1、计算机安全技术基础计算机安全技术基础计算机安全技术基础2第六讲 计算机病毒的概念、特征与防范计算机病毒的产生 计算机病毒的定义和特征 计算机病毒的构成及状态 计算机病毒的工作原理计算机病毒分类病毒检测的方法计算机病毒的传播途径 计算机病毒发展的主要动向 计算机传播蔓延的主要原因计算机病毒的防治策略 计算机安全技术基础3计算机病毒的产生n著名的数学家、计算机的创始人冯.诺依曼早在40多年前就指出,一部实际上足够复杂的机器具有复制自身的能力。冯.诺依曼提出的这种可能性,最早是在科幻小说中出现的 n1975年,美国科普作家约翰.布鲁勒尔写了一本名为“震荡波骑士”的书,在该书中,作者第一次描述了信息社
2、会,而且计算机作为正义和邪恶双方斗争的工具,使之成为当年最佳畅销书之一 n在1977年夏天,托马斯.捷瑞安的科幻小说“P-1的春天”描写了一种可以在计算机中互相传染的病毒,病毒最后控制了7000台计算机,造成了异常灾难 计算机安全技术基础4计算机病毒的产生n1983年,程序自我复制机制秘密被公开,同年11月,美国计算机安全专家Fred Cohen在美国一次“计算机安全每周会议”上,将具有自我复制能力且寄生于其它程序之上的“活的”计算机程序编码实现的可能性问题提出来之后,伦.艾德勒曼将其取名为计算机病毒 nFred Cohen经过在VAX750机上连续8个小时的实验之后,将一种攻击VAX750机
3、的计算机病毒制造出来,从而成为世界上第一例在公开场合下进行病毒实验的事件 计算机安全技术基础5计算机病毒的产生n1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。在几小时内导致因特网堵塞。这个网络连接着大学、研究机关的155000台计算机,使网络堵塞,运行迟缓n1988年下半年,我国在统计局系统首次发现了“小球”病毒,它对统计系统影响极大。计算机安全技术基础6计算机病毒的产生n继小球(Ping Pong)病毒之后,随之又出现了大麻(stone)、巴基斯坦(brain)、黑色星期五(jerusalem)、磁
4、盘杀手(diskkiller)、杨基都督(yankeedodle)、雨点(1701)、毛毛虫(1575)等。当时在全国约有75%的计算机染有病毒 n1993年开始,计算机病毒一改原有的表现形式,悄悄地侵入计算机系统,神出鬼没地进行感染,典型代表就是“幽灵”病毒n1995年,一种新型的计算机病毒即宏病毒出现 计算机安全技术基础7计算机病毒的产生n1998年,我国发现了一种CIH的恶性计算机病毒,这种病毒是我国迄今为止发现的首例直接攻击、破坏硬件系统的计算机病毒。这种病毒可通过软件之间的相互拷贝进行传染,亦可通过互联网络传输文件时进行传染 n1999年,一种叫BO黑客病毒开始在我国互联网China
5、net传播,计算机一旦感染这种病毒,则整个系统在网上暴露无疑。因此,也称这种病毒为“后门”病毒 计算机安全技术基础8蠕虫病毒搭乘伊拉克战争快车 n3月24日,新蠕虫病毒“Ganda”出现了.该病毒以邮件附件的形式传播,病毒将自身组件嵌入在Win32 PE可执行文件中,并尽力避开反病毒软件的检测。该病毒进入系统后,一旦发现virus,firewall,fsecure,symantec,mcafee,pc-cillin,trend micro,kaspersky,sophos,norton等字符的进程(这些都是著名的反病毒软件),将立即中止该进程,先发制人把反毒软件干掉。n反病毒软件失效后,该病毒
6、就可以顺利逃避反病毒软件的检测计算机安全技术基础9蠕虫病毒搭乘伊拉克战争快车nGanda蠕虫病毒是在伊拉克战争爆发时传播的,病毒会用许多与伊拉克战争有关的邮件主题吸引大家的兴趣,譬如:一张希望终止间谍侦察行动”的动画。一个关于乔治.布什的屏保,一副执行特殊侦察任务的美国的某侦察卫星的特写镜头等。病毒利用这些伎俩,诱使你打开附件中招计算机安全技术基础10计算机病毒的定义n“计算机病毒”一词是人们借用了生物学“病毒”这一术语,来描述那些具有明显生物病毒特征并对计算机信息系统进行破坏的“病原体”n计算机病毒是隐藏在计算机系统的数据资源中,利用系统资源进行繁殖并生存,能够影响计算机系统正常运行并通过系
