1、第三章 計算機病毒及其防治第一節(jié) 計算機病毒及其特性,一、計算機病毒的定義 計算機病毒：是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。,二、計算機病毒的特性,（1）可執(zhí)行性 計算機病毒是一段可執(zhí)行程序，但它不是一個完整的程序，而是寄生在其他可執(zhí)行程序上，因此它享有一切程序所能得到的權力。病毒運行時，與合法程序爭奪系統(tǒng)的控制權。 （2）傳染性 計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進人計算機并得以執(zhí)行，它就會搜尋其他符合傳染條件的程序或存儲介質，確定目標后將自身代碼插入其中，達到自我繁殖的目的。,（3）寄

2、生性 病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對宿主程序進行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進行自我復制和繁衍。 （4）隱蔽性 計算機病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。有些計算機受到傳染后，系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常,隱蔽性表現(xiàn)在兩個方面： 一、傳染的隱蔽性 二、病毒程序存在的隱蔽性 （5）潛伏性 一個編制精巧的計算機病毒程序，進人系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個月內(nèi)甚至幾年內(nèi)隱藏在合法文件

3、中，對其他系統(tǒng)進行傳染，而不被發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。,潛伏性表現(xiàn)在兩個方面： 一、病毒程序不用專用檢測程序是檢查不出來的 ，可以長期在系統(tǒng)里呆很長時間，待時機成熟就又要四處繁殖、擴散，繼續(xù)為害。 二、計算機病毒的內(nèi)部往往有一種觸發(fā)機制，不滿足觸發(fā)條件時，計算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足 就會造成很嚴重的破壞。 （6）觸發(fā)性 病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。,（7）破壞性 降低計算機系統(tǒng)的工作效率，占用系統(tǒng)資源，其具體情況取決于人侵系統(tǒng)的病毒程序。 （8）衍生性 分析計算機病毒的結構

4、可知，傳染和破壞部分反映了設計者的設計思想和設計目的。但是，這可以被其他掌握原理的人以其個人的企圖進行任意改動，從而又衍生出一種不同于原版本的新的計算機病毒。這就是計算機病毒的變種性。這種變種病毒造成的后果可能比原版病毒嚴重得多。,1. 計算機病毒產(chǎn)生的背景 (1) 計算機軟硬件產(chǎn)品的脆弱性 (2) 計算機的廣泛應用 計算機的廣泛應用是計算機病毒產(chǎn)生的必要環(huán)境。計算機的普及使得病毒得以大面積的傳染，而且使得某些愛搞惡作劇的人和具有報復心理的人以及具有顯示欲的人大量制造計算機病毒。 (3) 特殊的政治、經(jīng)濟和軍事目的 某些組織或個人采用高科技手段即利用計算機病毒，達到其政治、經(jīng)濟或軍事目的。如在

5、金融領域，利用計算機病毒進行高科技犯罪。這種犯罪具有動態(tài)性和隨機性，不易取證，風險小獲利大。這對金融安全和金融正常運轉構成了嚴重的威脅 。,三、 計算機病毒的產(chǎn)生背景及主要來源,2、計算機病毒的來源 (1) 產(chǎn)生于惡作劇 (2) 產(chǎn)生于報復心理 (3) 產(chǎn)生于軟件商保護軟件 用于研究或實踐而設計的“有用”程序，由于某種原因失去控制而擴散出實驗室或研究所，從而成為危害四方的計算機病毒 用于政治、經(jīng)濟和軍事等特殊目的,四、計算機病毒簡史及發(fā)展階段,1、計算機病毒簡史 計算機病毒在計算機誕生不久就出現(xiàn)了。但開始是程序員閑來無事而編寫的趣味程序，并無惡意。直到 1977年，Thomas.J.Ryan在

