1、第7章 網(wǎng)絡(luò)病毒防范技術(shù),防災(zāi)科技學(xué)院災(zāi)害信息工程系,主講教師:王小英,病毒概述 病毒分類 病毒技術(shù) 反病毒技術(shù),一、病毒概述,病毒概念 病毒歷史 病毒威脅 病毒特征,一、病毒概述,1.病毒概念 概念 “計(jì)算機(jī)病毒”最早是由美國計(jì)算機(jī)病毒研究專家F.Cohen博士提出的。 “計(jì)算機(jī)病毒”有很多種定義: 國外最流行的定義為：計(jì)算機(jī)病毒，是一段附在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。 在中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中的定義為：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”. 不同角度給出計(jì)算機(jī)病毒的定

2、義： 一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散, 能“傳染”其他程序的程序。 一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。 一種人為制造的程序, 它通過不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤、內(nèi)存）或程序里。,一、病毒概述,病毒產(chǎn)生背景 計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是： 計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式 計(jì)算機(jī)病毒是高技術(shù)犯罪, 具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。 不易取證, 風(fēng)險(xiǎn)小破壞大, 從而刺激了犯罪意識(shí)和犯罪活動(dòng)。 是某些人惡作劇和報(bào)復(fù)心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。 計(jì)算機(jī)軟

3、硬件產(chǎn)品的危弱性是根本的技術(shù)原因 數(shù)據(jù)從輸入、存儲(chǔ)、處理、輸出等環(huán)節(jié), 易誤入、篡改、丟失、作假和破壞； 程序易被刪除、改寫； 計(jì)算機(jī)軟件設(shè)計(jì)的手工方式, 效率低下且生產(chǎn)周期長(zhǎng)； 對(duì)使用程序的錯(cuò)誤和缺陷沒有預(yù)知性 微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境,一、病毒概述,病毒的來源 搞計(jì)算機(jī)的人員和業(yè)余愛好者的惡作劇、尋開心制造出的病毒, 例如象圓點(diǎn)一類的良性病毒。 軟件公司及用戶為保護(hù)自己的軟件被非法復(fù)制而采取的報(bào)復(fù)性懲罰措施。 旨在攻擊和摧毀計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)系統(tǒng)而制造的病毒-就是蓄意進(jìn)行破壞。 用于研究或有益目的而設(shè)計(jì)的程序, 由于某種原因失去控制或產(chǎn)生了意想不到的效果。,一、病毒概述

4、,2.病毒歷史 病毒發(fā)展簡(jiǎn)歷 電腦病毒的概念其實(shí)起源相當(dāng)早，在第一部商用電腦出現(xiàn)之前好幾年，電腦的先驅(qū)者馮諾伊曼（John Von Neumann）在他的一篇論文復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行里，已經(jīng)勾勒出病毒程序的藍(lán)圖。 1977年夏天，托馬斯捷瑞安（Thomas.J.Ryan）的科幻小說P-1的春天（The Adolescence of P-1）成為美國的暢銷書，作者在這本書中描寫了一種可以在計(jì)算機(jī)中互相傳染的病毒，病毒最后控制了 7,000 臺(tái)計(jì)算機(jī)，造成了一場(chǎng)災(zāi)難。 第一個(gè)病毒誕生： 1983 年 11 月 3 日，弗雷德科恩 (Fred Cohen) 博士研制出一種在運(yùn)行過程中可以復(fù)

5、制自身的破壞性程序(該程序能夠?qū)е耈NIX系統(tǒng)死機(jī)），倫艾德勒曼 (Len Adleman) 將它命名為計(jì)算機(jī)病毒(computer viruses)，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出。,一、病毒概述,“巴基斯坦”病毒 ：1986 年初，在巴基斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和阿姆杰德(Amjad) 兩兄弟經(jīng)營(yíng)著一家 IBM-PC 機(jī)及其兼容機(jī)的小商店。他們編寫了Pakistan 病毒，即Brain。在一年內(nèi)流傳到了世界各地。 世界上公認(rèn)的第一個(gè)在個(gè)人電腦上廣泛流行的病毒通過軟盤傳播。 “蠕蟲莫里斯”：1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被稱為“蠕