7、统数据资源共享的途径进行传染的程序。这种计算机病毒程序一般要在计算机系统内,经历反复一自我繁殖和扩散,使计算机系统出现异常,最终导致计算机系统发生故障,甚至瘫痪。由于这种程序的特性和所经历的过程与生物病毒极为相似,所以人们称它为“计算机病毒”计算机安全技术基础11计算机病毒的特征n“计算机病毒”不是天然存在的,而是人故意编制的一种特殊的计算机程序。这种程序具有如下特征:n感染性n流行性n繁殖性n变种性n潜伏性n针对性n表现性计算机安全技术基础12感染性n计算机病毒可以从一个程序传染到另一个程序,从一台计算机到另一台计算机,从一个计算机网络到另一个计算机网络或在网络内各个系统上传染、蔓延,同时使
8、被感染的程序、计算机、网络成为计算机病毒的生存环境及新的传染源计算机安全技术基础13流行性n一种计算机病毒出现之后,可以影响一类计算机程序、计算机系统、计算机网络,并且这种影响在一定的地域内或者一定的应用领域内是广泛的计算机安全技术基础14繁殖性n计算机病毒在传染系统之后,可以利用系统环境进行繁殖或称之为自我复制,使得自身数量增多计算机安全技术基础15变种性n计算机病毒在发展、演化过程中可以产生变种计算机安全技术基础16潜伏性n计算机病毒在感染计算机系统后,感染条件满足前,病毒可能在系统中没有表现症状,不影响系统的正常使用计算机安全技术基础17针对性n一种计算机病毒并不是能感染所有的计算机系统
9、或程序,如:有的感染IBM PC及兼容机的,有感染APPLEII微机的,有感染 COMMAND.COM或 EXE。计算机安全技术基础18表现性n计算机病毒感染系统后,被传染的系统在病毒表现及破坏部分被触发时,表现出一定的症状,如:显示屏异常、系统速度慢、文件被删除、死机等。计算机安全技术基础19计算机病毒的构成n计算机病毒代码的结构一般来说包括3大功能模块:n引导模块n传染模块n破坏模块 计算机安全技术基础20引导模块n引导模块将病毒由外存引入内存,使后两个模块处于活动状态。计算机安全技术基础21传染模块n传染模块显然用来将病毒传染到其它对象上去 计算机安全技术基础22破坏模块n破坏模块实施病
10、毒的破坏作用,如删除文件,格式化磁盘等n由于有些病毒的该模块并没有明显的恶意破坏作用,而只是进行一些视屏或声方面的自我表现作用,故该模块有时又称表现模块 计算机安全技术基础23计算机病毒的状态n计算机病毒有两种状态,即静态病毒和动态病毒。n静态病毒没有处于加载状态,不能执行病毒的传染或破坏作用。n病毒的传染和破坏主要是由动态病毒进行的。内存中处于活动状态的病毒时该监视系统的运行,一旦传染条件或破坏条件被触发,即调用其传染代码段或破坏代码段,使病毒得以扩散,系统蒙受损失 计算机安全技术基础24计算机病毒的工作原理n计算机病毒传染的过程是这样的:病毒从带毒载体进入内存,一般利用操作系统的加载机制或
11、引导机制。当系统运行一个带毒文件或用一带毒系统盘启动时,病毒就进入内存。而从RAM侵入无毒介质则利用了操作系统的读写磁盘中断或加载机制。n内存中的病毒时刻监视着操作系统的每一个操作,一旦该操作满足病毒设定的传染条件(通常为访问一无毒盘或加载一无毒文件等),病毒程序便将自身代码拷贝到受攻击目标上去,使之受传染 计算机安全技术基础25计算机病毒的工作原理n病毒传染都是利用其自身的传染机制实现的,是病毒的主动攻击;n通常见到的还有另一种传染,例如,把一个带毒的文件拷贝到一新盘上去或对一个带毒盘作全盘拷贝都会使新盘受到传染,这种传染是一种被动传染,这期间病毒的传染机制并没起作用。n主动传染和被动传染在
12、效果上是等效的,但后者的成功取决于用户对病毒的存在不知不觉 计算机安全技术基础26计算机病毒的传染过程n驻入内存。病毒停留在内存中,监视系统的运行,选择机会进行传染。这一步通常由引导模块实现,如没引导模块,则这一步也不会有n判断传染条件。传染模块被激活后,会马上对攻击目标进行判断,以决定是否传染之。n传染。通过适当的方式把病毒写入磁盘,同时保证被攻击的对象(引导记录、原执行文件)仍可正常运行,即进行的是传染而非破坏,因为病毒要以一个特洛伊木马的形式寄生。计算机安全技术基础27计算机病毒分类n病毒存在的媒体 n病毒破坏的能力 n病毒特有的算法 计算机安全技术基础28病毒存在的媒体n根据病毒存在的
