1、第八章計算機(jī)病毒及防治(fngzh) 一. 基本要求與基本知識點（1）了解計算機(jī)病毒產(chǎn)生的歷史，掌握計算機(jī)病毒的概念、特征和分類；（2）了解計算機(jī)病毒的破壞現(xiàn)象和癥狀，掌握計算機(jī)病毒的結(jié)構(gòu)；（3）學(xué)習(xí)引導(dǎo)型病毒的產(chǎn)生機(jī)理；（4）了解檢測和防治病毒的常用方法。二. 教學(xué)重點與難點(ndin)（1）計算機(jī)病毒的概念和特征；（2）計算機(jī)病毒的組成；（3）引導(dǎo)型病毒的產(chǎn)生機(jī)理；（4）檢測和防治病毒的常用方法。1共五十三頁81 計算機(jī)病毒的基本概念 8.1.1 計算機(jī)病毒的定義計算機(jī)病毒實質(zhì)上是一組計算機(jī)程序，因為計算機(jī)病毒在很多方面與生物病毒有相似之處，以此借用生物病毒的概念。在中華人民共和國計算機(jī)信

2、息系統(tǒng)安全保護(hù)條例中定義為：“計算機(jī)病毒（CV，Computer Viruses），是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并且能夠自我復(fù)制的一組計算機(jī)指令(zhlng)或者程序代碼”。計算機(jī)病毒是一種“計算機(jī)程序”，它通過某種途徑潛伏在計算機(jī)系統(tǒng)資源中，不僅能破壞計算機(jī)系統(tǒng)，而且還能傳播、感染到其它系統(tǒng)。2共五十三頁8.1.2 計算機(jī)病毒的產(chǎn)生(chnshng)和發(fā)展1949年計算機(jī)的創(chuàng)始人馮諾依曼的復(fù)雜自動組織論論文，提出計算機(jī)程序可以在內(nèi)存中進(jìn)行(jnxng)自我復(fù)制和變異的理論，勾勒出計算機(jī)病毒程序的特征。但當(dāng)時，絕大多數(shù)計算機(jī)專家都無法想象這種會自

3、我復(fù)制的程序所帶來的后果。1959年AT&TBell實驗室的3位成員編制出一個稱為“磁芯大戰(zhàn)”（Core War）的游戲。游戲參與各方編制具有自我復(fù)制能力的程序，這些程序之間相互攻擊，毀滅對方程序者為贏家。1975年美國科普作家約翰布魯爾（John Brunner）寫了一本名為震蕩波騎士（Shock Wave Rider）的書。該書第一次描寫了在信息社會中，計算機(jī)作為正義與邪惡雙方斗爭的工具，稱為當(dāng)年最暢銷書之一。3共五十三頁1977年夏天，美國作家托馬斯捷瑞安（ThomasJRyan）的科幻小說P-1的青春（The Adolescence of P-1）轟動美國科普界。作者幻想了世界第一個計

4、算機(jī)病毒，可以從一臺計算機(jī)傳染(chunrn)到另一臺計算機(jī)，最終控制了7000臺計算機(jī)，釀成一場災(zāi)難，這實際上是計算機(jī)病毒的思想基礎(chǔ)?！坝嬎銠C(jī)病毒”這一概念是在這部科幻小說中提出的，今天卻在現(xiàn)實生活中泛濫成災(zāi)，稱為全球一大公害。1983年，弗雷德科恩（Fred Cohen）博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序。并在全美計算機(jī)安全會議上提出，在VAXll750機(jī)上演示，從而在實驗室證實計算機(jī)病毒的存在，這也是公認(rèn)的第一個計算機(jī)病毒程序的出現(xiàn)。 4共五十三頁1986年，在巴基斯坦的拉合爾，兩個以編制(binzh)軟件為生的兄弟巴希特（Basit）和阿姆杰德（Amjad），為打擊那些

5、盜版軟件的使用者，編制(binzh)了一個名為“巴基斯坦”（Brain）病毒。這就是最早在世界上流行的一個計算機(jī)病毒。1988年各種計算機(jī)病毒開始大肆流行，人們發(fā)現(xiàn)了形形色色的計算機(jī)病毒，如大麻、IBM圣誕樹、黑色星期五等。特別是1988年羅伯特莫里斯（Rober Moms）制造的蠕蟲病毒首次通過網(wǎng)絡(luò)傳播病毒，是一起震撼世界的“計算機(jī)病毒侵入網(wǎng)絡(luò)的案件”。5共五十三頁自從計算機(jī)病毒出現(xiàn)以來，病毒在設(shè)計上越來越復(fù)雜，在數(shù)量上呈指數(shù)增長，并在功能或形態(tài)上發(fā)生了變異。縱觀計算機(jī)病毒的發(fā)展過程不難看出，新病毒的產(chǎn)生、傳播和蔓延(mn yn)與計算機(jī)軟、硬件技術(shù)的發(fā)展和新的操作系統(tǒng)的廣泛應(yīng)用密切相關(guān)。隨

