信息安全技術第7講

病毒防范技術7.1病毒防范技術與殺病毒軟件7.2解析計算機蠕蟲病毒第7-1講

病毒防范技術與殺病毒軟件計算機病毒實際上是一種在計算機系統運行過程中能夠實現傳染和侵害計算機系統功能的程序。在系統穿透或違反授權攻擊成功后，攻擊者通常要在系統中植入一種能力，為攻擊系統、網絡提供條件。例如向系統中侵入病毒、蛀蟲、特洛伊木馬、陷門、邏輯炸彈；或通過竊聽、冒充等方式來破壞系統正常工作。因特網是目前計算機病毒的主要傳播源。針對病毒的嚴重性，我們應提高防范意識，做到所有軟件都經過嚴格審查，經過相應的控制程序后才能使用；積極采用防病毒軟件，定時對系統中的所有工具軟件、應用軟件進行檢測，以防止各種病毒的入侵。第7-1講

病毒防范技術與殺病毒軟件1.計算機病毒的概念“病毒”一詞源于生物學，人們通過分析研究發現，計算機病毒在很多方面與生物病毒有相似之處，以此借用生物病毒的概念。在《中華人民共和國計算機信息系統安全保護條例》中的相關定義是：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并且能夠自我復制的一組計算機指令或者程序代碼。”第7-1講

病毒防范技術與殺病毒軟件(1)病毒的產生和發展隨著計算機應用的普及，早期就有一些科普作家意識到可能會有人利用計算機進行破壞，提出了“計算機病毒”這個概念。不久，計算機病毒便在理論、程序上都得到了證實。第7-1講

病毒防范技術與殺病毒軟件1949年，計算機的創始人馮·諾依曼發表《復雜自動機器的理論和結構》的論文，提出了計算機程序可以在內存中進行自我復制和變異的理論。

此后，許多計算機人員在自己的研究

工作中應用和發展了程序自我復制的

理論。第7-1講

病毒防范技術與殺病毒軟件1959年，AT＆T貝爾實驗室的3位成員設計出具有自我復制能力、并能探測到別的程序在運行時能將其銷毀的程序。1983年，FredCohen博士研制出一種在運行過程中可以復制自身的破壞性程序。并在全美計算機安全會議上提出和在VAXII/150機上演示，從而證實計算機病毒的存在，這也是公認的第一個計算機病毒程序的出現。第7-1講

病毒防范技術與殺病毒軟件隨著計算機技術的發展，出現了一些具有惡意的程序。最初是一些計算機愛好者惡作劇性的游戲，后來有一些軟件公司為防止盜版在自己的軟件中加入了病毒程序。1988年，羅伯特·莫里斯(RoberMoms)制造的蠕蟲病毒是首個通過網絡傳播而震撼世界的“計算機病毒侵入網絡的案件”。后來，又出現了許多惡性計算機病毒。計算機病毒會搶占系統資源、刪除和破壞文件，甚至對硬件造成毀壞，而網絡的普及使得計算機病毒傳播更加廣泛和迅速。第7-1講

病毒防范技術與殺病毒軟件(2)惡意程序所謂惡意程序是指一類特殊的程序，它們通常在用戶不知曉也末授權的情況下潛入進來，具有用戶不知道(一般也不許可)的特性，激活后將影響系統或應用的正常功能，甚至危害或破壞系統。惡意程序的表現形式多種多樣，有的是改動合法程序，讓它含有并執行某種破壞功能；有的是利用合法程序的功能和權限，非法獲取或篡改系統資源和敏感數據，進行系統入侵。第7-1講

病毒防范技術與殺病毒軟件根據惡意程序威脅的存在形式不同，將其分為需要宿主程序和不需要宿主程序可獨立存在的威脅兩大類，前者基本上是不能獨立運行的程序片段，而后者是可以被操作系統調度和運行的自包含程序。第7-1講

