第7章計算機病毒防治信息安全技術與應用第七章計算機病毒防治

計算機病毒的出現成為信息化社會的公害，是一種特殊的犯罪形式防治計算機病毒是一個系統工程，不僅要有強大的技術支持，而且要有完善的法律法規、嚴謹的管理體系、科學的規章制度以及系統的防范措施本章介紹了計算機病毒的發展歷史、病毒特性、分類方法、傳播途徑和工作機理，列舉了典型病毒的檢查和清除方法，討論了關于防治計算機病毒的管理和技術措施。信息安全技術與應用7.1

計算機病毒的特點與分類計算機病毒也是計算機程序，有著生物病毒相似的特性病毒駐留在受感染的計算機內，并不斷傳播和感染可連接的系統，在滿足觸發條件時，病毒發作，破壞正常的系統工作，強占系統資源，甚至損壞系統數據。病毒不但具有普通程序存儲和運行的特點，還具有傳染性、潛伏性、可觸發性、破壞性、針對性、隱蔽性和衍生性等特征。信息安全技術與應用7.1.1

計算機病毒的發展計算機病毒是伴隨計算機的發展而不斷發展變化的。早在1949年計算機剛剛誕生時，計算機之父馮·諾依曼在《復雜自動機組織論》中便定義了病毒的基本概念“一部事實上足夠復雜的機器能夠復制自身”信息安全技術與應用7.1.1

計算機病毒的發展（續）

時間

名稱

特點20世紀60年代初CoreWar通過復制自身來擺脫對方控制1981年ElkCloner通過磁盤進行感染1986年底Brain首次使用了偽裝手段1987年Casade自我加解密1987年12月ChristmasTree第一個網絡病毒，在VM/CMS操作系統下傳播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕蟲程序造成Internet的堵塞信息安全技術與應用7.1.1

計算機病毒的發展（續）首例能夠破壞硬件的病毒CHI1998年6月第一個使用FTP進行傳播Homer1997年4月第一個Linux環境下的病毒Bliss1997年2月攻擊Windows操作系統病毒大規模出現宏病毒Concept1995年8月9日感染C語言和Pascal語言感染OBJ文件SrcVirShifter1993、1994年第一個多態病毒Chameleon1990年標志著計算機病毒開始入侵我國“小球”1989年4月格式化硬盤Yankee1989年特點名稱時間信息安全技術與應用7.1.1

計算機病毒的發展（續）

時間

名稱

特點1999年美麗殺宏病毒和蠕蟲的混合物，通過電子郵件傳播2000年VBS/KAK使用腳本技術2001年紅色代碼利用微軟操作系統的緩沖區溢出的漏洞傳播2001年Nimda利用電子郵件傳播2001年網絡神偷木馬/黑客病毒，對本地及遠程驅動器的文件進行任何操作2002年6月Perrum第一個從程序感染轉變為數據文件感染的病毒2003年“2003蠕蟲王”多元混合化，數小時內使全球主干網陷入癱瘓2004年頻繁的變種病毒大量出現信息安全技術與應用7.1.1

計算機病毒的發展（續）

時間

名稱

特點2005年我的照片特洛伊木馬，竊取銀行的賬號和密碼2006年“威金”病毒具備了木馬和蠕蟲的雙重特征2007年“熊貓燒香”藍屏、頻繁重啟以及系統硬盤中數據文件被破壞,最終導致企業局域網癱瘓2008年獲利已經成為黑客傳播病毒的唯一目標2009年U盤等移動存儲介質成為病毒傳播的主要途徑之一2010年為了對抗“云安全”反病毒技術，許多病毒開始紛紛給自身“增肥”；網購木馬初露端倪2011年“變形金剛”網購木馬更加活躍、變種繁多，多個網購木馬成功突破安全軟件的防御，盜竊用戶信息財產。2012年彩票類釣魚網站成為黑客新寵，同時節假日及熱點事件成為黑客們關注的焦點。信息安全技術與應用7.1.2

計算機病毒的特性

1.

傳染性

2.

潛伏性

3.

可觸發性

4.

破壞性

5.

針對性

6.

隱蔽性

7.

