1第4章病毒及防范措施24.1計算機病毒1977年科幻小說《TheAdolescenceofP-1》構思了一種能夠自我復制、利用通信進行傳播的計算機程序。1983年FredAdleman首次在VAX11/750上試驗病毒；1987年Brain病毒在全世界傳播；1988年11月2日Cornell大學的Morris編寫的Worm病毒襲擊美國6000臺計算機，直接損失盡億美元；八十年代末，病毒開始傳入我國；34.1.1計算機病毒的概念《中華人民共和國計算機信息系統安全保護條例》中隊計算機病毒進行了明確的定義： “計算機病毒（ComputerVirus）是指編制的或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并能夠自我復制的一組計算機指令或者程序代碼。”為什么稱為病毒？是借用生物學中“病毒”的概念，因為這種特殊的計算機程序與生物學中的病毒就有相似的特征。生物學中的病毒具有哪些特征呢？結構簡單、寄生性、自我繁殖、傳播性、破壞性41、計算機病毒產生的背景（1）是計算機犯罪的新形式：計算機病毒是高技術犯罪，具有瞬時性、動態性和隨機性。不易取證，風險小破壞大。（2）計算機軟硬件產品的脆弱性是根本的技術原因。（3）微機的普及應用是計算機病毒產生的必要環境。4.1.2病毒的產生及特性 它的產生是計算機技術和社會信息化發展到一定階段的必然產物52、計算機病毒產生的原因開玩笑、惡作劇個別人的報復心理用于版權保護的目的用于特殊目的3、病毒發展的階段（略）64、病毒的特征：（1）傳染性；傳染性是病毒的基本特征。計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，使被感染的計算機工作失常甚至癱瘓。 病毒程序一般通過修改磁盤扇區信息或文件內容并把自身嵌入到其中，利用這種方法達到病毒的傳染和擴散。（被嵌入的程序叫做宿主程序。）；7（2）破壞性

對系統來講，所有的計算機病毒都存在一個共同的危害，即占用系統資源，降低計算機系統的工作效率。 同時計算機病毒的破壞性性主要取決于計算機病毒設計者的目的，如果病毒設計者的目的是徹底破壞系統的正常運行，那么這種病毒對于計算機系統進行攻擊造成的后果是難以設想的，它可以毀掉系統的部分數據，也可以破壞全部數據并使之無法恢復。并非所有的病毒都有惡劣的破壞作用，有些病毒除了占用磁盤和內存外，沒有別的危害。但有時幾種本沒有多大破壞作用的病毒交叉感染，也會導致系統崩潰。8（3）潛伏性

：一個編制精巧的計算機病毒程序，進入系統之后一般不會馬上發作，可以在幾周或者幾個月內隱藏在合法文件中，對其他系統進行傳染，而不被人發現。潛伏性越好，其在系統中的存在時間就會越長，病毒的傳染范圍就會越大，它的危害就越大

潛伏性的第一種表現是指，病毒程序不用專用檢測程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤里呆上很長時間，一旦時機成熟，得到運行機會，就四處繁殖、擴散。潛伏性的第二種表現是指，計算機病毒的內部往往有一種觸發機制，不滿足觸發條件時，計算機病毒除了傳染外不做什么破壞。

9（4）可執行性

計算機病毒與其他合法程序一樣，是一段可執行的程序，但它不是一個完整的程序，而是寄生在其他可執行程序中。

只有在執行時，才具有傳染性、破壞性未經授權而執行： 病毒通過悄悄地篡奪合法程序的系統控制權而得到運行的機會。 一般正常的程序是由用戶啟動，完成用戶交給的任務，其目的對用戶是可見的。而病毒隱藏在合法程序中，當用戶啟動合法程序時竊取到系統的控制權，先于正常程序執行。病毒的動作、目的對用戶是未知的，是未經用戶允許的。10（5）可觸發性：病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。病毒的觸發機制用來控制感染和破壞動作的頻率。病毒具有預定的觸發條件，這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時，觸發機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作；如果不滿足，使病毒繼續潛伏。如CIH，觸發條件：26日11（6）隱蔽性：病毒一般是具有很高編程技巧、短小精悍的程序。如果不經過代碼分析，病毒程序與正常程序是不容易區別的。一般在沒有防護措施的情況下，計算機病毒程序取得系統控制權后，可以在很短的時間里傳染大量程序。

一是傳染的隱蔽性，大多數病毒在傳染時速度是極快的，不易被人發現。二是病毒程序存在的隱蔽性，一般的病毒程序都附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現，目的是不讓用戶發現它的存在。

