第9章計(jì)算機(jī)病毒原理及防治

9.1.1計(jì)算機(jī)病毒的定義

“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中

破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使

用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序

代碼”。計(jì)算機(jī)病毒與我們平時(shí)使用的各種軟

件程序沒有什么區(qū)別，只不過病毒程序是專門

用來搞破壞的，病毒程序是一種惡意程序。

1

我國計(jì)算機(jī)用戶病毒感染情況

2009年被調(diào)查對象發(fā)生網(wǎng)絡(luò)安全事件

的比例為43%,比2008年下降了20%；感

染計(jì)算機(jī)病毒的比例為70.5%,比2008年

降低了15%。

兩項(xiàng)比例均為調(diào)查活動(dòng)開展九年來最

低。

2

近幾年新增病毒數(shù)量對比示意圖

1400000

1200000

1000000

800000

600000

400000

200000

0

2005200420052007

3

2009年上半年各類病毒統(tǒng)計(jì)比例

病毒類型所占比例

后門漏嚶毒腳本病毒

8%

廣告程序?r2%

1%3

寄生蟲病毒

1%

Window礪毒/

1■1■（■江W民-科技

4

42009年4月間十大病毒排名

1.“U盤寄生蟲”6.“蒼蠅賊”變種g

2.“江湖”變種ei7.“比福洛斯”變種

3.“賽門斯”變種leb

4.“U盤寄生蟲”變種8.“炸薩”變種b

bdh9.“蒼蠅賊”變種f

5.“代理木馬”變種bwp10.“魔獸”變種awe

5

2009年十大病毒排名

1.IE主頁篡改器6.gameime盜號

2.KIDO7.偽文件夾病毒

3.cfg等盜號器8.貓癬下載器

4.第三方瀏覽器鎖9.機(jī)器狗變種

5.寶馬下載器10.Delphi夢魘

6

2009年病毒特點(diǎn)

2009年，金山毒霸共截獲新增病毒和

木馬20684223個(gè)，與5年前新增病毒數(shù)量

相比，增長了近400倍。在新增病毒中，

木馬仍然排列首位，占所有病毒總量的

73.6%O黑客后門和風(fēng)險(xiǎn)程序緊隨其后，

這三類病毒構(gòu)成了黑色產(chǎn)業(yè)鏈的重要部分。

7

9.1.2計(jì)算機(jī)病毒的特征

①破壞性

病毒侵入后，輕者降低計(jì)算機(jī)性能和占

用系統(tǒng)資源，重者破壞數(shù)據(jù)，導(dǎo)致系統(tǒng)崩

潰。有些病毒為良性病毒；有些則為惡性

病毒，它有明確的破壞目的，如破壞數(shù)據(jù),

刪除文件、格式化磁盤等；

8

計(jì)算機(jī)病毒的特征

②隱蔽性

病毒程序一般都設(shè)計(jì)得非常小巧，當(dāng)

它附帶在文件中，隱藏在磁盤上或在傳播

過程中時(shí)，不易被人覺察；

9

計(jì)算機(jī)病毒的特征

③傳染性

病毒能通過自身復(fù)制來感染正常文件，

達(dá)到破壞計(jì)算機(jī)正常運(yùn)行的目的。但傳染

是有條件的，也就是病毒程序必須被執(zhí)行

之后它才具有傳染性，才能感染其它文件。

病毒一旦進(jìn)入計(jì)算機(jī)系統(tǒng)中就會(huì)開始尋找

感染其它文件。

10

計(jì)算機(jī)病毒的特征

④潛伏性

一般病毒進(jìn)入計(jì)算機(jī)系統(tǒng)后往往并不是

立即發(fā)作，而有一個(gè)“冬眠”期，并隱

藏在系統(tǒng)中進(jìn)行傳播、繁殖，當(dāng)滿足特

定條件時(shí)才會(huì)激活。

11

計(jì)算機(jī)病毒的特征

⑤可觸發(fā)性

病毒如果沒有被激活，會(huì)像其他沒被執(zhí)

行的程序一樣，沒有殺傷力，不會(huì)對系統(tǒng)產(chǎn)

生破壞。特定的觸發(fā)條件一般是病毒制造者

事先設(shè)定的，它可能是某個(gè)具體的時(shí)間、日

期、文件類型或某些特定的數(shù)據(jù)等。

12

計(jì)算機(jī)病毒的特征

D不可預(yù)見性

病毒種類多種多樣，病毒代碼千差萬別,

而且新的病毒制作技術(shù)也不斷涌現(xiàn)，因此，

對于已知病毒可以檢測、查殺，但對一些新

病毒卻沒有未卜先知的能力，盡管新病毒有

某些病毒的共性，但是它采用的手段和技術(shù)

將更加復(fù)雜，更不可預(yù)見。

13

9.1.3計(jì)算機(jī)病毒的產(chǎn)生原因

?軟件產(chǎn)品的脆弱性是產(chǎn)生計(jì)算機(jī)病毒根本

的技術(shù)原因。計(jì)算機(jī)軟件由“編程語言”

編寫而成，而“編程語言”最大優(yōu)點(diǎn)就是

可創(chuàng)造性和可修改性。正是由于其可創(chuàng)造

性和可修改性使軟件產(chǎn)品變得異常脆弱，

這是導(dǎo)致病毒泛濫的根本原因。

15

操作系統(tǒng)漏洞統(tǒng)計(jì)

-------------------------------------------------------------------■1997.1998199912000