6、蟲”的電腦病毒送進(jìn)了美國最大的電腦網(wǎng)絡(luò)互聯(lián)網(wǎng)。1988年11月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。 CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺(tái)灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時(shí)，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。 2001年7月19日針對(duì)IIS服務(wù)的.ida漏洞產(chǎn)生的CodeRed 沖擊波：年僅18歲的高中生杰弗里李帕森因?yàn)樯嫦邮恰皼_擊波”電腦病毒的制造者于2003年8月29日被捕。對(duì)此，他的鄰

7、居們表示不敢相信。在他們的眼里，杰弗里李帕森是一個(gè)電腦天才，而決不是什么黑客，更不會(huì)去犯罪。,一、病毒概述,計(jì)算機(jī)病毒發(fā)展的10個(gè)階段： DOS引導(dǎo)階段 DOS可執(zhí)行文件階段 混合型階段 伴隨型階段 多形型階段 生成器，變體機(jī)階段 網(wǎng)絡(luò)，蠕蟲階段 Windows階段 宏病毒階段 Internet階段,一、病毒概述,3.病毒威脅 攻擊系統(tǒng)數(shù)據(jù)區(qū) ：刪除、篡改文件、格式化硬盤 攻擊文件 ：刪除、篡改文件 攻擊內(nèi)存 ：復(fù)制垃圾文件，占用內(nèi)存 干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降 干擾鍵盤、喇叭或屏幕 攻擊CMOS 干擾打印機(jī) 網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng) ，導(dǎo)致網(wǎng)絡(luò)癱瘓 使郵件服務(wù)器、web服務(wù)器不能提供正常服務(wù)。

8、,一、病毒概述,4.病毒特征 特征 可執(zhí)行性：病毒可以是二進(jìn)制代碼，也可以是一段腳本 傳染性與傳播性：病毒具有很強(qiáng)的自我復(fù)制能力 破壞性：病毒對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)的破壞性極強(qiáng) 寄生性：病毒通常附加在其他程序中，隨其他程序的激活而激活 欺騙性：病毒的傳播一般是演變成另一個(gè)形式，如郵件、圖片等 隱蔽性和潛伏性：病毒的成名一般不容易被判斷，且一般存儲(chǔ)在系統(tǒng)文件中 衍生性：病毒是一段程序，可根據(jù)個(gè)人意圖隨便更改代碼,一、病毒概述,病毒的傳染途徑： 通過軟盤：通過使用外界被感染的軟盤, 例如, 不同渠道來的系統(tǒng)盤、來歷不明的軟件、游戲盤等是最普遍的傳染途徑； 通過硬盤：通過硬盤傳染也是重要的渠道, 由于帶有病

9、毒的機(jī)器移到其它地方使用、維修等, 將干凈的硬盤傳染并再擴(kuò)散； 通過網(wǎng)絡(luò)：這種傳染擴(kuò)散極快, 能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。 病毒的隱藏之處 可執(zhí)行文件。 引導(dǎo)扇區(qū)。 表格和文檔。 Java小程序和ActiveX控件。,二、病毒分類,病毒分類 宏病毒 網(wǎng)絡(luò)病毒,二、病毒分類,1.病毒分類 按攻擊的操作系統(tǒng)分類 攻擊DOS的病毒 特點(diǎn)：出現(xiàn)早，傳播快，變種多，如小球病毒 攻擊windows操作系統(tǒng)的病毒 主要是干擾windows系統(tǒng)中的應(yīng)用程序，如感染word、excel的宏病毒 攻擊unix或OS/2系統(tǒng)的病毒 按傳播媒介分類 單機(jī)病毒 傳播載體是磁盤、U盤等 網(wǎng)絡(luò)病毒 傳播媒介是網(wǎng)絡(luò) 破壞

10、性：造成網(wǎng)絡(luò)阻塞、修改網(wǎng)頁、破壞文件等，如：CIH病毒、紅色代碼II、尼姆達(dá),二、病毒分類,按鏈接方式分類 病毒要想感染和破壞文件，必須先與系統(tǒng)內(nèi)可執(zhí)行的文件建立鏈接。 源碼型病毒 是用高級(jí)語言編寫，寄生或鏈接在其他程序中，不多見。 入侵型病毒（嵌入型病毒） 通常是將自己嵌入到宿主程序中，成為合法程序的一部分。 特點(diǎn)：查殺困難，破壞性強(qiáng)，數(shù)量少 外殼型病毒 通常鏈接在宿主程序的尾部，對(duì)原程序不做修改或簡(jiǎn)單修改 特點(diǎn)：易編寫，數(shù)量多 操作系統(tǒng)型病毒 通常用自己的程序取代操作系統(tǒng)程序的一部分 特點(diǎn)：隨系統(tǒng)啟動(dòng)被激活，破壞性強(qiáng)，使系統(tǒng)癱瘓，無法啟動(dòng),二、病毒分類,按表現(xiàn)（破壞）情況分類 良性病毒 只

