1、第10章 信息戰、密碼技術與計算機病毒10.1 概述10.2 沒有硝煙的信息戰10.3 密碼技術與計算機病毒武器10.4 密碼技術與加密病毒10.5 加密類病毒的檢測技術2. 第一次世界大戰時期德軍使用過的一種實用戰地密碼ADFGX乘積密碼及其具體體現乘積密碼是移位密碼和替代密碼的有限次組合。在這種意義上講，它又是一種混合密碼，在一定程度上可以提高密碼的抗破譯攻擊強度。在第一次世界大戰期間，德軍司令部曾先后啟用了一位無線電參謀設計的乘積編碼 ADFGX密表密碼和ADFGVX密表密碼。雖然由于它們都是一次替代加密和一次移位加密的組合，其安全程度有限最終被法國密碼局最優秀的密碼分析家所破譯，但仍不

2、失為第一次世界大戰期間最著名的戰場實用密碼之一。ADFGX密表密碼對明文加密的步驟： (1) 生成換字方陣首先生成ADFGX密表（其中小寫字母為明文字母），如表10.3（見書374頁）和圖10.9 （見書374頁）所示。（2） 利用ADFGX密表對明文進行“替代”加密替代加密的方法是，按該密表先從右至左，后從下至上的次序將明文中的每一個字母一一轉換成密文“字母對”，例如明文字母h要用密文“字母對”FD替代，而不是用DF替代；或者先將ADFGX密表按“從右至左，從下至上”的次序，生成明文字母集和密文“字母對”集的映射關系表，如表10.4（見書374頁）所示，再依表10.4將明文中的每一個字母變換

3、成相應的密文“字母對”。設明文P = Computer virus weapon in information warfare則其相應的替代密文C1為：C1=GF DD GA XF AX GX XA AG DX XD AG AX FF XX XA FA XF DD AA XD AA XD AA FX DD AG GA FA GX XD DD AA XX FA AG FX FA AG XA（3） 對已生成的替代密碼進行“移位”加密對第（2）步已生成的替代密碼C1，按給定的數字亂序（例如含有15的5個整數亂序）排成橫排，將C1中所有的“字母對”拆開成單個字母。這里所設的數字亂序可以是1-2-3-4

4、-5或5-3-2-4-1；亦可用含17的7個整數亂序，如7-6-5-4-3-2-1或4-6-1-5-2-7-3等。本例取2-5-4-1-3作為密鑰key,對C1進行“移位”再變換，如表10.5（見書375頁）所示。注意C1中各字母的輸入方向是從上到下，從左到右。（4） 由移位密碼生成ADFGX密表密碼密文C2按密鑰key數字值的升序，把表10.5中的縱列字母從上到下排成橫列輸出，即得C2。對于本例，先輸出數字“1”下面的字母： DAAAXXXF;其次輸出key中數字“2”下面的字母： GAGGAFFD；最后輸出key中數字“5”下面的字母： FXXDGXAA。本例最終生成的ADFGX密表密碼密

5、文C2為： C2=DAAXX XFXDD AXAAA GAGGA FFDAA AADXF GGXAD FADDA DFDXG ADFXX AXXAX XGXAA FAFXX DGXAA AFGGD FXX按照上述步驟生成ADFGX密表密碼在Windows環境下的Visual Basic 6.0程序及其運行結果如下： Private Function Encrypt(ByVal Text As String, n As Integer, _strCharP As String, strCharT As String, strSort As String) As String加密函數參數為源字符串

6、和密表相關參數,返回值為加密字符串Dim Length As IntegerDim i As Integer, j As IntegerDim t As String * 1Dim strFirst As StringDim strSecond As String - - - - - - - - - - - - - - - - - - - - - - 裝載密表密表明文字母表Dim CharT() As String * 1密表密文字母表Dim CharP() As String * 1移位加密順序表Dim Sort() As StringReDim CharT(n 2 - 1), CharP(