NumberofOSVulnerabilitiesbyYearOSVulnerabilities

OS1997199819992000vulns

AIX2038106

BSD(aggr.)882526

BSD/OS6540

BeOS0005

Caldera2213116o

Connectiva00011

Debian223020

4o

FreeBSD421719I

HP-UX85812

IRIX28139122o

Linux(aggr.)11239282

MacOS0150o

MacOSXServer00102ssEBUo2S」*QaO胃xWsxO

-x6oo」x_x6O*-SJnnO

>EsnEScEn

Mandrake0022<-a3BH

16-g—±6U」」SSpnOsuO

EQmPqBdBEBPBAUN

NetBSD141014)s-t3iH)SSMB￡OSA

aGuaaUNBduoziL

Netware0043QXXBNqN

Su3s工osj

OpenBSD12478oltCnS

u3olEM

RedHat5104140uSO

wMP

SCOUnix1392OS

PM

Slackware48105E

Solaris2431349M

SuSE002215

TurboLinux00216

16

操作系統(tǒng)漏洞增長趨勢

NewVulnerabilitiesperMonth

100+

50-

0

一ZmqS9Z00(T>O—Z?-Zm469186。-7—701寸69186

OooOoOOOOOOOl——00。。0。。00———OOOOOOOOO

IlllllllllllllllilllllJIIJililll

000Q8800D08008800Q0666666666660VO。。。。。。。。

6666666666666666666666。。。OOOOOO

6OG166666666666666666660OOOOOOOO

—lzzrxizr\jzzzrxi

17

計(jì)算機(jī)病毒的產(chǎn)生原因

?社會(huì)因素是產(chǎn)生計(jì)算機(jī)病毒的土壤。利用計(jì)算

機(jī)病毒進(jìn)行破壞時(shí)具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)

性，不易取證，風(fēng)險(xiǎn)小而破壞大，從而導(dǎo)致追

求個(gè)人利益的犯罪意識(shí)和犯罪活動(dòng)，也是某些

人的好奇心、惡作劇、本能和報(bào)復(fù)心態(tài)在計(jì)算

機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。

18

計(jì)算機(jī)病毒的產(chǎn)生原因

?另一方面計(jì)算機(jī)病毒也成為個(gè)人、甚至有

組織的機(jī)構(gòu)出于政治、軍事、經(jīng)濟(jì)等領(lǐng)域

上破壞對方計(jì)算機(jī)安全的首選工具，成為

信息戰(zhàn)的一部分。

19

49.1.4計(jì)算機(jī)病毒的傳播途徑

(1)移動(dòng)存儲(chǔ)設(shè)備

包括軟盤、硬盤、移動(dòng)硬盤、磁帶等。

硬盤是數(shù)據(jù)的主要存儲(chǔ)介質(zhì)，因此也是計(jì)算

機(jī)病毒感染的主要目標(biāo)。

20

,計(jì)算機(jī)病毒的傳播途徑

(2)網(wǎng)絡(luò)。覆蓋面廣、速度快。目前大多數(shù)新

式病毒都是通過網(wǎng)絡(luò)傳播的，破壞性很大。

-電子郵件：電子郵件已成為計(jì)算機(jī)病毒傳播

的主要媒介，比例占所有計(jì)算機(jī)病毒傳播媒

介的56%。幾乎所有類型的計(jì)算機(jī)病毒都可

通過它來進(jìn)行快速傳播。

21

網(wǎng)絡(luò)途徑

■BBS：BBS上用戶除了可以討論問題外，還

能夠進(jìn)行各種文件的交換，加之BBS一般沒

有嚴(yán)格的安全管理，使之成為計(jì)算機(jī)病毒傳

播的場所。

22

網(wǎng)絡(luò)途徑

-FTP文件下載：FTP的含義是文件傳輸協(xié)議。

通過這一協(xié)議可以將文件放置到世界上任何

一臺(tái)計(jì)算機(jī)上這一過程為上載，或者從這些

計(jì)算機(jī)中將文件復(fù)制到本地的計(jì)算機(jī)中，這

一過程就稱為下載。

23

網(wǎng)絡(luò)途徑

-新聞組：通過這一服務(wù)，可以與任何人討論

某個(gè)話題，或選擇接收感興趣的有關(guān)新聞郵

件。這些信息當(dāng)中包含的附件就有可能使計(jì)

算機(jī)感染上計(jì)算機(jī)病毒。

24

9.1.5計(jì)算機(jī)病毒的分類

-按破壞程度強(qiáng)弱分類：良性病毒和惡性病

毒；

-按傳染方式分類：文件型病毒、引導(dǎo)型病

毒和混合型病毒；

-按連接方式分類：源碼型病毒、嵌入型病

毒、操作系統(tǒng)型病毒和外殼型病毒。

25

按破壞程度一良性病毒

只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和

數(shù)據(jù)，但會(huì)占用大量CPU時(shí)間，增加系統(tǒng)開

銷，降低系統(tǒng)工作效率的一類計(jì)算機(jī)病毒。

該類病毒多為惡作劇者的產(chǎn)物，他們的目的

不是為了破壞系統(tǒng)和數(shù)據(jù)，而是為了讓使用

染有病毒的計(jì)算機(jī)用戶通過顯示器看到或體

會(huì)到病毒設(shè)計(jì)者的編程技術(shù)。

26

《按破壞程度一惡性病毒

一旦發(fā)作，會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)

算機(jī)系統(tǒng)癱瘓的一類病毒。該病毒危害極

大，有些病毒發(fā)作后可能給用戶造成不可

挽回的損失。它們表現(xiàn)為封鎖、干擾、中

斷輸入輸出，刪除數(shù)據(jù)、破壞系統(tǒng)，用戶

無法正常使用，甚至使計(jì)算機(jī)系統(tǒng)癱瘓。

27

按傳染方式分類

引導(dǎo)型病毒

主要通過感染軟盤、硬盤上的引導(dǎo)扇區(qū)改

寫磁盤分區(qū)表(FAT)來感染系統(tǒng)，在用戶對

軟盤、硬盤進(jìn)行讀寫操作時(shí)進(jìn)行感染活動(dòng)。

引導(dǎo)型病毒是一種開機(jī)即可發(fā)作，破壞性大,

早期的計(jì)算機(jī)病毒大多數(shù)屬于此類。

28

文件型病毒

主要是以感染COM、EXE、OVL等可執(zhí)

