搜索
第八章计算机病毒防范技术第8章计算机病毒防范技术内容提要:概述计算机病毒的工作原理和分类计算机病毒的检测与防范计算机病毒的发展方向和趋势第八章计算机病毒防范技术8.1概述计算机病毒的定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。美国计算机安全专家FredCohen博士认为:计算机病毒是一种能传染其它程序的程序,病毒是靠修改其它程序,并把自身的拷贝嵌入其它程序而实现的。返回本章首页第八章计算机病毒防范技术计算机病毒的特性计算机病毒是一个程序;计算机病毒具有传染性,可以传染其它程序;计算机病毒的传染方式是修改其它程序,把自身拷贝嵌入到其它程序中而实现的;计算机病毒的定义在很多方面借用了生物学病毒的概念,因为它们有着诸多相似的特征,比如能够自我复制,能够快速“传染”,且都能够危害“病原体”,当然计算机病毒危害的“病原体”是正常工作的计算机系统和网络。第八章计算机病毒防范技术计算机病毒简史-1早在1949年,计算机的先驱者冯·诺依曼在他的一篇论文《复杂自动机组织论》中,提出了计算机程序能够在内存中自我复制,即已把病毒程序的蓝图勾勒出来。十年之后,在美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序员道格拉斯·麦耀莱、维特·维索斯基和罗伯·莫里斯在工作之余想出一种电子游戏叫做“磁芯大战”。1975年,美国科普作家约翰·布鲁勒尔写了一本名为《震荡波骑士》的书,该书第一次描写了在信息社会中,计算机成为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。1977年夏天,科幻小说《P-1的青春》幻想了世界上第一个计算机病毒,可以从一台计算机传染到另一台计算机,最终控制了7000台计算机,酿成了一场灾难,这实际上是计算机病毒的思想基础。第八章计算机病毒防范技术计算机病毒简史-21983年11月3日,弗雷德·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼将它命名为计算机病毒(Viruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。1986年初,在巴基斯坦的拉合尔,巴锡特和阿姆杰德两兄弟编写了Pakistan病毒,该病毒在一年内流传到了世界各地,使人们认识到计算机病毒对PC机的影响。1987年10月,美国第一例计算机病毒(Brian)被发现。此后,病毒就迅速蔓延开来,世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。1988年3月2日,一种苹果机病毒发作。1988年11月3日,美国6千台计算机被病毒感染,造成Internet不能正常运行。这是一次非常典型计算机病毒入侵计算机网络的事件。1989年,“米开朗基罗”病毒给许多计算机用户造成极大损失。第八章计算机病毒防范技术计算机病毒简史-31991年,在“海湾战争”中,美军第一次将计算机病毒用于实战。1992年,出现针对杀毒软件的“幽灵”病毒,如One_Half。还出现了实现机理与以往的文件型病毒有明显区别的DIR2病毒。1994年5月,南非第一次多种族全民大选的计票工作,因计算机病毒的破坏停止30余小时,被迫推迟公布选举结果。1996年,出现针对微软公司Office的“宏病毒”。1997年公认为计算机反病毒界的“宏病毒年”。1998年,首例破坏计算机硬件的CIH病毒出现,引起人们的恐慌。1999年3月26日,出现一种通过因特网进行传播的“美丽杀手”病毒。1999年4月26日,CIH病毒在我国大规模爆发,造成巨大损失。2000年5月4日,爱虫病毒开始在全球各地迅速传播。该病毒通过MicrosoftOutlook电子邮件系统传播令全球为此损失100亿美元。第八章计算机病毒防范技术计算机病毒简史-42001年完全可以被称为“蠕虫之年”。