病毒防范技術與殺病毒軟件第7-1講

病毒防范技術與殺病毒軟件也可以根據是否進行復制來區分這些惡意程序。前者是當宿主程序被調用時被激活起來完成一個特定功能的程序片段；后者是由程序片段(病毒)或由獨立程序(蠕蟲、細菌)組成，在執行時可以在同一個系統或某個其他系統中產生自身的一個或多個以后將被激活的副本。事實上，隨著惡意程序彼此間的交叉和互相滲透(變異)，這些區分正變得模糊起來。惡意程序的出現、發展和變化給計算機系統、網絡系統和各類信息系統帶來了巨大的危害。第7-1講

病毒防范技術與殺病毒軟件1)陷門。是進入程序的秘密入口。知道陷門的人可以不經過通常的安全訪問過程而獲得訪問權力。陷門技術本來是程序員為了進行調試和測試程序時避免繁瑣的安裝和鑒別過程，或者想要保證存在另一種激活或控制的程序而采用的方法。如通過一個特定的用戶ID、秘密的口令字、隱蔽的事件序列或過程等，這些方法都避開了建立在應用程序內部的鑒別過程。第7-1講

病毒防范技術與殺病毒軟件當陷門被無所顧忌地用來獲得非授權訪問時，就變成了威脅。如一些典型的可潛伏在用戶計算機中的陷門程序，可將用戶上網后的計算機打開陷門，任意進出；可以記錄各種口令信息，獲取系統信息，限制系統功能；還可以遠程對文件操作、對注冊表操作等。第7-1講

病毒防范技術與殺病毒軟件在有些情況下，系統管理員會使用一些常用的技術來加以防范。例如，利用工具給系統打補丁，把已知的系統漏洞給補上；對某些存在安全隱患的資源進行訪問控制；對系統的使用人員進行安全教育等。這些安全措施是必要的，但絕不是足夠的。只要是在運行的系統，總是可能找出它的漏洞而進入系統，問題只是進入系統的代價大小不同。另外，信息網絡的迅速發展是與網絡所能提供的大量服務密切相關的。由于種種原因，很多服務也存在這樣或那樣的漏洞，這些漏洞若被入侵者利用，就成了有效進入系統的陷門。第7-1講

病毒防范技術與殺病毒軟件2)邏輯炸彈。在病毒和蠕蟲之前，最古老的軟件威脅之一就是邏輯炸彈。邏輯炸彈是嵌入在某個合法程序里面的一段代碼，被設置成當滿足特定條件時就會“爆炸”，執行一個有害行為的程序，如改變、刪除數據或整個文件，引起機器關機，甚至破壞整個系統等破壞話動。第7-1講

病毒防范技術與殺病毒軟件3)特洛伊木馬。是指一個有用的或者表面上有用的程序或命令過程，但其中包含了一段隱藏的、激活時將執行某種有害功能的代碼，可以控制用戶計算機系統的程序，并可能造成用戶的系統被破壞甚至癱瘓。特洛伊木馬程序是一個獨立的應用程序，不具備自我復制能力，但具有潛伏性，常常有更大的欺騙性和危害性，而且特洛伊木馬程序可能包含蠕蟲病毒程序。第7-1講

病毒防范技術與殺病毒軟件特洛伊木馬的一個典型例子是被修改過的編譯器。該編譯器在對程序(例如系統注冊程序)進行編譯時，將一段額外的代碼插入到該程序中。這段代碼在注冊程序中構造陷門，使得可以使用專門口令來注冊系統。不閱讀注冊程序的源代碼，永遠不可能發現這個特洛伊木馬。第7-1講

病毒防范技術與殺病毒軟件4)細菌。是一些并不明顯破壞文件的程序，它們的惟一目的就是繁殖自己。一個典型的細菌程序除了在多進程系統中同時執行自己的兩個副本，或者可能創建兩個新的文件(每一個都是細菌程序原始源文件的一個復制品)外，可能不做什么其他事情。那些新創建的程序又可能將自己兩次復制，依此類推，細菌以指數級地再復制，最終耗盡了所有的處理機能力、存儲器或磁盤空間，從而拒絕用戶訪問這些資源。第7-1講