行文件為主，被感染的可執(zhí)行文件在執(zhí)行的

同時(shí)，病毒被加載并向其他正常可執(zhí)行文件

傳染。病毒以這些可執(zhí)行文件為載體，當(dāng)運(yùn)

行可執(zhí)行文件時(shí)就可以激活病毒。文件型病

毒大多數(shù)也是常駐內(nèi)存的。

29

宏病毒___________

寄生于文檔或模板宏中，利用宏語言編寫。

宏病毒充分利用宏命令的系統(tǒng)調(diào)用功能，實(shí)現(xiàn)

某些涉及系統(tǒng)底層操作的破壞。一旦打開帶有

宏病毒文檔，宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算

機(jī)中，并駐留模板上。此后，所有自動(dòng)保存的

文檔都會(huì)“感染”上這種宏病毒。通常宏病毒

僅向WORD等文檔傳染。

30

蠕蟲病毒

不采用自身拷貝附加到其他程序的方式復(fù)制

自己，即蠕蟲病毒不需要將自身附著到宿主程

序上。蠕蟲病毒主要通過網(wǎng)絡(luò)傳播，有極強(qiáng)的

自我復(fù)制能力、傳播性和破壞性。同時(shí)蠕蟲病

毒一般使用腳本語言編寫，相對簡單容易，也

使得更多的人參與病毒的制造，是目前威脅最

大的病毒。

31

特洛伊木馬型病毒

木馬型病毒實(shí)際上就是黑客程序。黑客程

序的破壞作用和前面幾種類型的計(jì)算機(jī)病毒破

壞作用有著本質(zhì)的不同。黑客程序一般不對計(jì)

算機(jī)系統(tǒng)進(jìn)行直接破壞，而是通過網(wǎng)絡(luò)任意控

制其他計(jì)算機(jī)，包括竊取國家、部門或個(gè)人寶

貴的秘密信息，占用其他計(jì)算機(jī)系統(tǒng)資源等現(xiàn)

象。

32

混合型病毒

兼有上述計(jì)算機(jī)病毒特點(diǎn)的病毒統(tǒng)稱

為混合型病毒，它的破壞性更大，傳染

的機(jī)會(huì)也更多，殺毒也更加困難。

33

網(wǎng)頁病毒

一般使用腳本語言將有害代碼直接寫在

網(wǎng)頁上，當(dāng)瀏覽網(wǎng)頁時(shí)會(huì)立即破壞本地計(jì)算

機(jī)系統(tǒng)，輕者修改或鎖定主頁，重者格式化

硬盤。

34

主要利用軟件或系統(tǒng)操作平臺(tái)等的安全

漏洞，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標(biāo)

記語言內(nèi)的JavaApplet小應(yīng)用程序，

Javascript腳本語言程序,ActiveX軟件部件

網(wǎng)絡(luò)交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序。

35

網(wǎng)頁病毒危害

1.默認(rèn)主頁被修改；

2.默認(rèn)首頁被修改；

3.默認(rèn)的微軟主頁被修改；

4.主頁設(shè)置被屏蔽鎖定，且設(shè)置選項(xiàng)無

效不可改回；

5.默認(rèn)的IE搜索引擎被修改；

6.IE標(biāo)題欄被添加非法信息

7.OE標(biāo)題欄被添加非法信息；

36

網(wǎng)頁病毒危害

8.鼠標(biāo)右鍵菜單被添加非法網(wǎng)站廣告鏈接；

9.鼠標(biāo)右鍵彈出菜單功能被禁用失常；

10.IE收藏夾被強(qiáng)行添加非法網(wǎng)站的地址鏈接;

11.在IE工具欄非法添加按鈕；

12.鎖定地址下拉菜單及其添加文字信息；

13.IE菜單“查看”下的“源文件”被禁用；

14.

37

幾個(gè)有影響的病毒

38

CIH病毒

1998年2月，臺(tái)灣的一

個(gè)大學(xué)生陳盈豪，編寫

了破壞性極大的惡性病

毒CIH-1.2版，并定于每

年的4月26日發(fā)作。1999

年4月26日，全球發(fā)作，

主要破壞主板BIOS。

39

cm的特點(diǎn)

-通過網(wǎng)絡(luò)（軟件下載）傳播

■全球有超過6000萬臺(tái)的機(jī)器被感染

-第一個(gè)能夠破壞計(jì)算機(jī)硬件的病毒

■全球直接經(jīng)濟(jì)損失超過10億美元

40

“美麗莎”病毒

1999年2月，“美麗莎”病毒席卷了整個(gè)歐美大

陸。這是世界上最大的一次病毒浩劫，也是最大的

一次網(wǎng)絡(luò)蠕蟲大泛濫。

大衛(wèi)?史密斯，美國新澤西

州工程師。病毒在16小時(shí)內(nèi)

席卷全球互聯(lián)網(wǎng)，至少造成

■一，10億美元的損失！病毒通過

Email傳播，傳播規(guī)模50Ln

為傳播的次數(shù)。

愛蟲病毒

■菲律賓“AMA”電腦

大學(xué)計(jì)算機(jī)系的學(xué)生

-一個(gè)星期內(nèi)傳遍5大洲

■微軟、Intel等在內(nèi)的

大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱

瘓

-全球經(jīng)濟(jì)損失達(dá)幾十

億美元

42

愛蟲病毒的特點(diǎn)