11、表現(xiàn)自己，而不破壞系統(tǒng)的病毒 特點(diǎn)：干擾計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，占用計(jì)算機(jī)資源，違背計(jì)算機(jī)用戶的意愿 惡性病毒 指有意或無意地破壞系統(tǒng)中的信息資源。 破壞行為：刪除系統(tǒng)內(nèi)存儲(chǔ)的數(shù)據(jù)和文件；復(fù)制垃圾文件；格式化磁盤扇區(qū)；破壞硬件等.,二、病毒分類,按寄生方式分類 引導(dǎo)型病毒 即磁盤引導(dǎo)型、引導(dǎo)扇區(qū)型、磁盤啟動(dòng)型、系統(tǒng)型病毒等 定義：把自己的病毒程序放在軟磁盤的引導(dǎo)區(qū)以及硬盤的主引導(dǎo)記錄區(qū)或引導(dǎo)扇區(qū)，當(dāng)作正常的引導(dǎo)程序，而將真正的引導(dǎo)程序搬到其他位置。 破壞：改寫主引導(dǎo)記錄區(qū)、引導(dǎo)區(qū)、文件分配表、文件目錄區(qū)、中斷向量表等 文件型病毒 定義：指對(duì)所有通過操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒 感染文件：可執(zhí)

12、行文件（.bat、.exe、.com、.dll.）、高級(jí)語言編寫的源代碼、編譯過程中生成的中間文件。 混合型病毒（又稱綜合型、復(fù)合型病毒） 即有引導(dǎo)型病毒的特點(diǎn)，也有文件型病毒的特點(diǎn)。,二、病毒分類,（a）引導(dǎo)型病毒,（b）文件型病毒,圖：病毒的傳播、破壞過程,二、病毒分類,一個(gè)引導(dǎo)病毒傳染的實(shí)例 假定用硬盤啟動(dòng)，且該硬盤已染上了小球病毒，那么加電自檢以后，小球病毒的引導(dǎo)模塊就把全部病毒代碼1024字節(jié)保護(hù)到了內(nèi)存的最高段，即97C0：7C00處；然后修改INT 13H的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫軟磁盤的操作通過INT 13H的作用，計(jì)算機(jī)病毒的傳染塊便率先取得控制權(quán)，它

13、就進(jìn)行如下操作： 讀入目標(biāo)軟磁盤的自舉扇區(qū)（BOOT扇區(qū)）。 判斷是否滿足傳染條件。 如果滿足傳染條件（即目標(biāo)盤BOOT區(qū)的01FCH偏移位置為5713H標(biāo)志），則將病毒代碼的前512字節(jié)寫入BOOT引導(dǎo)程序，將其后512字節(jié)寫入該簇，隨后將該簇標(biāo)以壞簇標(biāo)志，以保護(hù)該簇不被重寫。 跳轉(zhuǎn)到原INT 13H的入口執(zhí)行正常的磁盤系統(tǒng)操作。,二、病毒分類,一個(gè)文件病毒傳染的實(shí)例 假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么運(yùn)行該文件后，耶路撒冷病毒的引導(dǎo)模塊會(huì)修改INT 21H的中斷向量，使之指向病毒傳染模塊，并將病毒代碼駐留內(nèi)存，此后退回操作系統(tǒng)。以后再有任何加載執(zhí)行文件的操作，病毒

14、的傳染模塊將通過INT 21H的調(diào)用率先獲得控制權(quán)，并進(jìn)行以下操作： 讀出該文件特定部分。 判斷是否傳染。 如果滿足條件，則用某種方式將病毒代碼與該可執(zhí)行文件鏈接，再將鏈接后的文件重新寫入磁盤。 轉(zhuǎn)回原INT 21H入口，對(duì)該執(zhí)行文件進(jìn)行正常加載。,二、病毒分類,2.宏病毒 宏病毒的傳播 一般來說，一個(gè)宏病毒傳播發(fā)生在被感染的宏指令覆蓋、改寫及增加全局宏指令表中的宏, 由此進(jìn)一步感染隨后打開和存貯的所有Doc文檔。 當(dāng)Word打開一個(gè).doc文件時(shí)，先檢查里面有沒有模板/宏代碼, 如果有的話就認(rèn)為這不是普通的doc文件，而是一個(gè)模版文件, 并執(zhí)行里面的auto類的宏(如果有的話)。 一般染毒后