病毒防范技術與殺病毒軟件5)蠕蟲。是一種可以通過網絡進行自身復制的病毒程序。一旦在系統中激活，蠕蟲可以表現得像計算機病毒或細菌。可以向系統注入特洛伊木馬程序，或者進行任何次數的破壞或毀滅行動。普通計算機病毒需要在計算機的硬盤或文件系統中繁殖，而典型的蠕蟲程序只會在內存中維持一個活動副本，甚至根本不向硬盤中寫入任何信息。此外，蠕蟲是一個獨立運行的程序，自身不改變其他程序，但可攜帶一個具有改變其他程序功能的病毒。第7-1講

病毒防范技術與殺病毒軟件為了自身復制，網絡蠕蟲使用了某種類型的網絡傳輸機制。例如電子郵件。網絡蠕蟲表現出有潛伏期、繁殖期、觸發期和執行期的特征。第7-1講

病毒防范技術與殺病毒軟件2.計算機病毒的原理(1)病毒的特征(2)病毒的分類(3)病毒的傳播(4)病毒的結構第7-1講

病毒防范技術與殺病毒軟件(1)病毒的特征計算機病毒的特征主要是傳染性、隱蔽性、潛伏性和表現性。第7-1講

病毒防范技術與殺病毒軟件1)傳染性。計算機病毒會通過各種媒體從已被感染的計算機擴散到未被感染的計算機。這些媒體可以是程序、文件、存儲介質甚至網絡，并在某些情況下造成被感染的計算機工作失常甚至癱瘓。這就是計算機病毒最重要的特征——傳染和破壞。一般地，若計算機在正常程序控制下工作，只要不運行帶病毒的程序，則這臺計算機總是正常的，例如反病毒技術人員整天就是在這樣的環境下工作的。第7-1講

病毒防范技術與殺病毒軟件然而，一旦在計算機上運行，絕大多數病毒首先要做初始化工作，在內存中找一片安身之處，隨后將自身與系統軟件掛鉤，再執行原來被感染的程序。這一系列的操作中，只要系統不癱瘓，系統每執行一個操作，病毒就有機會得以運行，危害未曾被感染的程序。病毒程序與正常系統程序在同一臺計算機內爭奪系統控制權時，結果會造成系統崩潰、導致計算機癱瘓。因此，反病毒技術要提前取得計算機系統的控制權，識別出計算機病毒的代碼和行為，阻止其取得系統控制權。第7-1講

病毒防范技術與殺病毒軟件一個好的抗病毒系統甚至應該能夠識別出未知計算機病毒在系統內的行為，阻止其傳染和破壞系統的行動。而低性能的抗病毒系統只能完成抵御已知病毒的任務。第7-1講

病毒防范技術與殺病毒軟件2)隱蔽性。不經過程序代碼分析或計算機病毒代碼掃描，計算機病毒程序與正常程序是不容易區別的。在沒有防護措施的情況下，計算機病毒程序一經運行取得系統控制權后，可以迅速傳染其他程序，而在屏幕上沒有任何異常顯示。傳染操作完成后，計算機系統以及被感染的程序仍能執行。這種現象就是計算機病毒傳染的隱蔽性。第7-1講

病毒防范技術與殺病毒軟件3)潛伏性。病毒具有依附其他媒體寄生的能力，它可以在磁盤、光盤或其他介質上潛伏幾天，甚至幾年，不滿足其觸發條件時，除了傳染以外不做其他破壞。觸發條件一旦得到滿足，病毒就四處繁殖、擴散、破壞。計算機病毒使用的觸發條件主要有：利用計算機系統時鐘、利用病毒體自帶計數器、利用計算機內執行的某些特定操作等。第7-1講

病毒防范技術與殺病毒軟件4)表現性。當觸發條件滿足時，病毒在被感染的計算機上開始發作，表現出一定的癥狀和破壞性。根據計算機病毒的危害性不同，病毒發作時表現出來的癥狀可能有很大差別。從顯示一些令人討厭的信息，到降低系統性能，破壞數據(信息)，直到永久性摧毀計算機硬件和軟件，造成系統崩潰，網絡癱瘓等等。第7-1講

病毒防范技術與殺病毒軟件(2)病毒的分類分類方式不同，計算機病毒的類型也不同。通常，計算機病毒可做如下分類。按感染形式按寄生方式按攻擊方式根據病毒操作的方式或使用的編程技術第7-1講

