1、病毒防護技術1大綱概述病毒原理病毒技術反病毒技術病毒攻防發展2概述計算機病毒的定義計算機病毒的特征計算機病毒的歷史計算機病毒的分類3名稱由來由生物醫學上的“病毒”一詞借用而來與生物醫學上“病毒”的異同同：都具有傳染性、流行性、針對性等異：不是天生的，而是人為編制的具有特殊功能的程序“計算機病毒”一詞最早出現在美國作家Thomas J.Ryan于1977年出版的科幻小說The Adolescence of P-1中4計算機病毒定義廣義的定義：凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒（Computer Virus）1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系

2、統安全保護條例，在條理第28條中對計算機病毒的定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能夠自我復制的一組計算機指令或者程序代碼”。此定義具有法律性、權威性。5計算機病毒的特征寄生性計算機病毒是一種特殊的計算機程序，它不是以獨立的文件的形式存在的，它寄生在合法的程序中。病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。傳染性計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機是病毒的基本特征，是否具有傳染性是判別一個程序是否為計算機病毒的首要條件6計算機病毒的特征（cont.）隱蔽性計算機病毒在發作之前，必須能夠將自身很好地隱蔽

3、起來，不被用戶發覺，這樣才能實現進入計算機系統、進行廣泛傳播的目的。計算機病毒的隱蔽性表現為存在的隱蔽性與傳染的隱蔽性。潛伏性病毒程序為了達到不斷傳播并破壞系統的目的，一般不會在傳染某一程序后立即發作，否則就暴露了自身。潛伏性越好，其在系統中的存在時間就會越長，其傳染范圍就會越大。7計算機病毒的特征(cont.)可觸發性因某個特征或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。破壞性降低系統的工作效率，占用系統資源，刪除文件，導致網絡阻塞，竊取文件等病毒的破壞性主要取決于計算機病毒設計者的目的8計算機病毒的傳播途徑通過不可移動的計算機硬件設備進行傳播通過移動存儲設備來傳播：如軟盤、

4、U盤、光盤等通過計算機網絡進行傳播通過點對點通信系統和無線通道傳播9計算機病毒的歷史最早由馮諾伊曼提出一種可能性-現在稱為病毒，但沒引起注意。（1948年9月，馮諾伊曼提出了關于自我復制自動機系統的構想 ） 1975 年，美國科普作家約翰布魯勒爾 (John Brunner) 寫了一本名為震蕩波騎士(Shock Wave Rider) 的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。 1977 年夏天，托馬斯捷瑞安 (Thomas.J.Ryan) 的科幻小說P-1的春天(The Adolescence of P-1) 成為美國的暢銷書，作者

5、在這本書中描寫了一種可以在計算機中互相傳染的病毒，病毒最后控制了 7,000 臺計算機，造成了一場災難。 1983 年 11 月 3 日，弗雷德科恩 (Fred Cohen) 博士研制出一種在運行過程中可以復制自身的破壞性程序，倫艾德勒曼 (Len Adleman) 將它命名為計算機病毒(computer viruses)，并在每周一次的計算機安全討論會上正式提出，8 小時后專家們在 VAX11/750 計算機系統上運行，第一個病毒實驗成功，一周后又獲準進行 5 個實驗的演示，從而在實驗上驗證了計算機病毒的存在。 1986 年初，在巴基斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和

6、阿姆杰德(Amjad) 兩兄弟經營著一家 IBM-PC 機及其兼容機的小商店。他們編寫了Pakistan 病毒，即Brain。在一年內流傳到了世界各地。 10計算機病毒的歷史1991年在“海灣戰爭”中，美軍第一次將計算機病毒用于實戰，在空襲巴格達的戰斗中，成功地破壞了對方的指揮系統，使之癱瘓，保證了戰斗的順利進行，直至最后勝利。1996年首次出現針對微軟公司Office的“宏病毒”。1998年出現針對Windows95/98系統的病毒，如CIH。它主要感染Windows95/98的可執行程序，發作時破壞計算機Flash BIOS芯片中的系統程序，導致主板損壞，同時破壞硬盤中的數據。1999年H

