《第4章计算机安全技术精编版》由会员分享,可在线阅读,更多相关《第4章计算机安全技术精编版(208页珍藏版)》请在金锄头文库上搜索。
1、第4章 计算机病毒防治,4.1 计算机病毒概述 4.2 DOS环境下的病毒 4.3 宏病毒 4.4 网络病毒 4.5 现代计算机病毒流行特性,4.6 杀毒软件技术 4.7 典型病毒介绍 4.8 常用反病毒软件产品 习 题,4.1 计算机病毒概述,4.1.1 病毒的定义 “计算机病毒”一词最早是由美国计算机病毒研究专家F.Cohen博士提出的。“病毒”一词是借用生物学中的病毒。通过分析研究计算机病毒,人们发现它在很多方面与生物病毒有着相似之处。计算机病毒在中华人民共和国计算机信息系统安全保护条例中的定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一
2、组计算机指令或者程序代码”。,4.1.2 计算机病毒的历史 随着计算机在各行各业的大量应用,计算机病毒也随之渗透到计算机世界的每个角落,常以人们意想不到的方式侵入计算机系统。计算机病毒的流行引起人们的普遍关注,成为影响计算机安全运行的一个重要因素。 世界上第一例被证实的病毒是在1983年。直到1987年,病毒并没有真正在世界上传播开来,也没有引起人们的重视,更没有被充分认识到将造成多大的危害。1988年11月的一次病毒发作,造成Internet网上的6200多用户系统瘫痪,经济损失达九千多万美元,随后一系列病毒事件的发生,才引起人们对计算机病毒高度重视,并在国际计算机领域掀起了一个探讨病毒的高
3、潮。,计算机病毒的发展经历了以下几个阶段: 1. DOS引导阶段 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”、“石头”、Azusa / Hong-Kong / 2708病毒等。当时计算机数量较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作,它们修改系统引导扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,在系统存取操作磁盘时传播,影响系统工作效率。病毒自身代码不隐藏不加密,所以查、解都很容易。1989年引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。,2. DOS可执行文件阶段 1989年,可执行文件型病毒出现,一般只传染
4、 .COM和 .EXE可执行文件。它们利用DOS系统加载执行文件的机制工作,如“耶路撒冷”、“星期天”病毒。病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,将自己附加在可执行文件中,被感染的文件长度明显变长,病毒代码没有加密。同样这类病毒容易查、解。 3. 混合型阶段 1990年以后出现双料病毒,既感染文件同时又感染引导记录,也称混合型病毒。,常见的有Flip/Omicron Xqr invader/侵入者、Plastique/塑料炸弹、ALFA/3072-2、Ghost/One-Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等。如果只解除了感染
5、文件上的病毒,而没有清除引导区的病毒,那么在系统重新引导时病毒又将激活,会重新感染文件;如果只清除了引导区的病毒而没有清除文件上的病毒,一旦执行被感染文件,就又会感染硬盘引导区。 4. 伴随、批次型阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM的伴随体;,它感染COM文件时,将原来的COM文件改为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为.COM,这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容、日期及属性,解除病毒时只要将其伴随体删除即可
6、。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,较典型的代表是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。,5. 多形型阶段 1994年,随着汇编语言编程技术的发展,实现同一功能可以用不同的方式来完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。病毒能产生一段有上亿种可能的代码运算程序,也称多态病毒,病毒体被隐藏在解码前的加密数据中,查解这类病毒必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合
7、性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。,6. 生成器,变体机阶段 1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的病毒生成器和变体机就产生了。比较典型的代表是“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机。,7. 网络,蠕虫阶段 1995年以后,随着网络的普及,
8、病毒大量利用网络进行传播,但只是以上几代病毒的改进。在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 8. 视窗阶段 1996年,随着Windows 3.x和Windows95的日益普及,利用Windows传播的病毒迅速发展,它们修改(NE,PE)文件,典型的代表是DS.3873病毒,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。,近一两年流行的CIH病毒就是一种专门感染Windows95/98程序文件的病毒。这种病毒使用Wind
