網(wǎng)絡(luò)管理與信息安全

網(wǎng)絡(luò)管理與信息安全第1頁，共22頁，2023年，2月20日，星期六計算機病毒的歷史

1983年11月3日，弗雷德·科恩（FredCohen）博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼（LenAdleman）將它命名為計算機病毒（computervirus），并在每周一次的計算機安全討論會上正式提出，8小時后專家們在VAX11/750計算機系統(tǒng)上運行，第一個病毒實驗成功，一周后又獲準(zhǔn)進(jìn)行5個實驗的演示，從而在實驗上驗證了計算機病毒的存在。1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫了Pakistan病毒（即Brain病毒），該病毒在一年內(nèi)流傳到了世界各地。1988年11月2日，美國6000多臺計算機被病毒感染，造成Internet不能正常運行據(jù)瑞星公司的不完全統(tǒng)計，2004年國內(nèi)共發(fā)現(xiàn)新病毒26025個，比2003年增加了20%。其中，木馬13132個，后門程序6351個，蠕蟲3154個，腳本病毒481個，宏病毒258個，其余類病毒2649個。由此可見，病毒的泛濫和危害已經(jīng)到了十分危險的程度。第2頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述病毒(Virus)定義計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。一般地，我們所講的病毒包括特洛伊木馬、病毒、細(xì)菌和蠕蟲等等。特洛伊木馬和病毒，它們不能脫離某些特定的的應(yīng)用程序、應(yīng)用工具或系統(tǒng)而獨立存在；而細(xì)菌和蠕蟲是完整的程序，操作系統(tǒng)可以調(diào)度和運行它們。而且除特洛伊木馬外，其他三種形式的病毒都有能夠復(fù)制。第3頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述

2.

病毒傳染方式病毒的傳染途徑有電磁波、有線電路、軍用或民用設(shè)備或直接放毒等。具體傳播介質(zhì)有計算機網(wǎng)絡(luò)、軟硬磁盤和光盤等。根據(jù)傳輸過程中病毒是否被激活，病毒傳染分為靜態(tài)傳染和動態(tài)傳染。靜態(tài)傳染是指由于用戶使用了COPY、DISKCOPY等拷貝命令或類似操作，一個病毒連同其載體文件一起從一處被復(fù)制到另一處。而被復(fù)制后的病毒不會引起其他文件感染。

動態(tài)傳染是指一個靜態(tài)病毒被加載進(jìn)入內(nèi)存變?yōu)閯討B(tài)病毒后，當(dāng)其傳染模塊被激活所發(fā)生的傳染操作，這是一種主動傳染方式。與動態(tài)傳染相伴隨的常常是病毒的發(fā)作。第4頁，共22頁，2023年，2月20日，星期六病毒的生命周期隱藏階段：處于這個階段的病毒不進(jìn)行操作，而是等待事件觸發(fā)，觸發(fā)事件包括時間、其它程序或文件的出現(xiàn)、磁盤容量超過某個限度等。但這個周期不是必要的，有的病毒沒有隱藏期，而是無條件地傳播和感染。傳播階段：在這一階段的病毒會把自身的一個副本傳播到未感染這種病毒的程序或磁盤的某個扇區(qū)中去。每個被感染的程序?qū)粋€該病毒的副本，并且這些副本也可以向其它未感染的程序繼續(xù)傳播病毒的副本。觸發(fā)階段：這個階段病毒將被激活去執(zhí)行病毒設(shè)計者預(yù)先設(shè)計好的功能。病毒進(jìn)入這一階段也需要一些系統(tǒng)事件的觸發(fā)，比如：病毒本身進(jìn)行復(fù)制的副本數(shù)達(dá)到了某個數(shù)量。執(zhí)行階段：這一階段病毒將執(zhí)行預(yù)先設(shè)計的功能直至執(zhí)行完畢。這些功能可能是無害的，比如：向屏幕發(fā)送一條消息；也可能是有害的，比如：刪除程序或文件、強行關(guān)機等。第5頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述3.病毒的分類按病毒感染的途徑，病毒分為三類：

引導(dǎo)型病毒。它是是藏匿在磁盤片或硬盤的第一個扇區(qū)。每次啟動計算機時，在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中，這個特性使得病毒完全控制DOS的各類中斷，并且擁有更大的能力進(jìn)行傳染與破壞。文件型病毒。文件型病毒通常寄生在可執(zhí)行文件中當(dāng)這些文件被執(zhí)行時，病毒的程序就跟著被執(zhí)行。根據(jù)病毒依傳染方式的不同，它分成非常駐型和常駐型。復(fù)合型病毒。這類病毒兼具引導(dǎo)型病毒以及文件型病毒的特性。它們可以傳染*.COM和*.EXE文件，也可以傳染磁盤的引導(dǎo)區(qū)。第6頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述4.

