1、第六章第六章 计算机病毒及恶意软件的防治计算机病毒及恶意软件的防治 6.16.1什么是计算机病毒和恶意软件什么是计算机病毒和恶意软件?我们知道计算机工作离不开软件,软件工程师们编写了大量我们知道计算机工作离不开软件,软件工程师们编写了大量的有用的软件(操作系统,应用系统和数据库系统等),这些软的有用的软件(操作系统,应用系统和数据库系统等),这些软件已成为我们的日常学习、工作、娱乐离不开的工具。件已成为我们的日常学习、工作、娱乐离不开的工具。但是也有一些人(如黑客)也在编写一些软件但他们编写的但是也有一些人(如黑客)也在编写一些软件但他们编写的软件不仅不会为我们带来任何益处,而且还会干扰计算机
2、正常运软件不仅不会为我们带来任何益处,而且还会干扰计算机正常运行甚至破坏计算机中的软件和程序、窃取你的机密资料。计算机行甚至破坏计算机中的软件和程序、窃取你的机密资料。计算机病毒(病毒(Computer Computer VirusVirus)、恶意代码(、恶意代码(Malicious CodesMalicious Codes)就属于这)就属于这类程序。类程序。6.16.1什么是计算机病毒和恶意软件什么是计算机病毒和恶意软件?计算机病毒的定义计算机病毒的定义广义定义广义定义u能够能够引起计算机故障引起计算机故障,破坏破坏计算机数据的计算机数据的程序程序都统称为都统称为计算机病毒计算机病毒。狭义
3、定义狭义定义u病毒程序通过病毒程序通过修改修改(操作操作)而传染其他程序而传染其他程序,即修改其他程序即修改其他程序使之含有病使之含有病毒毒自身的自身的精确版本精确版本或可能演化的或可能演化的版本版本、变种变种或其他病毒繁衍体。或其他病毒繁衍体。我国的计算机病毒定义我国的计算机病毒定义u计算机病毒计算机病毒,指指编制编制或者在计算机程序中或者在计算机程序中插入插入的破坏计算机的破坏计算机功能功能或或者者毁坏数据毁坏数据,影响计算机使用,并能,影响计算机使用,并能自我复制自我复制的一的一 组计算机指令或组计算机指令或者程序代码。者程序代码。摘自中国人民共和国计算机信息系统安全保护条例第条6.16
4、.1什么是计算机病毒和恶意软件什么是计算机病毒和恶意软件?计算机病毒是人为制造的具有破坏性的序。计算机病毒是人为制造的具有破坏性的序。计算机病毒的运行是非授权入侵。计算机病毒的运行是非授权入侵。计算机病毒可以隐藏在可执行文件或数据文件中计算机病毒可以隐藏在可执行文件或数据文件中。关于计算机病毒的三个基本观点关于计算机病毒的三个基本观点:6.16.1什么是计算机病毒和恶意软件什么是计算机病毒和恶意软件?什么是恶意软件?什么是恶意软件?恶意软件是指在未明确提示用户或未经用户许可的情况下,恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件在用
5、户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。,但不包含我国法律法规规定的计算机病毒。恶意软件的特征 1.1.强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。上安装软件的行为。2.2.难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。的情况下,卸载后仍然有活动程序的行为。3.3.浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫
6、使用浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。户访问特定网站或导致用户无法正常上网的行为。4.4.广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。其他终端上的软件弹出广告的行为。5.5.恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。信息的行为。6.6.恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其恶意卸载:指未明
