新世紀(jì)計(jì)算機(jī)信息安全教程第9章

計(jì)算機(jī)病毒及防范重點(diǎn)內(nèi)容：病毒概述病毒的機(jī)制病毒檢測與查殺第一頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述“計(jì)算機(jī)病毒”之所以叫做病毒，是因?yàn)樗c醫(yī)學(xué)上的病毒有著某些相同的特性，是由某些人利用計(jì)算機(jī)系統(tǒng)自身的脆弱性，因此這一名詞是由生物醫(yī)學(xué)上的“病毒”概念引申而來的。從廣義上定義，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。根據(jù)該定義，邏輯炸彈、蠕蟲等均可稱為計(jì)算機(jī)病毒。在國內(nèi)，專家和研究者對計(jì)算機(jī)病毒也做過不盡相同的定義，但一直沒有公認(rèn)的明確定義。直至1994年2月18日，中華人民共和國正式頒布實(shí)施了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，其中第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！痹贗nternet出現(xiàn)后，計(jì)算機(jī)病毒就應(yīng)加入只要是對使用者造成不便的程序代碼，就可以被歸類為計(jì)算機(jī)病毒。計(jì)算機(jī)病毒必須滿足兩個(gè)條件：（1）可以自動(dòng)執(zhí)行。（2）可以自我復(fù)制。1、病毒的定義第二頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述根據(jù)計(jì)算機(jī)病毒定義可以看出，病毒都具有一些相似的常規(guī)特點(diǎn)。另外，隨著時(shí)代的發(fā)展，計(jì)算機(jī)病毒也不斷變化，同時(shí)還具備一些時(shí)代特點(diǎn)。病毒常規(guī)特性計(jì)算機(jī)病毒程序有以下幾種特征：（1）傳染性。（2）隱蔽性。（3）潛伏性。（4）破壞性。（5）表現(xiàn)性。新時(shí)代病毒的特性近幾年，危害嚴(yán)重的計(jì)算機(jī)病毒通常具有如下共同特點(diǎn)：（1）與經(jīng)濟(jì)利益掛鉤。（2）“網(wǎng)頁掛馬”與ARP欺騙危害加劇。（3）現(xiàn)團(tuán)隊(duì)化的商業(yè)化運(yùn)作方式。（4）變種數(shù)量成為病毒危害性的新標(biāo)準(zhǔn)。2、病毒的特性第三頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述計(jì)算機(jī)病毒也是一段完整的程序代碼，有著科學(xué)、嚴(yán)密、系統(tǒng)的分類方法。3、病毒的分類第四頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述計(jì)算機(jī)病毒具有自我復(fù)制和傳播的特點(diǎn)，從計(jì)算機(jī)病毒的傳播機(jī)理分析可知，只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計(jì)算機(jī)病毒傳播途徑。傳統(tǒng)的手工傳播計(jì)算機(jī)病毒的方式與現(xiàn)在通過Internet傳播相比速度要慢得多。移動(dòng)存儲(chǔ)設(shè)備：可移動(dòng)設(shè)備例如光盤、磁帶、U盤、移動(dòng)硬盤等，盜版光盤上的軟件和游戲及非法拷貝也是目前傳播計(jì)算機(jī)病毒主要途徑之一。計(jì)算機(jī)網(wǎng)絡(luò)：現(xiàn)代信息技術(shù)的巨大進(jìn)步已使空間距離不再遙遠(yuǎn)，“相隔天涯，如在咫尺”，但也為計(jì)算機(jī)病毒的傳播提供了新的“高速公路”。點(diǎn)對點(diǎn)通信系統(tǒng)和無線網(wǎng)絡(luò)：目前，這種傳播途徑還不是十分廣泛，但預(yù)計(jì)在