13、媒体,病毒可以划分为:网络病毒、文件病毒和引导型病毒。n网络病毒通过计算机网络传播感染网络中的可执行文件n文件病毒感染计算机中的文件(如:com,exe,doc等)n引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)n还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法 计算机安全技术基础29病毒破坏的能力n根据病毒破坏的能力可划分为以下几种:n无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。n无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音
14、响。n危险型:这类病毒在计算机系统操作中造成严重的错误。n非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息 计算机安全技术基础30病毒特有的算法n根据病毒特有的算法,病毒可以划分为伴随型病毒“蠕虫”型病毒寄生型病毒计算机安全技术基础31伴随型病毒n这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件计算机安全技术基础32蠕虫型病毒n通过计算机网络
15、传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源计算机安全技术基础33寄生型病毒n除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法分为:n练习型病毒n诡秘型病毒n变型病毒计算机安全技术基础34练习型病毒n病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。计算机安全技术基础35诡秘型病毒n它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利
16、用DOS空闲的数据区进行工作。计算机安全技术基础36变型病毒n又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。计算机安全技术基础37病毒检测的方法n在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。n检测病毒方法有:n特征代码法n校验和法n行为监测法n软件模拟法n这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长 计算机安全技术基础38特征代码法n特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最
17、小的方法。n特征代码法的实现步骤如下:n采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。n在病毒样本中,遵从一定的原则抽取特征代码。n打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。计算机安全技术基础39抽取特征代码的原则n抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减
18、少空间与时间开销 计算机安全技术基础40特征代码法的优缺点n特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。n其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。计算机安全技术基础41特征代码法的特点n速度慢速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。n误报警率低误报警率低。n不能检查多态性病毒不能检查多态性病毒。特征代码法
19、是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。n不能对付隐蔽性病毒不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗 计算机安全技术基础42校验和法n将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,n它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具