衍生性信息安全技術與應用傳染性病毒通過修改磁盤扇區信息或文件內容，并把自身嵌入到一切符合其傳染條件的未受到傳染的程序之上，實現自我復制和自我繁殖，達到傳染和擴散的目的。被感染的程序和系統將成為新的傳染源，在與其它系統和設備接觸時繼續進行傳播。被嵌入的程序叫做宿主程序。信息安全技術與應用潛伏性病毒在進入系統之后通常不會馬上發作，可長期隱藏在系統中，除了傳染外不做什么破壞，以提供足夠的時間繁殖擴散。病毒在潛伏期，不破壞系統，因而不易被用戶發現。潛伏性越好，其在系統中的存在時間就會越長，病毒的傳染范圍就會越大。信息安全技術與應用可觸發性病毒因某個事件或數值的出現，激發其進行傳染，或者激活病毒的表現部分或破壞部分的特性稱為可觸發性。計算機病毒一般都有一個或者多個觸發條件，病毒的觸發機制用來控制感染和破壞動作的頻率。病毒運行時，觸發機制檢查預定條件是否滿足，滿足條件時，病毒觸發感染或破壞動作，否則繼續潛伏。信息安全技術與應用破壞性病毒是一種可執行程序，病毒的運行必然要占用系統資源，如占用內存空間，占用磁盤存儲空間以及系統運行時間等。病毒的破壞性主要取決于病毒設計者的目的。良性病毒：干擾顯示屏幕，顯示亂碼，占用系統資源惡性病毒：有明確的目的，破壞數據、刪除文件、加密磁盤甚至格式化磁盤、破壞硬件，對數據造成不可挽回的破壞。信息安全技術與應用針對性病毒是針對特定的計算機、操作系統、服務軟件、甚至特定的版本和特定模版而設計的。小球病毒是針對IBMPC機及其兼容機上的DOS操作系統的。“CodeBlue（藍色代碼）”專門攻擊WINDOWS2000操作系統。英文Word中的宏病毒模板在同一版本的中文Word中無法打開而自動失效。2002年1月8日出現的感染SWF文件的SWF.LFM.926病毒由于依賴Macro-media獨立運行的Flash播放器，而不是依靠安裝在瀏覽器中插件，使其傳播受到限制。信息安全技術與應用隱蔽性大部分病毒都設計得短小精悍病毒通常都附在正常程序中或磁盤較隱蔽的地方病毒程序與正常程序是不容易區別開的病毒在潛伏期并不惡意破壞系統工作傳染的隱蔽性存在的隱蔽性信息安全技術與應用衍生性很多病毒使用高級語言編寫，通過分析計算機病毒的結構可以了解設計者的設計思想，從而衍生出各種新的計算機病毒，稱為病毒變種。變種的主要傳染和破壞的機理與母體病毒基本一致，只是改變了病毒的外部表象。變種病毒造成的后果可能比原版病毒更為嚴重。信息安全技術與應用7.1.3

計算機病毒分類1.按照計算機病毒的危害程度分類

2.按照傳染方式分類

3.按照計算機病毒的寄生方式分類

4.其他一些分類方式信息安全技術與應用按照計算機病毒的危害程度分類良性病毒：不對計算機系統和數據進行徹底破壞的病毒占用系統資源，會導致整個系統運行效率降；與操作系統和應用程序爭搶CPU的控制權，導致整個系統死鎖，妨礙正常的系統操作在多個病毒交叉感染時也可造成系統崩潰。惡性病毒：能夠損傷和破壞計算機系統及其數據，在其傳染或發作時對系統產生徹底破壞作用的病毒目的明確，破壞數據、刪除文件、加密磁盤、甚至格式化磁盤信息安全技術與應用按照傳染方式分類引導型病毒是指寄生在磁盤引導區或主引導區的計算機病毒。可細分為主引導記錄病毒和分區引導記錄病毒。文件型病毒是指能夠寄生在文件中的計算機病毒。這類病毒程序感染可執行文件或數據文件。混合型病毒是指具有引導型病毒和文件型病毒兩種寄生方式的計算機病毒。這種病毒既感染磁盤的引導區，又感染可執行文件，增加了病毒的傳染性及存活率信息安全技術與應用按照計算機病毒的寄生方式分類源碼型病毒是用高級語言編寫的，攻擊用高級語言編寫的程序。這種病毒若不進行匯編、鏈接，就無法傳染擴散。嵌入型病毒是將自身嵌入到現有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。技術難度較大，一旦侵入后也較難消除。外殼型病毒寄生在宿主程序的前面或后面，并修改程序的第一條執行指令，使病毒先于宿主程序執行。易于編寫，易于發現，通過文件的大小判別。信息安全技術與應用其他分類方式按照攻擊的操作系統可分為：攻擊DOS操作系統的、攻擊Windows系統的、攻擊UNIX系統的、攻擊OS/2系統的病毒。按照計算機病毒激活的時間可分為：定時發作的病毒和不由時鐘來激活的隨機病毒。按照傳播媒介可分為：以磁盤為載體的單機病毒和以網絡為載體的網絡病毒。按攻擊的機型還可將病毒分為：攻擊微型機的病毒、攻擊小型機的病毒和攻擊工作站的病毒。信息安全技術與應用7.1.4