6、著網(wǎng)絡(luò)環(huán)境的普及應(yīng)用與計算機(jī)軟硬件規(guī)模的增大，在方便人們使用的同時，也擴(kuò)展了病毒的傳播途徑，加快了病毒的傳播速度，并且增加了檢測難度。尤其是互聯(lián)網(wǎng)的發(fā)展促使計算機(jī)病毒傳播速度更快，傳播空間更廣，使病毒具有更大的危害性和破壞性。計算機(jī)病毒“無處不在，無時不有”。6共五十三頁 8.1.3計算機(jī)病毒的特征(tzhng)和生物病毒相類似，計算機(jī)病毒具有傳染性、潛伏性、可激活性以及破壞性等特征。（1）程序性計算機(jī)病毒（CV）是人為編制的一段可執(zhí)行程序。CV要得到運行，必須有機(jī)會進(jìn)入內(nèi)存。CV是通過寄生在某些(mu xi)合法的可執(zhí)行程序之上。當(dāng)這些合法程序被調(diào)入內(nèi)存運行時，CV也被載入內(nèi)存，并搶先獲得系

7、統(tǒng)控制權(quán)，被“合法”運行。（2）傳染性傳染性是CV的基本特征，是衡量CV的標(biāo)準(zhǔn)。計算機(jī)病毒會通過各種途徑從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)，從已感染的一個網(wǎng)絡(luò)傳播到另一個未感染的網(wǎng)絡(luò)。 7共五十三頁（3）隱蔽性CV通常以附加或插入的方式，隱藏在可執(zhí)行文件或數(shù)據(jù)文件等資源中，并以分散多處的方式存放(cnfng)。當(dāng)CV程序運行時，先將分散的程序部分在內(nèi)存中重新裝配，構(gòu)成一個完整的病毒程序，然后進(jìn)入運行狀態(tài)。一旦CV被發(fā)現(xiàn)，通常都是計算機(jī)已經(jīng)感染病毒，并且已經(jīng)發(fā)作，出現(xiàn)了異常。（4）潛伏性一個編織精巧的計算機(jī)病毒程序，具有短小精悍的特點，不易被察覺和發(fā)現(xiàn)。它進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，可以

8、在幾周或者幾個月內(nèi)甚至幾年內(nèi)隱藏在合法系統(tǒng)資源中，對其它系統(tǒng)進(jìn)行傳染，而不被發(fā)現(xiàn)。潛伏性越好，其在系統(tǒng)中存在的時間就會越長，CV傳染的范圍就會越大。 8共五十三頁（5）激活性因某個條件的出現(xiàn)，誘使CV感染或?qū)嵤┕舻奶匦苑Q為激活性。激活的本質(zhì)是一種條件控制，其中條件可以是時間、日期、文件類型或特定的數(shù)據(jù)等病毒。CV具有預(yù)定的激活機(jī)制，在CV運行時，激活機(jī)制檢查預(yù)定條件是否滿足(mnz)。如果滿足(mnz)，則啟動感染或破壞動作；如果不滿足(mnz)，則CV繼續(xù)潛伏。（6）破壞性CV設(shè)計的目的就是干擾或破壞計算機(jī)系統(tǒng)的正常運行，其破壞程度各不相同，如有的侵占系統(tǒng)資源、降低系統(tǒng)性能；有的毀壞系統(tǒng)部

9、分或全部數(shù)據(jù)；有的造成系統(tǒng)癱瘓等。9共五十三頁8.1.4 計算機(jī)病毒的分類(fn li)1、按攻擊的操作系統(tǒng)進(jìn)行分類攻擊DOS系統(tǒng)的計算機(jī)病毒。此類CV出現(xiàn)最早、最多、變種也最多。攻擊Windows系統(tǒng)的計算機(jī)病毒。由于Windows是圖形用戶界面和多任務(wù)操作系統(tǒng)，深受用戶歡迎，Windows已經(jīng)逐漸取代DOS，因此成為CV攻擊的主要對象。發(fā)現(xiàn)的首例破壞計算機(jī)硬件的CIH病毒就是(jish)一個攻擊Windows 95/98的病毒。攻擊UNIX系統(tǒng)的計算機(jī)病毒。當(dāng)前UNIX系統(tǒng)應(yīng)用非常廣泛，并且許多大型的信息系統(tǒng)均采用UNIX操作系統(tǒng)，因此UNIX病毒的出現(xiàn)，對信息系統(tǒng)也將是一個嚴(yán)重的威脅。1