7、n - 1)獲取順序列表Sort = Split(strSort, -)裝入密表明文字母表For i = 0 To n 2 - 1CharT(i) = Mid(strCharT, i + 1, 1)Next i裝入密表密文字母表For i = 0 To n - 1CharP(i) = Mid(strCharP, i + 1, 1)Next i - - - - - - - - - - - - - - - - - - - - - - 替代加密Length = Len(Text)For i = 1 To Lengtht = Mid(Text, i, 1)If t = A And t = Z Then

8、 t = Chr(Asc(t) + 32)For j = 0 To n 2 - 1 If CharT(j) = t ThenstrFirst = strFirst & CharP(j n) & CharP(j Mod n)Exit For End IfNext jNext iEncrypt = strFirstExit Function移位加密Length = Len(strFirst)For i = 0 To UBound(Sort) For j = 0 To UBound(Sort)If i + 1 = CInt(Sort(j) Then Exit For Next j For j = j

9、 To Length Step UBound(Sort) + 1strSecond = strSecond & Mid(strFirst, j + 1, 1) Next jNext iEncrypt = strSecondEnd FunctionADFGX加密算法實現程序界面如圖10.10所示。圖10.10 ADFGX加密算法實現程序界面信息安全涉及到3個領域和4個側面。3個領域是計算機、通信網絡和電子系統；而4個側面則是截聽與反截聽、傳導輻射、網絡安全和計算機病毒。本節介紹的海灣戰爭實際上是一場頗具規模的以電子技術為主的高科技戰，在某種意義上講也是一場計算機戰。電子技術、計算機病毒作為一種武

10、器在海灣戰爭，特別是在科索沃戰爭以及2003年3月爆發的伊拉克戰爭中所起到的關乎交戰雙方勝、敗的重大作用引起了各國政府、軍界的高度重視與巨大反響。10.3.4 信息戰中的計算機病毒武器作為威脅到信息安全的計算機病毒所具有的破壞強度遠遠超過其他的不安全因素，應當說它是計算機技術高度發展、進步的必然孿生物。古往今來，任何先進的技術總是首先受到軍事家的密切關注而迅速地運用于軍事目的，以適應戰爭的需要。信息社會中的信息對抗形式是信息戰。在這場從表面上看沒有硝煙的爭斗中，能夠操作計算機鍵盤的每個人都是信息戰士；交戰的雙方都在把最新、最先進的技術為我所用。一個新的動向是，密碼技術應用于計算機病毒技術之中，

11、由此而產生的多態病毒能夠繞過甚至對抗反病毒軟件的檢測；另一方面，這種狀況又促使了反病毒技術的進步，“反反病毒技術”應運而生。計算機病毒武器在科索沃戰爭中的巨大作用是常規武器所不能比擬的。1 計算機病毒武器在當代信息戰中的應用自從1989年11月美軍在澳大利亞舉行的“紅軍”與“藍軍”對陣的軍事演習中，使用計算機病毒武器破壞對方計算機系統的正常運行，第一次公開報導計算機病毒被應用于軍事目的，從而揭開了信息戰中的計算機病毒戰的序幕以來，世界各國軍界對計算機病毒在信息戰中的戰略戰術意義刮目相看，深入研究，并且應用于20世紀90年代中的海灣戰爭和科索沃戰爭中。（1） 海灣戰爭中的“沙漠風暴”1994年的

12、海灣戰爭爆發前不久，美國就獲悉了伊拉克將從法國購買一種用于防空系統的新型計算機打印機，而且還獲悉該打印機將通過約旦首都安曼運送到伊拉克首都巴格達。美國派遣在安曼的特工用一套帶有計算機病毒的同類芯片換下了伊拉克購買的計算機打印機中的芯片。當1994年的海灣戰爭爆發后，美軍就通過網絡，用指令激活了伊拉克防空系統中計算機打印機內的計算機病毒，使其侵入到伊拉克防空系統網絡的計算機中，導致伊拉克整個防空系統的計算機陷入癱瘓。這是世界戰爭史上首次將計算機病毒用于實戰，而且取得了較好的作戰效果。該計算機病毒由美國國家安全局編寫，美國中央情報局組裝。這種利用了計算機病毒，通過網絡實施進攻的武器，亦可稱為“芯片

