1、第第3 3章章 计算机病毒及防治计算机病毒及防治3.1 计算机病毒概述3.2 计算机病毒的工作机理3.3 计算机病毒实例3.4 计算机病毒的检测和清除3.1 3.1 计算机病毒概述计算机病毒概述计算机病毒的定义 “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。在中华人民共和国计算机信息系统安全保护条例中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。返回本节计算机病毒的发
2、展历史计算机病毒的发展历史n1986年1月,首例病毒:巴基斯坦病毒(Pakistan或称Brain病毒),1986-1995 年间主要通过软盘传播。n1989年春,在我国发现了首例计算机病毒小球病毒n1999年email出现之前,利用微软Word等程序的宏病毒将散布时间从数周甚至数月缩短到了数天。n1998年的CIHn1998年以后:红色代码、尼姆达、冲击波 3.1.1 计算机病毒的概念和发展史计算机病毒的概念和发展史1萌芽阶段2DOS平台阶段3Windows平台阶段4互联网阶段3.1.2 计算机病毒的特征计算机病毒一般具有以下几个特征。1传染性 病毒通过各种渠道从已被感染的计算机扩散到未被感
3、染的计算机。2非授权性隐藏在正常文件中,窃取到系统的控制权,病毒的动作、目的队用户是未知的,未经用户许可的。3隐蔽性不经过代码分析,很难将病毒程序与正常程序区别开来。4潜伏性一般不会马上发作,可能隐藏在合法程序中,默默进行传染扩散而不被人发现。5破坏性一旦发作会造成系统或数据的损伤甚至毁灭。6不可预见性不同种类的病毒,它们的代码千差万别3.1.3 计算机病毒的种类1按病毒的寄生方式分类(1)文件型病毒(2)引导型病毒(3)混合型病毒2按病毒的传染方法分类(1)驻留型病毒(2)非驻留型病毒3按病毒的破坏能力分类(1)无害性具有病毒的特征,传染时仅减少磁盘的可用空间,对系统没有其他影响。(2)无危
4、害性这类病毒对系统影响较小,仅是减少内存,显示信息、图像或发出声音等。(3)危险性这类病毒在计算机系统操作中造成严重的错误。(4)非常危险性这类病毒会删除程序,破坏数据,清除系统内存区和操作系统中重要的信息,甚至会破坏计算机硬件,对系统的危害是最大的。4按病毒特有的算法分类(1)伴随型病毒(2)“蠕虫”病毒(3)寄生型病毒5按病毒的链接方式分类(1)源码型病毒(2)嵌入型病毒(3)外壳病毒(4)操作系统型病毒3.2 3.2 计算机病毒的工作机理计算机病毒的工作机理3.2.1 引导型病毒1引导区的结构2计算机的引导过程3引导型病毒的基本原理覆盖型和转移型图图3.1 转移型引导病毒的原理图转移型引
5、导病毒的原理图3.2.2 文件型病毒(1)内存驻留的病毒首先检查系统内存,查看内存是否已有此病毒存在,如果没有则将病毒代码装入内存进行感染。(2)对于内存驻留病毒来说,驻留时还会把一些DOS或者基本输入输出系统(BIOS)的中断指向病毒代码(3)执行病毒的一些其他功能,如破坏功能,显示信息或者病毒精心制作的动画等。(4)这些工作后,病毒将控制权返回被感染程序,使正常程序执行。系 统 启 动 引 导 程 序 病 毒 跳 转 到 内 存 并获 得 系 统 控 制 权 符 合 条 件?激 活 病 毒 传 染 或 破 坏 驻 留 等 待 执 行 正 常 的 系 统 引 导 Y N 系 统 启 动 运
6、行.C O M,.E X E 文 件 病 毒 随 文 件 到 内 存并 获 得 系 统 控 制 权 符 合 条 件?激 活 病 毒 传 染 或 破 坏 驻 留 等 待 文 件 正 常 执 行 Y N (a)引导型病毒)引导型病毒 (b)文件型病毒)文件型病毒病毒的传播、破坏过程病毒的传播、破坏过程返回本节3.2.3 混合型病毒混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒,它们可以感染可执行文件,也可以感染引导区,并使之相互感染,具有相当强的感染力。3.2.4 宏病毒宏病毒是计算机病毒历史上发展最快的病毒,它也是传播最广 泛,危 害 最 大 的 一 类 病 毒。据 国 际 计 算
7、机 安 全 协 会(International Computer Security Association)的统计报道,在当前流行的病毒中,宏病毒占全部病毒的80%左右。宏病毒是一类使用宏语言编写的程序,依赖于微软Office办公套件Word、Excel和PowerPoint等应用程序传播。1宏病毒的特征(1)宏病毒与传统的文件型病毒有很大的不同。(2)宏病毒的感染必须通过宏语言的执行环境(如Word和Excel程序)的功能,不能直接在二进制的数据文件中加入宏病毒代码。(3)宏病毒是一种与平台无关的病毒,任何可以正确打开和理解Word文件宏代码的平台都可能感染宏病毒。(4)此外宏病毒编写容易,
