第7章 病毒防护

第7章病毒防护主讲：×××7.1病毒的基本特征7.1.1常见的计算机的病毒7.1.2计算机病毒的基本结构7.1.3计算机病毒的共同特征7.1.4计算机病毒的新特点7.1.1入侵检测方法1.木马病毒木马病毒源于古希腊的特洛伊木马神话，它是把自己伪装在正常程序内部的病毒，这种病毒的伪装性强，通常使用户很难判断它到底是合法程序还是木马。木马病毒带有黑客性质，它有强大的控制和破坏能力，可窃取密码、控制系统、操作文件等。7.1.1入侵检测方法2.宏病毒宏是一系列由用户编写或录制的命令和指令，用来实现任务执行的自动化。宏病毒是使用Word的VBA编程接口，编写的具有病毒特征的宏集合。它的危害性大，以二进制文件加密压缩格式存入.doc或.dot文件中，它通过小文档或模板进行大量自我复制及传染。一旦运行宏病毒，相应的Normal模板会被传染，所有打开的Word文档都会在自动保存时被传染。7.1.1入侵检测方法3.宏病毒蠕虫病毒是一种能自我复制的程序，并能通过计算机网络进行传播，它消耗大量系统资源，使其他程序运行减慢甚至停止，最后导致系统和网络瘫痪。蠕虫病毒的传染目标是互联网内的所有计算机，其传播方式分为两类：一类是利用系统漏洞主动进行攻击,另外一类是通过网络服务传播。7.1.1入侵检测方法4.宏病毒PE病毒是指所有感染Windows操作系统中PE文件格式的病毒。PE病毒大多数采用Win32汇编语言编写。该病毒感染普通PE文件（如EXE文件）并把自己的代码加到EXE文件尾部，修改原程序的入口点以指向病毒体，PE病毒没有.data段，变量和数据全部放在.code段，病毒本身没有什么危害，但被感染的文件可能被破坏。7.1.1入侵检测方法5.宏病毒脚本病毒通常是用JavaScript或者VBScript代码编写的恶意代码病毒。JavaScript脚本病毒通过网页进行传播，一旦用户运行了带有病毒的网页，病毒就会修改IE首页、修改注册表等信息，给用户使用计算机带来不便。VBS脚本病毒是使用VBScript编写的，以宏病毒和新欢乐时光病毒为典型代表。VBS脚本病毒编写简单，破坏力大，感染力强。这类病毒通过.htm文档，E-mail附件或其他方式传播，因此传播范围大。7.1.1入侵检测方法5.恶意网页病毒网页病毒主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML（超文本标记语言）内的JavaApplet小应用程序、JavaScript脚本语言程序或ActiveX控件，强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源，盗取用户文件，或恶意删除硬盘文件、格式化硬盘。这种网页病毒容易编写，使用户防不胜防，最好的办法是选用有网页监控功能的杀毒软件。7.1.2计算机病毒的基本结构对计算机病毒的代码进行分析和比较,可以看出整个病毒代码虽然短小，但包含以下三个部分：（1）引导部分。该部分的作用是将病毒主体加载到内存，为传染部分做准备。很多病毒采用驻留内存、修改中断、修改高端内存、保存原中断向量等操作入侵系统。（2）传染部分。该部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式、传染条件上各有不同。（3）表现部分。该部分是病毒间差异最大的部分，引导部分和传染部分是为表现部分服务的，大部分的病毒都是有一定条件才会触发其表现部分的。7.1.3计算机病毒的共同特征计算机病毒的共同特征有以下5种:（1）传染性。传染性是病毒的最基本特征。计算机病毒有很强的再生机制，病毒程序一旦加到运行的程序体上，就能感染其他程序，并且迅速扩散到整个计算机系统，当与网络进行数据交换时，也将使病毒在网上传播。（2）破坏性。病毒指的是带有破坏性质的恶意程序，所以病毒对系统的破坏性成为其重要的衡量方式。根据计算机病毒破坏能力的不同，将其分为良性病毒和恶性病毒。恶性病毒指的是一旦病毒感染系统就立即爆发，实现对系统的破坏过程。良性病毒是指不包含立即直接破坏的代码，它的特征不很明显，但是当系统大量感染的时候，会大量占用系统资源，导致系统中断和网络瘫痪。