第十五章 计算机病毒
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
计算机病毒
? 网络蠕虫病毒技术
– 蠕虫病毒与一般病毒的异同
– 蠕虫的破坏和发展趋势
– 网络蠕虫病毒分析
– 企业防范蠕虫病毒措施
– 对个人用户产生直接威胁的蠕虫病毒
– 个人用户对蠕虫病毒的防范措施
– 小结
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
计算机病毒概述
? 与医学上的, 病毒, 不同,计算机病毒不是天然存在的,
是某些人利用计算机软、硬件所固有的脆弱性,编制具有
特殊功能的程序。
? 能通过某种途径潜伏在计算机存储介质(或程序)里,当
达到某种条件时即被激活,通过修改其他程序的方法将自
己的精确拷贝或者可能演化的形式放入其他程序中,从而
感染它们,对计算机资源进行破坏的这样一组程序或指令
集合。
? 1994年 2月 18日,我国正式颁布实施了, 中华人民共和国
计算机信息系统安全保护条例,,在, 条例, 第二十八条
中明确指出:, 计算机病毒,是指编制或者在计算机程序
中插入的破坏计算机功能或者毁坏数据,影响计算机使用,
并能自我复制的一组计算机指令或者程序代码。,
计算机病毒的表现
? 根据计算机病毒感染和发作的阶段,可以将计算
机病毒的表现现象分为三大类:发作前、发作时
和发作后的表现现象。
– 计算机病毒发作前的表现现象
? 计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏
在系统内开始,一直到激发条件满足,计算机病毒发作之前的
一个阶段。
? 在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计
算机病毒会以各式各样的手法来隐藏自己,在不被发现的同时,
又自我复制,以各种手段进行传播。
计算机病毒发作前的表现现象
? 现象,
– 平时运行正常的计算机突然经常性无缘无故地死机;病毒感染了
计算机系统后,将自身驻留在系统内并修改了中断处理程序等,
引起系统工作不稳定,造成死机现象发生。
– 操作系统无法正常启动;关机后再启动,操作系统报告缺少必要
的启动文件,或启动文件被破坏,系统无法启动。这很可能是计
算机病毒感染系统文件后使得文件结构发生变化,无法被操作系
统加载、引导。
– 运行速度明显变慢;可能是计算机病毒占用了大量的系统资源,
并且自身的运行占用了大量的处理器时间,造成系统资源不足,
运行变慢。
– 以前能正常运行的软件经常发生内存不足的错误。可能是计算机
病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减
小。
– 打印和通讯发生异常。可能是计算机病毒驻留内存后占用了打印
端口、串行通讯端口的中断服务程序,使之不能正常工作。
计算机病毒发作前的表现现象
– 无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作,
操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保
护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒
自动查找软盘是否在软驱中的时候引起的系统异常。
– 以前能正常运行的应用程序经常发生死机或者非法错误。可能是
由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,
或者计算机病毒程序本身存在着兼容性方面的问题造成的。
– 系统文件的时间、日期、大小发生变化。这是最明显的计算机病
毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在
原始文件的后面,文件大小大多会有所增加,文件的访问和修改
日期和时间也会被改成感染时的时间。
– 运行 Word,打开 Word文档后,该文件另存时只能以模板方式保
存。无法另存为一个 DOC文档,只能保存成模板文档( DOT)。
这往往是打开的 Word文档中感染了 Word宏病毒的缘故。
计算机病毒发作前的表现现象
– 磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘
空间减少地很快。这可能是计算机病毒感染造成的。
– 网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器
卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器
卷、共享目录等无法创建、修改文件。
– 基本内存发生变化。在 DOS下用 mem /c/p命令查看系统中内存
使用状况的时候可以发现基本内存总字节数比正常的 640Kb要小,
一般少 1Kb~ 2Kb。这通常是计算机系统感染了引导型计算机病
毒所造成的。
– 陌生人发来的电子函件。收到陌生人发来的电子函件,尤其是那
些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附
件的电子函件。
– 自动链接到一些陌生的网站。没有在上网,计算机会自动拨号并
连接到因特网上一个陌生的站点,或者在上网的时候发现网络特
别慢,存在陌生的网络链接。这种联接大多是黑客程序将收集到
的计算机系统的信息, 悄悄地, 发回某个特定的网址
计算机病毒发作时的表现现象
? 计算机病毒发作时是指满足计算机病毒发作的条件,计算
机病毒程序开始破坏行为的阶段。
? 一些计算机病毒发作时常见的表现现象,
– 提示一些不相干的话。最常见的是提示一些不相干的话,比如打
开感染了宏病毒的 Word文档,如果满足了发作条件的话,它就会
弹出对话框显示, 这个世界太黑暗了!,,并且要求你输入, 太正确了, 后按确定按钮。
– 发出一段的音乐。恶作剧式的计算机病毒,最著名的是外国的
,杨基, 计算机病毒( Yangkee)和中国的, 浏阳河, 计算机病
毒。, 杨基, 计算机病毒发作是利用计算机内置的扬声器演奏
,杨基, 音乐,而, 浏阳河, 计算机病毒更绝,当系统时钟为 9月
9日时演奏歌曲, 浏阳河,,而当系统时钟为 12月 26日时则演奏
,东方红, 的旋律。这类计算机病毒大多属于, 良性, 计算机病
毒,只是在发作时发出音乐和占用处理器资源。
计算机病毒发作时的表现现象
– 产生特定的图象。另一类恶作剧式的计算机病毒,比如小球计算机病毒,
发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机
病毒大多也是, 良性, 计算机病毒,只是在发作时破坏用户的显示界面,
干扰用户的正常工作。
– 硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大
量的操作时,硬盘的灯就会不断闪烁,比如格式化或者写入很大很大的
文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯
不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化,或者写
入许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失。
具有这类发作现象的计算机病毒大多是, 恶性, 计算机病毒。
– 进行游戏算法。有些恶作剧式的计算机病毒发作时采取某些算法简单的
游戏来中断用户的工作,一定要玩嬴了才让用户继续他的工作。
– Windows桌面图标发生变化。这一般也是恶作剧式的计算机病毒发作时
的表现现象。把 Windows缺省的图标改成其他样式的图标,或者将其他
应用程序、快捷方式的图标改成 Windows缺省图标样式,起到迷惑用户
的作用。
计算机病毒发作时的表现现象
? 计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题,代
码没有严格测试,在发作时会造成意想不到情况;或者是计算机病毒 在 Autoexec.bat文件中添加了一句 Format c:之类的语句,需要系统
重启后才能实施破坏的。
? 自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子
函件的方法作为传播的手段,也有的电子函件计算机病毒在某一特定
时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服
务器的正常服务功能
? 鼠标自己在动。没有对计算机进行任何操作,也没有运行任何演示程
序、屏幕保护程序等,而屏幕上的鼠标自己在动,应用程序自己在运
行,有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的
控制,从广义上说这也是计算机病毒发作的一种现象
计算机病毒发作后的表现现象
? 通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,
那种只是恶作剧式的, 良性, 计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于, 恶性, 计算机病毒。
? 一些恶性计算机病毒发作后所造成的后果,
– 硬盘无法启动,数据丢失
– 系统文件丢失或被破坏
– 文件目录发生混乱
– 部分文档丢失或被破坏
– 部分文档自动加密码
– 修改 Autoexec.bat文件,增加 Format C:一项,导致计算机重新启动时格
式化硬盘。
– 使部分可软件升级主板的 BIOS程序混乱,主板被破坏。
– 网络瘫痪,无法提供正常的服务。
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
病毒的起源与发展