13、作戰武器”，或稱之為“芯片陷阱”，這種武器使得當年沙漠中的伊軍遭受到如同龍卷風般的慘重打擊，美國政府給這場戰爭取名為“沙漠風暴”似乎不無道理。（2） 科索沃戰爭在科索沃戰爭（亦稱巴爾干戰爭）中，計算機病毒的阻塞性攻擊使美軍、北約軍隊的計算機系統屢遭侵擾。從北約于1999年3月24日對前南聯盟發動空襲開始，北約成員國在因特網上的站點連續不斷地遭受到反戰黑客們的攻擊。例如一位來自貝爾格萊德的黑客從3月27日開始，就用他的計算機自動反復地連接北約站點，其目的是期望以此占領帶寬拖垮系統、“轟炸”北約站點；另一黑客每天向北約的電子郵件系統發送約2000份郵件，并向該系統投放5種計算機病毒等，迫使北約站點

14、不得不從3月28日起對公眾關閉；3月31日，北約的E-mail服務器由于遭到“Happy99”宏病毒的攻擊而阻塞。北約人士不得不承認，這是北約有史以來的非武力所能解決的最大的難題。1999年4月4日，北約通信網中又屢遭Melissa病毒及其變種Papa病毒、Madcow（瘋牛）病毒和E-mail病毒的攻擊而使其參戰部隊的通信一度陷入癱瘓；美海軍陸戰隊所有參戰部隊的電子郵件均受到Melissa病毒的阻擊；美軍的“尼米茲”號航空母艦上的計算機系統亦癱瘓了近3h，迫使北約把服務器從Sun公司的SparE-20升級為Ultra-Spare系統，采用美T-1(1.544Mb/s)線路代替原先的256Kb

15、/s的通信線路，以保證線路帶寬不易讓病毒全占，開發能夠阻止惡性電子郵件信息的過濾器，關閉除超文本傳輸協議和電子郵件之外的網絡服務器等多項應急對抗措施。另一方面，美軍亦采用黑客手段，秘密入侵前南聯盟的計算機信息系統竊取情報，并虛構自己的戰場信息以欺騙前南聯盟情報人員，使得美軍最終掌握了戰爭的主動權及制勝權。（3） 與伊拉克戰爭有關的計算機病毒在伊拉克戰爭中，從20012003年，至少出現了4種與伊拉克戰爭有關的計算機病毒，如表10.6（見書380頁）所示。 4種病毒的共同特點是它們同屬蠕蟲病毒。 雖然這4種病毒的感染對象及破壞癥狀不盡相同，但是它們出現的背景都是反對伊拉克戰爭（姑且不論及這些病毒

16、制造者的政治態度和制毒、放毒的目的與動機）。2 計算機病毒武器海灣戰爭中，美國“試圖把伊拉克當作高科技武器的試驗場”。以美國為首的多國部隊能取得迅速利索、相當徹底的勝利，很大程度上得力于安全可靠、功能強大、性能優良、系統完善的計算機。其中，計算機病毒派上了用場。計算機病毒武器泛指計算機病毒本身和一類特殊的電子設備；其中的電子設備能夠投放（注入）病毒，或者能夠抗擊病毒的干擾、破壞，或者兩者兼而有之。理想的計算機病毒武器系指能從遙遠的地方將計算機病毒注入到敵方的飛機、坦克、導彈、艦船、通信系統等高科技武器裝備的計算機中，使敵方計算機在關鍵時刻受到誘騙、干擾乃致癱瘓；同時能抵御、遏制來自敵方的計算機

