第八章 计算机病毒防范技术第 8章 计算机病毒防范技术内容提要:
概述
计算机病毒的工作原理和分类
计算机病毒的检测与防范
计算机病毒的发展方向和趋势第八章 计算机病毒防范技术
8.1 概 述计算机病毒的定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
美国计算机安全专家 Fred Cohen博士认为:计算机病毒是一种能传染其它程序的程序,病毒是靠修改其它程序,并把自身的拷贝嵌入其它程序而实现的。
返回本章首页第八章 计算机病毒防范技术计算机病毒的特性
计算机病毒是一个程序;
计算机病毒具有传染性,可以传染其它程序;
计算机病毒的传染方式是修改其它程序,把自身拷贝嵌入到其它程序中而实现的;
计算机病毒的定义在很多方面借用了生物学病毒的概念,因为它们有着诸多相似的特征,比如能够自我复制,能够快速,传染,,且都能够危害,病原体,,当然计算机病毒危害的,病原体,是正常工作的计算机系统和网络。
第八章 计算机病毒防范技术计算机病毒简史 -1
早在 1949年,计算机的先驱者冯 ·诺依曼在他的一篇论文,复杂自动机组织论,中,提出了计算机程序能够在内存中自我复制,即已把病毒程序的蓝图勾勒出来。
十年之后,在美国电话电报公司( AT&T)的贝尔实验室中,三个年轻程序员道格拉斯 ·麦耀莱、维特 ·维索斯基和罗伯 ·莫里斯在工作之余想出一种电子游戏叫做,磁芯大战,。
1975年,美国科普作家约翰 ·布鲁勒尔写了一本名为,震荡波骑士,的书,该书第一次描写了在信息社会中,计算机成为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。
1977年夏天,科幻小说,P-1的青春,幻想了世界上第一个计算机病毒,可以从一台计算机传染到另一台计算机,最终控制了 7000
台计算机,酿成了一场灾难,这实际上是计算机病毒的思想基础。
第八章 计算机病毒防范技术计算机病毒简史 -2
1983年 11月 3日,弗雷德 ·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序,伦 ·艾德勒曼将它命名为计算机病毒( Viruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在 VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行 5个实验的演示,
从而在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔,巴锡特和阿姆杰德两兄弟编写了
Pakistan病毒,该病毒在一年内流传到了世界各地,使人们认识到计算机病毒对 PC机的影响。
1987年 10月,美国第一例计算机病毒( Brian)被发现。此后,病毒就迅速蔓延开来,世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻,IBM圣诞树、黑色星期五等等。
1988年 3月 2日,一种苹果机病毒发作。
1988年 11月 3日,美国 6千台计算机被病毒感染,造成 Internet不能正常运行。这是一次非常典型计算机病毒入侵计算机网络的事件。
1989年,,米开朗基罗,病毒给许多计算机用户造成极大损失。
第八章 计算机病毒防范技术计算机病毒简史 -3
1991年,在,海湾战争,中,美军第一次将计算机病毒用于实战。
1992年,出现针对杀毒软件的,幽灵,病毒,如 One_Half。还出现了实现机理与以往的文件型病毒有明显区别的 DIR2病毒。
1994年 5月,南非第一次多种族全民大选的计票工作,因计算机病毒的破坏停止 30余小时,被迫推迟公布选举结果。
1996年,出现针对微软公司 Office的,宏病毒,。 1997年公认为计算机反病毒界的,宏病毒年,。
1998年,首例破坏计算机硬件的 CIH病毒出现,引起人们的恐慌。
1999年 3月 26日,出现一种通过因特网进行传播的,美丽杀手,病毒。
1999年 4月 26日,CIH病毒在我国大规模爆发,造成巨大损失。
2000年 5月 4日,爱虫病毒开始在全球各地迅速传播。该病毒通过
Microsoft Outlook电子邮件系统传播令全球为此损失 100亿美元。
第八章 计算机病毒防范技术计算机病毒简史 -4
2001年完全可以被称为,蠕虫之年,。 Nimda(尼姆达)、
CodeRed(红色代码),Badtrans(坏透了) …… 出现的蠕虫病毒不仅数量众多,而且危害极大,感染了数百万台电脑。
在 2002年新生的计算机病毒中,木马、黑客病毒以 61%的绝对数量占据头名。网络病毒越来越成为病毒的主流。
2003年的 1月 25日,仅在,SQL杀手,病毒出现的当天,我国就有 80%的网络服务供应商先后遭受此蠕虫病毒的攻击,造成许多网络的暂时瘫痪。
2003年的 8月 12日,名为,冲击波,的病毒在全球袭击
Windows操作系统,据估计可能感染了全球一、两亿台计算机,在国内导致上千个局域网瘫痪。
第八章 计算机病毒防范技术计算机病毒的特征
非授权可执行性
隐蔽性
传染性
潜伏性
表现性或破坏性
可触发性第八章 计算机病毒防范技术计算机病毒的主要危害