未來的信息時(shí)代，這種途徑很可能與網(wǎng)絡(luò)傳播途徑成為病毒擴(kuò)散的兩大“時(shí)尚渠道”。電子郵件：現(xiàn)在很多蠕蟲病毒都是通過電子郵件傳播的，一般是在郵件的附件中夾帶這病毒文件，單用戶一旦雙擊運(yùn)行附件的時(shí)候就會(huì)中毒。4、病毒的傳播途徑第五頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述從實(shí)質(zhì)上說，計(jì)算機(jī)病毒是一段程序代碼，雖然病毒可能隱藏得很好，但也會(huì)留下許多痕跡。通過對這些蛛絲馬跡的判別，就可以發(fā)現(xiàn)已經(jīng)存在的計(jì)算機(jī)病毒。計(jì)算機(jī)用戶可以根據(jù)以下現(xiàn)象判斷自己的操作系統(tǒng)是否已經(jīng)感染了病毒。5、病毒的表現(xiàn)形式第六頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述計(jì)算機(jī)病毒的種類繁多，對計(jì)算機(jī)信息系統(tǒng)的危害主要有以下幾個(gè)方面。破壞系統(tǒng)和數(shù)據(jù)耗費(fèi)資源破壞功能影響計(jì)算機(jī)運(yùn)行速度病毒錯(cuò)誤與不可預(yù)見的危害病毒兼容性對系統(tǒng)運(yùn)行的影響病毒給用戶造成嚴(yán)重的心理壓力6、病毒的主要危害第七頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述Internet從原來的窄帶發(fā)展到了現(xiàn)在的寬帶，通信模式也從原來單一的數(shù)據(jù)傳輸，發(fā)展到現(xiàn)在的視頻、影音等多媒體傳輸，計(jì)算機(jī)病毒也在不斷發(fā)生著變化。在如今的網(wǎng)絡(luò)時(shí)代，病毒的發(fā)展呈現(xiàn)出以下趨勢：病毒與黑客程序相結(jié)合。蠕蟲病毒更加泛濫。病毒破壞性更大。制作病毒的方法更簡單。傳播速度更快，傳播渠道更多。病毒的實(shí)時(shí)檢測更困難。網(wǎng)關(guān)防病毒已成趨勢。7、病毒的發(fā)展趨勢第八頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程一、

病毒概述計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為每一個(gè)現(xiàn)代人生活的一部分，網(wǎng)絡(luò)信息安全也越來越多地影響著我們的日常生活。在向信息社會(huì)邁進(jìn)的過程中，信息網(wǎng)絡(luò)逐步成為不可或缺的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)空間日益成為經(jīng)濟(jì)社會(huì)不可或缺的活動(dòng)空間，網(wǎng)絡(luò)安全已經(jīng)成為國家安全的一個(gè)重要組成部分。計(jì)算機(jī)病毒的大肆傳播不僅給人們的日常工作帶來影響，甚至可能危及到國家的經(jīng)濟(jì)建設(shè)以及整個(gè)通信行業(yè)的健康發(fā)展。如何保障信息網(wǎng)絡(luò)的安全可靠運(yùn)行，越來越受到社會(huì)各界的高度關(guān)注和重視，已經(jīng)成為世界各國政府主管部門、企業(yè)界和廣大用戶共同面臨的一個(gè)嚴(yán)峻挑戰(zhàn)。8、病毒與網(wǎng)絡(luò)安全第九頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程二、

病毒的機(jī)制計(jì)算機(jī)病毒是一種特殊的應(yīng)用程序，它的存在是隱蔽的，例如普通應(yīng)用程序的代碼中，一旦用戶運(yùn)行應(yīng)用程序，病毒代碼也隨之被觸發(fā)，進(jìn)而引導(dǎo)病毒代碼中的破壞模塊。整個(gè)過程都是在用戶的不經(jīng)意中發(fā)生的，等發(fā)現(xiàn)時(shí)已經(jīng)無可挽回了。這些都是由計(jì)算機(jī)病毒自身的機(jī)制決定的。例如常見的網(wǎng)頁病毒，就是利用掃描到的來訪用戶系統(tǒng)的漏洞悄悄潛入，當(dāng)用戶運(yùn)行某些應(yīng)用程序時(shí)就觸發(fā)了病毒，隨之就是連鎖反應(yīng)，甚至?xí)绊懙接脩羲诰钟蚓W(wǎng)、與該計(jì)算機(jī)相連的其他設(shè)備等，這類病毒的發(fā)作機(jī)制如圖所示。第十頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程二、