20、的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。计算机安全技术基础43校验和法的不足n不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度n校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和 计算机安全技术基础44校验和法查病毒的方式n在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。n在应用程序中,放入
21、校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。n将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。计算机安全技术基础45行为监测法n利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。n通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。n做为监测病毒的行为特征如下:n占有INT 13Hn改DOS系统为数据区的内存总量n对COM、EXE文件做写入动
22、作n病毒程序与宿主程序的切换 计算机安全技术基础46占有INT 13Hn所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。计算机安全技术基础47改DOS系统内存总量 n病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。计算机安全技术基础48写入动作 n病毒要感染,必须写COM、EXE文件。计算机安全技术基础49病毒程序与宿主程序的切换 n染毒程序运行中,先运行病毒,而后执行宿主
23、程序。在两者切换时,有许多特征行为 计算机安全技术基础50行为监测法的优缺点n行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度 计算机安全技术基础51计算机病毒的传播途径n通过软盘:通过使用外界被感染的软盘进行传播。n通过光盘:一些软件在写入光盘前就已经被病毒感染,这种带毒的光盘也是病毒传播的一种途径。n通过硬盘:通过使用带有病毒的计算机,将干净的软盘或光盘感染再进一步扩散。n通过网络:通过网络传播病毒是目前病毒传播的一种主要途径。其传播速度快,传播范围广,给防范计算机病毒带来严峻的挑战计算机安全技术基础52计算
24、机病毒发展的主要动向n病毒的多形化。这类病毒可使以往的搜索病毒程序失去搜索效能,常常产生漏杀现象;n病毒产生的自动化。“病毒生产机”的出现,导致了“同族”病毒数量巨增,增加了反病毒的难度;n病毒的智能化。未来的病毒将通过变化自身代码来对抗反病毒产品,这种变形技术,是智能化病毒的首要基本特征;n病毒的政治化。未来的病毒将成为国际恐怖活动主要手段之一,通过病毒诈骗、勒索,实施政治及人身攻击等;n病毒的军用化 计算机安全技术基础53计算机传播蔓延的主要原因n计算机系统硬件和软件的脆弱性n人为因素 计算机安全技术基础54计算机系统软硬件的脆弱性n现代计算机系统,尤其是微机系统是安全性、开放性及制造成本
25、的一种折中。同时,就软件环境而言,计算机操作系统又是经过多年开发研制成功的,是在不断应用的过程中逐渐成熟的,是在实际应用中发现问题、解决问题进而得以完善的,所以操作系统在一定程度上存在“漏洞”。正是这种硬件的折中和操作系统的不尽完善使得计算机本身在安全方面必然存在着脆弱性。无疑,这种脆弱性是当今计算机病毒蔓延的主要原因 计算机安全技术基础55人为因素n安全意识淡薄,安全制度不健全。n安全技术防范措施薄弱,系统安全防御能力不强。n病毒的种类和花样不断增多和翻新,计算机系统将面临更严峻的考验 计算机安全技术基础56计算机病毒的防治策略n计算机病毒的防治要从防毒、查毒、解毒三方面来进行;n系统对于计
