搜索
7第7章计算机病毒防治信息安全技术_第7章计算机病毒防治7第七章计算机病毒防治•计算机病毒的出现成为信息化社会的公害,是一种特殊的犯罪形式•防治计算机病毒是一个系统工程,不仅要有强大的技术支持,而且要有完善的法律法规、严谨的管理体系、科学的规章制度以及系统的防范措施•本章介绍了计算机病毒的发展历史、病毒特性、分类方法、传播途径和工作机理,列举了典型病毒的检查和清除方法,讨论了关于防治计算机病毒的管理和技术措施。信息安全技术_第7章计算机病毒防治77.1计算机病毒的特点与分类•计算机病毒也是计算机程序,有着生物病毒相似的特性•病毒驻留在受感染的计算机内,并不断传播和感染可连接的系统,在满足触发条件时,病毒发作,破坏正常的系统工作,强占系统资源,甚至损坏系统数据。•病毒不但具有普通程序存储和运行的特点,还具有传染性、潜伏性、可触发性、破坏性、针对性、隐蔽性和衍生性等特征。信息安全技术_第7章计算机病毒防治77.1.1计算机病毒的发展•计算机病毒是伴随计算机的发展而不断发展变化的。•早在1949年计算机刚刚诞生时,计算机之父冯·诺依曼在《复杂自动机组织论》中便定义了病毒的基本概念“一部事实上足够复杂的机器能够复制自身”信息安全技术_第7章计算机病毒防治77.1.1计算机病毒的发展(续)时间名称特点20世纪60年代初CoreWar通过复制自身来摆脱对方控制1981年ElkCloner通过磁盘进行感染1986年底Brain首次使用了伪装手段1987年Casade自我加解密1987年12月ChristmasTree第一个网络病毒,在VM/CMS操作系统下传播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕虫程序造成Internet的堵塞信息安全技术_第7章计算机病毒防治77.1.1计算机病毒的发展(续)首例能够破坏硬件的病毒CHI1998年6月第一个使用FTP进行传播Homer1997年4月第一个Linux环境下的病毒Bliss1997年2月攻击Windows操作系统病毒大规模出现宏病毒Concept1995年8月9日感染C语言和Pascal语言感染OBJ文件SrcVirShifter1993、1994年第一个多态病毒Chameleon1990年标志着计算机病毒开始入侵我国“小球”1989年4月格式化硬盘Yankee1989年特点名称时间信息安全技术_第7章计算机病毒防治77.1.1计算机病毒的发展(续)时间名称特点1999年美丽杀宏病毒和蠕虫的混合物,通过电子邮件传播2000年VBS/KAK使用脚本技术2001年红色代码利用微软操作系统的缓冲区溢出的漏洞传播2001年Nimda利用电子邮件传播2001年网络神偷木马/黑客病毒,对本地及远程驱动器的文件进行任何操作2002年6月Perrum第一个从程序感染转变为数据文件感染的病毒2003年“2003蠕虫王”多元混合化,数小时内使全球主干网陷入瘫痪2004年频繁的变种病毒大量出现信息安全技术_第7章计算机病毒防治77.1.1计算机病毒的发展(续)时间名称特点2005年我的照片特洛伊木马,窃取银行的账号和密码2006年“威金”病毒具备了木马和蠕虫的双重特征2007年“熊猫烧香”蓝屏、频繁重启以及系统硬盘中数据文件被破坏,最终导致企业局域网瘫痪2008年获利已经成为黑客传播病毒的唯一目标2009年U盘等移动存储介质成为病毒传播的主要途径之一2010年为了对抗“云安全”反病毒技术,许多病毒开始纷纷给自身“增肥”;网购木马初露端倪2011年“变形金刚”网购木马更加活跃、变种繁多,多个网购木马成功突破安全软件的防御,盗窃用户信息财产。2012年彩票类钓鱼网站成为黑客新宠,同时节假日及热点事件成为黑客们关注的焦点。信息安全技术_第7章计算机病毒防治77.1.2计算机病毒的特性1.传染性2.潜伏性3.可触发性4.破坏性5.针对性6.隐蔽性7.衍生性信息安全技术_第7章计算机病毒防治7传染性•病毒通过修改磁盘扇区信息或文件内容,并把自身嵌入到一切符合其传染条件的未受到传染的程序之上,实现自我复制和自我繁殖,达到传染和扩散的目的。