? 早在 1949年,距离第一部商用计算机的出现还有
好几年时,计算机的先驱者冯 ·诺依曼在他的一篇
论文, 复杂自动机组织论,,提出了计算机程序
能够在内存中自我复制,即已把病毒程序的蓝图
勾勒出来。
? 十年之后,在美国电话电报公司 (AT&T)的贝尔实
验室中,三个年轻程序员道格拉斯 ·麦耀莱、维
特 ·维索斯基和罗伯 ·莫里斯在工作之余想出一种叫
做 "磁芯大战 "的电子游戏。
病毒产生的背景
? 计算机病毒的产生是计算机技术和以计算机为核
心的社会信息化进程发展到一定阶段的必然产物
? 计算机病毒是计算机犯罪的一种新的衍化形式
? 计算机软硬件产品的危弱性是根本的技术原因
? 微机的普及应用是计算机病毒产生的必要环境
病毒发展
? 第一代病毒
– 第一代病毒的产生年限可以认为在 1986—1989年之间,
这一期间出现的病毒可以称之为传统的病毒,是计算
机病毒的萌芽和滋生时期
– 具有如下的一些特点
? 病毒攻击的目标比较单一,或者是传染磁盘引导扇区,或者是 传染可执行文件
? 病毒程序主要采取截获系统中断向量的方式监视系统的运行状
态,并在一定的条件下对目标进行传染
? 病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可
执行文件的长度增加、文件建立日期、时间发生变化,等等
? 病毒程序不具有自我保护的措施,容易被人们分析和解剖,从
而使得人们容易编制相应的消毒软件
病毒发展
? 第二代病毒
– 第二代病毒又称为混合型病毒(又有人称之为, 超级病毒, ),其产生
的年限可以认为在 1989- 1991年之间,它是计算机病毒由简单发展到复
杂,由单纯走向成熟的阶段
– 这一阶段的计算机病毒具有如下特点
? 病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传
染可执行文件。
? 病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐
蔽的方法驻留内存和传染目标
? 病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长
度增加不明显,不改变被传染文件原来的建立日期和时间,等等
? 病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,
增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度
? 出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大
病毒发展
? 第三代病毒
– 第三代病毒的产生年限可以认为从 1992年开始至 1995
年,此类病毒称为, 多态性, 病毒或, 自我变形, 病
毒,是最近几年来出现的新型的计算机病毒。
– 所谓, 多态性, 或, 自我变形, 的含义是指此类病毒
在每次传染目标时,放入宿主程序中的病毒程序大部
分都是可变的,即在搜集到同一种病毒的多个样本中,
病毒程序的代码绝大多数是不同的,这是此类病毒的
重要特点。正是由于这一特点,传统的利用特征码法
检测病毒的产品不能检测出此类病毒
病毒发展
– 第三阶段是病毒的成熟发展阶段。在这一阶段
中病毒的发展主要是病毒技术的发展,病毒开
始向多维化方向发展,即传统病毒传染的过程
与病毒自身运行的时间和空间无关,而新型的
计算机病毒则将与病毒自身运行的时间、空间
和宿主程序紧密相关,这无疑将导致计算机病
毒检测和消除的困难。
病毒发展
? 第四代病毒
– 90年代中后期,随着远程网、远程访问服务的开通,病毒流行面
更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传
播至局域网内,再在局域网内传播扩散。
– 1996年下半年随着国内 Internet的大量普及,Email的使用,夹杂
于 Email内的 WORD宏病毒已成为当前病毒的主流。
– 一时期的病毒的最大特点是利用 Internet作为其主要传播途径,因
而,病毒传播快、隐蔽性强、破坏性大。此外,随着 Windows95
的应用,出现了 Windows环境下的病毒。这些都给病毒防治和传
统 DOS版杀毒软件带来新的挑战。
病毒发展
? 计算机病毒的发展必然会促进计算机反病毒技术
的发展,也就是说,新型病毒的出现向以行为规
则判定病毒的预防产品、以病毒特征为基础的检
测产品以及根据计算机病毒传染宿主程序的方法
而消除病毒的产品提出了挑战,致使原有的反病
毒技术和产品在新型的计算机病毒面前无能为力。
这样,势必使人们认识到现有反病毒产品在对抗
新型的计算机病毒方面的局限性,迫使人们在反
病毒的技术和产品上进行新的更新和换代。
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
病毒分类
? 按照计算机病毒攻击的系统分类
– 攻击 DOS系统的病毒。
– 攻击 Windows系统的病毒。
– 攻击 UNIX系统的病毒。
– 攻击 OS/2系统的病毒。
? 按照病毒的攻击机型分类
– 攻击微型计算机的病毒。这是世界上传染最为广泛的
一种病毒
– 攻击小型机的计算机病毒。
– 攻击工作站的计算机病毒。
病毒分类
? 按照计算机病毒的链结方式分类
– 源码型病毒。该病毒攻击高级语言编写的程序,该病毒在高级语
言所编写的程序编译前插入到原程序中,经编译成为合法程序的
一部分。
– 嵌入型病毒。这种病毒是将自身嵌入到现有程序中,把计算机病
毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病
毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用
多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的
反病毒技术带来严峻的挑战。
– 外壳型病毒。外壳型病毒将其自身包围在主程序的四周,对原来
的程序不作修改。这种病毒最为常见,易于编写,也易于发现,
一般测试文件的大小即可知。
– 操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分
操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫 痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
病毒分类
? 按照计算机病毒的破坏情况分类
– 良性计算机病毒。良性病毒是指其不包含有立
即对计算机系统产生直接破坏作用的代码
– 恶性计算机病毒。恶性病毒就是指在其代码中
包含有损伤和破坏计算机系统的操作,在其传
染或发作时会对系统产生直接的破坏作用
病毒分类
? 按照计算机病毒的寄生部位或传染对象分
类
– 感染磁盘引导区的计算机病毒
– 感染操作系统的计算机病毒
– 感染可执行程序的计算机病毒
病毒分类
? 按照计算机病毒激活的时间分类
– 按照计算机病毒激活的时间可分为定时的和随
机的。
– 定时病毒仅在某一特定时间才发作,而随机病
毒一般不是由时钟来激活的。
病毒分类
? 按照传播媒介分类
– 单机病毒。单机病毒的载体是磁盘,常见的是
病毒从软盘传人硬盘,感染系统,然后再传染
其他软盘,软盘又传染其他系统。
– 网络病毒。网络病毒的传播媒介不再是移动式
载体,而是网络通道,这种病毒的传染能力更
强,破坏力更大。
病毒分类
? 按照寄生方式和传染途径分类
– 按其寄生方式
? 引导型病毒。引导型病毒按其寄生对象的不同又可分为两类,
即 MBR(主引导区)病毒,BR(引导区)病毒。
? 文件型病毒
– 按传染途径
? 驻留内存型
? 不驻留内存型
? 混合型病毒集引导型和文件型病毒特性于一体。
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
病毒特征
? 传染性
– 传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物
体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,
并使被感染的生物体表现出病症甚至死亡。
– 同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到
未被感染的计算机,在某些情况下造成被感染的计算机工作失常
甚至瘫痪。
– 正常的计算机程序一般是不会将自身的代码强行连接到其它程序
之上的。而病毒却能使自身的代码强行传染到一切符合其传染条
件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,
如软盘、计算机网络去传染其它的计算机。
病毒特征
? 隐蔽性
– 病毒一般是具有很高编程技巧、短小精悍的程序。
– 通常附在正常程序中或磁盘较隐蔽的地方,也有个别
的以隐含文件形式出现。目的是不让用户发现它的存
在。
? 潜伏性
– 大部分的病毒感染系统之后一般不会马上发作,它可
长期隐藏在系统中,只有在满足其特定条件时才启动
其表现(破坏)模块。只有这样它才可进行广泛地传
播。
病毒特征
? 破坏性
– 任何病毒只要侵入系统,都会对系统及应用程序产生
程度不同的影响。轻者会降低计算机工作效率,占用
系统资源,重者可导致系统崩溃。由此特性可将病毒
分为良性病毒与恶性病毒。
? 不可预见性
– 从对病毒的检测方面来看,病毒还有不可预见性。
– 不同种类的病毒,它们的代码千差万别,但有些操作
是 共有的(如驻内存,改中断)。
病毒特征
? 寄生性
– 指病毒对其他文件或系统进行一系列非法操作,
使其带有这种病毒,并成为该病毒的一个新的
传染源的过程。这是病毒的最基本特征。
? 触发性
– 指病毒的发作一般都有一个激发条件,即一个
条件控制。这个条件根据病毒编制者的要求可
