可利用的空間突然減少。（8）可執(zhí)行程序的大小改變了?。?）由于病毒可能通過將磁盤扇區(qū)標記為壞簇的方式把自己隱藏起來，磁盤壞簇會莫名其妙地增多。2024/1/625第3章計算機病毒3.7計算機病毒防治技術(shù)（10）程序同時存取多部磁盤。（11）內(nèi)存內(nèi)增加來路不明的常駐程序。（12）文件、數(shù)據(jù)奇怪的消失。（13）文件的內(nèi)容被加上一些奇怪的資料。（14）文件名稱，擴展名，日期，屬性被更改過。（15）打印機出現(xiàn)異常。（16）死機現(xiàn)象增多。（17）出現(xiàn)一些異常的畫面或聲音。異?，F(xiàn)象的出現(xiàn)并不表明系統(tǒng)內(nèi)肯定有病毒，仍需進一步的檢查。2024/1/626第3章計算機病毒3.7計算機病毒防治技術(shù)

病毒技術(shù)與反病毒技術(shù)存在著相互對立、相互依存的關(guān)系，他們都在彼此的較量中不斷發(fā)展，當然，從總體上，反病毒技術(shù)要滯后于病毒技術(shù)。計算機病毒的防治技術(shù)可以分成四個方面，即檢測、清除、免疫和預防。2024/1/627第3章計算機病毒3.7計算機病毒防治技術(shù)計算機感染病毒后，會引起一系列變化，檢測技術(shù)正是以此為依據(jù)的。（1）比較法比較法是進行原始的或正常的特征與被檢測對象的特征比較。由于病毒的感染，會引起文件長度和內(nèi)容、內(nèi)存以及中斷向量的變化，從這些特征的比較中可以發(fā)現(xiàn)異常，從而判斷病毒的有無。比較法的好處是簡單、方便，不需專用軟件。缺點是無法確認計算機病毒的種類名稱（2）病毒校驗和法計算出正常文件的程序代碼的校驗和，并保存起來，可供被檢測對象對照比較，以判斷是否感染了計算機病毒。這種技術(shù)可偵測到各式的計算機病毒，包括未知病毒，但誤判斷高，無法確認病毒種類，無法偵測隱形計算機病毒。2024/1/628第3章計算機病毒3.7計算機病毒防治技術(shù)（3）搜索法.

搜索法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。特征串選擇的好壞，對于病毒的發(fā)現(xiàn)具有決定作用。但是如何提取特征串，則需要足夠的有關(guān)知識。搜索法也有自身的一些缺點，如被掃描的文件很長時，掃描所花時間也越多；不容易選出合適的特征串；計算機病毒代碼庫未及時更新時，無法識別出新的計算機病毒；不易識別變形計算機病毒等。搜索法是今天使用最為普遍的計算機病毒檢測方法。（4）分析法

分析法的使用人員主要是反計算機病毒的技術(shù)專業(yè)人員。2024/1/629第3章計算機病毒3.7計算機病毒防治技術(shù)（5）行為監(jiān)測法由于病毒在感染及破壞時都表現(xiàn)出一些共同行為，而且比較特殊，這些行為在正常程序中比較罕見，因此可通過監(jiān)測這些行為來檢測病毒的存在與否。該方法不僅可檢測已知病毒，而且可預報未知病毒，但是有可能誤報.（6）病毒行為軟件模擬法軟件模擬法專門用來對付多態(tài)病毒，多態(tài)病毒在每次傳染時都通過加密變化其特征碼，使得搜索法失效。該方法監(jiān)視病毒運行，待病毒自身密碼破譯后，在進行代碼的分析。（7）感染實驗法該法