7、appy99等完全通過Internet傳播的病毒出現。11計算機病毒的歷史1988 年 3 月 2 日，一種蘋果機的病毒發作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。 1988 年 11 月 2 日，美國六千多臺計算機被病毒感染，造成 Internet不能正常運行。這是一次非常典型的計算機病毒入侵計算機網絡的事件，迫使美國政府立即作出反應，國防部成立了計算機應急行動小組。這次事件中遭受攻擊的包括 5 個計算機中心和 12 個地區結點，連接著政府、大學、研究所和擁有政府合同的 250,000 臺計算機。這次病毒事件，計算機系統直接經濟損失達

8、9600 萬美元。這個病毒程序設計者是羅伯特莫里斯 (Robert T.Morris)，當年 23 歲，是在康乃爾 (Cornell) 大學攻讀學位的研究生。 羅伯特莫里斯設計的病毒程序利用了系統存在的弱點。由于羅伯特莫里斯成了入侵 ARPANET 網的最大的電子入侵者，而獲準參加康乃爾大學的畢業設計，并獲得哈佛大學 Aiken 中心超級用戶的特權。他也因此被判 3 年緩刑，罰款 1 萬美元，他還被命令進行 400 小時的新區服務。1988 年底，在我國的國家統計部門發現小球病毒。12計算機病毒的分類按攻擊的操作系統分類按傳播媒介分類按鏈接方式分類按危害程度分類按寄生方式分類按攻擊機型分類從廣

9、義病毒定義13按攻擊的操作系統分類攻擊DOS系統的病毒攻擊Windows系統的病毒攻擊UNIX系統的病毒（相對來說，為數不多，傳播效率低，不易流行）攻擊OS/2系統的病毒攻擊嵌入式操作系統的病毒。（特洛伊木馬“自由A”）（Palm）14按傳播媒介分類單機病毒載體：磁盤早期的病毒都是單機病毒網絡病毒傳播媒介：網絡GPI病毒是世界上第一個專門攻擊計算機網絡的病毒當今的病毒大多都是網絡病毒（RedCode）15按鏈接方式分類源碼型病毒：該病毒攻擊高級語言編寫的程序，在高級語言所編寫的程序編譯前插入到源程序中，經編譯成為合法程序的一部分。目前，該類病毒不多見。入侵型病毒/嵌入型病毒：在感染時往往對宿主

10、程序進行一定的修改，將自身嵌入到攻擊目標中，代替宿主程序中不常用到的堆棧區或功能模塊，而不是鏈接在它的首部或尾部。編寫該類病毒比較困難。外殼型病毒：寄生在宿主程序的前面或后面，并修改程序的第一個執行指令，使病毒先于宿主程序執行，并隨著宿主程序的使用而傳染擴散。該類病毒易于編寫，數量最多。操作系統型病毒：這種病毒在運行時，用自己的邏輯模塊取代操作系統的部分合法程序模塊。16按危害程度分類良性計算機病毒：不對計算機系統直接進行破壞，只是具有一定表現癥狀的病毒。惡性計算機病毒：在其代碼中包含有損傷和破壞計算機系統的操作，在其傳染或發作時會對系統產生直接的破壞作用，諸如竄改數據、格式化硬盤等。中性病毒

11、：對計算機系統不造成直接破壞，又沒有表現癥狀，只是瘋狂復制自身的病毒，也就是常說的蠕蟲型病毒。17按寄生方式分類引導型病毒：通過磁盤引導區傳染的病毒，主要是用病毒的全部或部分邏輯取代正常的引導記錄，而將正常的引導記錄隱藏在磁盤的其他地方。文件型病毒：通過操作系統的文件系統傳染的病毒，主要以感染可執行程序（.bat、.exe、.com、.sys、.dll、.ovl、.vxd等）為主，病毒通常寄生在可執行程序中，一旦程序被執行，病毒也就被激活，并將自身駐留內存，然后設置觸發條件，進行感染。混合型病毒：既傳染磁盤引導扇區又傳染可執行文件的病毒，綜合了系統型和文件型病毒的特征。18按攻擊機型分類攻擊微