8、破坏性强。它使用Visual Basic For Applications(VBA)这样的高级语言编写,编写比较简单,功能比较强大,只要掌握一些基本的“宏”编写手段,即可编写出破坏力很大的宏病毒。(5)宏病毒的传播速度极快。由于网络的普及,Email和FTP服务使人们更加方便快捷地获取信息,但同时也为宏病毒的传播提供了便利条件。而且,随着“无纸办公”方式的使用,微软Office软件已经成为办公人员不可缺少的工具,这也为宏病毒提供了广阔的天地。2宏病毒的感染机制3宏病毒的表现(1)有些宏病毒只进行自身的传播,并不具破坏性。(2)这些宏病毒只对用户进行骚扰,但不破坏系统。(3)有些宏病毒极具破坏性
9、。3.2.5 网络病毒1蠕虫病毒的传播过程蠕虫病毒的传播可以分为3个基本模块:(1)扫描由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。(2)攻击攻击模块按漏洞攻击步骤自动攻击步骤(1)中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。(3)复制复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并启动。2蠕虫病毒的入侵过程手动入侵一般可分为以下三步。(1)用各种方法收集目标主机的信息,找到可利用的漏洞或弱点。(2)针对目标主机的漏洞或缺陷,采取相应的技术攻击主机,直到获得主机的管理员权限。对搜集来的信息进行分析,找到可以有效利用的信息。(3)利用获得的权限在主机上
10、安装后门、跳板、控制端和监视器等,并清除日志。(1)“扫描攻击复制”模式(2)蠕虫病毒传播的其他模式3蠕虫病毒的安全防御3.3 3.3 计算机病毒实例计算机病毒实例3.3.1 CIH病毒CIH病毒是一种文件型病毒,又称Win95.CIH、Win32.CIH以及PE_CIH,其宿主是Windows 95/98系统下的PE格式可执行文件(.EXE文件),在DOS平台和Windows NT/2000平台中病毒不起作用。CIHCIH病毒简介病毒简介1CIH病毒分析 CIH病毒是迄今为止发现的最阴险、危害最大的病毒之一。它发作时不仅破坏硬盘的引导扇区和分区表,而且破坏计算机系统FLASH BIOS芯片中
11、的系统程序,导致主板损坏。2CIH病毒发作时的现象 CIH病毒发作时,将用凌乱的信息覆盖硬盘主引导区和系统BOOT区,改写硬盘数据,破坏FLASH BIOS,用随机数填充FLASH内存,导致机器无法运行。所以该病毒发作时仅会破坏可升级主板的FLASH BIOS。1CIH病毒的驻留(病毒的引导)当运行带有CIH病毒的.exe文件时,首先调入内存执行的是病毒的驻留程序,驻留程序为184。2病毒的传染 病毒驻留在内存过程中调用Windows内核底层函数。CIH不会重复感染PE格式文件。3病毒的表现 1)病毒通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块内各写一个字节的代码,造成主机
12、无法启动。2)通过调用Vxd call IOS_SendCommand直接对磁盘进行存取,将垃圾代码以2048个扇区为单位,覆盖硬盘的数据(含逻辑片)3.3.2 红色代码病毒 红色代码红色代码II:3.3.3 冲击波病毒冲击波病毒n针对Windows操作系统(NT/2000/XP/2003)安全漏洞;n利用IP扫描技术寻找Windows操作系统的计算机n利用DCOM RPC缓冲区漏洞进行攻击冲击波病毒的清除冲击波病毒的清除冲击波病毒的清除方法如下。(1)病毒通过微软的最新RPC漏洞进行传播,因此用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。(2)病毒运行时会建立一个名为“BILL
