計(jì)算機(jī)病毒原理與防范基礎(chǔ)課件

計(jì)算機(jī)病毒原理與防范胡繼榮制作

病毒起因計(jì)算機(jī)病毒的起因多種多樣，有的是計(jì)算機(jī)工作人員或業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制造出來(lái),有的則是為防止自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰。一般可分為這樣幾種情況：1.惡作?。好绹?guó)康奈爾大學(xué)的莫里斯，編寫(xiě)蠕蟲(chóng)程序肇事后，被稱(chēng)為電腦奇才，一些公司出高薪爭(zhēng)相聘用他。2.加密陷阱論：巴基斯坦病毒是世界上唯一給出病毒作者姓名、地址的病毒。由該國(guó)一家電腦商店的兩兄弟編寫(xiě)，目的是追蹤軟件產(chǎn)品的非法用戶(hù)。3.游戲程序起源：1960年美國(guó)人約翰康維在編寫(xiě)生命游戲程序時(shí)，萌發(fā)了程序自我自制技術(shù)。其程序運(yùn)行時(shí)屏幕上有許多生命元素圖案在運(yùn)動(dòng)變化，元素在過(guò)于擁擠和稀疏時(shí)都會(huì)因缺少生存條件而死亡，只有處于合適環(huán)境中的元素才能自我復(fù)制并進(jìn)行傳播。4.政治、經(jīng)濟(jì)和軍事：一些組織和個(gè)人也會(huì)編制一些程序勝于進(jìn)攻對(duì)方電腦，給對(duì)方造成災(zāi)難或直接經(jīng)濟(jì)損失。病毒與計(jì)算機(jī)犯罪莫里斯事件：1988年11月2日，康奈爾大學(xué)計(jì)算機(jī)科學(xué)系研究生羅但特.莫里斯制造的蠕蟲(chóng)案件。

震蕩波事件：2004年德國(guó)18歲的技校生為顯示自己的才能,用自己組裝的電腦編寫(xiě)了一個(gè)名為“震蕩波”的程序。該病毒不是通常意義上的病毒，而是一種以某種程序語(yǔ)言編寫(xiě)的程序文本。造成了全球巨大經(jīng)濟(jì)損失。美國(guó)德?tīng)査娇展救∠苣┤亢桨?、歐萌委員會(huì)1200臺(tái)計(jì)算機(jī)失靈、芬蘭一家銀行關(guān)閉全部營(yíng)業(yè)處。

混客絕情炸彈：2001年由黑龍江17歲的高中學(xué)生池某制造。

感染標(biāo)記：即病毒簽名。常以ASCⅡ方式放在程序里。破壞模塊：實(shí)現(xiàn)病毒編寫(xiě)者預(yù)定的破壞動(dòng)作代碼。觸發(fā)模塊：根據(jù)預(yù)定條件是否滿(mǎn)足，控制病毒的感染或破壞。主控模塊：包括調(diào)用感染模塊,進(jìn)行感染；調(diào)用觸發(fā)模塊，接受其返回值；根據(jù)返回值決定是否執(zhí)行破壞。分類(lèi)方法有很多。根據(jù)攻擊系統(tǒng)分類(lèi)：攻擊DOS型、攻擊WINDOWS型、攻擊UNIX型、攻擊OS/2型。根據(jù)攻擊機(jī)型分：微型計(jì)算機(jī)病毒、小型計(jì)算機(jī)病毒、工作站病毒。根據(jù)病毒鏈接方式分：源碼型、嵌入型、外殼性、操作系統(tǒng)型。按破壞情況分:良性病毒、惡性病毒按傳播媒介分:單機(jī)病毒、網(wǎng)絡(luò)病毒計(jì)算機(jī)病毒的特點(diǎn)可執(zhí)行性傳染性潛伏性可觸發(fā)性破壞性攻擊主動(dòng)性針對(duì)性非授權(quán)性隱蔽性衍生性寄生性不可預(yù)見(jiàn)性欺騙性持久性計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病毒技術(shù)基礎(chǔ)文件系統(tǒng)馮.諾依曼體系結(jié)構(gòu)WINDOWS程序工作原理磁盤(pán)結(jié)構(gòu)

計(jì)算機(jī)病毒的制造、傳染和發(fā)作，依賴(lài)于具體的計(jì)算機(jī)硬件與軟件，必須符合這些硬件和軟件系統(tǒng)的規(guī)范要求，而這些規(guī)范要求實(shí)際就是計(jì)算機(jī)病毒的技術(shù)基礎(chǔ)。不同的計(jì)算機(jī)硬件環(huán)境、不同的軟件環(huán)境，都會(huì)制造出不同的病毒。了解和掌握計(jì)算機(jī)硬件與軟件的基礎(chǔ)知識(shí)，對(duì)我們分析了解計(jì)算機(jī)病毒技術(shù)的特點(diǎn)、工作原理是十分必要的。馮.諾依曼機(jī)體系結(jié)構(gòu)