病毒的機(jī)制計(jì)算機(jī)病毒的寄生對象：就目前出現(xiàn)的各種計(jì)算機(jī)病毒來看，其寄生對象主要有兩種，一種是寄生在磁盤引導(dǎo)扇區(qū)；另一種是寄生在可執(zhí)行文件（*.exe或*.com）中。計(jì)算機(jī)病毒的寄生方式：計(jì)算機(jī)病毒的寄生方式主要有兩種，一種是采用替代法；另一種是采用鏈接法。計(jì)算機(jī)病毒的引導(dǎo)過程計(jì)算機(jī)病毒的引導(dǎo)過程一般包括以下3方面：駐留內(nèi)存：病毒若要發(fā)揮其破壞作用，一般要駐留內(nèi)存，為此就必須開辟所用內(nèi)存空間或覆蓋系統(tǒng)占用的部分內(nèi)存空間。竊取系統(tǒng)控制權(quán)：在病毒程序駐留內(nèi)存后，必須使有關(guān)部分取代或擴(kuò)充系統(tǒng)的原有功能，并竊取系統(tǒng)的控制權(quán)?；謴?fù)系統(tǒng)功能：病毒為隱蔽自己，駐留內(nèi)存后還要恢復(fù)系統(tǒng)，使系統(tǒng)不會(huì)死機(jī)，只有這樣才能等待時(shí)機(jī)成熟后，進(jìn)行感染和破壞的目

的。1、病毒的引導(dǎo)機(jī)制第十一頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程二、

病毒的機(jī)制計(jì)算機(jī)病毒的完整工作過程應(yīng)包括以下幾個(gè)環(huán)節(jié)和過程：傳染源：病毒總是依附于某些存儲(chǔ)介質(zhì)，例如光盤、硬盤等傳染源。傳染媒介：病毒傳染的媒介由工作的環(huán)境來定，可能是計(jì)算機(jī)網(wǎng)，也可能是可移動(dòng)的存儲(chǔ)介質(zhì)，例如軟磁盤等。病毒激活：是指將病毒裝入內(nèi)存，并設(shè)置觸發(fā)條件，一旦觸發(fā)條件成熟，病毒就開始“工作”——自我復(fù)制到傳染對象中，進(jìn)行各種破壞活動(dòng)等。病毒觸發(fā)：計(jì)算機(jī)病毒一旦被激活，立刻就發(fā)生作用，觸發(fā)的條件是多樣化的，可以是內(nèi)部時(shí)鐘，系統(tǒng)的日期，用戶標(biāo)識符，也可以是系統(tǒng)一次通信等等。病毒表現(xiàn)：表現(xiàn)是病毒的主要目的之一，有時(shí)在屏幕上顯示出來，有時(shí)則表現(xiàn)為破壞系統(tǒng)數(shù)據(jù)?？梢赃@樣說，凡是軟件技術(shù)能夠觸發(fā)到的地方，都在其表現(xiàn)范圍內(nèi)。傳染：病毒的傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中，病毒復(fù)制一個(gè)自身副本到傳染對象中去。2、病毒的發(fā)生機(jī)制第十二頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程二、

病毒的機(jī)制破壞機(jī)制在設(shè)計(jì)原則、工作原理上與傳染機(jī)制基本相同。它也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。這樣，

當(dāng)系統(tǒng)或被加載的程序訪問該中斷向量時(shí)，病毒破壞模塊即被激活。在判斷

設(shè)定條件滿足的情況下，對系統(tǒng)或磁盤上的文件進(jìn)行破壞活動(dòng)，這種破壞活

動(dòng)不一定都是刪除磁盤文件，有的可能是篡改某些文件的圖標(biāo)，例如“熊貓

燒香”。而有的病毒，一旦發(fā)作，則會(huì)造成系統(tǒng)死機(jī)或刪除磁盤文件，例如，

“黑色星期五”病毒在激活狀態(tài)下，只要判斷當(dāng)天既是13號又是星期五，則

病毒程序的破壞模塊即把當(dāng)前感染該病毒的程序從磁盤上刪除。計(jì)算機(jī)病毒的破壞行為體現(xiàn)了病毒的殺傷力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術(shù)能量。數(shù)以萬計(jì)、不斷發(fā)展擴(kuò)張的病毒，其破壞行為千奇百怪。通常情況下，病毒破壞目標(biāo)和攻擊部位主要是：系統(tǒng)數(shù)據(jù)區(qū)、可執(zhí)行文件、內(nèi)存、磁盤、網(wǎng)絡(luò)帶寬、屏幕顯示、打印機(jī)、CMOS、主板等。3、病毒的破壞機(jī)制第十三頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程三、