（3）隐蔽性。大多数计算机病毒是代码设计非常短小的程序。它通常把自己隐蔽在系统正常程序中，以防止用户发现。隐蔽性是病毒的反侦察特性。（4）潜伏性。计算机病毒入侵系统后，一般不立即发作，而是具有一定的潜伏期。一般在潜伏期中，病毒进行大量的复制，直到用户触发的时候，才显现出其强大的破坏性。（5）触发性。触发性又叫激发性，它指的是病毒在某种情况的激活下产生的破坏过程。大多数病毒都在进入系统后有一段时间的潜伏期，当达到病毒的触发条件时，病毒就激活了。使计算机病毒触发的条件主要有三种：利用系统时钟提供的时间作为触发器、利用病毒体自带的计数器作为触发器、利用计算机内执行的某些特定操作作为触发器。7.1.4计算机病毒的新特点计算机病毒在不断发展中，它具有如下新特点：（1）病毒与其他技术相融合。某些病毒集普通病毒、蠕虫、木马和黑客等技术于一身，具有混合型特征，破坏性极强。（2）传播途径多，扩散速度快。很多病毒通过系统漏洞、局域网、网页、邮件等方式进行传播，扩散速度极快。（3）具有较强的诱惑性和欺骗性。结合大量的钓鱼工具实现病毒和黑客的结合，病毒出现频率高，变种快，不容易被发现和清除。（4）大量消耗系统和网络资源。计算机感染病毒后，可能导致系统崩溃，数据丢失。部分病毒具有反侦察能力，可以把用户系统上所有的Ghost备份文件删除，将杀毒软件和防火墙破坏。另外，可能阻止用户登录任何一个相关的安全处理站点。（5）多态性病毒越来越多，宏病毒泛滥。病毒可以进入各种系统平台，病毒机理错综复杂。（6）产生移动系统中的病毒，可以感染手机等移动设备。7.2病毒的分类7.1.1按病毒危害程度分类7.1.2按病毒连接方式分类7.1.3按病毒寄生方式分类7.1.4按病毒特有算法分类7.2.1按病毒危害程度分类计算机病毒按照其危害程度，分为以下几种：（1）良性病毒。仅仅显示信息、奏乐、发出声响等。除了传染时减少磁盘的可用空间外，对系统没有其他影响。（2）恶性病毒。表现为封锁、干扰、中断输入输出、使用户无法打印等，甚至中断计算机的运行。这类病毒在计算机系统操作中造成严重的错误。（3）极恶性病毒。表现为死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统死机、崩溃、无法重启。（4）灾难性病毒。表现为破坏分区表信息、主引导信息、FAT，删除数据文件，甚至格式化硬盘等。7.2.2按病毒连接方式分类计算机病毒按照其连接方式，分为以下几种:（1）源码型病毒。该类病毒较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。（2）入侵型病毒。这类病毒可用自身代替正常程序中的部分模块或堆栈区，因此这类病毒只攻击某些特定程序，针对性强。（3）操作系统型病毒。这类病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。（4）外壳型病毒。这类病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。7.2.3按病毒寄生方式分类计算机病毒按照其寄生方式，分为以下几种：（1）网络型病毒。这类病毒通过计算机网络传播、感染网络中的可执行文件。病毒入侵网络系统的主要途径是通过工作站传播到服务器硬盘，再由服务器的共享目录传播到其他工作站。（2）文件型病毒。文件型病毒是指感染文件、并能通过被感染的文件进行传染扩散的计算机病毒，一般只传染磁盘上的可执行文件（如COM或EXE文件）。（3）引导型病毒。引导型病毒是一种在进入BIOS之后，系统引导时出现的病毒，它依托的环境是BIOS中断服务程序。（4）复合型病毒。复合型病毒不仅传染可执行文件而且传染硬盘引导区，被感染的系统用格式化命令都不能清除此类病毒。具有引导型病毒和文件型病毒寄生方式的计算机病毒称作复合型病毒。7.2.4按病毒特有算法分类计算机病毒按照其特有算法，分为以下几种：（1）伴随型病毒。这类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名。