直接破坏计算机数据信息
占用磁盘空间和对信息的破坏
抢占系统资源
影响计算机运行速度
计算机病毒错误与不可预见的危害
计算机病毒的兼容性对系统运行的影响
给用户造成严重的心理压力第八章 计算机病毒防范技术
8.2 计算机病毒的工作原理和分类第八章 计算机病毒防范技术
8.2.1计算机病毒的工作原理
1.计算机病毒的结构
( 1) 病毒的逻辑结构
( 2)病毒的磁盘存储结构
( 3)病毒的内存驻留结构第八章 计算机病毒防范技术
( 1) 病毒的逻辑结构
病毒的引导模块;
病毒的传染模块;
病毒的发作(表现和破坏)模块。
引导模块传染条件判断模块实施传染模块触发条件判断模块实施表现或破坏模块图 8-1 计算机病毒的模块结构第八章 计算机病毒防范技术
( 2)病毒的磁盘存储结构
① 磁盘空间结构经过格式化后的磁盘应包括:
主引导记录区(硬盘)
引导记录区
文件分配表( FAT)
目录区
数据区第八章 计算机病毒防范技术
( 2)病毒的磁盘存储结构
② 系统型病毒的磁盘存储结构
病毒的一部分存放在磁盘的引导扇区中
另一部分则存放在磁盘其它扇区中
引导型病毒没有对应的文件名字第八章 计算机病毒防范技术
( 2)病毒的磁盘存储结构
③ 文件型病毒的磁盘存储结构
文件型病毒专门感染系统中可执行文件;
其程序依附在被感染文件的首部、尾部、
中部或空闲部位;
绝大多数文件型病毒都属于外壳型病毒。
第八章 计算机病毒防范技术
( 3)病毒的内存驻留结构
① 系统型病毒的内存驻留结构
系统型病毒是在系统启动时被装入的
病毒程序将自身移动到适当的内存高端
采用修改内存向量描述字的方法隐藏自己
有些病毒也利用小块没有使用的低端内存系统第八章 计算机病毒防范技术
( 3)病毒的内存驻留结构
② 文件型病毒的内存驻留结构病毒程序是在运行其宿主程序时被装入内存的,文件型病毒按其驻留内存方式可分为:
高端驻留型,典型的病毒有 Yankee。
常规驻留型,典型的病毒有黑色星期五。
内存控制链驻留型:典型的病毒有 1701。
设备程序补丁驻留型:典型的病毒有 DIR2。
不驻留内存型:典型的病毒有 Vienna/648。
第八章 计算机病毒防范技术
2,计算机病毒的作用机制
( 1)引导机制
( 2)传染机制
( 3)破坏机制第八章 计算机病毒防范技术
( 1)中断与计算机病毒中断是 CPU处理外部突发事件的一个重要技术。中断类型可划分为:
中断硬件中断软件中断:并不是真正的中断,系统功能调用内部中断:因硬件出错或运算出错所引起;
外部中断:由外设发出的中断;
第八章 计算机病毒防范技术病毒有关的重要中断
INT 08H和 INT 1CH的定时中断,有些病毒用来判断激发条件;
INT 09H键盘输入中断,病毒用于监视用户击键情况;
INT 10H屏幕输入输出,一些病毒用于在屏幕上显示信息来表现自己;
INT 13H磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘;
INT 21H DOS功能调用,绝大多数文件型病毒修改该中断。
第八章 计算机病毒防范技术病毒利用中断图 8-2 病毒盗用中断示意图中断向量 中断服务程序中断向量 病毒相关程序中断服务程序盗用后,
盗用前:
第八章 计算机病毒防范技术
( 2)计算机病毒的传染机制传染是指计算机病毒由一个载体传播到另一载体,由一个系统进入另一个系统的过程。计算机病毒的传染方式主要有:
病毒程序利用操作系统的引导机制或加载机制进入内存;
从内存的病毒传染新的存储介质或程序文件是利用操作系统的读写磁盘的中断或加载机制来实现的。
第八章 计算机病毒防范技术
( 3)计算机病毒的破坏机制破坏机制在设计原则、工作原理上与传染机制基体相同。它也是通过修改某一中断向量入口地址,使该中断向量指向病毒程序的破坏模块。
第八章 计算机病毒防范技术
8.2.2 计算机病毒的分类
1.按照病毒攻击的系统分类
( 1)攻击 DOS系统的病毒。
( 2)攻击 Windows系统的病毒。
( 3)攻击 UNIX系统的病毒。
( 4)攻击 OS/2系统的病毒。
第八章 计算机病毒防范技术
2.按照病毒的攻击机型分类
( 1)攻击微型计算机的病毒。
( 2)攻击小型机的计算机病毒。
( 3)攻击工作站的计算机病毒。
第八章 计算机病毒防范技术
3.按照病毒的链结方式分类
( 1)源码型病毒
( 2)嵌入型病毒
( 3)外壳型病毒
( 4)操作系统型病毒第八章 计算机病毒防范技术
4.按照病毒的破坏情况分类
( 1)良性计算机病毒
( 2)恶性计算机病毒
5.按照病毒的寄生方式分类
( 1)引导型病毒
( 2)文件型病毒
( 3)复合型病毒第八章 计算机病毒防范技术
6.按照病毒的传播媒介分类
( 1)单机病毒
( 2)网络病毒第八章 计算机病毒防范技术
8.2.3 病毒实例分析
1,CIH病毒概况
CIH病毒是一种文件型病毒,感染 Windows95/98
环境下 PE格式的 EXE文件。病毒的危害主要表现在病毒发作后,硬盘数据全部丢失,甚至主板上的 BIOS中的原内容会被彻底破坏,主机无法启动。
1999年 4月 26日,CIH病毒大爆发,全球超过 6000
万台电脑被破坏,2000年 CIH再度爆发,全球损失超过
10亿美元,2001年仅北京就有超过 6000台电脑遭破坏;
