一、計(jì)算機(jī)病毒的概念

定義：計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自

我繁殖的程序代碼。（國(guó)外）

定義：計(jì)算機(jī)病毒是指破壞計(jì)算機(jī)功能或者數(shù)據(jù)，并能自

我復(fù)制的程序。（國(guó)內(nèi)）

病毒發(fā)展史：

1977年科幻小說(shuō)《TheAdolescenceofP-1》描寫(xiě)計(jì)算機(jī)病毒

1983年FredAdleman首次在VAX11/750上試驗(yàn)病毒；

1986年Brain病毒在全世界傳播；

1988年11月2日Cornell大學(xué)的Morris編寫(xiě)的Worm病毒襲擊

美國(guó)6000臺(tái)計(jì)算機(jī)，直接損失盡億美元；

八十年代末，病毒開(kāi)始傳入我國(guó)；

病毒產(chǎn)生的原因：

計(jì)算機(jī)病毒是高技術(shù)犯罪，具有瞬時(shí)性、動(dòng)態(tài)

性和隨機(jī)性。不易取證，風(fēng)險(xiǎn)小破壞大。

1）尋求刺激：自我表現(xiàn)；惡作劇；

2）出于報(bào)復(fù)心理。

病毒的特征：

傳染性；寄生性；衍生性；

隱蔽性；潛伏性；

可觸發(fā)性；奪取控制權(quán)；

破壞性與危害性；

病毒的分類(lèi)：

按破壞性分為：良性；惡性。

按激活時(shí)間分為：定時(shí)；隨機(jī)

按傳染方式分為：

引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存，控制系統(tǒng)；

文件型：病毒一般附著在可執(zhí)行文件上；

混合型：既可感染引導(dǎo)區(qū)，又可感染文件。

按連接方式分為：

OS型：替換OS的部分功能，危害較大；

源碼型：要在源程序編譯之前插入病毒代碼；較少;

外殼型：附在正常程序的開(kāi)頭或末尾；最常見(jiàn)；

入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。

按照病毒特有的算法分為：

伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM,病毒把自身

寫(xiě)入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí),

伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的

EXE文件。

“蠕蟲(chóng)”型病毒：只占用內(nèi)存，不改變文件，通過(guò)網(wǎng)

絡(luò)搜索傳播病毒。

寄生型病毒：除了伴隨和“蠕蟲(chóng)”型以外的病毒，它

們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。

變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次

都具有不同內(nèi)容和長(zhǎng)度。一般的作法是一段混有無(wú)

關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。

病毒的組成：

安裝模塊：提供潛伏機(jī)制；

傳播模塊：提供傳染機(jī)制；

觸發(fā)模塊：提供觸發(fā)機(jī)制；

其中，傳染機(jī)制是病毒的本質(zhì)特征，防治、檢測(cè)及

殺毒都是從分析病毒傳染機(jī)制入手的。

病毒的癥狀：

啟動(dòng)或運(yùn)行速度明顯變慢；文件大小、日期變化；死

機(jī)增多；莫名其妙地丟失文件；磁盤(pán)空間不應(yīng)有的

減少；有規(guī)律地出現(xiàn)異常信息；自動(dòng)生成一些特殊

文件；無(wú)緣無(wú)故地出現(xiàn)打印故障。

計(jì)算機(jī)病毒的傳播途徑

1）通過(guò)不可移動(dòng)的設(shè)備進(jìn)行傳播

較少見(jiàn)，但破壞力很強(qiáng)。

2）通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播

最廣泛的傳播途徑

3）通過(guò)網(wǎng)絡(luò)進(jìn)行傳播

反病毒所面臨的新課題

4）通過(guò)點(diǎn)對(duì)點(diǎn)通訊系統(tǒng)和無(wú)線通道傳播

預(yù)計(jì)將來(lái)會(huì)成為兩大傳播渠道

病毒的破壞行為

攻擊系統(tǒng)數(shù)據(jù)區(qū)：主引導(dǎo)區(qū)、Boot區(qū)、FAT區(qū)、文件目錄

攻擊文件、內(nèi)存、CMOS；干擾系統(tǒng)運(yùn)行，使速度下降;

干擾屏幕、鍵盤(pán)、喙＞1叭、打印機(jī)；

破壞網(wǎng)絡(luò)資源。

病毒的發(fā)展趨勢(shì)