7、确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。他软件的行为。7.7.恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。8.8.其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。6.2.16.2.1计算机病毒的基础知识及发展简史计算机病毒的基础知识及发展简史历史的预见历史的预见 1977 1977年夏天,托马斯年夏天,托马斯捷捷瑞安瑞安(Thomas.J.RyanThomas.J.Ryan)的科幻小说)的科幻小说P-1P-1的春天的春天(The Adolescenc
8、e of P-1The Adolescence of P-1)成为美国的畅销书,作者在这本书中成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染描写了一种可以在计算机中互相传染的病毒,病毒最后控制了的病毒,病毒最后控制了 7,000 7,000 台计台计算机,造成了一场灾难。算机,造成了一场灾难。6.2.16.2.1计算机病毒的基础知识及发展简史计算机病毒的基础知识及发展简史第一个病毒的产生第一个病毒的产生 1983 1983 年年 11 11 月月 3 3 日,弗雷德日,弗雷德科恩科恩 (Fred Cohen)(Fred Cohen)博士研制出博士研制出一种在运行过程中可以复制
9、自身的破坏性程序一种在运行过程中可以复制自身的破坏性程序(该程序能够导致该程序能够导致UNIXUNIX系统死机系统死机),伦),伦艾德勒曼艾德勒曼 (Len(Len AdlemanAdleman)将它命名为计算将它命名为计算机病毒机病毒(computer viruses)(computer viruses),并在每周一次的计算机安全讨论会上,并在每周一次的计算机安全讨论会上正式提出。正式提出。第一个计算机病毒第一个计算机病毒“巴基斯坦巴基斯坦”病毒病毒 1986 1986 年初,在巴基斯坦的拉合尔年初,在巴基斯坦的拉合尔 (Lahore)(Lahore),巴锡特,巴锡特 (BasitBasit
10、)和和阿姆杰德阿姆杰德(AmjadAmjad)两兄弟经营着一家两兄弟经营着一家 IBM-PC IBM-PC 机及其兼容机的小机及其兼容机的小商店。由于当地的盗版猖獗,为了保护自己开发的软件,他们编商店。由于当地的盗版猖獗,为了保护自己开发的软件,他们编写了写了Pakistan Pakistan 病毒,即病毒,即BrainBrain。只要是盗拷他们的软件就会感染这。只要是盗拷他们的软件就会感染这只病毒。该病毒在一年内流传到了世界各地是世界上只病毒。该病毒在一年内流传到了世界各地是世界上公认公认的第一的第一个在个人电脑上广泛流行的病毒个在个人电脑上广泛流行的病毒 震惊世界的震惊世界的“蠕虫莫里斯蠕
11、虫莫里斯”1988 1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫蠕虫”的电脑病毒送进了美国最大的电脑网络的电脑病毒送进了美国最大的电脑网络互联网。互联网。19881988年年1111月月2 2日下午日下午5 5点,互联网的管理人员首次发现网络有不明点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。慌。“蠕虫蠕虫”病毒以闪电般的速度迅速自行复制,大量繁殖,病毒以闪电般的速度迅速自行复制,大量繁殖,不到不到1010小时就从美国东海
12、岸横窜到西海岸,使众多的美国军用计小时就从美国东海岸横窜到西海岸,使众多的美国军用计算机网络深受其害,直接经济损失上亿美元。算机网络深受其害,直接经济损失上亿美元。最具有杀伤力的计算机最具有杀伤力的计算机病毒病毒-CIHCIH病毒病毒 CIH CIH病毒,又名病毒,又名“切尔诺贝利切尔诺贝利”,是一种可怕的电脑病毒。,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的。它是由台湾大学生陈盈豪编制的。CIHCIH病毒发作时硬盘数据、硬病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是据特别是C C盘数据丢