病毒結(jié)構(gòu)

計算機病毒是一種特殊的程序，它寄生在正常的、合法的程序中，并以各種方式潛伏下來，伺機進(jìn)行感染和破壞。在這種情況下，稱原先的那個正常的、合法的程序為病毒的宿主或宿主程序。病毒程序一般由以下部份組成：初始化部分。它指隨著病毒宿主程序的執(zhí)行而進(jìn)入內(nèi)存并使病毒相對獨立于宿主程序的部分。傳染部分。它指能使病毒代碼連接于宿主程序之上的部分，由傳染的判斷條件和完成病毒與宿主程序連接的病毒傳染主體部分組成。破壞部分或表現(xiàn)部分。主要指破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)設(shè)備上表現(xiàn)特定的現(xiàn)象。它是病毒程序的主體，在一定程度上反映了病毒設(shè)計者的意圖。第7頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述5.病毒感染原理引導(dǎo)型病毒感染原理

引導(dǎo)型病毒通過執(zhí)行啟動計算機的動作作為感染的途徑。一般正常軟盤啟動動作為：開機、執(zhí)行BIOS、讀入BOOT程序執(zhí)行和加載DOS。假定某張啟動軟盤已經(jīng)了感染病毒，那么該軟盤上的BOOT扇區(qū)將存放著病毒程序，而不是BOOT程序。所以，“讀入BOOT程序并執(zhí)行”將變成“讀入病毒程序并執(zhí)行”，等到病毒入侵內(nèi)存后，等到病毒入侵內(nèi)存后，再由病毒程序讀入原始BOOT程序，既然病毒DOS先一步進(jìn)入內(nèi)存中，自然在DOS下的所有讀寫動作將受到病毒控制。所以，當(dāng)使用者只要對另一張干凈的軟盤進(jìn)行讀寫，駐在內(nèi)存中的病毒可以感染這張軟盤。

第8頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述

若啟動盤是硬盤。因硬盤多了一個分區(qū)表，分區(qū)表位于硬盤的第0面第0道第1扇區(qū)。當(dāng)在“讀入BOOT程序并執(zhí)行”之前是“讀入分區(qū)表并執(zhí)行”，比軟盤啟動多了一道手續(xù)。所以和感染軟盤不同的地方是病毒不但可以感染硬盤的BOOT扇區(qū)還可以感染硬盤的分區(qū)表。

感染BOOT扇區(qū)是在“讀入分區(qū)表并執(zhí)行”之后，“讀入BOOT程序并執(zhí)行”之前“讀入病毒程序并執(zhí)行”。感染分區(qū)表是在“讀入病毒程序并執(zhí)行”之后，“讀入分區(qū)表并執(zhí)行”之前“讀入BOOT程序并執(zhí)行”。不管是軟盤還是硬盤，引導(dǎo)型病毒一定比DOS早一步進(jìn)入內(nèi)存中，并控制讀寫動作，伺機感染其他未感染病毒的磁盤。第9頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述文件型病毒感染原理

對非常駐型病毒而言，只要一執(zhí)行中毒的程序文件，病毒便立即尋找磁盤中尚未感染病毒的文件，若找到了便加以感染。一般而言，對于.COM型文件，病毒替換它的第一條指令；對于.ExE文件，病毒改變?nèi)肟谥羔?。而常駐型病毒必須常駐內(nèi)存，才能達(dá)到感染其他文件的目的。在每一個程序文件在執(zhí)行時，都會調(diào)用INT21H中斷命令，所以病毒必須攔截INT21H的調(diào)用，使其先通過病毒的程序，再去執(zhí)行真正的INT21H服務(wù)程序。這樣，每個要被執(zhí)行的程序文件都要先通過病毒“檢查”是否已中毒，若未中毒則病毒感染該文件。復(fù)合型病毒感染原理就啟動動作來說，假設(shè)以感染復(fù)合型病毒的磁盤啟動，那么病毒便先潛入內(nèi)存中，伺機感染其他未中毒的磁盤，而當(dāng)DOS載入內(nèi)存后，病毒再攔截INT21H已達(dá)到感染文件的目的。第10頁，共22頁，2023年，2月20日，星期六8.5.1病毒概述6.病毒的網(wǎng)絡(luò)威脅