12、型計算機的病毒攻擊小型機的計算機病毒攻擊工作站的計算機病毒攻擊便攜式電子設備的病毒19從廣義病毒定義邏輯炸彈特洛伊木馬計算機蠕蟲20邏輯炸彈邏輯炸彈：修改計算機程序，使它在某種特殊條件下按某種不同的方式運行。邏輯炸彈也是由程序員插入其它程序代碼中間的，但并不進行自我復制。21特洛伊木馬（Trojan horse）定義：泛指那些內部包含有為完成特殊任務而編制的程序，一種潛伏執行非授權功能的技術。它原本屬于一類基于遠程控制的工具。原理：C/S模式，服務器提供服務，客戶機接受服務。作為服務器的主機一般會打開一個默認的端口進行監聽，如果有客戶機向服務器的這一端口提出連接請求，服務器上的相應程序就會自動

13、運行，來應答客戶機的請求。這個程序被稱為守護進程。例如：冰河木馬22特洛伊木馬（Trojan horse）攻擊步驟：設定好服務器程序；騙取對方執行服務器程序；尋找對方的IP地址；用客戶端程序來控制對方的計算機。特征和行為：木馬本身不進行自我復制。被感染的計算機系統會表現出不尋常的行為或運行變慢。比如：有一個或多個不尋常的任務在運行；注冊表和其他配置文件被修改；電子郵件會在用戶不知情的情況下被發送等。23特洛伊木馬（Trojan horse）傳播途徑：作為電子郵件附件傳播；隱藏在用戶與其他用戶進行交流的文檔和其他文件中；被其他惡意代碼所攜帶，如蠕蟲；會隱藏在從互聯網上下載的捆綁的免費軟件中。預防

14、：不要執行任何來歷不明的軟件或程序（無論是郵件中還是Internet上下載的）。上網的計算機要必備防毒軟件（切記及時升級）24計算機蠕蟲（Worm）定義：通過分布式網絡來擴散傳播特定信息或錯誤，破壞網絡中的信息或造成網絡服務中斷的病毒。主要特點：利用網絡中軟件系統的缺陷，進行自我復制和主動傳播。但它與病毒在文件之間的傳播不同，它們是從一臺計算機傳播到另一臺計算機，從而感染整個系統。組成：主程序和引導程序主程序：一旦在機器上執行，就會通過讀取公共配置文件以及收集當前網絡狀態信息，獲得與當前機器聯網的其他機器的信息和軟件缺陷，并主動嘗試在這些遠程機器上建立其引導程序。25蠕蟲王病毒名稱：Worm.

15、SQLexp.3762003年1月25日，互聯網上出現了“2003蠕蟲王”病毒，其危害遠遠超過曾經肆虐一時的”紅色代碼”病毒。感染該蠕蟲病毒后網絡帶寬被大量占用，導致網絡癱瘓，該蠕蟲是利用SQLSERVER2000的解析端口1434的緩沖區溢出漏洞，對其網絡進行攻擊。由于“2003蠕蟲王”具有極強的傳播能力，在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網絡災害。我國互聯網運營單位的網絡也部分出現了訪問變慢現象，情況嚴重的網絡甚至也曾一度癱瘓。病毒特征：該蠕蟲攻擊安裝有Microsoft SQL 的NT系列服務器，該病毒嘗試探測被攻擊機器的1434/udp端口，如果探測成功，則發送376個

16、字節的蠕蟲代碼.1434/udp端口為Microsoft SQL開放端口。該端口在未打補丁的SQL Server平臺上存在緩沖區溢出漏洞，使蠕蟲的后續代碼能夠得以機會在被攻擊機器上運行進一步傳播,導致系統癱瘓，停止服務.攻擊對象多為XP,NT,不攻擊9X.26病毒原理傳統病毒宏病毒網絡病毒27計算機病毒的邏輯結構計算機病毒程序一般包括以下3個功能模塊：病毒的引導模塊：當病毒的宿主程序開始工作時將病毒程序從外存引入內存，使其與宿主程序獨立，并且使病毒的傳染模塊和破壞模塊處于活動狀態，以監視系統運行。病毒的傳染模塊：負責將病毒傳染給其他計算機程序，使病毒向外擴散。它由兩部分組成：病毒傳染的條件判斷

