第一講計算機病毒的概述課程目標理解病毒的概念熟悉病毒的發展史掌握病毒的特點掌握病毒的分類掌握病毒的結構掌握病毒的識別與防治病毒的概念計算機病毒在《中華人民共和國計算機信息系統安全保護條例》中的定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。

病毒的發展史1．DOS時代

DOS是一個安全性較差的操作系統，所以在DOS時代，計算機病毒無論是數量還是種類都非常多。按照傳染方式可以分為：系統引導病毒、外殼型病毒、復合型病毒。各類病毒的具體內容見“病毒的分類”。2．Windows時代1995年8月，微軟發布Windows95，標志著個人電腦的操作系統全面進入了Windows9X時代，而Windows9X對DOS的弱依賴性則使得計算機病毒也進入了Windows時代。這個時代的最大特征便是大量DOS病毒的消失以及宏病毒的興起。

3．Internet時代可以這樣說，網絡病毒大多是Windows時代宏病毒的延續，它們往往利用強大的宏語言讀取用戶E-mail軟件的地址簿，并將自身作為附件發向地址簿內的那些E-mail地址去。由于網絡的快速和便捷，網絡病毒的傳播是以幾何級數進行的，其危害比以前的任何一種病毒都要大。病毒的特點1．傳染性:傳染性是病毒的基本特征。計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。2．破壞性:計算機病毒可以破壞系統，刪除或修改數據，占用系統資源，干擾計算機的正常工作，嚴重的可使整個系統陷于癱瘓。3．隱蔽性:計算機病毒進入計算機以后常常不是立即發生，它可以有足夠的時間去實現感染和破壞作用。病毒的特點4．潛伏性:計算機病毒侵入計算機以后可潛伏在合法的文件中并不立即發作。經過一段時間或一旦買組了某些條件病毒便開始發作，觸發計算機條件可以是某個日期、某個時間等。各種病毒潛伏期不同，短這數天、數月，長者可達數年之久。5．不可預見性病毒的傳播途徑通過移動存儲設備來傳播（包括軟盤、光盤、U盤等）。通過計算機網絡進行傳播。3.通過點對點通信系統和無線通道傳播。病毒的分類一、按傳染方式分類1．系統引導病毒系統引導病毒又稱引導區型病毒。直到20世紀90年代中期，引導區型病毒是最流行的病毒類型，主要通過軟盤在DOS操作系統里傳播。引導區型病毒侵染軟盤中的引導區，蔓延到用戶硬盤，并能侵染到用戶硬盤中的“主引導記錄”。一旦硬盤中的引導區被病毒感染，病毒就試圖侵染每一個插入計算機的從事訪問的軟盤的引導區。2．文件型病毒文件型病毒是文件侵染者，也被稱為寄生病毒。它運作在計算機存儲器里，通常它感染擴展名為COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它們激活時，感染文件把自身復制到其他文件中，并能在存儲器里保存很長時間，直到病毒又被激活。病毒的分類3.復合型病毒復合型病毒有引導區型病毒和文件型病毒兩者的特征。既感染引導區又感染文件，因此擴大了這種病毒的傳染途徑。4.宏病毒宏病毒一般是指用WordBasic書寫的病毒程序，寄存在MicrosoftOffice文檔上的宏代碼。它影響對文檔的各種操作，如打開、存儲、關閉或清除等。當打開Office文檔時，宏病毒程序就會被執行，即宏病毒處于活動狀態，當觸發條件滿足時，宏病毒才開始傳染、表現和破壞。病毒的分類病毒的分類二、按破壞性分類