以是日期、时间、特定程序的运行或程序的运
行次数等等。
病毒程序结构及机制
? 计算机病毒程序是为了特殊目的而编制的,它通
过修改其他程序而把自己复制进去,并且传染该
程序。
? 一般来说,计算机病毒程序包括三个功能模块,
– 引导模块
– 传染模块
– 破坏模块
? 这些模块功能独立,同时又相互关联,构成病毒
程序的整体。
引导模块和引导机制
? 引导模块的功能是借助宿主程序,将病毒
程序从外存引进内存,以便使传染模块和
破坏模块进入活动状态。
? 引导模块还可以将分别存放的病毒程序链
接在一起,重新进行装配,形成新的病毒
程序,破坏计算机系统。
引导模块和引导机制
? 计算机病毒的寄生对象
– 一种寄生在磁盘引导扇区;
– 另一种是寄生在可执行文件(,EXE或,COM)中。
– 这是由于不论是磁盘引导扇区还是可执行文件,
它们都有获取执行权的可能
引导模块和引导机制
? 计算机病毒的寄生方式
– 替代法:病毒程序用自己的部分或全部指令代码,替
代磁盘引导扇区或文件中的全部或部分内容。
– 链接法:病毒程序将自身代码作为正常程序的一部分
与原有正常程序链接在一起,病毒链接的位置可能在
正常程序的首部、尾部或中间。
? 寄生在磁盘引导扇区的病毒一般采取替代法,而
寄生在可执行文件中的病毒一般采用链接法。
引导模块和引导机制
? 计算机病毒的引导过程
– 计算机病毒的引导过程一般包括以下三方面
? 驻留内存。病毒若要发挥其破坏作用,一般要驻留内存。为此
就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有
的病毒不驻留内存
? 窃取系统控制权。在病毒程序驻留内存后,必须使有关部分取
代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程
序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再
进行传染和破坏。
? 恢复系统功能。病毒为隐蔽自己,驻留内存后还要恢复系统,
使系统不会死机,只有这样才能等待时机成熟后,进行感染和
破坏的目的。
传染模块和传染机制
? 传染模块的功能将病毒迅速传染,尽可能
扩大染毒范围。
? 病毒的传染模块由两部分组成:条件判断
部分和程序主体部分,前者负责判断传染
条件是否成立,后者负责将病毒程序与宿
主程序链接,完成传染病毒的工作。
传染模块和传染机制
? 计算机病毒的传染方式
– 所谓传染是指计算机病毒由一个载体传播到另一个载
体,由一个系统进入另一个系统的过程。这种载体一
般为磁盘或磁带,它是计算机病毒赖以生存和进行传
染的媒介。
? 计算机病毒的传染过程
– 对于病毒的被动传染而言,其传染过程是随着拷贝磁
盘或文件工作的进行而进行的,
– 对于计算机病毒的主动传染而言,其传染过程是这样
的:在系统运行时,病毒通过病毒载体即系统的外存
储器进入系统的内存储器,常驻内存,并在系统内存
中监视系统的运行。
破坏模块和破坏机制
? 病毒编制者的意图,就是攻击破坏计算机系统,
所以破坏模块是病毒程序的核心部分。
? 破坏机制在设计原则、工作原理上与传染机制基
本相同。它也是通过修改某一中断向量人口地址
(一般为时钟中断 INT 8H,或与时钟中断有关的
其他中断,如 INT 1CH),使该中断向量指向病
毒程序的破坏模块。
? 病毒破坏目标和攻击部位主要是:系统数据区、
文件、内存、系统运行、运行速度、磁盘、屏幕
显示、键盘、喇叭,CMOS、主板等。
计算机病毒
? 网络蠕虫病毒技术
– 蠕虫病毒与一般病毒的异同
– 蠕虫的破坏和发展趋势
– 网络蠕虫病毒分析
– 企业防范蠕虫病毒措施
– 对个人用户产生直接威胁的蠕虫病毒
– 个人用户对蠕虫病毒的防范措施
– 小结
网络蠕虫病毒技术
? 一般认为,蠕虫是一种通过网络传播的恶性病毒,
它具有病毒的一些共性,如传播性、隐蔽性、破
坏性等等。
? 同时具有自己的一些特征,如不利用文件寄生
(有的只存在于内存中),对网络造成拒绝服务,
以及和黑客技术相结合等。
? 在产生的破坏性上,蠕虫病毒也不是普通病毒所
能比拟的,网络的发展使得蠕虫可以在短短的时
间内蔓延整个网络,造成网络瘫痪。
网络蠕虫病毒技术
? 根据使用者情况将蠕虫病毒分为两类,
– 一种是面向企业用户和局域网而言,这种病毒
利用系统漏洞,主动进行攻击,可以对整个互
联网可造成瘫痪性的后果,以, 红色代码,,
,尼姆达,,以及, sql蠕虫王, 为代表。
– 另外一种是针对个人用户的,通过网络 (主要是
电子邮件,恶意网页形式 )迅速传播的蠕虫病毒,
以爱虫病毒,求职信病毒为例。
蠕虫病毒与一般病毒的异同
? 蠕虫也是一种病毒,因此具有病毒的共同特征。
– 一般的病毒是需要的寄生的,它可以通过自己指令的
执行,将自己的指令代码写到其他程序的体内,而被
感染的文件就被称为, 宿主, 。
– 例如,windows下可执行文件的格式为 PE格式 (Portable
Executable),当需要感染 PE文件时,在宿主程序中,
建立一个新节,将病毒代码写到新节中,修改的程序
入口点等,这样,宿主程序执行的时候,就可以先执
行病毒程序,病毒程序运行完之后,在把控制权交给
宿主原来的程序指令。
蠕虫病毒与一般病毒的异同
– 蠕虫一般不采取利用 pe格式插入文件的方法,
而是复制自身在互联网环境下进行传播,病毒
的传染能力主要是针对计算机内的文件系统而
言,而蠕虫病毒的传染目标是互联网内的所有
计算机。
– 局域网条件下的共享文件夹,电子邮件 email,
网络中的恶意网页,大量存在着漏洞的服务器
等都成为蠕虫传播的良好途径。网络的发展也
使得蠕虫病毒可以在几个小时内蔓延全球。
蠕虫病毒与一般病毒的异同
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机
蠕虫的破坏和发展趋势
? 1988年一个由美国 CORNELL大学研究生莫里斯编写的蠕
虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身
网络 ;
? 后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美
元的损失。
? 2003年 1月 26日,一种名为, 2003蠕虫王, 的电脑病毒迅
速传播并袭击了全球,致使互联网网路严重堵塞,作为互
联网主要基础的域名服务器( DNS)的瘫痪造成网民浏览
互联网网页及收发电子邮件的速度大幅减缓,同时银行自
动提款机的运作中断,机票等网络预订系统的运作中断,
信用卡等收付款系统出现故障!专家估计,此病毒造成的
直接经济损失至少在 12亿美元以上。
蠕虫的破坏和发展趋势
? 蠕虫发作的一些特点和发展趋势,
– 利用操作系统和应用程序的漏洞主动进行攻击。
此类病毒主要是, 红色代码, 和, 尼姆达,,
以及至今依然肆虐的, 求职信, 等
– 传播方式多样。如, 尼姆达, 病毒和, 求职信,
病毒,可利用的传播途径包括文件、电子邮件、
Web服务器、网络共享等等,
蠕虫的破坏和发展趋势
– 病毒制作技术新
? 与传统的病毒不同的是,许多新病毒是利用当前最
新的编程语言与编程技术实现的,易于修改以产生
新的变种,从而逃避反病毒软件的搜索。
– 与黑客技术相结合
? 潜在的威胁和损失更大 !以红色代码为例,感染后的
机器的 web目录的 \scripts下将生成一个 root.exe,
可以远程执行任何命令,从而使黑客能够再次进入 !
网络蠕虫病毒分析
? 虫和普通病毒不同的一个特征是蠕虫病毒往往能
够利用漏洞。
– 这里的漏洞或者说是缺陷,可以分为两种,软件上的
缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,
微软 IE和 outlook的自动执行漏洞等等,需要软件厂商
和用户共同配合,不断的升级软件。而人为的缺陷,
主要是指的是计算机用户的疏忽。这就是所谓的社会
工程学 (social engineering),当收到一封邮件带着病毒
的求职信邮件时候,大多数人都会报着好奇去点击的。
网络蠕虫病毒分析
? 利用软件上的缺陷的蠕虫,
– 以红色代码,尼姆达和 sql蠕虫为代表
– 共同的特征是利用微软服务器和应用程序组件
的某个漏洞进行攻击
企业防范蠕虫病毒措施
? 需要考虑几个问题,
– 病毒的查杀能力
– 病毒的监控能力
– 新病毒的反应能力
? 企业防毒的一个重要方面是是管理和策略。
推荐的企业防范蠕虫病毒的策略如下,
– 加强网络管理员安全管理水平,提高安全意识
– 建立病毒检测系统
– 建立应急响应系统,将风险减少到最小
– 建立灾难备份系统
– 对于局域网而言,可以采用以下一些主要手段,
? 在因特网接入口处安装防火墙或防杀计算机病毒产
品,将病毒隔离在局域网之外。
? 对邮件服务器进行监控,防止带毒邮件进行传播。
? 对局域网用户进行安全培训。
? 建立局域网内部的升级系统,包括各种操作系统的
补丁升级,各种常用的应用软件升级,各种杀毒软
件病毒库的升级等等。
对个人用户产生直接威胁的蠕虫病毒
? 对于个人用户而言,威胁大的蠕虫病毒采取的传
播方式一般为电子邮件 (Email)以及恶意网页等等。
? 对于利用 email传播得蠕虫病毒来说,通常利用的
是社会工程学 (Social Engineering),即以各种各
样的欺骗手段那诱惑用户点击的方式进行传播。
? 恶意网页确切的讲是一段黑客破坏代码程序,它
内嵌在网页中,当用户在不知情的情况下打开含
有病毒的网页时,病毒就会发作。
个人用户对蠕虫病毒的防范措施
? 网络蠕虫病毒对个人用户的攻击主要还是
通过社会工程学,而不是利用系统漏洞。
所以防范此类病毒需要注意以下几点
– 购买合适的杀毒软件
– 经常升级病毒库
– 提高防杀毒意识,不要轻易去点击陌生的站点,
有可能里面就含有恶意代码。
– 不随意查看陌生邮件,尤其是带有附件的邮件
小结
