计算机网络安全_03病毒知识介绍.

《计算机网络安全_03病毒知识介绍.》由会员分享，可在线阅读，更多相关《计算机网络安全_03病毒知识介绍.（47页珍藏版）》请在金锄头文库上搜索。

1、第3章 病毒知识介绍 知识点 l病毒的定义、识别和防治 l网络病毒的特点及防治 l典型病毒 l杀毒软件的使用 难点 l病毒的识别和防治 要求 l熟练掌握以下内容： l病毒定义、识别和防治 l 网络病毒的特点及防治 l杀毒软件的使用 l了解以下内容： l病毒的发展历史 l典型病毒 3.1 计算机病毒简介 l3.1.1 病毒的概念 l计算机病毒是一个程序，一段可执行代码 。就像生物病毒一样，计算机病毒有独特 的复制能力，可以很快地蔓延，又常常难 以根除。它们能把自身附着在各种类型的 文件上。当文件被复制或从一个用户传送 到另一个用户时，它们就随同文件一起转 移。 l计算机病毒（Computer V

2、irus）在中华人 民共和国计算机信息系统安全保护条例 中被明确定义，病毒“指编制或者在计算机 程序中插入的破坏计算机功能或者破坏数 据，影响计算机使用并且能够自我复制的 一组计算机指令或者程序代码”。 3.1.2 病毒的发展史 l计算机病毒的产生是计算机技术和以计算机为核 心的社会信息化进程发展到一定阶段的必然产物 。它产生的背景如下。 l1制造计算机病毒是计算机犯罪的一种新的衍化 形式 l制造计算机病毒是高技术犯罪，具有瞬时性、动 态性和随机性，不易取证，风险小破坏大，从而 刺激了犯罪意识和犯罪活动，是某些人恶作剧和 报复心态在计算机应用领域的表现。 3.1.2 病毒的发展史 l2计算机软

3、硬件产品的脆弱性是根本的技术原因 l计算机是电子产品。数据从输入、存储、处理、 输出等环节，易误入、篡改、丢失、作假和破坏 ；程序易被删除、改写；计算机软件设计的手工 方式，效率低且生产周期长；人们至今没有办法 事先了解一个程序有没有错误，只能在运行中发 现、修改错误，并不知道还有多少错误和缺陷隐 藏在其中。这些脆弱性就为病毒的侵入提供了方 便。 3.1.2 病毒的发展史 l3微机的普及应用是计算机病毒产生的必要环境 l1983年11月3日美国计算机专家首次提出了计算 机病毒的概念并进行了验证。几年前计算机病毒 就迅速蔓延，到我国是近年来的事。而这几年正 是我国微型计算机普及应用热潮。微机的广

4、泛普 及，操作系统简单明了，软、硬件透明度高，基 本上没有什么安全措施，能够透彻了解它内部结 构的用户日益增多，对其存在的缺点和易攻击处 也了解得越来越清楚，不同的目的可以做出截然 不同的选择。目前，在IBM PC系统及其兼容机上 广泛流行着各种病毒就很说明这个问题。 3.1.3 病毒的特点 l计算机病毒一般具有以下几个特点。 l（1）破坏性。凡是由软件手段能触及到计算机资源的地 方均可能受到计算机病毒的破坏。其表现为：占用CPU时 间和内存开销，从而造成进程堵塞；对数据或文件进行破 坏；打乱屏幕的显示等。 l（2）隐蔽性。病毒程序大多夹在正常程序之中，很难被 发现。 l（3）潜伏性。病毒侵入

5、后，一般不立即活动，需要等一 段时间，条件成熟后才作用。 l（4）传染性。对于绝大多数计算机病毒来讲，传染是它 的一个重要特性。它通过修改别的程序，并把自身的拷贝 包括进去，从而达到扩散的目的。 3.1.4 病毒的分类 l计算机病毒一般可分成4种主要类别：系统引导病毒、文 件型病毒、复合型病毒和宏病毒。 l1系统引导病毒 l系统引导病毒又称引导区型病毒。直到20世纪90年代中期 ，引导区型病毒是最流行的病毒类型，主要通过软盘在 DOS操作系统里传播。引导区型病毒侵染软盘中的引导区 ，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导记 录”。一旦硬盘中的引导区被病毒感染，病毒就试图侵染 每一个插入

