《计算机病毒原理及防治教学教材》由会员分享,可在线阅读,更多相关《计算机病毒原理及防治教学教材(281页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒原理 及防治,卓新建 博士 北京邮电大学 信息工程学院 信息安全中心 Email: zhuoxj or: zhuoxj 电话:(010)62282264,目录,第1章 计算机病毒的基础知识及发展简史,第2章 计算机病毒的相关DOS基本系统知识,第3章 计算机病毒的结构及作用机制,第4章 检测计算机病毒的基本方法,第5章 清除计算机病毒的基本技术,第6章 计算机病毒的预防及计算机系统的修复,第7章 典型计算机病毒的机理分析,补充 常见反病毒产品的介绍,第1章 计算机病毒的基础知识,1.1 计算机病毒的定义 1.2 病毒的基本特征 1.3 计算机病毒的分类 1.4 计算机病毒的发展简史
2、1.5 计算机病毒在我国的发展简况 1.6 计算机病毒的产生及相关社会问题 1.7 计算机病毒防治的基本方法,1.1 计算机病毒的定义,1994年中华人们共和国计算机安全保护条例定义:“计算机病毒是指编制、或者在计算机程序中插入的,破坏计算机功能或数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。,广义定义 能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。,1.2 病毒的基本特征,计算机病毒是一段特殊的程序,它与生物学病毒有着十分相似的特性。除了与其他程序一样,可以存储和运行外,计算机病毒(简称病毒)还有感染性、潜伏性、可触发性、破坏性、衍生性等特征。它一般都隐蔽在
3、合法程序(被感染的合法程序称作宿主程序)中,当计算机运行时,它与合法的程序争夺系统的控制权,从而对计算机系统实施干扰和破坏作用。,感染性 计算机病毒的感染性是指计算机病毒具有把自身复制到其他程序中的特性。感染性是计算机病毒的根本属性,是判断一个程序是否为病毒程序的主要依据。病毒可以感染文件、磁盘、个人计算机、局部网络、互联网,病毒的感染是指从一个网络侵入另一个网络,由一个系统扩散到另一个系统,由一个系统传入到另一个磁盘,由一个磁盘进入到另一个磁盘,或者由一个文件传播到另一个文件的过程。软盘、光盘、网络(主要包括电子邮件、BBS、WWW浏览、FTP文件下载等等)是计算机病毒的主要感染载体,点对点
4、的通信系统和无线通信系统则是最新出现的病毒的感染载体。 感染性是病毒的再生机制,病毒通过修改磁盘扇区信息或文件内容,并与系统中的宿主程序链接在一起达到感染的目的,继而它就会在运行这一被感染的程序之后开始感染其他程序,这样一来,病毒就会很快地感染到整个系统。 病毒的感染性与计算机系统的兼容性有关。,潜伏性(或隐藏性 ) 病毒的潜伏性是指其具有依附于其他媒体而寄生的能力,即通过修改其他程序而把自身的复制品嵌入到其他程序或磁盘的引导区(包括硬盘的主引导区)中寄生。这种繁殖的能力是隐蔽的,病毒的感染过程一般都不带有外部表现,大多数病毒的感染速度极快。而且大多数病毒都采用特殊的隐藏技术,例如有些病毒感染
5、正常程序时将程序文件压缩,留出空间嵌入病毒程序,这样使被感染病毒的程序文件的长度的变化很小,很难被发现;有些病毒修改文件的属性等;还有些病毒可以加密、变型(多态病毒)或防止反汇编、防跟踪等等都是为了不让被感染的计算机用户发现。当计算机病毒侵入系统后,一般并不立即发作,而是具有一定的潜伏期。在潜伏期,只要条件许可,病毒就会不断地进行感染。一个编制巧妙的计算机病毒程序,可以在一段很长的时间内隐藏在合法程序中,对其他系统进行感染而不被人们发现。病毒的潜伏性与感染性相辅相成,潜伏性越好,其在系统中存在的时间就会越长,病毒的感染范围也就越大。,可触发性 病毒一般都有一个触发条件:或者触发其感染,即在一定