13、Y”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为“msblast”的进程,用户可以用任务管理器将该病毒进程终止。(3)病毒运行时会将自身复制为%systemdir%msblast.exe,用户可以手动删除该病毒文件。(4)病毒还会修改注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项,在其中加入“windows auto update”=“msblast.exe”,进行自启动,用户可以手工清除该键值。(5)病毒会用到135、4444和69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TC
14、P/IP筛选”功能来禁止这些端口。3.4 3.4 计算机病毒的检测和清除计算机病毒的检测和清除3.4.1 计算机病毒的检测计算机病毒的检测技术是指通过一定的技术手段判定计算机病毒的一门技术。现在判定计算机病毒的手段主要有两种:一种是根据计算机病毒特征来进行判断,另一种是对文件或数据段进行校验和计算,保存结果,定期和不定期地根据保存结果对该文件或数据段进行校验来判定。特征判定技术 根据病毒程序的特征,如感染标记、特征程序段内容、文件长度变化、文件校验和变化等,对病毒进行分类处理,而后凡是有类似特征点出现,则认定是病毒。行为判定技术 以病毒机理为基础,对病毒的行为进行判断,不仅识别现有病毒,而且识
15、别出属于已知病毒机理的变种病毒和未知病毒。1.1.特征判定技术特征判定技术(1)比较法:将可能的感染对象与其原始备份进行比较。优点:简单易行;缺点:无法确认是否为病毒,且无法识别病毒种类。特征判定技术特征判定技术(2)扫描法:用每一种病毒代码中含有的特定字符或字符串对被检测的对象进行扫描。实现扫描的软件叫做特征扫描器。组成部分:n病毒特征库:包含各种病毒的特征字符或字符串;n扫描引擎:对检测对象进行匹配性扫描。优点:能准确查处病毒种类和名称;缺点:只能查出病毒特征库中的已知病毒。特征判定技术特征判定技术(3)分析法:针对未知新病毒采用的技术。工作过程如下:n确认被检查的磁盘引导扇区或计算机文件
16、中是否含有病毒。n确认病毒的类型和种类,判断它是否为一种新病毒;n分析病毒程序的大致结构,提取识别用的特征字符或字符串,添加到病毒特征库中;n分析病毒程序的详细结构,为制定相应的反病毒措施提供方案。2.2.校验和判定技术校验和判定技术 计算正常文件内容的校验和,将校验和保存。检测时,检查文件当前内容的校验和与原来保存的校验和是否一致。优点:能发现未知病毒;缺点:无法识别病毒种类。利用病毒的特有行为特性进行监测,一旦发现病毒行为则立即报警。病毒具有一些比较特殊的共同行为:(1)占有INT 13H。所有的引导型病毒,都攻击引导扇区或主引导扇区。(2)改DOS系统为数据区的内存总量。(3)对.COM
17、与.EXE文件进行写入操作。(4)病毒程序与宿主程序的切换。3.3.行为判定技术行为判定技术4软件模拟法 是一种软件分析器,用软件的方法来模拟和分析程序的运行。5病毒指令码模拟法(Virus Instruction Code Emulation)采用专家系统知识库,利用软件工程模拟技术假执行新的病毒,来分析出新的病毒代码。3.4.2 计算机病毒的消除1引导型病毒的清除2文件型病毒的清除3宏病毒的清除1.1.消除引导型病毒消除引导型病毒(引导型病毒的物理载体是磁盘,硬盘中OS的引导扇区包括第一物理扇区和第一逻辑扇区。第一物理扇区存放的是表明硬件类型和分区信息的主引导记录(MBR),第一逻辑扇区存
18、放的是分区引导记录。)自动清除方法 病毒软件自动检测和清除已知的引导型病毒,包括MBR中的病毒,并修复被感染的引导扇区。人工修复染毒的硬盘 格式化硬盘可以清除分区引导记录中的病毒,但不能消除主引导记录中的病毒。用低级格式化工具如FDISK,输入FDISK/MBR可以解决这个问题。2.2.消除文件型病毒消除文件型病毒(文件型病毒的载体是计算机文件,包括可执行文件和含有宏命令的数据文件)非覆盖型病毒:只是将自身附加到感染对象的头部或尾部或其它空白地方,没有破坏文件的有效内容。可以由病毒防治软件进行病毒清除。覆盖型病毒:用干净的备份文件取代。3.3.消除宏病毒消除宏病毒(宏病毒是一种文件型病毒,载体是含有宏命令的数据文件文档或模板。在Word启动时,自动加载startup下模板及Normal.dot模板,宏病毒主要寄生在以下3个宏中:AutoOpen、AutoNew、AutoClose。带病毒文档一般是将文档置成模板类型的文档,当文件找开时,将寄存在这3个宏中的病毒传染给Normal.dot公用模板中,再由公用模板传染给所有正常的文档中。)自动清除方法 Word-VRV可自动检测并清除word模板中的病毒。手工清除方法 宏菜单中删除被认为是宏的病毒。著名杀毒软件公司的站点地址著名杀毒软件公司的站点地址