6、计算机的从事访问的软盘的引导区。 l引导区型病毒是这样工作的：由于病毒隐藏在软盘的第一 扇区，使它可以在系统文件装入内存之前先进入内存，从 而获得对DOS的完全控制，这就使它得以传播和造成危害 。 3.1.4 病毒的分类 l2文件型病毒 l文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器 里，通常感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。 每一次激活它们时，感染文件把自身复制到其他文件中，并能在存储器 里保存很长时间，直到病毒又被激活。 l目前，有数千种文件型病毒，它类似于引导区型病毒，极大多数文件型 病毒活动在DOS环境中。然而，也有一些文件型病毒能很成

7、功地感染 微软 Windows、 IBM OS/2和 Macintosh环境。 l3复合型病毒 l复合型病毒具有引导区型病毒和文件型病毒两者的特征。 l4宏病毒 l宏病毒一般是指用 Basic书写的病毒程序，寄存在 Microsoft Office文档 上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等 。当打开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状 态。当触发条件满足时，宏病毒才开始传染、表现和破坏。 3.1.5 病毒的结构 l计算机病毒一般由引导模块、感染模块、破坏模块、触发模块四大部分组成 。 l1引导模块 l计算机病毒为了进行自身的主动传播必须寄生在可

8、以获取执行权的寄生对象 上。就目前出现的各种计算机病毒来看，其寄生对象有两种：寄生在磁盘引 导扇区和寄生在特定文件中（如EXE、COM、可执行文件、DOC、HTML等 ）。寄生在它们上面的病毒程序可以在一定条件下获得执行权，从而得以进 入计算机系统，并处于激活状态，然后进行动态传播和破坏活动。 l2感染模块 l感染是指计算机病毒由一个载体传播到另一个载体。这种载体一般为磁盘， 它是计算机病毒赖以生存和进行传染的媒介。但是，只有载体还不足以使病 毒得到传播。促成病毒的传染还有一个先决条件，可分为两种情况：一种情 况是用户在复制磁盘或文件时，把一个病毒由一个载体复制到另一个载体上 ，或者是通过网络

9、上的信息传递，把一个病毒程序从一方传递到另一方；另 一种情况是在病毒处于激活状态下，只要传染条件满足，病毒程序能主动地 把病毒自身传染给另一个载体。 3.1.5 病毒的结构 l3触发模块 l计算机病毒在传染或发作之前，往往要判断某些特定条件是否满足，满足则传染或发 作，否则不传染或不发作，这个条件就是计算机病毒的触发条件。计算机病毒频繁的 破坏行为可能给用户以重创。目前病毒采用的触发条件主要有以下几种。 l（1）日期触发。许多病毒采用日期作为触发条件。日期触发大体包括特定日期触发、 月份触发和前半年触发/后半年触发等。 l（2）时间触发。它包括特定的时间触发、染毒后累计工作时间触发和文件最后写

10、入时 间触发等。 l（3）键盘触发。有些病毒监视用户的击键动作，当发现病毒预定的击键时，病毒被激 活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发和热启动触发等。 l（4）感染触发。许多病毒的感染需要某些条件触发，而且相当数量的病毒以与感染有 关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括运行感染文件个数 触发、感染序数触发、感染磁盘数触发和感染失败触发等。 l（5）启动触发。病毒对计算机的启动次数计数，并将此值作为触发条件。 l（6）访问磁盘次数触发。病毒对磁盘I/O访问次数进行计数，以预定次数作为触发条件 。 l（7）CPU型号/主板型号触发。病毒能识别运行环境的CP

11、U型号/主板型号，以预定 CPU型号/主板型号作为触发条件，这种病毒的触发方式奇特罕见。 3.1.5 病毒的结构 l4破坏模块 l破坏模块在触发条件满足的情况下，病毒对系统或磁盘上的文件进行 破坏。这种破坏活动不一定都是删除磁盘上的文件，有的可能是显示 一串无用的提示信息。有的病毒在发作时，会干扰系统或用户的正常 工作。而有的病毒，一旦发作，则会造成系统死机或删除磁盘文件。 新型的病毒发作还会造成网络的拥塞甚至瘫痪。 l计算机病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具 有的技术能量。数以万计、不断发展扩张的病毒，其破坏行为千奇百 怪。病毒破坏目标和攻击部位主要有系统数据区、文件、内