2002年 CIH病毒使数千台电脑遭破坏,瑞星公司修复硬盘数量一天接近 200块。
第八章 计算机病毒防范技术
( 1) CIH病毒的表现形式
受感染的,EXE文件的文件长度没有改变;
DOS以及 WIN 3.1 格式( NE格式)的可执行文件不受感染,并且在 Win NT中无效。
用资源管理器中,工具 >查找 >文件或文件夹,
的,高级 >包含文字,查找 EXE特征字符串 ——
“CIH v”,在查找过程中,显示出一大堆符合查找特征的可执行文件。
若 4月 26日开机,显示器突然黑屏,硬盘指示灯闪烁不停,重新开机后,计算机无法启动。
第八章 计算机病毒防范技术
( 2) CIH病毒的行为机制
CIH病毒直接进入 Windows内核。没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击( fragmented cavity
attack),将病毒化整为零,拆分成若干块,插入宿主文件中去;最引人注目的是它利用目前许多 BIOS芯片开放了可重写的特性,向计算机主板的 BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例。可以说 CIH病毒提供了一种全新的病毒程序方式和病毒发展方向。
第八章 计算机病毒防范技术
2,宏病毒宏的定义所谓宏,就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单的语法,把常用的动作编写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,完成某项特定的任务,而不必再重复相同的动作。
所谓,宏病毒,,是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒,也是一种跨平台的计算机病毒,可以在 Windows
9X,Windows NT/2000,OS/2和 Macintosh
System 7等操作系统上执行。
第八章 计算机病毒防范技术
( 1)宏病毒的行为机制
Word模式定义出一种文件格式,将文档资料以及该文档所需要的宏混在一起放在后缀为 doc的文件之中,这种作法已经不同于以往的软件将资料和宏分开存储的方法。正因为这种宏也是文档资料,便产生了宏感染的可能性。
Word宏病毒通过 doc文档和 dot模板进行自我复制及传播。计算机文档是交流最广的文件类型。这就为
Word宏病毒传播带来了很多便利,特别是 Internet网络的普及和 E-mail的大量应用更为 Word宏病毒的传播
,拓展,了道路。
第八章 计算机病毒防范技术
( 2) Word宏病毒特征
Word宏病毒会感染 doc文档和 dot模板文件。
Word宏病毒的传染通常是 Word在打开一个带宏病毒的文档或模板时,激活宏病毒。病毒宏将自身复制到
Word通用( Normal)模板中,以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。
多数 Word宏病毒包含 AutoOpen,AutoClose、
AutoNew和 AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。
Word宏病毒中总是含有对文档读写操作的宏命令。
Word宏病毒在 doc文档,dot模板中以 BFF( Binary
File Format)格式存放,这是一种加密压缩格式,不同
Word版本格式可能不兼容。
第八章 计算机病毒防范技术
3.网络病毒网络病毒专指在网络传播、并对网络进行破坏的病毒;
网络病毒也指 HTML病毒,E-mail病毒、
Java病毒等与因特网有关的病毒。
第八章 计算机病毒防范技术网络病毒的特点
传染方式多
传播速度比较快
清除难度大
破坏性强
潜在性 深第八章 计算机病毒防范技术
4.电子邮件病毒
,电子邮件病毒,其实和普通的计算机病毒一样,只不过它们的传播途径主要是通过电子邮件,所以才被称为,电子邮件病毒,。
第八章 计算机病毒防范技术电子邮件病毒的特点
传统的杀毒软件对检测此类格式的文件无能为力
传播速度快
传播范围广
破坏力大第八章 计算机病毒防范技术
8.3 计算机病毒的检测与防范第八章 计算机病毒防范技术
8.3.1 计算机病毒的检测
1.异常情况判断计算机工作时,如出现下列异常现象,则有可能感染了病毒:
( 1)屏幕出现异常图形或画面,这些画面可能是一些鬼怪,也可能是一些下落的雨点、字符、树叶等,并且系统很难退出或恢复。
( 2)扬声器发出与正常操作无关的声音,如演奏乐曲或是随意组合的、杂乱的声音。
( 3)磁盘可用空间减少,出现大量坏簇,且坏簇数目不断增多,直到无法继续工作。
( 4)硬盘不能引导系统。
第八章 计算机病毒防范技术
( 5)磁盘上的文件或程序丢失。
( 6)磁盘读 /写文件明显变慢,访问的时间加长。
( 7)系统引导变慢或出现问题,有的出现,写保护错,
提示。
( 8)系统经常死机或出现异常的重启动现象。
( 9)原来运行的程序突然不能运行,总是出现出错提示。
( 10)连接的打印机不能正常启动。
观察上述异常情况后,可初步判断系统的哪部分资源受到了病毒侵袭,为进一步诊断和 清除做好准备。
