計算機病毒防治 第一章_圖文

1、計算機病毒原理及防治2007年9月播放教師:張少敏教材目錄1 計算機病毒的概念2 計算機病毒的相關(guān)DOS基本系統(tǒng)知識3計算機病毒的結(jié)構(gòu)及作用機制4 檢測計算機病毒的基本方法5 清除計算機病毒的基本技術(shù)1 計算機病毒的概念 1.1計算機病毒的定義中華人民共和國計算機信息系統(tǒng)安全保護條例中定義為:“計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并且能夠自我復(fù)制的一組計算機指令或者程序代碼。”1.2計算機病毒的產(chǎn)生和發(fā)展隨著計算機應(yīng)用的普及,計算機在工業(yè)、農(nóng)業(yè)和社會生活各個領(lǐng)域中已開始發(fā)揮重要作用,早期便有一些科普作家意識到可能有人會利用計算機進行破壞,提出

2、了“計算機病毒”這種概念,不久計算機病毒便在理論、程序上都得到了證實。1949年,計算機的創(chuàng)始人馮·諾依曼(John Von Neumann發(fā)表了復(fù)雜自動機器的理論和結(jié)構(gòu)的論文,提出計算機程序可以在內(nèi)存中進行自我復(fù)制和變異的理論。在此之后,許多的計算機人員在自己的研究工作中應(yīng)用和發(fā)展了程序自我復(fù)制的理論。1959年,AT&T Bell實驗室的3位成員設(shè)計出具有自我復(fù)制能力、并能探測到別的程序在運行時能將其銷毀的程序。1983年,Fred Cohen博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序。并在全美計算機安全會議上提出,在VAXll/150機上演示,從而證實計算機病毒

3、的存在,這也是公認的第一個計算機病毒程序的出現(xiàn)。 隨著計算機技術(shù)的發(fā)展,出現(xiàn)了一些具有惡 意的程序。最初是些計算機愛好者惡作劇性的游戲, 后來一些軟件公司為防止盜版在自己的軟件中加入了病毒程序。1988年,羅伯特·莫里斯(Rober Moms制 造的蠕蟲病毒是首次通過網(wǎng)絡(luò)傳播的病毒,是一起震撼世界的“計算機病毒侵入網(wǎng)絡(luò)的案 件”。后來,又出現(xiàn)了許多惡性計算機病毒,這些病毒會搶占系統(tǒng)資源、刪除和破壞文件,最具破壞性如CIH能對硬件造成毀壞。網(wǎng)絡(luò)的使用使得計算機病毒傳播得更加廣泛、迅速。隨著計算機技術(shù)的提高,病毒的制造技術(shù)也在不斷提高。最近幾年,病毒的種類和表現(xiàn)模式不斷變化、改進,如宏病

4、毒和變形病毒。變形病毒每感染新文件都會發(fā)生變化,極具隱蔽性。有的病毒利用操作系統(tǒng)、計算機硬件管理的缺陷對系統(tǒng)進行破壞。 1.3惡意程序所謂惡意程序是指一類特殊的程序,它們通常在用戶不知曉也未授權(quán)的情況下潛入進來,具有用戶不知道(一般也不許可的特性,激活后將影響系統(tǒng)或應(yīng)用的正常功能,甚至危害或破壞系統(tǒng)。惡意程序的表現(xiàn)形式多種多樣。有的是將合法程序進行改動,讓它含有并執(zhí)行某種破壞功能,如程序自毀或磁盤自毀。有的是利用合法程序的功能和權(quán)限,非法獲取或篡改系統(tǒng)資源和敏感數(shù)據(jù),進行系統(tǒng)入侵。惡意程序的分類根據(jù)惡意程序威脅的存在形式不同,將其分為需要宿主程序和不需要宿主的可獨立存在的威脅兩大類,如圖所示。

5、前者基本上是不能獨立于某個實際的應(yīng)用程序、實用程序或系統(tǒng)程序的程序片段,后者是可以被操作系統(tǒng)調(diào)度和運行的自包含程序。另外,也可以將這些惡意程序威脅分成不進行復(fù)制工作的和進行復(fù)制工作的。前者是一些當宿主程序被調(diào)用時被激活起來完成一個特定功能的程序片段;后者由程序片段(病毒或由獨立程序(蠕蟲、細菌組成,在執(zhí)行時可以在同一個系統(tǒng)或某個其他系統(tǒng)中產(chǎn)生自身的一個或多個以后將被激活的副本。惡意程序需要宿主獨立存在程序陷門邏輯炸彈特洛伊木馬細菌蠕蟲圖1-1惡意程序分類事實上,惡意程序的分類已隨著惡意程序彼此間的交叉和互相滲透(變異變得模糊。如邏輯炸彈或特洛伊木馬可能只是一個病毒或蠕蟲的一部分。1.陷門(Tr

