《网络安全技术 第5章 计算机病毒及其防范》由会员分享,可在线阅读,更多相关《网络安全技术 第5章 计算机病毒及其防范(92页珍藏版)》请在金锄头文库上搜索。
1、第5章 计算机病毒及其防范,5.1 概述 5.2 计算机病毒的特点与种类 5.3 病毒的传播途径和寄生软件 5.4 计算机病毒的结构和形式描 5.5 病毒的表现行为 5.6 常见计算机病毒实例分析 5.7 计算机病毒的防御措施 5.8 常用防病毒软件介绍,5.1 概 述,什么是计算机病毒(Computer Virus)?中华人民共和国计算机信息系统安全保护条例中对计算机病毒给出了明确的定义,计算机病毒是“编制或者在计算机程序中插入的破坏数据,影响计算机使用并且能自我复制的一组计算机指令或者程序代码”。,计算机病毒的产生与发展由来已久。早在1949年第一台商用计算机出现之前,计算机先驱约翰冯诺伊
2、曼(John Von Neumann)在“复杂自动装置的理论及组织”(Theory and Organization of Complicated Automata)中就已提到:程序可以被编写成能自我复制并增加自身大小的形式。当时只有少数科学家注意到冯诺伊曼所提出的概念,并开始研究这个问题,而绝大部分的计算机专家都无法想象这种会自我繁殖的程序的可能性。在20世纪50年代,贝尔实验室的科学家开始玩一种游戏,在这种称为核心战(Core War)的游戏中,一方的“生物”(计算机代码)与对方的“生物”进行战斗。这种“生物”实际上已经有了计算机病毒的主要特征。,到20世纪60年代,约翰康韦(John C
3、onway)开发出了“活的”(living)软件,这种软件已经可以进行自我复制。 “活的”软件的思想在那时很受欢迎,创造病毒类型程序的热情开始在学术界广泛传播,这类“生物学计算机”后来传播到MIT(麻省理工学院)的一些研究中心以及XEROX(施乐)公司的PARC研究中心,但在大范围内这些仍是保密的。,计算机病毒开始大规模泛滥始于20世纪80年代。在1983年,科恩汤普森在他的颁奖典礼上向外界正式公布了计算机病毒的存在,并公布了病毒程序的编写方法。从此,计算机病毒的流传便一发不可收拾。1983年11月3日,美国南加州大学学生费雷德科恩编写的计算机病毒是最早被记录在案的病毒之一。伦艾德勒曼(Len
4、 Adleman)将它命名为计算机病毒,并在计算机安全讨论会上正式提出,然后专家们在VAX11/750计算机系统上正式成功演示了第一个病毒实验。1985年,最早的病毒程序之一通过电子公告牌提供给公众。1985年3月,“计算机病毒”一词正式出现在科学美国人杂志上。第一个被检测到的病毒出现于1986年,称为Brain(巴基斯坦智囊病毒),这是一个驻留内存的根扇区病毒,本无恶意的破坏和扩散意图,但病毒代码中的小错误使磁盘文件分配表中的数据被搅乱,从而造成了数据的丢失。1987年10月,在美国发现了第一例计算机病毒(Brain)。,1988年11月2日晚,美国康奈尔大学研究生罗伯特莫里斯(Rober
5、Morris)将计算机蠕虫(Worm)投放到计算机网络中,这个只有99行代码的病毒程序在美国军方网(MILnet)和ARPA网上迅速传播,到第二天凌晨,病毒从美国东海岸肆虐到西海岸,波及美国国家航空和航天局、军事基地、主要大学以及与欧洲联网的计算机,造成了6200多个用户系统瘫痪,直接经济损失达9200多万美元。莫里斯蠕虫病毒在它遇到的每台计算机的后台都运行一个小进程,它利用了一个编程的缺陷,因而不易被用户发现,以致大量计算机系统瘫痪。这是自计算机面世以后最严重的一次计算机病毒袭击事件,它把科幻故事变成了活生生的现实,引起了世界各国的关注。,到20世纪90年代,随着反病毒技术的提高和计算机网络
6、的发展,计算机病毒也不断变换新花样。1991年,发现首例专门攻击计算机网络的病毒GPI,它突破了NOVELL Net Ware网络的限制。1992年,发现首例Windows中的病毒。1994年后,采用密码技术编写的技巧高超的隐蔽性病毒和多变体型病毒在世界各地接连不断地出现,如变形金刚(Multation Engine )、幽灵王等。20世纪90年代中期,出现了病毒工具包或“病毒生产厂”软件。1995年8月9日,在美国首次发现了新型宏病毒(Macro),这不但标志着病毒类型变化的多元化新趋势,而且也说明病毒造成的危害越来越大。1998年6月,发现世界上首例能够破坏硬件的病毒CIH病毒。,1999