26、算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判 计算机安全技术基础57计算机病毒的防治策略n防毒是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。n查毒是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。n解毒是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等 计算机安全技术基础58防毒能力n防毒能力是指预防病毒侵入计算机系统的能力。n通过采取防毒措施,应可以准确地、实时地监测预警经由
27、光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源 计算机安全技术基础59查毒能力n查毒能力是指发现和追踪病毒来源的能力。n通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;n查解病毒的能力应由查毒率和误报率来评判。计算机安全技术基础60解毒能力n解毒能力是指从感染对象中清除病毒,恢复被病毒感染
28、前的原始信息的能力;n解毒能力应用解毒率来评判 计算机安全技术基础61病毒检测软件的作用原理 n计算机病毒检测软件,通常从三个方面起作用,有效检测带毒文件。1严密监控内存RAM区 2监控磁盘引导扇区 计算机安全技术基础62严密监控内存RAM区n对RAM的监控主要包括三个方面:n(1)跟踪内存容量的异常变化n 内存容量由内存0000:004BH处的一个字单元来表示。正常情况下,该处的一个字表示以K为单位的内存容量。例 如,如果内存容量为512K,则该字的内容为0200H,如果内存容量为640K,则该字的内容为0280H。由于系统型的病毒在侵入系统后,一般都要对内存容量进行修改,以便保护其放在内存
29、高端的病毒程序不被其他程序或COMMAND.COM文件的暂驻部分所覆盖。因此,如果软件检测到内存容量发生了某些异常变化,通常是容量被无端占用,大幅度缩容,则表明有病毒存在。计算机安全技术基础63严密监控内存RAM区n(2)对中断向量进行监控、检测 n(3)对RAM区进行扫描 利用检测软件中所储存的大量病毒特征值,对RAM区中的所有字符串进行扫描。如果发现RAM中的某些字符串与已 知病毒的特征值字符串相同,则表明内存中己驻留了这种病毒,应立即采取措施。计算机安全技术基础64监控磁盘引导扇区n系统型病毒主要维护引导扇区,对引导扇区的严格监控,可以有效检测出系统型病毒。n(1)代码和有变,则可能有病
30、毒感染由DOS的各种版本格式化后磁盘引导扇区的内容都是固定的,所以其代码和也是固定的。检测软件在求出代码和后,如果发现其结果与DOS版本的正常代码不一致,就可以初步确定被检测的磁盘引导扇区被病毒所感染。n此方法有其局限性,通常它需结合其他方法才能做出最终判断。计算机安全技术基础65监控磁盘引导扇区n(2)扫描引导扇区的所有字符串n 若发现有病毒特征值字符串出现,则可以判定有病毒存在于引导扇区。n(3)全方位扫描磁盘文件n 检测软件对系统中的所有文件进行扫描,查找病毒特征值字符串,以确定是否有病毒被检测出。显然,它是针对文件型病毒的一种作用方式。计算机安全技术基础66病毒消除软件的作用原理 n病
31、毒消除软件必须包含两方面的功能:n病毒检测n病毒消除。计算机安全技术基础67定量检测及分析病毒n虽然对于病毒的检测已有专门的软件可以完成,但是,这些专门用于病毒检测的软件只是对检测目标进行了扫描,也就是定性地检测。而在具体进行消除之前,必须对被感染的目标进行定量的检测分析,这是由于即使是同一病毒对不同的目标(不同的磁盘或不同的文件)感染的结果也是不完全相同的。在消除之前首先对被感染的目标进行一次具体的检测分析,才能对具体的感染目标进行正确的杀毒。计算机安全技术基础68病毒的清除n病毒清除模块主要完成将被感染目标上的病毒程序进行去除,使该被感染目标恢复原有的结构。n具体地说,对于被系统型病毒感染
32、的磁盘,主要是对磁盘原引导扇区的内容重新写回;而对于被文件型病毒感染的磁盘文件,则是将其中的病毒程序删除,同时恢复原文件中被修改的部分。n但是,由于病毒程序是复杂的,对于将其中被一些病毒感染的目标来说,要想将病毒程序从其中完全去除是比较困难的。对于这种情况,消除软件对被感染的目标进行一定的修改,使病毒程序失去其传染性和破坏性,也不失为一种可行的办法。计算机安全技术基础69病毒预防软件的作用原理 n病毒预防软件又称为病毒报警软件,它必须在系统启动时尽可能早地装人内存以发挥监控作用。它监视系统运行时的任何异常的举动,一旦发现有病毒侵入的迹象,即进行报警,提示用户及时处理。n所谓异常举动主要是指病毒
