網(wǎng)絡(luò)管理與信息安全

8.5反病毒技術(shù)

8.5.1病毒概述8.5.2宏病毒

8.5.3CIH病毒8.5.4常用反病毒技術(shù)計(jì)算機(jī)病毒的歷史1983年11月3日，弗雷德·科恩（FredCohen）博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼（LenAdleman）將它命名為計(jì)算機(jī)病毒（computervirus），并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出，8小時(shí)后專家們?cè)赩AX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行5個(gè)實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫了Pakistan病毒（即Brain病毒），該病毒在一年內(nèi)流傳到了世界各地。1988年11月2日，美國(guó)6000多臺(tái)計(jì)算機(jī)被病毒感染，造成Internet不能正常運(yùn)行據(jù)瑞星公司的不完全統(tǒng)計(jì)，2004年國(guó)內(nèi)共發(fā)現(xiàn)新病毒26025個(gè)，比2003年增加了20%。其中，木馬13132個(gè)，后門程序6351個(gè)，蠕蟲3154個(gè)，腳本病毒481個(gè)，宏病毒258個(gè)，其余類病毒2649個(gè)。由此可見，病毒的泛濫和危害已經(jīng)到了十分危險(xiǎn)的程度。8.5.1病毒概述病毒(Virus)定義計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。一般地，我們所講的病毒包括特洛伊木馬、病毒、細(xì)菌和蠕蟲等等。特洛伊木馬和病毒，它們不能脫離某些特定的的應(yīng)用程序、應(yīng)用工具或系統(tǒng)而獨(dú)立存在；而細(xì)菌和蠕蟲是完整的程序，操作系統(tǒng)可以調(diào)度和運(yùn)行它們。而且除特洛伊木馬外，其他三種形式的病毒都有能夠復(fù)制。8.5.1病毒概述

2.病毒傳染方式病毒的傳染途徑有電磁波、有線電路、軍用或民用設(shè)備或直接放毒等。具體傳播介質(zhì)有計(jì)算機(jī)網(wǎng)絡(luò)、軟硬磁盤和光盤等。根據(jù)傳輸過程中病毒是否被激活，病毒傳染分為靜態(tài)傳染和動(dòng)態(tài)傳染。靜態(tài)傳染是指由于用戶使用了COPY、DISKCOPY等拷貝命令或類似操作，一個(gè)病毒連同其載體文件一起從一處被復(fù)制到另一處。而被復(fù)制后的病毒不會(huì)引起其他文件感染。

動(dòng)態(tài)傳染是指一個(gè)靜態(tài)病毒被加載進(jìn)入內(nèi)存變?yōu)閯?dòng)態(tài)病毒后，當(dāng)其傳染模塊被激活所發(fā)生的傳染操作，這是一種主動(dòng)傳染方式。與動(dòng)態(tài)傳染相伴隨的常常是病毒的發(fā)作。病毒的生命周期隱藏階段：處于這個(gè)階段的病毒不進(jìn)行操作，而是等待事件觸發(fā)，觸發(fā)事件包括時(shí)間、其它程序或文件的出現(xiàn)、磁盤容量超過某個(gè)限度等。但這個(gè)周期不是必要的，有的病毒沒有隱藏期，而是無條件地傳播和感染。傳播階段：在這一階段的病毒會(huì)把自身的一個(gè)副本傳播到未感染這種病毒的程序或磁盤的某個(gè)扇區(qū)中去。每個(gè)被感染的程序?qū)粋€(gè)該病毒的副本，并且這些副本也可以向其它未感染的程序繼續(xù)傳播病毒的副本。觸發(fā)階段：這個(gè)階段病毒將被激活去執(zhí)行病毒設(shè)計(jì)者預(yù)先設(shè)計(jì)好的功能。病毒進(jìn)入這一階段也需要一些系統(tǒng)事件的觸發(fā)，比如：病毒本身進(jìn)行復(fù)制的副本數(shù)達(dá)到了某個(gè)數(shù)量。執(zhí)行階段：這一階段病毒將執(zhí)行預(yù)先設(shè)計(jì)的功能直至執(zhí)行完畢。這些功能可能是無害的，比如：向屏幕發(fā)送一條消息；也可能是有害的，比如：刪除程序或文件、強(qiáng)行關(guān)機(jī)等。8.5.1病毒概述3.病毒的分類按病毒感染的途徑，病毒分為三類：

