搜索
第十二章计算机病毒及其防治技术12.1计算机病毒的概念计算机病毒(Computervirus)在《中华人民共和园计算机信息系统安全保护条例》中被明确定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。12.1.1病毒的产生1)恶作剧起源说2)游戏程序起源说3)科学幻想起源说4)软件自我保护起源说9.1.2病毒的特征(1)破坏性。(2)感染件。(3)隐藏性,(4)可激活性。(5)计时性。12.1.3病毒的分类1.按攻击的对象分类按照计算机病毒攻击对象的不同,可以分为攻击微型机、攻击小型机、攻击大型机、攻击计算机网络4种,其中每一种还可以进一步详细划分。2.按寄生的方式分类和生物病毒一样.计算机病毒也有赖以生存的环境。病毒攻击计算机系统后,其寄生的环境称为宿主。按照计算机病毒在宿主环境中寄生方式的不同.可以分覆盖式寄生病毒、代替式寄生病毒、链接式寄生病毒、添充式寄生病毒和转储式寄生病毒五种o●覆盖式寄生病毒是将自身程序代码部分或者全部覆盖在宿主程序上,从而使合法程序的部分功能或全部功能被破坏o●代替式寄生病毒是将自身程序代码部分或全部覆盖在宿主程序k,从而使病毒程序以“合法”身份运行,完成其简单功能。●链接式寄生病毒是将自身程序代码附加在宿主程序之后,也可以在首部或中间,并不破坏原来合法程序。●添亢式寄生病毒是将自身程序代码侵占宿主程序的空闲存储空间,它并不改变合法程序出身的长度。●转储式寄生病毒是将宿主程序代码改变存储位置.病毒程序自身代码侵占原合法程序的存储空间。3.按感染的方式分类感染是计算机病毒的主要特征,按照其感染方式的不同可以分为引导扇区病毒、文件感染病毒和综合型感染病毒3种。●引导扇区病毒。引导扇区是硬盘的一部分,当开机时.它的信息将控制操作系统如何运作。引导扇区病毒用它自己的数据来代替硬盘的原始引导扇区,并将病毒装入内存。病毒一旦进入内存,它就可以传播给其他文件和磁盘。●文件感染病毒。文件感染病毒将病毒代码加到可运行的程序文件中,在运行程序时即被激活。当这种病毒被激话后,病毒程序就获得了控制权,开始传播给其他程序文件,造成破坏。●综合型感染病毒。是指既感染磁盘引导区程序,又感染系统文件的综合病毒。例如,HIP病毒不仅感染command.com及可执行文件,而且还感染磁盘主引导区,这种病毒用FORMAT命令格式化硬盘都不能消除,给杀毒带来困难。4.接侵入途径分类根据计算机病毒侵入系统的途径不同,可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒四种。●源码病毒是指病毒在源程序被编译前就插入到源程序中,然后校编译成合法程序的一部分。源码病毒通常攻击高级语言编写的程序。由于制造这类病毒难度较大,所以感染的范围也是有限的。●操作系统病毒是指病毒程序将自身加入或替代操作系统工作。这种病毒最常见,危害也最大。●外壳病毒是将自身程序放在主程序的周围,一般不对原来的程序进行修改。12.1.4病毒的类型1.特洛伊木马2.多态病毒多态病毒能够自身加密,加密的病毒经常隐藏它的特征,避开反病毒软件。3.行骗病毒4.慢效病毒慢效病毒仅在用户操作文件时感染该文件。5.制动火箭病毒制动火箭病毒通过对反病毒软件的直接进攻来阻碍反病毒程序或程序组的操作。专家们更愿意把制动火箭病毒称作反反病毒。6.多成份病毒多成份病毒感染可执行文件和引导区分区,有时也感染软盘引导扇区。7.装甲病毒装甲病毒利用一些难以跟踪、难以理解的代码程序保护自己。8.同伴病毒同伴病毒通过创建新的扩展文件把自己附着在一个可执行文件上。9.噬菌体病毒噬菌体病毒未经允许就修改程序和数据库,它自己的代码代替被它感染的代码。12.2计算机病毒的分析12.2.l病毒的破坏现象计算机病毒的出现,从某种程度上反映出计算机系统的脆弱性,从而使病毒对系统攻击破坏成为可能。通常,计算机病毒的破坏现象表现在以下几个方面:(1)攻击系统数据区。攻击部位包括:硬盘主引导扇区、Boot扇区、FAT、文件目录。一般来说.攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。