10、0共五十三頁攻擊OS/2系統(tǒng)的計算機(jī)病毒。世界(shji)上已經(jīng)發(fā)現(xiàn)攻擊OS/2操作系統(tǒng)的病毒。2、按攻擊的機(jī)型分類攻擊微型計算機(jī)的病毒，即為世界上傳染最廣泛的一種病毒。攻擊小型機(jī)的計算機(jī)病毒。小型機(jī)應(yīng)用很廣，1988年Internet受到worm程序攻擊，許多小型機(jī)遭受破壞。攻擊工作站的計算機(jī)病毒。近年來，工作站應(yīng)用有了較大進(jìn)展，因此對工作站攻擊的病毒也構(gòu)成對信息系統(tǒng)的威脅。11共五十三頁3、按感染方式分類文件病毒：主要傳染文件擴(kuò)展名為COM、EXE等可執(zhí)行文件。當(dāng)這些文件被調(diào)入內(nèi)存運行時，CV即可獲得(hud)控制權(quán)，“合法”運行。引導(dǎo)區(qū)病毒：用計算機(jī)病毒的全部或部分取代正常的引導(dǎo)區(qū)數(shù)據(jù)，

11、而將正常的引導(dǎo)區(qū)數(shù)據(jù)移到磁盤的其它位置。由于引導(dǎo)區(qū)是磁盤能正常啟動的先決條件，因此這種CV在運行一開始，就能獲得系統(tǒng)控制權(quán)，其傳染性較大?；旌闲筒《荆褐讣葌魅敬疟P引導(dǎo)區(qū)，又傳染可執(zhí)行文件的計算機(jī)病毒。宏病毒：感染數(shù)據(jù)文件的計算機(jī)病毒。如感染W(wǎng)ord（DOC/DOT）文件和Excel（XLS）文件的宏病毒。12共五十三頁4、按寄生方式分類覆蓋式計算機(jī)病毒：計算機(jī)病毒將自身程序代碼部分或全部的覆蓋在宿主程序上，使合法程序的部分功能或全部功能被破壞；代替式計算機(jī)病毒：計算機(jī)病毒用自身程序代碼替代宿主程序，從而使計算機(jī)病毒以“合法”身份運行(ynxng)。鏈接式計算機(jī)病毒：計算機(jī)病毒將自身程序代碼附加

12、在宿主程序代碼的首部、中間或最后，但不破壞原合法程序的代碼。 轉(zhuǎn)儲式計算機(jī)病毒：病毒將原合法的程序代碼轉(zhuǎn)儲到存儲介質(zhì)的其它位置，而用病毒代碼占據(jù)原合法程序的位置。添充式計算機(jī)病毒：病毒程序代碼侵占宿主程序的空閑存儲空間，不改變宿主程序的字節(jié)長度。 13共五十三頁5、按侵入的途徑分類源碼型計算機(jī)病毒：指計算機(jī)病毒程序(chngx)在源程序(chngx)被編譯前就插入其中，而后被編譯成合法程序(chngx)的一部分。這類病毒生成困難較大，較少見。操作系統(tǒng)型計算機(jī)病毒：指計算機(jī)病毒程序?qū)⒆詣蛹尤牖蛱娲糠植僮飨到y(tǒng)工作，這種病毒常見，且危害最大。程序型計算機(jī)病毒：將計算機(jī)病毒自身程序侵入到主程序中。這

13、類病毒在清除的同時，會破壞系統(tǒng)中的主程序。外殼型計算機(jī)病毒：將自身放在主程序的開頭或結(jié)尾，不對原主程序作修改。這種病毒容易編制，也容易被發(fā)現(xiàn)和清除。14共五十三頁8.2 計算機(jī)病毒的工作(gngzu)機(jī)理 8.2.1 計算機(jī)病毒的危害當(dāng)病毒發(fā)作條件滿足(mnz)時，病毒發(fā)作并表現(xiàn)出一定的癥狀和破壞性。根據(jù)計算機(jī)病毒危害的不同，病毒發(fā)作時表現(xiàn)出的癥狀可能有很大差別。從顯示一些干擾信息，到降低系統(tǒng)性能，破壞數(shù)據(jù)（信息），直到造成系統(tǒng)癱瘓等。（1）計算機(jī)病毒對獨立計算機(jī)系統(tǒng)的危害 破壞磁盤文件分配表或目錄區(qū)，使用戶磁盤上的信息丟失； 刪除軟盤或硬盤上的可執(zhí)行文件或系統(tǒng)文件，使系統(tǒng)無法啟動；15共五十

