《计算机网络安全ch06》由会员分享,可在线阅读,更多相关《计算机网络安全ch06(36页珍藏版)》请在金锄头文库上搜索。
1、 第 6 章 网络病毒与防治 本章要点 ? 了解计算机病毒的概念、特征 ? 了解计算机病毒的分类、传播方式及其危害 ? 掌握各种防止病毒的软件的安装和配置方法 ? 掌握特定的网络病毒的查杀方法 6.1 计算机病毒概述 计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒越来越 高级,情况就变得更是如此。目前,几千种不同的病毒不时地对计算机和网络的安全构成 严重威胁。因此,了解和控制病毒威胁显得格外重要,任何有关网络数据完整性和安全的 讨论都应考虑到病毒。计算机网络的主要特点是资源共享。一旦共享资源感染病毒,网络 各结点间信息的频繁传输会把病毒传染到所共享的机器上,从而形成多种共
2、享资源的交叉 感染;网络病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。对于金融等系统 的敏感数据,一旦遭到破坏,后果将不堪设想。因此,网络环境下病毒的防治就显得更加 重要了。 6.1.1 计算机病毒基本概念 计算机病毒是一种具有自我复制能力的计算机程序,它不仅能够破坏计算机系统,而 且还能够传播、感染到其他的系统,它能影响计算机软件、硬件的正常运行,破坏数据的 正确与完整。 计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者纯粹为了寻开心而 制造出来的,有的则是软件公司为保护自己的产品不被非法复制而制造的报复性惩罚,因 为他们发现用病毒比用加密对付非法复制更有效且更有威胁, 这
3、种情况助长了病毒的传播。 还有一种情况就是蓄意破坏,它分为个人行为和政府行为两种。个人行为多为雇员对雇主 的报复行为,而政府行为则是有组织的战略战术手段(据说在海湾战争中,美国国防部的一 个秘密机构曾对伊拉克的通信系统进行了有计划的病毒攻击,一度使伊拉克的国防通信陷 于瘫痪)。另外有的病毒还是用于研究或实验而设计的“有用”程序,由于某种原因失去控 制扩散出实验室或研究所,从而成为危害四方的计算机病毒。 6.1.2 计算机病毒的历史 计算机病毒的概念其实起源相当早,在第一部商用计算机推出前几年,计算机的先驱 者冯诺依曼(John Von Neumann)在他的一篇论文复杂自动装置的理论及组识的进
4、行计算机网络安全技术 134 134 中,已经勾勒出病毒程序的蓝图。不过在当时,绝大部分的计算机专家都无法想像会有这 种能自我繁殖的程序。 美国著名的 AT&T 贝尔实验室中,三个年轻人在工作之余,很无聊地玩起一种游戏: 彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”(core war)的游戏, 进一步将计算机病毒“感染性”的概念体现出来。 20 世纪 60 年代,出现了一种 living 软件,可以进行自我复制,当时,living 的程式思 想(自我复制)很受欢迎,从此创造病毒类型程序的挑战性开发广泛传播于学术界。 1975 年, 美国科普作家约翰布鲁勒尔(John Bru
5、nner)写了一本名为 震荡波骑士 (Shock Wave Rider)的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工 具的故事,成为当年最佳畅销书之一。 1977 年夏天, 托马斯捷瑞安(Thomas.J.Ryan)的科幻小说 P-1 的春天 (The Adolescence of P-1)成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染的病毒, 病毒最后控制了 7000 台计算机,造成了一场灾难。虚拟科幻小说世界中的东西,在几年后 逐渐成为使用者的噩梦。 1983 年 11 月 3 日, 弗雷德科恩(Fred Cohen)博士在 UNIX 系统下研制出
6、一种在运行过 程中可以复制自身从而引起系统死机的程序,但是这个程序并未引起一些教授的注意与认 同。科恩为了证明其理论而将这些程序以论文发表,在当时引起了不小的震撼。科恩的程 序让计算机病毒具备破坏性的概念具体成形。 伦艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses),并在每周一次的 计算机安全讨论会上正式提出,8 小时后专家们在 VAX11/750 计算机系统上运行,第一 个病毒实验成功,一周后又获准进行 5 个实验的演示,从而在实验上验证了计算机病毒的 存在。 1986 年初,在巴基斯坦的拉合尔(Lahore),巴锡特(Basit)和阿姆杰德(Amj
7、ad)两兄弟经 营着一家 IBMPC 及其兼容机的小商店。他们编写了 Pakistan 病毒,即 Brain。在一年内流 传到了世界各地。 到了 1987 年,第一个计算机病毒 C-BRAIN 终于诞生了(这似乎不是一件值得庆贺的 事)。一般而言,业界都公认这是真正具备完整特征的计算机病毒始祖。这个病毒程序是由 巴斯特和阿姆杰德所写的,由于当地盗拷软件的风气非常盛行,因此他们的目的主要是为 了防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN 就会发作,将盗拷者 的硬盘剩余空间给吃掉。 这个病毒在当时并没有太大的杀伤力, 但后来一些有心人士以 C-BRAIN 为蓝图, 制作 出一
8、些变形的病毒。而其他新的病毒创作也纷纷出笼,不仅有个人创作,甚至出现不少创 作集团(如 NuKE,Phalcon/Skism,VDV)。各类扫毒、防毒与杀毒软件以及专业公司也纷纷 出现。一时间,各种病毒创作与反病毒程序不断推陈出新,如同百家争鸣。 1988 年 3 月 2 日, 一种苹果机的病毒发作, 这天受感染的苹果机停止工作, 只显示 “向 所有苹果电脑的使用者宣布和平的信息”,以庆祝苹果机生日。 1988 年 11 月 2 日,美国 6000 多台计算机被病毒感染,造成因特网不能正常运行。这 是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即做出反应,国防 部成立了计算机应
9、急行动小组。 这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结第 6 章 网络病毒与防治 135135点,连接着政府、大学、研究所和拥有政府合同的 250 000 台计算机。这次病毒事件导致 计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特莫里斯(Robert Morris),当年 23 岁,是在康奈尔(Cornell)大学攻读学位的研究生。 罗伯特莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特莫里斯成了入 侵 ARPANET 的最大的电子入侵者,而获准参加康奈尔大学的毕业设计,并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判 3 年缓刑,罚