工作站受到的威脅。病毒對網(wǎng)絡(luò)工作站的攻擊途徑主要包括：利用軟盤讀寫進(jìn)行傳播、通過網(wǎng)絡(luò)共享進(jìn)行攻擊、通過電子郵件系統(tǒng)進(jìn)行攻擊、通過FTP下載進(jìn)行攻擊和通過WWW瀏覽進(jìn)行攻擊。

服務(wù)器受到的威脅。網(wǎng)絡(luò)操作系統(tǒng)一般都采用WindowsNT/2000Server和少量Unix/Linux，而Unix/Linux本身的計算機病毒的流行報告幾乎很少。但到目前為止感染W(wǎng)indowsNT系統(tǒng)的病毒已有一定數(shù)量。Web站點受到的威脅。一般Web站點，用戶訪問量很大，目前能通過WEB站點傳播的病毒只有腳本蠕蟲、一些惡意Java代碼和ActiveX。

第11頁，共22頁，2023年，2月20日，星期六8.5.2宏病毒

1.宏病毒的傳染原理

每個Word文本對應(yīng)一個模板，而且對文本進(jìn)行操作時，如打開、關(guān)閉文件等，都執(zhí)行了相應(yīng)模板中的宏程序，由此可知：當(dāng)打開一個帶病毒模板后，該模板可以通過執(zhí)行其中的宏程序，如AutoOpen、AutoExit等將自身所攜帶病毒程序拷貝到Word系統(tǒng)中的通用模板上，如Normal.dot中。若使用帶病毒模板對文件進(jìn)行操作時，如存盤FileSave等，可以將該文本文件重新存盤為帶毒模板文件，即由原來不帶宏程序的純文本文件轉(zhuǎn)換為帶病毒的模板文件。上述兩步循環(huán)就構(gòu)成了病毒的基本傳染原理。第12頁，共22頁，2023年，2月20日，星期六8.5.2宏病毒2.

宏病毒的危害

Word宏病毒幾乎是唯一可跨越不同硬件平臺而生存、傳染和流行的一類病毒。與感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隱蔽性強，傳播迅速，危害嚴(yán)重，難以防治等特點。具體表現(xiàn)為:對Word的運行破壞。不能正常打印、封閉或改變文件存儲路徑、將文件改名等。對系統(tǒng)的破壞。WordBasic語言能夠調(diào)用系統(tǒng)命令，這將造成破壞。第13頁，共22頁，2023年，2月20日，星期六8.5.2宏病毒3.

宏病毒的預(yù)防與清除為了有效防止Word系統(tǒng)被感染，可將常用的Word模板文件改為只讀屬性。當(dāng)文件被感染后，應(yīng)及時加以清除，以防其進(jìn)一步擴散和復(fù)制。通常可采取以下措施：

手工殺毒。以Word為例，從“工具”菜單選取“宏”一項，進(jìn)入“管理器”，選取標(biāo)題為“宏”的一頁，在“宏有效范圍”下拉列表框中打開要檢查的文檔。這時在上面的列表框中就會出現(xiàn)該文檔模板中所含的宏，將不明來源的自動執(zhí)行宏刪除即可。使用專業(yè)軟件殺毒。目前殺毒軟件公司都具備清除宏病毒的能力，當(dāng)然也只能對已知的宏病毒進(jìn)行檢查和清除，對于新出現(xiàn)的病毒或病毒的變種則可能不能正常地清除，或者將會破壞文件的完整性，此時還是采取手工清理。