14、三頁 修改或破壞(phui)文件的數(shù)據(jù)； 病毒程序自身在計算機(jī)系統(tǒng)中多次復(fù)制，使系統(tǒng)的存儲空間減少，造成正常的文件不能存儲； 刪除或改寫磁盤上的特定扇區(qū)； 對系統(tǒng)中用戶存儲的特定文件進(jìn)行非法加密或解密； 感染和破壞壓縮文件，使其在解壓時失?。?改寫B(tài)IOS中內(nèi)容，使主板遭到毀滅性的破壞。16共五十三頁（2）計算機(jī)病毒對網(wǎng)絡(luò)的危害 病毒通過“自我復(fù)制”傳染正在運行的系統(tǒng)，與正常的運行程序爭奪系統(tǒng)資源，造成系統(tǒng)癱瘓，并通過網(wǎng)絡(luò)系統(tǒng)侵害與之聯(lián)網(wǎng)的其他計算機(jī)； 病毒會導(dǎo)致計算機(jī)控制的失靈； 病毒會導(dǎo)致電子郵件傳遞混亂或Email系統(tǒng)關(guān)閉； 病毒程序在激活(j hu)時，能刪除系統(tǒng)存取器中的大量數(shù)據(jù)，使

15、與之相聯(lián)的計算機(jī)用戶的程序和數(shù)據(jù)丟失。 17共五十三頁8.2.2 計算機(jī)病毒的結(jié)構(gòu)(jigu)雖然不各種計算機(jī)病毒的機(jī)制和癥狀不盡相同，但計算機(jī)病毒的結(jié)構(gòu)基本相似，一般由引導(dǎo)模塊、傳染模塊和破壞模塊三個功能模塊組成。（1）引導(dǎo)模塊引導(dǎo)模塊又稱載入模塊，負(fù)責(zé)完成病毒的裝入、初始化和截取系統(tǒng)控制權(quán)的功能。它借助與宿主程序，將整個病毒程序加載到內(nèi)存安裝(nzhung)好，并使傳染模塊和破壞模塊進(jìn)入活動狀態(tài)。該模塊使病毒由靜態(tài)變?yōu)閯討B(tài)。18共五十三頁（2）傳染模塊目的是將計算機(jī)病毒迅速傳播，盡可能擴(kuò)大傳染范圍，是計算機(jī)病毒不可缺少的模塊。傳染模塊包括兩部分：一是計算機(jī)病毒的條件判斷部分，負(fù)責(zé)判斷傳染條

16、件是否成立 ；二是計算機(jī)病毒(bngd)的傳染部分，負(fù)責(zé)復(fù)制一個計算機(jī)病毒(bngd)副本，并寄生于傳染對象，完成病毒(bngd)的復(fù)制和傳染任務(wù)。19共五十三頁（3）破壞模塊計算機(jī)病毒編制的意圖是攻擊和破壞計算機(jī)系統(tǒng)，因此破壞模塊是計算機(jī)病毒的核心部分。該模塊首先判斷破壞條件是否成立，當(dāng)條件成立時，破壞模塊將對系統(tǒng)實施攻擊和破壞。 引導(dǎo)模塊借助宿主程序?qū)⒉《镜膫魅灸K和破壞模塊加載到內(nèi)存，使傳染模塊和破壞模塊進(jìn)入活動狀態(tài)。由此可見，引導(dǎo)模塊是傳染和破壞的基礎(chǔ)，依靠傳染模塊擴(kuò)大傳染范圍，由破壞模塊完成對計算機(jī)系統(tǒng)及其數(shù)據(jù)進(jìn)行破壞的任務(wù)(rn wu)。圖8-1給出了計算機(jī)病毒的工作流程。20共五

17、十三頁圖8-1 計算機(jī)病毒的工作(gngzu)流程21共五十三頁從病毒的工作流程可見(kjin)： 病毒的運行過程分三個階段，即引導(dǎo)階段、傳染階段和破壞階段； 病毒總是奪取系統(tǒng)控制權(quán)，先于宿主運行； 病毒一旦進(jìn)入系統(tǒng)，一直會在系統(tǒng)中捕獲傳染對象，進(jìn)行傳染或破壞活動，直至關(guān)機(jī)才會從系統(tǒng)中消失。 22共五十三頁8.3 計算機(jī)病毒實例(shl)分析本節(jié)介紹分析一種典型的主引導(dǎo)區(qū)病毒，即“大麻”病毒。1引導(dǎo)區(qū)的結(jié)構(gòu)硬盤空間被劃分為兩部分(b fen)：主引導(dǎo)區(qū)和多個系統(tǒng)分區(qū)，如表8-1所示：表8-1 硬盤空間劃分 （1）主引導(dǎo)區(qū)主引導(dǎo)程序是硬盤啟動時首先執(zhí)行的程序，負(fù)責(zé)讀取磁盤劃分信息，并調(diào)入活動分區(qū)