6、的条件下激活一个病毒的感染机制使之进行感染;或者触发其发作,即在一定条件下激活病毒的表现(破坏)部分。条件判断是病毒自身特有的功能,一种病毒一般设置一定的触发条件。病毒程序在运行时,每次都要检测控制条件,一旦条件成熟,病毒就开始感染或发作。触发条件可能是指定的某个时间或日期、特定的用户识别符的出现、特定文件的出现或使用次数、用户的安全保密等级、某些特定的数据等等,破坏性 计算机病毒的破坏性取决于病毒设计者的目的和水平,计算机病毒的危害大致有如下几个方面: (1)对计算机数据信息的直接破坏作用 (2)抢占系统资源 (3)影响计算机运行速度 (4)病毒对计算机硬件的破坏 (5)衍生性,衍生性 既然
7、计算机病毒是一段特殊的程序,了解病毒程序的人就可以根据其个人意图随意改动,从而衍生出另一种不同于原版病毒的新病毒,这种衍生出的病毒可能与原先的计算机病毒有很相似的特征,所以被称为原病毒的一个变种;如果衍生的计算机病毒已经与以前的计算机病毒有了很大甚至是根本性的差别,则此时就会将其认为是一种新的计算机病毒。变种或新的计算机病毒可能比原计算机病毒有更大的危害性。,病毒程序与正常程序的区别: 正常程序是具有应用功能的完整程序,以文件形式存在,具有合法文件名;而病毒一般不以文件的形式独立存在,一般没有文件名,它隐藏在正常程序和数据文件中,是一种非完整的程序。 正常程序依照用户的命令执行,完全在用户的意
8、愿下完成某种操作,也不会自身复制;而病毒在用户完全不知的情况下运行,将自身复制到其他正常程序中,而且与合法程序争夺系统的控制权,甚至进行各种破坏。,1.3 计算机病毒的分类,1.3.0 计算机病毒的数量 1.3.1 传统计算机病毒 1.3.2 宏与宏病毒、脚本语言与脚本病毒、 蠕虫、木马、后门等概念,1.3.0计算机病毒的数量,目前,病毒到底有多少,各种说法不一。 2000年12月在日本东京举行的“亚洲计算机反病毒大会”的报告中说,2000年11月以前的病毒数量超过55 000种; 目前,有的防病毒销售商则声称收集了60 000种左右的PC病毒(有些声明是骗人的); WildList Orga
9、nization在2001年7月的报告中列出了698中。 但SupplementalList连同WildList Proper只列出了214种(David Harley, Robert Slade, Urs E.Gattiker著,朱代祥,贾建勋,史西斌译,计算机病毒揭密,北京,人民邮电出版社,2002,9)。 “两个病毒在它们连续的代码和数据范围内,即使只有一个比特的区别也是不同的” (Vesselin Bontchev,Methodology of Computer Anti-Virus Research,University of Hamburg,1998)。,1.3.1 传统计算机病毒
10、,1按计算机病毒攻击的机型分类 (1)攻击微型机的病毒; (2)攻击小型计算机的病毒; (3)攻击工作站的病毒 2按计算机病毒攻击的操作系统分类 (1)攻击DOS系统的病毒; (2)攻击Windows系统的病毒; (3)攻击攻击UNIX或OS/2系统的病毒 3按传播媒介分类 (1)单机病毒; (2)网络病毒,1.3.1 传统计算机病毒,4按计算机病毒的寄生方式分类 (1)源码型病毒; (2)入侵型病毒; (3)外壳型病毒;(4)操作系统型病毒 5按病毒的表现(破坏)情况分类 (1)良性病毒 ;(2)恶性病毒 6按计算机病毒寄生方式和感染途径分类 按寄生方式:引导型病毒,文件型病毒。 按感染途径
11、:驻留内存型和不驻留内存型。 混合型病毒集引导型和文件型病毒特性于一体。,1.3.2 与病毒相关的几个概念,1宏与宏病毒(Macro and Macro virus) 在Windows环境下数据文件是由Word等文字处理软件建立的,被称为文档文件或文档。Word文档中包含两种信息:文本信息或称文本,格式信息。 Microsoft Word中对宏的定义为“宏就是能够组织在一起的,可以作为一个独立命令来执行的一系列Word命令。它能使日常工作变得容易”。Word文档中的格式信息就包含了很多这样的宏。Word的宏语言有十分强大的功能,它具备访问系统的能力,可以直接运行DOS系统命令、调用Window