? 网络蠕虫病毒作为一种互联网高速发展下的一种
新型病毒,必将对网络产生巨大的危险。
? 在防御上,已经不再是由单独的杀毒厂商所能够
解决,而需要网络安全公司,系统厂商,防病毒
厂商及用户共同参与,构筑全方位的防范体系
? 蠕虫和黑客技术的结合,使得对蠕虫的分析,检
测和防范具有一定的难度,同时对蠕虫的网络传
播性,网络流量特性建立数学模型也是有待研究
的工作
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
病毒的表现形式、危害及传染途径
? CIH病毒是一种文件型病毒,其宿主是 Windows
95/98系统下的 PE格式可执行文件即,EXE文件,
就其表现形式及症状而言,具有以下特点,
– 1、受感染的,EXE文件的文件长度没有改变;
– 2,DOS以及 WIN 3.1 格式( NE格式)的可执行文件不
受感染,并且在 Win NT中无效。
– 3、用资源管理器中, 工具 >查找 >文件或文件夹, 的
,高级 >包含文字, 查找,EXE特征字符串 ——“CIH v”,
在查找过程中,显示出一大堆符合查找特征的可执行
文件。
– 4、若 4月 26日开机,显示器突然黑屏,硬盘指示灯闪
烁不停,重新开机后,计算机无法启动。
病毒的表现形式、危害及传染途径
? 病毒的危害主要表现在于病毒发作后,硬盘数据
全部丢失,甚至主板上的 BIOS中的原内容被会彻
底破坏,主机无法启动。只有更换 BIOS,或是向
固定在主板上的 BIOS中重新写入原来版本的程序,
才能解决问题。
? 该病毒是通过文件进行传播。计算机开机以后,
如果运行了带病毒的文件,其病毒就驻留在
Windows的系统内存里了。此后,只要运行了 PE
格式的,EXE文件,这些文件就会感染上该病毒。
病毒的运行机制
? CIH没有改变宿主文件的大小,而是采用了一种新
的文件感染机制即碎洞攻击( fragmented cavity
attack),将病毒化整为零,拆分成若干块,插
入宿主文件中去;
? 最引人注目的是它利用目前许多 BIOS芯片开放了
可重写的特性,向计算机主板的 BIOS端口写入乱
码,开创了病毒直接进攻计算机主板芯片的先例。
病毒的运行机制
? CIH病毒的驻留(初始化)
? 病毒的感染
– 1、文件的截获
– 2,EXE文件的判断
– 3,PE格式,EXE判别
– 4.病毒首块的寄生计算
– 5.病毒其余块的寄生计算
– 6.写入病毒
病毒的运行机制
? 病毒的发作
– 1.病毒发作条件判断
– 2.病毒的破坏
? ①通过主板的 BIOS端口地址 0CFEH和 0CFDH向 BIOS
引导块( boot block)内各写入一个字节的乱码,造
成主机无法启动。
? ②覆盖硬盘,通过调用 Vxd call IOS_SendCommand
直接对硬盘进行存取,将垃圾代码以 2048个扇区为
单位,从硬盘主引导区开始依次循环写入硬盘,直
到所有硬盘(含逻辑盘)的数据均被破坏为止。
病毒的清除
? 1、病毒的检测
– ①利用, 资源管理器, 进行搜寻
– ② Debug检测 PE Signature
? 2、病毒的清除
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
exe型病毒 MyVirus
? 简介, 这是一个 Win32平台下的多态病毒,感染
PE格式的可执行文件。被感染的文件在运行时会
先弹出警告对话框,然后正常运行,并无大碍。
? 病毒程序首次被运行时将选择 3个文件感染,将
自身代码插入被感染文件达到传染的目的,被感
染文件每次运行时都会将病毒传染给其他三个文
件。
? 由于是测试版,将感染文件限制在 D:\Test目录下,
可在 D:\Test目录下放一些,exe进行测试
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
宏的概念
? 宏是微软公司为其 OFFICE软件包设计的一
个特殊功能,目的是让用户文档中的一些
任务自动化。 OFFICE中的 WORD和 EXECL
都有宏。
? Word宏定义为:宏就是能组织到一起作为
一独立命令使用的一系列 word指令,它能
使日常工作变得更容易。
宏病毒分析
? 宏病毒是一种寄存在文档或模板的宏中的
计算机病毒。一旦打开这样的文档,其中
的宏就会被执行,于是宏病毒就会被激活,
转移到计算机上,并驻留在 Normal模板上。
从此以后,所有自动保存的文档都会, 感
染, 上这种宏病毒,而且如果其他用户打
开了感染病毒的文档,宏病毒又会转移到
他的计算机上。
宏病毒分析
? 宏病毒的特点,
– 以数据文件方式传播,隐蔽性好,传播速度快,
难于杀除
– 制作宏病毒以及在原型病毒上变种非常方便
– 破坏可能性极大
– 宏病毒会感染 DOC文档文件和 DOT模板文件。
CtoL宏病毒代码及流程
? 该程序修改了 FileOpen宏,在打开文件后,
FileOpen将从头到尾搜索文档的文本,发现
文本是字母,就将其删除。
? 还修改了 FileSave宏,如果是第一次打开带
有病毒的文件,我们就将修改后的 FileOpen
拷贝到了 NORMAL.DOT模板。这样之后的
所有被打开的 Word文件都将被感染。
宏病毒的判断方法
? 1、在打开, 宏病毒防护功能, 的情况下,当您打开一个
您自己写的文档时,系统会会弹出相应的警告框。而您清
楚您并没有在其中使用宏或并不知道宏到底怎么用,那么
您可以完全肯定您的文档已经感染了宏病毒。
? 2、同样是在打开, 宏病毒防护功能, 的情况下,您的
OFFICE文档中一系列的文件都在打开时给出宏警告。由
于在一般情况下我们很少使用到宏,所以当您看到成串的
文档有宏警告时,可以肯定这些文档中有宏病毒。
? 3、如果软件中关于宏病毒防护选项启用后,不能在下次
开机时依然保存。
宏病毒的防治和清除
? 1、首选方法:用最新版的反病毒软件清除
宏病毒。
? 2、应急处理方法:用写字板或 WORD 6.0
文档作为清除宏病毒的桥梁。
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
脚本病毒
? 2000年 5月 4日欧美爆发的, 爱虫, 网络蠕
虫病毒。由于通过电子邮件系统传播,爱
虫病毒在短短几天内狂袭全球数百万计的
电脑。微软,Intel等在内的众多大型企业
网络系统瘫痪,全球经济损失达几十亿美
元。而 1999年爆发的新欢乐时光病毒至今
都让广大电脑用户更是苦不堪言。
脚本病毒
? VBS脚本病毒具有如下几个特点,
– 1.编写简单。
– 2.破坏力大。
– 3.感染力强。
– 4.传播范围大。
– 5.病毒源码容易被获取,变种多。
– 6.欺骗性强。
– 7.使得病毒生产机实现起来非常容易。
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
邮件型病毒
? 随着 Internet 的迅猛发展,电子邮件成为
人们相互交流最常使用的工具,于是它也
成为新型病毒 ——电子邮件型病毒的重要
载体。
? 邮件型病毒也是脚本病毒的一种,主要是
通过利用 Outlook 的可编程特性来完成的
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
病毒检测
? 1、比较法
? 2、加总比对法
? 3、搜索法
? 4、分析法
? 5、人工智能陷阱技术和宏病毒陷阱技术
? 6、软件仿真扫描法
? 7、先知扫描法
病毒防治
? 1、新购置的计算机硬软件系统的测试
? 2、计算机系统的启动
? 3、单台计算机系统的安全使用
? 4、重要数据文件要有备份
? 5、不要随便直接运行或直接打开电子函件
中夹带的附件文件,不要随意下载软件,
尤其是一些可执行文件和 Office文档。
病毒防治
? 6、计算机网络的安全使用
– ( 1)安装网络服务器时,应保证没有计算机病毒存在
– ( 2)在安装网络服务器时,应将文件系统划分成多个
文件卷系统,至少划分成操作系统卷、共享的应用程
序卷和各个网络用户可以独占的用户数据卷。
– ( 3)一定要用硬盘启动网络服务器,否则在受到引导
型计算机病毒感染和破坏后,遭受损失的将不是一个
人的机器,而会影响到整个网络的中枢。
– ( 4)为各个卷分配不同的用户权限。
– ( 5)在网络服务器上必须安装真正有效的防杀计算机
病毒软件,并经常进行升级。
– ( 6)系统管理员的职责,
计算机系统的修复
? 计算机病毒感染后的一般修复处理方法,
– 1)首先必须对系统破坏程度有一个全面的了解,并根
据破坏的程度来决定采用有效的计算机病毒清除方法
和对策。
– 2)修复前,尽可能再次备份重要的数据文件。
– 3)启动防杀计算机病毒软件,并对整个硬盘进行扫描。
– 4)发现计算机病毒后,我们一般应利用防杀计算机病
毒软件清除文件中的计算机病毒,如果可执行文件中
的计算机病毒不能被清除,一般应将其删除,然后重
新安装相应的应用程序。
计算机系统的修复
– 5)杀毒完成后,重启计算机,再次用防杀计
算机病毒软件检查系统中是否还存在计算机病
毒,并确定被感染破坏的数据确实被完全恢复。
– 6)此外,对于杀毒软件无法杀除的计算机病
毒,还应将计算机病毒样本送交防杀计算机病
毒软件厂商的研究中心,以供详细分析。
计算机系统的修复
? 计算机系统修复应急计划
– 1)人员准备
– 2)应急计划的实施步骤
– 3)善后工作
– 4)此外,在应急计划中还必需包括救援物质、
计算机软硬件备件的准备,以及参加人员的联
络表等,以便使得发生计算机病毒疫情后能够
迅速地召集人手,备件到位,快速进入应急状
态。
作业
? 使用汇编设计一病毒,能够传播、表现
? 使用宏设计一病毒
? 设计一电子邮件病毒
? 设计病毒变种自动机,可以对输入的病毒
进行变换生产变种
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