6、科幻小說The Adolescence Of P-1里，就幻想一種計算機病毒從一臺計算機系統(tǒng)傳染到另一臺計算機。1983年美國計算機安全專家 Fred Cohen博士通過實驗證明了計算機病毒出現(xiàn)的可能性。1986年，真正揭開了計算機病毒神秘的面紗從幻想走進了現(xiàn)實。巴基斯坦兩兄弟為追蹤非法拷貝軟件的人制造了“巴基斯坦”病毒，此病毒成為了世界上公認的第一個傳染PC兼容機的病毒，并且很快在全球流行。1988年，各種病毒開始大肆流行。神秘的“蠕蟲程序”導致美國的一個計算機網(wǎng)絡癱瘓。1989年10月13日“黑色星期五病毒出現(xiàn)，繼而是“小球病毒”、“大麻病毒”、“宏病毒”等。1998年4月在臺灣出現(xiàn)了CI

7、H病毒，是第一個直接破壞計算機硬件的病毒，可破壞BIOS中的系統(tǒng)程序導致主板損壞，并破壞硬盤。特別近幾年來計算機網(wǎng)絡的普及，出現(xiàn)了許多通過計算機網(wǎng)絡（主要是電子郵件）傳播的病毒，如 1999年6月出現(xiàn)了“梅利莎”（Melissa）病毒2 年5月出現(xiàn)了“愛蟲病毒”（I Love You）； 2000年底出現(xiàn)了 Fun Love病毒；2001年初出現(xiàn)了“歡樂時光” (Happy Time)病毒；2001年7月出現(xiàn)了“紅色代碼”（Red Code）病毒；2001年9月出現(xiàn)了“尼姆達”（Nimda）病毒。2001年10月出現(xiàn)了“本拉登”病毒等。,2、計算機病毒的發(fā)展階段 （1）第一代病毒：198619

8、89年，這一時期出現(xiàn)的病毒稱為“傳統(tǒng)病毒”，是計算機病毒的萌芽和滋生時期。 （2）第二代病毒：19891991年，這一時期出現(xiàn)的病毒稱為“混合型病毒”或“超級病毒”。這一階段是計算機病毒由簡單發(fā)展到復雜，由單純走向成熟的階段。 （3）第三代病毒：19921995年，這一時期出現(xiàn)的病毒稱為“多態(tài)性病毒”或“自我變形病毒”。所謂“多態(tài)性病毒”或“自我變形病毒”的含義是指病毒傳染目標時，放入宿主程序中病毒程序大部分都是可變的，即病毒的程序代碼大多數(shù)是不同的，這是此類病毒的重要特點。,（4）第四代病毒：90年代中后期，隨著計算機網(wǎng)絡的開通，病毒流行面更加廣泛，病毒的流行突破了地域的限制，首先通過廣域網(wǎng)

9、傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴散。1996年隨著國內(nèi)Internet的普及，Email的使用，計算機網(wǎng)絡病毒成為病毒的主流。 這一時期的病毒的最大特點是利用Internet作為其主要傳播途徑，所以病毒傳播快、隱蔽性強、破壞性大。,第二節(jié) 計算機病毒的類型及危害,一、計算機病毒的類型 1. 按攻擊的系統(tǒng)分類 （1）攻擊DOS系統(tǒng)的病毒 ，這類病毒出現(xiàn)最早、最多，變種也最多。 （2）攻擊Windows系統(tǒng)的病毒 ，目前網(wǎng)絡上攻擊最多的操作系統(tǒng)就是Windows （3）攻擊UNIX系統(tǒng)的病毒 ，許多大型的網(wǎng)絡均采用UNIX作為其主要的操作系統(tǒng),2、按鏈結方式分類,（1）源碼型病毒 這種病毒攻擊高

10、級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。 （2）嵌入型病毒 這種病毒是將自身嵌入到程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術、超級病毒技術和隱蔽性病毒技術，將給當前的反病毒技術帶來嚴峻的挑戰(zhàn)。,（3）外殼型病毒 這種病毒是將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。 （4）操作系統(tǒng)型病毒 這種病毒運行時用它自己的程序取代部分操作系統(tǒng)的合法程序進行工作，具有很強的破壞力