Nimda(尼姆达)、CodeRed(红色代码)、Badtrans(坏透了)……出现的蠕虫病毒不仅数量众多,而且危害极大,感染了数百万台电脑。在2002年新生的计算机病毒中,木马、黑客病毒以61%的绝对数量占据头名。网络病毒越来越成为病毒的主流。2003年的1月25日,仅在“SQL杀手”病毒出现的当天,我国就有80%的网络服务供应商先后遭受此蠕虫病毒的攻击,造成许多网络的暂时瘫痪。2003年的8月12日,名为“冲击波”的病毒在全球袭击Windows操作系统,据估计可能感染了全球一、两亿台计算机,在国内导致上千个局域网瘫痪。第八章计算机病毒防范技术计算机病毒的特征非授权可执行性隐蔽性传染性潜伏性表现性或破坏性可触发性第八章计算机病毒防范技术计算机病毒的主要危害直接破坏计算机数据信息占用磁盘空间和对信息的破坏抢占系统资源影响计算机运行速度计算机病毒错误与不可预见的危害计算机病毒的兼容性对系统运行的影响给用户造成严重的心理压力第八章计算机病毒防范技术8.2计算机病毒的工作原理和分类第八章计算机病毒防范技术8.2.1计算机病毒的工作原理1.计算机病毒的结构(1)病毒的逻辑结构(2)病毒的磁盘存储结构(3)病毒的内存驻留结构第八章计算机病毒防范技术(1)病毒的逻辑结构病毒的引导模块;病毒的传染模块;病毒的发作(表现和破坏)模块。引导模块传染条件判断模块实施传染模块触发条件判断模块实施表现或破坏模块图8-1计算机病毒的模块结构第八章计算机病毒防范技术(2)病毒的磁盘存储结构①磁盘空间结构经过格式化后的磁盘应包括:主引导记录区(硬盘)引导记录区文件分配表(FAT)目录区数据区第八章计算机病毒防范技术(2)病毒的磁盘存储结构②系统型病毒的磁盘存储结构病毒的一部分存放在磁盘的引导扇区中另一部分则存放在磁盘其它扇区中引导型病毒没有对应的文件名字第八章计算机病毒防范技术(2)病毒的磁盘存储结构③文件型病毒的磁盘存储结构文件型病毒专门感染系统中可执行文件;其程序依附在被感染文件的首部、尾部、中部或空闲部位;绝大多数文件型病毒都属于外壳型病毒。第八章计算机病毒防范技术(3)病毒的内存驻留结构①系统型病毒的内存驻留结构系统型病毒是在系统启动时被装入的病毒程序将自身移动到适当的内存高端采用修改内存向量描述字的方法隐藏自己有些病毒也利用小块没有使用的低端内存系统第八章计算机病毒防范技术(3)病毒的内存驻留结构②文件型病毒的内存驻留结构病毒程序是在运行其宿主程序时被装入内存的,文件型病毒按其驻留内存方式可分为:高端驻留型,典型的病毒有Yankee。常规驻留型,典型的病毒有黑色星期五。内存控制链驻留型:典型的病毒有1701。设备程序补丁驻留型:典型的病毒有DIR2。不驻留内存型:典型的病毒有Vienna/648。第八章计算机病毒防范技术2.计算机病毒的作用机制(1)引导机制(2)传染机制(3)破坏机制第八章计算机病毒防范技术(1)中断与计算机病毒中断是CPU处理外部突发事件的一个重要技术。中断类型可划分为:中断硬件中断软件中断:并不是真正的中断,系统功能调用内部中断:因硬件出错或运算出错所引起;外部中断:由外设发出的中断;第八章计算机病毒防范技术病毒有关的重要中断INT08H和INT1CH的定时中断,有些病毒用来判断激发条件;INT09H键盘输入中断,病毒用于监视用户击键情况;INT10H屏幕输入输出,一些病毒用于在屏幕上显示信息来表现自己;INT13H磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘;INT21HDOS功能调用,绝大多数文件型病毒修改该中断。第八章计算机病毒防范技术病毒利用中断图8-2病毒盗用中断示意图中断向量中断服务程序中断向量病毒相关程序中断服务程序盗用后:盗用前:第八章计算机病毒防范技术(2)计算机病毒的传染机制传染是指计算机病毒由一个载体传播到另一载体,由一个系统进入另一个系统的过程。计算机病毒的传染方式主要有:病毒程序利用操作系统的引导机制或加载机制进入内存;从内存的病毒传染新的存储介质或程序文件是利用操作系统的读写磁盘的中断或加载机制来实现的。