15、的.doc被打開后，通過Auto宏或菜單、快捷鍵來激活，隨后感染諸如Normal.dot或powerup.dot等全局模板文件得到系統(tǒng)永久控制權(quán)。奪權(quán)后，當(dāng)系統(tǒng)有文檔存儲(chǔ)動(dòng)作時(shí)，病毒就把自身復(fù)制入此文檔并儲(chǔ)存成一個(gè)后綴為.doc 的模板文件；另外，當(dāng)一定條件滿足時(shí)，病毒就會(huì)干些小小的或者大大的破壞活動(dòng)。,二、病毒分類,宏病毒分類 公（共）用宏病毒 這類宏病毒對(duì)所有的Word文檔有效，其觸發(fā)條件是在啟動(dòng)或調(diào)用Word文檔時(shí)，自動(dòng)觸發(fā)執(zhí)行。它有兩個(gè)顯著的特點(diǎn)： 只能用“Autoxxxx”來命名，即宏名稱是用“Auto”開頭，xxxx表示的是具體的一種宏文件名。如AutoOpen、AutoClose

16、、AutoCopy等。 它們一定要附加在Word共用模板上才有“公用”作用。通常在用戶不規(guī)定和另行編制其他的公用模板時(shí)，它們應(yīng)是附加在Normal.dot模板上，或者首先要能將自己寫進(jìn)這樣的模板才行。,二、病毒分類,私用宏病毒 私用宏病毒與公用宏病毒的主要區(qū)別是： 前者一般放在用戶自定義的Word模板中，僅與使用這種模板的Word文檔有關(guān)，即只有使用這個(gè)特定模板的文檔，該宏病毒才有效，而對(duì)使用其他模板的文檔，私用宏病毒一般不起作用。,二、病毒分類,宏病毒特點(diǎn) 傳播極快 可通過網(wǎng)絡(luò)、mail等傳播 制作、變種方便 宏病毒則是以人們?nèi)菀组喿x的源代碼宏語言Word Basic形式出現(xiàn)，所以編寫和修改

17、宏病毒比以往病毒更容易 。 破壞可能性極大 多平臺(tái)交叉感染,二、病毒分類,3.網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒的特點(diǎn) 傳染方式多 ：主要是通過網(wǎng)絡(luò)傳播 傳染速度快 清除難度大 ：宿主廣泛，難于判斷 破壞性強(qiáng) 可激發(fā)性 潛在性,二、病毒分類,網(wǎng)絡(luò)病毒的分類 網(wǎng)絡(luò)病毒主要分為蠕蟲病毒和木馬病毒 蠕蟲 定義：蠕蟲是通過分布式網(wǎng)絡(luò)來擴(kuò)散傳播特定信息或錯(cuò)誤，破壞網(wǎng)絡(luò)中信息或造成網(wǎng)絡(luò)服務(wù)中斷的病毒。 組成： 主程序：建立連接，通過讀取公共配置文件以及收集當(dāng)前網(wǎng)絡(luò)狀態(tài)信息，獲得與當(dāng)前機(jī)器聯(lián)網(wǎng)的其他機(jī)器的信息和軟件缺陷，主動(dòng)嘗試?yán)盟@得的信息以及其他機(jī)器的缺陷在這些遠(yuǎn)程機(jī)器上建立其引導(dǎo)程序。 引導(dǎo)程序 特點(diǎn)：利用網(wǎng)絡(luò)中軟

18、件系統(tǒng)的缺陷，進(jìn)行自我復(fù)制和主動(dòng)傳播。 蠕蟲與病毒的最大不同在于它不需要人為干預(yù)，且能夠自主不斷地復(fù)制和傳播。,二、病毒分類,木馬 又稱特洛伊木馬，是一種遠(yuǎn)程控制工具；是一個(gè)包含在一個(gè)合法程序中的非法的程序。 一種黑客程序，本身不破壞數(shù)據(jù)，黑客利用其遠(yuǎn)程操縱受害計(jì)算機(jī)。 一般的木馬都有客戶端和服務(wù)器端兩個(gè)執(zhí)行程序。 常被用作竊取信息及非法使用資源的工具。 攻擊步驟： 設(shè)定好服務(wù)器程序 騙取對(duì)方執(zhí)行服務(wù)器程序 尋找對(duì)方的地址IP 用客戶端程序來控制對(duì)方的計(jì)算機(jī),二、病毒分類,網(wǎng)絡(luò)病毒的傳播方式 電子郵件: 受病毒感染的文檔或文件附加在郵件中可通過網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò) 網(wǎng)頁： 瀏覽帶有病毒