12、s API、DLL等。这些操作都可能对系统的安全直接构成威胁。 如果一个宏中包含了上述形式的有破坏能力的命令,并且还有自我复制功能,这个宏就成了宏病毒。概括起来讲,宏病毒就是使用宏语言编写的有一定破坏能力的程序,可以在一些数据处理系统中运行(主要是微软的办公软件系统,字处理、电子数据表和其他Office程序中),存在于字处理文档、数据表格、数据库、演示文档等数据文件中,利用宏语言的功能将自己复制到其他数据文档中。 除了Word宏病毒外,常见的还有Excel宏病毒PowerPoint宏病毒等。,2脚本语言与脚本病毒(Script Language and Script Virus) 脚本病毒类似
13、于宏病毒,但它的执行环境不再局限于Word、Excel等Microsoft Office应用程序,而是随着Microsoft 将脚本语言和视窗操作系统日益紧密的结合,扩展到网页、HTA,甚至文本文件中。 脚本语言是介于HTML和Java、C+和Visual Basic之类的编程语言之间的语言。脚本语言需要一个脚本语言引擎解释执行脚本语言编写的程序。主要的脚本语言包括活动服务器页面(Active Server Pages)、微软可视化BASIC脚本语言(Microsoft Visual Basic Scripting Edition)、Java Script、PHP、REXX、PERL等等。脚本
14、语言的功能越来越强大,现代的脚本语言基本上可以完成所有的文件系统操作,所以使用脚本语言的病毒的出现也就成为必然。 脚本病毒主要有以下几种类型:基于JavaScript的脚本病毒,基于VBScript的脚本病毒(很多宏病毒其实就属于这一类),基于PHP的脚本病毒,脚本语言和木马程序结合的病毒。,1.3.2 与病毒相关的几个概念,3蠕虫(Worm) 蠕虫是一个程序,它进入计算机网络,利用空闲的处理器去测定网络中的计算机跨度。蠕虫程序由许多段构成,在其主段的控制下,蠕虫的某个段运行在单独的计算机上。蠕虫典型的传播方式是依靠网络的漏洞,利用网络或电子邮件方式由一台计算机传播到另一台计算机,靠将自身向其
15、他计算机提交来实现再生,并不将自身寄生在另一个程序上。 本来蠕虫是作为分散式计算领域中研究的一部分而被编写的,没有破坏安全的意图,也不隐藏其出现或运作(蠕虫也可以用重写某特定内存区的方法进行破坏,在蠕虫运行中也可以破坏程序,蠕虫通常造成的后果是网络阻塞,甚至由此造成系统崩溃)。所以,一般而言,蠕虫本身并不被当作传统的计算机病毒。但是现在,蠕虫被病毒的制造者们加以利用,很多带有蠕虫性质的计算机病毒被制造出来,它们实际上是蠕虫和病毒的混合体,既有蠕虫的在网络上繁殖的功能,又有病毒的寄生和破坏的功能,比如1999年出现,之后流行了几年的Melissa病毒、“求职信”病毒、“杀手13”病毒等等。 目前
16、在流行的恶性病毒中,有90%以上的病毒是蠕虫病毒。,1.3.2 与病毒相关的几个概念,4木马(Trojan Horse) 所谓特洛伊木马程序,是指一种程序,从表面看是正常程序,可以执行明显的正常功能,但也会执行受害者没有预料到的或不期望的动作。 通常木马并不被当成病毒,因为它们通常不包括感染程序,因而并不自我复制,只是靠欺骗获得传播。现在,随着网络的普及,木马程序的危害变得十分强大,如今它常被用作在远程计算机之间建立连接,像间谍一样潜入用户的计算机,使远程计算机通过网络控制本地计算机。 按照木马程序对计算机的不同破坏方式,可以把现在的木马程序分为以下几类:远程访问型、密码发送型、键盘记录型、毁坏型和FTP型。 例如,1989年美国人类学家鲍伯博士编写了一个特洛伊木马程序,复制逾万片免费邮送到世界各地,但在说明书中要挟用户,使用之前必须向他支付378美元,否则将会损坏用户的其他程序。这个程序是一个有关医学研究爱滋病信息的数据库,平时,该数据库的确是一个正常的有用数据库。但是,当用户启动该数据库90次时,突然它将磁盘上的所有文件