13、失,并破坏部分类型的主板上的盘数据丢失,并破坏部分类型的主板上的Flash BIOSFlash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。熊猫烧香熊猫烧香 -中国首次依据法律对病毒作者宣判有罪中国首次依据法律对病毒作者宣判有罪 熊猫烧香在熊猫烧香在0606年年底开始大规模爆发,年年底开始大规模爆发,是一个感染型的蠕虫是一个感染型的蠕虫病毒,它能感染系统中病毒,它能感染系统中exeexe,comcom,pifpif,srcsrc,htmlhtml,aspasp等文件,等文件,它还能中止大量的反病毒软件进程并且会删除扩
14、展名为它还能中止大量的反病毒软件进程并且会删除扩展名为ghogho的文的文件(件(.ghogho为为GHOSTGHOST的备份文件),使用户的系统备份文件丢失。的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有被感染的用户系统中所有.exe.exe可执行文件全部被改成熊猫举着三可执行文件全部被改成熊猫举着三根香的模样。根香的模样。由熊猫烧香作者李俊被捕入狱,引发了两方面的问题和影响由熊猫烧香作者李俊被捕入狱,引发了两方面的问题和影响。其一是由李俊揭发的中国地下黑色产业首次曝光,让人们看到。其一是由李俊揭发的中国地下黑色产业首次曝光,让人们看到了病毒带来的巨大经济产业链;另一方面,这
15、是中国计算机信息了病毒带来的巨大经济产业链;另一方面,这是中国计算机信息安全历史上首次依据法律明文对病毒作者宣判有罪。安全历史上首次依据法律明文对病毒作者宣判有罪。6.2.16.2.1计算机病毒的基础知识及发展简史计算机病毒的基础知识及发展简史 在病毒的发展史上,病毒的出现是有规律的,一般在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。它可,病毒也会调整为新的方式,
16、产生新的病毒技术。它可划分为:划分为:1 1、DOSDOS时代的病毒时代的病毒 主要是运行在早期主要是运行在早期DOSDOS操作系统上的病毒,是病毒的初期阶操作系统上的病毒,是病毒的初期阶段,主要包括感染段,主要包括感染DOSDOS系统引导扇区的引导型病毒如:巴基斯坦系统引导扇区的引导型病毒如:巴基斯坦智囊、小球、石头、磁盘杀手等病毒;感染执行文件智囊、小球、石头、磁盘杀手等病毒;感染执行文件EXEEXE、COMCOM的文件型病毒如著名的黑色星期五(耶路撒冷)等。的文件型病毒如著名的黑色星期五(耶路撒冷)等。6.2.16.2.1计算机病毒的基础知识及发展简史计算机病毒的基础知识及发展简史2 2
17、、伴随、伴随,批次型阶段批次型阶段 1992 1992年年,伴随型病毒出现伴随型病毒出现,它们利用它们利用DOSDOS加载文件的优先顺序进行加载文件的优先顺序进行工作工作.具有代表性的是具有代表性的是”金蝉金蝉”病毒。病毒。3 3、幽灵、幽灵,多形阶段多形阶段 1994 1994年年,随着汇编语言的发展随着汇编语言的发展,实现同一功能可以用不同的方式进实现同一功能可以用不同的方式进行完成行完成,这些方式的组合使一段看似随机的代码产生相同的运算结这些方式的组合使一段看似随机的代码产生相同的运算结果果.幽灵病毒就是利用这个特点幽灵病毒就是利用这个特点,每感染一次就产生不同的代码每感染一次就产生不同
18、的代码.。4 4、生成器、生成器,变体机阶段变体机阶段 1995 1995年年,在汇编语言中,一些数据的运算放在不同的通用寄存器在汇编语言中,一些数据的运算放在不同的通用寄存器中中,可运算出同样的结果可运算出同样的结果,随机的插入一些空操作和无关指令,也不随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是了。具有典型代表的是“病毒制造机病毒制造机”VCL,VCL,它可
19、以在瞬间制造出它可以在瞬间制造出成千上万种不同的病毒。成千上万种不同的病毒。6.2.16.2.1计算机病毒的基础知识及发展简史计算机病毒的基础知识及发展简史5 5、WindowsWindows阶段阶段 1996 1996年年,随着随着WindowsWindows和和Windows95Windows95的日益普及的日益普及,利用利用WindowsWindows进行进行工作的病毒开始发展,这类病毒的机制更为复杂,它们利用保护工作的病毒开始发展,这类病毒的机制更为复杂,它们利用保护模式和模式和APIAPI调用接口工作,解除方法也比较复杂。调用接口工作,解除方法也比较复杂。6 6、宏病毒阶段、宏病毒阶