■通過電子郵件傳播，向地址網(wǎng)中所有用戶發(fā)帶

毒郵件；

■通過聊天通道IRC、VBS、網(wǎng)頁傳播；

■能刪除計(jì)算機(jī)內(nèi)的部分文件；

■制造大量新的電子郵件，使用戶文件泄密、網(wǎng)

絡(luò)負(fù)荷劇增；

■一年后出現(xiàn)的愛蟲變種VBS/LoveLetter.CM會(huì)

在Windows目錄下駐留一個(gè)染有CIH病毒的文

件，并將其激活。

43

尼姆達(dá)病毒

2001年9月18日出現(xiàn)的尼姆達(dá)病毒是最為兇

猛的惡意蠕蟲病毒，給全球帶來了不可估量的

經(jīng)濟(jì)損失。

病毒傳播速度快、危害性強(qiáng)，而且自我繁殖能

力位居各大病毒之首；

有多種新變種相繼粉墨登場，作惡不可謂不大。

利用unicode漏洞，與黑客技術(shù)相結(jié)合。

44

尼姆達(dá)病毒

■2001年9月18日，首先在美國出現(xiàn)，當(dāng)天下午，有

超過130,000臺(tái)服務(wù)器和個(gè)人電腦受到感染。

（北美洲）

■2001年9月18日晚，日本、香港、南韓、新加坡和

中國等都收到了受感染的報(bào)告。（亞洲D(zhuǎn)

■2001年9月19日，有超過150000個(gè)公司被感染，西

門子在其網(wǎng)絡(luò)受到滲透后，被迫關(guān)掉了服務(wù)器。

（歐洲）

45

尼姆達(dá)的四種傳播方式

——

A■文件感染

■

/

0胃

^

=I—■Email

>

杭M7U

//

X

斤^■WWW

Q

0

:

成?

■局域網(wǎng)

46

SirCam網(wǎng)絡(luò)蠕蟲

■首發(fā)于英國的惡性網(wǎng)絡(luò)蠕蟲病毒

■觸發(fā)日期：10月16日

?當(dāng)蠕蟲執(zhí)行8000次后，會(huì)停止執(zhí)行。

■直接經(jīng)濟(jì)損失：11.5億美元

47

SirCam病毒的行為

-蠕蟲將染毒機(jī)器中產(chǎn)生的隨機(jī)文檔隱藏到自

身代碼中；

■蠕蟲將刪除c盤上的所有文件及文件夾，僅

當(dāng)系統(tǒng)日期格式為D/M/Y（日/月/年）；

■每次啟動(dòng)時(shí)蠕蟲通過向c:\recycled\sircam.sys

文件添加文本使硬盤空間被充滿。

48

求職信病毒

-“求職信”系列變種病毒利用微軟系統(tǒng)的漏

洞，可以自動(dòng)感染，無須打開附件，危害性

很大。

-其變種具有很強(qiáng)的隱蔽性，可以“隨機(jī)應(yīng)變”

地自動(dòng)改換不同的郵件主題和內(nèi)容，瓦解郵

件接收者的警惕性。

-郵件內(nèi)部存放一部分發(fā)送信息，這些變種病

毒會(huì)偽造虛假信息，掩蓋病毒的真實(shí)來源。

49

求職信病毒

?能夠繞開一些流行殺毒軟件的監(jiān)控，甚至專

門針對一些殺毒軟件進(jìn)行攻擊。

?利用局域網(wǎng)上的共享文件夾進(jìn)行傳染，其傳

播特點(diǎn)類似“尼姆達(dá)”病毒。

-在網(wǎng)絡(luò)上出現(xiàn)的一些“求職信”變種的專殺

工具，由于不能適用于所有變種，在殺除一

些變種時(shí)，會(huì)連病毒帶文件一同刪除，結(jié)果

造成殺病毒把電腦一起“殺死”。

50

“中國黑客”

2002年6月6日，“中國黑客”病毒出現(xiàn)，它發(fā)明

了全球首創(chuàng)的“三線程”技術(shù)。

主線程：往硬盤寫入病毒文件或感染其它執(zhí)行文

件。

分線程1：監(jiān)視主線程并保證主線程的運(yùn)行，一旦

主線程被清除，這個(gè)監(jiān)視器就將主病毒體再次

調(diào)入。

分線程2：不斷監(jiān)視注冊表的某個(gè)值，一旦被人工

或反病毒軟件修改，立即重新寫入這個(gè)值，保

證自己下次啟動(dòng)時(shí)獲得控制權(quán)。

51

熊貓燒香病毒

簿

熊貓燒香的特點(diǎn)

感染型蠕蟲病毒，能感染系統(tǒng)中exe,

com,pif,src,html,asp等文件，它還能

中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)

展名為gho的文件，該文件是一系統(tǒng)備份

工具GHOST的備份文件，使用戶的系統(tǒng)備

份文件丟失。

53

9.1.6計(jì)算機(jī)病毒的表現(xiàn)

1.平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故

地死機(jī)。病毒感染計(jì)算機(jī)系統(tǒng)后，將自身駐留

在系統(tǒng)內(nèi)，并修改中斷處理程序等，引起系統(tǒng)

工作不穩(wěn)定，造成死機(jī)現(xiàn)象的發(fā)生。

2.運(yùn)行速度明顯變慢。在硬件設(shè)備沒有損壞或

更換的情況下，本來運(yùn)行速度很快的計(jì)算機(jī)，

速度明顯變慢。

54

2.運(yùn)行速度明顯變慢。在硬件設(shè)備沒有損

壞或更換的情況下，本來運(yùn)行速度很快

的計(jì)算機(jī)，速度明顯變慢。

55

計(jì)算機(jī)病毒的表現(xiàn)

