计算机安全加密第八章

第八章计算机病毒及其防治对策1本章主要内容：计算机病毒的概念计算机病毒的危害计算机病毒的防治对策。本章重点：计算机病毒的危害本章难点：莫里斯蠕虫病毒第八章计算机病毒及其防治对策2一、什么是计算机病毒计算机病毒一词源于美国，英文名称为ComputerVirus，而Virus本来是生理学上的专有名词。计算机专家之所以引进这个词，是因为计算机病毒与生理病毒有许多类似之处，它发病时不但可以使机器处于瘫痪、半瘫痪状态，而且还通过软件、网络等途径将病毒传染给其它计算机。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息安全保护条例》。《条例》第28条明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者代码。”第一节何为计算机病毒第八章计算机病毒及其防治对策3二、计算机病毒的发展状况最早记录的计算机病毒出现在60年代,是由M.DouglasMcllroy在贝尔实验室发明的CoreWar游戏｡这个游戏的要点是写出一个清除对手或阻碍对手移动的程序｡1987年,Lehigh、Brain和Jerusalem病毒爆发,同年,Dr.FredCohen在《计算机安全》杂志上发表了《计算机病毒--理论与实践》一文,提出了病毒理论,并提供了有关病毒的例证｡20世纪80年代中期之后，计算机病毒的数量增加很快，而且造毒的机制也越来越复杂化，尤其是互联网的日益普及为病毒的传播与发展提供了极为便利的条件。第八章计算机病毒及其防治对策4三、计算机病毒的性质1.复制性。就计算机病毒本质而言，病毒只是一种具有自我复制能力的功能性程序。病毒程序包含有复制手段，也就是进行自我繁殖的功能。当病毒程序进行繁殖的时候，有时也称为传染。若在不清楚的情况下将含有病毒的程序装入系统，病毒的复制功能使得病毒具有很强的传播能力。病毒复制的方法大致可分为两类：文件传染和引导扇区复制。第八章计算机病毒及其防治对策52.隐蔽性。病毒能够顺利复制而确保不被发现的前提条件就是病毒程序具有隐蔽性。很显然，一个没有隐蔽性的病毒程序是很难方便地复制自身并传播，因为他很可能将被用户及时杀掉。病毒程序有多种方法隐蔽自身。(1)占用空间小。(2)属性管理。(3)隐蔽性(4)对付反病毒软件的措施(5)加密(6)多型性第八章计算机病毒及其防治对策63.危害性病毒程序进入系统就会通过自身的连续复制并传播而产生危害作用。由于病毒是依附于某程序并随该程序的运行执行恶意任务而产生危害作用，我们可将其运行和危害过程大体划分为两个部分：复制传染部和危害作用部。复制传染部决定病毒蔓延的速度和侵袭的范围，危害作用部决定病毒入侵后的危害程度。第八章计算机病毒及其防治对策7４．人为性。我们知道，病毒程序是人为故意编写与传播的，有的编写者或传播者或许只是出于一种善意的玩笑，但大多数编写者和传播者是出于恶意目的的。这种人为性的编写与传播危害很大，尤其是随着网络的普及，这种人为性甚至能使整个计算机世界处于瘫痪半瘫痪状态，造成的损失将无法估量。第八章计算机病毒及其防治对策8四、计算机病毒的类型依据不同的标准，可以将病毒进行多种分类。这里介绍两种分类方法：1.根据病毒的危害程度，可以将病毒分为良性病毒与恶性病毒。良性病毒是指那些复制速度较慢、破坏程度较小和传播速度不快的程序。恶性病毒可以感染整个信息系统的数据或摧毁整个系统。良性病毒与恶性病毒的区别主要表现在传染源上。2.根据病毒的依附地点，可以将病毒分为文件型病毒、系统或引导记录型病毒及混合型病毒。第八章计算机病毒及其防治对策9近十几年来，随着计算机与网络技术的迅速发展与普及，计算机病毒也如影随形不断泛滥，它们侵入金融、军事、政治、电信和研究等众多领域，产生的危害也日益加剧。由于计算机病毒本身具有的复制性、隐蔽性、人为性和危害性等特点，几十年来计算机病毒一直是执法部门和软件设计者备感头痛的事。1988年11月2日，美国6000多台计算机遭到莫里斯蠕虫的侵袭，造成近1亿美元的经济损失.1998年,CIH病毒肆虐全球，造成近千亿美元的损失。第二节计算机病毒的危害第八章计算机病毒及其防治对策10一、世界为之震惊的莫里斯蠕虫蠕虫也是一种计算机程序，它的特点是可以独立存在和运行。它慢慢地蠕动着穿过一个系统，并改变其所访问的数据或编码。蠕虫的目的是反复复制自身，最终占用计算机或网络的所有内存，从而使计算机既不能检索也不能输入。在计算机词典中，蠕虫被认为是一种通过信道不断地在其他系统中进行自我复制和运行，从而危害系统的计算机程序。美国国家标准和技术局认为蠕虫有两个关键特征：一是蠕虫利用操作系统中的缺陷或系统管理中的不当之处进行繁衍；二是揭露一种蠕虫一般会造成短暂的、但是特殊的停机，使整个网络瘫痪。第八章计算机病毒及其防治对策111988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络--互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。它们仿佛是网络中的超级间谍，狡猾地不断截取用户口令等网络中的“机密文件”，利用这些口令欺骗网络中的“哨兵”，长驱直入互联网中的用户电脑。入侵得手，立即反客为主，并闪电般地自我复制，抢占地盘。用户目瞪口呆地看着这些不请自来的神秘入侵者迅速扩大战果，充斥电脑内存，使电脑莫名其妙地“死掉”，只好急如星火地向管理人员求援，哪知，他们此时四面楚歌，也只能眼睁睁地看着网络中电脑一批又一批地被病毒感染而“身亡”。