17、病毒對己方武器裝備的干擾與入侵，并能防治受到計算機病毒的干擾、入侵的計算機系統。計算機病毒本身被使用來作為一種新型的武器在軍事系統中的可行性是存在的，并且已經從海灣戰爭、科索沃戰爭中得到了印證。這種武器的特點如下。（1） 極強的隱蔽性： 計算機病毒的不可預知性使得這種武器看不見、摸不到、聞不著、防不勝防，極難發現。（2） 極大的破壞性： 可直接即時或者“潛伏”下來，在作戰的關鍵時刻使敵方的計算機系統、武器系統、指揮系統、通信系統失靈。（3） 較低的造價和研制費用： 相對于核武器而言，計算機病毒武器的造價和研制費用較低，而產生的戰略效應不一定就亞于核武器。（4） 能夠收到“兵不血刃”、“不戰而屈

18、人之兵”的奇效。計算機病毒武器的主要功能是放毒、抗毒和解毒。在信息戰中，利用計算機病毒作為武器，可能的攻擊目標和破壞形式如下：(1) 可以癱瘓C4I、C4ISR系統。因為這些軍事信息系統是一個通過計算機連接指揮、控制、通信、情報乃至監視和偵察和武器系統的龐大網絡，一旦將病毒注入其中，便足以破壞整個指揮自動化系統。(2) 可以襲擊空間軍事設施。這是由于軍事設施的發射、定位和工作大多離不開計算機系統，計算機系統是這些軍事設施賴以生存和運轉的基礎。(3) 可以攻擊甚至摧毀硬武器系統和電子設備。因為這些當代硬武器或電子設備的效能越來越依存于其中的計算機系統。總之，只要是使用了計算機或由計算機控制的高科

19、技信息網絡和設備都是計算機病毒武器可能的攻擊目標。在戰場上使用計算機病毒武器，首先就是要將計算機病毒準確而有效地注入到被攻擊目標的計算機系統中，這是計算機病毒武器研究的重點和關鍵。目前，計算機病毒的注入方式有3種： 第一，網絡傳播。即通過網絡直接將計算機病毒注入到目標計算機；第二，無線注入。可以使用高功率微波病毒槍（炮）裝置，通過精確控制電磁脈沖峰值等途徑，將計算機病毒注入；或者采用雙調制技術，將高功率微波與計算機病毒直接耦合，通過連續發射計算機病毒碼調制的高功率微波，將計算機病毒注入處于接收狀態的計算機；第三，預先設伏。被注入到敵方目標計算機系統中的病毒，在一般情況下處于潛伏狀態而并不立即實

20、施破壞行為，但能繁殖蔓延，感染敵方其他信息設備；只有當信息戰爆發時，才通過遙控，針對敵方軍用信息系統、空間軍事設施、電子對抗設備或常規武器裝備裝備中的計算機系統發射具有特定信號的高能量電磁波，將其中的計算機病毒激活，對信息設備產生干擾、破壞、阻塞等敵方意想不到的故障，實現己方的戰略或戰術打擊目標。3 計算機病毒武器的研制動態1999年4月19日，美國某位副部長在一個信息安全研討會上，將科索沃戰爭稱為全球“第一次網絡戰爭”。通過這場戰爭，可以看到計算機網絡攻防技術對于國家安全至關生存的重要現實意義，已經引起并繼續引起各國深層次、全方位的思考與重視。美國、英國、法國、日本、俄羅斯、澳大利亞、加拿大

21、和以色列等國均在部署計算機病毒武器的研制計劃。美國是計算機網絡攻防研究最早的國家之一。早在計算機病毒出現之初，美國就成立了計算機病毒工業協會（CVIA）；1987年制訂了計算機病毒武器的研制計劃；1991年美國國防部(DoD)和中央情報局（CIA）撥出55億美元專款，收集計算機病毒程序、網羅計算機病毒研究精英、研制高效的軍用計算機病毒、招標包括密碼病毒（將計算機病毒固化在出口的集成電路中）和新一代病毒武器的開發。研制出的第一代計算機病毒武器已被美軍成功地用于1991年的海灣戰爭中。美國國防部還成立了一個由百余名計算機專家組成的稱為“老虎隊”的專門班子，潛心研究軍用計算機對病毒的防范、檢查美空軍