7、年3月26日发现的Melissa(梅丽莎)病毒仅用1216小时就席卷了全球因特网,在短短的几天之内感染了数以百万计的计算机。“梅丽莎”的大规模感染被称为“前所未有的、席卷全球的因特网病毒风暴”。2000年5月4日,一个名字很美丽的病毒“我爱你”病毒(I LOVE YOU,又称“爱虫”)使美国蒙受了计算机病毒史上最大的损失。这是第一个能侵入机密计算机系统的病毒,仅仅用2小时就造成了10多亿美元的损失。其中,美国国防部有4台机密计算机在防火墙被攻破后遭到“爱虫”病毒感染。2005年5月,以“我爱你”病毒为代表的计算机病毒包括新爱虫(New Love)、珍妮特。西蒙斯简历病毒(Resume-Jane
8、t Simons)等的大爆发,影响了全球数百万使用者,其造成的全球损失估计达67亿美元。,据统计资料显示,2001年世界已知的计算机病毒就已超过60 000种,而在1998年,计算机病毒只有14 000种。计算机病毒给人类社会造成的损失是巨大的。据粗略估计,2001年7月和8月仅在网上传播的红色代码病毒就给全球造成了26亿美元的损失。自2002年起,计算机病毒连续3年成为最大的安全威胁之一,而每年病毒造成的损失都在几百亿美元以上。同时,病毒还扰乱社会生活的公共秩序。,在中国,计算机及网络系统的普及面和普及程度在世界范围内并不是最大的,但计算机病毒的泛滥和危害却非常突出。20世纪80年代,计算机
9、病毒就开始在国内泛滥。米开朗基罗(Michelangelo)和黑色星期五(Friday the 13th)这两个文件型病毒首开破坏软件系统之先河。1992年,国内发现了第一例变形病毒“Doctor”。在很短的时间内,国内的一些程序员通过剖析毒体,迅速掌握了病毒的编写技术。随后,“广州一号”、“中国炸弹”、“六四”和“毛毛虫”等各种国产病毒相继出现。1995年,在国内发现了危害性较大的“病毒生产机”,它能自动生成大量“同族”新病毒,并且这些病毒可加密、解密,生存能力和破坏能力极强。1999年4月26日,国内遭受了最为严重的计算机病毒攻击CIH病毒攻击(这种病毒可造成硬件的损坏),给国内的计算机系
10、统造成了巨大的损害。,据有关资料统计,2002年我国计算机用户感染病毒面达83.98%。其中感染面大,造成较大损失的病毒有:冰河、Funlove、CIH等病毒。病毒造成的主要破坏方式包括数据丢失、系统无法使用和浏览配置被修改等。另外,在国内,病毒的增加速度估计为4种/月。2006年上半年,金山毒霸反病毒监测中心共截获37 735种病毒,依据其传播范围和感染数量,排名前10位的病毒如表5.1所示。,表5.1 2006年上半年国内计算机受病毒感染情况,5.2 计算机病毒的特点与种类,5.2.1 计算机病毒的特点计算机病毒是一组程序代码,它可以自我复制,并对计算机系统造成危害。那么,计算机病毒到底有
11、哪些有别于其他计算机程序的特点呢?归纳起来,计算机病毒具有如下一些特点。(1) 隐蔽性。病毒程序代码往往驻留在计算机磁盘等媒体上或附着在其他程序上,一般无法以操作系统提供的文件管理方法观察到它们。有的病毒程序设计得非常巧妙,甚至用一般的系统分析软件工具都无法发现它的存在。(2) 传染性或复制性。计算机病毒可以从一个文件传染到另一个程序,从一台计算机传染到另一台计算机,进而可以在网络上传播蔓延。,(3) 潜伏性。病毒程序感染正常的计算机之后,一般不会立即发作,而是潜伏下来,等到激发条件(如日期、时间、特定的字符串等)满足时才产生破坏作用。计算机病毒的触发条件主要有以下3种: 利用时间作为触发条件