11、，可以導致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。,（1）磁盤引導區(qū)傳染的計算機病毒 。 如：“大麻”、“小球”病毒 （2）操作系統(tǒng)傳染的計算機病毒 （3）可執(zhí)行程序傳染的計算機病毒 可執(zhí)行程序傳染的病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒也就被激活，病毒程序首先被執(zhí)行，并將自身駐留內(nèi)存，然后設置觸發(fā)條件，進行傳染 。,3、 按寄生部位或傳染對象分類,4、按傳播媒介分類,（1）單機病毒 單機病毒的載體是磁盤，常見的是病毒從軟盤傳人硬盤，感染系統(tǒng)，然后再傳染其他軟盤，軟盤又傳染其他系統(tǒng)。 （2）網(wǎng)絡病毒 網(wǎng)絡病毒的傳播媒介不再是移動式載體，而是網(wǎng)絡通道，這種病毒的傳染

12、速度快，破壞力大。,5、按載體和傳染途徑分類,（1）引導型病毒 由于引導程序是計算機啟動時最先加載執(zhí)行的，所以此類病毒可在計算機運行時最先獲得控制權 ,引導型病毒幾乎都會常駐在內(nèi)存中 （2）文件型病毒 源碼型病毒是用高級語言編寫的，若不進行匯編、鏈接則無法傳染擴散。 嵌入型病毒是嵌入在程序的中間，它只能針對某個具體程序。 外殼型病毒寄生在宿主程序的前面或后面，并修改程序的第一個執(zhí)行指令，使病毒先于宿主程序執(zhí)行，這樣隨著宿主程序的使用而傳染擴散 （3）混合型病毒 綜合引導型和文件型病毒的特征 ，危害更大,二、計算機病毒的主要危害,（1）破壞計算機數(shù)據(jù)信息 （2）搶占系統(tǒng)資源 （3）影響計算機運行

13、速度 （4）計算機病毒錯誤與不可預見的危害 （5）計算機病毒的兼容性對系統(tǒng)運行的影響 （6）計算機病毒給用戶造成嚴重的心理壓力,第三節(jié) 計算機病毒的結構及作用機制,計算機病毒與生物病毒一樣，有其自身的病毒體和寄生體。寄生體是一合法程序，為病毒提供一種生存環(huán)境。當病毒程序寄生于合法程序后，病毒就成了程序的一部分，并在程序中占有合法地位。這樣合法程序就成了病毒程序的寄生體，或稱病毒程序的載體，我們稱原合法程序為宿主或宿主程序。當染有病毒的宿主程序在計算機系統(tǒng)中運行時或運行后就駐留于內(nèi)存中。 計算機病毒在結構上有其共性。一般來說，計算機病毒包括三大功能模塊：引導模塊、傳染模塊、發(fā)作模塊。而每一模塊各

14、有自己的工作原理，我們稱之為作用機制。下面我們分別討論計算機病毒的結構及作用機制。,一、 計算機病毒的結構,條件判斷,傳染,條件判斷,表現(xiàn)或破壞,二、 計算機病毒的作用機制1、計算機病毒的引導機制,（1）計算機病毒的寄生對象 計算機病毒實際上是一種特殊的程序，是程序就必然要存儲在磁盤上，但是病毒程序為了進行自身的主動傳播，必須使自身寄生在可以獲取執(zhí)行權的寄生對象上。就目前出現(xiàn)的各種計算機病毒來看，其寄生對象有三種： 寄生在磁盤引導扇區(qū)； 寄生在可執(zhí)行文件中； 寄生在數(shù)據(jù)文件中； 這樣病毒程序寄生在他們的上面，就可以在一定條件下獲得執(zhí)行權，然后進行病毒的動態(tài)傳播和破壞活動。,（2）計算機病毒的寄