病毒檢測與查殺單機(jī)防病毒主要是指單個(gè)用戶計(jì)算機(jī)上安裝的病毒查殺軟件，不接受任何病毒服務(wù)器的管理，通過直接自動(dòng)連接到Internet下載最新病毒庫，或者用戶手動(dòng)下載最新病毒庫的方法，升級軟件。另外，由于單機(jī)防病毒成本相對較低，實(shí)現(xiàn)簡單，大多數(shù)小型局域網(wǎng)客戶端也采用這種方式。電腦病毒之所以能夠廣泛傳播，就是因?yàn)樗哂幸欢ǖ脑搭^。對于家庭用戶來說，只要平時(shí)多加注意，在一定程度上可以避免病毒的入侵。單機(jī)預(yù)防病毒應(yīng)注意以下幾點(diǎn)：（1）使用正版軟件。（2）從可靠渠道上下載軟件。（3）安裝殺毒軟件并及時(shí)進(jìn)行升級。（4）對電子郵件提高警惕。（5）定期備份文件。如今針對單機(jī)用戶的殺病毒軟件很多，建議用戶通過正規(guī)渠道購買正版軟件，或者登錄相關(guān)軟件的官方網(wǎng)站，下載試用版或共享版。（1）瑞星2007。金山毒霸。NOD32。Norton

AntiVirus

2007。1、單機(jī)防病毒第十四頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程三、

病毒檢測與查殺計(jì)算機(jī)病毒對單機(jī)產(chǎn)生的危害畢竟是有限的，并且攻擊者也不會(huì)得到什么好處，因此大多數(shù)計(jì)算機(jī)病毒都是針對網(wǎng)絡(luò)發(fā)起的，并且通過網(wǎng)絡(luò)快速傳播。網(wǎng)絡(luò)防病毒才是信息安全防范的重中之重。目前應(yīng)用于局域網(wǎng)病毒防范的殺毒軟件主要有Symantec網(wǎng)絡(luò)防病毒、卡巴斯基、McAfee網(wǎng)絡(luò)防病毒等。網(wǎng)絡(luò)防病毒最突出的特點(diǎn)就是，客戶端可以不必通過Internet連接到病

毒服務(wù)器，進(jìn)行病毒庫升級，直接連接到局域網(wǎng)中的專用防病毒服務(wù)器即可。網(wǎng)絡(luò)防病毒不僅便于管理員實(shí)現(xiàn)對局域網(wǎng)的統(tǒng)一管理，而且還可以節(jié)省大量

的Internet帶寬，提高網(wǎng)絡(luò)利用效率。2、網(wǎng)絡(luò)防病毒第十五頁，共十七頁。新世紀(jì)計(jì)算機(jī)信息安全教程三、

病毒檢測與查殺計(jì)算機(jī)病毒的一個(gè)主要特點(diǎn)就是傳播速度快，因此當(dāng)局域網(wǎng)感染病毒時(shí)并不是所有計(jì)算機(jī)同時(shí)癱瘓，恰恰相反最初只有為數(shù)不多的幾臺(tái)計(jì)算機(jī)出現(xiàn)輕微中毒現(xiàn)象，進(jìn)而在整個(gè)網(wǎng)絡(luò)中蔓延，最終導(dǎo)致網(wǎng)絡(luò)癱瘓。由此看來，病毒大肆發(fā)作之前的亡羊補(bǔ)牢工作也是非常重要的，這就需要清楚哪幾臺(tái)計(jì)算機(jī)感染了病毒，來

自哪些站點(diǎn)，以便將未被感染的計(jì)算機(jī)快速隔離，減小受災(zāi)范圍。Sniffer是一

款非常受歡迎的網(wǎng)絡(luò)嗅探工具，可以對局域網(wǎng)中所有的網(wǎng)絡(luò)流量進(jìn)行分析、監(jiān)測。借助于Sniffer，系統(tǒng)管理員可以方便地確定出多少的通信量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通信協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通信目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多少時(shí)間、或者相互主機(jī)的報(bào)文傳送間隔時(shí)間等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。3、查找病毒來源第十六頁，共十七頁。內(nèi)容總結(jié)重點(diǎn)內(nèi)容：?！坝?jì)算機(jī)病毒”之所以叫做病毒，是因?yàn)樗c醫(yī)學(xué)上的病毒有著某些相同的特性，是由某些人利用計(jì)算機(jī)系統(tǒng)自身的脆弱性，因此這