•被感染的程序和系统将成为新的传染源,在与其它系统和设备接触时继续进行传播。•被嵌入的程序叫做宿主程序。信息安全技术_第7章计算机病毒防治7潜伏性•病毒在进入系统之后通常不会马上发作,可长期隐藏在系统中,除了传染外不做什么破坏,以提供足够的时间繁殖扩散。•病毒在潜伏期,不破坏系统,因而不易被用户发现。潜伏性越好,其在系统中的存在时间就会越长,病毒的传染范围就会越大。信息安全技术_第7章计算机病毒防治7可触发性•病毒因某个事件或数值的出现,激发其进行传染,或者激活病毒的表现部分或破坏部分的特性称为可触发性。•计算机病毒一般都有一个或者多个触发条件,病毒的触发机制用来控制感染和破坏动作的频率。•病毒运行时,触发机制检查预定条件是否满足,满足条件时,病毒触发感染或破坏动作,否则继续潜伏。信息安全技术_第7章计算机病毒防治7破坏性•病毒是一种可执行程序,病毒的运行必然要占用系统资源,如占用内存空间,占用磁盘存储空间以及系统运行时间等。•病毒的破坏性主要取决于病毒设计者的目的。良性病毒:干扰显示屏幕,显示乱码,占用系统资源恶性病毒:有明确的目的,破坏数据、删除文件、加密磁盘甚至格式化磁盘、破坏硬件,对数据造成不可挽回的破坏。信息安全技术_第7章计算机病毒防治7针对性•病毒是针对特定的计算机、操作系统、服务软件、甚至特定的版本和特定模版而设计的。小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。“CodeBlue(蓝色代码)”专门攻击WINDOWS2000操作系统。英文Word中的宏病毒模板在同一版本的中文Word中无法打开而自动失效。2002年1月8日出现的感染SWF文件的SWF.LFM.926病毒由于依赖Macro-media独立运行的Flash播放器,而不是依靠安装在浏览器中插件,使其传播受到限制。信息安全技术_第7章计算机病毒防治7隐蔽性•大部分病毒都设计得短小精悍•病毒通常都附在正常程序中或磁盘较隐蔽的地方•病毒程序与正常程序是不容易区别开的•病毒在潜伏期并不恶意破坏系统工作•传染的隐蔽性•存在的隐蔽性信息安全技术_第7章计算机病毒防治7衍生性•很多病毒使用高级语言编写,通过分析计算机病毒的结构可以了解设计者的设计思想,从而衍生出各种新的计算机病毒,称为病毒变种。•变种的主要传染和破坏的机理与母体病毒基本一致,只是改变了病毒的外部表象。•变种病毒造成的后果可能比原版病毒更为严重。信息安全技术_第7章计算机病毒防治77.1.3计算机病毒分类1.按照计算机病毒的危害程度分类2.按照传染方式分类3.按照计算机病毒的寄生方式分类4.其他一些分类方式信息安全技术_第7章计算机病毒防治7按照计算机病毒的危害程度分类•良性病毒:不对计算机系统和数据进行彻底破坏的病毒占用系统资源,会导致整个系统运行效率降;与操作系统和应用程序争抢CPU的控制权,导致整个系统死锁,妨碍正常的系统操作在多个病毒交叉感染时也可造成系统崩溃。•恶性病毒:能够损伤和破坏计算机系统及其数据,在其传染或发作时对系统产生彻底破坏作用的病毒目的明确,破坏数据、删除文件、加密磁盘、甚至格式化磁盘信息安全技术_第7章计算机病毒防治7按照传染方式分类•引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。可细分为主引导记录病毒和分区引导记录病毒。•文件型病毒是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。•混合型病毒是指具有引导型病毒和文件型病毒两种寄生方式的计算机病毒。这种病毒既感染磁盘的引导区,又感染可执行文件,增加了病毒的传染性及存活率信息安全技术_第7章计算机病毒防治7按照计算机病毒的寄生方式分类•源码型病毒是用高级语言编写的,攻击用高级语言编写的程序。这种病毒若不进行汇编、链接,就无法传染扩散。