15、生方式 替代法：病毒程序用自己的部分或全部指令代碼，替代磁盤引導扇區(qū)或文件中的全部或部分內(nèi)容 鏈接法：病毒程序將自身代碼作為正常程序的一部分與原有正常程序鏈接在一起 （3）計算機病毒的引導過程 駐留內(nèi)存 竊取系統(tǒng)控制 恢復系統(tǒng)功能,（1）計算機病毒的傳染方式 被動傳染：被動傳染是指用戶在進行拷貝磁盤或文件時，把一個病毒由一個載體復制到另一個載體上；或者是通過網(wǎng)絡上的信息傳遞，把一個病毒程序從一方傳遞到另一方的傳染方式 主動傳染 ：主動傳染是指計算機病毒以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動地把病毒自身傳染給另一個載體或另一

16、個系統(tǒng)的傳染方式,2、計算機病毒的傳染機制,（2）計算機病毒的傳染過程 （1）立即傳染：病毒在被執(zhí)行到的瞬間，搶在宿主程序開始執(zhí)行前，立即感染磁盤上的其他程序，然后再執(zhí)行宿主程序 （2）駐留內(nèi)存并伺機傳染：內(nèi)存中的病毒檢查當前系統(tǒng)環(huán)境，在執(zhí)行一個程序或操作時傳染磁盤上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運行結束后，仍可活動，直至關閉計算機,（3）系統(tǒng)型病毒傳染機理 對軟盤的感染：系統(tǒng)型病毒利用在開機引導時竊獲的 INT 13H控制權，在整個計算機運行過程中隨時監(jiān)視軟盤操作情況，趁讀寫軟盤的時機讀出軟盤引導區(qū)，判斷軟盤是否染毒，如未感染就按病毒的寄生方式把原引導區(qū)寫到軟盤另一位置，把病毒

17、寫入軟盤第一個扇區(qū)，從而完成對軟盤的感染 對硬盤的傳染：往往是在計算機上第一次使用帶毒軟盤進行的，具體步驟與軟盤傳染相似，也是讀出引導區(qū)判斷后寫入病毒,（4）文件型病毒傳染機理 首先對運行的可執(zhí)行文件特定地址的標識位信息進行判斷是否感染了病毒；當條件滿足，利用 INT 13H將病毒連接到可執(zhí)行文件的首部或尾部或中間，并存入磁盤中；完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運行，試圖尋找新的攻擊目標。,原理：破壞機制在設計原則、工作原理上與傳染機制基本相同。它也是通過修改某一中斷向量人口地址，使該中斷向量指向病毒程序的破壞模塊 ，從而對系統(tǒng)進行破壞。 計算機病毒的破壞行為體現(xiàn)了病毒的殺傷力。病毒破壞行為的激烈程

18、度取決于病毒制作者的主觀愿望和他所具有的技術能量 。 病毒破壞目標和攻擊部位主要是：系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運行、運行速度、磁盤、屏幕顯示、鍵盤、喇叭、打印機、CMOS、主板等。,3、計算機病毒的破壞機制,4、計算機病毒的觸發(fā)機制,常見的計算機病毒的觸發(fā)條件 ： （1）日期觸發(fā)：許多病毒采用日期做觸發(fā)條件。日期觸發(fā)大體包括：特定日期觸發(fā)、月份觸發(fā)、前半年后半年觸發(fā)等。 （2）時間觸發(fā)：時間觸發(fā)包括特定的時間觸發(fā)、感染后累計工作時間觸發(fā)、文件最后寫入時間觸發(fā)等。 （3）鍵盤觸發(fā)：有些病毒監(jiān)視用戶的擊鍵動作，當發(fā)現(xiàn)病毒預定的鍵鍵入時，病毒被激活，進行某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合