3.打印和通訊發(fā)生異常。在硬件沒有更

改或損壞的情況下，以前工作正常的

打印機(jī)，發(fā)現(xiàn)無法進(jìn)行打印操作，或

打印出來的是亂碼。串口設(shè)備無法正

常工作。

56

計(jì)算機(jī)病毒的表現(xiàn)

4.系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化。

最明顯的計(jì)算機(jī)病毒感染跡象。計(jì)算機(jī)

病毒感染應(yīng)用程序文件后會(huì)將自身隱蔽

在原始文件的后面，文件大小大多會(huì)有

增加，文件的修改日期和時(shí)間也會(huì)被改

成感染的時(shí)間。

57

計(jì)算機(jī)病毒的表現(xiàn)

5.磁盤空間迅速減少。沒有安裝新的應(yīng)用

程序，而系統(tǒng)可用的磁盤空間減少得很

快。這可能是計(jì)算機(jī)病毒不斷復(fù)制文件

引起的。

58

計(jì)算機(jī)病毒的表現(xiàn)

6.收到陌生人發(fā)來的電子郵件。收到陌生人

發(fā)來的電子郵件，尤其是那些標(biāo)題很具誘

惑力。

7.自動(dòng)鏈接到一些陌生的網(wǎng)站。計(jì)算機(jī)會(huì)自

動(dòng)撥號并連接到因特網(wǎng)上一個(gè)陌生的站點(diǎn),

或者在上網(wǎng)時(shí)自動(dòng)鏈接到某個(gè)陌生的網(wǎng)址,

這種鏈接大多是黑客程序引起的。

59

計(jì)算機(jī)病毒的表現(xiàn)

8.硬盤燈不斷閃爍。當(dāng)對硬盤有持續(xù)大

量的操作時(shí)，硬盤的燈就會(huì)不斷閃爍。

如果你沒用硬盤進(jìn)行讀寫操作，而硬盤

燈突然閃爍不停，這多半是計(jì)算機(jī)發(fā)生

的“惡性”病毒。

60

計(jì)算機(jī)病毒的表現(xiàn)

9.計(jì)算機(jī)不識(shí)別硬盤。排除硬盤自身故

障外，多半是計(jì)算機(jī)病毒破壞了硬盤的

引導(dǎo)扇區(qū)后，病毒修改了硬盤文件分配

表、根目錄區(qū)等。

61

計(jì)算機(jī)病毒的表現(xiàn)

10.操作系統(tǒng)無法正常啟動(dòng)。這可能是計(jì)算機(jī)

病毒破壞或刪除了系統(tǒng)文件，引起操作系

統(tǒng)無法正常工作。通常情況下，系統(tǒng)文件

是不容易被刪除或修改的。

62

計(jì)算機(jī)病毒的表現(xiàn)

11.部分文檔丟失或被破壞。有些計(jì)算機(jī)病

毒在發(fā)作時(shí)會(huì)刪除或破壞硬盤上的指定

文檔，造成數(shù)據(jù)丟失。

63

9.1.7計(jì)算機(jī)病毒程序一般構(gòu)成

病毒程序一般由三個(gè)基本模塊組成：

1.安裝模塊；

2.傳染模塊；

3.破壞模塊。

其中，安裝模塊、傳染模塊是必需，

破壞模塊可以直接隱含在傳染模塊中，

也可單獨(dú)構(gòu)成一個(gè)模塊。

64

計(jì)算機(jī)病毒程序一般構(gòu)成

1.安裝模塊

由于用戶不會(huì)主動(dòng)運(yùn)行一個(gè)病毒程序,

因此，病毒程序必須通過自身程序?qū)崿F(xiàn)

自啟動(dòng)，并安裝。不同類型的病毒程序

會(huì)使用不同的安裝方法。

65

計(jì)算機(jī)病毒程序一般構(gòu)成

2.傳染模塊，傳染模塊包括三部分。

■傳染控制部分。病毒一般都有一個(gè)控制條件，一旦

滿足這個(gè)條件就開始感染。例如，病毒先判斷某個(gè)

文件是否是.EXE文件，如果是再進(jìn)行傳染，否則再

尋找下一個(gè)文件；

■傳染判斷部分。每個(gè)病毒程序都有一個(gè)標(biāo)記，在傳

染時(shí)將判斷這個(gè)標(biāo)記，如果磁盤或者文件已經(jīng)被傳

染就不再傳染，否則就要傳染；

■傳染操作部分。在滿足傳染條件時(shí)進(jìn)行傳染操作。

66

計(jì)算機(jī)病毒程序一般構(gòu)成

3.破壞模塊

計(jì)算機(jī)病毒的最終目的是進(jìn)行破壞，其破壞

的基本手段就是刪除文件或數(shù)據(jù)。破壞模塊包

括兩部分：一是激發(fā)控制，當(dāng)病毒滿足某個(gè)條

件時(shí)發(fā)作；另一個(gè)是破壞操作，不同病毒有不

同的操作方法，不同病毒有不同的操作方法，

典型的惡性病毒是瘋狂拷貝、刪除文件等。

67

9.2網(wǎng)絡(luò)病毒的預(yù)防

由于網(wǎng)絡(luò)病毒通過網(wǎng)絡(luò)傳播，具有傳播速度

快、傳染范圍大、破壞性強(qiáng)等特點(diǎn)，因此建立

網(wǎng)絡(luò)系統(tǒng)病毒防護(hù)體系，采用有效的網(wǎng)絡(luò)病毒

預(yù)防措施和技術(shù)顯得尤為重要。

網(wǎng)絡(luò)管理人員和操作人員要在思想上有防病

毒意識(shí)，以預(yù)防為主。防范病毒主要從管理措

施和技術(shù)措施兩方面入手。

68

S9.3反計(jì)算機(jī)病毒技術(shù)

