《计算机网络病毒及其防范》由会员分享,可在线阅读,更多相关《计算机网络病毒及其防范(97页珍藏版)》请在金锄头文库上搜索。
1、第5章 计算机网络病毒及其防范 第5章 计算机网络病毒及其防范 5.1 计算机病毒概述5.2 计算机网络病毒 5.3 反病毒技术 5.4 计算机网络病毒的防范 5.5 小结习题与思考题第5章 计算机网络病毒及其防范 5.1 计算机病毒概述 5.1.1 计算机病毒的定义“计算机病毒”有很多种定义,从广义上讲,凡是能引起计算机故障,破坏计算机中数据的程序统称为计算 机病毒。现今国外流行的定义为:计算机病毒是一段附 着在其他程序上的,可以实现自我繁殖的程序代码。在 国内,中华人民共和国计算机信息系统安全保护条例 的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机
2、使用,并 且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性和权威性。第5章 计算机网络病毒及其防范 5.1.2 计算机病毒的发展过程1983年11月3日,弗雷德科恩(Fred.Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦艾德勒曼(Len.Adleman)将它命名为计算机病毒(Computer Viruses)。计算机病毒在20世纪90年代开始大规模流行。1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序(当时未给它命名)。这个程序通过UNIX的口令检测作为合法用户注册,进入系统后,将特洛伊木马程序不断传播、复制,使系统瘫痪。这是一个真正
3、实用的、攻击计算机的病毒。第5章 计算机网络病毒及其防范 1988年11月2日晚,美国康尔大学研究生罗特莫里斯(R.T.Morris)利用计算机系统存在的弱点,将计算机蠕虫病毒投放到网络中,使该病毒程序迅速扩展。至第二天凌晨,病毒从美国东海岸传到西海岸,造成了大批计算机瘫 痪,遭受攻击的包括五个计算机中心和12个地区结点,连接着政府、大学、研究所和拥有政府合同的250 000台计算机,直接经济损失达9600万美元。这是自计算机出现以来最严重的一次计算机病毒侵袭事件,给全世界带来巨大的震动,引起世界各国的广泛关注。第5章 计算机网络病毒及其防范 随着计算机技术的发展,有越来越多的病毒出现。199
4、5年在北美地区流行着一种“宏”病毒,它不感染.exe和.com文件,只感染文档文件。与传统病毒相比,宏病毒编写更为简单。1996年12月,宏病毒正式在我国出现,病毒名是“Taiwan No.1”。它是在文件型和引导型病毒的基础上发展出来的,它不仅可由磁盘传播,还可由Internet上E-mail和下载文件传播,传播速度快,可以在多平台上交叉感染,危害极大。据专家估计,宏病毒的感染率高达 40%以上,即每发现100个病毒就有40个是宏病毒。第5章 计算机网络病毒及其防范 在国内,最初让人关注的病毒是1982年出现的“黑色星期五”病毒、“米氏病毒”和“小球病毒”等。由于当时网络没有普及,因此没有造
5、成病毒的广泛流行。1998年6月出现了CIH病毒,CIH病毒是目前破坏性最大的病毒之一。其别名有Win95.CIH、Spacefiller、Win32.CIH、 PE_CIH。它感染Windows 95/98下的PE(Portable Executable Format)可执行文件,但是不感染DOS文件。 它是世界上首例也是目前惟一能攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫 痪。CIH病毒产于台湾,是台湾大学生陈盈豪编写的。目前发现至少有五个版本,发作时间一般是每月26日。 第5章 计算机网络病毒及其防范 V1.0版本是最初的CIH版本,不具有破坏性,感染Windows 可