18、的引導(dǎo)程序運行。分區(qū)表描述了硬盤中個系統(tǒng)分區(qū)的劃分情況。23共五十三頁主引導(dǎo)區(qū)占據(jù)磁盤的0磁道0磁頭的第一扇區(qū)，是一個隱藏扇區(qū)，它為系統(tǒng)的啟動（硬盤啟動）提供重要信息。它包含三個關(guān)鍵代碼：第一個關(guān)鍵代碼為FA33C0(起始位置)，第二個關(guān)鍵代碼為800101（中間(zhngjin)位置），第三個關(guān)鍵代碼為55AA（最后位置）。即主引導(dǎo)區(qū)的標(biāo)志，如圖8-2所示。24共五十三頁通?？共《拒浖奶卣鲯呙?somio)檢測，就是通過檢測這些代碼的完整性，來檢測主引導(dǎo)區(qū)的數(shù)據(jù)完整性。圖8-2 主引導(dǎo)(yndo)分區(qū) 25共五十三頁（2）系統(tǒng)分區(qū)(fn q)多個系統(tǒng)分區(qū)是分別提供給各種不同的操作系統(tǒng)（如D

19、OS/Windows、UNIX、OS/2等）使用的區(qū)域，每個區(qū)域只能存放一種操作系統(tǒng)。每個系統(tǒng)分區(qū)中的操作系統(tǒng)具有自己的分區(qū)引導(dǎo)程序、文件分配表、文件根目錄區(qū)以及數(shù)據(jù)區(qū)。 例如只含DOS系統(tǒng)分區(qū)的硬盤空間分配如表8-2所示。系統(tǒng)分區(qū)只能有一個活動分區(qū)，啟動時活動分區(qū)中的引導(dǎo)程序被調(diào)入內(nèi)存執(zhí)行。表8-2只含DOS系統(tǒng)分區(qū)的硬盤空間分配 26共五十三頁2計算機(jī)的引導(dǎo)過程系統(tǒng)啟動時，磁盤自舉程序首先判斷是否從軟盤啟動，如不能進(jìn)行軟盤啟動，則轉(zhuǎn)向硬盤啟動。主引導(dǎo)程序是硬盤啟動時首先要執(zhí)行的程序，由它完成活動分區(qū)引導(dǎo)程序的裝入，從而進(jìn)一步引導(dǎo)系統(tǒng)。硬盤啟動DOS的過程大致分三個階段：（1）開機(jī)加電，由硬

20、件重設(shè)CPU的各寄存器，并從F000：0000處開始執(zhí)行BIOS程序。（F000段是BIOS（基本輸入/輸出系統(tǒng)）部分，是出廠(ch chng)時由廠家固化在ROM中的一組小程序，這些程序以中斷號來調(diào)用），進(jìn)行各項BIOS的初始化和檢測工作。之后由BIOS得中斷INT 13H，從硬盤讀入第0磁道0磁頭1扇區(qū)的主引導(dǎo)區(qū)內(nèi)容到0000：7C00H的內(nèi)存中，隨后轉(zhuǎn)入第二階段；27共五十三頁（2）程序指針轉(zhuǎn)向0000：7C00H，執(zhí)行從硬盤讀入的主引導(dǎo)程序。這段程序執(zhí)行后，從硬盤的1磁道0磁頭1扇區(qū)中將硬盤DOS分區(qū)的引導(dǎo)程序讀入到0000：7C00H的內(nèi)存中，隨后轉(zhuǎn)入第三階段；（3）程序指針轉(zhuǎn)向00

21、00：7C00H，執(zhí)行從硬盤讀入的DOS分區(qū)引導(dǎo)程序，連續(xù)(linx)加載IO.SYS和MSDOS.SYS兩個系統(tǒng)文件，并啟動COMMAND程序，完成DOS系統(tǒng)的加載。28共五十三頁在DOS系統(tǒng)加載過程中，需要進(jìn)行“讀入”和“執(zhí)行”操作，使病毒有機(jī)會進(jìn)入內(nèi)存并獲得系統(tǒng)控制權(quán)。第一階段從0磁道0磁頭1扇區(qū)加載主引導(dǎo)程序，第二階段執(zhí)行之。如果病毒的引導(dǎo)模塊替換了這一扇區(qū)，則可順利(shnl)被加載，并獲得系統(tǒng)控制權(quán)，這類病毒被稱為主引導(dǎo)區(qū)病毒；第二階段從1磁道0磁頭1扇區(qū)加載DOS分區(qū)引導(dǎo)程序，第三階段執(zhí)行之。如果病毒的引導(dǎo)模塊替換了該扇區(qū)，則可順利被加載，并獲得系統(tǒng)控制權(quán)，這類病毒被稱為引導(dǎo)區(qū)病