1.實(shí)時(shí)反病毒技術(shù)

實(shí)時(shí)反病毒是指對任何程序在調(diào)用之前先

被過濾一遍，一有病毒侵入，就報(bào)警，并自

動(dòng)殺毒，將病毒拒之門外，做到防患于未然。

這和等病毒侵入后甚至破壞以后再去殺是不

一樣的，其安全性更高。實(shí)時(shí)反病毒就是要

解決用戶對病毒的“求知性”問題。

69

反計(jì)算機(jī)病毒技術(shù)

2.病毒防火墻

病毒防火墻是近幾年頗為流行的信息安全

防火墻中延伸出的一種新概念，宗旨是對系

統(tǒng)實(shí)施實(shí)時(shí)監(jiān)控，對流入、流出系統(tǒng)的數(shù)據(jù)

中可能含有的病毒代碼進(jìn)行過濾。

“病毒防火墻”有著明顯的優(yōu)越性，它對

病毒過濾有著良好的實(shí)時(shí)性。

70

反計(jì)算機(jī)病毒技術(shù)

3.VxD機(jī)制

VxD（虛擬設(shè)備驅(qū)動(dòng)）是微軟專門為Windows制

定的設(shè)備驅(qū)動(dòng)程序接口規(guī)范，它類似于DOS的設(shè)

備驅(qū)動(dòng)程序，用于管理系統(tǒng)所加載的各種設(shè)備。

反病毒軟件利用VxD程序比其他類型應(yīng)用程序有

更高的優(yōu)先級，并更靠近系統(tǒng)底層資源，使其能

全面、徹底地控制系統(tǒng)資源，并在病毒入侵時(shí)及

時(shí)殺毒。但病毒然制造者也會(huì)利用這個(gè)機(jī)制制造

病毒，如CIH病毒。

71

反計(jì)算機(jī)病毒技術(shù)

4.虛擬機(jī)技術(shù)

虛擬機(jī)技術(shù)是國際反病毒領(lǐng)域的前沿技術(shù)。

這種技術(shù)更接近于人工分析，智能化極高，查毒

的準(zhǔn)確性也極高，誤報(bào)率可降到一個(gè)千分點(diǎn)以下,

至今仍有許多人在研究和完善它。

用程序代碼虛擬CPU和CPU的各個(gè)寄存器，

甚至將硬件端口的變化來了解程序的執(zhí)行情況,

這樣的一個(gè)虛擬環(huán)境就是一個(gè)虛擬機(jī)。

72

反計(jì)算機(jī)病毒技術(shù)

5.主動(dòng)內(nèi)核技術(shù)

由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議等自身不完善性和

缺陷，使計(jì)算機(jī)病毒有機(jī)可乘。主動(dòng)內(nèi)核技術(shù)是

從操作系統(tǒng)內(nèi)核這一深度，主動(dòng)給操作系統(tǒng)和網(wǎng)

絡(luò)系統(tǒng)打”補(bǔ)丁”，這些補(bǔ)丁將從安全的角度對

系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理和檢查，對系統(tǒng)漏洞進(jìn)

行修補(bǔ)，任何文件在進(jìn)入系統(tǒng)之前，作為主動(dòng)內(nèi)

核的反病毒模塊都將首先使用各種手段對文件進(jìn)

行檢測處理。

73

反計(jì)算機(jī)病毒技術(shù)

6.啟發(fā)掃描的反病毒技術(shù)

這里的“啟發(fā)”是指“自我發(fā)現(xiàn)能力”

或“運(yùn)用某種方式或方法去判定事物的知

識(shí)和技能”。一個(gè)運(yùn)用啟發(fā)式掃描技術(shù)的

病毒檢測軟件，實(shí)際上就是用特定方式實(shí)

現(xiàn)對有關(guān)指令序列的反編譯，逐步理解和

確定其蘊(yùn)藏的真正真正動(dòng)機(jī)。

74

反計(jì)算機(jī)病毒技術(shù)

7.郵件病毒防殺技術(shù)

采用智能郵件客戶端代理監(jiān)控Ismcp(Smart

MailClientProxy)技術(shù)，能對MIME/UUEncode

類型郵件的各個(gè)部分(如附件文件)進(jìn)行病毒掃描,

清除病毒后能將無毒的郵件數(shù)據(jù)重新編碼，傳

送給郵件客戶端，并且能夠更改主題、添加查

毒報(bào)告附件；同時(shí)具有完善的網(wǎng)絡(luò)監(jiān)控功能，

它能在郵件到達(dá)郵件客戶端之前就進(jìn)行攔截，

讓病毒無機(jī)可乘；具備垃圾郵件處理功能，自

動(dòng)過濾垃圾郵件，有效避免網(wǎng)絡(luò)堵塞。

75

9.4蠕蟲病毒特征

蠕蟲病毒是目前對計(jì)算機(jī)威脅最大的網(wǎng)絡(luò)

病毒，由于蠕蟲病毒制作相對簡單，不必學(xué)

習(xí)匯編語言，使更多的人參與病毒制造，加

之通過網(wǎng)絡(luò)傳播，使得目前的蠕蟲病毒泛濫

成災(zāi)。

76

電子郵件蠕蟲病毒

W32.Cervivec.A@

mm是~個(gè)電子

郵件蠕蟲病毒。

當(dāng)病毒被激活后,

計(jì)算機(jī)屏幕上就

會(huì)顯示很多像蠕

蟲一樣的彩條。

77

電子郵件病毒HappyNewYear

■?PF，■??1099

78

941蠕蟲病毒的特點(diǎn)