計算機病毒的傳播第一種途徑:通過不可移動的計算機硬件設備進行傳播。設備中有計算機的專用ASIC（ApplicationSpecificIntegratedCircuit，特定用途集成電路）芯片和硬盤等。這種病毒極少，破壞力極強。第二種途徑：通過移動存儲設備傳染。如軟盤、U盤、可擦寫光盤、MP3、存儲卡、記憶棒等。第三種途徑：通過計算機網絡傳播，是傳播的主流途徑，也是危害最大的傳播途徑。第四種途徑：通過點對點通信系統和無線通道傳播。信息安全技術與應用7.1.5計算機病毒機理下面通過例1介紹計算機病毒的結構。文件名為：autoexec.bat，其內容如下：

@echooff #關閉回顯功能

echoThisisavirusdemonstrationprogram. #病毒示例程序

ifexistb:\autoexec.batgotovirus #檢查時機

gotono-virus #時機不成熟則繼續潛伏

:virus #時機成熟

b: #到b:盤

renameautoexec.batauto.bat #修改原文件名字

copya:\autoexec.batb: #復制自身

echoYouhaveavirus! #表現癥狀

:no-virus #正常程序入口

a:\auto.bat #執行正常程序信息安全技術與應用7.1.5計算機病毒機理病毒一般包含3個模塊：引導模塊將病毒程序引入內存并使其后面的兩個模塊處于激活狀態；感染模塊在感染條件滿足時把病毒感染到所攻擊的對象上；表現模塊（破壞模塊）在病毒發作條件滿足時，實施對系統的干擾和破壞活動。并不是所有計算機病毒都由這3大模塊組成，病毒在3個模塊之間可能沒有明顯的界限。信息安全技術與應用7.1.5計算機病毒機理1.引導型病毒

2.外殼型病毒

3.宏病毒信息安全技術與應用引導型病毒引導型病毒是一種在ROMBIOS之后，系統引導時出現的病毒，先于操作系統，依托的環境是BIOS中斷服務程序引導型病毒利用操作系統的引導模塊放在固定的位置，并且控制權的轉交方式是以物理地址為依據，而不是以操作系統引導區的內容為依據因而，引導型病毒改寫磁盤上的引導扇區（BOOTSECTOR）的內容或改寫硬盤上的分區表（FAT），占據該物理位置即可獲得控制權病毒將引導區內容搬家轉移或替換，待病毒程序被執行后，再將控制權交給引導區內容，使得帶病毒的系統看似運轉正常，從而隱藏病毒的存在信息安全技術與應用外殼型病毒作為典型的文件型病毒，外殼型病毒需要寄生的宿主程序，并修改宿主程序的第一條執行指令，使病毒先于宿主程序執行，隨著宿主程序的使用而傳染擴散。信息安全技術與應用

宏病毒Word載入文檔時，先執行起始的宏，再載入資料內容，目的是使Word能夠根據資料的不同需要，使用不同的宏工作。Word為普通用戶事先定義一個共用的范本文檔Normal.dot，里面包含了基本的宏。只要一啟動Word，就會自動運行Normal.dot文件。感染了Word宏病毒的文檔運行時，實現了病毒的自動運行，病毒把帶病毒的宏移植到通用宏的代碼段，實現對其它文件的感染。信息安全技術與應用7.2