19、的網(wǎng)站 文件傳輸： 被瀏覽的或是通過FTP下載的文件中可能存在病毒,二、病毒分類,蠕蟲 蠕蟲工作流程 蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場(chǎng)處理四個(gè)階段,二、病毒分類,說明： 蠕蟲程序掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，將蠕蟲主體遷移到目標(biāo)主機(jī)。 然后，蠕蟲程序進(jìn)入被感染的系統(tǒng)，對(duì)目標(biāo)主機(jī)進(jìn)行現(xiàn)場(chǎng)處理。 現(xiàn)場(chǎng)處理部分的工作包括：隱藏、信息搜集等。同時(shí)，蠕蟲程序生成多個(gè)副本，重復(fù)上述流程。 不同的蠕蟲采取的IP生成策略可能并不相同，甚至隨機(jī)生成。各個(gè)步驟的繁簡(jiǎn)程度也不同，有的十分復(fù)雜，有的則非常簡(jiǎn)單。,二、病毒分類,蠕蟲的行為特征 自我繁殖： 蠕蟲在本質(zhì)上已經(jīng)演變?yōu)楹诳腿肭值淖詣?dòng)化工具，

20、當(dāng)蠕蟲被釋放（release）后，從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到復(fù)制副本，整個(gè)流程全由蠕蟲自身主動(dòng)完成。就自主性而言，這一點(diǎn)有別于通常的病毒。 利用軟件漏洞： 任何計(jì)算機(jī)系統(tǒng)都存在漏洞，這些就蠕蟲利用系統(tǒng)的漏洞獲得被攻擊的計(jì)算機(jī)系統(tǒng)的相應(yīng)權(quán)限，使之進(jìn)行復(fù)制和傳播過程成為可能。 這些漏洞是各種各樣的，有的是操作系統(tǒng)本身的問題，有的是應(yīng)用服務(wù)程序的問題，有的是網(wǎng)絡(luò)管理人員的配置問題。正是由于漏洞產(chǎn)生原因的復(fù)雜性，導(dǎo)致各種類型的蠕蟲泛濫。,二、病毒分類,造成網(wǎng)絡(luò)擁塞： 在掃描漏洞主機(jī)的過程中，蠕蟲需要：判斷其它計(jì)算機(jī)是否存在；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在等等，這不可避免的會(huì)產(chǎn)生

21、附加的網(wǎng)絡(luò)數(shù)據(jù)流量。 同時(shí)蠕蟲副本在不同機(jī)器之間傳遞，或者向隨機(jī)目標(biāo)的發(fā)出的攻擊數(shù)據(jù)都不可避免的會(huì)產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。即使是不包含破壞系統(tǒng)正常工作的惡意代碼的蠕蟲，也會(huì)因?yàn)樗a(chǎn)生了巨量的網(wǎng)絡(luò)流量，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，造成經(jīng)濟(jì)損失。 消耗系統(tǒng)資源： 蠕蟲入侵到計(jì)算機(jī)系統(tǒng)之后，會(huì)在被感染的計(jì)算機(jī)上產(chǎn)生自己的多個(gè)副本，每個(gè)副本啟動(dòng)搜索程序?qū)ふ倚碌墓裟繕?biāo)。大量的進(jìn)程會(huì)耗費(fèi)系統(tǒng)的資源，導(dǎo)致系統(tǒng)的性能下降。這對(duì)網(wǎng)絡(luò)服務(wù)器的影響尤其明顯。 留下安全隱患： 大部分蠕蟲會(huì)搜集、擴(kuò)散、暴露系統(tǒng)敏感信息（如用戶信息等），并在系統(tǒng)中留下后門。這些都會(huì)導(dǎo)致未來的安全隱患。,二、病毒分類,蠕蟲病毒與一般病毒的異同 病