自我復(fù)制能力強(qiáng)、傳播性強(qiáng)、潛伏性、特定

的觸發(fā)性、破壞性大。與其它病毒不同，蠕蟲

不需要將其自身附著到宿主程序上。這主要是

由于蠕蟲病毒大都使用腳本語言編寫，并利用

系統(tǒng)的開放性，特別是COM到COM+的組件編

程思路及ActiveX控件，使一個(gè)程序能調(diào)用功

能更大的組件來完成病毒功能。

79

9.4.2蠕蟲病毒的防范

①網(wǎng)絡(luò)蠕蟲病毒不會(huì)像傳統(tǒng)病毒一樣調(diào)用匯

編程序來實(shí)現(xiàn)破壞功能，它只能通過調(diào)用

已經(jīng)編譯好的帶有破壞性的程序來實(shí)現(xiàn)這

一功能。這樣只要把本地的帶有破壞性的

程序改名字，比如把改成

fom,病毒程序就無法調(diào)用format命

令實(shí)現(xiàn)格式化硬盤的功能了。

80

蠕蟲病毒的防范

②蠕蟲病毒大多是用VBScript腳本語言編寫

的，而VBScript代碼是通過WindowsScript

Host來解釋執(zhí)行的。對于普通用戶，將

WindowsScriptHost刪除，就不用擔(dān)心用

VBS和JS編寫的病毒了。

81

刪除WindowsScriptHost的方法

a)卸載WindowsScriptHost,簡稱WSH,即腳本執(zhí)行

程序。打開“控制面板”一選擇“添加/刪除程序”

一單擊“Windows安裝程序”一選中“附件”，取

消“WindowsScriptHost”項(xiàng)。

b)刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的

映射。點(diǎn)擊“我的電腦”一單擊“查看”一單擊

“文件夾選項(xiàng)”一選擇“文件類型”，然后刪除

VBS、VBE、JS、JES文件后綴名與與應(yīng)用程序的映

射。

c)在Windows目錄中，更改名稱或者WScript.exe和

JScript.exe文件。

82

蠕蟲病毒的防范

③蠕蟲病毒自我復(fù)制的原理基本上是利用程序?qū)⒈?/p>

身的腳本內(nèi)容復(fù)制到一個(gè)臨時(shí)文件中，然后再在

傳播的環(huán)節(jié)將其作為附件發(fā)送出去。該功能的實(shí)

現(xiàn)離不開"FileSystemObject”對象，因此禁止了

“FileSystemObject"就能有效地控制VBS病毒的

傳播。

實(shí)現(xiàn)方法：用regsvr32scrrun.dll/u命令就可以禁

止文件系統(tǒng)對象。其中regsvr32是

Windows\SystemT的可執(zhí)行文件。

83

蠕蟲病毒的防范

④將瀏覽器安全級設(shè)為“中”。打開瀏覽器：

“工具”一“Internet”一“自定義級別”一

禁用“ActiveX控件及插件”。

⑤安裝實(shí)時(shí)病毒防火墻軟件。要保證系統(tǒng)的

安全，最好在計(jì)算機(jī)中安裝實(shí)時(shí)病毒防火

墻軟件。

84

9.5黑客程序與特洛伊木馬

20世紀(jì)90年代初期，黑客程序與病毒程序的概念

有區(qū)別，黑客程序的主要目的是非法獲取對方計(jì)算機(jī)

的重要信息。而到90年代末出現(xiàn)的黑客程序與病毒程

序相互結(jié)合、同時(shí)并存的現(xiàn)象。黑客程序除了獲取重

要信息外，還會(huì)嚴(yán)重影響計(jì)算機(jī)使用，甚至破壞計(jì)算

機(jī)系統(tǒng)。因此黑客程序也稱為病毒程序。

特洛伊木馬是一種典型的黑客程序，它是一種基

于遠(yuǎn)程控制的黑客工具?，F(xiàn)在已成為黑客程序的代名

詞。

85

黑客攻擊的常用手段

1.包攻擊

黑客利用一些工具產(chǎn)生畸形或碎片數(shù)據(jù)包，這些

數(shù)據(jù)不能被計(jì)算機(jī)正確合成，從而導(dǎo)致系統(tǒng)崩潰。

2.服務(wù)型攻擊

黑客向計(jì)算機(jī)發(fā)送大量經(jīng)過偽裝的數(shù)據(jù)包，使計(jì)算

機(jī)疲于響應(yīng)這些經(jīng)過偽裝的不可到達(dá)客戶的請求，從

而使計(jì)算機(jī)不能響應(yīng)正常的客戶請求，或使計(jì)算機(jī)誤

以為訪問的主機(jī)不可到達(dá)，從而達(dá)到切斷正常連接的

目的。

86

黑客攻擊的常用手段

3.緩沖區(qū)溢出攻擊

向操作系統(tǒng)或應(yīng)用程序發(fā)送超長字符串，

由于程序本身設(shè)計(jì)的漏洞，未能對其進(jìn)行有

效的檢驗(yàn)，導(dǎo)致程序在緩沖區(qū)溢出時(shí)意外出

錯(cuò)甚至退出，使黑客獲得到系統(tǒng)管理員的權(quán)