9、ows VXD(虚拟设备驱动程序)技术,发作时不仅破坏硬盘数据,而且还对一些使用Flash ROM 芯片存储BIOS程序的主板造成损坏。 9. 宏病毒阶段 1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒。这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro上出现的相同工作机制的病毒也归为此类。,10. 互联网阶段 1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播。一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。1997年,随着万维网上Java的普及,利用Java语言进行传播和
10、获取资料的病毒开始出现。这类病毒的主要特点是:它们一般不需要宿主程序,多数都能够跨平台,借助网络迅速传播,破坏系统数据;有一些能够窃取使用者的重要数据资料,如个人的数据文件、网络帐号密码、信用卡信息等。网络病毒的查杀具有更大的难度,而且容易复发。,4.1.3 计算机病毒的特点 要做好反病毒技术的研究,首先要认清计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒的几个主要特点: 1. 刻意编写人为破坏 计算机病毒不是偶然自发产生的,而是人为编写的有意破坏、严谨精巧的程序段,它是严格组织的程序代码,与所在环境相互适应并紧密
11、配合。编写病毒的动机一般有以下几种情况:为了表现和证明自己;出于对上级的不满;出于好奇的“恶作剧”;为了报复;为了纪念某一事件等等。也有因为政治、军事、民族、宗教、专利等方面的需要而专门编写的。有的病毒编制者为了相互交流或合作,甚至形成了专门的病毒组织。,计算机病毒的破坏性多种多样。若按破坏性粗略分类,可以分为良性病毒和恶性病毒。恶性病毒是指在代码中包含有损伤、破坏计算机系统的操作,在其传染或发作时会对系统直接造成严重损坏。它的破坏目的非常明确,如破坏数据、删除文件、格式化磁盘、破坏主板等,因此恶性病毒非常危险。良性病毒是指不包含立即直接破坏的代码,只是为了表现其存在或为说明某些事件而存在,如
12、只显示某些信息,或播放一段音乐,或没有任何破坏动作但不停地传播。但是这类病毒的潜在破坏还是有的,它使内存空间减少,占用磁盘空间,降低系统运行效率,使某些程序不能运行,它还与操作系统和应用程序争抢CPU的控制权,严重时导致系统死机、网络瘫痪。,2. 自我复制能力 自我复制也称“再生”或“传染”。再生机制是判断是不是计算机病毒的最重要依据。这一点与生物病毒的特点也最为相似。在一定条件下,病毒通过某种渠道从一个文件或一台计算机传染到另外没有被感染的文件或计算机,轻则造成被感染的计算机数据破坏或工作失常,重则使计算机瘫痪。病毒代码就是靠这种机制大量传播和扩散的。携带病毒代码的文件称为计算机病毒载体或带
13、毒程序。每一台被感染了病毒的计算机,本身既是一个受害者,又是计算机病毒的传播者,通过各种可能的渠道,如软盘、光盘、活动硬盘、网络去传染其它的计算机。,在染毒的计算机上曾经使用过的软盘,很有可能已被计算机病毒感染,如果拿到其它机器上使用,病毒就会通过带毒软盘传染这些机器。如果计算机已经连网,通过数据或程序共享,病毒就可以迅速传染与之相连的计算机,若不加控制,就会在很短时间内传遍整个世界。 3. 夺取系统控制权 当计算机在正常程序控制之下运行时,系统运行是稳定的。在这台计算机上可以查看病毒文件的名字,查看或打印计算机病毒代码,甚至拷贝病毒文件,系统都不会激活并感染病毒。病毒为了完成感染、破坏系统的
14、目的必然要取得系统的控制权,这是计算机病毒的另外一个重要特点。,计算机病毒一经在系统中运行,病毒首先要做初始化工作,在内存中找到一片安身之地,随后将自身与系统软件挂起钩来执行感染程序。在这一系列的操作中,最重要的是病毒与系统挂起钩来,即取得系统控制权,系统每执行一次操作,病毒就有机会执行它预先设计的操作,完成病毒代码的传播或进行破坏活动。反病毒技术也正是抓住计算机病毒的这一特点提前与病毒取得系统控制权,阻止病毒取得系统控制权,然后识别出计算机病毒的代码和行为。 4. 隐蔽性 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序不易区别开。,在没有防护措施的情况下,计算机病毒程序取得系统控
15、制权后,可以在很短的时间里大量传染。而在受到传染后,一般计算机系统仍然能够运行,被感染的程序也能执行,用户不会感到明显的异常,这便是计算机病毒的隐蔽性。正是由于这种隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散传播。计算机病毒的隐蔽性还表现在病毒代码本身设计得非常短小,一般只有几百到几K字节,非常便于隐藏到其它程序中或磁盘的某一特定区域内。随着病毒编写技巧的提高,病毒代码本身还进行加密或变形,使得对计算机病毒的查找和分析更困难,容易造成漏查或错杀。,5. 潜伏性 大部分病毒在感染系统后一般不会马上发作,它可长期隐藏在系统中,除了传染外,不表现出破坏性,这样的状态可能保持几天,几个月甚至几年,
16、只有在满足其特定条件后才启动其表现模块,显示发作信息或进行系统破坏。使计算机病毒发作的触发条件主要有以下几种: (1) 利用系统时钟提供的时间作为触发器,这种触发机制被大量病毒使用。 (2) 利用病毒体自带的计数器作为触发器。病毒利用计数器记录某种事件发生的次数,一旦计数器达到设定值,就执行破坏操作。,这些事件可以是计算机开机的次数,可以是病毒程序被运行的次数,还可以是从开机起被运行过的程序数量,等等。 (3) 利用计算机内执行的某些特定操作作为触发器。特定操作可以是用户按下某些特定键的组合,可以是执行的命令,可以是对磁盘的读写。被病毒使用的触发条件多种多样,而且往往是由多个条件的组合触发。大多数病毒的组合条件是基于时间的,再辅以读写盘操作,按键操作以及其它条件。 6. 不可预见性 不同种类病毒的代码千差万别,病毒的制作技术也在不断地提高,病毒比反病毒软件永远是超前的。,新的操作系统和应用系统的出现,软件技术的不断发展,也为计算机病毒提供了新的发展空间,对未来病毒的预测更加困难,这就要求人们不断提高对病毒的认识,增强防范意识。人为编制的病毒人类一定会战胜它。 4.1.4 计算机病毒的破