22、計算機網絡的安全程度，研究計算機病毒的注入技術和投放策略。如前所述，美國正在研制能在遠距離把計算機病毒注入到敵方的飛機、坦克、艦船等武器裝備的計算機系統中的“計算機病毒槍（炮）”。1995年，美政府又制訂計算機病毒武器計劃，再次撥款15億美元，并指示對新研制的武器系統都要能夠注入計算機病毒。美國目前正在研制的第二代計算機病毒武器“復式病毒”（又稱激光制導軟件）使其具有更強的攻擊、破壞能力，并采用更為先進的計算機病毒投放技術，以增強計算機病毒的靈活性與突發性。1992年，獨聯體紅星報報道美國已開始研制計算機病毒的軍事應用。隨后，俄羅斯于2000年6月批準實施國家信息安全學說，把信息戰置于相當突出

23、的地位。實際上，俄羅斯在1991年以前就已經在研制非常時期用以破壞計算機系統的計算機病毒和被稱為“地震炸彈”的地震武器，并于19921993年期間在遠東地區通過核爆炸對地震武器進行過數次試驗。 日本也十分重視計算機病毒技術、反病毒技術和密碼技術的研究，防衛廳計劃在20012005年期間實施日本的中期防衛力量配備計劃。該計劃的一個重要研究內容就是通過計算機作戰來攻擊、破壞敵方的軍事指揮通信系統。據美國國防部稱，日本東芝公司已具有制造第一代計算機病毒武器的能力；日本軍方已責成該公司進行計算機病毒武器的研制，并計劃于2007年裝備其自衛隊。加拿大國防部1999年成立“電腦黑客”科研小組，模擬黑客制造

24、計算機病毒是該小組的重點工作之一。為使計算機病毒不易被發現，以躲避現有的計算機病毒檢測技術，病毒的制造者采用了一些方法和手段來提高病毒的生存周期，諸如抗分析技術、隱藏病毒技術、多態變形技術等，均是值得關注的計算機病毒技術的新走向。10.4 密碼技術與加密病毒 10.4.1 加密病毒密碼技術受到病毒制造者的青睞的原因之一，是它為實現計算機病毒的隱藏性和抗分析性提供了一個較為容易實現的重要途徑。病毒的加密是指依照某種密碼體制，對病毒的明文代碼進行加密變換后，將生成的病毒的密文代碼和對病毒密文代碼的解密代碼潛伏于該病毒的宿主程序，在宿主程序運行的過程中，通過隱藏的解密密鑰觸發病毒解密代碼的執行，對病

25、毒的密文代碼實施解密，使之還原成加密前的明文病毒代碼，然后執行該已解密的病毒代碼。采用密碼技術的加密病毒基本原理如圖10.11所示。圖10.11 采用密碼技術的計算機病毒程序密文狀態下的計算機病毒程序只能通過解密程序恢復成明文狀態后才可正常實現其破壞作用，而且不同的密鑰對同一個病毒程序還可能會產生不同的密文病毒代碼。因此，采用了密碼技術的病毒可以防止計算機病毒分析技術的檢測或不被輕易地反匯編出明文病毒代碼。1 計算機病毒的另一種分類非加密病毒和加密病毒如果按照是否采用了加密技術來對計算機病毒進行分類，則病毒可被劃分為非加密病毒和加密病毒，如表10.7（見書387頁）所示。10.4.2 計算機病

26、毒的加密處理2 3種常見的病毒簡單加密處理方式（1） 對程序段動態加密病毒采取一邊執行一邊解碼的方法，即后面的機器碼在前面的某段機器碼進行運算還原后才能執行，即使是用Debug等調試工具打印出經過這樣處理之后的病毒代碼（病毒的密文代碼）也是不可閱讀的。（2） 對顯示信息加密實現對“顯示信息加密”的病毒對其要顯示的信息進行加密處理，使得反病毒軟件難以直接通過病毒體的內存映像尋找得到它的跟蹤，例如“新世紀”病毒就采用了這種加密處理方式。（3） 對宿主程序段加密病毒對宿主程序入口處的若干個字節加密處理后存儲在病毒體內，以增加殺毒和修復工作的難度。3加密病毒的類型非多態病毒和多態病毒（1） 非多態病毒