12、存、系统 运行速度、磁盘、CMOS、主板和网络等。 3.1.6 病毒的识别与防治 l只要掌握一些病毒的命名规则，就能通过杀毒软件报告中出现的病毒 名来判断该病毒的一些共有特性。一般格式为：。 l病毒前缀是指一个病毒的种类，它是用来区别病毒的种族分类的。不 同种类的病毒，其前缀也是不同的。比如常见的木马病毒的前缀是 Trojan，蠕虫病毒的前缀是Worm等。 l病毒名是指一个病毒的家族特征，用来区别和标识病毒家族的，如以 前著名的CIH病毒的家族名是统一的“CIH”，振荡波蠕虫病毒的家族名 是“Sasser”。 l病毒后缀是指一个病毒的变种特征，用来区别具体某个家族病毒的某 个变种。一般都采用英

13、文中的26个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种b，因此一般称为“振荡波b变种”或者“振 荡波变种b”。如果该病毒变种非常多，可以采用数字与字母混合表示 变种标识。 l1Windows操作系统一些常见的病毒前缀的解释 l（1）系统病毒 l系统病毒的前缀为Win32、PE、Win95、W32、 W95等。这些病毒的一般共有的特性是可以感染 Windows操作系统的 *.exe 和 *.dll 文件，并通过 这些文件进行传播，如CIH病毒。 l（2）蠕虫病毒 l蠕虫病毒的前缀是Worm。这种病毒的共有特性 是通过网络或者系统漏洞进行传播，大部分蠕虫 病毒都能向外发

14、送带毒邮件、阻塞网络的特性， 比如冲击波（阻塞网络）、小邮差（发带毒邮件 ）等。 l（3）木马病毒、黑客病毒 l木马病毒其前缀是Trojan，黑客病毒前缀名一般为Hack。 木马病毒的共有特性是通过网络或者系统漏洞进入用户的 系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则 有一个可视的界面，能对用户的计算机进行远程控制。木 马、黑客病毒往往是成对出现的，即木马病毒负责侵入用 户的计算机，而黑客病毒则会通过该木马病毒来进行控制 。现在这两种类型都越来越趋向于整合了。一般的木马如 QQ消息尾巴木马 Trojan.QQ3344，还有可能遇见比较多 的针对网络游戏的木马病毒如 Trojan.LMi

15、r.PSW.60。这 里补充一点，病毒名中有PSW或者PWD的一般都表示这 个病毒有盗取密码的功能（这些字母一般都为“密码”的英 文“password”的缩写）。一些黑客程序如网络枭雄（ Hack.Nether.Client）等。 l（4）脚本病毒 l脚本病毒的前缀是Script。脚本病毒的共有特性是 使用脚本语言编写，通过网页进行的传播的病毒 ，如红色代码（Script.Redlof）。脚本病毒还会 有如下前缀：VBS、JS（表明是何种脚本编写的 ），如欢乐时光（VBS.Happytime）、十四日（ Js.Fortnight.c.s）等。 l（5）宏病毒 l其实宏病毒也是脚本病毒的一种，由

16、于它的特殊性，因此 在这里单独算成一类。宏病毒的前缀是Macro，第二前缀 是Word、Word97、Excel、Excel 97（也许还有别的）其 中之一。凡是只感染Word 97及以前版本Word文档的病毒 采用Word 97做为第二前缀，格式是Macro.Word 97；凡 是只感染Word 97以后版本Word文档的病毒采用Word做 为第二前缀，格式是Macro.Word；凡是只感染Excel 97 及以前版本Excel文档的病毒采用Excel 97做为第二前缀 ，格式是Macro.Excel97；凡是只感染Excel 97以后版本 Excel文档的病毒采用Excel做为第二前缀，格式是 Macro.Excel，以此类推。该类病毒的共有特性是能感染 Office系列文档，然后通过Office通用模板进行传播，如著 名的美丽莎（Macro.Melissa）病毒。 l（6）后门病毒 l后门病毒的前缀是Backdoor。该类病毒的共有特性是通过 网络传播，给系统开后门，给用户计算机带来安全隐患。 l（7）病毒种植程序病毒 l这类病毒的共有特性是运行时会从