33、在侵入系统时对系统所进行的各种非法修改操作。n一般情况下,监视系统的异常举动,主要从三个方面来进行。计算机安全技术基础70监视特定的中断向量n对于系统型的计算机病毒来说,在侵入系统时,一般都要对中断向量INT 13H、INT 8以及INT 1CH等进行修改,对于文件型病毒则一般除对以上几种中断进行修改外,还要对中断INT 21H进行修改,病毒程序让这些中断向量指向病毒程序的传染模块,因为这些中断功能调用都是系统运行时经常使用的中断功能调用,病毒程序修改它们以后,就使得病毒程序的传染模块处于激活状态,以便在适当的时候进行传染。n由于这样的原因,病毒报警软件在系统运行期间,就要随时监视这些中断向量
34、地址是否被修改,在发现某一中断向量地址被修改时,立即报警。计算机安全技术基础71监视写引导扇区的操作n因为系统型的计算机病毒在进行传染时,主要是将病毒程序的一部分写入磁盘引导区或硬盘的主引导扇区,而磁盘引导扇区或硬盘主引导扇区一般情况下是不允许被进行写操作的。所以报警软件在系统运行期间,只要发现系统运行时出现引导扇区发生写操作,即进行报警,以阻止计算机病毒的传染。计算机安全技术基础72监视写可执行文件的操作n对于文件型的计算机病毒,在传染目标文件时,一般是将病毒程序采用链接的方法写入可执行文件的.EXE和.COM文 件中,而对于一般的应用软件来说,在运行期间一般不可能对可执行文件进行写操作,所
35、以病毒报警软件在系统运行时,如果检测到系统有对可执行文件进行写操作的企图,则表明有病毒试图感染系统,可以报答以便提醒用户,及时防止。计算机安全技术基础73防病毒卡的作用原理 n杀毒软件的原理决定了当一种新病毒出现时,必须由反病毒技术人员对新病毒样本进行分析,确定特征值和编制相应的杀毒程序,通过对老版本杀毒软件的升级,才能杀除新病毒。所以杀毒软件对抗新病毒总有一定的滞后性,于是90 年代我国计算机工作者发明了一种能在一定程度上对抗新病毒的反病毒产品防病毒卡。计算机安全技术基础74防病毒卡的原理n所谓防病毒卡是通过分析大量已知病毒,根据它们的机理、传染和破坏行为的共同规律特性分成若干类群体,在此基
36、础上编制成监视病毒共性的防病毒程序,固化到EPROM存储器中做成防病毒卡。n当防病毒卡监测到病毒行为时,就认为内存中有病毒在活动发出报警,采取一些措施尽量终止内存病毒的活动,防止病毒传染和破坏。n在一些情况下,防病毒卡监视到硬盘主引导区、DOS引导区、FAT表以及可执行文件等的重要部位有可能被修改,但不能肯定是病毒行为,就采用疑问式报警提醒用户注意,由用户判断合法性,回答YES或NO表示同意或不同意修改。计算机安全技术基础75防病毒卡的特点n防病毒卡对病毒的检测不依赖病毒的个性特征,而是根据已知病毒群体的共同行为,所以能够防治新病毒的出现,即没有原理性发展的新病毒。n仍以引导型病毒为例,如果新
37、病毒在占用内存、传染途径等方面找不到新路子,仍然占据常规内存高端,依旧修改INT 13,则不论病毒的磁盘记录发生任何变化,从而形成多种新病毒,但它们进入内存后只不过是“故伎重演”,就都能被防病毒卡检测出来。n所以防病毒卡的主要特点是能够防治没有原理性突破的新病毒。计算机安全技术基础76防病毒卡的特点n防病毒卡作为一种扩展计算机功能的硬件产品,具有一些突出的“硬”特点。在计算机上电过程中,扩展硬卡先于磁盘系统启动,使反病毒系统优于一切磁盘病毒完成初始化,既能有效地拦截开机过程中的引导型病毒,又能预先建立防治文件型病毒的体系。n硬卡的工作具有实时性,从开机上电直到关机,计算机系统始终处于硬卡的监视
38、下,而且不占 用计算机RAM内存。硬卡本身是完全免疫的,病毒不可能攻击改变硬卡上的反病毒系统。这些“硬”特点是磁盘软件不可能实现或者很难实现的。计算机安全技术基础77防病毒卡的不足n但另一方面不能把防病毒卡的功能无限扩大,因为防病毒卡所能检测的病毒共性同样是设计人员对已知病毒的分析得来的。如果新病毒采用了新的机理,从而产生防病毒卡检测不到的传染破坏行为,防病毒卡就会“漏报”病毒。n在防病毒卡发展史上最著名的漏报事件是DIR2病毒,90年代初设计的防病毒卡主要靠监视INT 21中断来判别病毒,但1992年出现的DIR2病毒并不修改INT 21就达到传染目的,所以当时的防病毒卡没能防得住DIR2病