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。到11月3日清晨5点，当加州伯克利分校的专家找出阻止病毒蔓延的办法时，短短12小时内，已有6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪，不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元的空前大劫难！第八章计算机病毒及其防治对策121990年5月5日，纽约地方法庭根据罗伯特·莫里斯设计病毒程序，造成包括国家航空和航天局、军事基地和主要大学的计算机停止运行的重大事故，判处莫里斯三年缓刑，罚款一万美金，义务为新区服务400小时。莫里斯事件震惊了美国社会乃至整个世界。莫里斯蠕虫事件引起了巨大的混乱，也带来了一些好的作用。它改变了先前人们对系统弱点的看法。此前，人们只认为这不过是一些微不足道的小问题，而InternetWorm则偶然把这种缺陷加以充分地扩大。这次事件促使CERT（计算机应急响应小组）的诞生，他们负责对与计算机相关的安全问题提供帮助和解决方案。第八章计算机病毒及其防治对策13二、暗渡陈仓的特洛伊木马术荷马史诗描述了这样一个故事：古希腊人在他们的将领奥德塞和国王爱塞肯的率领下攻击特洛伊城，他们先将小部分部队藏于特洛伊木马中，希腊舰队佯装败退，对方将特洛伊木马作为战利品拖入城中，夜晚降临时，小股军队打开城门，大部队乘机杀入，一举攻下久攻不下的城堡。计算机中的特洛伊木马是一种程序，是以盗取用户个人信息，甚至是远程控制用户计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑，与战争中的“木马”战术十分相似，因而得名木马。按照功能，木马程序可进一步分为：盗号木马、网银木马、窃密木马、远程控制木马、流量劫持木马和其它木马六类。第八章计算机病毒及其防治对策14三、肆虐全球的ＣＩＨ病毒CIH全称为“Windows95.CIH”，是由台湾大学生陈英豪编写并将其作为一个实用程序发送到因特网上的病毒程序。CIH病毒的文件长度虽然只有1k，但因写入的是文件的空闲区，人们很难从外表观察到文件内容的增加。CIH病毒可以感染Windows95或Windows98全部可执行文件，但真正可怕的是己知的首例可以直接攻击、破坏电脑设备的病毒。第八章计算机病毒及其防治对策15CIH病毒是目前已知的病毒中最为可怕的一种病毒，至今已演变出至少上千个变种，并在每年的4月26日爆发。受CIH病毒侵害的有亚洲、中东及美洲一些国家，韩国、中国大陆、土耳其、孟加拉国、新加坡和印度受害较重。被CIH病毒感染的文件，在运行时可能出现下列异常情况：(1)运行游戏软件时，会多次发生黑屏或莫名其妙的死机；(2)硬盘有时会失控，狂转不止；(3)所有Winzip自动解压文件无法自动解开。CIH病毒给计算机界上了生动的一课，即病毒不但可以损害数据，也可以损害计算机硬件设备，甚至能毁坏整个计算机系统。第八章计算机病毒及其防治对策16第三节计算机病毒的防治对策一、如何判断计算机感染了病毒一般情况下，如何判断计算机是否面临病毒的威胁，也就是说病毒发生时有什么征兆呢？看是否有下面的情况出现：(1)应用程序不能正常运行；(2)磁盘无法访问；(3)菜单无故变形；(4)显示的上次访问时间与实际访问时间不符；(5)文件的大小和内容发生了改变；(6)未增加任何东西时，系统中文件数量增多；(7)系统变慢、停止或崩溃；(8)磁盘驱动器在无任何指令的情况下自动活动；(9)打印不正确；(10)其他系统资源的再分配情况，如引导扇区等发生异常；(11)出现异常错误信息等。第八章计算机病毒及其防治对策17二、如何正确对待计算机病毒1．主动防范病毒是无孔不入的，其危害性也确实令人不寒而栗，但我们不能因此而“草木皆兵”，甚至一使用计算机就惴惴不安。在使用计算机时应认真检查，做好防范工作。2.及时杀毒对于已知的计算机病毒，可以抽取一定的所谓特征码，作为比较用。然后用扫描、杀毒程序。3.保护重要数据在计算机网络迅猛发展的情况下，病毒防不胜防，因此对一些重要的数据要采取一定的保护措施。数据应该加以写保护。4.保留证据如果有可能，提取病毒样本，为公安计算机监管部门立案侦查提供证据。第八章计算机病毒及其防治对策18三、如何建立病毒、蠕虫、特洛伊木马等恶意程序的防治模式1.访问控制建立访问控制策略不仅是一种良好的安全措施，还可以防治恶意程序的传播。但访问控制不会删除甚至不会检测是否有恶意程序，它只保护和防止用户系统被恶意程序侵入。当然，这种方法不是对所有可执行程序都有效。2.校验信息的验证校验信息验证是一种对文件中的数据进行检验的数学方法它使用数字来表示文件的内容。如果文件内部有一个字节发生了变化，校验和信息就会改变，而文件大小可能还是相同的。第八章计算机病毒及其防治对策193.进程监视进程监视也是一种防止恶意程序侵入系统的方法。进程监视会观察不同的系统活动，并且拦截所有可疑行为。进程监视的缺点是很难把具有相似特点的病毒程序和普通程序截然区别开来。有时，进程监视会误将普通程序当作病毒程序而发出警告，或将病毒程序当作普通程序而置之不理。４．病毒扫描程序病毒扫描程序是防治病毒的常见方法，前面已经作了较详细的介绍，此处不再赘述。值得注意的是，病毒扫描程序制造商会定期发布更新的特征文件，使用病毒扫描程序的用户应注意病毒扫描产品的更新换代。