1、良性病度:可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統資源。

2、惡性病毒:有明確得目的，或破壞數據、刪除文件或加密磁盤、格式化磁盤，有的對數據造成不可挽回的破壞。病毒的結構

計算機病毒在結構上有著共同性，一般由引導部分、傳染部分、表現部分三部分組成。1.引導部分也就是病毒的初始化部分，它隨著宿主程序的執行而進入內存，為傳染部分做準備。2.傳染部分作用是將病毒代碼復制到目標上去。一般病毒在對目標進行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經感染過該目標等，如CIH病毒只針對Windows95/98操作系統。3.表現部分是病毒間差異最大的部分，前兩部分是為這部分服務的。它破壞被傳染系統或者在被傳染系統的設備上表現出特定的現象。大部分病毒都是在一定條件下才會觸發其表現部分的。病毒的結構病毒的危害1、攻擊系統數據區。攻擊部位包括硬盤主引導扇區、Boot扇區、FAT表、文件目錄。一般來說，攻擊系統數據區的病毒是惡性病毒，受損的數據不易恢復。2、攻擊文件。病毒對文件的攻擊方式很多，如刪除、改名、替換內容、丟失簇和對文件加密等。3、攻擊內存。內存是計算機的重要資源，也是病毒攻擊的重要目標。病毒額外地占用和消耗內存資源，可導致一些大程序運行受阻。病毒攻擊內存的方式有大量占用、改變內存總量、禁止分配和蠶食內存等。病毒的危害4、干擾系統運行。不執行用戶指令、干擾指令的運行、內部棧溢出、占用特殊數據區、時鐘倒轉、自動重新啟動計算機、死機等。5、速度下降。不少病毒在時鐘中納入了時間的循環計數，迫使計算機空轉，計算機速度明顯下降。6、攻擊磁盤。攻擊磁盤數據、不寫盤、寫操作變讀操作、寫盤時丟字節等。7、擾亂屏幕顯示。字符顯示錯亂、跌落、環繞、倒置、光標下跌、滾屏、抖動、吃字符等。病毒的危害8、攻擊鍵盤。響鈴、封鎖鍵盤、換字、抹掉緩存區字符、重復輸入。9、攻擊喇叭。發出各種不同的聲音，如演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲10、攻擊CMOS。對CMOS區進行寫入動作，破壞系統CMOS中的數據。11、干擾打印機。間斷性打印、更換字符等。病毒的識別與防治1.病毒發作常見的現象

下列一些異常現象可以作為檢測病毒的參考：程序裝入時間比平時長，運行異常；有規律的發現異常信息；用戶訪問設備（例如打印機）時發現異常情況，如打印機不能聯機或打印符號異常；磁盤的空間突然變小了，或不識別磁盤設備；程序和數據神秘的丟失了，文件名不能辨認；顯示器上經常出現一些莫名其妙的信息或異常顯示（如白斑、圓點等）；機器經常出現死機現象或不能正常啟動；發現可執行文件的大小發生變化或發現不知來源的隱藏文件。2.病毒預防在計算機上安裝病毒監控程序；使用他人的軟盤、U盤要先查毒；不使用盜版軟件；使用從網絡上下載的軟件要先查毒；不接受來歷不明的電子郵件。3.病毒清除目前病毒的破壞力越來越強，幾乎所有的軟、硬件故障都可能與病毒有牽連，所以，當操作時發現計算機有異常情況，首先應懷疑的就是病毒在作怪，而最佳的解決辦法就是利用殺毒軟件對計算機進行一次全面的清查。病毒的識別與防治網絡病毒及其防治網絡病毒的特點網絡病毒的傳播網絡病毒的防治

網絡反病毒技術的特點病毒防火墻的反病毒的特點網絡病毒的特點1．傳染方式多2．傳播速度快3．清除難度大4．破壞性強網絡病毒的傳播1．文件病毒在網絡上的傳播與表現局域網：大多數公司使用局域網文件服務器，用戶直接從文件服務器復制已感染的文件。用戶在工作站上執行一個帶毒操作文件，這種病毒就會感染網絡上其他可執行文件。用戶在工作站上執行內存駐留文件帶毒，當訪問服務器上的可執行文件時進行感染。對等網：使用網絡的另一種方式是對等網絡，在端到端網絡上，用戶可以讀出和寫入每個連接的工作站上本地硬盤中的文件。因此，每個工作站都可以有效地成為另一個工作站的客戶和服務器。而且，端到端網絡的安全性很可能比專門維護的文件服務器的安全性更差。這些特點使得端到端網絡對基于文件的病毒的攻擊尤其敏感。如果一臺已感染病毒的計算機可以執行另一臺計算機中的文件，那么這臺感染病毒計算機中的活動的、內存駐留病毒能夠立即感染另一臺計算機硬盤上的可執行文件。網絡病毒的傳播網絡病毒的傳播