攻擊對(duì)象趨于混合型；

反跟蹤技術(shù)；

增強(qiáng)隱蔽性：避開(kāi)修改中斷向量值；請(qǐng)求在內(nèi)存中的合

法身份；維持宿主程序外部特征；不用明顯感染標(biāo)志

采用加密技術(shù)，使得對(duì)病毒的跟蹤、判斷更困難；

繁衍不同的變種。

二、病毒的防治

網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略

防重于治，防重在管：制度；注冊(cè)、權(quán)限、屬性、

服務(wù)器安全；集中管理、報(bào)警。

綜合防護(hù)：木桶原理；防火墻與防毒軟件結(jié)合

最佳均衡原則：占用較小的網(wǎng)絡(luò)資源

管理與技術(shù)并重

正確選擇反毒產(chǎn)品

多層次防御：病毒檢測(cè)、數(shù)據(jù)保護(hù)、實(shí)時(shí)監(jiān)控

注意病毒檢測(cè)的可靠性：經(jīng)常升級(jí)；兩種以上。

二、病毒的防治

防毒：預(yù)防入侵；病毒過(guò)濾、監(jiān)控、隔離

查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計(jì)、報(bào)警

解毒：從感染對(duì)象中清除病毒；恢復(fù)功能

病毒檢測(cè)的方法

直接觀察法：根據(jù)病毒的種種表現(xiàn)來(lái)判斷

特征代碼法：采集病毒樣本，抽取特征代碼

特點(diǎn)：能快速、準(zhǔn)確檢驗(yàn)已知病毒，不能發(fā)現(xiàn)未

知的病毒。

校驗(yàn)和法：根據(jù)文件內(nèi)容計(jì)算的校驗(yàn)和與以

前的作比較。

優(yōu)點(diǎn)：能判斷文件細(xì)微變化，發(fā)現(xiàn)未知病毒。

缺點(diǎn)：當(dāng)軟件升級(jí)、改口令時(shí)會(huì)產(chǎn)生誤報(bào)；不

能識(shí)別病毒名稱(chēng)；對(duì)隱蔽性病毒無(wú)效。

行為監(jiān)測(cè)法：基于對(duì)病毒異常行為的判斷

特點(diǎn)：發(fā)現(xiàn)許多未知病毒；可能誤報(bào)，實(shí)施難

軟件模擬法：一種軟件分析器，用軟件方法

來(lái)模擬和分析程序的運(yùn)行。

特點(diǎn)：可用于對(duì)付多態(tài)病毒。

反病毒軟件的選擇

1）掃描速度30秒能掃描1000個(gè)以上文件

2）識(shí)別率

3）病毒清除測(cè)試

著名殺毒軟件公司

冠群金辰KILL

瑞星RAV

北京江民KV3000

信源LANVRV

賽門(mén)鐵克NortonAntiVirus

時(shí)代先鋒（行天98）

反病毒軟件工作原理

1）病毒掃描程序

串掃描算法:與已知病毒特征匹配；文件頭、尾部

入口掃描算法：模擬跟蹤目標(biāo)程序的執(zhí)行

類(lèi)屬解密法：對(duì)付多態(tài)、加密病毒

2）內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒

3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對(duì)于已被感染

的系統(tǒng)使用此方法，可能會(huì)受到欺騙。

4）行為監(jiān)測(cè)器：是內(nèi)存駐留程序，監(jiān)視病毒對(duì)可執(zhí)行

文件的修改。防止未知的病毒

三、幾種常見(jiàn)的病毒

宏病毒

宏（Macro）：為避免重復(fù)操作而設(shè)計(jì)的一組命令。

在打開(kāi)文件時(shí)，先執(zhí)行“宏”，然后載入文件內(nèi)容。

因此如果“宏”帶有病毒，則在編輯文件時(shí)病毒自

動(dòng)載入。

宏病毒的癥狀：

1）用Word或Excel打開(kāi)文件時(shí)，出現(xiàn)“文檔未打開(kāi)”、

“內(nèi)存不夠"、"WordBasicErr=514”等；

2）保存文件時(shí)，強(qiáng)制將文件按-dot”類(lèi)型存儲(chǔ)，或

強(qiáng)制在指定目錄存放。

3）宏病毒的版本兼容問(wèn)題

幾種宏病毒：

AAAZAOMacro：Concept病毒，第一個(gè)宏病毒；

TaiwanN0.1：第一個(gè)中文word病毒；

RainbowMacro：能改變桌面顏色；

Formate：格式化C盤(pán)，第一個(gè)木馬型宏病毒；