馮.諾依曼是是20世紀(jì)最杰出的數(shù)學(xué)家之一，于1945年提出了“程序內(nèi)存式”計(jì)算機(jī)的設(shè)計(jì)思想。這一卓越的思想為電子計(jì)算機(jī)的邏輯結(jié)構(gòu)設(shè)計(jì)奠定了基礎(chǔ)，已成為計(jì)算機(jī)設(shè)計(jì)的基本原則。馮.諾依曼式計(jì)算機(jī)的硬件由五大部件構(gòu)成：輸入設(shè)備外存儲(chǔ)器輸出設(shè)備程序存儲(chǔ)器計(jì)算結(jié)果控制器外部設(shè)備接口運(yùn)算器原始數(shù)據(jù)指令控制信號(hào)存數(shù)取數(shù)磁盤(pán)結(jié)構(gòu)

了解磁盤(pán)的結(jié)構(gòu)及其數(shù)據(jù)組織的特點(diǎn)，對(duì)于檢測(cè)和預(yù)防計(jì)算機(jī)病毒具有十分重要的意義。

硬盤(pán)盤(pán)面以轉(zhuǎn)軸中心為圓心，被均勻地劃分成若干個(gè)半徑不等的稱(chēng)為磁道的同心圓，不同盤(pán)面上的相同直徑的磁道，在垂直方向構(gòu)成一個(gè)叫做柱面的圓柱。顯然柱面數(shù)等于磁道數(shù)。

磁道由首部、18個(gè)扇區(qū)和尾部構(gòu)成。扇區(qū)由標(biāo)識(shí)區(qū)(ID區(qū))、間隙、數(shù)據(jù)區(qū)和間隙組成。每個(gè)扇區(qū)為512B?！撞课膊可葏^(qū)1扇區(qū)NID區(qū)間隙間隙間隙ID區(qū)數(shù)據(jù)區(qū)扇區(qū)2索引信號(hào)容量=碰頭數(shù)×磁道數(shù)/面×扇區(qū)數(shù)/磁道×512B/扇區(qū)標(biāo)識(shí)扇區(qū)的開(kāi)始與記錄目標(biāo)地址的信息主引導(dǎo)扇區(qū)結(jié)構(gòu)與文件系統(tǒng)用戶(hù)可用DEBUG來(lái)查看主引導(dǎo)記錄。

文件系統(tǒng)是操作系統(tǒng)中借以組織、存儲(chǔ)和命名文件的結(jié)構(gòu)。磁盤(pán)或分區(qū)和它所包括的文件系統(tǒng)的不同是很重要的，大部分應(yīng)用程序都基于文件系統(tǒng)進(jìn)行操作，在不同種文件系統(tǒng)上是不能工作的。

在Windows9x、NT、2000下，所有的Win32可執(zhí)行文件(除VxD與DLL)都是基于Microsoft設(shè)計(jì)的一種新的文件格式：可移植的執(zhí)行體,即PE格式。該格式的一些特性源自UNIX的COFF(命令目標(biāo)文件)文件格式。Windows下感染可執(zhí)行文件的病毒，就必須對(duì)PE格式的可執(zhí)行文件進(jìn)行修改。PE文件結(jié)構(gòu)格式如下：HomePageGameDirectionsPE文件格式概念組成分類(lèi)特征植入方法

特洛伊木馬一種能夠在受害者毫無(wú)察覺(jué)的情況下滲透到系統(tǒng)的代碼硬件部分軟件部分具體連接部分遠(yuǎn)程控制型密碼發(fā)送型鍵盤(pán)記錄型毀壞型FTP型多媒體型隱蔽性自動(dòng)運(yùn)行性欺騙性自動(dòng)恢復(fù)性功能特殊性軟件復(fù)制電子郵件發(fā)送超鏈接緩沖區(qū)溢出攻擊WINDOWS程序設(shè)計(jì)是一種事件驅(qū)動(dòng)方式的程序設(shè)計(jì)模式。其應(yīng)用程序最大的特點(diǎn)就是程序無(wú)固定的流程，只是針對(duì)某個(gè)事件的處理有特定的子流程，WINDOWS應(yīng)用程序就是由許多這樣的子流程構(gòu)成的。

WINDOWS應(yīng)用程序本質(zhì)上是面向?qū)ο蟮?。程序提供給用戶(hù)界面的可視圖像在程序內(nèi)部一般也是一個(gè)對(duì)象，用戶(hù)對(duì)可視對(duì)象的操作通過(guò)事件驅(qū)動(dòng)模式觸發(fā)相應(yīng)對(duì)象的可用方法。程序的運(yùn)行就是用戶(hù)外部操作不斷產(chǎn)生事件，這些事件又被相應(yīng)的對(duì)象處理的過(guò)程。