病毒防范技術與殺病毒軟件按感染形式分類，主要有：1)文件型病毒。通過在執行系列中插入指令把自己依附在可執行文件上。此種病毒感染文件，并寄生在文件中，進而造成文件損壞。2)引導型病毒：會在軟盤或者硬盤的引導區、主引導記錄(分區扇區)中插入指令。此時，如果計算機從被感染的磁盤引導時，病毒就會感染，并把自己的代碼調入內存。觸發引導區病毒的典型事件是系統日期和時間。第7-1講

病毒防范技術與殺病毒軟件3)混合型病毒：此種病毒具有兼顧引導型和文件型兩種病毒的特性，不但能夠感染和破壞硬盤的引導區，而且能感染和破壞文件。4)宏病毒：宏病毒不只是感染可執行文件，它可以感染一般軟件文件。雖然宏病毒不會有嚴重的危害，但它仍是令人討厭的事，因為它會影響系統的性能以及用戶的工作效率。此種病毒是利用Office軟件的宏指令產生的，所以稱為宏病毒。第7-1講

病毒防范技術與殺病毒軟件計算機病毒傳染的前提就是尋找病毒宿主，然后將自身寄生到宿主中。按寄生方式分類主要有：1)代替式病毒：計算機病毒用自身代碼的部分或全部替代常規程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。2)連接式病毒：這種方式一般以傳染文件為主，即病毒與宿主文件相連接時宿主文件的字節長度增加，但不破壞原合法程序的代碼。第7-1講

病毒防范技術與殺病毒軟件3)轉儲式病毒：病毒將原合法的程序代碼轉儲到存儲介質的其他部位，而用病毒代碼占據原合法程序的位置。4)填充式病毒：這種病毒有的傳染引導程序，有的傳染文件，病毒一般侵入宿主的空閑存儲空間，這樣就不會改變宿主程序的字節長度。第7-1講

病毒防范技術與殺病毒軟件按攻擊方式分，可將病毒分為源碼病毒、機器碼病毒和混合碼病毒；根據病毒模塊存在的形式，如存在的形式為源碼則稱為源碼病毒，如是機器碼則稱為機器碼病毒，如兩種形式都有則稱為混合碼病毒。第7-1講

病毒防范技術與殺病毒軟件源碼病毒還可細分為Shell(命令解釋程序)型和語言型。Shell型一般指接收標準輸入并將命令轉交給系統的命令解釋器或程序。Shell型病毒包括各種操作系統的Shell程序。如UNIX的BShell、CShell，以及DOS的，Windows的cmd.exe等；語言型包括匯編語言、C語言、BASIC語言，FORTRAN語言和VisualC++、VisualBasic、VisualJ++等。第7-1講

病毒防范技術與殺病毒軟件根據病毒操作的方式或使用的編程技術分，有：1)隱蔽病毒：使用某種技術來隱蔽程序被感染的事實。例如當操作系統發出調用要得到的某些信息時，它記錄下必要的信息，以便于以后欺騙操作系統和病毒程序的掃描。第7-1講

病毒防范技術與殺病毒軟件2)變形病毒：能變化，使得它們更難被鑒別出來。病毒的變化過程稱為變異，變異中，病毒改變其大小和構成。通常，病毒掃描程序通過搜索已知的模式(大小、校驗碼、日期等)來檢測病毒，一個經巧妙設計的變形病毒則可逃脫這些固定模式的檢測，使傳統的模式匹配法對此顯得軟弱無力。第7-1講

病毒防范技術與殺病毒軟件(3)病毒的傳播計算機病毒一般通過某個入侵點進入系統來感染該系統。最明顯、也是最常見的入侵點是從工作站傳到工作站的軟盤；在網絡系統中，可能的入侵點包括服務器、E-mail附加部分、因特網BBS上下載的文件、網站、FTP文件下載、共享網絡文件及常規的網絡通信、盜版軟件、示范軟件、計算機實驗室以及其他共享設備等。第7-1講