HotMacro：第一個(gè)調(diào)用WindowsAPI的宏病毒；

NuclearMacro:第一個(gè)干擾打印機(jī)、硬盤(pán)的宏病毒。

宏病毒分類(lèi)：

公用宏病毒：以Auto開(kāi)頭的宏，附在normal.dot或

Personal.xls等模板上。

私用宏病毒：

宏病毒的危害

1）傳播迅速：因?yàn)槲募涣黝l繁；

2）制造及變種方便：WordBasic編程容易

3）危害大：WordBasic可調(diào)用WindowsAPI、DLL、DDE

宏病毒的防治

除殺毒軟件以外，還可嘗試下列方法：

1）按住〈Shift〉鍵再啟動(dòng)Word,禁止宏自動(dòng)運(yùn)行；

2）工具3宏，檢查并刪除所有可能帶病毒的宏；

3）使用DisableAutoMacros宏

4）將模板文件如normal.dot的屬性設(shè)為只讀。

三、幾種常見(jiàn)的病毒

CIH病毒

臺(tái)灣陳盈豪編寫(xiě)，一般每月26日發(fā)作。

不僅破壞硬盤(pán)的引導(dǎo)扇區(qū)和分區(qū)表，還破壞系統(tǒng)

FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。

病毒長(zhǎng)1KB,由于使用VXD技術(shù)，只感染32位

Windows系統(tǒng)可執(zhí)行文件中的,PE格式文件。

修復(fù)硬盤(pán)分區(qū)表：信源公司()的

免費(fèi)軟件VRVFIX.EXE；

CIH疫苗:CIH作者的Ant-CIHvl.O；

美國(guó)Symantec公司的Kill_CIH

四、網(wǎng)絡(luò)病毒

含義1:在網(wǎng)上傳播、并對(duì)網(wǎng)絡(luò)進(jìn)行破壞的病毒。

含義2：專(zhuān)指HTML、E-mail、Java等Internet病毒。

例：蠕蟲(chóng)病毒，木馬程序等。

2001年9月18日，Nimdaworm在Internet上迅

速傳播。該病毒感染W(wǎng)indows系列多種計(jì)算機(jī)

系統(tǒng)，其傳播速度之快、影響范圍之廣、破壞

力之強(qiáng)都超過(guò)其前不久發(fā)現(xiàn)的CodeRedIL

特點(diǎn)：網(wǎng)上蔓延，危害更大。

1）網(wǎng)上傳染方式多，工作站、服務(wù)器交叉感染

2）混合特征：集文件感染、蠕蟲(chóng)、木馬等于一身

3）利用網(wǎng)絡(luò)脆弱性、系統(tǒng)漏洞

4）更注重欺騙性

5）清除難度大，破壞性強(qiáng)。

網(wǎng)絡(luò)病毒的防范：

具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻

繁地掃描和監(jiān)測(cè)；在工作站上用防病毒芯片和

對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。

相對(duì)于單機(jī)病毒的防護(hù)來(lái)說(shuō)，網(wǎng)絡(luò)病毒的防治具有

更大的難度，網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理集成。管

理功能就是管理全部的網(wǎng)絡(luò)設(shè)備：從Hub、交換機(jī)、

服務(wù)器到PC,軟盤(pán)的存取、局域網(wǎng)上的信息互通及

與Internet的連接等，所有病毒能夠進(jìn)來(lái)的地方。

為實(shí)現(xiàn)計(jì)算機(jī)病毒的防治，可在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上

安裝網(wǎng)絡(luò)病毒防治服務(wù)器；在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安

裝網(wǎng)絡(luò)病毒防治軟件；在單機(jī)上安裝單機(jī)環(huán)境的反

病毒軟件。

從以下方面控制網(wǎng)絡(luò)病毒：

服務(wù)器郵件系統(tǒng)WEB站點(diǎn)

數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)關(guān)

局域網(wǎng)病毒防御體系

1）服務(wù)器網(wǎng)絡(luò)病毒防殺模塊

監(jiān)視各節(jié)點(diǎn)，保護(hù)網(wǎng)絡(luò)操作系統(tǒng)安全;