19、鍵觸發(fā)、熱啟動觸發(fā)等。,（4）感染觸發(fā)：許多病毒的感染需要某些條件觸發(fā)，而且相當數(shù)量的病毒又以與感染有關的信息反過來作為破壞行為的觸發(fā)條件，稱為感染觸發(fā)。它包括：運行感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤觸發(fā)、感染失敗觸發(fā)等。 （5）啟動觸發(fā)：病毒對機器的啟動次數(shù)計數(shù)，并將此值作為觸發(fā)條件。 訪問磁盤次數(shù)觸發(fā)；病毒對磁盤I/O訪問的次數(shù)進行計數(shù)，以預定次數(shù)做觸發(fā)條件。,第四節(jié)、 計算機病毒的預防,一、計算機病毒的傳播途徑 1軟盤 在計算機應用的早期對病毒的傳播發(fā)揮了巨大的作用 2硬盤 由于帶病毒的硬盤在本地或移到其他地方使用、維修等，將干凈的軟盤傳染并再擴散 3光盤 盜版光盤的泛濫給病毒的傳

20、播帶來了極大的便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給本來“清潔”的計算機添了災難 4計算機網(wǎng)絡 文件下載、電子郵件傳播,二、計算機病毒的癥狀,鍵盤、打印、顯示有異常現(xiàn)象 運行速度突然減慢 計算機系統(tǒng)出現(xiàn)異常死機或頻繁死機 文件的長度、內(nèi)容、屬性、日期無故改變 丟失文件、丟失數(shù)據(jù) 系統(tǒng)引導過程變慢 計算機存儲系統(tǒng)的存儲容量減少或有不明常駐程序 系統(tǒng)不認識磁盤或是硬盤不能開機 整個目錄變成一堆亂碼 硬盤的指示燈無緣無故亮了 計算機系統(tǒng)蜂鳴出現(xiàn)異常聲響 沒做寫操作時出現(xiàn)“磁盤寫保護”信息 異常要求用戶輸入口令 程序運行出現(xiàn)異?，F(xiàn)象或不合理的結果等,三、 計算機病毒的預防,計算機病毒預防

21、：指在病毒尚未入侵或剛剛入侵時，就攔截、阻止病毒的入侵或立即報警。對計算機病毒的預防最重要的是思想上要重視，要清楚一旦計算機感染了病毒輕則影響工作，重則可能將磁盤中存儲的數(shù)據(jù)和程序全破壞掉或使計算機或網(wǎng)絡系統(tǒng)癱瘓，造成無法估計的損失。,1對新購置的計算機系統(tǒng)除了格式化硬盤之外還要用殺毒軟件檢查已知病毒 。 2新購置的計算機軟件也要進行病毒檢測。 3在保證硬盤無病毒的情況下，能用硬盤引導啟動的 不用軟盤啟動。 4定期與不定期地進行磁盤文件備份工作。 5常備一張真正“干凈” 的引導盤并將其寫保護。 6. 數(shù)據(jù)和程序分別存放 。在別人的機器上使用了自己的沒有寫保護的軟盤，再在自己的機器上使用，就應進

22、行病毒檢測。在自己的機器上用別人的軟盤時也應進行檢查,對重點保護的機器應做到專機、專人,專盤、專用 。,預防計算機病毒管理上的措施和方法如下：,7用BOOTSAFE等實用程序或用DEBUG編程提取分區(qū)表等方法做好分區(qū)表、DOS引導扇區(qū)等的備份工作，在進行系統(tǒng)維護和修復工作時可作為參考。 8對于多人共用一臺計算機的環(huán)境，例如實驗室這種情況，應建立登記上機制度，做到使問題能盡早發(fā)現(xiàn)，有病毒能及時追查、清除，不致擴散。 9工作用計算機或家用計算機要設置使用權限及專人使用的保護機制，禁止來歷不明的人和軟件進入系統(tǒng)。 10選擇使用公認質量最好、升級服務最及時、對新病毒響應和跟蹤最迅速有效的反病毒產(chǎn)品，定期維護和檢測您的計算機系統(tǒng)及軟盤等。 11建立嚴密的病毒監(jiān)視體系,第五節(jié) 計算機病毒的清除,如果發(fā)現(xiàn)系統(tǒng)感染了病毒，要及時地檢