22、毒，又稱為BOOT病毒。29共五十三頁由此可見，主引導(dǎo)區(qū)病毒第一階段被載入，并在第二階段獲得系統(tǒng)控制權(quán)。引導(dǎo)區(qū)病毒在第二階段被載入，并于第三階段獲得系統(tǒng)控制權(quán)。主引導(dǎo)分區(qū)是硬盤所特有的，因此(ync)由DOS系統(tǒng)軟盤進(jìn)行的啟動，要比硬盤啟動時少執(zhí)行一段主引導(dǎo)程序，只需要加載軟盤引導(dǎo)分區(qū)到內(nèi)存并執(zhí)行。主引導(dǎo)區(qū)病毒和BOOT病毒的有許多相似之處，二者研究方法基本相同，在此我們僅討論主引導(dǎo)區(qū)病毒。30共五十三頁3主引導(dǎo)區(qū)病毒的工作原理病毒往往從“底層”侵入，破壞計算機(jī)系統(tǒng)。所謂“底層”是指病毒直接利用操作系統(tǒng)控制系統(tǒng)資源，甚至有時越過操作系統(tǒng)強(qiáng)行控制計算機(jī)系統(tǒng)硬件資源。主引導(dǎo)區(qū)病毒的侵入屬于后一種情

23、況。病毒感染硬盤的主引導(dǎo)區(qū)時，原主引導(dǎo)區(qū)內(nèi)容被移到0道0頭的其它空閑扇區(qū)，而病毒的引導(dǎo)模塊則占據(jù)0磁道0磁頭1扇區(qū)，伺機(jī)傳染和破壞。一旦從硬盤啟動，病毒引導(dǎo)模塊便自動裝入內(nèi)存并獲得系統(tǒng)控制權(quán)。然后(rnhu)病毒引導(dǎo)程序負(fù)責(zé)將病毒的其它部分（如傳染模塊和破壞模塊）裝入內(nèi)存適當(dāng)位置，并采取駐留技術(shù)以保證其不會被覆蓋，同時還設(shè)定病毒發(fā)作條件等。完成上述工作后，病毒程序?qū)⒖刂茩?quán)移交給主引導(dǎo)程序，是系統(tǒng)在帶毒狀態(tài)下啟動。31共五十三頁（1）加電檢測后，由于系統(tǒng)的其它功能沒有設(shè)置好，DOS尚未啟動，此時病毒無法利用DOS對系統(tǒng)入侵，而是通過BIOS中斷的INT 13H來載入內(nèi)存。主引導(dǎo)區(qū)病毒是一種在執(zhí)行

24、ROMBIOS之后，在分區(qū)系統(tǒng)啟動之前感染計算機(jī)的病毒，它依托BIOS中斷服務(wù)程序載入，并先于操作系統(tǒng)獲得控制權(quán)。（注：主引導(dǎo)程序為隱藏區(qū)，不屬于任何系統(tǒng)分區(qū)，獨立于操作系統(tǒng)，不能通過操作系統(tǒng)的功能讀寫，必須(bx)使用BIOS提供的物理硬盤讀寫中斷功能進(jìn)行讀寫。）32共五十三頁（2）主引導(dǎo)區(qū)病毒隱藏在硬盤中，每次計算機(jī)啟動時都會被激活，當(dāng)滿足條件時，進(jìn)行傳染和破壞。 （3）主引導(dǎo)區(qū)病毒往往通過帶毒的軟盤在啟動時，進(jìn)行傳染和擴(kuò)散的。因為只要機(jī)器一訪問軟盤，主引導(dǎo)區(qū)病毒就會傳染軟盤，而用該帶毒軟盤啟動系統(tǒng)時，又會傳染未染毒(rn d)的硬盤。所以通過軟盤很容易使主引導(dǎo)區(qū)病毒從一臺機(jī)器傳播到另一臺

25、機(jī)器。33共五十三頁4、“大麻“主引導(dǎo)(yndo)區(qū)病毒大麻病毒目前已有多個變種。早在1988年初，在新西蘭的惠靈頓市報道發(fā)現(xiàn)了大麻病毒大麻病毒，因此又稱其為新西蘭病毒。最初的大麻病毒不感染硬盤，只感染軟盤。變種之后，大部分感染硬盤，并有屏幕顯示信息：“Your PC is now stoned！”。大約1989年大麻病毒傳入我國，成為當(dāng)時四處傳播的主要病毒之一。大麻病毒短小，總共不到400個字節(jié)的代碼，可以完成駐留內(nèi)存、修改中斷向量、區(qū)別軟盤和硬盤、感染軟盤、感染硬盤、顯示信息等多個功能。圖8-3為大麻病毒的加載過程。34共五十三頁圖8-3大麻(dm)病毒加載過程35共五十三頁 大麻病毒特點