6、执行文件。V1.1版本能自动判断运行系统,如果是Windows NT,则自动隐蔽,被感染的文件长度并不增加。V1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码,成为恶性病毒。它会感染ZIP自解压文件,导致ZIP压缩包在解压时出现错误信息,发作时间是每年4月26日。其中V1.3版为6月26日发作,不感染WINZIP类的自解压程序。V1.4版本修改了发作日期及病毒的版权信息,为每月的26日发作。由于该病毒一般隐藏在盗版光盘、软件以及游戏程序中,并能通过Internet迅速传播到世界各地,因此破坏性极大。 第5章 计算机网络病毒及其防范 病毒发作时,通过复制的代码不断覆盖硬盘系统区,损 坏
7、BIOS和主引导区数据,看起来硬盘灯在闪烁,但再次启动时,计算机屏幕便一片漆黑,此时用户硬盘上的分区表已 被破坏,数据很难再恢复,它对于网络系统的损失更严重。 遭到袭击的不仅有国家机关、企事业单位、金融系统,还有 公安机关、军事部,估计全球因此损失了上百亿美元。最近,“红辣椒”、“恶邮差”、“冲击波”、Win32.Cydog等一系列病毒的出现,给计算机用户造成了很大的损失。现在,由于网络的普及,计算机成为开放网络的一个结点,使 得病毒可以长驱直入。计算机病毒非但没有得到抑制,数量 反而与日俱增,所造成的危害也越来越大,甚至会造成网络 的一时瘫痪。第5章 计算机网络病毒及其防范 5.1.3 计算
8、机病毒的分类目前出现的计算机病毒种类繁多,同时,一种病毒也可能发生多种变形。根据计算机病毒的特征和表现的不同,计算机病毒有多种分类方法。1. 按传染方式分类传染是计算机病毒的一个主要特征。计算机病毒按其传染方式可分为三种类型,分别是引导型、文件型和混合型病毒。第5章 计算机网络病毒及其防范 (1) 引导型病毒指传染计算机系统磁盘引导程序的计算机病毒。它是一种开机即可启动的病毒,先于操作系统而 存在。这类病毒将自身的部分或全部代码寄生在引导扇区 ,即修改系统的引导扇区,在计算机启动时这些病毒首先 取得控制权,减少系统内存,修改磁盘读写中断,在系统 存取操作磁盘时进行传播,影响系统工作效率。这类病
9、毒 的典型例子有大麻病毒、小球病毒等。(2) 文件型病毒指传染可执行文件的计算机病毒。这类 计算机病毒传染计算机的可执行文件(通常为.com或.exe、 .ovl文件等)以及这些文件在执行过程中所使用的数据文件。在用户调用染毒的执行文件时,病毒被激活。第5章 计算机网络病毒及其防范 病毒首先运行,然后病毒常驻内存,伺机传染给其他文件或直接传染其他文件。其特点是依靠正常的可执行文件的掩护而潜伏下来,成为程序文件的一个外壳或部件。这是较为常见的传染方式。这类病毒的典型例子有黑色星期五病毒、维也纳病毒和宏病毒等。(3) 混合型病毒指传染可执行文件又传染引导程序的计算机病毒。它兼有文件型和引导型病毒的
10、特点。因此,混合型病毒的破坏性更大,传染的机会多,查杀病毒更困难。 第5章 计算机网络病毒及其防范 2. 按寄生方式分类寄生是计算机病毒赖以存在的方式。计算机病毒按其寄生方式可分为四种类型,分别是代替型、链接型、转储型和源码病毒。(1) 代替型计算机病毒是指计算机病毒在传染病毒宿主之后,计算机病毒用自身代码的部分或全部代替正常程序的部分或全部,从而使宿主程序不能正常运行。有些攻击操作系统的病毒在发作时用自己的逻辑运行模块取代操作系统原来的逻辑运行模块,使操作系统不能正常行使自己的功能。第5章 计算机网络病毒及其防范 (2) 链接型计算机病毒是将计算机病毒程序代码链接到被传染的宿主程序代码的首部
11、、中部或尾部,对 原来的程序不做修改。这种病毒较为常见,大部分文 件型病毒都属于这一类。(3) 转储型计算机病毒是指计算机病毒将原合法程序的代码转移到存储介质的其他部位,而病毒代码占 据原合法程序的位置。一旦这种病毒感染了一个文件 ,就很难被发现,隐蔽性较好。(4) 源码病毒主要是利用JAVA、VBS、ActiveX等 网络编程语言编写的,放在电子邮件的附件HTML主页中,进入被感染的计算机中执行。第5章 计算机网络病毒及其防范 在用户使用浏览器来阅读这些带有病毒的网页,或者打开邮件的附件时,病毒就不知不觉地侵入用户的机器中。这些病毒除了可以通过网络传播外,还可以通过网络将计算机内的机密泄露出