第14頁，共22頁，2023年，2月20日，星期六8.5.3CIH病毒

CIH病毒工作原理

CIH病毒屬于文件型病毒，只感染W(wǎng)indows9X下可執(zhí)行文件。當(dāng)受感染的.EXE文件執(zhí)行后，該病毒便駐留內(nèi)存中，并感染所接觸到的其他PE格式執(zhí)行程序。CIH通過攻擊BIOS，覆蓋硬盤，進(jìn)入Windows內(nèi)核實現(xiàn)對硬盤的破壞。攻擊BIOS。當(dāng)CIH發(fā)作時，它會試圖向BIOS中寫入垃圾信息，BIOS中的內(nèi)容會被徹底洗去。覆蓋硬盤。CIH發(fā)作時，調(diào)節(jié)器用IOS-SendCommand直接對硬盤進(jìn)行存取，將垃圾代碼以205個扇區(qū)為單位，循環(huán)寫入硬盤，直到所有硬盤上的數(shù)據(jù)均被破壞為止。進(jìn)入Windows內(nèi)核。無論是要攻擊BIOS，還是設(shè)法駐留內(nèi)存來為病毒傳播創(chuàng)造條件，對CIH這類病毒而言，關(guān)鍵是要進(jìn)入Windows內(nèi)核，取得核心級控制權(quán)。

第15頁，共22頁，2023年，2月20日，星期六8.5.2CIH病毒2.

CIH病毒防范措施

修改系統(tǒng)時間，跳過病毒的發(fā)作日。有些電腦系統(tǒng)主板具備BIOS寫保護(hù)跳線，但一般設(shè)置均為開，可將其撥至關(guān)的位置，這樣可以防止病毒向BIOS寫入信息。檢查CIH病毒的方法可采用壓縮并解壓縮文件的方式，如果解壓縮出現(xiàn)問題，多半可以肯定有CIHＶ1.2的存在，但用該方法不能判斷CIHＶ1.4病毒。用戶不要輕易啟動從電子郵件或從網(wǎng)站上下載的未知軟件。由于病毒將垃圾碼寫入硬盤，導(dǎo)致硬盤的數(shù)據(jù)是不能恢復(fù)，務(wù)必將重要數(shù)據(jù)備份，以免造成損失。

第16頁，共22頁，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)

1.反病毒技術(shù)分類

從研究的角度，反病毒技術(shù)主要分３類：

預(yù)防病毒技術(shù)。它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計算機病毒進(jìn)入計算機系統(tǒng)和對系統(tǒng)進(jìn)行破壞。檢測病毒技術(shù)。它是通過對計算機病毒的特征來進(jìn)行判斷的偵測技術(shù)，如自身校驗、關(guān)鍵字等。消除病毒技術(shù)。它通過對病毒的分析，殺除病毒并恢復(fù)原文件。第17頁，共22頁，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)2.

常用反病毒技術(shù)從具體實現(xiàn)技術(shù)的角度，常用的反病毒技術(shù)有：病毒代碼掃描法。將新發(fā)現(xiàn)的病毒加以分析后根據(jù)其特征編成病毒代碼，加入病毒特征庫中。每當(dāng)執(zhí)行殺毒程序時，便立刻掃描程序文件，并與病毒代碼比對，便能檢測到是否有病毒。加總比對法(Check-sum)。根據(jù)每個程序的文件名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附在程序后面，或是將所有檢查碼放在同一個資料庫中，再利用Check-sum系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否中毒。第18頁，共22頁，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)人工智能陷阱。它是一種監(jiān)測電腦行為的常駐式掃描技術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會有所警覺，并告知用戶。軟件模擬掃描法。它專門用來對付千面人病毒。千面人病毒在每次傳染時，都以不同的隨機數(shù)加密于每個中毒的文件中，傳統(tǒng)病毒代碼比對的方式根本就無法找到這種病毒。軟件模擬技術(shù)則是成功地模擬CPU執(zhí)行，在其設(shè)計的DOS虛擬機器下模擬執(zhí)行病毒的變體引擎解碼程序，將多型體病毒解開，使其顯露原本的面目，再加以掃描。VICE先知掃描法。由于軟件模擬可以建立一個保護(hù)模式下的DOS虛擬機器，模擬CPU動作并模擬執(zhí)行程序以解開變體引擎病毒，應(yīng)用類似的技術(shù)也可以用來分析一般程序檢查可疑的病毒代碼。因此，VICE將工程師用來判斷程序是否有病毒代碼存在的方法，分析歸納成專家系統(tǒng)知識庫，再利用軟件工程的模擬技術(shù)假執(zhí)行新的病毒，就可分析出新病毒代碼對付以后的病毒。第19頁，共22頁，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)實