（2）“蠕虫”型病毒。这类病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台计算机的内存传播到其他计算机的内存中。（3）寄生型病毒。它们依附在系统的引导扇区或文件中，通过系统的功能进行传播。（4）练习型病毒。该类病毒自身包含错误，不能进行很好地传播，例如一些病毒可能处在调试阶段。（5）诡秘型病毒。这类病毒不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等对DOS内部修改。（6）变型病毒（又称幽灵病毒）。这类病毒使用复杂的算法使自己每传播一份都具有不同的内容和长度。7.3病毒技术7.3.1病毒的表现形式7.3.2常见的病毒技术7.3.1病毒的表现形式一旦病毒入侵系统，系统会出现一些变化特征，如出现以下所列的一种或多种情况。（1）运行正常的计算机经常无缘无故地死机或重新启动。（2）系统文件的时间、日期、大小发生了变化。（3）打印和通信发生异常。（4）计算机的处理速度明显变慢或曾经正常运行的软件报内存不足。（5）磁盘的空间突然变小了，或不识别磁盘设备。（6）硬件的驱动程序被修改。（7）应用程序不能被正常使用或者直接报错。（8）系统中出现大量的垃圾文件。（9）键盘、鼠标的响应困难。（10）系统文件莫名奇妙地丢失。7.3.2常见的病毒技术（1）花指令技术（2）对抗特征值技术（3）变形技术（4）对抗覆盖法技术（5）对抗驻留式软件技术（6）对抗常规查毒技术7.4反病毒技术7.4.1病毒的预防措施7.4.2常用的防病毒设置7.4.3常见的病毒检测方法7.4.4查杀病毒新技术7.4.5病毒的处理步骤7.4.6病毒处理存在的问题7.4.1病毒的表现形式常用的预防措施如下：（1）使用比较强壮的密码。尽量选择难于猜测的密码，对不同的账号选用不同的密码。（2）经常备份重要数据。（3）不要打开来历不明的电子邮件。（4）正确配置系统，减少病毒入侵。（5）定期检查敏感文件。（6）慎用软盘、光盘等移动存储介质。（7）定义浏览器安全设置，浏览网页时要谨慎，不要轻易下载ActiveX控件或Java脚本。（8）安装最新的操作系统、应用软件的安全补丁程序。（9）选择安装优秀的防病毒软件和防火墙，定期对整个硬盘进行病毒检测、清除工作。（10）当计算机不使用时，不要接入互联网，一定要断掉连接。（11）重要的计算机系统和网络一定要严格与互联网物理隔离。7.4.2常用的防病毒设置1.禁止Windows的ScriptingHost功能2.设置文件和文件夹的查看方式3.设置IE的安全级别4.Outlook安全设置5.宏病毒保护设置6.安装最新系统安全补丁7.设置安全密码7.4.3常见的病毒检测方法1.特征代码法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。2.校验和法校验和法扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值（检验和），这些CRC值被杀毒软件保存到它自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，可以知道文件是否已经修改或被病毒感染。7.4.3常见的病毒检测方法3.行为监测法指的是利用病毒的特有行为特征来监测病毒的方法。通过利用操作系统底层接口技术，对系统中的所有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就及时报警，从而实现了对病毒的实时、永久、自动监控。4.虚拟执行法对于多态性病毒，每次感染都变化其病毒密码，采用以上的几种方式很难将病毒处理，所以提出虚拟执行技术。7.4.4常见的病毒检测方法1.宏指纹技术此项技术是基于Office复合文档BIFF格式精确查杀各类宏病毒的技术，它可以查杀所有的在Office文档中存在的可知和未知的宏病毒，并且可以修复部分被破坏的Office文档。2.嵌入式杀毒技术嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技