Internet：文件病毒可以通過Internet毫無困難地發送。而可執行文件病毒不能通過Internet在遠程站點感染文件。此時Internet是文件病毒的載體。網絡病毒的防治1．基于工作站的防治方法工作站病毒防護芯片:將防病毒功能集成在一個芯片上，安裝于網絡工作站，以便經常性地保護工作站及其通往服務器的途徑。其基本原理是:網絡上的每個工作站都要求安裝網絡接口卡，而網絡接口上有一個BootROM芯卡，因為多數網卡的BootROM并沒有充分利用，都會剩余一些使用空間，所以如果防毒程序夠小的話，就槽內，用戶可以免去許多繁瑣的管理工作。可以安裝在網絡的BootROM的剩余空間內，而不必另插一塊芯片。這樣，將工作站存取控制與病毒保護能力合二為一地插在網卡的RPROM2．基于服務器的防治方法目前，基于服務器的防治病毒方法大都采用了以NLM（NetwWareLoadableModule）可裝載模塊技術進行程序設計，以服務器為基礎，提供實時掃描病毒能力。市場上較有代表性的產品，如：Intel公司的LANdeskVirusProtect和Symantec公司的CenterPointAnti一Virus和S&SSoftwareInternational公司的Dr．Solomon’sAnti—VirusToolkit，以及我國北京威爾德電腦公司的LANClear網絡病毒的防治網絡反病毒技術的特點1．網絡反病毒技術的安全度取決于“木桶理論”被計算機安全界廣泛采用的著名的“木桶理論”認為，整個系統的安全防護能力，取決于系統中安全防護能力最薄弱的環節。計算機網絡病毒防治是計算機安全極為重要的一個方面，它同樣也適用于這一理論。一個計算機網絡，對病毒的防御能力取決于網絡中病毒防護能力最薄弱的一個節點。2．網絡反病毒技術尤其是網絡病毒實時監測技術應符合“最小占用”原則該技術符合“最小占用”原則，對網絡運行效率不產生本質影響。網絡反病毒產品是網絡應用的輔助產品，因此對網絡反病毒技術，尤其是網絡病毒實時監測技術，在自身的運行中不應影響網絡的正常運行。網絡反病毒技術的應用，理所當然會占用網絡系統資源（增加網絡負荷、額外占用CPU、占用服務器內存等）。正由于此，網絡反病毒技術應符合“最小占用”原則，以保證網絡反病毒技術和網絡本身都能發揮出應有的正常功能。網絡反病毒技術的特點3.網絡反病毒技術的兼容性是網絡防毒的重點與難點網絡上集成了那么多的硬件和軟件，流行的網絡操作系統也有好幾種，按照一定網絡反病毒技術開發出來的網絡反病毒產品，要運行于這么多的軟、硬件之上，與它們和平共處，實在是非常之難，遠比單機反病毒產品復雜。這既是網絡反病毒技術必須面對的難點，又是其必須解決的重點。網絡反病毒技術的特點網絡蠕蟲的傳統威脅消耗網絡資源導致網絡擁塞甚至癱瘓特點：不可控（感染范圍、所阻塞的網絡）攻擊者不（直接）受益趨勢：更強的能力（感染規模、蔓延速度）“定向”能力（IPv6地地址分配規則確定之后會更容易？）“自適應”能力爭議：是否還是主要威脅？典型病毒介紹宏病毒電子郵件病毒

幾個病毒實例

宏病毒1．宏病毒的定義所謂宏，就是軟件設計者為了在使用軟件工作時，避免一再的重復相同的動作而設計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務，而不必再重復相同的工作。所謂宏病毒，就是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。2．宏病毒的分類宏病毒根據傳染的宿主的不同可以分為：傳染Word的宏病毒、傳染Excel的宏病毒和傳染AmiPro的宏病毒。由于目前國內Word系統應用較多，所以大家談論的宏病毒一般是指Word宏病毒。宏病毒3．Word宏病毒的特點（1）以數據文件方式傳播，隱蔽性好，傳播速度快，難于殺除（2）制作宏病毒以及在原型病毒上變種非常方便（3）破壞可能性極大宏病毒4．Word宏病毒的表現