22、毒類型：普通病毒 蠕蟲病毒 存在形式：寄存文件獨(dú)立程序 傳染機(jī)制：宿主程序運(yùn)行 主動(dòng)攻擊 傳染目標(biāo)：本地文件網(wǎng)絡(luò)計(jì)算機(jī) 蠕蟲病毒的隔離 在確認(rèn)計(jì)算機(jī)中了蠕蟲病毒后，要立即中斷本機(jī)與外界的聯(lián)系，防止蠕蟲擴(kuò)散。 單機(jī)隔離 禁用本機(jī)網(wǎng)卡或者拔掉網(wǎng)線，防止蠕蟲擴(kuò)散到網(wǎng)絡(luò)中的其他計(jì)算機(jī)中 網(wǎng)絡(luò)隔離 對(duì)出現(xiàn)蠕蟲病毒的子網(wǎng)的出口路由設(shè)備進(jìn)行配置，對(duì)蠕蟲的相應(yīng)端口進(jìn)行關(guān)閉，防止蠕蟲擴(kuò)散到別的網(wǎng)絡(luò)中去,二、病毒分類,防范蠕蟲病毒措施 預(yù)防 隔離 查殺 免疫 蠕蟲病毒的查殺 基于特征的查殺 提取特征碼，網(wǎng)絡(luò)特征、文件特征、傳播特征； 根據(jù)特征碼制作專殺工具進(jìn)行查殺。 手工進(jìn)行查殺 檢查可疑進(jìn)程，可疑端口，查找各類

23、啟動(dòng)項(xiàng)，進(jìn)入安全模式手動(dòng)進(jìn)行查殺。,二、病毒分類,振蕩波查殺實(shí)例 感染判斷 出現(xiàn)系統(tǒng)錯(cuò)誤對(duì)話框，莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī)； 任務(wù)管理器里有一個(gè)叫avserve.exe、avserve2.exe或者skynetave.exe的進(jìn)程在運(yùn)行； 在系統(tǒng)目錄下，產(chǎn)生一個(gè)名為avserve.exe、avserve2.exe、skynetave.exe的病毒文件； 注冊(cè)表H_L_MSOFTWAREMicrosoftWindowsCurrentVersionRun項(xiàng)中存在avserve.exe=%Windir%avserve.exe值； 系統(tǒng)速度極慢，CPU占用100%。,二、病毒分類,手工查殺 清除內(nèi)

24、存中的病毒進(jìn)程avserve.exe、avserve2.exe或者skynetave.exe 在系統(tǒng)目錄下刪除相應(yīng)病毒文件 刪除注冊(cè)表中H_L_MSOFTWAREMicrosoftWindowsCurrentVersionRun值avserve.exe=%Windir%avserve.exe 系統(tǒng)打補(bǔ)丁 KB845732,三、病毒技術(shù),寄生技術(shù) 駐留技術(shù) 隱藏技術(shù),三、病毒技術(shù),1.寄生技術(shù) 寄生技術(shù)是病毒在感染的時(shí)候，將病毒代碼加入正常程序之中，原正常程序功能的全部或部分被保留。 常見文件型病毒的傳染方式 病毒寄生技術(shù)分類： 頭寄生技術(shù) 尾寄生技術(shù) 插入寄生技術(shù) 空洞利用,三、病毒技術(shù),頭寄

25、生 實(shí)現(xiàn)將病毒代碼放到程序頭上的兩種方法： 將原來程序的前面一部分拷貝到程序的最后，然后將文件頭用病毒代碼覆蓋； 生成一個(gè)新的文件，首先在頭的位置上寫入病毒代碼，然后將原來的可執(zhí)行文件放在病毒代碼的后面，再用新的文件替換原來的文件，從而完成感染。 感染情況： 批處理病毒和COM格式的文件，還有EXE文件,三、病毒技術(shù),“頭寄生”感染方式圖,原程序代碼頭,原程序代碼,原程序代碼,原程序代碼頭,病毒代碼,感染方式1,原程序代碼頭,原程序代碼,病毒代碼,感染方式2,三、病毒技術(shù),尾寄生 即將病毒代碼附加到可執(zhí)行程序的尾部。 對(duì)DOS環(huán)境下的EXE文件，有兩種處理方法： 將exe格式轉(zhuǎn)換成com格式再