第八章 计算机病毒防范技术
2.检测的主要依据
( 1)检查磁盘主引导扇区
( 2)检查 FAT表
( 3)检查中断向量
( 4)检查可执行文件
( 5)检查内存空间
( 6)检查特征串第八章 计算机病毒防范技术
3.计算机病毒的检测手段
( 1)特征代码法特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下:
采集已知病毒样本。
在病毒样本中,抽取特征代码。
打开被检测文件,在文件中搜索病毒特征代码。
特征代码法的特点:
速度慢
误报警率低
不能检查多形性病毒
不能对付隐蔽性病毒第八章 计算机病毒防范技术
( 2)校验和法将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,
定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法。
优点,方法简单,能发现未知病毒、被查文件的细微变化也能发现。
缺点,会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
第八章 计算机病毒防范技术校验和法查病毒运用校验和法查病毒采用三种方式:
① 在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
② 在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值,实现应用程序的自检测。
③ 将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
第八章 计算机病毒防范技术
( 3)行为监测法利用病毒的特有行为特征来监测病毒的方法,称为行为监测法。这些能够作为监测病毒的行为特征如下:
A,占有 INT 13H
B,改 DOS系统为数据区的内存总量
C,对 COM,EXE文件做写入动作
D,病毒程序与宿主程序的切换优点,可发现未知病毒、可相当准确地预报未知的多数病毒。
缺点,可能误报警、不能识别病毒名称、实现时有一定难度。
第八章 计算机病毒防范技术
8.3.2 计算机病毒的防范
1.严格的管理
2.有效的技术目前在预防病毒工具中采用的技术主要有:
( 1)将大量的消毒 /杀毒软件汇集一体。
( 2)检测一些病毒经常要改变的系统信息。
( 3)监测写盘操作,对引导区或主引导区的写操作报警。
( 4)对文件形成一个密码检验码,实现对程序完整性的验证。
( 5)智能判断型。
( 6)智能监察型。
第八章 计算机病毒防范技术电子邮件病毒的防治
( 1)思想上高度重视,不要轻易打开来信中的附件文件;
( 2)不断完善,网关,软件及病毒防火墙软件;
( 3)使用优秀的防毒软件同时保护客户机和服务器;
( 4)使用特定的 SMTP杀毒软件。
第八章 计算机病毒防范技术
8.4 计算机病毒的发展方向和趋势第八章 计算机病毒防范技术
8.4.1 计算机病毒的新特性
( 1)利用微软漏洞主动传播
( 2)局域网内快速传播
( 3)以多种方式传播
( 4)大量消耗系统与网络资源
( 5)双程序结构
( 6)用即时工具传播病毒
( 7)病毒与黑客技术的融合
( 8)远程启动第八章 计算机病毒防范技术
8.4.2 计算机病毒发展的趋势及对策今后病毒的一些特点:
( 1)变形病毒成为下一代病毒首要的特点。
( 2)与 Internet和 Intranet更加紧密地结合,利用一切可以利用的方式进行传播;
( 3)所有的病毒都具有混合型特征,破坏性大大增强;
( 4)因为其扩散极快,不再追求隐藏性,而更加注重欺骗性;
( 5)利用系统漏洞将成为病毒有力的传播方式。
第八章 计算机病毒防范技术新一代的反病毒软件应具备的能力
( 1)全面地与互联网结合,实时监控,防止病毒入侵;
( 2)快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;
( 3)完善的在线升级服务,使用户随时拥有最新的防病毒能力;
( 4)对病毒经常攻击的应用程序提供重点保护;
( 5)提供完整、即时的反病毒咨询,提高用户的反病毒意识与警觉性。
第八章 计算机病毒防范技术
8.5 小 结计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征主要有:非授权可执行性、隐蔽性、传染性、潜伏性、破坏性以及可触发性。
计算机病毒的主要危害包括:病毒激发对计算机数据信息的直接破坏作用、占用磁盘空间和对信息的破坏、
抢占系统资源、影响计算机运行速度、计算机病毒错误与不可预见的危害、计算机病毒的兼容性对系统运行的影响、计算机病毒给用户造成严重的心理压力。
第八章 计算机病毒防范技术计算机病毒一般包括三大功能模块,即引导模块、传染模块和破坏 /表现模块。从不同的角度,计算机病毒有不同的分类方法。
计算机病毒的检测要从检查系统资源的异常情况入手。防治感染病毒的途径可概括为两类:
一是用户遵守和加强安全操作控制措施,二是使用防病毒工具。
未来的计算机病毒将更加智能化,其破坏力和影响力将不断增强,计算机病毒防治工作将成为信息系统安全的重要因素。
第八章 计算机病毒防范技术返回本章首页本章到此结束,谢谢!