17、部分和病毒傳染程序主體部分。病毒的破壞（表現）模塊：是病毒的核心部分，它體現了病毒制造者的意圖。由兩部分組成：病毒破壞的條件判斷部分和破壞程序主體部分。28傳統病毒傳統病毒一般指早期的DOS病毒，通常采用按照寄生方式的分類方法（引導型、文件型和混合型）。引導型病毒的工作流程文件型病毒的工作流程29引導型病毒的工作流程30文件型病毒的工作流程31宏病毒宏：是一系列組合在一起的命令和指令，它們形成一個命令，以實現任務執行的自動化。宏病毒：是一種存儲于文檔、模板或加載宏程序中的計算機病毒。特點：只感染微軟數據（文檔）文件機制：用VB高級語言編寫的病毒代碼，直接混雜在文件中，并加以傳播。當打開受感染的

18、文件或執行觸發宏病毒的操作時，病毒就會被激活，并存儲到Normal.dot模板或Personal.xls文件中，以后保存的每個文檔都會自動被病毒感染。32宏病毒的工作流程33U盤病毒U 盤病毒又稱 Autorun 病毒，是通過 AutoRun.inf 文件使對方所有的硬盤完全共享或中木馬的病毒。隨著 U 盤，移動硬盤，存儲卡等移動存儲設備的普及，U盤病毒也隨之泛濫起來。國家計算機病毒處理中心早已發布公告稱 U 盤已成為病毒和惡意木馬程序傳播的流行途徑。 34U盤病毒防治防范查找數種免費專用殺毒軟件備用。例如360安全衛士。平時使用盤時，不要雙擊打開，最好是在插入盤前，按住shift鍵（按鍵的時

19、間長一點），然后插入盤，然后用右鍵點擊盤，選擇“資源管理器”來打開盤。檢查抽空檢查一下自己的盤，可以把盤插入電腦后把文件夾選項中隱藏受保護的操作系統文件選項鉤掉，如果根目錄下見到多出了autorun.inf、*.exe、等不明的文件，那可能就是“中招”了，應及時采取措施。清除直接對autorun.inf文件進行刪除。如果無法直接刪除，就要先到進程管理里先結束相關進程再刪除，如果還不行就到安全模式里刪除。35網絡病毒特點：破壞性強 傳播性強 （網絡病毒普遍具有較強的再生機制，一接觸就可通過網絡擴散與傳染。根據有關資料介紹，在網絡上病毒傳播的速度是單機的幾十倍。）針對性強 （網絡病毒并非一定對網絡

20、上所有的計算機都進行感染與攻擊，而是具有某種針對性）擴散面廣 （由于網絡病毒能通過網絡進行傳播, 所以其擴散面限大）36網絡病毒種類：根據攻擊手段可分為蠕蟲和木馬兩大類型傳播方式：電子郵件、網頁、文件傳輸。如： 早期很多流行的病毒“ Melissa” 、“ LoveLetter” 、“Happytime”等都是通過郵件傳播的37網頁病毒網頁病毒是利用網頁來進行破壞的病毒，它使用一些SCRIPT語言編寫的一些惡意代碼利用IE的漏洞來實現病毒植入。當用戶登錄某些含有網頁病毒的網站時，網頁病毒便被悄悄激活，這些病毒一旦激活，可以利用系統的一些資源進行破壞。輕則修改用戶的注冊表，使用戶的首頁、瀏覽器標

21、題改變，重則可以關閉系統的很多功能，裝上木馬，染上病毒，使用戶無法正常使用計算機系統，嚴重者則可以將用戶的系統進行格式化。而這種網頁病毒容易編寫和修改，使用戶防不勝防。目前的網頁病毒都是利用JS.ActiveX、WSH共同合作來實現對客戶端計算機，進行本地的寫操作，如改寫你的注冊表，在你的本地計算機硬盤上添加、刪除、更改文件夾或文件等操作。而這一功能卻恰恰使網頁病毒、網頁木馬有了可乘之機。 （WSH，是“Windows Scripting Host”的縮略形式，其通用的中文譯名為“Windows 腳本宿主”。對于這個較為抽象的名詞，我們可以先作這樣一個籠統的理解：它是內嵌于 Windows 操