(2)攻击文件。病毒对文件攻击方式很多,可列举如下:删除文件、改文件名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失效据文件。(3)攻击内存。内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源.可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存。(4)干扰系统运行。病毒会干扰系统的正常运行,以此作为自己的破坏行为。此外行为也是花样繁多,可以列出下述各种方式:不执行命令,干扰内部命令的执行.虚假报警,打不开文件,内部堆栈溢出,占用特殊数据区,更换运行盘,时钟倒转,重启动,死机,强制游戏,扰乱串、并行口。(5)速度下降。病毒激活时.其内部的时间延迟程序启动。在时钟内纳入了时间循环计数,迫使计算机空转,计算机速度明显下降。(6)攻击磁盘。包括攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。(7)扰乱屏幕显示。病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示的移屏、光标下跌、波屏、抖动、乱写、吃字符。(8)锁定键盘。病毒干扰键盘操作.已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、插人家乱。(9)运作喇叭。许多病毒运行时,会使计算机的喇叭发出响声。已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声。(10)攻击CMOS。有的病毒激活时,能够对CM0C区数据进行改写,破坏系统CMOS中的数据。12.2.2病毒的传播途径(1)通过移动存储媒介。如:磁盘、光盘、U盘、移动硬盘等。(2)通过网络。E-mail、FTP、远程登陆、网络聊天、网络游戏、黑客工具等。12.3计算机病毒的防治技术12.3.1网络病毒的特点在网络环境中,电脑病毒具有一些新的特点:1.传染方式多病毒入侵网络的主要途径是通过工作站传播到服务器硬盘中,再由服务器的共享目录传播到其他的工作站,但病毒传染方式比较复杂,通常有以下几种:(1)引导型病毒对工作站或服务器的硬盘分区表或D0S引导区进行传染。(2)通过在有盘工作站上执行带毒程序,而传染服务器映像盘上的文件。由于LOGIN.EXE是用户登录入网时首个调用的可执行文件,因此该文件最易被病毒感染;而一旦LOGIN.EXE文件被病毒感染,则每个工作站使用其登录时便遭感染,并进一步感染服务器共享目录。(3)服务器上的程序被病毒感染后,则所有使用该带毒程序的工作站都将被感染。混合型病毒有可能感染工作站亡的硬盘分区表或DOS引导区。(4)通过工作站的拷贝操作,将病毒带入服务器,进而在网上传播。(5)利用多任务可加载模块进行传染。(6)若NOVELL服务器的Dos分区的文件服务器管理程序SERVEER.EXE已被病毒感染,则文件服务器系统有可能被感染。2.传播速度快、范围广在单机上,病毒只能通过软盘从机制,借助高速电缆进行迅速扩散。病毒在网络中传播速度非常快,扩散范围很大,不但能迅速感染局域网内所有电脑。还能通过远程工作站将病毒在一瞬间传播到千里之外。3.清除难度大在单机上,再顽团的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除。但网络中,只要有一台工作站未能彻底消毒干净,就可使整个网络全部被病毒重新感染。因此,仅对工作站进行病毒杀除并不能彻底解决网络病毒问题。4.破坏性强网络上病毒将直接影响网络的工作,轻则降低速度痪,破坏服务器系统资源,使长期工作毁于一旦。12.3.2基于网络安全体系的防毒管理措施在Netware网络操作系统中,提供了目录和文件的访问权限与属性两种安全性措施。访问权限有:访问控制权A、建立权C、删除权E、文件扫描权F、修改权M、读出权R、超级用户权S、写入权W等。属性有:需归档A、禁止拷贝C、只执行E、只读Ro、读写Rw、改名禁止R、可共亨s、系统Sy等。