12、; 利用计算机内执行的某些特定操作作为触发条件; 外部命令触发。,计算机病毒的潜伏性是依靠其隐蔽机制实现的。计算机病毒之所以容易隐藏而不易被发现,是由于它们具有如下特点。 短小精悍,占用空间小。 具有属性管理能力。病毒程序具有对目标文件的属性进行修改的能力,包括修改文件的日期和时间标志等。 活动隐秘。病毒程序可以暗中修改文件或引导扇区。当病毒被装入内存后,它即暗中监视系统对文件或磁盘扇区的调用。当捕获到这种调用时,病毒会修改并返回该调用进程的信息,使它看起来与原始状态一样。, 具有欺骗性。病毒程序常常使用一些非正常的转移指令,因而跟踪者不易发现,但它会使程序编码违反常规,代码可读性降低。 使用
13、加密手段。病毒程序采用加密措施隐藏容易暴露的调用和文本串等,包括对程序段动态加密、对显示信息加密、对宿主程序段加密以及密钥不固定等。, 多变性。病毒程序在传染文件的同时会修改自身的特征串,并且仍然保持原来的功能。多变性的病毒程序在不同宿主程序中的代码,不仅绝大部分各不相同,而且变化的代码段其相对空间排列位置也有变化。有些病毒还能够自动化整为零,分散潜伏到各种宿主中,且对不同的感染目标其分散潜伏的宿主也不一定相同,在活动时,这些病毒又能自动集零为整,自我组合成一个完整的病毒。更高一级的病毒则具有“变色”特性,随着时间的变化,能自动变化、演绎成不同的形状或者自动改变分散潜伏的各部分病毒的宿主对象。
14、(4) 破坏性。当病毒程序发作时,它们就以不同的形式对计算机系统产生破坏作用。(5) 针对性。大约70%的病毒都是感染Windows系统Unix系统(包括Linux)遭受的感染较少。,5.2.2 计算机病毒的分类1蠕虫(Worm)蠕虫是一种可以通过网络进行自身复制的病毒程序。蠕虫程序只会在内存中维持一个活动副本,而不向硬盘中写入任何信息。蠕虫有别于一般病毒的主要特点是:它是一个可以独立运行的程序,自身不改变其他程序,但可携带一个具有改变其他程序功能的病毒。蠕虫可以利用多种方式进行传播,通常是利用被攻击目标操作系统中已知的安全漏洞进行传播的。蠕虫对计算机系统的损害主要是占用资源,使被感染的计算机
15、不能工作(如求职信、Nimda、冲击波等)。,2特洛伊木马(Trojan horse)特洛伊木马是一种隐藏了恶意代码或病毒的程序。特洛伊木马程序本身不是病毒程序,而是一种独立的应用程序,不具备自我复制能力,但它同病毒程序一样有潜伏性,且常常具有更大的欺骗性和危害性。特洛伊木马程序可能包含蠕虫和其他病毒程序,如冰河、Trojan/Beway等。,3逻辑炸弹(Logic bomb)逻辑炸弹是一种在某一特殊逻辑条件下执行有害行为的程序。4后门(活门)后门是进入程序的一个秘密入口,有时也称为陷门。后门其实是一段代码,它能够识别某种特定的输入序列,通常会通过特定的用户ID来运行它,或者通过一种事件序列来
16、激活它。知道这个后门的人就可以通过它绕过访问的一般安全检查过程,而直接获得访问权力。,5.3 病毒的传播途径和寄生软件,5.3.1 病毒的传播途径病毒传播的方法一般有以下几种。(1) 通过文件传染。病毒感染的文件主要有3种:可执行文件(如扩展名为com、exe和bat等)、文档文件或数据文件(如Word文档、Excel文档、Access文档等,宏病毒就可感染这些文件)和Web文档(包括图像、声音文件)。,(2) 通过计算机硬件进行传播,包括计算机内的ROM芯片、专用ASIC芯片、硬盘等。还可以通过可移动式存储设备,包括软盘、磁带、USB盘及可移动式硬盘等传播病毒。其中包括通过引导扇区进行传播的
17、方式,这时引导扇区的病毒一般会把一些系统指令移到磁盘上的其他地方,然后把自己的代码放入引导扇区,当系统初始化时,病毒会自动装入内存。,(3) 网络复制。网络复制和引导扇区复制不同的是:病毒直接通过网络传染到目标机系统,典型的情况是直接进入目标机内存,成为进程。通过网络复制的计算机病毒,属于“活的代码”类病毒,其典型代表是蠕虫。它们能在因特网上四处传播,并在满足触发条件时破坏计算机。蠕虫在“旅行”到另一个计算机系统上后能生成自身的许多复制,消耗大量的计算机资源,甚至可以使整个计算机网络崩溃。现代病毒在企业网络内部之所以能够快速而广泛地传播,是因为它们充分利用了网络的特点。一般来说,计算机网络的基本构成包括网络服务器和网络站点,计算机病毒一般首先通过工作站传播到内部网络,然后进一步在网上传播。具体来说,其传播方式有如下几种。,