病毒防范技術與殺病毒軟件(4)病毒的結構雖然不同類型計算機病毒的機制和表現手法不盡相同，但其結構基本相似。一般說來都由以下3個程序模塊組成。1)引導模塊。2)傳染模塊。3)破壞與表現模塊。第7-1講

病毒防范技術與殺病毒軟件1)引導模塊。當被感染的應用程序開始工作時，病毒的引導模塊將病毒由外存引入內存，并使病毒程序成為相對獨立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進入待機狀態。在某些病毒中，尤其是傳染引導區的計算機病毒，其引導模塊還承擔將分開存儲的病毒程序片斷鏈接的任務。第7-1講

病毒防范技術與殺病毒軟件2)傳染模塊。由于計算機病毒具有復制自身(或變形后的自身)的能力，因此它能使其他程序同樣具備這種傳染能力。這一點是判斷一個程序是否為病毒程序的必要條件，所以，這部分程序對一個病毒程序來說是不可缺少的，它主要負責捕捉傳染的條件和傳染的對象，在保證被傳染程序可正常運行的情況下完成計算機病毒的復制傳播任務。第7-1講

病毒防范技術與殺病毒軟件3)破壞與表現模塊。破壞與表現模塊是病毒程序的核心部分，也是病毒設計者意圖的體現部分。這里的破壞不僅毀壞系統的軟、硬件和磁盤上的數據、文件，而且還表現在顯著降低整個系統的運行效率。這部分程序負責捕捉進入破壞程序的條件，在條件滿足時開始進行破壞系統或數據的工作，甚至可以毀掉包括病毒程序本身在內的系統資源。一般計算機病毒并不是進入計算機系統就進行破壞，而是等待具備一定條件后才實施破壞。第7-1講

病毒防范技術與殺病毒軟件3.反病毒技術現在，成熟的反病毒技術已經能夠可以做到對已知病毒的徹底預防和殺除，這主要涉及以下三大技術：1)實時監視技術。2)自動解壓縮技術。3)全平臺反病毒技術。第7-1講

病毒防范技術與殺病毒軟件1)實時監視技術。這個技術為計算機構筑起一道動態、實時的反病毒防線，通過修改操作系統，使操作系統本身具備反病毒功能，拒病毒于計算機系統之外。該技術能時刻監視系統中的病毒活動、系統狀況、軟盤、光盤、因特網、電子郵件上的病毒傳染，將病毒阻止在操作系統外部。且優秀的反病毒軟件由于采用了與操作系統底層的無縫連接技術，實時監視器占用的系統資源極小，用戶完全感覺不到對機器性能的影響。一般來說，只要反病毒軟件實時地在系統中工作，病毒就無法侵入計算機系統。第7-1講

病毒防范技術與殺病毒軟件2)自動解壓縮技術。目前在因特網、光盤以及Windows系統中接觸到的大多數文件都以壓縮狀態存放，以便節省傳輸時間或節約存放空間，這就使得各類壓縮文件成為計算機病毒傳播的溫床。如果用戶從網上下載了一個帶病毒的壓縮文件包，或從光盤里運行一個壓縮過的帶毒文件，自己的系統就會被壓縮文件包中的病毒感染。優秀的反病毒軟件應結合壓縮軟件技術，使得無論何種壓縮標準的軟件都能做到邊解壓邊殺毒。第7-1講

病毒防范技術與殺病毒軟件3)全平臺反病毒技術。目前病毒活躍的平臺主要有：Windows9x、Windows2000、WindowsXP等。為了使反病毒軟件做到與系統的底層無縫連接，可靠地實時檢查和殺除病毒，必須在不同的平臺上使用相應平臺的反病毒軟件。第7-1講

病毒防范技術與殺病毒軟件(1)病毒的防治策略系統對于計算機病毒的實際防治能力和效果要從防毒、查毒和解毒能力3方面來評判。1)防毒能力。指預防病毒侵入計算機系統的能力。根據系統特性，通過采取相應的系統安全措施預防病毒侵入計算機。第7-1講