限。

87

黑客攻擊的常用手段

4.口令攻擊

一般依據(jù)一個(gè)包含常用單詞的字典文件、

程序進(jìn)行大量的猜測，直到猜對口令并獲得

訪問權(quán)為止。它通常使用蠻力攻擊方式，利

用口令設(shè)置或操作系統(tǒng)驗(yàn)證方式的缺陷達(dá)到

破解口令的目的。

88

黑客攻擊的常用手段

5.IP地址和端口掃描

確定攻擊目標(biāo)的IP地址是否可以到達(dá)，運(yùn)

行那種操作系統(tǒng)，運(yùn)行那些服務(wù)器程序，是

否有后門存在。所以，當(dāng)發(fā)現(xiàn)有人在掃描你

的IP地址時(shí)，通常就意味著黑客攻擊的開始。

89

黑客攻擊的常用手段

6.對各種軟件漏洞的攻擊

每當(dāng)新的操作系統(tǒng)、服務(wù)器程序等軟件發(fā)

布后，各種漏洞就會(huì)被不斷發(fā)現(xiàn)，這些漏洞

常常被黑客利用，從而有可能導(dǎo)致計(jì)算機(jī)泄

密、被非法使用，甚至崩潰。

90

《網(wǎng)絡(luò)操作系統(tǒng)本身不可避免地存在安全漏洞，TCP/IP協(xié)

』也存在著諸多問題，黑客利用這叱漏洞發(fā)動(dòng)攻擊。

OSVulnerabilities

vulnsBl997H199811999B2000

8o

6o

4o

2o

o一

x2SSBuxx2s既aaao)xS3xa8O

-O-oq」ECn-6O

6Onw6s圈c9

<BI-u>BEBuB、O

6、B—」JsMHns-

Om.2d6E3aPOMSZ

3PqSP1OSl6A

S-aH3nUN3a3oX

83aXENduqc、L

OxosnXN

乏j

SnsnL

Bu*S

olM

u

ziSO

wMP

OU

P-

UM

91

黑客攻擊的常用手段

7.特洛伊木馬攻擊

特洛伊木馬黑客程序一般有兩個(gè)部分：

■服務(wù)器程序；

■控制器程序。

如計(jì)算機(jī)安裝了黑客服務(wù)器程序，那么,

黑客就可利用自身計(jì)算機(jī)控制器程序進(jìn)入你

的計(jì)算機(jī)，實(shí)現(xiàn)控制和監(jiān)視的目的。

92

特洛伊木馬

1.特洛伊木馬的啟動(dòng)方式

如黑客想在你的計(jì)算機(jī)上安裝上木馬時(shí)，

通常將木馬程序捆綁在一些常用軟件上，或

者發(fā)一份電子郵件給你，告訴你有一個(gè)很好

的軟件，你運(yùn)行了這些軟件后并沒有什么反

應(yīng)，但是這時(shí)木馬已經(jīng)安裝到你的計(jì)算機(jī)中

To

93

特洛伊木馬

木馬為了能在每次開機(jī)時(shí)進(jìn)入內(nèi)存發(fā)

揮作用，主要是通過加載到注冊表啟動(dòng)組

中。有些會(huì)捆綁在其他程序上附帶進(jìn)入內(nèi)

存，如隨著操作系統(tǒng)啟動(dòng)而運(yùn)行。捆綁的

木馬可以由黑客自己確定捆綁方式、捆綁

位置、捆綁程序等，位置的多變使木馬有

很強(qiáng)的隱蔽性。

94

特洛伊木馬

2.特洛伊木馬端口

若木馬存在于計(jì)算機(jī)中，黑客可通過控制器程序

命令控制木馬。這些命令在網(wǎng)絡(luò)上傳遞，遵守

TCP/IP協(xié)議。TCP/IP協(xié)議規(guī)定計(jì)算機(jī)的端口有

256*256=65,536個(gè)，木馬打開一個(gè)或幾個(gè)端口，黑

客使用的控制器就可以進(jìn)入木馬打開的端口了。每

種木馬打開的端口不同，根據(jù)端口號可以識(shí)別不同

的木馬，但有些木馬的端口號是可變的，黑客通過

控制器可以修改端口號。

95

大多數(shù)木馬使用的端口號在1024以上，而

且呈現(xiàn)出越來越大的趨勢。1024以下端口是

正常計(jì)算機(jī)系統(tǒng)的常用端口，如果木馬占用

這些端口可能會(huì)造成系統(tǒng)不正常，如此，木

馬就暴露了。

96

特洛伊木馬

3.特洛伊木馬的隱藏

為更好地隱藏，木馬通常會(huì)將自己的位置放在

C:\WINDOWS和C:\WINDOWS\SYSTEM等系統(tǒng)目

錄中。因?yàn)閃indows的系統(tǒng)文件放在這兩處。系統(tǒng)

目錄下的文件最多，難發(fā)現(xiàn)。

木馬服務(wù)程序命名狡猾，通常使用和系統(tǒng)文件

相似的文件名。如名為Window.exe,如不注意，

會(huì)被誤認(rèn)為是一系統(tǒng)文件，不敢輕易刪除。

97

4特洛伊木馬的隱藏

有些木馬有很強(qiáng)的潛伏能力，表面上木馬程

序被發(fā)現(xiàn)并刪除后，后備的木馬在一定的條件下

會(huì)恢復(fù)被刪除的木馬。如冰河木馬有兩個(gè)服務(wù)器

程序，一個(gè)是

C:\WINDOWS\SYSTEM\Kemel32.exe文件，掛在

注冊表的啟動(dòng)組中，當(dāng)計(jì)算機(jī)啟動(dòng)的時(shí)候，會(huì)裝

入內(nèi)存，這是表面上的木馬。另一個(gè)是

C:\WINDOWS\SYSTEM\Sysexplr.exe文件,它會(huì)

檢查Kemel32.exe文件是不是存在，如果存在的

話，什么事情