6、ap Doors是進入程序的秘密入口,知道陷門的人可以不經(jīng)過通常的安全訪問過程而獲得訪問權(quán)力。陷門被無所顧忌的程序員用來獲得非授權(quán)訪問時,陷門就變成了威脅。2.邏輯炸彈邏輯炸彈是嵌入在某個合法程序里面的一段代碼,被設(shè)置成當滿足特定條件時就會“爆炸”:執(zhí)行一個有害行為的程序。3.特洛伊木馬特洛伊木馬是指一個有用的,或者表面上有用的程序或命令過程,但其中包含了一段隱藏的、激活時將執(zhí)行某種有害功能的代碼,可以控制用戶計算機系統(tǒng)的程序,并可能造成用戶的系統(tǒng)被破壞甚至癱瘓。4 . 細菌細菌是一些并不明顯破壞文件的程序,它們的惟一目的就是繁殖自己。一個典型的細菌程序可能不做什么其他的事情。除了在多進程系統(tǒng)

7、中同時執(zhí)行自己的兩個副本,或者可能創(chuàng)建兩個新的文件外,每一個都是細菌程序原始源文件的一個復(fù)制品。那些程序然后又能將自己兩次復(fù)制,依此類推,細菌以指數(shù)級地再復(fù)制,最終耗盡了所有的處理機能、存儲器或磁盤空間,從而拒絕用戶訪問這些資源。5 . 蠕蟲計算機蠕蟲是一種可以通過網(wǎng)絡(luò)進行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活,蠕蟲可以表現(xiàn)得像計算機病毒或細菌?？梢韵蛳到y(tǒng)注入特洛伊木馬程序,或者進行任何次數(shù)的破壞或毀滅行動。普通計算機病毒需要在計算機的硬盤或文件系統(tǒng)中繁殖,而典型的蠕蟲程序則不同,只會在內(nèi)存中維持一個活動副本,甚至根本不向硬盤中寫入任何信息。蠕蟲是一個獨立運行的程序,自身不改變其他的程序,但可攜

8、帶具有改變其他程序功能的病毒。病毒演示由于計算機病毒的特殊功能和潛在的威脅,它已成為所有計算機惡意程序的代名詞 1.4計算機病毒的危害據(jù)1998年CSI/FBI計算機犯罪和安全調(diào)查報告中對攻擊的分類調(diào)查顯示,計算機病毒占所有攻擊類型的首位,如下圖所示。1998年CSI /FBI 計算機犯罪和安全調(diào)查報告中對攻擊的分類020406080病毒內(nèi)部人員對網(wǎng)絡(luò)的濫用筆記本電腦盜竊未授權(quán)的內(nèi)部訪問系統(tǒng)入侵偷窺私人信息電信欺騙金融欺騙破壞被動搭線竊聽主動搭線竊聽占有率1.計算機病毒對獨立計算機系統(tǒng)的危害(1破壞磁盤文件分配表或目錄區(qū),使用戶磁盤上的信息丟失。(2刪除軟盤或硬盤上的可執(zhí)行文件或系統(tǒng)文件,使系

9、統(tǒng)無法啟動。(3修改或破壞文件的數(shù)據(jù)。(4病毒程序自身在計算機系統(tǒng)中多次復(fù)制,使系統(tǒng)的存儲空間減少造成正常的文件不能存儲。(5刪除或改寫磁盤上的特定扇區(qū)。(6對系統(tǒng)中用戶存儲的特定文件進行非法加密或解密。(7感染和破壞壓縮文件,使其在解壓時失敗。(8改寫B(tài)IOS中的內(nèi)容,使主板遭到毀滅性的破壞。2.計算機病毒對網(wǎng)絡(luò)的危害(1病毒通過“自我復(fù)制”傳染正在運行的系統(tǒng)與正常的運行程序爭奪系統(tǒng)資源,造成系統(tǒng)癱瘓,并通過網(wǎng)絡(luò)系統(tǒng)侵害與之聯(lián)網(wǎng)的其他計算機。(2病毒會導(dǎo)致計算機控制的空中交通失靈,衛(wèi)星、導(dǎo)彈失控,自動生產(chǎn)線控制紊亂,銀行金融系統(tǒng)癱瘓等。(3病毒會導(dǎo)致電子郵件傳遞混亂或E-mail系統(tǒng)關(guān)閉。(

10、4病毒程序在激活時,能沖毀系統(tǒng)存取器中的大量數(shù)據(jù),使與之相連的計算機用戶的程序和數(shù)據(jù)丟失。計算機病毒的危害1.5計算機病毒的特征1. 傳染性2.隱蔽性3.潛伏性4.表現(xiàn)性1.傳染性計算機病毒一經(jīng)在計算機上運行,絕大多數(shù)病毒首先要做初始化工作,在內(nèi)存中找一片安身之處,隨后將自身與系統(tǒng)軟件掛起鉤來,然后再執(zhí)行原來被感染的程序。這一系列的操作中,只要系統(tǒng)不癱瘓,系統(tǒng)每執(zhí)行一次操作,病毒就有機會得以運行,危害未曾被感染的程序。病毒程序與正常系統(tǒng)程序在同一臺計算機內(nèi)爭奪系統(tǒng)控制權(quán)時,結(jié)果會造成系統(tǒng)崩潰、導(dǎo)致計算機癱瘓。2.隱蔽性計算機病毒一經(jīng)在計算機上運行,絕大多數(shù)病毒首先要做初始化工作,在內(nèi)存中找一片