概述
计算机病毒的工作原理和分类
计算机病毒的检测与防范
计算机病毒的发展方向和趋势第八章 计算机病毒防范技术
8.1 概 述计算机病毒的定义计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
美国计算机安全专家 Fred Cohen博士认为:计算机病毒是一种能传染其它程序的程序,病毒是靠修改其它程序,并把自身的拷贝嵌入其它程序而实现的。
返回本章首页第八章 计算机病毒防范技术计算机病毒的特性
计算机病毒是一个程序;
计算机病毒具有传染性,可以传染其它程序;
计算机病毒的传染方式是修改其它程序,把自身拷贝嵌入到其它程序中而实现的;
计算机病毒的定义在很多方面借用了生物学病毒的概念,因为它们有着诸多相似的特征,比如能够自我复制,能够快速,传染,,且都能够危害,病原体,,当然计算机病毒危害的,病原体,是正常工作的计算机系统和网络。
第八章 计算机病毒防范技术计算机病毒简史 -1
早在 1949年,计算机的先驱者冯 ·诺依曼在他的一篇论文,复杂自动机组织论,中,提出了计算机程序能够在内存中自我复制,即已把病毒程序的蓝图勾勒出来。
十年之后,在美国电话电报公司( AT&T)的贝尔实验室中,三个年轻程序员道格拉斯 ·麦耀莱、维特 ·维索斯基和罗伯 ·莫里斯在工作之余想出一种电子游戏叫做,磁芯大战,。
1975年,美国科普作家约翰 ·布鲁勒尔写了一本名为,震荡波骑士,的书,该书第一次描写了在信息社会中,计算机成为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。
1977年夏天,科幻小说,P-1的青春,幻想了世界上第一个计算机病毒,可以从一台计算机传染到另一台计算机,最终控制了 7000
台计算机,酿成了一场灾难,这实际上是计算机病毒的思想基础。
第八章 计算机病毒防范技术计算机病毒简史 -2
1983年 11月 3日,弗雷德 ·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序,伦 ·艾德勒曼将它命名为计算机病毒( Viruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在 VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行 5个实验的演示,
从而在实验上验证了计算机病毒的存在。
1986年初,在巴基斯坦的拉合尔,巴锡特和阿姆杰德两兄弟编写了
Pakistan病毒,该病毒在一年内流传到了世界各地,使人们认识到计算机病毒对 PC机的影响。
1987年 10月,美国第一例计算机病毒( Brian)被发现。此后,病毒就迅速蔓延开来,世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻,IBM圣诞树、黑色星期五等等。
1988年 3月 2日,一种苹果机病毒发作。
1988年 11月 3日,美国 6千台计算机被病毒感染,造成 Internet不能正常运行。这是一次非常典型计算机病毒入侵计算机网络的事件。
1989年,,米开朗基罗,病毒给许多计算机用户造成极大损失。
第八章 计算机病毒防范技术计算机病毒简史 -3
1991年,在,海湾战争,中,美军第一次将计算机病毒用于实战。
1992年,出现针对杀毒软件的,幽灵,病毒,如 One_Half。还出现了实现机理与以往的文件型病毒有明显区别的 DIR2病毒。
1994年 5月,南非第一次多种族全民大选的计票工作,因计算机病毒的破坏停止 30余小时,被迫推迟公布选举结果。
1996年,出现针对微软公司 Office的,宏病毒,。 1997年公认为计算机反病毒界的,宏病毒年,。
1998年,首例破坏计算机硬件的 CIH病毒出现,引起人们的恐慌。
1999年 3月 26日,出现一种通过因特网进行传播的,美丽杀手,病毒。
1999年 4月 26日,CIH病毒在我国大规模爆发,造成巨大损失。
2000年 5月 4日,爱虫病毒开始在全球各地迅速传播。该病毒通过
Microsoft Outlook电子邮件系统传播令全球为此损失 100亿美元。
第八章 计算机病毒防范技术计算机病毒简史 -4
2001年完全可以被称为,蠕虫之年,。 Nimda(尼姆达)、
CodeRed(红色代码),Badtrans(坏透了) …… 出现的蠕虫病毒不仅数量众多,而且危害极大,感染了数百万台电脑。
在 2002年新生的计算机病毒中,木马、黑客病毒以 61%的绝对数量占据头名。网络病毒越来越成为病毒的主流。
2003年的 1月 25日,仅在,SQL杀手,病毒出现的当天,我国就有 80%的网络服务供应商先后遭受此蠕虫病毒的攻击,造成许多网络的暂时瘫痪。
2003年的 8月 12日,名为,冲击波,的病毒在全球袭击
Windows操作系统,据估计可能感染了全球一、两亿台计算机,在国内导致上千个局域网瘫痪。
第八章 计算机病毒防范技术计算机病毒的特征
非授权可执行性
隐蔽性
传染性
潜伏性
表现性或破坏性
可触发性第八章 计算机病毒防范技术计算机病毒的主要危害
直接破坏计算机数据信息
占用磁盘空间和对信息的破坏
抢占系统资源
影响计算机运行速度