计算机病毒
? 网络蠕虫病毒技术
– 蠕虫病毒与一般病毒的异同
– 蠕虫的破坏和发展趋势
– 网络蠕虫病毒分析
– 企业防范蠕虫病毒措施
– 对个人用户产生直接威胁的蠕虫病毒
– 个人用户对蠕虫病毒的防范措施
– 小结
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
计算机病毒概述
? 与医学上的, 病毒, 不同,计算机病毒不是天然存在的,
是某些人利用计算机软、硬件所固有的脆弱性,编制具有
特殊功能的程序。
? 能通过某种途径潜伏在计算机存储介质(或程序)里,当
达到某种条件时即被激活,通过修改其他程序的方法将自
己的精确拷贝或者可能演化的形式放入其他程序中,从而
感染它们,对计算机资源进行破坏的这样一组程序或指令
集合。
? 1994年 2月 18日,我国正式颁布实施了, 中华人民共和国
计算机信息系统安全保护条例,,在, 条例, 第二十八条
中明确指出:, 计算机病毒,是指编制或者在计算机程序
中插入的破坏计算机功能或者毁坏数据,影响计算机使用,
并能自我复制的一组计算机指令或者程序代码。,
计算机病毒的表现
? 根据计算机病毒感染和发作的阶段,可以将计算
机病毒的表现现象分为三大类:发作前、发作时
和发作后的表现现象。
– 计算机病毒发作前的表现现象
? 计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏
在系统内开始,一直到激发条件满足,计算机病毒发作之前的
一个阶段。
? 在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计
算机病毒会以各式各样的手法来隐藏自己,在不被发现的同时,
又自我复制,以各种手段进行传播。
计算机病毒发作前的表现现象
? 现象,
– 平时运行正常的计算机突然经常性无缘无故地死机;病毒感染了
计算机系统后,将自身驻留在系统内并修改了中断处理程序等,
引起系统工作不稳定,造成死机现象发生。
– 操作系统无法正常启动;关机后再启动,操作系统报告缺少必要
的启动文件,或启动文件被破坏,系统无法启动。这很可能是计
算机病毒感染系统文件后使得文件结构发生变化,无法被操作系
统加载、引导。
– 运行速度明显变慢;可能是计算机病毒占用了大量的系统资源,
并且自身的运行占用了大量的处理器时间,造成系统资源不足,
运行变慢。
– 以前能正常运行的软件经常发生内存不足的错误。可能是计算机
病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减
小。
– 打印和通讯发生异常。可能是计算机病毒驻留内存后占用了打印
端口、串行通讯端口的中断服务程序,使之不能正常工作。
计算机病毒发作前的表现现象
– 无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作,
操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保
护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒
自动查找软盘是否在软驱中的时候引起的系统异常。
– 以前能正常运行的应用程序经常发生死机或者非法错误。可能是
由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,
或者计算机病毒程序本身存在着兼容性方面的问题造成的。
– 系统文件的时间、日期、大小发生变化。这是最明显的计算机病
毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在
原始文件的后面,文件大小大多会有所增加,文件的访问和修改
日期和时间也会被改成感染时的时间。
– 运行 Word,打开 Word文档后,该文件另存时只能以模板方式保
存。无法另存为一个 DOC文档,只能保存成模板文档( DOT)。
这往往是打开的 Word文档中感染了 Word宏病毒的缘故。
计算机病毒发作前的表现现象
– 磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘
空间减少地很快。这可能是计算机病毒感染造成的。
– 网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器
卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器
卷、共享目录等无法创建、修改文件。
– 基本内存发生变化。在 DOS下用 mem /c/p命令查看系统中内存
使用状况的时候可以发现基本内存总字节数比正常的 640Kb要小,
一般少 1Kb~ 2Kb。这通常是计算机系统感染了引导型计算机病
毒所造成的。
– 陌生人发来的电子函件。收到陌生人发来的电子函件,尤其是那
些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附
件的电子函件。
– 自动链接到一些陌生的网站。没有在上网,计算机会自动拨号并
连接到因特网上一个陌生的站点,或者在上网的时候发现网络特
别慢,存在陌生的网络链接。这种联接大多是黑客程序将收集到
的计算机系统的信息, 悄悄地, 发回某个特定的网址
计算机病毒发作时的表现现象
? 计算机病毒发作时是指满足计算机病毒发作的条件,计算
机病毒程序开始破坏行为的阶段。
? 一些计算机病毒发作时常见的表现现象,
– 提示一些不相干的话。最常见的是提示一些不相干的话,比如打
开感染了宏病毒的 Word文档,如果满足了发作条件的话,它就会
弹出对话框显示, 这个世界太黑暗了!,,并且要求你输入, 太正确了, 后按确定按钮。
– 发出一段的音乐。恶作剧式的计算机病毒,最著名的是外国的
,杨基, 计算机病毒( Yangkee)和中国的, 浏阳河, 计算机病
毒。, 杨基, 计算机病毒发作是利用计算机内置的扬声器演奏
,杨基, 音乐,而, 浏阳河, 计算机病毒更绝,当系统时钟为 9月
9日时演奏歌曲, 浏阳河,,而当系统时钟为 12月 26日时则演奏
,东方红, 的旋律。这类计算机病毒大多属于, 良性, 计算机病
毒,只是在发作时发出音乐和占用处理器资源。
计算机病毒发作时的表现现象
– 产生特定的图象。另一类恶作剧式的计算机病毒,比如小球计算机病毒,
发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机
病毒大多也是, 良性, 计算机病毒,只是在发作时破坏用户的显示界面,
干扰用户的正常工作。
– 硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大
量的操作时,硬盘的灯就会不断闪烁,比如格式化或者写入很大很大的
文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯
不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化,或者写
入许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失。
具有这类发作现象的计算机病毒大多是, 恶性, 计算机病毒。
– 进行游戏算法。有些恶作剧式的计算机病毒发作时采取某些算法简单的
游戏来中断用户的工作,一定要玩嬴了才让用户继续他的工作。
– Windows桌面图标发生变化。这一般也是恶作剧式的计算机病毒发作时
的表现现象。把 Windows缺省的图标改成其他样式的图标,或者将其他
应用程序、快捷方式的图标改成 Windows缺省图标样式,起到迷惑用户
的作用。
计算机病毒发作时的表现现象
? 计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题,代
码没有严格测试,在发作时会造成意想不到情况;或者是计算机病毒 在 Autoexec.bat文件中添加了一句 Format c:之类的语句,需要系统
重启后才能实施破坏的。
? 自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子
函件的方法作为传播的手段,也有的电子函件计算机病毒在某一特定
时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服
务器的正常服务功能
? 鼠标自己在动。没有对计算机进行任何操作,也没有运行任何演示程
序、屏幕保护程序等,而屏幕上的鼠标自己在动,应用程序自己在运
行,有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的
控制,从广义上说这也是计算机病毒发作的一种现象
计算机病毒发作后的表现现象
? 通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,
那种只是恶作剧式的, 良性, 计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于, 恶性, 计算机病毒。
? 一些恶性计算机病毒发作后所造成的后果,
– 硬盘无法启动,数据丢失
– 系统文件丢失或被破坏
– 文件目录发生混乱
– 部分文档丢失或被破坏
– 部分文档自动加密码
– 修改 Autoexec.bat文件,增加 Format C:一项,导致计算机重新启动时格
式化硬盘。
– 使部分可软件升级主板的 BIOS程序混乱,主板被破坏。
– 网络瘫痪,无法提供正常的服务。
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
病毒的起源与发展
? 早在 1949年,距离第一部商用计算机的出现还有
好几年时,计算机的先驱者冯 ·诺依曼在他的一篇
论文, 复杂自动机组织论,,提出了计算机程序
