搜索
2020/1/161第五章计算机病毒及恶意代码本章学习重点掌握内容:传统病毒原理脚本病毒原理网络蠕虫原理木马技术网络钓鱼技术僵尸网络2020/1/162第五章计算机病毒及恶意代码5.1计算机病毒概述5.2传统的计算机病毒5.3脚本病毒5.4网络蠕虫5.5木马技术5.6网络钓鱼5.7僵尸网络5.8浏览器劫持5.9流氓软件2020/1/1635.1计算机病毒概述5.1.1计算机病毒的定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”预防病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。2020/1/1645.1计算机病毒概述5.1.2计算机病毒历史1977年,美国著名的贝尔实验室中设计磁芯大战(CoreWar)的游戏,第一步将计算机病毒感染性的概念体现出来第一个具备完整特征的计算机病毒出现于1987年,病毒C-BRAIN,由一对巴基斯坦兄弟:Basit和Amjad所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。2020/1/165为什么会产生病毒?病毒是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒.2020/1/1665.1.2计算机病毒历史DOS病毒,破坏表现:唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等。耶路撒冷(Jerusalem)这个古董级病毒其实有个更广为人知的别称,叫做黑色星期五。为什么会有这么有趣的别称?道理很简单:因为只要每逢十三号又是星期五的日子,这个病毒就会发作。而发作时将会终止所有使用者所执行的程序,症状相当凶狠。2020/1/1675.1.2计算机病毒历史“米开朗基罗病毒”事件。这大约是有史以来最为著名,最为成功的恶作剧病毒。众所周知,米开朗基罗是意大利文艺复兴时期著名的雕塑家、画家、建筑师和诗人。他中年时期的雕塑作品《大卫》,一向被认为是象征着为正义事业而战的力量;西斯廷教堂的巨型屋顶画《创世纪》,更是誉满天下。他的许多栩栩如生的雕塑作品、著名的绘画作品和建筑作品一直保存至今,无不时时唤起人们对伟大艺术家的景仰之情。可这位举世公认的、受人尊敬的伟大艺术家,在世的时候也许连细菌、病毒都不知道,而在数百年之后,他的名字却跟一种可恶的“病毒”、一种破坏力极强的计算机病毒连在一起。这一玩笑开得真有些让人哭笑不得!这种病毒是一种非常危险的计算机病毒,一旦发作,就可以把计算机内的存储数据全部清除掉。令人惊奇的是,它还具有选择功能,往往还是破坏一些最为重要的数据。“米氏病毒”的法宝是依赖时间的定时炸弹,程序的制作者们将它的“爆炸”日定为3月6日。而恰巧,伟大的米开朗基罗的生日就是3月6日,于是人们便将这个大善与大恶连在了一起,“米氏病毒”由此而得名。2020/1/1685.1.2计算机病毒历史受损大户美国有数以万计的PC微机因“米氏病毒”发作而丢失了数据和程序。加利福尼亚的市场研究公司――“数据咨询公司”网络中的六十余万台计算机,约有15见受到了病毒侵害。南非近500家公司的一千多台计算机受到影响,而德国波恩鲁尔工业区受“米氏病毒”的干扰,致使一家公司的75台计算机,大量的银行数据和软件资料毁于一旦。亚洲的马来西亚、台湾、日本也受到了病毒的侵袭。越南有报道说,“米氏病毒”在3月6日袭击了商业中心城市胡志明市,毁掉了近几十家公司电脑的硬盘。中国公安部的一位官员透露,中国计算机被病毒侵入,丢失数据的情况比较严重。猴子(Monkey)Monkey据说是第一个“引导型”的病毒,只要你使用Monkey感染过的系统软盘开机,病毒就会入侵到你的电脑中,然后伺机移走硬盘的分区表,让你一开机就会出现“Invaliddrivespecification”的信息。比起“文件型”病毒只有执行过受感染文件才会中毒的途径而言,Monkey的确是更为难缠了。2020/1/1695.1.2计算机病毒历史音乐虫病毒(MusicBug)这个发作时会大声唱歌,甚至造成资料流失、无法开机的病毒,正是台湾土产的病毒。所以,当你听到电脑自动传来一阵阵音乐声时,别以为你的电脑比别人聪明,那很有可能是中毒了。其实这种会唱歌的病毒也不少,有另一个著名的病毒(叫什么名字倒忘了)发作时还会高唱着两只老虎呢!DOS时期的病毒,种类相当繁杂,而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的双体引擎,可以把一种病毒创造出更多元化的面貌,让人防不胜防!而病毒发作的症状更是各式各样,有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。2020/1/16105.1.2计算机病毒历史基于Windows运行环境的病毒,随着微软Office软件的普及,出现了宏病毒,各种脚本病毒也日益增多著名病毒如CIH病毒等。