26、進(jìn)行感染； 需要修改exe文件的文件頭，一般會(huì)修改exe文件頭的下面幾個(gè)部分： 代碼的開始地址； 可執(zhí)行文件的長(zhǎng)度 文件的CRC校驗(yàn)值 堆棧寄存器的指針,三、病毒技術(shù),COM文件的尾寄生,三、病毒技術(shù),插入寄生 病毒將自己插入被感染的程序中，可整段地插入，也可分段插入。,“插入寄生“方式,三、病毒技術(shù),空洞利用 利用Windows可執(zhí)行文件的結(jié)構(gòu)中，有很多沒有使用的部分，一般是空的段或者每個(gè)段的最后部分，將病毒代碼分散到其中 CIH病毒 特點(diǎn)： 文件大小沒有改變，不易覺察 PE格式復(fù)雜，實(shí)現(xiàn)困難,三、病毒技術(shù),2.駐留技術(shù) 常見的病毒駐留有：DOS環(huán)境下的內(nèi)存駐留、引導(dǎo)區(qū)病毒的內(nèi)存駐留和win

27、dows環(huán)境下的內(nèi)存駐留 DOS環(huán)境下的內(nèi)存駐留 標(biāo)準(zhǔn)DOS終止并且駐留程序的兩種方法： 通過CONGIG.SYS中作為設(shè)備驅(qū)動(dòng)程序加載； 調(diào)用DOS中斷INT21H（或INT27H）的退出，但仍然駐留功能。 DOS的內(nèi)存駐留病毒主要修改的INT21H功能有： 執(zhí)行文件（EXEC）、裝入內(nèi)存（LOAD）、 搜索（FindFirst、FindNext）、創(chuàng)建文件（CREATE）、 打開文件（OPEN）、關(guān)閉文件（CLOSE）、 改變文件屬性（CHMMODE）、文件改名（RENAME）,三、病毒技術(shù),引導(dǎo)區(qū)病毒的內(nèi)存駐留 該程序是將病毒代碼放入系統(tǒng)內(nèi)存中。 特點(diǎn)： 該病毒會(huì)造成系統(tǒng)可用內(nèi)存減少，但

28、一般減少的內(nèi)存只有1k或幾k。 引導(dǎo)區(qū)病毒只會(huì)在系統(tǒng)啟動(dòng)的時(shí)候加載一次。 windows環(huán)境下的內(nèi)存駐留 該駐留技術(shù)是在內(nèi)存中尋找合適的頁面并將病毒自身拷貝到其中，而且在系統(tǒng)運(yùn)行期間能夠始終保持病毒代碼的存在。,三、病毒技術(shù),3.隱藏技術(shù) 引導(dǎo)型病毒的隱藏技術(shù) 引導(dǎo)型病毒的隱藏有兩種基本方法： 改變基本輸入輸出系統(tǒng)（BIOS）中斷的入口地址，使其指向病毒代碼之后，發(fā)現(xiàn)調(diào)用讀被感染扇區(qū)的請(qǐng)求的時(shí)候，將原來的沒有被感染過的內(nèi)容返回給調(diào)用的程序。 直接針對(duì)殺毒軟件的。即在加載程序的時(shí)候制造假象，當(dāng)啟動(dòng)任何程序的時(shí)候，修改DOS執(zhí)行程序的中斷功能，首先把被病毒感染的扇區(qū)恢復(fù)原樣，當(dāng)程序執(zhí)行完畢后，再重

29、新感染。,三、病毒技術(shù),文件型病毒的隱藏技術(shù) 是替換DOS或者基本輸入輸出系統(tǒng)的文件系統(tǒng)相關(guān)調(diào)用，在打開文件的時(shí)候?qū)⑽募膬?nèi)容恢復(fù)未感染的狀態(tài)，在關(guān)閉文件的時(shí)候重新進(jìn)行感染。 windows環(huán)境下的隱藏技術(shù) 是通過將進(jìn)程或模塊隱藏起來實(shí)現(xiàn)的。,三、病毒技術(shù),異常情況的判斷 計(jì)算機(jī)病毒的防治 預(yù)防病毒的措施 計(jì)算機(jī)感染病毒后的修復(fù),三、病毒技術(shù),1.異常情況的判斷 計(jì)算機(jī)工作出現(xiàn)下列異?，F(xiàn)象，則有可能感染了病毒： 屏幕出現(xiàn)異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點(diǎn)、字符、樹葉等，并且系統(tǒng)很難退出或恢復(fù)。 揚(yáng)聲器發(fā)出與正常操作無關(guān)的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。 磁盤可用空間減少，出現(xiàn)大量壞簇，且壞簇?cái)?shù)目不斷增多，直到無法繼續(xù)