動(dòng)態(tài)告警、殺滅各節(jié)點(diǎn)的病毒；

配置系統(tǒng)整體的檢測(cè)計(jì)劃、時(shí)間；

對(duì)病毒事件進(jìn)行記錄、審計(jì)、跟蹤；

提供技術(shù)支持，升級(jí)；

2）客戶端單機(jī)病毒防殺模塊

單機(jī)版殺毒軟件；響應(yīng)升級(jí)要求

安裝網(wǎng)絡(luò)防毒軟件的方案

1）在網(wǎng)關(guān)和防火墻上安裝防毒軟件

缺點(diǎn)：對(duì)每個(gè)文件的檢測(cè)將影響網(wǎng)絡(luò)性能。

2）在工作站上安裝防毒軟件

缺點(diǎn)：管理、協(xié)調(diào)、升級(jí)困難。

3）在電子郵件服務(wù)器上安裝防毒軟件

僅能防止郵件病毒的傳播。

4）在所有文件服務(wù)器上安裝防毒軟件

對(duì)于備份服務(wù)器，備份與反毒有可能沖突。

網(wǎng)絡(luò)反毒的新特征：

與OS結(jié)合更緊密；實(shí)時(shí)化；檢測(cè)壓縮文件病

毒

病毒防火墻技術(shù)：能阻止病毒的擴(kuò)散

在網(wǎng)絡(luò)服務(wù)器上安裝病毒防火墻系統(tǒng)，例如:

InterScanVirusWall

關(guān)鍵技術(shù)：

OS底層接口技術(shù)：實(shí)時(shí)過(guò)濾，并少占用資源;

網(wǎng)絡(luò)及應(yīng)用程序的底層接口技術(shù)：各種協(xié)議

充分利用OS的多任務(wù)、多線程機(jī)制；

優(yōu)化算法，減少系統(tǒng)開(kāi)銷(xiāo)；

網(wǎng)絡(luò)應(yīng)急響應(yīng)

網(wǎng)絡(luò)安全事件：違反明顯的或隱含的安全策略的一次

活動(dòng)，即對(duì)系統(tǒng)正常運(yùn)行有負(fù)面影響的活動(dòng)。包括：

非授權(quán)訪問(wèn)；系統(tǒng)崩潰；拒絕服務(wù)；對(duì)系統(tǒng)的篡改。

時(shí)間長(zhǎng)短；規(guī)模大?。?/p>

安全級(jí)別：A:影響公共安全、社會(huì)秩序

B:系統(tǒng)停頓，業(yè)務(wù)無(wú)法運(yùn)作

C:業(yè)務(wù)中斷，影響系統(tǒng)效率

D:業(yè)務(wù)短暫故障，可立即修復(fù)

CERT/CC(計(jì)算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心)發(fā)出

安全警報(bào)：00年26次，01年41次。中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)

急處理協(xié)調(diào)中心CNCERT/CC(WWW.CERT.ORG.CN)

網(wǎng)絡(luò)安全事件的緊急程度：

一般：

緊急：

對(duì)人身安全的威脅；

對(duì)Internet體系的攻擊（如對(duì)DNS、根名服務(wù)

器、網(wǎng)絡(luò)接入點(diǎn)的攻擊）

對(duì)Internet的大范圍自動(dòng)化攻擊

新型的攻擊及新的嚴(yán)重漏洞。

網(wǎng)絡(luò)安全事件的應(yīng)急準(zhǔn)備

分析關(guān)鍵業(yè)務(wù)；后援；應(yīng)急組織與計(jì)劃；評(píng)估；演練。

網(wǎng)絡(luò)安全事件的應(yīng)急處理流程

1）發(fā)現(xiàn)網(wǎng)絡(luò)安全事件

2）確定影響范圍，評(píng)估可能損失

3）執(zhí)行預(yù)定的應(yīng)急措

4）安全事件通報(bào)、求援

安全事件通報(bào)內(nèi)容：

發(fā)生安全事件的聯(lián)系資料：

發(fā)生時(shí)間、地點(diǎn)；受影響主機(jī)資料；

事件描述（程度、來(lái)源、工具、損失）；

采取的措施；期望的援助。

CERT/CC提供的基本服務(wù)

CERT/CC是實(shí)現(xiàn)信息安全保障的核心,

提供以下服務(wù)：

安全事件的熱線響應(yīng)；

檢查入侵來(lái)源；

恢復(fù)系統(tǒng)正常工作；

事故分析；

發(fā)布安全警報(bào)、公告、建議；

咨詢(xún)；安全培訓(xùn)教育；

風(fēng)險(xiǎn)評(píng)估。

Web站臺(tái)

咨詢(xún)組

事

系

件