20、段 1996 1996年年,随着随着Windows WordWindows Word功能的增强功能的增强,使用使用WordWord宏语言也可以编宏语言也可以编制病毒,这种病毒使用类制病毒,这种病毒使用类BasicBasic语言,编写容易,感染语言,编写容易,感染WordWord文档文文档文件。在件。在ExcelExcel和和AmiProAmiPro出现的相同工作机制的病毒也归为此类。出现的相同工作机制的病毒也归为此类。6.2.16.2.1计算机病毒的基础知识及发展简史计算机病毒的基础知识及发展简史7 7、互连网阶段、互连网阶段 1997 1997年年,随着因特网的发展随着因特网的发展,各种病毒
21、也开始利用因特网进行传各种病毒也开始利用因特网进行传播播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件些邮件,机器就有可能中毒。机器就有可能中毒。8 8、JavaJava 、邮件炸弹阶段、邮件炸弹阶段 随着互联网上随着互联网上JavaJava的普及,利用的普及,利用JavaJava语言进行传播和资料获取语言进行传播和资料获取的病毒开始出现,典型的代表是的病毒开始出现,典型的代表是JavaSnakeJavaSnake病毒。还有一些利用邮病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如件服务器进行传播和破坏的病毒,例如Ma
22、il-BombMail-Bomb病毒,它就严病毒,它就严重影响因特网的效率。重影响因特网的效率。6.2.2 6.2.2计算机病毒的分类计算机病毒的分类 按照计算机病毒的特点及特性,计算机病毒的分类方法有按照计算机病毒的特点及特性,计算机病毒的分类方法有许多种。因此,同一种病毒可能有多种不同的分法。按照计算许多种。因此,同一种病毒可能有多种不同的分法。按照计算机病毒的特点及特性,计算机病毒的分类方法有许多种。因此机病毒的特点及特性,计算机病毒的分类方法有许多种。因此,同一种病毒可能有多种不同的分法。目前常见的病毒分类方,同一种病毒可能有多种不同的分法。目前常见的病毒分类方法有法有:6.2.2 6
23、.2.2计算机病毒的分类计算机病毒的分类按照传播媒介分类按照传播媒介分类 按照计算机病毒的传播媒介来分类,可分为单机病毒和网按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。络病毒。(1 1)单机病毒单机病毒的载体是磁盘,常见的是病毒从移动)单机病毒单机病毒的载体是磁盘,常见的是病毒从移动存储设备(软盘、优盘)传入硬盘,感染系统,然后再传染其存储设备(软盘、优盘)传入硬盘,感染系统,然后再传染其他移动存储设备统。他移动存储设备统。(2 2)网络病毒网络病毒的传播媒介不再是移动式载体,而是)网络病毒网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。网络
24、通道,这种病毒的传染能力更强,破坏力更大。6.2.3 6.2.3计算机病毒的特征计算机病毒的特征计算机病毒之所以被称为计算机病毒之所以被称为“病毒病毒”,主要是由于它有类似自,主要是由于它有类似自然界病毒的某些特征。其主要特征有:然界病毒的某些特征。其主要特征有:1 1)计算机病毒的程序性)计算机病毒的程序性(寄生性寄生性)计算机病毒与其他合法程序一样,是一段可执行程序,但计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它不是一个完整的程序,而是寄生在其他可执行程序上,因此计算机病毒具有正常程序的一切特性:可存储性、可执行性。计算机病毒具
25、有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。为在执行正常程序。6.2.3 6.2.3计算机病毒的特征计算机病毒的特征2 2)计算机病毒的传染性)计算机病毒的传染性 传染性,指计算机病毒在一定条件下可以自我复制,能对传染性,指计算机病毒在一定条件下可以自我复制,能对其它文件或系统进行一系列非法操作,并使之成为一个新的传其它文件或系统进行一系列非法操作,并使之成为一个新