22、作系統中的腳本語言工作環境。 ）38網頁病毒的性質及特點 這種非法惡意程序能夠得以被自動執行，在于它完全不受用戶的控制。一旦瀏覽含有該病毒的網頁，即可以在你不知不覺的情況下馬上中招，給用戶的系統帶來一般性的、輕度性的、嚴重惡性等不同程度的破壞。39網頁病毒的表現參見附件40網頁病毒的防治屏蔽指定網頁 提高安全級別 （Internet選項-“安全”選項卡，然后單擊“自定義級別”按鈕打開“安全設置”窗口，將“ActiveX控件和插件”、“腳本”下的所有選項，都盡可能的設為“禁用”，同時將“重置自定義設置”設為“安全級-高”即可。）確保WSH安全 （Windows 2000/XP操作更加簡單，只需要

23、打開文件夾選項窗口，然后在“文件類型”選項卡，找到“VBS VBScript Script File”選項并將其刪除即可。）禁止遠程注冊表服務 （進入控制面板，在“管理工具”文件夾中打開“服務”項，然后雙擊右側的“Remote Registry”，將其啟動類型設為“已禁用”，并單擊“停用”按鈕即可。）41病毒技術寄生技術駐留技術加密變形技術隱藏技術42寄生技術寄生技術：病毒在感染的時候，將病毒代碼加入正常程序之中，原正常程序功能的全部或者部分被保留。分類：頭寄生、尾寄生、插入寄生（病毒代碼插入宿主程序位置的不同）空洞利用（例：CIH）是文件型病毒使用最多的技術43駐留技術駐留技術：當被感染的文

24、件執行時，病毒的一部分功能模塊進入內存，即使程序執行完畢，它們仍一直駐留在內存中。 病毒需要實時地監控合適的感染對象和觸發條件，它總是希望關鍵的代碼能一直保留在內存中，得到機會就能運行。 殺毒軟件如果只清除文件中的病毒而沒有清除內存中的病毒，則病毒在系統退出前仍有機會感染文件。44加密變形技術加密變形技術：是一個具有里程碑意義的病毒技術。在加密病毒的基礎上改進，使病毒二進制代碼對不同傳染實例呈現多樣性。傳統病毒在代碼中總是具有自身的特點（如：標記已感染的字串、特殊的駐留代碼、特殊的感染代碼等），反病毒廠商就利用這些特點編制特征碼，用于病毒的檢測。45加密變形技術通過自我加密，病毒的外觀能夠從一

25、種形態變成另一種形態，并將感染過的文本和信息隱藏起來。 大部分使用加密技術的病毒每次感染時都會改變形態，這樣使殺毒軟件更難辨認。由于這種病毒必須在解密后運行，因此可以通過分析加密路線來發現它們。病毒加密的部分需要一把“密鑰”來譯解其隱藏的代碼，這把鑰匙就隱藏在病毒的固定 文本中，所以要發現和清除病毒只要找到這把密鑰即可。 多形病毒實際上是加密技術的深入，病毒在使用加密技術的同時，每個后代都使用不同的加密技術。也就是說，同一個病毒的病毒的不同樣本之間會有天壤之別，甚至是負責加密其余部分的那些病毒代碼也可以做到形態各異。 幾種不同類型的病毒組合會演變為成千上萬的異形體，迫使殺毒軟件開發商投入大量的

26、研究人員和開發時間，生成特殊的解毒算法，正是這樣的斗爭造成了今天的相持不下的景象。 46隱藏技術隱藏技術：病毒在進入用戶系統之后，會采取種種方法隱藏自己的行蹤，使病毒不易被用戶和反病毒軟件發現。甚至采用遠程線程技術注入到系統進程之內。47反病毒技術計算機病毒檢測技術計算機病毒的清除計算機病毒的免疫計算機病毒的預防48反病毒技術病毒技術與反病毒技術存在著相互對立、相互依存的關系，二者都在彼此的較量中不斷發展。 從總體上講，反病毒技術要滯后于病毒技術。 計算機病毒的防治可以分為四個方面的內容：檢測、清除、免疫和預防。49如何發現計算機病毒（1/2）計算機病毒發作的時候，通常會出現以下幾種情況：電腦