引導(dǎo)型病毒。它是是藏匿在磁盤片或硬盤的第一個(gè)扇區(qū)。每次啟動(dòng)計(jì)算機(jī)時(shí)，在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中，這個(gè)特性使得病毒完全控制DOS的各類中斷，并且擁有更大的能力進(jìn)行傳染與破壞。文件型病毒。文件型病毒通常寄生在可執(zhí)行文件中當(dāng)這些文件被執(zhí)行時(shí)，病毒的程序就跟著被執(zhí)行。根據(jù)病毒依傳染方式的不同，它分成非常駐型和常駐型。復(fù)合型病毒。這類病毒兼具引導(dǎo)型病毒以及文件型病毒的特性。它們可以傳染*.COM和*.EXE文件，也可以傳染磁盤的引導(dǎo)區(qū)。8.5.1病毒概述4.病毒結(jié)構(gòu)

計(jì)算機(jī)病毒是一種特殊的程序，它寄生在正常的、合法的程序中，并以各種方式潛伏下來，伺機(jī)進(jìn)行感染和破壞。在這種情況下，稱原先的那個(gè)正常的、合法的程序?yàn)椴《镜乃拗骰蛩拗鞒绦?。病毒程序一般由以下部份組成：初始化部分。它指隨著病毒宿主程序的執(zhí)行而進(jìn)入內(nèi)存并使病毒相對(duì)獨(dú)立于宿主程序的部分。傳染部分。它指能使病毒代碼連接于宿主程序之上的部分，由傳染的判斷條件和完成病毒與宿主程序連接的病毒傳染主體部分組成。破壞部分或表現(xiàn)部分。主要指破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)設(shè)備上表現(xiàn)特定的現(xiàn)象。它是病毒程序的主體，在一定程度上反映了病毒設(shè)計(jì)者的意圖。8.5.1病毒概述5.病毒感染原理引導(dǎo)型病毒感染原理

引導(dǎo)型病毒通過執(zhí)行啟動(dòng)計(jì)算機(jī)的動(dòng)作作為感染的途徑。一般正常軟盤啟動(dòng)動(dòng)作為：開機(jī)、執(zhí)行BIOS、讀入BOOT程序執(zhí)行和加載DOS。假定某張啟動(dòng)軟盤已經(jīng)了感染病毒，那么該軟盤上的BOOT扇區(qū)將存放著病毒程序，而不是BOOT程序。所以，“讀入BOOT程序并執(zhí)行”將變成“讀入病毒程序并執(zhí)行”，等到病毒入侵內(nèi)存后，等到病毒入侵內(nèi)存后，再由病毒程序讀入原始BOOT程序，既然病毒DOS先一步進(jìn)入內(nèi)存中，自然在DOS下的所有讀寫動(dòng)作將受到病毒控制。所以，當(dāng)使用者只要對(duì)另一張干凈的軟盤進(jìn)行讀寫，駐在內(nèi)存中的病毒可以感染這張軟盤。

8.5.1病毒概述

若啟動(dòng)盤是硬盤。因硬盤多了一個(gè)分區(qū)表，分區(qū)表位于硬盤的第0面第0道第1扇區(qū)。當(dāng)在“讀入BOOT程序并執(zhí)行”之前是“讀入分區(qū)表并執(zhí)行”，比軟盤啟動(dòng)多了一道手續(xù)。所以和感染軟盤不同的地方是病毒不但可以感染硬盤的BOOT扇區(qū)還可以感染硬盤的分區(qū)表。

感染BOOT扇區(qū)是在“讀入分區(qū)表并執(zhí)行”之后，“讀入BOOT程序并執(zhí)行”之前“讀入病毒程序并執(zhí)行”。感染分區(qū)表是在“讀入病毒程序并執(zhí)行”之后，“讀入分區(qū)表并執(zhí)行”之前“讀入BOOT程序并執(zhí)行”。不管是軟盤還是硬盤，引導(dǎo)型病毒一定比DOS早一步進(jìn)入內(nèi)存中，并控制讀寫動(dòng)作，伺機(jī)感染其他未感染病毒的磁盤。8.5.1病毒概述文件型病毒感染原理