10、款 1 万美元,他还被命令进行 400 小时的新区服务。 6.2 计算机病毒的特征及传播方式 6.2.1 计算机病毒的特征 要做好反病毒技术的研究,首先要认清计算机病毒的特点和行为机理,为防范和清除 计算机病毒提供充实可靠的依据。根据对计算机病毒的产生、传染和破坏行为的分析,总 结出病毒有以下 6 个主要特点。 1. 自我复制能力 传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物 体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同 样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些 情况下造成被感染的计算机工作失
11、常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段 人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符 合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目 的。只要一台计算机感染病毒,如不及时处理,那么病毒会在这台机子上迅速扩散,大量 文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进 行数据交换或通过网络接触,病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序上的。而病毒却能使 自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过 各种可能的渠道,如软盘、
12、计算机网络去传染其他的计算机。当你在一台机器上发现了病 毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器联网的其他计 算机也许也被该病毒传染了。 是否具有传染性是判别一个程序是否为计算机病毒的最重要 条件。 2. 夺取系统控制权 一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对 用户是可见的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常 程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是 未经用户允许的。 计算机网络安全技术 136 136 3. 隐蔽性 不经过代码分析,病毒程序与正常程序是不容易区别开来
13、的。一般在没有防护措施的 情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受 到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在 传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是 由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散传播。计算机病毒的隐蔽性还 体现在病毒代码本身设计得非常短小,一般只有几百到几千字节,非常便于隐藏到其他程 序中或磁盘的某一特定区域内。随着病毒编写技巧的提高,病毒代码本身还进行加密或变 形,使得对计算机病毒的查找和分析更困难,容易造成漏查或错杀。 4. 破坏性 任何病毒只要侵入系
14、统,都会对系统及应用程序产生程度不同的影响。轻者会降低计 算机工作效率,占用系统资源,重者可导致系统崩溃。计算机病毒的破坏性多种多样,若 按破坏性而粗略分类,可将病毒分为良性病毒与恶性病毒。良性病毒是指不包含立即直接 破坏的代码,只是为了表现其存在或为说明某些事件而存在,如只显示些画面或出点音乐、 无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒是指在代码中包 含损伤、破坏计算机系统的操作,在其传染或发作时会对系统直接造成严重破坏。它的破 坏目的非常明确,如破坏数据,删除文件,加密磁盘,格式化磁盘或破坏主板等。 5. 潜伏性 大部分的病毒感染系统之后一般不会马上发作,它可长期隐
15、藏在系统中,只有在满足 其特定条件时才启动其表现(破坏)模块,显示发作信息或进行系统破坏。这样的状态可能 保持几天,几个月甚至几年。使计算机病毒发作的触发条件主要有以下几种。 (1) 利用系统时钟提供的时间作为触发器,这种触发机制被大量病毒使用。 (2) 利用病毒体自带的计数器作为触发器。病毒利用计数器记录某种时间发生的次数, 一旦计数器达到设定值,就执行破坏操作。这些操作可以是计算机开机的次数,可以是病 毒程序被运行的次数,还可以是从开机起被运行过的程序数量。 (3) 利用计算机内执行的某些特定操作作为触发器。特定操作可以是用户按下某些特 定的组合键,可以是执行的命令,可以是对磁盘的读写。被
16、病毒使用的触发条件多种多样, 而且往往是由多个条件组合触发。大多数病毒的组合条件是基于时间的,再辅以读写操作, 按键操作以及其他条件。 6. 不可预见性 从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码相差 甚远,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声 称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前软件的种类极其丰 富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法 对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断地提高,病毒 对反病毒软件永远是超前的。 第 6 章 网络病毒与防治 1371376.2.2 病毒的传播方式 计算机病毒的传播有如下 4 种方式。 (1) 通过不可移动的计算机硬件设备进行传播(即利用专用 ASIC 芯片和硬盘进行传 播)。这种病毒虽然极少,但破坏力却极强,目前尚没有较好的检测手段。 (2) 通过移动存