CIH病毒剖析CIH病毒是一種文件型病毒,是第一例感染W(wǎng)INDOWS環(huán)境下的PE格式文件的病毒。目前CIH病毒有多個(gè)版本，最流行的是CIH1.2版本。受感染的EXE文件的文件長(zhǎng)度未改變。DOS及Win3.1格式的或執(zhí)行文件不受感染，且在WinNT中無(wú)效查找包含EXE特征“CIHv”過(guò)程中顯示一大堆符合查找特征的可執(zhí)行文件4月26日開(kāi)機(jī)會(huì)黑屏、硬盤(pán)指示燈閃爍、重新開(kāi)機(jī)時(shí)無(wú)法啟動(dòng)CIH病毒的表現(xiàn)形式、危害及傳播途徑CIH病毒的運(yùn)行機(jī)制碎洞攻擊，將病毒化整為零插入到宿主文件中，利用BIOS芯片可重寫(xiě)特點(diǎn)，發(fā)作時(shí)向主板BIOS中寫(xiě)入亂碼，開(kāi)創(chuàng)了病毒直接進(jìn)攻硬件的行先例。CIH病毒程序的組成引導(dǎo)模塊：感染了該病毒的EXE文件運(yùn)行時(shí)修改文件程序的入口地址傳染模塊：病毒駐留內(nèi)存過(guò)程中調(diào)用WINDOWS內(nèi)核底層表現(xiàn)模塊腳本病毒

腳本宿主簡(jiǎn)稱(chēng)WSH，是一種與語(yǔ)言無(wú)關(guān)的腳本宿主，可用于與WINDOWS腳本兼容的腳本引擎。WSH是一種WINDOWS管理工具。當(dāng)腳本到達(dá)計(jì)算機(jī)時(shí)，WSH先充當(dāng)主機(jī)的一部分，它使對(duì)象和服務(wù)可用于腳本，并提供一系列腳本執(zhí)行指南。腳本語(yǔ)言的前身實(shí)際上就是DOS系統(tǒng)下的批處理文件。腳本的應(yīng)用是對(duì)應(yīng)用系統(tǒng)的一個(gè)強(qiáng)大的支撐，需要一個(gè)運(yùn)行環(huán)境。現(xiàn)在比較流行的腳本語(yǔ)言的Unix/Linuxshell、VBScript、PHP、JavaScript、JSP等?，F(xiàn)在流行的腳本病毒大都是利JavaScript和VBScript編寫(xiě)。

JavaScript是一種解釋型的、基于對(duì)象的腳本語(yǔ)言，是一種寬松類(lèi)型的語(yǔ)言，不必顯式地定義變量的數(shù)據(jù)類(lèi)型。大多數(shù)情況下，該語(yǔ)言會(huì)根據(jù)需要自動(dòng)進(jìn)行轉(zhuǎn)換。

VBScript使用ActiverXScript與宿主應(yīng)用程序?qū)υ?huà)。VBS腳本病毒

該病毒是用VBScript編寫(xiě)的，其腳本語(yǔ)言功能非常強(qiáng)大，利用WINDOWS系統(tǒng)的開(kāi)放性特點(diǎn)，通過(guò)調(diào)用一些現(xiàn)成的WINDOWS對(duì)象、組件，可直接對(duì)文件系統(tǒng)、注冊(cè)表等進(jìn)行控制，功能非常強(qiáng)大。VBS腳本病毒具有如下特點(diǎn)：編寫(xiě)簡(jiǎn)單破壞力大感染力強(qiáng)傳播范圍廣病毒碼容易被獲取、變種多欺騙性強(qiáng)病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)非常容易VBS腳本病毒的防范VBS病毒具有一些弱點(diǎn)：運(yùn)行是時(shí)需要用到一個(gè)對(duì)象：FileSystemObject代碼通過(guò)WindowsScriptHost來(lái)解釋執(zhí)行運(yùn)行時(shí)需要其關(guān)聯(lián)程序Wscript.exe的支持通過(guò)網(wǎng)頁(yè)傳播的病毒需要ActiveX的支持通過(guò)E-mail傳播的病毒需要OE的自動(dòng)發(fā)送郵件功能支持，但絕大多數(shù)病毒都是以E-mail為主要傳播方式的預(yù)防措施：禁用文件系統(tǒng)對(duì)象FileSystemObject卸載WindowsScriptHost刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射在Windows目錄中找到Wscript.exe，更名或刪除在瀏覽器安全選項(xiàng)中將“ActiveX”控件及插件設(shè)為禁用禁止OE的自動(dòng)收發(fā)郵件功能不要隱藏系統(tǒng)中書(shū)籍文件類(lèi)型的擴(kuò)展名安裝防病毒軟件宏病毒MicrosoftWord對(duì)宏的定義是：能組織到一起作為一個(gè)獨(dú)立的命令使用的一系列Word命令，它能使日常工作變得更容易。Word宏病毒是一些制作病毒的專(zhuān)業(yè)人員利用MicriptWord的開(kāi)放性即WordBasic編程接口，專(zhuān)門(mén)制作