•嵌入型病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。技术难度较大,一旦侵入后也较难消除。•外壳型病毒寄生在宿主程序的前面或后面,并修改程序的第一条执行指令,使病毒先于宿主程序执行。易于编写,易于发现,通过文件的大小判别。信息安全技术_第7章计算机病毒防治7其他分类方式•按照攻击的操作系统可分为:攻击DOS操作系统的、攻击Windows系统的、攻击UNIX系统的、攻击OS/2系统的病毒。•按照计算机病毒激活的时间可分为:定时发作的病毒和不由时钟来激活的随机病毒。•按照传播媒介可分为:以磁盘为载体的单机病毒和以网络为载体的网络病毒。•按攻击的机型还可将病毒分为:攻击微型机的病毒、攻击小型机的病毒和攻击工作站的病毒。信息安全技术_第7章计算机病毒防治77.1.4计算机病毒的传播•第一种途径:通过不可移动的计算机硬件设备进行传播。设备中有计算机的专用ASIC(ApplicationSpecificIntegratedCircuit,特定用途集成电路)芯片和硬盘等。这种病毒极少,破坏力极强。•第二种途径:通过移动存储设备传染。如软盘、U盘、可擦写光盘、MP3、存储卡、记忆棒等。•第三种途径:通过计算机网络传播,是传播的主流途径,也是危害最大的传播途径。•第四种途径:通过点对点通信系统和无线通道传播。信息安全技术_第7章计算机病毒防治77.1.5计算机病毒机理•下面通过例1介绍计算机病毒的结构。文件名为:autoexec.bat,其内容如下:@echooff#关闭回显功能echoThisisavirusdemonstrationprogram.#病毒示例程序ifexistb:\autoexec.batgotovirus#检查时机gotono-virus#时机不成熟则继续潜伏:virus#时机成熟b:#到b:盘renameautoexec.batauto.bat#修改原文件名字copya:\autoexec.batb:#复制自身echoYouhaveavirus!#表现症状:no-virus#正常程序入口a:\auto.bat#执行正常程序信息安全技术_第7章计算机病毒防治77.1.5计算机病毒机理•病毒一般包含3个模块:引导模块将病毒程序引入内存并使其后面的两个模块处于激活状态;感染模块在感染条件满足时把病毒感染到所攻击的对象上;表现模块(破坏模块)在病毒发作条件满足时,实施对系统的干扰和破坏活动。•并不是所有计算机病毒都由这3大模块组成,病毒在3个模块之间可能没有明显的界限。信息安全技术_第7章计算机病毒防治77.1.5计算机病毒机理1.引导型病毒2.外壳型病毒3.宏病毒信息安全技术_第7章计算机病毒防治7引导型病毒•引导型病毒是一种在ROMBIOS之后,系统引导时出现的病毒,先于操作系统,依托的环境是BIOS中断服务程序•引导型病毒利用操作系统的引导模块放在固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据•因而,引导型病毒改写磁盘上的引导扇区(BOOTSECTOR)的内容或改写硬盘上的分区表(FAT),占据该物理位置即可获得控制权•病毒将引导区内容搬家转移或替换,待病毒程序被执行后,再将控制权交给引导区内容,使得带病毒的系统看似运转正常,从而隐藏病毒的存在信息安全技术_第7章计算机病毒防治7外壳型病毒•作为典型的文件型病毒,外壳型病毒需要寄生的宿主程序,并修改宿主程序的第一条执行指令,使病毒先于宿主程序执行,随着宿主程序的使用而传染扩散。信息安全技术_第7章计算机病毒防治7宏病毒•Word载入文档时,先执行起始的宏,再载入资料内容,目的是使Word能够根据资料的不同需要,使用不同的宏工作。•Word为普通用户事先定义一个共用的范本文档Normal.dot,里面包含了基本的宏。只要一启动Word,就会自动运行Normal.dot文件。•感染了Word宏病毒的文档运行时,实现了病毒的自动运行,病毒把带病毒的宏移植到通用宏的代码段,实现对其它文件的感染。信息安全技术_第7章计算机病毒防治77