26、的传染源。这是病毒的最基本特征;染源。这是病毒的最基本特征;6.2.3 6.2.3计算机病毒的特征计算机病毒的特征3 3)计算机病毒的潜伏性)计算机病毒的潜伏性 通常计算机病毒程序进入系统之后一般不会马上发作,可以通常计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。时间就会愈长,病毒的传染范围就会愈大。6.2.3 6.2.3计算机病毒的特征计算
27、机病毒的特征 4 4)表现性和破坏性)表现性和破坏性 指病毒在触发条件满足时,立即对计算机系统的文件、资指病毒在触发条件满足时,立即对计算机系统的文件、资源等运行进行干扰破坏;源等运行进行干扰破坏;无论何种病毒程序一旦侵入系统都会无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。病毒程序的副作用轻对操作系统的运行造成不同程度的影响。病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。序的表现性或破坏性体现了病毒设计者的真正意图。6.2.3 6.2.3计算机病
28、毒的特征计算机病毒的特征5 5)可触发性)可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制件或者激活病毒的传染机制,使之进行传染使之进行传染;或者激活病毒的表现或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以病毒程序可以依据设计者的要求依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲在一定条件下实施攻击。这个条件可以是敲入特定字符入特定字符,使用特定文件使用特定文件,某个特定日期或特定时刻某个特定日期或特定时刻,或者是病或者是病毒
29、内置的计数器达到一定次数等。毒内置的计数器达到一定次数等。6.2.4 6.2.4 计算机病毒的组成与工作机理计算机病毒的组成与工作机理 计算机病毒实际上是一种特殊的程序,其组成与工作机理计算机病毒实际上是一种特殊的程序,其组成与工作机理与一般程序的没有本质上的区别。所不同的是,病毒程序不像与一般程序的没有本质上的区别。所不同的是,病毒程序不像一般程序那样以单独文件形式存放在磁盘上,的是它必须将自一般程序那样以单独文件形式存放在磁盘上,的是它必须将自身寄生在其他程序上。身寄生在其他程序上。就目前出现的各种计算机病毒来看,计算机病毒一般由四就目前出现的各种计算机病毒来看,计算机病毒一般由四部分组成
30、:部分组成:病毒的初始化(引导)模块病毒的初始化(引导)模块传染模块传染模块触发模块触发模块破坏(表现)模块破坏(表现)模块6.2.46.2.4 计算机病毒的组成与工作机理计算机病毒的组成与工作机理工作机理工作机理 6.2.4 6.2.4计算机病毒的组成与工作机理计算机病毒的组成与工作机理 1 1)病毒的初始化(引导)部分)病毒的初始化(引导)部分 .计算机病毒的引导过程一般包括以下三方面。(计算机病毒的引导过程一般包括以下三方面。(1 1)驻留内)驻留内存存 病毒若要发挥其破坏作用,一般要驻病毒若要发挥其破坏作用,一般要驻 留内存。为此就必须留内存。为此就必须开辟所用内存空间或覆盖系开辟所用
31、内存空间或覆盖系 统占用的部分内存空间。有的病毒统占用的部分内存空间。有的病毒不驻留内存。(不驻留内存。(2 2)窃取系统控制权)窃取系统控制权 在病毒程序驻留内存后,在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的必须使有关部分取代或扩充系统的原有功能,并窃取系统的 控控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。在条件成熟时,再进行传染和破坏。(3 3)恢复系统功能)恢复系统功能 病毒病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只为隐蔽自己,驻留内存后还要恢