對(duì)非常駐型病毒而言，只要一執(zhí)行中毒的程序文件，病毒便立即尋找磁盤中尚未感染病毒的文件，若找到了便加以感染。一般而言，對(duì)于.COM型文件，病毒替換它的第一條指令；對(duì)于.ExE文件，病毒改變?nèi)肟谥羔?。而常駐型病毒必須常駐內(nèi)存，才能達(dá)到感染其他文件的目的。在每一個(gè)程序文件在執(zhí)行時(shí)，都會(huì)調(diào)用INT21H中斷命令，所以病毒必須攔截INT21H的調(diào)用，使其先通過病毒的程序，再去執(zhí)行真正的INT21H服務(wù)程序。這樣，每個(gè)要被執(zhí)行的程序文件都要先通過病毒“檢查”是否已中毒，若未中毒則病毒感染該文件。復(fù)合型病毒感染原理就啟動(dòng)動(dòng)作來說，假設(shè)以感染復(fù)合型病毒的磁盤啟動(dòng)，那么病毒便先潛入內(nèi)存中，伺機(jī)感染其他未中毒的磁盤，而當(dāng)DOS載入內(nèi)存后，病毒再攔截INT21H已達(dá)到感染文件的目的。8.5.1病病毒概概述8.5.2宏宏病毒毒1.宏宏病病毒的的傳染染原理理每個(gè)Word文文本對(duì)對(duì)應(yīng)一一個(gè)模模板，，而且且對(duì)文文本進(jìn)進(jìn)行操操作時(shí)時(shí)，如如打開開、關(guān)關(guān)閉文文件等等，都都執(zhí)行行了相相應(yīng)模模板中中的宏宏程序序，由由此可可知：：當(dāng)打開開一個(gè)個(gè)帶病病毒模模板后后，該該模板板可以以通過過執(zhí)行行其中中的宏宏程序序，如如AutoOpen、AutoExit等等將自自身所所攜帶帶病毒毒程序序拷貝貝到Word系系統(tǒng)中中的通通用模模板上上，如如Normal.dot中。。若使用用帶病病毒模模板對(duì)對(duì)文件件進(jìn)行行操作作時(shí)，，如存存盤FileSave等等，可可以將將該文文本文文件重重新存存盤為為帶毒毒模板板文件件，即即由原原來不不帶宏宏程序序的純純文本本文件件轉(zhuǎn)換換為帶帶病毒毒的模模板文文件。。上述兩步步循環(huán)就就構(gòu)成了了病毒的的基本傳傳染原理理。8.5.2宏宏病毒2.宏病毒的的危害Word宏病毒毒幾乎是是唯一可可跨越不不同硬件件平臺(tái)而而生存、、傳染和和流行的的一類病病毒。與與感染普普通.EXE或或.COM文件件的病毒毒相比，，Word宏病毒毒具有隱蔽性強(qiáng)強(qiáng)，傳播播迅速，，危害嚴(yán)嚴(yán)重，難難以防治治等特點(diǎn)點(diǎn)。具體表現(xiàn)現(xiàn)為:對(duì)Word的運(yùn)運(yùn)行破壞壞。不能能正常打打印、封封閉或改改變文件件存儲(chǔ)路路徑、將將文件改改名等。。對(duì)系統(tǒng)的的破壞。。WordBasic語言言能夠調(diào)調(diào)用系統(tǒng)統(tǒng)命令，，這將造造成破壞壞。8.5.2宏宏病毒3.宏病毒的的預(yù)防與與清除為了有效效防止Word系統(tǒng)被被感染，，可將常用用的Word模模板文件件改為只只讀屬性性。當(dāng)文件被被感染后后，應(yīng)及時(shí)加加以清除除，以防防其進(jìn)一一步擴(kuò)散散和復(fù)制制。通?？刹刹扇∫韵孪麓胧海菏止⒍径?。以Word為例例，從““工具””菜單選選取“宏宏”一項(xiàng)項(xiàng)，進(jìn)入入“管理理器”，，選取標(biāo)標(biāo)題為““宏”的的一頁，，在“宏宏有效效范圍””下拉列列表框中中打開要要檢查的的文檔。。這時(shí)在在上面的的列表框框中就會(huì)會(huì)出現(xiàn)該該文檔模模板中所所含的宏宏，將不不明來源源的自動(dòng)動(dòng)執(zhí)行宏宏刪除即即可。使用專業(yè)業(yè)軟件殺殺毒。目前殺毒毒軟件公公司都具具備清除除宏病毒毒的能力力，當(dāng)然然也只能能對(duì)已知知的宏病病毒進(jìn)行行檢查和和清除，，對(duì)于新新出現(xiàn)的的病毒或或病毒的的變種則則可能不不能正常常地清除除，或者者將會(huì)破破壞文件件的完整整性，此此時(shí)還是是采取手手工清理理。