能够在内存中自我复制,即已把病毒程序的蓝图
勾勒出来。
? 十年之后,在美国电话电报公司 (AT&T)的贝尔实
验室中,三个年轻程序员道格拉斯 ·麦耀莱、维
特 ·维索斯基和罗伯 ·莫里斯在工作之余想出一种叫
做 "磁芯大战 "的电子游戏。
病毒产生的背景
? 计算机病毒的产生是计算机技术和以计算机为核
心的社会信息化进程发展到一定阶段的必然产物
? 计算机病毒是计算机犯罪的一种新的衍化形式
? 计算机软硬件产品的危弱性是根本的技术原因
? 微机的普及应用是计算机病毒产生的必要环境
病毒发展
? 第一代病毒
– 第一代病毒的产生年限可以认为在 1986—1989年之间,
这一期间出现的病毒可以称之为传统的病毒,是计算
机病毒的萌芽和滋生时期
– 具有如下的一些特点
? 病毒攻击的目标比较单一,或者是传染磁盘引导扇区,或者是 传染可执行文件
? 病毒程序主要采取截获系统中断向量的方式监视系统的运行状
态,并在一定的条件下对目标进行传染
? 病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可
执行文件的长度增加、文件建立日期、时间发生变化,等等
? 病毒程序不具有自我保护的措施,容易被人们分析和解剖,从
而使得人们容易编制相应的消毒软件
病毒发展
? 第二代病毒
– 第二代病毒又称为混合型病毒(又有人称之为, 超级病毒, ),其产生
的年限可以认为在 1989- 1991年之间,它是计算机病毒由简单发展到复
杂,由单纯走向成熟的阶段
– 这一阶段的计算机病毒具有如下特点
? 病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传
染可执行文件。
? 病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐
蔽的方法驻留内存和传染目标
? 病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长
度增加不明显,不改变被传染文件原来的建立日期和时间,等等
? 病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,
增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度
? 出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大
病毒发展
? 第三代病毒
– 第三代病毒的产生年限可以认为从 1992年开始至 1995
年,此类病毒称为, 多态性, 病毒或, 自我变形, 病
毒,是最近几年来出现的新型的计算机病毒。
– 所谓, 多态性, 或, 自我变形, 的含义是指此类病毒
在每次传染目标时,放入宿主程序中的病毒程序大部
分都是可变的,即在搜集到同一种病毒的多个样本中,
病毒程序的代码绝大多数是不同的,这是此类病毒的
重要特点。正是由于这一特点,传统的利用特征码法
检测病毒的产品不能检测出此类病毒
病毒发展
– 第三阶段是病毒的成熟发展阶段。在这一阶段
中病毒的发展主要是病毒技术的发展,病毒开
始向多维化方向发展,即传统病毒传染的过程
与病毒自身运行的时间和空间无关,而新型的
计算机病毒则将与病毒自身运行的时间、空间
和宿主程序紧密相关,这无疑将导致计算机病
毒检测和消除的困难。
病毒发展
? 第四代病毒
– 90年代中后期,随着远程网、远程访问服务的开通,病毒流行面
更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传
播至局域网内,再在局域网内传播扩散。
– 1996年下半年随着国内 Internet的大量普及,Email的使用,夹杂
于 Email内的 WORD宏病毒已成为当前病毒的主流。
– 一时期的病毒的最大特点是利用 Internet作为其主要传播途径,因
而,病毒传播快、隐蔽性强、破坏性大。此外,随着 Windows95
的应用,出现了 Windows环境下的病毒。这些都给病毒防治和传
统 DOS版杀毒软件带来新的挑战。
病毒发展
? 计算机病毒的发展必然会促进计算机反病毒技术
的发展,也就是说,新型病毒的出现向以行为规
则判定病毒的预防产品、以病毒特征为基础的检
测产品以及根据计算机病毒传染宿主程序的方法
而消除病毒的产品提出了挑战,致使原有的反病
毒技术和产品在新型的计算机病毒面前无能为力。
这样,势必使人们认识到现有反病毒产品在对抗
新型的计算机病毒方面的局限性,迫使人们在反
病毒的技术和产品上进行新的更新和换代。
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
病毒分类
? 按照计算机病毒攻击的系统分类
– 攻击 DOS系统的病毒。
– 攻击 Windows系统的病毒。
– 攻击 UNIX系统的病毒。
– 攻击 OS/2系统的病毒。
? 按照病毒的攻击机型分类
– 攻击微型计算机的病毒。这是世界上传染最为广泛的
一种病毒
– 攻击小型机的计算机病毒。
– 攻击工作站的计算机病毒。
病毒分类
? 按照计算机病毒的链结方式分类
– 源码型病毒。该病毒攻击高级语言编写的程序,该病毒在高级语
言所编写的程序编译前插入到原程序中,经编译成为合法程序的
一部分。
– 嵌入型病毒。这种病毒是将自身嵌入到现有程序中,把计算机病
毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病
毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用
多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的
反病毒技术带来严峻的挑战。
– 外壳型病毒。外壳型病毒将其自身包围在主程序的四周,对原来
的程序不作修改。这种病毒最为常见,易于编写,也易于发现,
一般测试文件的大小即可知。
– 操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分
操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫 痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
病毒分类
? 按照计算机病毒的破坏情况分类
– 良性计算机病毒。良性病毒是指其不包含有立
即对计算机系统产生直接破坏作用的代码
– 恶性计算机病毒。恶性病毒就是指在其代码中
包含有损伤和破坏计算机系统的操作,在其传
染或发作时会对系统产生直接的破坏作用
病毒分类
? 按照计算机病毒的寄生部位或传染对象分
类
– 感染磁盘引导区的计算机病毒
– 感染操作系统的计算机病毒
– 感染可执行程序的计算机病毒
病毒分类
? 按照计算机病毒激活的时间分类
– 按照计算机病毒激活的时间可分为定时的和随
机的。
– 定时病毒仅在某一特定时间才发作,而随机病
毒一般不是由时钟来激活的。
病毒分类
? 按照传播媒介分类
– 单机病毒。单机病毒的载体是磁盘,常见的是
病毒从软盘传人硬盘,感染系统,然后再传染
其他软盘,软盘又传染其他系统。
– 网络病毒。网络病毒的传播媒介不再是移动式
载体,而是网络通道,这种病毒的传染能力更
强,破坏力更大。
病毒分类
? 按照寄生方式和传染途径分类
– 按其寄生方式
? 引导型病毒。引导型病毒按其寄生对象的不同又可分为两类,
即 MBR(主引导区)病毒,BR(引导区)病毒。
? 文件型病毒
– 按传染途径
? 驻留内存型
? 不驻留内存型
? 混合型病毒集引导型和文件型病毒特性于一体。
计算机病毒
? 病毒概述
– 计算机病毒概述
– 计算机病毒的表现
? 病毒的起源与发展
– 病毒产生的背景
– 病毒发展
? 病毒分类
? 病毒分析
– 病毒特征
– 病毒程序结构及机制
病毒特征
? 传染性
– 传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物
体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,
并使被感染的生物体表现出病症甚至死亡。
– 同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到
未被感染的计算机,在某些情况下造成被感染的计算机工作失常
甚至瘫痪。
– 正常的计算机程序一般是不会将自身的代码强行连接到其它程序
之上的。而病毒却能使自身的代码强行传染到一切符合其传染条
件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,
如软盘、计算机网络去传染其它的计算机。
病毒特征
? 隐蔽性
– 病毒一般是具有很高编程技巧、短小精悍的程序。
– 通常附在正常程序中或磁盘较隐蔽的地方,也有个别
的以隐含文件形式出现。目的是不让用户发现它的存
在。
? 潜伏性
– 大部分的病毒感染系统之后一般不会马上发作,它可
长期隐藏在系统中,只有在满足其特定条件时才启动
其表现(破坏)模块。只有这样它才可进行广泛地传
播。
病毒特征
? 破坏性
– 任何病毒只要侵入系统,都会对系统及应用程序产生
程度不同的影响。轻者会降低计算机工作效率,占用
系统资源,重者可导致系统崩溃。由此特性可将病毒
分为良性病毒与恶性病毒。
? 不可预见性
– 从对病毒的检测方面来看,病毒还有不可预见性。
– 不同种类的病毒,它们的代码千差万别,但有些操作
是 共有的(如驻内存,改中断)。
病毒特征
? 寄生性
– 指病毒对其他文件或系统进行一系列非法操作,
使其带有这种病毒,并成为该病毒的一个新的
传染源的过程。这是病毒的最基本特征。
? 触发性
– 指病毒的发作一般都有一个激发条件,即一个
条件控制。这个条件根据病毒编制者的要求可
以是日期、时间、特定程序的运行或程序的运