32、复系统,使系统不会死机,只有这样才能等待时有这样才能等待时 机成熟后,进行感染和破坏的目的。机成熟后,进行感染和破坏的目的。病毒的初始化(引导)部分病毒的初始化(引导)部分引导前引导前寄生寄生u寄生位置:寄生位置:u引导区引导区u可执行文件可执行文件u寄生手段:寄生手段:u替代法(寄生在引导区中的病毒常用该法)替代法(寄生在引导区中的病毒常用该法)u链接法(寄生在文件中的病毒常用该法)链接法(寄生在文件中的病毒常用该法)病毒的初始化(引导)部分病毒的初始化(引导)部分引导过程引导过程u驻留内存驻留内存u窃取系统控制权窃取系统控制权u恢复系统功能恢复系统功能引导区病毒引导过程引导区病毒引导过程u
33、搬迁系统引导程序搬迁系统引导程序替代为病毒引导程序替代为病毒引导程序u启动时启动时病毒引导模块病毒引导模块加载传染、破坏和触发模块到内存加载传染、破坏和触发模块到内存使用常驻使用常驻技术。最后,转向系统引导程序技术。最后,转向系统引导程序引导系统引导系统病毒的初始化(引导)部分病毒的初始化(引导)部分文件型病毒引导过程文件型病毒引导过程u修改入口指令替代为跳转到病毒模块的指令u执行时跳转到病毒引导模块病毒引导模块加载传染、破坏和触发模块到内存使用常驻技术u最后,转向程序的正常执行指令执行程序原始程序原始程序原始程序原始程序病毒程序病毒程序转到病毒程序转到病毒程序感染感染感染病毒程序感染病毒程序
34、传染模块病毒传染的条件病毒传染的条件u被动传染(静态时)被动传染(静态时)u用户在进行拷贝磁盘或文件时,把一个病毒由一个载体用户在进行拷贝磁盘或文件时,把一个病毒由一个载体复制到另一个载体上。或者是通过网络上的信息传递,复制到另一个载体上。或者是通过网络上的信息传递,把一个病毒程序从一方传递到另一方。这种传染方式叫把一个病毒程序从一方传递到另一方。这种传染方式叫做计算机病毒的被动传染。做计算机病毒的被动传染。u主动传染(动态时)主动传染(动态时)u以计算机系统的运行以及病毒程序处于激活状态为先决以计算机系统的运行以及病毒程序处于激活状态为先决条件。在病毒处于激活的状态下,只要传染条件满足,条件
35、。在病毒处于激活的状态下,只要传染条件满足,病毒程序能主动地把病毒自身传染给另一个载体或另一病毒程序能主动地把病毒自身传染给另一个载体或另一个系统。这种传染方式叫做计算机病毒的主动传染。个系统。这种传染方式叫做计算机病毒的主动传染。传染模块传染过程传染过程u系统(程序)运行系统(程序)运行各种模块进入内存各种模块进入内存按多种传染方式按多种传染方式传染传染传染方式传染方式u立即传染,即病毒在被执行的瞬间,抢在宿主程序开始执立即传染,即病毒在被执行的瞬间,抢在宿主程序开始执行前,立即感染磁盘上的其他程序,然后再执行宿主程序行前,立即感染磁盘上的其他程序,然后再执行宿主程序。u驻留内存并伺机传染,
36、内存中的病毒检查当前系统环境,驻留内存并伺机传染,内存中的病毒检查当前系统环境,在执行一个程序、浏览一个网页时传染磁盘上的程序,驻在执行一个程序、浏览一个网页时传染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序运行结束后,仍可留在系统内存中的病毒程序在宿主程序运行结束后,仍可活动,直至关闭计算机。活动,直至关闭计算机。传染模块文件型病毒传染机理文件型病毒传染机理u首先根据病毒自己的特定标识来判断该文件是否已感染了该病毒;u当条件满足时,将病毒链接到文件的特定部位,并存入磁盘中;u完成传染后,继续监视系统的运行,试图寻找新的攻击目标。文件型病毒传染途径文件型病毒传染途径u加载执行文件u浏览目
37、录过程u创建文件过程 触发模块触发条件触发条件u计算机病毒在传染和发作之前,往往要判断某些特定条件计算机病毒在传染和发作之前,往往要判断某些特定条件是否满足,满足则传染或发作,否则不传染或不发作或只是否满足,满足则传染或发作,否则不传染或不发作或只传染不发作,这个条件就是计算机病毒的触发条件。传染不发作,这个条件就是计算机病毒的触发条件。触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡触发模块的目的是调节病毒的攻击性和潜伏性之间的平衡u大范围的感染行为、频繁的破坏行为可能给用户以重创,大范围的感染行为、频繁的破坏行为可能给用户以重创,但是,它们总是使系统或多或少地出现异常,容易使病毒但是,它