8.5.3CIH病病毒CIH病毒工作作原理CIH病病毒屬于文件件型病毒毒，只感感染W(wǎng)indows9X下可可執(zhí)行文文件。當(dāng)當(dāng)受感染染的.EXE文文件執(zhí)行行后，該該病毒便便駐留內(nèi)內(nèi)存中，，并感染染所接觸觸到的其其他PE格式執(zhí)執(zhí)行程序序。CIH通通過攻擊BIOS，，覆蓋硬硬盤，進(jìn)進(jìn)入Windows內(nèi)內(nèi)核實(shí)現(xiàn)現(xiàn)對(duì)硬盤盤的破壞壞。攻擊BIOS。。當(dāng)CIH發(fā)作時(shí)時(shí)，它會(huì)會(huì)試圖向向BIOS中寫寫入垃圾圾信息，，BIOS中的的內(nèi)容會(huì)會(huì)被徹底底洗去。。覆蓋硬盤盤。CIH發(fā)發(fā)作時(shí)，，調(diào)節(jié)器器用IOS-SendCommand直直接對(duì)硬硬盤進(jìn)行行存取，，將垃圾圾代碼以以205個(gè)扇區(qū)區(qū)為單位位，循環(huán)環(huán)寫入硬硬盤，直直到所有有硬盤上上的數(shù)據(jù)據(jù)均被破破壞為止止。進(jìn)入Windows內(nèi)內(nèi)核。無論是要要攻擊BIOS，還是是設(shè)法駐駐留內(nèi)存存來為病病毒傳播播創(chuàng)造條條件，對(duì)對(duì)CIH這類病病毒而言言，關(guān)鍵鍵是要進(jìn)進(jìn)入Windows內(nèi)內(nèi)核，取取得核心心級(jí)控制制權(quán)。8.5.2CIH病病毒2.CIH病毒防范措施施修改系統(tǒng)統(tǒng)時(shí)間，，跳過病病毒的發(fā)發(fā)作日。。有些電腦腦系統(tǒng)主主板具備備BIOS寫保保護(hù)跳線線，但一一般設(shè)置置均為開開，可將將其撥至至關(guān)的位位置，這這樣可以以防止病病毒向BIOS寫入信信息。檢查CIH病毒毒的方法法可采用用壓縮并并解壓縮縮文件的的方式，，如果解解壓縮出出現(xiàn)問題題，多半半可以肯肯定有CIHＶＶ1.2的存在在，但用用該方法法不能判判斷CIHＶ1.4病病毒。用戶不要要輕易啟啟動(dòng)從電電子郵件件或從網(wǎng)網(wǎng)站上下下載的未未知軟件件。由于病毒毒將垃圾圾碼寫入入硬盤，，導(dǎo)致硬硬盤的數(shù)數(shù)據(jù)是不不能恢復(fù)復(fù)，務(wù)必必將重要要數(shù)據(jù)備備份，以以免造成成損失。。8.5.4常用反病病毒技術(shù)術(shù)1.反反病毒技技術(shù)分類類從研究的的角度，，反病毒毒技術(shù)主主要分３３類：預(yù)防病毒毒技術(shù)。。它通過自自身常駐駐系統(tǒng)內(nèi)內(nèi)存，優(yōu)優(yōu)先獲得得系統(tǒng)的的控制權(quán)權(quán)，監(jiān)視視和判斷斷系統(tǒng)中中是否有有病毒存存在，進(jìn)進(jìn)而阻止止計(jì)算機(jī)機(jī)病毒進(jìn)進(jìn)入計(jì)算算機(jī)系統(tǒng)統(tǒng)和對(duì)系系統(tǒng)進(jìn)行行破壞。。檢測(cè)病毒毒技術(shù)。。它是通過過對(duì)計(jì)算算機(jī)病毒毒的特征征來進(jìn)行行判斷的的偵測(cè)技技術(shù)，如如自身校校驗(yàn)、關(guān)關(guān)鍵字等等。消除病毒毒技術(shù)。。它通過對(duì)對(duì)病毒的的分析，，殺除病病毒并恢恢復(fù)原文文件。8.5.4常用反病病毒技術(shù)術(shù)2.常用反病病毒技術(shù)術(shù)從具體實(shí)實(shí)現(xiàn)技術(shù)術(shù)的角度度，常用用的反病病毒技術(shù)術(shù)有：病毒代碼碼掃描法法。將新發(fā)現(xiàn)現(xiàn)的病毒毒加以分分析后根根據(jù)其特特征編成成病毒代代碼，加加入病毒毒特征庫庫中。每每當(dāng)執(zhí)行行殺毒程程序時(shí)，，便立刻刻掃描程程序文件件，并與與病毒代代碼比對(duì)對(duì)，便能能檢測(cè)到到是否有有病毒。。加總比對(duì)對(duì)法(Check-sum)。