26、如下：（1）大麻病毒感染硬盤時，首先將原主引導(dǎo)區(qū)內(nèi)容移至0磁頭0磁道7扇區(qū)，而將病毒引導(dǎo)模塊放入0磁道0磁頭1扇區(qū)的主引導(dǎo)區(qū)中。其對磁盤的破壞性，因DOS版本的不同而不同。對DOS2.x的FDISK劃分分區(qū)時，0磁道0磁頭7扇區(qū)中正好是存放FAT文件(wnjin)分配表，因此硬盤的感染將使文件(wnjin)分配表FAT被破壞，從而使硬盤無法啟動。對DOS3.x的FDISK，則將0磁道0磁頭7扇區(qū)作為保留扇區(qū)，感染病毒對硬盤影響不大。由于病毒占據(jù)了主引導(dǎo)區(qū)，系統(tǒng)啟動后會首先進(jìn)行病毒加載，病毒進(jìn)入內(nèi)存后，再讀出原主引導(dǎo)區(qū)內(nèi)容，進(jìn)行正常引導(dǎo)。36共五十三頁（2）病毒的駐留方式大麻病毒在駐留內(nèi)存時，采

27、用駐留內(nèi)存高端的方法。大麻病毒首先確定RAM空間的最高端地址，然后將傳染和破壞模塊裝入最高端的2KB中，并將系統(tǒng)內(nèi)存可用空間減少2KB，這樣在之后引導(dǎo)裝入分區(qū)操作系統(tǒng)時，就不會覆蓋存放病毒的空間。（3）病毒的傳染和發(fā)作大麻病毒修改INT 13H中斷向量的入口地址，使其指向病毒的傳染和破壞模塊，即原正常中斷服務(wù)程序之前(zhqin)插入了病毒的傳染和破壞模塊。37共五十三頁通過檢測INT 13H的功能調(diào)用來確定是否進(jìn)行傳染或發(fā)作。病毒對硬盤的讀寫操作通常不予以理睬，而直接執(zhí)行正常的中斷服務(wù)程序。因為硬盤啟動時就帶有病毒或由帶毒軟盤啟動時已感染病毒硬盤，因此無需重復(fù)傳染。而對于軟盤的讀寫操作，通常

28、都要進(jìn)行傳染。這是因為此類病毒是通過軟盤進(jìn)行傳播的。當(dāng)對軟盤進(jìn)行讀寫操作時，系統(tǒng)調(diào)用INT 13H中斷，于是先執(zhí)行病毒的傳染和破壞模塊，然后再執(zhí)行正常的中斷服務(wù)程序。通過執(zhí)行INT 13H，完成對軟盤的傳染：將軟盤0磁道0磁頭1扇區(qū)的引導(dǎo)區(qū)內(nèi)容移到0磁道1磁頭3扇區(qū)存放，而將病毒的引導(dǎo)模塊放入BOOT區(qū)。之后判斷病毒是否滿足發(fā)作條件，并做相應(yīng)(xingyng)的操作。38共五十三頁8.4 計算機(jī)病毒的檢測(jin c)與清除成熟的反病毒(bngd)技術(shù)已經(jīng)完全可以作到對所有的已知病毒(bngd)進(jìn)行檢測、清除和預(yù)防。反計算機(jī)病毒(bngd)主要從查毒、殺毒、防毒三方面來進(jìn)行?！安槎尽笔侵笇τ诖_

29、定的環(huán)境（包括內(nèi)存、文件、引導(dǎo)區(qū)/主導(dǎo)區(qū)、網(wǎng)絡(luò)等），能夠準(zhǔn)確地檢測出是何種計算機(jī)病毒?！皻⒍尽笔侵父鶕?jù)不同類型病毒，按照病毒的感染特性，對感染對象所進(jìn)行的恢復(fù)。感染對象包括內(nèi)存、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、可執(zhí)行文件、文檔文件、網(wǎng)絡(luò)等?！胺蓝尽笔侵父鶕?jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施，預(yù)防病毒侵入計算機(jī)。39共五十三頁 8.4.1計算機(jī)病毒的檢測(jin c)計算機(jī)病毒的檢測是指通過一定的技術(shù)手段判定計算機(jī)病毒的過程。計算機(jī)病毒進(jìn)行傳染會留下痕跡，因此檢測計算機(jī)病毒，要對病毒的寄生場所進(jìn)行檢查，發(fā)現(xiàn)異常，確認(rèn)計算機(jī)病毒的存在。如果系統(tǒng)感染病毒，要及時檢測病毒，以確定病毒的類型和種類，以及所在的文件或