計算機病毒檢查與清除計算機病毒在感染健康程序后，會引起各種變化。每種計算機病毒所引起的癥狀都有一定的特點。計算機病毒的檢測原理就是根據這些特征，來判斷病毒的種類，進而確定清除辦法。將感染計算機病毒的文件中的計算機病毒模塊摘除，并使之恢復為可以正常使用的文件的過程稱為計算機病毒清除并不是所有的染毒文件都可以安全地清除掉計算機病毒，也不是所有的文件在清除計算機病毒后都能恢復正常。信息安全技術與應用7.2.1計算機病毒的檢測原理常用的計算機病毒檢測方法有比較法、校驗和法、特征掃描法、行為監測法、感染實驗法和分析法等。計算機病毒檢測從操作上可分為手工檢測和自動檢測兩種手段。信息安全技術與應用7.2.2計算機病毒的清除原理以文件型病毒的清除為例，若病毒為外殼型病毒，可以按照病毒傳染的逆過程，摘除病毒模塊，恢復原有文件的代碼和功能若病毒為覆蓋型病毒，由于原有宿主程序信息的丟失，無法還原原有文件的功能，摘除病毒模塊并保留剩余程序代碼已無意義，只能將感染的文件徹底刪除。信息安全技術與應用手工清除計算機病毒使用Debug、Regedit、SoftICE和反匯編語言等工具，憑借對計算機病毒的分析和了解，從感染計算機病毒的文件中摘除計算機病毒，并復原原有文件的功能。自動清除使用查殺軟件自動清除計算機病毒并使之復原，其操作簡單、效率高、風險小。清除具有一定的風險，可能破壞原有的文件數據，也可能根本就無法還原原有的文件。頑固的惡性病毒只有通過磁盤的低級格式化進行清理。信息安全技術與應用7.2.3

典型病毒清除方法

1.Sircam蠕蟲病毒

2.圣誕節病毒

3.“歡樂時光”病毒

4.“冰河”木馬病毒信息安全技術與應用7.3

計算機病毒防治措施由于網絡和計算機的開放性和共享性，病毒也將伴隨網絡和計算機的發展而不斷升級，因此，病毒和反病毒之間的對抗將是長期的。采取有效的預防措施，使病毒的波及范圍、破壞作用減到最小。信息安全技術與應用7.3.1

計算機病毒防治管理措施1994年頒布了《中華人民共和國計算機信息系統安全保護條例》，其中規定：故意輸入計算機病毒以及其他有害數據，危害計算機信息安全的要對個人和單位處以高額罰款，并依法追究刑事責任。1997年出臺的新《刑法》中增加了有關對制作、傳播計算機病毒進行處罰的條款。2000年5月，公安部頒布實施了《計算機病毒防治管理辦法》。信息安全技術與應用7.3.1

計算機病毒防治管理措施（續）備好啟動盤，并設置寫保護。盡量不用軟盤、U盤、移動硬盤或其他移動存儲設備啟動計算機，而用本地硬盤啟動。定期對重要的資料和系統文件進行備份。可以通過比照文件大小、檢查文件個數、核對文件名字來及時發現病毒。重要的系統文件和磁盤可以通過賦予只讀功能，避免病毒的寄生和入侵。也可以通過轉移文件位置，修改相應的系統配置來保護重要的系統文件。……信息安全技術與應用7.3.2計算機病毒防治技措施1.系統加固2.系統監控

3.軟件過濾4.文件加密5.備份恢復信息安全技術與應用系統加固許多計算機病毒都是通過系統漏洞進行傳播的構造一個安全的系統是國內外專家研究的熱點常見的系統加固工作主要包括：信息安全技術與應用內核參數及配置調整系統最小化處理加強口令管理啟動日志審計功能等。安裝最新補丁禁止不必要的應用和服務禁止不必要的賬號去除后門系統監控系統監控技術主要指對系統的實時監控，包括：注冊表監控、腳本監控、內在監控、郵件監控、文件監控等。實時監控技術能夠始終作用于計算機系統，監控訪問系統資源的一切操作，并能夠對其中可能含有的計算機病毒進行清除。大多數殺毒軟件和工具都具有實施監測系統內存、定期查殺系統磁盤的功能，并可以在文件打開前自動對文件進行檢查。信息安全技術與應用軟件過濾軟件過濾的目的是識別某一類特殊的病毒，以防止它們進入系統和復制傳播，已被用來保護一些大、中型計算機系統。國外使用的一種T-cell程序集，對系統中的數據和程序用一種難以復制的印章加以保護，如果印章被改變，系統就認為發生了非法入侵。Digital公司的一