12、去。3. 按危害程度分类严格地说,只要是计算机病毒,就会对系统造成一定的危害性,只是不同的计算机病毒造成的危害程度不同。计算机病毒按其危害程度可分为三种类型,分别为良性病毒、恶性病毒和中性病毒。第5章 计算机网络病毒及其防范 (1) 良性病毒又称表现型病毒。它只是为了以一种特殊的方式表现其存在,如只显示某项信息、发出蜂鸣声,或播放一 段音乐,对源程序不做修改,不删除硬盘上的文件,不格式化 硬盘,也不直接破坏计算机的硬件设备,相对而言对系统的危 害较小。但是这类病毒还是具有潜在的破坏性,它使内存空间 减少,占用磁盘空间,与操作系统和应用程序争抢CPU的控制权,降低系统运行效率等。(2) 恶性病毒
13、又称破坏型病毒。它的目的就是对计算机的软件和硬件进行恶意的攻击,使系统遭到严重的破坏,如破坏 数据、彻底删除硬盘上的文件或格式化磁盘,使用户用任何软 件都无法恢复被删除的文件,它们甚至可能攻击硬盘,破坏主 板,导致系统死机而无法工作,在网络上高速传播,致使网络 瘫痪等。因此恶性病毒非常危险,造成的危害十分严重。第5章 计算机网络病毒及其防范 (3) 中性病毒是指那些既不对计算机系统造成直接破坏,又没有表现症状,只是疯狂地复制自身的计算机病毒,也就是常说的蠕虫型病毒。蠕虫型计算机病毒比较特殊,它不会攻击其他程序,不附着其他程序,不需要寄主。部分蠕虫病毒能在内存和磁盘上移动,以防被其他程序覆盖。从
14、总体上来说,它的危害程度介于良性计算机病毒与恶性计算机病毒之间。说其危害程度轻,是指有的蠕虫型计算机病毒不做其他的破环,只是在硬盘上疯狂地复制自身,挤占硬盘的大量存储空间,只影响一些文件的存储,但不对文件造成直接破坏;说其危害程度重,是指有的蠕虫型计算机病毒大量复制自身,耗尽了系统资源,使系统不堪重负而崩溃,造成严重的危害。典型的蠕虫有 Exporer.Zip.Worm、Melissa、红色代码等。第5章 计算机网络病毒及其防范 所以,对于蠕虫型计算机病毒的危害程度,不能一概而论,只能用“中性病毒”这个概念来对其加以界定。4. 按攻击对象划分1) 攻击DOS的病毒IBM PC及其兼容机在我国使
15、用得非常广泛,它们都可以运行DOS操作系统。在已发现的病毒中,攻击DOS的病毒种类最多、数量最多,且每种病毒都有变种,所以这种病毒传播得非常广泛。小球病毒是国内发现的第 一个DOS病毒。 第5章 计算机网络病毒及其防范 2) 攻击Windows的病毒攻击Windows的病毒多种多样,其中的宏病毒变形很多,有感染Word的宏病毒,有感染Excel的宏病毒,还有感染Access的宏病毒,其中感染Word的宏病毒最多。Concept病毒是世界上首例攻击Windows的宏病毒。3) 攻击网络的病毒近几年来,因特网在全世界迅速发展,上网已成为计算机使用者的时尚。随着网上用户的增加,网络病毒的传 播速度更
16、快,范围更广,病毒造成的危害更大。如GPI病毒是世界上第一个专门攻击计算机网络的病毒。 第5章 计算机网络病毒及其防范 5.1.4 计算机病毒的特征计算机病毒是一种特殊的程序,所以它除了具有与其他正常程序一样的特性外,还具有与众不同的基本特征。通过对计算机病毒的研究,可以总结出它的几个特征。1. 传染性计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。传染性是病毒的基本属性,是判断一个可疑程序是否是病毒的主要依据。病毒一旦入侵系统,它就会寻找符合传染条件的程序或存储介质,确定目标后将自身代码插入其中,达到自我繁殖的目的。第5章 计算机网络病毒及其防范 只要一台计算机感染病毒,如果没有得到及时的控制,那么病毒会很快在这台计算机上扩散,被感染的文件又成了新的传染源,通过与其他计算机进行信息交换,进行更大范围的传染。如果是联网的计算机感染了病毒,那么病毒的传播速度将更快。 计算机病毒一般有自己的标志。当染毒程序被运行时,病毒被激活,它监视着计算机系统的运行,一旦发现某个程序没有自己的标志,就立刻发起攻击,传染无毒程序。第