病毒防范技術與殺病毒軟件2)查毒能力。指發現和追蹤病毒來源的能力。對于確定的環境(包括內存、文件、引導區、網絡等)，應該能夠準確地發現計算機系統是否感染有病毒，并能給出統計報告，報告病毒的名稱，來源等。此能力由查毒率和誤報率來評判。3)解毒——指從感染對象中清除病毒，恢復被病毒感染前的原始信息的能力。根據不同類型病毒對感染對象的修改，并按照病毒的感染特性所進行的恢復，其恢復過程不能破壞未被病毒修改的內容。此能力用解毒率來評判。第7-1講

病毒防范技術與殺病毒軟件(2)檢測病毒原理計算機病毒要進行傳染，必然會留下痕跡。因此，為檢測病毒，首先應注意內存情況，絕大部分的病毒是要駐留內存的，應注意被占用的內存數是否無故減少其次應注意常用的可執行文件的字節數。絕大多數的病毒在對文件進行傳染后會使文件的長度增加。但在查看文件字節數時應首先用干凈系統盤啟動。第7-1講

病毒防范技術與殺病毒軟件檢測主要基于4種方法第7-1講

病毒防范技術與殺病毒軟件1)比較法。用原始備份與被檢測的引導扇區或被檢測的文件進行比較。比較時可以靠打印的代碼清單或用程序來進行比較。第7-1講

病毒防范技術與殺病毒軟件2)特征代碼掃描法。病毒的特征代碼是病毒程序編制者用來識別自己編寫程序惟一的代碼串，因此也可利用病毒的特征代碼檢測病毒程序和防止病毒程序傳染。第7-1講

病毒防范技術與殺病毒軟件特征代碼掃描法所用的軟件稱病毒掃描軟件。病毒掃描軟件由兩部分組成：一部分是病毒代碼庫，含有經過特別選定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的程序。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數據庫中的病毒特征代碼。如果發現病毒特征代碼，由于特征代碼與病毒一一對應，便可以斷定被查文件中患有何種病毒。面對不斷出現的新病毒，采用病毒特征代碼掃描法的檢測工具，必須不斷更新版本。第7-1講

病毒防范技術與殺病毒軟件3)校驗和法。將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法。這種方法既能發現已知病毒，也能發現未知病毒，但它不能識別病毒類別。由于病毒感染并非文件內容改變的惟一原因，所以校驗和法常常誤報警。而且此種方法也會影響文件的運行速度。第7-1講

病毒防范技術與殺病毒軟件病毒檢測的分析法是反病毒工作中不可或缺的重要技術，任何一個性能優良的反病毒系統的研制和開發都離不開專門人員對各種病毒的詳盡而認真的分析。但使用分析法要求使用者具有比較全面的有關計算機操作系統結構功能調用以及關于病毒方面的各種知識，這是與檢測病毒的前三種方法不一樣的地方。第7-1講

病毒防范技術與殺病毒軟件病毒檢測的分析法是反病毒工作中不可或缺的重要技術，任何一個性能優良的反病毒系統的研制和開發都離不開專門人員對各種病毒的詳盡而認真的分析。但使用分析法要求使用者具有比較全面的有關計算機操作系統結構功能調用以及關于病毒方面的各種知識，這是與檢測病毒的前三種方法不一樣的地方。第7-1講

病毒防范技術與殺病毒軟件XP系統文件被諾頓當病毒誤殺導致系統崩潰，數百萬電腦面臨滅頂之災[2007年5月18日消息](賽門鐵克)諾頓殺毒軟件出現重大問題。升級病毒庫后，諾頓網絡版殺毒軟件誤把WindowsXP系統的關鍵系統文件netapi32.dll、lsasrv.dll當作隔離病毒清除，重啟后系統將會癱瘓。有消息稱，國內某大型網絡游戲公司的2000多臺機器已經全部崩潰。截至中午12點已有超過7千名個人用戶和近百家企業用戶向瑞星客戶服務中心求助，更多用戶由于系統繁忙無法打入電話。第7-1講