计算机病毒错误与不可预见的危害
计算机病毒的兼容性对系统运行的影响
给用户造成严重的心理压力第八章 计算机病毒防范技术
8.2 计算机病毒的工作原理和分类第八章 计算机病毒防范技术
8.2.1计算机病毒的工作原理
1.计算机病毒的结构
( 1) 病毒的逻辑结构
( 2)病毒的磁盘存储结构
( 3)病毒的内存驻留结构第八章 计算机病毒防范技术
( 1) 病毒的逻辑结构
病毒的引导模块;
病毒的传染模块;
病毒的发作(表现和破坏)模块。
引导模块传染条件判断模块实施传染模块触发条件判断模块实施表现或破坏模块图 8-1 计算机病毒的模块结构第八章 计算机病毒防范技术
( 2)病毒的磁盘存储结构
① 磁盘空间结构经过格式化后的磁盘应包括:
主引导记录区(硬盘)
引导记录区
文件分配表( FAT)
目录区
数据区第八章 计算机病毒防范技术
( 2)病毒的磁盘存储结构
② 系统型病毒的磁盘存储结构
病毒的一部分存放在磁盘的引导扇区中
另一部分则存放在磁盘其它扇区中
引导型病毒没有对应的文件名字第八章 计算机病毒防范技术
( 2)病毒的磁盘存储结构
③ 文件型病毒的磁盘存储结构
文件型病毒专门感染系统中可执行文件;
其程序依附在被感染文件的首部、尾部、
中部或空闲部位;
绝大多数文件型病毒都属于外壳型病毒。
第八章 计算机病毒防范技术
( 3)病毒的内存驻留结构
① 系统型病毒的内存驻留结构
系统型病毒是在系统启动时被装入的
病毒程序将自身移动到适当的内存高端
采用修改内存向量描述字的方法隐藏自己
有些病毒也利用小块没有使用的低端内存系统第八章 计算机病毒防范技术
( 3)病毒的内存驻留结构
② 文件型病毒的内存驻留结构病毒程序是在运行其宿主程序时被装入内存的,文件型病毒按其驻留内存方式可分为:
高端驻留型,典型的病毒有 Yankee。
常规驻留型,典型的病毒有黑色星期五。
内存控制链驻留型:典型的病毒有 1701。
设备程序补丁驻留型:典型的病毒有 DIR2。
不驻留内存型:典型的病毒有 Vienna/648。
第八章 计算机病毒防范技术
2,计算机病毒的作用机制
( 1)引导机制
( 2)传染机制
( 3)破坏机制第八章 计算机病毒防范技术
( 1)中断与计算机病毒中断是 CPU处理外部突发事件的一个重要技术。中断类型可划分为:
中断硬件中断软件中断:并不是真正的中断,系统功能调用内部中断:因硬件出错或运算出错所引起;
外部中断:由外设发出的中断;
第八章 计算机病毒防范技术病毒有关的重要中断
INT 08H和 INT 1CH的定时中断,有些病毒用来判断激发条件;
INT 09H键盘输入中断,病毒用于监视用户击键情况;
INT 10H屏幕输入输出,一些病毒用于在屏幕上显示信息来表现自己;
INT 13H磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘;
INT 21H DOS功能调用,绝大多数文件型病毒修改该中断。
第八章 计算机病毒防范技术病毒利用中断图 8-2 病毒盗用中断示意图中断向量 中断服务程序中断向量 病毒相关程序中断服务程序盗用后,
盗用前:
第八章 计算机病毒防范技术
( 2)计算机病毒的传染机制传染是指计算机病毒由一个载体传播到另一载体,由一个系统进入另一个系统的过程。计算机病毒的传染方式主要有:
病毒程序利用操作系统的引导机制或加载机制进入内存;
从内存的病毒传染新的存储介质或程序文件是利用操作系统的读写磁盘的中断或加载机制来实现的。
第八章 计算机病毒防范技术
( 3)计算机病毒的破坏机制破坏机制在设计原则、工作原理上与传染机制基体相同。它也是通过修改某一中断向量入口地址,使该中断向量指向病毒程序的破坏模块。
第八章 计算机病毒防范技术
8.2.2 计算机病毒的分类
1.按照病毒攻击的系统分类
( 1)攻击 DOS系统的病毒。
( 2)攻击 Windows系统的病毒。
( 3)攻击 UNIX系统的病毒。
( 4)攻击 OS/2系统的病毒。
第八章 计算机病毒防范技术
2.按照病毒的攻击机型分类
( 1)攻击微型计算机的病毒。
( 2)攻击小型机的计算机病毒。
( 3)攻击工作站的计算机病毒。
第八章 计算机病毒防范技术
3.按照病毒的链结方式分类
( 1)源码型病毒
( 2)嵌入型病毒
( 3)外壳型病毒
( 4)操作系统型病毒第八章 计算机病毒防范技术
4.按照病毒的破坏情况分类
( 1)良性计算机病毒
( 2)恶性计算机病毒
5.按照病毒的寄生方式分类
( 1)引导型病毒
( 2)文件型病毒
( 3)复合型病毒第八章 计算机病毒防范技术
6.按照病毒的传播媒介分类
( 1)单机病毒
( 2)网络病毒第八章 计算机病毒防范技术
8.2.3 病毒实例分析
1,CIH病毒概况
CIH病毒是一种文件型病毒,感染 Windows95/98
环境下 PE格式的 EXE文件。病毒的危害主要表现在病毒发作后,硬盘数据全部丢失,甚至主板上的 BIOS中的原内容会被彻底破坏,主机无法启动。
1999年 4月 26日,CIH病毒大爆发,全球超过 6000
万台电脑被破坏,2000年 CIH再度爆发,全球损失超过
10亿美元,2001年仅北京就有超过 6000台电脑遭破坏;
2002年 CIH病毒使数千台电脑遭破坏,瑞星公司修复硬盘数量一天接近 200块。