11、安身之處,隨后將自身與系統(tǒng)軟件掛起鉤來,然后再執(zhí)行原來被感染的程序。這一系列的操作中,只要系統(tǒng)不癱瘓,系統(tǒng)每執(zhí)行一次操作,病毒就有機會得以運行,危害未曾被感染的程序。病毒程序與正常系統(tǒng)程序在同一臺計算機內(nèi)爭奪系統(tǒng)控制權(quán)時,結(jié)果會造成系統(tǒng)崩潰、導(dǎo)致計算機癱瘓。計算機病毒的隱蔽性主要表現(xiàn)(1短小精悍,占用空間小(2屬性管理(3暗中活動(4欺騙(5加密(6多變性3.潛伏性(1利用計算機系統(tǒng)時鐘作觸發(fā)器(2利用病毒體自帶計數(shù)器作觸發(fā)器(3利用計算機內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器(7攻擊系統(tǒng)數(shù)據(jù)區(qū)(8攻擊文件(9攻擊內(nèi)存(10間諜活動,竊取機密信息(11竊取核心控制權(quán)(12破壞網(wǎng)絡(luò)系統(tǒng)4.表現(xiàn)性(1有益

12、的服務(wù)(2占用CPU資源,降低系統(tǒng)工作效率(3干擾系統(tǒng)運行(4干擾鍵盤、喇叭或屏幕(5干擾打印機(6攻擊CMOS,攻擊硬件1.6 計算機病毒發(fā)作前的癥狀計算機病毒發(fā)作前階段,是指從計算機病毒感染計算機系統(tǒng),潛伏在系統(tǒng)內(nèi)開始,直到激發(fā)條件滿足,計算機病毒發(fā)作之前的階段。在這個階段,計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己,在不易被發(fā)現(xiàn)的前提下,自我復(fù)制,以各種手段進行傳播。但它總有一些表現(xiàn),例如: 原來運行正常的計算機突然經(jīng)常性無緣無故地死機由于修改了中斷引起的系統(tǒng)不穩(wěn)定。操作系統(tǒng)無法正常啟動可能由于感染病毒后系統(tǒng)文件結(jié)構(gòu)發(fā)生變化,無法被操作系統(tǒng)加載、引導(dǎo)。

13、 運行速度明顯變慢可能由于計算機病毒占用了大量的系統(tǒng)資源,并且自身的運行,占用了大量的處理器時間,造 成系統(tǒng)資源不足,運行變慢。原來正常運行的軟件總出現(xiàn)內(nèi)存不足的錯誤可能是計算機病毒駐留后占用了系統(tǒng)中大量 的內(nèi)存空間,使得可用內(nèi)存空間減小。打印和通信異?？赡苡捎谟嬎銠C病毒駐留內(nèi)存后占用了打印 端口、串行通信端口的中斷服務(wù)程序,使之不能正常工作。應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤可能由于計算機病毒破壞了應(yīng)用程序本身的正常功能,或者計算機病毒程序本身存在著兼容性方面的問題造成的。系統(tǒng)文件的時間、日期、大小發(fā)生變化這是最明顯的計算機病毒感染跡像。打開的Word文檔另存時只能以模板方式保存往往是打開的W

14、ord文檔中感染了Word宏病毒的緣故。 磁盤空間突然迅速減少網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化(一般少1KB-幾KB 通常是感染了引導(dǎo)型計算機病毒所致陌生人發(fā)來的電子郵件自動鏈接到一些陌生的網(wǎng)站 注意:一般的系統(tǒng)故障是有別于計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或兩點現(xiàn)象,而計算機病毒感染所出現(xiàn)的現(xiàn)象會有很多。1.7 計算機病毒發(fā)作時的癥狀計算機病毒發(fā)作是指滿足計算機病毒發(fā)作的條件,計算機病毒程序開始破壞行為的階段。通常,不同的計算機病毒發(fā)作時的表現(xiàn)也不相同。下面是一些病毒發(fā)作時常見的表現(xiàn)現(xiàn)象:出現(xiàn)一些不相干的文字提示產(chǎn)生特定的圖像,如小球計算機病毒發(fā)出一段音樂,如“楊基(Yangkee”計算機病毒和中國的“瀏陽河”計算機病毒硬盤燈不斷閃爍,病毒使有持續(xù)大量的硬盤讀寫操作Windows桌面圖標發(fā)生變化計算機突然死機或重啟鼠標指針自己動自動發(fā)送電子郵件注意:上述現(xiàn)象需與計算機正常運行時的表現(xiàn)相區(qū)分。Happy99病毒演示 反之,則少。如在8086CPU中,CPU通過系統(tǒng)總線訪問存儲器或I/O接口,即由總線接口部件執(zhí)行總線周期完成訪存操作。所謂總線周期就