病毒防范技術與殺病毒軟件諾頓是賽門鐵克公司旗下的著名殺毒軟件，在全球占據相當份額，特別在金融、電信等行業擁有一定的優勢，因此，此次誤殺會導致許多企業網絡完全癱瘓。由于國外品牌的筆記本和臺式機多數預裝了WindowsXP系統和諾頓殺毒軟件，這些用戶極其容易遭到此次“誤殺”攻擊，因此，中國大陸地區將有數百萬臺電腦面臨崩潰的危險。由于該次誤殺只發生在簡體中文版的XP系統上，因此對國外用戶幾乎沒有影響。第7-1講

病毒防范技術與殺病毒軟件國內反病毒安全專家表示，此次諾頓誤殺將是近年來最嚴重的一次安全事故，給國內用戶造成的整體經濟損失甚至可能超過“熊貓燒香”病毒。為此，國內不少反病毒公司發布今年首個紅色病毒警報，但針對的不是電腦病毒，而是國際知名反病毒軟件諾頓將簡體中文版XP系統中的文件當成電腦病毒進行查殺，導致電腦系統崩潰。第7-1講

病毒防范技術與殺病毒軟件賽門鐵克隨后對諾頓進行了緊急升級。當天下午15:00，賽門鐵克公司推出了最新的諾頓補丁程序，使用WindowsXP簡體中文版的用戶在點擊諾頓更新后，可以實現正常關機與開機操作。賽門鐵克就此給用戶帶來的不便表示歉意，并承認，有兩個簡體中文版本微軟Windows系統文件通過LiveUpdate或網站下載文件更新方式，被錯誤地添加到賽門鐵克的防病毒軟件定義中。導致安裝了MS06-070補丁的XP系統，在將諾頓升級到最新病毒庫之時，諾頓殺毒軟件將把系統文件netapi32.dll和lsasrv.dll隔離清除，從而造成系統崩潰。第7-1講

病毒防范技術與殺病毒軟件新浪的網上調查顯示，有63.9%的被調查者正在使用諾頓殺毒軟件；38.59%的被調查者在此次諾頓“誤殺”事件中不幸“中招”。賽門鐵克此次“誤殺事件”將直接影響其在中國推廣。網上調查顯示，72.33%的被調查者認為此次“誤殺”事件將影響其對諾頓產品的選擇。第7-1講

病毒防范技術與殺病毒軟件第7講

病毒防范技術7.1病毒防范技術與殺病毒軟件7.2解析計算機蠕蟲病毒第7-2講

解析計算機蠕蟲病毒凡是能夠引起計算機故障，破壞計算機數據的程序我們都統稱為計算機病毒。所以，從這個意義上說，蠕蟲也是一種病毒。但與傳統的計算機病毒不同，網絡蠕蟲病毒以計算機為載體，以網絡為攻擊對象，其破壞力和傳染性不容忽視。第7講

病毒防范技術1.蠕蟲病毒的定義蠕蟲病毒和普通病毒有很大區別。一般認為，蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特征，如不利用文件寄生(有的只存在于內存中)，對網絡造成拒絕服務，以及和黑客技術相結合等等。在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。第7講

病毒防范技術根據其發作機制，蠕蟲病毒一般可分為兩類一類是利用系統級別漏洞(主動傳播)，主動攻擊企業用戶和局域網的蠕蟲病毒，這種病毒以“紅色代碼”、“尼姆達”以及“SQL蠕蟲王”為代表，可以對整個因特網造成癱瘓性的后果；另一類是針對個人用戶，利用社會工程學(欺騙傳播)，通過網絡電子郵件和惡意網頁等形式迅速傳播的蠕蟲病毒，以愛蟲、求職信病毒為例。在這兩類中，第一類具有很大的主動攻擊性，而且爆發也有一定的突然性，但相對來說，查殺這種病毒并不是很難；第二種病毒的傳播方式比較復雜和多樣，少數利用了應用程序的漏洞，更多的是利用社會工程學對用戶進行欺騙和誘使，這樣的病毒造成的損失非常大，同時也很難根除。比如求職信病毒，在2001年就已經被各大殺毒廠商發現，但直到2002年底依然排在病毒危害排行榜的首位。第7講