属性优先于访问权限,根据用户对目录和文件的操作能力,分配不同的访问权限和属性。措施:(1)尽量多用无盘工作站,注意少用有盘工作站。这种工作站通过网卡上的远程复位PROM完成系统引导工作,用户只能执行服务器允许执行的文件。(2)尽量少用超级用户登录。(3)严格控制用户的网络使用权限。(4)对某些频繁使用或非常重要的文件属性加以控制,以免被病毒传染。(5)对远程工作站的登录权限实行严格限制。将其发来的数据要按指定目录存放,待检查后方可使用。12.3.3基于工作站与服务器的防毒技术1.基于工作站的DOS防毒技术工作站是网络的门,只要将这扇门户关好,就能有效地防止病毒的入侵。工作站防毒主要有以下几种方法:(1)使用防毒杀毒软件(2)安装防毒卡(3)安装防毒芯片2.基于服务器的NLM(NetWareLoadableModule)防毒技术(1)实时在线扫描。(2)服务器扫描。(3)工作站扫描。12.3.4网络病毒清除方法(1)立即使用BROADCAST命令,通知所有用户退出网络,关闭文件服务器。(2)用有写保护的、“干净”的系统盘启动系统管理员工作站,并立即清除本机病毒。(3)用带有写保护的、“干净”的系统盘启动文件服务器。系统管理员登录后.使用DISABLELOGIN命令禁止其他用户登录。(4)将文件服务器的硬盘中的重要资料备份。(5)用杀毒软件(最好是网络杀毒软件)扫描服务器上所有卷的文件,恢复或删除发现被病毒感染的文件,重新安装被删文件。(6)用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。(7)用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。(8)在确信病毒已经彻底清除后,重新启动网络和工作站。12.4典型病毒危害与消除12.4.1宏病毒随着Windows环境的日益普及,宏病毒因其迅猛发展而成为新的病毒热点。宏病毒是和微软的Office系列,持别是Word一起为大家所熟知的,而Office系列软件正是宏病毒赖以生存的土壤。所有使用Office的用户都要面对宏病毒。有些用户可能连宏是什么都不一定清楚,却一样要倍受宏病毒的困扰。1.宏病毒的危害和常见症状国际上已经发现的Word宏病毒已达120多种,国内己流行的宏病毒也有十多种。有些宏病毒只进行自身的传播,并不具破坏性。如较常见的一种AutoOpen宏病毒,这种病毒只是将文档保存为模板,并进行自身复制,当打开带病毒的文档时,宏病毒将自身传染结word的Normal.dot模板,然后再传染给干净的文档。宏病毒基本上都是按这种方法进行传染的。有些病毒对用户进行骚扰,但不破坏系统,有些宏病毒是在打印中途中断,或打印出混乱信息。有些宏病毒极具破坏性,如MDMA.A(无政府者一号,最早发现于1999年夏)。这种病毒既感染中文版word,又感染英文版word,发作时间是每月的1日。此病毒在不同的windows平台上有不同的破坏性表现。宏病毒制造音巧妙地利用了word的自动执行宏,在每次打开、关闭或新建文档时进行复制传染。此时,文档被保存为模板,长度变大,不能被存为其他格式的文档。2.宏病毒的检查、清除及预防通常,检查、清除及预防宏病毒有几种方法。●预防(1)保护word模板文件。将常用的模板文件改为只读属性,可防止word系统被感染;Dos的autoexec.bat和config.sys文件最好也都设为只读属性。(2)屏蔽自动执行宏。宏病毒是通过自动执行宏的方式来激活、进行传染破坏的.所以将自动执行宏屏蔽掉。文档中或word系统即使有宏病毒存在,它也无法被激活,也就无法发作传染、破坏,从而起到了防毒的效果。这种方法安全、简单、易行。具体方法有以下两种:●在Normal.dot中编写名为“AutoExec”的自动执行宏,内容为DisableAutoMacros●可以使用下面命令行来使所有自动宏无效(包括AutoExec):winword.exe/mDisableAutoMacros最好使用第二种,因为藏身于AutoExec宏中的病毒,在word打开时会被激活。●检查与