1999年4月26日,中国发生了令人触目惊心的CIH病毒爆发大事件,而2000年4月26日CIH病毒的悲剧却又再次在我国上演。2020/1/16115.1.2计算机病毒历史什么是CIH病毒CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。主要的传播途径是Internet和电子邮件。CIH病毒只感染Windows95/98操作系统,从技术角度来看,CIH病毒实现了与Windows95/98操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD(虚拟设备驱动程序)技术编制,因此它的实时性和隐蔽性都特别强。到目前为止,CIH病毒的“原体”加“变种”共有5种之多,CIH病毒“变种”不但不增长受感染文件,同时还有很强的破坏性,此病毒的3个主要变种为:CIHv1.2,4月26日发作;CIHv1.3,6月26日发作;CIHv1.4,每月26日发作。2020/1/16125.1.2计算机病毒历史CIH发作现象1、攻击BIOSCIH病毒最异乎寻常之处,是它对计算机BIOS的攻击。在CIH发作时,会试图向BIOS中写入垃圾信息,BIOS中的内容被彻底洗去,造成计算机无法启动。据测试发现CIH能够破坏市面上常见的BIOS多达数十种。因此,它会给众多的计算机用户带来摧毁性的结局。2、覆盖硬盘向硬盘写入垃圾内容也是CIH的破坏性之一。CIH发作时,调用IOSSendCommand直接对硬盘进行存取,将垃圾代码以2048个扇区为单位,循环写入硬盘,直到所有硬盘(含逻辑盘)的数据均被破坏为止。2020/1/16135.1.2计算机病毒历史网络时代病毒已经突破了传统病毒的技术,融合许多网络攻击技术,如蠕虫技术、木马技术、流氓软件、网络钓鱼等。病毒散播的新捷径由于因特网的便利,病毒的传染途径更为多元化。传统的病毒可能以磁盘或其他存储媒体的方式散布,而现在,你只要在电子邮件或QQ中,夹带一个文件寄给朋友,就可能把病毒传染给他;甚至从网络上下载文件,都可能收到一个含有病毒的文件。2020/1/16145.1计算机病毒概述5.1.3计算机病毒特征破坏性计算机所有资源包括硬件资源和软件资源,软件所能接触的地方均可能受到计算机病毒的破坏。任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响,轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。通常表现为:增、删、改、移。根据病毒对计算机系统造成破坏的程度,可以把病毒分为良性病毒与恶性病毒。良性病毒一般只是为了表现自身,并不破坏系统和数据,但会大量占用CPU时间,增加系统开销,降低系统工作效率,目的是设计者显示自己的成就感。恶性病毒则有明确的目的,一旦发作后,它们破坏数据、删除文件、加密磁盘或者格式化磁盘,严重者可以破坏主板造成系统崩溃,这种病毒危害性极大,如CIH病毒。2020/1/16155.1.3计算机病毒特征隐蔽性传统的病毒程序寄生于正常程序之中,以至于很难被发现。如果不经过代码分析或专用的杀毒软件,很难区别病毒程序与正常程序。有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。而这些程序受到传染后,病毒一般不会马上发作,计算机系统通常仍能正常运行,使用时不会感到有明显异常。2020/1/16165.1.3计算机病毒特征潜伏性这一特征是计算机病毒感染系统之后不会马上发作,长期隐藏在系统中,只有在满足特定条件时,才启动其破坏模块。像定时炸弹一样,让它什么时间发作是预先设计好的。潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。一个编制精巧的计算机病毒程序,病毒可以躲在磁盘里呆上几天,甚至几年。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。2020/1/16175.1.3计算机病毒特征传染性传统计算机病毒的传染性是指病毒具有把自身复制到其它程序中的特性。传染性是病毒的基本特征。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。2020/1/16185.1.3计算机病毒特征与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,计算机病毒可通过各种可能的渠道,如U盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的U盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序;2020/1/16195.1.3计算机病毒特征寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。可触发性病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