行次数等等。
病毒程序结构及机制
? 计算机病毒程序是为了特殊目的而编制的,它通
过修改其他程序而把自己复制进去,并且传染该
程序。
? 一般来说,计算机病毒程序包括三个功能模块,
– 引导模块
– 传染模块
– 破坏模块
? 这些模块功能独立,同时又相互关联,构成病毒
程序的整体。
引导模块和引导机制
? 引导模块的功能是借助宿主程序,将病毒
程序从外存引进内存,以便使传染模块和
破坏模块进入活动状态。
? 引导模块还可以将分别存放的病毒程序链
接在一起,重新进行装配,形成新的病毒
程序,破坏计算机系统。
引导模块和引导机制
? 计算机病毒的寄生对象
– 一种寄生在磁盘引导扇区;
– 另一种是寄生在可执行文件(,EXE或,COM)中。
– 这是由于不论是磁盘引导扇区还是可执行文件,
它们都有获取执行权的可能
引导模块和引导机制
? 计算机病毒的寄生方式
– 替代法:病毒程序用自己的部分或全部指令代码,替
代磁盘引导扇区或文件中的全部或部分内容。
– 链接法:病毒程序将自身代码作为正常程序的一部分
与原有正常程序链接在一起,病毒链接的位置可能在
正常程序的首部、尾部或中间。
? 寄生在磁盘引导扇区的病毒一般采取替代法,而
寄生在可执行文件中的病毒一般采用链接法。
引导模块和引导机制
? 计算机病毒的引导过程
– 计算机病毒的引导过程一般包括以下三方面
? 驻留内存。病毒若要发挥其破坏作用,一般要驻留内存。为此
就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有
的病毒不驻留内存
? 窃取系统控制权。在病毒程序驻留内存后,必须使有关部分取
代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程
序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再
进行传染和破坏。
? 恢复系统功能。病毒为隐蔽自己,驻留内存后还要恢复系统,
使系统不会死机,只有这样才能等待时机成熟后,进行感染和
破坏的目的。
传染模块和传染机制
? 传染模块的功能将病毒迅速传染,尽可能
扩大染毒范围。
? 病毒的传染模块由两部分组成:条件判断
部分和程序主体部分,前者负责判断传染
条件是否成立,后者负责将病毒程序与宿
主程序链接,完成传染病毒的工作。
传染模块和传染机制
? 计算机病毒的传染方式
– 所谓传染是指计算机病毒由一个载体传播到另一个载
体,由一个系统进入另一个系统的过程。这种载体一
般为磁盘或磁带,它是计算机病毒赖以生存和进行传
染的媒介。
? 计算机病毒的传染过程
– 对于病毒的被动传染而言,其传染过程是随着拷贝磁
盘或文件工作的进行而进行的,
– 对于计算机病毒的主动传染而言,其传染过程是这样
的:在系统运行时,病毒通过病毒载体即系统的外存
储器进入系统的内存储器,常驻内存,并在系统内存
中监视系统的运行。
破坏模块和破坏机制
? 病毒编制者的意图,就是攻击破坏计算机系统,
所以破坏模块是病毒程序的核心部分。
? 破坏机制在设计原则、工作原理上与传染机制基
本相同。它也是通过修改某一中断向量人口地址
(一般为时钟中断 INT 8H,或与时钟中断有关的
其他中断,如 INT 1CH),使该中断向量指向病
毒程序的破坏模块。
? 病毒破坏目标和攻击部位主要是:系统数据区、
文件、内存、系统运行、运行速度、磁盘、屏幕
显示、键盘、喇叭,CMOS、主板等。
计算机病毒
? 网络蠕虫病毒技术
– 蠕虫病毒与一般病毒的异同
– 蠕虫的破坏和发展趋势
– 网络蠕虫病毒分析
– 企业防范蠕虫病毒措施
– 对个人用户产生直接威胁的蠕虫病毒
– 个人用户对蠕虫病毒的防范措施
– 小结
网络蠕虫病毒技术
? 一般认为,蠕虫是一种通过网络传播的恶性病毒,
它具有病毒的一些共性,如传播性、隐蔽性、破
坏性等等。
? 同时具有自己的一些特征,如不利用文件寄生
(有的只存在于内存中),对网络造成拒绝服务,
以及和黑客技术相结合等。
? 在产生的破坏性上,蠕虫病毒也不是普通病毒所
能比拟的,网络的发展使得蠕虫可以在短短的时
间内蔓延整个网络,造成网络瘫痪。
网络蠕虫病毒技术
? 根据使用者情况将蠕虫病毒分为两类,
– 一种是面向企业用户和局域网而言,这种病毒
利用系统漏洞,主动进行攻击,可以对整个互
联网可造成瘫痪性的后果,以, 红色代码,,
,尼姆达,,以及, sql蠕虫王, 为代表。
– 另外一种是针对个人用户的,通过网络 (主要是
电子邮件,恶意网页形式 )迅速传播的蠕虫病毒,
以爱虫病毒,求职信病毒为例。
蠕虫病毒与一般病毒的异同
? 蠕虫也是一种病毒,因此具有病毒的共同特征。
– 一般的病毒是需要的寄生的,它可以通过自己指令的
执行,将自己的指令代码写到其他程序的体内,而被
感染的文件就被称为, 宿主, 。
– 例如,windows下可执行文件的格式为 PE格式 (Portable
Executable),当需要感染 PE文件时,在宿主程序中,
建立一个新节,将病毒代码写到新节中,修改的程序
入口点等,这样,宿主程序执行的时候,就可以先执
行病毒程序,病毒程序运行完之后,在把控制权交给
宿主原来的程序指令。
蠕虫病毒与一般病毒的异同
– 蠕虫一般不采取利用 pe格式插入文件的方法,
而是复制自身在互联网环境下进行传播,病毒
的传染能力主要是针对计算机内的文件系统而
言,而蠕虫病毒的传染目标是互联网内的所有
计算机。
– 局域网条件下的共享文件夹,电子邮件 email,
网络中的恶意网页,大量存在着漏洞的服务器
等都成为蠕虫传播的良好途径。网络的发展也
使得蠕虫病毒可以在几个小时内蔓延全球。
蠕虫病毒与一般病毒的异同
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机
蠕虫的破坏和发展趋势
? 1988年一个由美国 CORNELL大学研究生莫里斯编写的蠕
虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身
网络 ;
? 后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美
元的损失。
? 2003年 1月 26日,一种名为, 2003蠕虫王, 的电脑病毒迅
速传播并袭击了全球,致使互联网网路严重堵塞,作为互
联网主要基础的域名服务器( DNS)的瘫痪造成网民浏览
互联网网页及收发电子邮件的速度大幅减缓,同时银行自
动提款机的运作中断,机票等网络预订系统的运作中断,
信用卡等收付款系统出现故障!专家估计,此病毒造成的
直接经济损失至少在 12亿美元以上。
蠕虫的破坏和发展趋势
? 蠕虫发作的一些特点和发展趋势,
– 利用操作系统和应用程序的漏洞主动进行攻击。
此类病毒主要是, 红色代码, 和, 尼姆达,,
以及至今依然肆虐的, 求职信, 等
– 传播方式多样。如, 尼姆达, 病毒和, 求职信,
病毒,可利用的传播途径包括文件、电子邮件、
Web服务器、网络共享等等,
蠕虫的破坏和发展趋势
– 病毒制作技术新
? 与传统的病毒不同的是,许多新病毒是利用当前最
新的编程语言与编程技术实现的,易于修改以产生
新的变种,从而逃避反病毒软件的搜索。
– 与黑客技术相结合
? 潜在的威胁和损失更大 !以红色代码为例,感染后的
机器的 web目录的 \scripts下将生成一个 root.exe,
可以远程执行任何命令,从而使黑客能够再次进入 !
网络蠕虫病毒分析
? 虫和普通病毒不同的一个特征是蠕虫病毒往往能
够利用漏洞。
– 这里的漏洞或者说是缺陷,可以分为两种,软件上的
缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,
微软 IE和 outlook的自动执行漏洞等等,需要软件厂商
和用户共同配合,不断的升级软件。而人为的缺陷,
主要是指的是计算机用户的疏忽。这就是所谓的社会
工程学 (social engineering),当收到一封邮件带着病毒
的求职信邮件时候,大多数人都会报着好奇去点击的。
网络蠕虫病毒分析
? 利用软件上的缺陷的蠕虫,
– 以红色代码,尼姆达和 sql蠕虫为代表
– 共同的特征是利用微软服务器和应用程序组件
的某个漏洞进行攻击
企业防范蠕虫病毒措施
? 需要考虑几个问题,
– 病毒的查杀能力
– 病毒的监控能力
– 新病毒的反应能力
? 企业防毒的一个重要方面是是管理和策略。
推荐的企业防范蠕虫病毒的策略如下,
– 加强网络管理员安全管理水平,提高安全意识
– 建立病毒检测系统
– 建立应急响应系统,将风险减少到最小
– 建立灾难备份系统
– 对于局域网而言,可以采用以下一些主要手段,
? 在因特网接入口处安装防火墙或防杀计算机病毒产
品,将病毒隔离在局域网之外。
? 对邮件服务器进行监控,防止带毒邮件进行传播。
? 对局域网用户进行安全培训。
? 建立局域网内部的升级系统,包括各种操作系统的
补丁升级,各种常用的应用软件升级,各种杀毒软
件病毒库的升级等等。
对个人用户产生直接威胁的蠕虫病毒
? 对于个人用户而言,威胁大的蠕虫病毒采取的传
播方式一般为电子邮件 (Email)以及恶意网页等等。
? 对于利用 email传播得蠕虫病毒来说,通常利用的
是社会工程学 (Social Engineering),即以各种各
样的欺骗手段那诱惑用户点击的方式进行传播。
? 恶意网页确切的讲是一段黑客破坏代码程序,它
内嵌在网页中,当用户在不知情的情况下打开含
有病毒的网页时,病毒就会发作。
个人用户对蠕虫病毒的防范措施
? 网络蠕虫病毒对个人用户的攻击主要还是
通过社会工程学,而不是利用系统漏洞。
所以防范此类病毒需要注意以下几点
– 购买合适的杀毒软件
– 经常升级病毒库
– 提高防杀毒意识,不要轻易去点击陌生的站点,
有可能里面就含有恶意代码。
– 不随意查看陌生邮件,尤其是带有附件的邮件
小结
? 网络蠕虫病毒作为一种互联网高速发展下的一种