39、毒。表现为病毒已经进入内存并传染文件,而防病毒卡却无反应。计算机安全技术基础78防病毒卡的不足n防病毒卡的主要不足是只防病毒不杀病毒,防病毒卡报告的清除病毒是指内存中的动态病毒,对磁盘上的静态病毒则无能为力。n当使用染毒磁盘时,防病毒卡即使能发现病毒并报警,磁盘上的病毒也是“安然无恙”。而用户的要求恰恰是消除磁盘病毒,所以可以说没有杀毒功能的纯防病毒卡不能构成完整的反病毒系统。n另外防病毒卡的工作原理是先让病毒进入计算机内存,再根据其行为进行判定,所以造成计算机“带毒运行”,对计算机是不安全的。n防病毒卡还存在“误报”问题,即在没有病毒情况下防病毒卡判断为有病毒活动。计算机安全技术基础79防病
40、毒卡的不足n防病毒卡曾为对抗病毒,减少用户损失发挥了重要作用,但防病毒卡已经结束其使命退出反病毒舞台。究其原因,并不是技术问题,而主要是以下两方面的原因。一是用户变化造成的。90年代初期计算机用户大多是计算机专业人员,他们对计算机及防病毒卡的认识较深,安装防病毒卡也较容易。但时至今日,计算机用户大多是非专业人员,他们认为 杀毒才是反病毒之根本,而防病毒卡侧重预防病毒恰恰不具备彻底杀毒功能。n二是市场竞 争造成的。由于防病毒卡的最大致命弱点是与计算机软硬件的兼容性问题。今日计算机软硬件发展飞速,反病毒厂家集中大量人力财力解决防病毒卡的兼容性问题与做反病毒软件相比,投人产出比相差太大。这样厂家为适
41、应市场竞争需要,弃“硬”投“软”。计算机安全技术基础80计算机网络安全策略n从管理的角度,可以从以下几个方面来防治计算机病毒一级提高网络安全:n系统管理员要加强对系统的安全检测和控制能力,检测安全漏洞及配置错误,对已发现的系统漏洞,要立即采取措施进行升级、改造,做到防微杜渐。n加强安全管理。在确保合法用户的合法存取的前提下,本着最小授权的原则设置属性和权限,加强网络访问控制,做好用户上网访问的身份认证工作,对非法入侵者以物理隔离方式,可阻挡绝大部分黑客非法进入网络。1)集中监控。对网络实行集中同一管理和集中监控机制,建立和完善口令使用和分级管理制度,重要口令由专人负责,从而防止内部人员越级访问
42、和越权采集数据。计算机安全技术基础81计算机网络安全策略n多层次防御和部门间的物理隔离。可以在防火墙的基础上实施对不同部门之间的由多级网络设备隔离的小网络,根据信息源的性质,尽量对公众信息和保密信息实施不同的安全策略和多级别保护模式n要随时跟踪最新网络安全技术,采用国内外先进的网络安全技术、工具和产品。同时,一旦防护手段失效,要有先进的系统恢复、备份技术。总之,只有把安全管理制度与安全管理技术手段结合起来,整个网络系统的安全才有保证,网络破坏活动才能被阻挡于门户之外。n建立良好的电脑使用习惯。包括不要使用盗版软件、尽量使用硬盘开机、启动盘一定要确保为写保护状态、使用防毒产品检查外来的文档、养成
43、备份资料的好习惯、配置真正有效的防毒产品、勿收来历不明的电子邮件附件、不访问内容不健康的网站。计算机安全技术基础82几种典型的病毒nWord宏病毒nCIH病毒n“爱虫”病毒n红色代码病毒n“蠕虫王”病毒计算机安全技术基础83Word宏病毒nMicrosoft Word中对宏定义为:宏就是能组织到一起作为一独立的命令使用的一系列Word命令,它能使日常工作变得更容易。nWord宏病毒是一些制作病毒的专业人员利用Microsoft Word的开放性即Word中提供的Word BASIC编程接口,专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机使用,并能通过DOC文档及DOT
44、模板进行自我复制及传播计算机安全技术基础84宏病毒的特点n传播极快 n制作、变种方便 n破坏可能性极大计算机安全技术基础85传播极快nWord宏病毒通过DOC文档及DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。多年来,人们大多重视保护自己计算机的引导部分和可执行文件不被病毒感染,而对外来的文档文件基本是直接浏览使用,这给Word宏病毒传播带来很多便利。特别是Internet网络的普及,E-mail的大量应用更为Word宏病毒传播铺平道路。计算机安全技术基础86制作、变种方便nWord使用宏语言WordBasic来编写宏指令。宏病毒同样用WordBasic来编写。n目前,世界上