病毒防范技術(1)蠕蟲病毒與普通病毒的異同普通病毒是需要寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就稱為“宿主”。例如，當病毒感染Windows可執行文件時，就在宿主程序中建立一個新節，將病毒代碼寫到新節中，并修改程序的入口點等，這樣，宿主程序執行的時候就可以先執行病毒程序，然后再把控制權交給原來的宿主程序指令。可見，普通病毒主要是感染文件，當然也有像DIRII這樣的鏈接型病毒和引導區病毒等。蠕蟲一般不采取插入文件的方法，而是在因特網環境下通過復制自身進行傳播，普通病毒的傳染主要針對計算機內的文件系統，而蠕蟲病毒的傳染目標是因特網內的所有計算機局域網條件下的共享文件夾、電子郵件、網絡中的惡意網頁、存在著大量漏洞的服務器等，這些都成為蠕蟲傳播的良好途徑。網絡的普及與發展也使得蠕蟲病毒可以在幾個小時內蔓延全球，而且其主動攻擊性和突然爆發性將使人們手足無策。參見表7.5。表7.5蠕蟲病毒與普通病毒的異同普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網絡計算機(2)蠕蟲的破壞和變化1988年，一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機，蠕蟲病毒開始現身網絡；而后來的紅色代碼和尼姆達病毒瘋狂的時候曾造成幾十億美元的損失；2003年1月26日，一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使因特網嚴重堵塞，作為因特網主要基礎的域名服務器(DNS)的癱瘓造成網民瀏覽因特網網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷，機票等網絡預訂系統的運作中斷，信用卡等收付款系統出現故障。專家估計，此病毒造成的直接經濟損失至少在12億美元以上。第7講

病毒防范技術通過對蠕蟲病毒的分析，可以知道蠕蟲發作的一些特點和變化。1)利用操作系統和應用程序的漏洞主動進行攻擊。例如，由于IE瀏覽器的漏洞，使得感染了“尼姆達”病毒的郵件在不打開附件的情況下就能激活病毒；“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播的；SQL蠕蟲王病毒則是利用了微軟數據庫系統的一個漏洞進行大肆攻擊。2)傳播方式多樣。如“尼姆達”和“求職信”等病毒，其可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等。3)病毒制作技術與傳統的病毒不同。許多新病毒是利用當前最新的編程語言與編程技術實現的，易于修改以產生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VBScript等技術，可以潛伏在HTML頁面里，在上網瀏覽時觸發。4)與黑客技術相結合，潛在的威脅和損失更大。以紅色代碼為例，感染后，機器web目錄下的\scripts子目錄將生成一個root.exe文件，可以遠程執行任何命令，從而使黑客能夠再次進入。第7講

病毒防范技術(1)蠕蟲病毒與普通病毒的異同普通病毒是需要寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就稱為“宿主”。例如，當病毒感染Windows可執行文件時，就在宿主程序中建立一個新節，將病毒代碼寫到新節中，并修改程序的入口點等，這樣，宿主程序執行的時候就可以先執行病毒程序，然后再把控制權交給原來的宿主程序指令。可見，普通病毒主要是感染文件，當然也有像DIRII這樣的鏈接型病毒和引導區病毒等。蠕蟲一般不采取插入文件的方法，而是在因特網環境下通過復制自身進行傳播，普通病毒的傳染主要針對計算機內的文件系統，而蠕蟲病毒的傳染目標是因特網內的所有計算機局域網條件下的共享文件夾、電子郵件、網絡中的惡意網頁、存在著大量漏洞的服務器等，這些都成為蠕蟲傳播的良好途徑。網絡的普及與發展也使得蠕蟲病毒可以在幾個小時內蔓延全球，而且其主動攻擊性和突然爆發性將使人們手足無策。參見表7.5。第7講

病毒防范技術(2)蠕蟲的破壞和變化1988年，一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機，蠕蟲病毒開始現身網絡；而后來的紅色代碼和尼姆達病毒瘋狂的時候曾造成幾十億美元的損失；2003年1月26日，一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使因特網嚴重堵塞，作為因特網主要基礎的域名服務器(DNS)的癱瘓造成網民瀏覽因特網網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷，