計(jì)算機(jī)病毒的防治1

系統(tǒng)安全——計(jì)算機(jī)病毒防治1主講：劉亞琦《辦公自動(dòng)化》12.1計(jì)算機(jī)病毒的定義隨著計(jì)算機(jī)在社會(huì)各個(gè)領(lǐng)域的廣泛運(yùn)用，計(jì)算機(jī)病毒攻擊與防治技術(shù)也在不斷拓展。世界各地遭受計(jì)算機(jī)病毒感染和攻擊的事件不計(jì)其數(shù)，嚴(yán)重地干擾了人類的生產(chǎn)生活，給計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)帶來(lái)了巨大的潛在威脅和破壞。與此同時(shí)，病毒技術(shù)在戰(zhàn)爭(zhēng)領(lǐng)域也曾廣泛的運(yùn)用，戰(zhàn)爭(zhēng)雙方都曾利用計(jì)算機(jī)病毒發(fā)起攻擊，破壞對(duì)方的計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)，達(dá)到了一定的政治目的與軍事目的。計(jì)算機(jī)病毒：指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。12.2計(jì)算機(jī)病毒的發(fā)展電腦病毒的概念其實(shí)源起相當(dāng)早，電腦的先驅(qū)者馮?諾伊曼在他的一篇論文《復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行》里，已經(jīng)勾勒出病毒程序的藍(lán)圖。1960年代初，美國(guó)麻省理工學(xué)院的一些青年研究人員，在做完工作后，利用業(yè)務(wù)時(shí)間玩一種他們自己創(chuàng)造的計(jì)算機(jī)游戲。做法是某個(gè)人編制一段小程序，然后輸入到計(jì)算機(jī)中運(yùn)行，并銷毀對(duì)方的游戲程序。而這也可能就是計(jì)算機(jī)病毒的雛形?！安《尽币辉~廣為人知是得力于科幻小說(shuō)。一部是1970年代中期大衛(wèi)·杰洛德（DavidGerrold）的《WhenH.A.R.L.I.E.wasOne》，描述了一個(gè)叫“病毒”的程序和與之對(duì)戰(zhàn)的叫“抗體”的程序；另一部是約翰·布魯勒爾（JohnBrunner）1975年的小說(shuō)《震蕩波騎士（ShakewaveRider）》，描述了一個(gè)叫做“磁帶蠕蟲(chóng)”、在網(wǎng)絡(luò)上刪除數(shù)據(jù)的程序。《科學(xué)美國(guó)人》的月刊中，一位叫作杜特尼的專欄作家在討論”磁芯大戰(zhàn)”與蘋(píng)果二型電腦時(shí)，開(kāi)始把這種程序稱之為病毒。從此以后我們對(duì)于這種具備感染或破壞性的程序，終于有一個(gè)”病毒”的名字可以稱呼了。到了1987年，第一個(gè)電腦病毒C-BRAIN終于誕生了。這個(gè)病毒程序是由一對(duì)巴基斯坦兄弟：巴斯特和阿姆捷特所寫(xiě)的，他們?cè)诋?dāng)?shù)亟?jīng)營(yíng)一家販賣個(gè)人電腦的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。1.第一代病毒第一代病毒的產(chǎn)生年代通常認(rèn)為在1986至1989年之間,這一期間出現(xiàn)的病毒稱之為傳統(tǒng)病毒,是計(jì)算機(jī)病毒的萌芽和滋生時(shí)期?此時(shí)計(jì)算機(jī)的應(yīng)用軟件少，而且大多是單機(jī)運(yùn)行環(huán)境,因此病毒沒(méi)有大量流行，流行病毒的種類也很有限,病毒的清除工作相對(duì)來(lái)說(shuō)較容易?2.第二代病毒第二代病毒又稱為混合型病毒,其產(chǎn)生的年代在1989至1991年之間,它是計(jì)算機(jī)病毒由簡(jiǎn)單發(fā)展到復(fù)雜,由單純走向成熟的階段?第二代病毒有如下特點(diǎn)：(1)病毒攻擊的目標(biāo)趨于混合型,即一種病毒既可感染磁盤(pán)引導(dǎo)扇區(qū),又可感染可執(zhí)行文件?(2)病毒程序不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行,而采取更為隱蔽的方法駐留內(nèi)存和感染目標(biāo)?(3)病毒傳染目標(biāo)后沒(méi)有明顯的特征,如磁盤(pán)上不出現(xiàn)壞扇區(qū),可執(zhí)行文件的長(zhǎng)度增加不明顯,不改變被感染文件原來(lái)的建立日期和時(shí)間等等?(4)病毒程序往往采取了自我保護(hù)措施,如加密技術(shù)?反跟蹤技術(shù),制造各種障礙,增加人們剖析病毒的難度,也增加了病毒的發(fā)現(xiàn)與殺除難度?(5)出現(xiàn)許多病毒的變種,這些變種病毒較原病毒的傳染性更隱蔽,破壞性更大?3.第三代病毒第三代病毒的產(chǎn)生是從1992年開(kāi)始至1995年,此類病毒稱為“多態(tài)性”病毒或“自我變形”病毒?所謂“多態(tài)性”或“自我變形”的含義是指此類病毒在每次傳染目標(biāo)時(shí),侵入宿主程序中的病毒程序大部分都是可變的,即在收集到同一種病毒的多個(gè)樣本中,病毒程序的代碼絕大多數(shù)是不同的,這是此類病毒的重要特點(diǎn)?正是由于這一特點(diǎn),傳統(tǒng)的利用特征碼法檢測(cè)病毒的產(chǎn)品很難檢測(cè)出此類病毒?4.第四代病毒20世紀(jì)90年代中后期,隨著因特網(wǎng)?遠(yuǎn)程訪問(wèn)服務(wù)的開(kāi)通,病毒流行面更加廣泛,病毒的流行迅速突破地域的限制,首先通過(guò)廣域網(wǎng)傳播至局域網(wǎng)內(nèi),再在局域網(wǎng)內(nèi)傳播擴(kuò)散?隨著因特網(wǎng)的普及,電子郵件的使用,以及Office系列辦公軟件被廣泛應(yīng)用,夾雜于電子郵件內(nèi)的Office宏病毒成為當(dāng)時(shí)病毒的主流?由于宏病毒編寫(xiě)簡(jiǎn)單?破壞性強(qiáng)和清除繁雜,加上微軟對(duì)文檔結(jié)構(gòu)沒(méi)有公開(kāi),給直接基于文檔結(jié)構(gòu)的宏病毒清除帶來(lái)了諸多不便?

這一時(shí)期的病毒的最大特點(diǎn)是利用Internet作為其主要傳播途徑,傳播對(duì)象從傳統(tǒng)的引導(dǎo)型和依附于可執(zhí)行程序文件而轉(zhuǎn)向流通性更強(qiáng)的文檔文件中?因而,病毒傳播快,隱蔽性強(qiáng)?破壞性大?這些都給病毒防治帶來(lái)新的挑戰(zhàn)?根據(jù)多年對(duì)計(jì)算機(jī)病毒的研究，計(jì)算機(jī)病毒按照存儲(chǔ)介質(zhì)、破壞力等方法可分類如下：1、根據(jù)病毒存在的媒體根據(jù)病毒存在的媒體，病毒可以劃分為：網(wǎng)絡(luò)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件文件病毒感染計(jì)算機(jī)中的用戶文件（如：COM，EXE，DOC等）引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（Boot）和硬盤(pán)的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。2、根據(jù)病毒破壞的能力根據(jù)病毒破壞的能力可劃分為以下幾種：無(wú)害型：除了傳染時(shí)減少磁盤(pán)的可用空間外，對(duì)系統(tǒng)沒(méi)有其它影響。無(wú)危險(xiǎn)型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險(xiǎn)型：這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。12.3計(jì)算機(jī)病毒的分類這些病毒對(duì)系統(tǒng)造成的危害，并不是本身的算法中存在危險(xiǎn)的調(diào)用，而是當(dāng)它們傳染時(shí)會(huì)引起無(wú)法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無(wú)害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤(pán)上很好的工作，不會(huì)造成任何破壞，但是在后來(lái)的高密度軟盤(pán)上卻能引起大量的數(shù)據(jù)丟失。3、根據(jù)病毒特有的算法

根據(jù)病毒特有的算法，病毒可以劃分為：伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM.病毒把自身寫(xiě)入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的EXE文件?！叭湎x(chóng)”型病毒：通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其它資源。寄生型病毒：除了伴隨和“蠕蟲(chóng)”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過(guò)系統(tǒng)的功能進(jìn)行傳播，按算法分為：練習(xí)型病毒：病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。詭秘型病毒：它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒（又稱幽靈病毒）：這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。計(jì)算機(jī)受到病毒感染后，會(huì)表現(xiàn)出不同的癥狀，下邊把一些經(jīng)常碰到的現(xiàn)象列出來(lái)，但需要注意的是當(dāng)前越來(lái)越多的計(jì)算機(jī)病毒是以竊取用戶金融資料和隱私等為主要目的，往往在外部表現(xiàn)上并不明顯。單純破壞性的病毒集中在通過(guò)優(yōu)盤(pán)等移動(dòng)存儲(chǔ)設(shè)備傳播。 機(jī)器不能正常啟動(dòng)加電后機(jī)器根本不能啟動(dòng)，或者可以啟動(dòng)，但所需要的時(shí)間比原來(lái)的啟動(dòng)時(shí)間變長(zhǎng)了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象。 運(yùn)行速度降低如果發(fā)現(xiàn)在運(yùn)行某個(gè)程序時(shí)，讀取數(shù)據(jù)的時(shí)間比原來(lái)長(zhǎng)，存文件或調(diào)文件的時(shí)間都增加了，那就可能是由病毒造成的。 磁盤(pán)空間迅速變小由于病毒程序要進(jìn)駐內(nèi)存，而且又能繁殖，因此使內(nèi)存空間變小甚至變?yōu)椤?”，用戶什么信息也進(jìn)不去。 文件內(nèi)容和長(zhǎng)度有所改變一個(gè)文件存入磁盤(pán)后，本來(lái)它的長(zhǎng)度和其內(nèi)容都不會(huì)改變，可是由于病毒的干擾，文件長(zhǎng)度可能改變，文件內(nèi)容也