45、的宏病毒原型已有几十种,其变种与日骤增,追究其原因还是Word的开放性所致。现在的Word病毒都是用WordBasic语言所写成,大部分Word病毒宏并没有使用Word提供的Execute-Only处理函数处理,它们仍处于可打开阅读修改状态n所有用户在Word工具的宏菜单中很方便就可以看到这种宏病毒的全部面目。当然会有不法之徒利用掌握的Basic语句把其中病毒激活条件和破坏条件加以改变,立即就生产出了一种新的宏病毒,甚至比原病毒的危害更加严重计算机安全技术基础87破坏可能性极大n鉴于宏病毒用WordBasic语言编写,WordBasic语言提供了许多系统级底层调用,如直接使用DOS系统命令,调
46、用WindowsAPI,调用DDE、DLL等。这些操作均可能对系统直接构成威胁,而Word在指令安全性完整性上检测能力很弱,破坏系统的指令很容易被执行。n宏病毒Nuclear就是破坏操作系统的典型一例计算机安全技术基础88宏病毒的共性n宏病毒会感染DOC文档文件和DOT模板文件 n病毒宏的传染n大多数宏病毒中含有AutoOpen,AutoClose,AutoNew和AutoExit等自动宏n病毒宏中必然含有对文档读写操作的宏指令n宏病毒在DOC文档、DOT模板中是以BFF(BinaryFileFormat)格式存放计算机安全技术基础89CIH病毒简介nCIH病毒是一种能够破坏计算机系统硬件的恶
47、性病毒。它产自台湾,最早随盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。目前传播的主要途径是通过Internet和电子邮件。CIH病毒只感染Windows95/98操作系统,对DOS操作系统似乎还没有什么影响,这可能是因为它使用了 Windows下的VxD(虚拟设备驱动程序)技术造成的。计算机安全技术基础90CIH病毒简介nCIH病毒每月26日都会爆发(有一种版本是每年4月26日爆发)。CIH病毒发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家修理,更换BIOS芯片。
48、nCIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒nCIH病毒,原体加变种一共有5种之多,CIH病毒变种不但不增长受感染文件,还有很强的破坏性,这个病毒有3个主要变种(CIHv1.2:4月26日发作,CIHv1.3:6月26日发作,CIHv1.4:每月26日发作)计算机安全技术基础92攻击BIOSnCIH病毒最异乎寻常之处,是它对计算机BIOS的攻击。打开计算机时,BIOS首先取得系统的控制权,它从CMOS中读取系统设置参数,初始化并协调有关系统设备的数据流。CIH发作时,会试图向BIOS 中写入垃圾信息,BIOS中的内容会被彻底洗去,造成计算机无法启动,只
49、有更换主板或BIOS。据测试发现CIH能够破坏市面上常见的数十种BIOS。从这个角度上看,CIH病毒是首例直接攻击和破坏计算机硬件系统的病毒,会给众多的计算机用户带来摧毁性的结局计算机安全技术基础93覆盖硬盘n向硬盘写入垃圾内容也是CIH的破坏性之一。CIH发作时,调用BIOS SendCommand直接对硬盘进行存取,将垃圾代码以2048个扇区为单位循环写入硬盘,直到所有硬盘(含逻辑盘)的数据均被破坏为止计算机安全技术基础94CIH病毒修复办法n对于已经被CIH破坏的硬盘,可以作以下处理:n第一个逻辑盘通常是C:盘,通常不可完全恢复,但是如果使用Kill98制作过应急盘,可以用Kill98应
50、急盘中保存的主引导区记录、分区表记录恢复硬盘,找回大部分文件。n其他逻辑盘只要不是FAT32,可以用NDD之类的磁盘工具或用Kill98应急盘恢复,但需要使用者对硬盘的物理结构有足够的了解。nFAT32分区的逻辑盘的处理需要对FAT32结构具有深入了解的专业人员用Debug等工具手工进行恢复计算机安全技术基础95CIH病毒修复办法n对于被CIH破坏的主板,可以作以下处理:n如果是能够提供良好服务的厂家品牌的主板,请与厂家联系。n找一个相同型号的主板(要求BIOS的厂家和版本必须严格相同),下载主板厂家提供的升级文件,取出坏B IOS,用新的BIOS片启动电脑,并在带电的情况下换回坏的BIOS片