根據(jù)每個(gè)個(gè)程序的的文件名名稱、大大小、時(shí)時(shí)間、日日期及內(nèi)內(nèi)容，加加總為一一個(gè)檢查查碼，再再將檢查查碼附在在程序后后面，或或是將所所有檢查查碼放在在同一個(gè)個(gè)資料庫庫中，再再利用Check-sum系系統(tǒng)，追追蹤并記記錄每個(gè)個(gè)程序的的檢查碼碼是否遭遭更改，，以判斷斷是否中中毒。8.5.4常用反病病毒技術(shù)術(shù)人工智能能陷阱。。它是一種種監(jiān)測(cè)電電腦行為為的常駐駐式掃描描技術(shù)。。它將所所有病毒毒所產(chǎn)生生的行為為歸納起起來，一一旦發(fā)現(xiàn)現(xiàn)內(nèi)存的的程序有有任何不不當(dāng)?shù)男行袨?，系系統(tǒng)就會(huì)會(huì)有所警警覺，并并告知用用戶。軟件模擬擬掃描法法。它專門用用來對(duì)付付千面人人病毒。。千面人人病毒在在每次傳傳染時(shí)，，都以不不同的隨隨機(jī)數(shù)加加密于每每個(gè)中毒毒的文件件中，傳傳統(tǒng)病毒毒代碼比比對(duì)的方方式根本本就無法法找到這這種病毒毒。軟件模擬技術(shù)術(shù)則是成功地模擬擬CPU執(zhí)行行，在其設(shè)計(jì)計(jì)的DOS虛虛擬機(jī)器下模模擬執(zhí)行病毒毒的變體引擎擎解碼程序，，將多型體病病毒解開，使使其顯露原本本的面目，再再加以掃描。。VICE先知知掃描法。由于軟件模擬可以建立一個(gè)個(gè)保護(hù)模式下下的DOS虛虛擬機(jī)器，模模擬CPU動(dòng)動(dòng)作并模擬執(zhí)執(zhí)行程序以解解開變體引擎擎病毒，應(yīng)用用類似的技術(shù)術(shù)也可以用來來分析一般程程序檢查可疑疑的病毒代碼碼。因此，VICE將工程師用來來判斷程序是是否有病毒代代碼存在的方方法，分析歸歸納成專家系系統(tǒng)知識(shí)庫，，再利用軟件件工程的模擬擬技術(shù)假執(zhí)行行新的病毒，，就可分析出出新病毒代碼碼對(duì)付以后的的病毒。8.5.4常用反病毒技技術(shù)實(shí)時(shí)的I/O掃描。通過即時(shí)地對(duì)對(duì)信息的輸入入/輸出動(dòng)作作做病毒代碼碼比對(duì)的動(dòng)作作，希望能夠夠在病毒尚未未被執(zhí)行之前前，就能夠?qū)⑵浞蓝孪聛韥?。理論上，，這樣的實(shí)時(shí)時(shí)掃描程序會(huì)會(huì)影響到整體體的信息傳輸輸速率，但是是使用實(shí)時(shí)的的I/O掃描描，文件傳送送進(jìn)來之后，，就等于掃過過了一次毒。。文件件宏宏病病毒毒陷陷阱阱。。它結(jié)結(jié)合合了了病病毒毒代代碼碼比比對(duì)對(duì)與與人人工工智智慧慧陷陷阱阱技技術(shù)術(shù)，，依依病病毒毒行行為為模模式式來來檢檢測(cè)測(cè)已已知知及及未未知知的的宏宏病病毒毒。。其其中中，，配配合合對(duì)對(duì)象象鏈鏈接接與與嵌嵌套套技技術(shù)術(shù)，，可可將將宏宏與與文文件件分分開開，，回回快快掃掃描描，，并并可可有有效效地地將將宏宏病病毒毒徹徹底底清清除除。?？罩兄凶プザ径?。。在信信息息傳傳輸輸過過程程中中經(jīng)經(jīng)過過的的一一個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)即即一一臺(tái)臺(tái)電電腦腦上上設(shè)設(shè)計(jì)計(jì)一一套套防防毒毒軟軟件件，，把把網(wǎng)網(wǎng)絡(luò)絡(luò)中中所所有有可可能能帶帶有有病病毒毒的的信信息息進(jìn)進(jìn)行行掃掃描描，，接接收收從從網(wǎng)網(wǎng)絡(luò)絡(luò)中中送送來來的的信信息息。。把把我我們們要要掃掃描描的的信信息息在在這這臺(tái)臺(tái)電電腦腦中中暫暫時(shí)時(shí)儲(chǔ)儲(chǔ)存存起起來來，，然然后后掃掃描描儲(chǔ)儲(chǔ)存存的的信信息息，，并并根根據(jù)據(jù)管管理理員員的的設(shè)設(shè)定定處處理理中中毒毒的的文文件件，，最最后后把把檢檢查查過過或或處處理理過過的的信信