38、们总是使系统或多或少地出现异常,容易使病毒暴露。暴露。u而不破坏、不感染又会使病毒失去其特性。而不破坏、不感染又会使病毒失去其特性。u可触发性是病毒的攻击性和潜伏性之间的调整杠杆,可以可触发性是病毒的攻击性和潜伏性之间的调整杠杆,可以控制病毒感染和破坏的频度,兼顾杀伤力和潜伏性。控制病毒感染和破坏的频度,兼顾杀伤力和潜伏性。病毒常用的触发条件病毒常用的触发条件1.1.日期触发日期触发:许多病毒采用日期做触发条件,在特定的日期触发。许多病毒采用日期做触发条件,在特定的日期触发。2.2.时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文时间触发:时间触发包括特定的时间触发、染毒后累计
39、工作时间触发、文件最后写入时间触发等。件最后写入时间触发等。3.3.键盘触发:键盘触发包括击键次数触发、组合键触发、热启动触发等。键盘触发:键盘触发包括击键次数触发、组合键触发、热启动触发等。4.4.启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。动触发。5.5.访问磁盘次数触发:病毒对磁盘访问磁盘次数触发:病毒对磁盘I/OI/O访问的次数进行计数,以预定次数做访问的次数进行计数,以预定次数做触发条触发条 件叫访问磁盘次数触发。件叫访问磁盘次数触发。6.6.调用中断功能触发:病毒对中断调用次数计数,以预定次数做
40、触发条件。调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。8.CPU8.CPU型号型号/主板型号触发:病毒能识别运行环境的主板型号触发:病毒能识别运行环境的CPUCPU型号型号/主板型号,以主板型号,以预定预定 CPUCPU型号型号/主板型号做触发条件,这种病毒的触发方式奇特罕见。主板型号做触发条件,这种病毒的触发方式奇特罕见。被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组合起来的触发条件。的某一个条件,而是使用由多个条件组合起来的触发条件。破坏模块破坏是病毒
41、的追求,病毒魅力的体现破坏是病毒的追求,病毒魅力的体现破坏模块的功能破坏模块的功能u破坏、破坏、还是破坏破坏对象破坏对象u系统数据区、文件、内存、系统运行速度、磁盘、CMOS、主板和网络等。破坏的程度破坏的程度 可能会导致正常的程序无法运行,把计算机内的文可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏件删除或受到不同程度的损坏 ;6.2.5 6.2.5计算机病毒的防治计算机病毒的防治 病毒的防治技术总是在与病毒的较量中得到发展的。计算机病毒的防治技术总是在与病毒的较量中得到发展的。计算机病毒的防治技术分成四个方面,即:病毒的防治技术分成四个方面,即:防毒防毒采取安全措施
42、预防病毒侵入计算机采取安全措施预防病毒侵入计算机 查毒查毒指通过一定的技术手段判定出计算机病毒,准确地报出指通过一定的技术手段判定出计算机病毒,准确地报出病毒名称病毒名称解毒解毒根据病毒类型对感染对象的修改,并按照病毒的感染特性根据病毒类型对感染对象的修改,并按照病毒的感染特性所进行的恢复。但恢复过程不能破坏未被病毒修改的内容所进行的恢复。但恢复过程不能破坏未被病毒修改的内容 免疫免疫即通过技术手段是计算机预备病毒的抵抗能力,但目前还即通过技术手段是计算机预备病毒的抵抗能力,但目前还没有找到通用的免疫方法。没有找到通用的免疫方法。病毒预防技术病毒预防技术 以防为主以防为主u安装杀毒软件安装杀毒
43、软件u经常更新操作系统补丁经常更新操作系统补丁u警惕电脑异常警惕电脑异常u不使用来历不明的软件不使用来历不明的软件u不打开来历不明的邮件不打开来历不明的邮件u不看来历不明的图片不看来历不明的图片u不点击不明的链接不点击不明的链接u定时备份重要数据定时备份重要数据u时刻保持警惕时刻保持警惕 u学习更多的电脑知识学习更多的电脑知识病毒检测技术病毒检测技术 通过观察计算机的异常现象发现计算机是否感染了病毒。通过观察计算机的异常现象发现计算机是否感染了病毒。常见的异常现象下。常见的异常现象下。电脑运行比平常迟钝;电脑运行比平常迟钝;程序载入时间比平常久;程序载入时间比平常久;磁盘读写时间异常的长;磁盘