第八章计算机病毒防范技术(3)计算机病毒的破坏机制破坏机制在设计原则、工作原理上与传染机制基体相同。它也是通过修改某一中断向量入口地址,使该中断向量指向病毒程序的破坏模块。第八章计算机病毒防范技术8.2.2计算机病毒的分类1.按照病毒攻击的系统分类(1)攻击DOS系统的病毒。(2)攻击Windows系统的病毒。(3)攻击UNIX系统的病毒。(4)攻击OS/2系统的病毒。第八章计算机病毒防范技术2.按照病毒的攻击机型分类(1)攻击微型计算机的病毒。(2)攻击小型机的计算机病毒。(3)攻击工作站的计算机病毒。第八章计算机病毒防范技术3.按照病毒的链结方式分类(1)源码型病毒(2)嵌入型病毒(3)外壳型病毒(4)操作系统型病毒第八章计算机病毒防范技术4.按照病毒的破坏情况分类(1)良性计算机病毒(2)恶性计算机病毒5.按照病毒的寄生方式分类(1)引导型病毒(2)文件型病毒(3)复合型病毒第八章计算机病毒防范技术6.按照病毒的传播媒介分类(1)单机病毒(2)网络病毒第八章计算机病毒防范技术8.2.3病毒实例分析1.CIH病毒概况CIH病毒是一种文件型病毒,感染Windows95/98环境下PE格式的EXE文件。病毒的危害主要表现在病毒发作后,硬盘数据全部丢失,甚至主板上的BIOS中的原内容会被彻底破坏,主机无法启动。1999年4月26日,CIH病毒大爆发,全球超过6000万台电脑被破坏,2000年CIH再度爆发,全球损失超过10亿美元,2001年仅北京就有超过6000台电脑遭破坏;2002年CIH病毒使数千台电脑遭破坏,瑞星公司修复硬盘数量一天接近200块。第八章计算机病毒防范技术(1)CIH病毒的表现形式受感染的.EXE文件的文件长度没有改变;DOS以及WIN3.1格式(NE格式)的可执行文件不受感染,并且在WinNT中无效。用资源管理器中“工具查找文件或文件夹”的“高级包含文字”查找EXE特征字符串——“CIHv”,在查找过程中,显示出一大堆符合查找特征的可执行文件。若4月26日开机,显示器突然黑屏,硬盘指示灯闪烁不停,重新开机后,计算机无法启动。第八章计算机病毒防范技术(2)CIH病毒的行为机制CIH病毒直接进入Windows内核。没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击(fragmentedcavityattack),将病毒化整为零,拆分成若干块,插入宿主文件中去;最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例。可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向。第八章计算机病毒防范技术2.宏病毒宏的定义所谓宏,就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单的语法,把常用的动作编写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,完成某项特定的任务,而不必再重复相同的动作。所谓“宏病毒”,是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒,也是一种跨平台的计算机病毒,可以在Windows9X、WindowsNT/2000、OS/2和MacintoshSystem7等操作系统上执行。第八章计算机病毒防范技术(1)宏病毒的行为机制Word模式定义出一种文件格式,将文档资料以及该文档所需要的宏混在一起放在后缀为doc的文件之中,这种作法已经不同于以往的软件将资料和宏分开存储的方法。正因为这种宏也是文档资料,便产生了宏感染的可能性。Word宏病毒通过doc文档和dot模板进行自我复制及传播。计算机文档是交流最广的文件类型。这就为Word宏病毒传播带来了很多便利,特别是Internet网络的普及和E-mail的大量应用更