Word宏病毒在發作時，會使Word運行出現怪現象，如自動建文件、開窗口、內存總是不夠、關閉WORD不對已修改文件提出未存盤警告、存盤文件丟失等，有的使打印機無法正常打印。Word宏病毒在傳染時，會使原有文件屬性和類型發生改變，或Word自動對磁盤進行操作等。當內存中有Word宏病毒時，原Word文檔無法另存為其他格式的文件，只能以模板形式進行存儲。宏病毒5．Word宏病毒的防范（1）對于已染病毒的NORMAL.DOT文件，首先應將NORMAL.DOT中的自動宏清除，然后將NORMAL.DOT置成只讀方式。（2）對于其它已感染病毒的文件均應將自動宏清除，這樣就可以達到清除病毒的目的。（3）平時使用時要加強防范。定期檢查活動宏表，對來歷不明的宏最好予以刪除；如果發現后綴為.DOC的文件變成模板（.DOT）時，則可懷疑其已染宏病毒，其主要表現是在SaveAs文檔是，選擇文件類型的框變為灰色。宏病毒（4）在啟動Word、創建文檔、打開文檔、關閉文檔以及退出Word時，按住SHIFT鍵可以阻止自動宏的運行。例如，當用含有AutoNew宏的模板新建一文檔時，在“新建”對話框中單擊“確定”按鈕時按住SHIFT鍵，就可以阻止AutoNew宏的執行。（5）存儲一個文檔時，務必明確指定該文檔的擴展名。宏病毒總是試圖把模板文件的擴展名加到你指定的文件名后面，無論擴展名是否已經存在。例如，你指定文件名如下TEST.DOC，最終這個文件名會變為TEST.DOC.DOT，顯然這個文件名在DOS下不可接受的。由此就可以察覺到宏病毒的存在。宏病毒宏病毒6．宏病毒的清除（1）手工清除Word宏病毒（2）使用殺毒軟件清除Word宏病毒電子郵件病毒

電子郵件病毒的防范:（1）思想上要有防毒意識（2）使用防毒軟件幾個病毒實例1．CIH病毒

CIH病毒是一種文件型病毒，主要傳染Windows95／98應用程序。該病毒發作時，破壞計算機系統FlashMemory芯片中的BIOS系統程序，導致系統主板損壞，同時破壞硬盤中的數據。CIH病毒是首例直接攻擊、破壞硬件系統的計算機病毒，是迄今為止破壞力最為嚴重的病毒之一。

2．“臺灣1號”宏病毒在每月13日，若用戶使用打開一個帶“臺灣1號”宏病毒的Word文檔（模板）時，該病毒會被激發。激發時的現象是：在屏幕正中央彈出一個對話框，該對話框提示用戶做一個心算題，如做錯，它將會無限制地打開文件，直至Word內存不夠，Word出錯為止；如心算題作對，會提示用戶“什么是巨集病毒（宏病毒）？”，回答是“我就是巨集病毒”，再提示用戶：“如何預防巨集病毒？”，回答是“不要看我”。幾個病毒實例幾個病毒實例3.“沖擊波”（WORM＿MSBlast.A）2003年8月11日，一種名為“沖擊波”（WORM＿MSBlast.A）的新型蠕蟲病毒開始在互聯網和部分專用信息網絡上傳播。該病毒利用Windows系統的漏洞，如疾風般橫掃全球各地計算機，其傳播速度快、波及范圍廣，對計算機正常使用和網絡運行造成嚴重影響，并且已經造成某些服務器停頓及企業Internet網絡擁塞無法使用。計算機防毒軟件廠商趨勢科技的病毒分析師指出，這種蠕蟲在互聯網上廣泛掃描沒有安裝補丁的Windows2000/XP/2003計算機，能夠在25分鐘之內感染這種計算機。據估計“沖擊波”可能已經感染了全球一兩億臺計算機。幾個病毒實例4．電子郵件炸彈電子郵件炸彈是指發件者以不明來歷的電子郵件地址，不斷重復將電子郵件寄于同一個收件人。由于情況就像是戰爭時利用某種戰爭工具對同一個地方進行大轟炸，因此稱為電子郵件炸彈（E－mailBomber）。幾個病毒實例5．“小郵差”最新變種（Worm.Mimail.c）最近網絡上流行一種惡性蠕蟲“小郵差”最新變種（Worm.Mimail.c），該蠕蟲病毒繼承了原版本發送郵件功能，利用自帶的郵件服務器瘋狂發送帶毒郵件，在用戶郵箱中以信息的形式出現，主題大多是“我們的私人照片”（ourprivatephotos）。并且病毒主程序采用雙后綴名，使用其看起來和圖片文件一樣，加大了病毒的欺騙性。引誘用戶打開附件，病毒激活后會隨機發起DoS(拒絕服務式攻擊)，大量浪費網絡資源。Norton（諾頓）殺毒軟件瑞星殺毒軟件KV3000常用殺毒軟件介紹

Norton（諾頓）殺毒軟件

NortonAntiVirus具有以下特點：1．保護計算機遠離病毒的威脅2．自動清除病毒3．加強了對未知病毒的預防能力4．完善的安全響應機制，以對付最新病毒的威脅