第八章 计算机病毒防范技术
( 1) CIH病毒的表现形式
受感染的,EXE文件的文件长度没有改变;
DOS以及 WIN 3.1 格式( NE格式)的可执行文件不受感染,并且在 Win NT中无效。
用资源管理器中,工具 >查找 >文件或文件夹,
的,高级 >包含文字,查找 EXE特征字符串 ——
“CIH v”,在查找过程中,显示出一大堆符合查找特征的可执行文件。
若 4月 26日开机,显示器突然黑屏,硬盘指示灯闪烁不停,重新开机后,计算机无法启动。
第八章 计算机病毒防范技术
( 2) CIH病毒的行为机制
CIH病毒直接进入 Windows内核。没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击( fragmented cavity
attack),将病毒化整为零,拆分成若干块,插入宿主文件中去;最引人注目的是它利用目前许多 BIOS芯片开放了可重写的特性,向计算机主板的 BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例。可以说 CIH病毒提供了一种全新的病毒程序方式和病毒发展方向。
第八章 计算机病毒防范技术
2,宏病毒宏的定义所谓宏,就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单的语法,把常用的动作编写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,完成某项特定的任务,而不必再重复相同的动作。
所谓,宏病毒,,是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒,也是一种跨平台的计算机病毒,可以在 Windows
9X,Windows NT/2000,OS/2和 Macintosh
System 7等操作系统上执行。
第八章 计算机病毒防范技术
( 1)宏病毒的行为机制
Word模式定义出一种文件格式,将文档资料以及该文档所需要的宏混在一起放在后缀为 doc的文件之中,这种作法已经不同于以往的软件将资料和宏分开存储的方法。正因为这种宏也是文档资料,便产生了宏感染的可能性。
Word宏病毒通过 doc文档和 dot模板进行自我复制及传播。计算机文档是交流最广的文件类型。这就为
Word宏病毒传播带来了很多便利,特别是 Internet网络的普及和 E-mail的大量应用更为 Word宏病毒的传播
,拓展,了道路。
第八章 计算机病毒防范技术
( 2) Word宏病毒特征
Word宏病毒会感染 doc文档和 dot模板文件。
Word宏病毒的传染通常是 Word在打开一个带宏病毒的文档或模板时,激活宏病毒。病毒宏将自身复制到
Word通用( Normal)模板中,以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。
多数 Word宏病毒包含 AutoOpen,AutoClose、
AutoNew和 AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。
Word宏病毒中总是含有对文档读写操作的宏命令。
Word宏病毒在 doc文档,dot模板中以 BFF( Binary
File Format)格式存放,这是一种加密压缩格式,不同
Word版本格式可能不兼容。
第八章 计算机病毒防范技术
3.网络病毒网络病毒专指在网络传播、并对网络进行破坏的病毒;
网络病毒也指 HTML病毒,E-mail病毒、
Java病毒等与因特网有关的病毒。
第八章 计算机病毒防范技术网络病毒的特点
传染方式多
传播速度比较快
清除难度大
破坏性强
潜在性 深第八章 计算机病毒防范技术
4.电子邮件病毒
,电子邮件病毒,其实和普通的计算机病毒一样,只不过它们的传播途径主要是通过电子邮件,所以才被称为,电子邮件病毒,。
第八章 计算机病毒防范技术电子邮件病毒的特点
传统的杀毒软件对检测此类格式的文件无能为力
传播速度快
传播范围广
破坏力大第八章 计算机病毒防范技术
8.3 计算机病毒的检测与防范第八章 计算机病毒防范技术
8.3.1 计算机病毒的检测
1.异常情况判断计算机工作时,如出现下列异常现象,则有可能感染了病毒:
( 1)屏幕出现异常图形或画面,这些画面可能是一些鬼怪,也可能是一些下落的雨点、字符、树叶等,并且系统很难退出或恢复。
( 2)扬声器发出与正常操作无关的声音,如演奏乐曲或是随意组合的、杂乱的声音。
( 3)磁盘可用空间减少,出现大量坏簇,且坏簇数目不断增多,直到无法继续工作。
( 4)硬盘不能引导系统。
第八章 计算机病毒防范技术
( 5)磁盘上的文件或程序丢失。
( 6)磁盘读 /写文件明显变慢,访问的时间加长。
( 7)系统引导变慢或出现问题,有的出现,写保护错,
提示。
( 8)系统经常死机或出现异常的重启动现象。
( 9)原来运行的程序突然不能运行,总是出现出错提示。
( 10)连接的打印机不能正常启动。
观察上述异常情况后,可初步判断系统的哪部分资源受到了病毒侵袭,为进一步诊断和 清除做好准备。
第八章 计算机病毒防范技术