新型病毒,必将对网络产生巨大的危险。
? 在防御上,已经不再是由单独的杀毒厂商所能够
解决,而需要网络安全公司,系统厂商,防病毒
厂商及用户共同参与,构筑全方位的防范体系
? 蠕虫和黑客技术的结合,使得对蠕虫的分析,检
测和防范具有一定的难度,同时对蠕虫的网络传
播性,网络流量特性建立数学模型也是有待研究
的工作
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
病毒的表现形式、危害及传染途径
? CIH病毒是一种文件型病毒,其宿主是 Windows
95/98系统下的 PE格式可执行文件即,EXE文件,
就其表现形式及症状而言,具有以下特点,
– 1、受感染的,EXE文件的文件长度没有改变;
– 2,DOS以及 WIN 3.1 格式( NE格式)的可执行文件不
受感染,并且在 Win NT中无效。
– 3、用资源管理器中, 工具 >查找 >文件或文件夹, 的
,高级 >包含文字, 查找,EXE特征字符串 ——“CIH v”,
在查找过程中,显示出一大堆符合查找特征的可执行
文件。
– 4、若 4月 26日开机,显示器突然黑屏,硬盘指示灯闪
烁不停,重新开机后,计算机无法启动。
病毒的表现形式、危害及传染途径
? 病毒的危害主要表现在于病毒发作后,硬盘数据
全部丢失,甚至主板上的 BIOS中的原内容被会彻
底破坏,主机无法启动。只有更换 BIOS,或是向
固定在主板上的 BIOS中重新写入原来版本的程序,
才能解决问题。
? 该病毒是通过文件进行传播。计算机开机以后,
如果运行了带病毒的文件,其病毒就驻留在
Windows的系统内存里了。此后,只要运行了 PE
格式的,EXE文件,这些文件就会感染上该病毒。
病毒的运行机制
? CIH没有改变宿主文件的大小,而是采用了一种新
的文件感染机制即碎洞攻击( fragmented cavity
attack),将病毒化整为零,拆分成若干块,插
入宿主文件中去;
? 最引人注目的是它利用目前许多 BIOS芯片开放了
可重写的特性,向计算机主板的 BIOS端口写入乱
码,开创了病毒直接进攻计算机主板芯片的先例。
病毒的运行机制
? CIH病毒的驻留(初始化)
? 病毒的感染
– 1、文件的截获
– 2,EXE文件的判断
– 3,PE格式,EXE判别
– 4.病毒首块的寄生计算
– 5.病毒其余块的寄生计算
– 6.写入病毒
病毒的运行机制
? 病毒的发作
– 1.病毒发作条件判断
– 2.病毒的破坏
? ①通过主板的 BIOS端口地址 0CFEH和 0CFDH向 BIOS
引导块( boot block)内各写入一个字节的乱码,造
成主机无法启动。
? ②覆盖硬盘,通过调用 Vxd call IOS_SendCommand
直接对硬盘进行存取,将垃圾代码以 2048个扇区为
单位,从硬盘主引导区开始依次循环写入硬盘,直
到所有硬盘(含逻辑盘)的数据均被破坏为止。
病毒的清除
? 1、病毒的检测
– ①利用, 资源管理器, 进行搜寻
– ② Debug检测 PE Signature
? 2、病毒的清除
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
exe型病毒 MyVirus
? 简介, 这是一个 Win32平台下的多态病毒,感染
PE格式的可执行文件。被感染的文件在运行时会
先弹出警告对话框,然后正常运行,并无大碍。
? 病毒程序首次被运行时将选择 3个文件感染,将
自身代码插入被感染文件达到传染的目的,被感
染文件每次运行时都会将病毒传染给其他三个文
件。
? 由于是测试版,将感染文件限制在 D:\Test目录下,
可在 D:\Test目录下放一些,exe进行测试
计算机病毒
? CIH
– 病毒的表现形式、危害及传染途径
– 病毒的运行机制
– 病毒的清除
? exe型病毒 MyVirus
? Word宏病毒
– 宏的概念
– 宏病毒分析
– CtoL宏病毒代码及流程
– 宏病毒的判断方法
– 宏病毒的防治和清除
宏的概念
? 宏是微软公司为其 OFFICE软件包设计的一
个特殊功能,目的是让用户文档中的一些
任务自动化。 OFFICE中的 WORD和 EXECL
都有宏。
? Word宏定义为:宏就是能组织到一起作为
一独立命令使用的一系列 word指令,它能
使日常工作变得更容易。
宏病毒分析
? 宏病毒是一种寄存在文档或模板的宏中的
计算机病毒。一旦打开这样的文档,其中
的宏就会被执行,于是宏病毒就会被激活,
转移到计算机上,并驻留在 Normal模板上。
从此以后,所有自动保存的文档都会, 感
染, 上这种宏病毒,而且如果其他用户打
开了感染病毒的文档,宏病毒又会转移到
他的计算机上。
宏病毒分析
? 宏病毒的特点,
– 以数据文件方式传播,隐蔽性好,传播速度快,
难于杀除
– 制作宏病毒以及在原型病毒上变种非常方便
– 破坏可能性极大
– 宏病毒会感染 DOC文档文件和 DOT模板文件。
CtoL宏病毒代码及流程
? 该程序修改了 FileOpen宏,在打开文件后,
FileOpen将从头到尾搜索文档的文本,发现
文本是字母,就将其删除。
? 还修改了 FileSave宏,如果是第一次打开带
有病毒的文件,我们就将修改后的 FileOpen
拷贝到了 NORMAL.DOT模板。这样之后的
所有被打开的 Word文件都将被感染。
宏病毒的判断方法
? 1、在打开, 宏病毒防护功能, 的情况下,当您打开一个
您自己写的文档时,系统会会弹出相应的警告框。而您清
楚您并没有在其中使用宏或并不知道宏到底怎么用,那么
您可以完全肯定您的文档已经感染了宏病毒。
? 2、同样是在打开, 宏病毒防护功能, 的情况下,您的
OFFICE文档中一系列的文件都在打开时给出宏警告。由
于在一般情况下我们很少使用到宏,所以当您看到成串的
文档有宏警告时,可以肯定这些文档中有宏病毒。
? 3、如果软件中关于宏病毒防护选项启用后,不能在下次
开机时依然保存。
宏病毒的防治和清除
? 1、首选方法:用最新版的反病毒软件清除
宏病毒。
? 2、应急处理方法:用写字板或 WORD 6.0
文档作为清除宏病毒的桥梁。
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
脚本病毒
? 2000年 5月 4日欧美爆发的, 爱虫, 网络蠕
虫病毒。由于通过电子邮件系统传播,爱
虫病毒在短短几天内狂袭全球数百万计的
电脑。微软,Intel等在内的众多大型企业
网络系统瘫痪,全球经济损失达几十亿美
元。而 1999年爆发的新欢乐时光病毒至今
都让广大电脑用户更是苦不堪言。
脚本病毒
? VBS脚本病毒具有如下几个特点,
– 1.编写简单。
– 2.破坏力大。
– 3.感染力强。
– 4.传播范围大。
– 5.病毒源码容易被获取,变种多。
– 6.欺骗性强。
– 7.使得病毒生产机实现起来非常容易。
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
邮件型病毒
? 随着 Internet 的迅猛发展,电子邮件成为
人们相互交流最常使用的工具,于是它也
成为新型病毒 ——电子邮件型病毒的重要
载体。
? 邮件型病毒也是脚本病毒的一种,主要是
通过利用 Outlook 的可编程特性来完成的
计算机病毒
? 脚本病毒
? 邮件型病毒
? 病毒的检测和防治
– 病毒检测
– 病毒防治
– 计算机系统的修复
病毒检测
? 1、比较法
? 2、加总比对法
? 3、搜索法
? 4、分析法
? 5、人工智能陷阱技术和宏病毒陷阱技术
? 6、软件仿真扫描法
? 7、先知扫描法
病毒防治
? 1、新购置的计算机硬软件系统的测试
? 2、计算机系统的启动
? 3、单台计算机系统的安全使用
? 4、重要数据文件要有备份
? 5、不要随便直接运行或直接打开电子函件
中夹带的附件文件,不要随意下载软件,
尤其是一些可执行文件和 Office文档。
病毒防治
? 6、计算机网络的安全使用
– ( 1)安装网络服务器时,应保证没有计算机病毒存在
– ( 2)在安装网络服务器时,应将文件系统划分成多个
文件卷系统,至少划分成操作系统卷、共享的应用程
序卷和各个网络用户可以独占的用户数据卷。
– ( 3)一定要用硬盘启动网络服务器,否则在受到引导
型计算机病毒感染和破坏后,遭受损失的将不是一个
人的机器,而会影响到整个网络的中枢。
– ( 4)为各个卷分配不同的用户权限。
– ( 5)在网络服务器上必须安装真正有效的防杀计算机
病毒软件,并经常进行升级。
– ( 6)系统管理员的职责,
计算机系统的修复
? 计算机病毒感染后的一般修复处理方法,
– 1)首先必须对系统破坏程度有一个全面的了解,并根
据破坏的程度来决定采用有效的计算机病毒清除方法
和对策。
– 2)修复前,尽可能再次备份重要的数据文件。
– 3)启动防杀计算机病毒软件,并对整个硬盘进行扫描。
– 4)发现计算机病毒后,我们一般应利用防杀计算机病
毒软件清除文件中的计算机病毒,如果可执行文件中
的计算机病毒不能被清除,一般应将其删除,然后重
新安装相应的应用程序。
计算机系统的修复
– 5)杀毒完成后,重启计算机,再次用防杀计
算机病毒软件检查系统中是否还存在计算机病
毒,并确定被感染破坏的数据确实被完全恢复。
– 6)此外,对于杀毒软件无法杀除的计算机病
毒,还应将计算机病毒样本送交防杀计算机病
毒软件厂商的研究中心,以供详细分析。
计算机系统的修复
? 计算机系统修复应急计划
– 1)人员准备
– 2)应急计划的实施步骤
– 3)善后工作
– 4)此外,在应急计划中还必需包括救援物质、
计算机软硬件备件的准备,以及参加人员的联
络表等,以便使得发生计算机病毒疫情后能够
迅速地召集人手,备件到位,快速进入应急状
态。
作业
? 使用汇编设计一病毒,能够传播、表现
? 使用宏设计一病毒
? 设计一电子邮件病毒
? 设计病毒变种自动机,可以对输入的病毒
进行变换生产变种