30、磁盤，為清除病毒做準(zhǔn)備。通常有以下檢測方法。1、特征(tzhng)代碼掃描法病毒的特征代碼是病毒程序編制者，用來識別自己所編寫病毒程序的唯一代碼串。如“黑色星期五”病毒以“MSDOS”作為自身的特征代碼。由于特征代碼與病毒一一對應(yīng)，因此一旦發(fā)現(xiàn)病毒特征代碼，便可以斷定感染了何種病毒。特征代碼掃描法通過病毒掃描程序進(jìn)行檢測，常見的有我國公安部發(fā)行的SCAN. EXE和美國McAfee Associates的SCAN.EXE。40共五十三頁2、比較法病毒感染系統(tǒng)和文件(wnjin)，常引起系統(tǒng)或文件(wnjin)的變化，這種變化包括長度和內(nèi)容上的變化。因此可以通過比較系統(tǒng)和文件(wnjin)的變化

31、，來檢測病毒。（1）用原始備份與被檢測的引導(dǎo)扇區(qū)進(jìn)行比較。如“大麻”病毒會使硬盤主引導(dǎo)區(qū)或軟盤引導(dǎo)區(qū)內(nèi)容發(fā)生變化。（2）用原始備份與被檢測的文件進(jìn)行比較。許多病毒在對文件進(jìn)行傳染后，會改變文件的屬性及長度。如感染“黑色星期一”病毒，文件長度會增加1055字節(jié)。（3）大部分病毒是要駐留內(nèi)存的，因此可以通過檢測內(nèi)存空間是否無故減少，來檢測病毒的存在。如感染“大麻”病毒時，常駐內(nèi)存容量減少2K字節(jié)。41共五十三頁（4）此外病毒常采用“截留盜用”技術(shù)，竊取并修改向量中斷入口地址，插入病毒傳染和破壞模塊，獲得中斷控制權(quán)。如“大麻”病毒對軟盤的傳染和破壞是通過修改INT 13H入口地址實現(xiàn)的。因此可以通過

32、檢測中斷向量表是否發(fā)生變化，來檢測病毒的存在。比較法可以使用常規(guī)DOS軟件和PCTOO LS工具進(jìn)行檢測，方便簡單，無需專用軟件。3、分析法分析法是反病毒專業(yè)技術(shù)人員常使用的方法。病毒分析法利用常用(chn yn)的病毒剖析工具，確認(rèn)系統(tǒng)是否感染病毒，如果病毒存在，需要確認(rèn)病毒的類型和種類。此外，還可以發(fā)現(xiàn)是否感染新病毒。如果感染新病毒，則分析其結(jié)構(gòu)和代碼，提取其特征代碼，增添到病毒代碼庫，并制定相應(yīng)的反病毒方案。42共五十三頁常用的病毒分析工具主要有：DEBUG：是DOS系統(tǒng)提供的一個(y )動態(tài)調(diào)試程序，它是解剖、分析病毒的常用工具之一。DEBUG提供一個(y )可控的調(diào)試環(huán)境，使用戶能夠

33、監(jiān)督和控制被調(diào)試程序的執(zhí)行，能夠方便地裝入、顯示、修改和執(zhí)行文件，可以檢查、修改指定的內(nèi)存區(qū)域中的內(nèi)容，檢查、修改軟硬盤上指定扇區(qū)內(nèi)容。利用DEBUG，可以直接對系統(tǒng)內(nèi)存、對軟硬盤上指定扇區(qū)或指定文件進(jìn)行操作，檢測和清除計算機(jī)病毒。43共五十三頁P(yáng)CTOOLS：提供了許多與DOS相同的功能，并且還增加了更多的其它功能。如恢復(fù)刪除文件，查看文件內(nèi)容(nirng)，在磁盤或文件中搜索字符串，顯示磁盤結(jié)構(gòu)和系統(tǒng)信息等。利用PCTOOLS，可以查看磁盤DOS區(qū)的所有細(xì)節(jié)，因此可以檢測和分析某些病毒。Norton Utility：對磁盤操作系統(tǒng)功能很強(qiáng)，它除了具有PCTOOLS軟件的功能之外，還具有一些獨特的功能。它可以查看、編輯磁盤上任一扇區(qū)的數(shù)據(jù)，包括磁盤分區(qū)表、BOOT區(qū)、FAT表、目錄區(qū)和文件區(qū)的數(shù)據(jù)，也可以選擇ASCII碼進(jìn)行操作，并得到非文件區(qū)的一些特定參數(shù)的解釋，如FFF7為壞簇。利用Norton Utility，可以獲得磁盤信息，恢復(fù)磁盤文件，對磁盤映射，也可以對磁盤進(jìn)行讀寫，讀寫文件、讀寫簇、讀寫扇區(qū)等，對于診斷和清除病毒十分有效。44共五十三頁 8.4.2 計算機(jī)病毒的清除(qngch)去除系統(tǒng)或文件中的病毒代碼，使之恢復(fù)成為正常運行的系統(tǒng)或文件，稱為殺毒或病毒的清除。一般有兩種清除病毒的方法：一是根據(jù)(gnj)