2.检测的主要依据
( 1)检查磁盘主引导扇区
( 2)检查 FAT表
( 3)检查中断向量
( 4)检查可执行文件
( 5)检查内存空间
( 6)检查特征串第八章 计算机病毒防范技术
3.计算机病毒的检测手段
( 1)特征代码法特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下:
采集已知病毒样本。
在病毒样本中,抽取特征代码。
打开被检测文件,在文件中搜索病毒特征代码。
特征代码法的特点:
速度慢
误报警率低
不能检查多形性病毒
不能对付隐蔽性病毒第八章 计算机病毒防范技术
( 2)校验和法将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,
定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法。
优点,方法简单,能发现未知病毒、被查文件的细微变化也能发现。
缺点,会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
第八章 计算机病毒防范技术校验和法查病毒运用校验和法查病毒采用三种方式:
① 在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
② 在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值,实现应用程序的自检测。
③ 将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
第八章 计算机病毒防范技术
( 3)行为监测法利用病毒的特有行为特征来监测病毒的方法,称为行为监测法。这些能够作为监测病毒的行为特征如下:
A,占有 INT 13H
B,改 DOS系统为数据区的内存总量
C,对 COM,EXE文件做写入动作
D,病毒程序与宿主程序的切换优点,可发现未知病毒、可相当准确地预报未知的多数病毒。
缺点,可能误报警、不能识别病毒名称、实现时有一定难度。
第八章 计算机病毒防范技术
8.3.2 计算机病毒的防范
1.严格的管理
2.有效的技术目前在预防病毒工具中采用的技术主要有:
( 1)将大量的消毒 /杀毒软件汇集一体。
( 2)检测一些病毒经常要改变的系统信息。
( 3)监测写盘操作,对引导区或主引导区的写操作报警。
( 4)对文件形成一个密码检验码,实现对程序完整性的验证。
( 5)智能判断型。
( 6)智能监察型。
第八章 计算机病毒防范技术电子邮件病毒的防治
( 1)思想上高度重视,不要轻易打开来信中的附件文件;
( 2)不断完善,网关,软件及病毒防火墙软件;
( 3)使用优秀的防毒软件同时保护客户机和服务器;
( 4)使用特定的 SMTP杀毒软件。
第八章 计算机病毒防范技术
8.4 计算机病毒的发展方向和趋势第八章 计算机病毒防范技术
8.4.1 计算机病毒的新特性
( 1)利用微软漏洞主动传播
( 2)局域网内快速传播
( 3)以多种方式传播
( 4)大量消耗系统与网络资源
( 5)双程序结构
( 6)用即时工具传播病毒
( 7)病毒与黑客技术的融合
( 8)远程启动第八章 计算机病毒防范技术
8.4.2 计算机病毒发展的趋势及对策今后病毒的一些特点:
( 1)变形病毒成为下一代病毒首要的特点。
( 2)与 Internet和 Intranet更加紧密地结合,利用一切可以利用的方式进行传播;
( 3)所有的病毒都具有混合型特征,破坏性大大增强;
( 4)因为其扩散极快,不再追求隐藏性,而更加注重欺骗性;
( 5)利用系统漏洞将成为病毒有力的传播方式。
第八章 计算机病毒防范技术新一代的反病毒软件应具备的能力
( 1)全面地与互联网结合,实时监控,防止病毒入侵;
( 2)快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;
( 3)完善的在线升级服务,使用户随时拥有最新的防病毒能力;
( 4)对病毒经常攻击的应用程序提供重点保护;
( 5)提供完整、即时的反病毒咨询,提高用户的反病毒意识与警觉性。
第八章 计算机病毒防范技术
8.5 小 结计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征主要有:非授权可执行性、隐蔽性、传染性、潜伏性、破坏性以及可触发性。
计算机病毒的主要危害包括:病毒激发对计算机数据信息的直接破坏作用、占用磁盘空间和对信息的破坏、
抢占系统资源、影响计算机运行速度、计算机病毒错误与不可预见的危害、计算机病毒的兼容性对系统运行的影响、计算机病毒给用户造成严重的心理压力。
第八章 计算机病毒防范技术计算机病毒一般包括三大功能模块,即引导模块、传染模块和破坏 /表现模块。从不同的角度,计算机病毒有不同的分类方法。
计算机病毒的检测要从检查系统资源的异常情况入手。防治感染病毒的途径可概括为两类:
一是用户遵守和加强安全操作控制措施,二是使用防病毒工具。
未来的计算机病毒将更加智能化,其破坏力和影响力将不断增强,计算机病毒防治工作将成为信息系统安全的重要因素。
第八章 计算机病毒防范技术返回本章首页本章到此结束,谢谢!