27、運行比平常遲鈍；程序載入時間比平常久；對一個簡單的工作，硬盤似乎花了比預期長的時間；不尋常的錯誤信息出現；由于病毒程序的異?；顒?，造成對磁盤的異常訪問。比如沒沒有存取磁盤，但磁盤指示燈卻亮了；系統內存容量忽然大量減少；磁盤可利用空間突然減少；50如何發現計算機病毒（2/2）可執行程序的大小改變了；由于病毒可能通過將磁盤扇區標記為壞簇的方式隱藏自己，磁盤壞簇會莫名其妙地增多；程序同時存取多部磁盤；內存中增加來路不明的常駐程序；文件、數據奇怪地消失；文件的內容被加上一些奇怪的資料；文件名稱、擴展名、屬性被更改過；死機現象增多；出現一些異常的畫面或聲音。51計算機病毒檢測技術（1/5）比較法：進行原

28、始的或正常的特征與被檢測對象的特征比較。由于病毒的感染會引起文件長度和內容、內存以及中斷向量的變化，從這些特征的比較中可以發現異常，從而判斷病毒的有無。優點：簡單、方便，不需專用軟件缺點：無法確認計算機病毒的種類和名稱52計算機病毒檢測技術（2/5）病毒校驗和法：計算出正常文件的程序代碼的校驗和，并保存起來，可供被檢測對象對照比較，以判斷是否感染了病毒。優點：可偵測到各式的計算機病毒，包括未知病毒缺點：誤判率高，無法確認病毒種類分析法：該方法的使用人員主要是反計算機病毒的技術專業人員。53計算機病毒檢測技術（3/5）搜索法：用每一種計算機病毒體含有的特定字符串對被檢測對象進行掃描。特征串選擇的

29、好壞，對于病毒的發現具有決定作用。如何提取特征串，則需要足夠的相關知識。缺點：被掃描的文件很長時，掃描所花時間也越多；不容易選出合適的特征串；計算機病毒代碼庫未及時更新時，無法識別出新型計算機病毒；不易識別變形計算機病毒等。搜索法是目前使用最為普遍的計算機病毒檢測方法。54計算機病毒檢測技術（4/5）行為監測法：由于病毒在感染及破壞時都表現出一些共同行為，而且比較特殊，這些行為在正常程序中比較罕見，因此可通過檢測這些行為來檢測病毒的存在與否。優點：不僅可檢測已知病毒，而且可預報未知病毒。缺點：有可能誤報。（卡巴斯基）病毒行為軟件模擬法：專門用來對付多態病毒，多態病毒在每次傳染時都通過加密變化其

30、特征碼，使得搜索法失效。該方法監視病毒運行，待病毒自身密碼破譯后，再進行代碼的分析。55計算機病毒檢測技術（5/5）感染實驗法：利用病毒最重要的基本特性傳染性。檢測時，先運行可疑系統中的程序，再運行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長度和校驗和，如果發現有變化，可斷言系統中有病毒。56計算機病毒的清除病毒的清除：指將染毒文件的病毒代碼摘除，使之恢復為可正常運行的健全文件。病毒的清除可用專用軟件殺毒或手工進行。57計算機病毒的免疫病毒免疫原理：根據病毒簽名來實現。由于有些病毒在感染其他程序時要先判斷是否已被感染過，即欲攻擊的宿主程序是否已有相應病毒簽名，如有則不再感染。因此，可人為地在“健康程序”中進行病毒簽名，起到免疫效果。58計算機病毒的預防經常進行數據備份，特別是一些非常重要的數據及文件，以免被病毒侵入后無法恢復。對于新購置的計算機、硬盤、軟件等，先用查毒軟件檢測后方可使用。盡量避免在無防毒軟件的機器上或公用機器上使用可移動磁盤，以免感染病毒。對計算機的使用權限進行嚴