27、非多態病毒采用的是簡單的自加密處理，即用固定的密鑰，對病毒的某些主體明文代碼進行加密。若要使得該加密處理后的計算機病毒能夠正常執行，就必須讓病毒的解密程序控制計算機解密病毒代碼的密文部分，然后將控制權傳送給已解密的病毒體。這種自加密處理使得通過靜態反匯編得到的只能是病毒的密文代碼，從而在一定程度上增加了靜態分析技術對抗這類病毒的困難。簡單自加密病毒一般由解密算法模塊、病毒主體的加密代碼和跳轉指令（跳轉到解密后的病毒代碼，使已解密的病毒代碼能夠執行其原有的破壞功能）等3部分組成。這類病毒加密所采用的是諸如XOR、OR、ADD等簡單變換，例如“6.4”病毒發作時，在屏幕上顯示的字符就是用XOR變換

28、來實現加密存儲的，使得在該病毒主體內可以看到若干個連續的整數7（即采用XOR變換對病毒的顯示信息加密）。這種對顯示信息加密的方式只能在某種程度上能夠起到對病毒的保護作用，因為具備查殺病毒功能較好的反病毒軟件并不會把顯示信息作為判斷病毒是否存在的條件予以對待。（2） 多態病毒由于非多態病毒采用的是相同的加密算法和基本上不變的密鑰，使得其加密的病毒代碼固定不變，因此仍然存在著被通常的反病毒軟件監控，繼而提取其特征碼的可能性。多態病毒彌補了非多態病毒的上述不足，這類病毒采用了較復雜的密碼技術，使得它們在每感染一個對象時能夠隨機地對其病毒主體或原始病毒代碼進行加密處理，病毒自身的加密代碼和結構產生不同

29、的變化。即同一個病毒經特殊的加密處理后，得到多個互不相同的病毒主體（或總體）加密代碼；同一種病毒的多個樣本中，病毒代碼各異，幾乎沒有穩定的代碼，使用通常的特征碼掃描技術不能檢測（或者極其難以檢測），這就是病毒的“多態”。病毒多態的復雜程度取決于密碼技術的使用策略和實現手段。有關學者將多態病毒劃分為如表10.8（見書388頁）所示的6個級別。1. 名詞解釋(1) 制信息權(2) 五維疆域(3) 四維空間(4) 信息戰(5) 心理戰(6) 信息保護(7) C4I(8) C4ISR習題(9) C4KISR(10) AES(11) NIST(12) 計算機病毒武器(13) 信息保障(14) 信息保障體

30、系2. 問答題(1) 信息戰的發展可分為哪幾個階段？(2) 信息戰的內涵是什么？具有哪些主要特征和戰略形式？(3) RSA密碼體制的理論基礎是什么？(4) “離合詩”的“密鑰”是剖析字形，領悟其意；或離或合，拼字成義。例如，摘錄古代某離合詩的前16字： “漁夫屈節，水潛匿方。與時進止，出行施張。”怎樣破讀該16字（密文）所表達的真意（明文）？(5) 設取用唐代杜甫春夜喜雨詩： “好雨知時節，當春乃發生。隨風潛入夜，潤物細無聲。野徑云俱黑，江船火獨明。曉看紅濕處，花重錦官城。”作為加密解密密鑰。若前方將領欲向上級請示： “是否固守營地，暫不迎敵”，試問該將領及其上級如何使用武經總要實現加密解密？(6) 與伊拉克戰爭有關的4種計算機病毒具有哪些共同的特點？(7) 簡述加密病毒的基本原理。(8) 計算機病毒有哪些簡單的加密處理方式？(9) 多態病毒有哪些級別？它們使用了哪些實現策略和手段？(10) 如果將“退一進三”密碼算法的基本思想改變成“退二進五”，能否實現加密解密，為什么？(11) 如何檢測加密類病毒？目前出現的加密類計算機病毒檢測技術有哪些優缺點？3. 論述題(1