44、读写时间异常的长;出现异常的错误信息;出现异常的错误信息;硬盘的指示灯异常;硬盘的指示灯异常;可执行程序大小被改变;可执行程序大小被改变;内存中出现不明的常驻程序。内存中出现不明的常驻程序。病毒检测技术病毒检测技术 通过一定的技术手段判定出计算机病毒的一种技术。病毒检测通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种:技术主要有两种:手工检测手工检测 手工检测是指通过一些软件工具(手工检测是指通过一些软件工具(DEBUG.DEBUG.、PCTOOLSPCTOOLS、NUNU、SYSINFOSYSINFO等)提供的功能进行病毒的检测。这种方法比较等)提供的功能进行病毒的检测。
45、这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。工具不认
46、识的新病毒。病毒检测技术病毒检测技术自动监测:自动监测:自动检测是指通过一些杀毒软件来检测一个系统或一个自动检测是指通过一些杀毒软件来检测一个系统或一个软盘是否有毒的方法。它比较简单,一般用户都可以进行,但软盘是否有毒的方法。它比较简单,一般用户都可以进行,但需要较好的杀毒软件。这种方法可以方便地检测大量的病毒,需要较好的杀毒软件。这种方法可以方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具总是对相对数量的发展总是滞后于病毒的发展,所以检测工具总是对相对数量的未知病毒不能识别
47、。未知病毒不能识别。病毒检测技术病毒检测技术 计算机病毒进行传染,必然会留下痕迹。检测计算机病毒,计算机病毒进行传染,必然会留下痕迹。检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明就是要到病毒寄生场所去检查,发现异常情况,并进而验明“正正身身”,确认计算机病毒的存在。病毒静态时存储于磁盘中,激活,确认计算机病毒的存在。病毒静态时存储于磁盘中,激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。对磁盘的检测。病毒检测的原理主要是基于下列几种方法:病毒检测的原理主要是基于下列几种方法:利用病毒特征利
48、用病毒特征代码串的特征代码法、利用文件内容校验的校验和法、利用病毒代码串的特征代码法、利用文件内容校验的校验和法、利用病毒特有行为特征的行为监测法、用软件虚拟分析的软件模拟法、比特有行为特征的行为监测法、用软件虚拟分析的软件模拟法、比较被检测对象与原始备份的比较法、利用病毒特性进行检测的感较被检测对象与原始备份的比较法、利用病毒特性进行检测的感染实验法以及运用反汇编技术分析被检测对象确认是否为病毒的染实验法以及运用反汇编技术分析被检测对象确认是否为病毒的分析法。分析法。病毒的检测方法病毒的检测方法特征代码法特征代码法 特征代码法被认为是用来检测已知病毒的最简单、开销最小的方法。其原特征代码法被
49、认为是用来检测已知病毒的最简单、开销最小的方法。其原理是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病理是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,简称毒码资料库中,简称“病毒库病毒库”,检测时,以扫描的方式将待检测程序与病毒,检测时,以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比,如果发现有相同的代码,则可判定该程序已库中的病毒特征码进行一一对比,如果发现有相同的代码,则可判定该程序已遭病毒感染。特征代码法检测病毒的实现步骤如下:遭病毒感染。特征代码法检测病毒的实现步骤如下:采集已知病毒样本。采集已知病毒样本。从病毒样本中,抽
50、取病毒特征代码。从病毒样本中,抽取病毒特征代码。将特征代码纳入病毒数据库。将特征代码纳入病毒数据库。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。被查文件中患有何种病毒。病毒的检测方法病毒的检测方法校验和法校验和法 校验和法是将正常文件的内容,计算其校验和法是将正常文件的内容,计算其“校验和校验和”,将该校验和写入文件中,将该校验和写入文件中或