12（7）衍生性：分析計算機病毒的結構可知，傳染和破壞部分反映了設計者的設計思想和設計目的。但是，這可以被其他掌握原理的人進行任意改動，從而又衍生出一種不同于原版本的新的計算機病毒（又稱為變種），這就是計算機病毒的衍生性。這種變種病毒造成的后果可能比原版病毒嚴重得多。（8）寄生性：病毒程序嵌入到宿主程序中，依賴于宿主程序的執行而生存，這就是計算機病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對宿主程序進行一定的修改，宿主程序一旦執行，病毒程序就被激活，從而可以進行自我復制和繁衍。

134.1.3病毒的分類：按破壞性分為：無害型無危險型危險型非常危險型。按激活時間分為定時隨機14按照病毒特有的算法分為：伴隨型病毒：產生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優先被執行到，再由伴隨體加載執行原來的EXE文件。“蠕蟲”型病毒：只占用內存，不改變文件，通過網絡搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統的引導扇區或文件中。變型病毒（幽靈病毒）：使用復雜算法，每傳播一次都具有不同內容和長度。一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。15按傳染方式分為：文件型：病毒一般附著在可執行文件上；引導型：當系統引導時進入內存，控制系統；混合型：既可感染引導區，又可感染文件。宏病毒：感染MSOffice文檔其他類型16病毒的組成：安裝模塊：提供潛伏機制；傳播模塊：提供傳染機制；觸發模塊：提供觸發機制；其中，傳染機制是病毒的本質特征，防治、檢測及殺毒都是從分析病毒傳染機制入手的。病毒的癥狀：啟動或運行速度明顯變慢；文件大小、日期變化；死機增多；莫名其妙地丟失文件；磁盤空間不應有的減少；有規律地出現異常信息；自動生成一些特殊文件；無緣無故地出現打印故障。17計算機病毒的傳播途徑1）硬件設備傳播：通過不可移動的設備進行傳播較少見，但破壞力很強。2）移動存儲設備傳播：這是最廣泛的傳播途徑之一3）通過網絡進行傳播：這是最廣泛的傳播途徑之二4）無線傳播：通過點對點通訊系統和無線通道傳播預計將來會成為兩大傳播渠道4.1.4病毒的傳播及危害傳播的途徑：理論上，與外界交換數據的所有場合都有可能。18病毒的危害直接破壞數據占用磁盤空間搶占系統資源影響計算機運行速度錯誤的不可預見性給用戶造成心理壓力19病毒破壞行為的常見表現BIOS病毒現象

1、開機運行幾秒后突然黑屏

2、外部設備無法找到

3、硬盤無法找到

4、電腦發出異樣聲音

硬盤引導區病毒現象

1、無法正常啟動硬盤

2、引導時出現死機現象

3、執行C盤時顯示“NotreadyerrordriveAAbort，Retry，Fail?”

20病毒破壞行為的常見表現操作系統病毒現象

1、引導系統時間變長

2、計算機處理速度比以前明顯放慢

3、系統文件出現莫名其妙的丟失，或字節變長，日期修改等現象

4、系統生成一些特殊的文件

5、驅動程序被修改使得某些外設不能正常工作

6、軟驅、光驅丟失

7、計算機經常死機或重新啟動

21病毒破壞行為的常見表現應用程序病毒現象

1、啟動應用程序出現“非法錯誤”對話框

2、應用程序文件變大

3、應用程序不能被復制、移動、刪除

4、硬盤上出現大量無效文件

5、某些程序運行時載入時間變長

224.2網絡病毒的防范措施傳統的網絡病毒定義是指利用網絡進行傳播的病毒。現在的網絡病毒定義是指以網絡為平臺，對計算機產生安全威脅的所有程序的總稱。234.2.1網絡病毒的新特點傳染速度快擴散面廣傳播形式復雜多樣難以徹底清除破壞性大潛在危險性大24增加安全意識小心郵件挑選網絡版殺毒軟件4.2.2基于網絡安全體系的防病毒技術254.3防毒策略與常用殺毒軟件 防毒：預防入侵；病毒過濾、監控、隔離 查毒：發現和追蹤病毒；統計、報警 殺毒：從感染對象中清除病毒；恢復功能4.3.1病毒的防治策略（參見教材P82）4.3.2防毒殺毒軟件26反病毒軟件的選擇1）能查殺的病毒數量多2）掃描速度快3）快速、方便地升級著名殺毒軟件公司瑞星 RAV北京江民 KV系列，如KV3000冠群金辰 KILL金山 金山毒霸卡巴斯基 Kaspersky

賽門鐵克 NortonAntiVirus27CIH病毒臺灣陳盈豪編寫，一般每月26日發作。不僅破壞硬盤的引導扇區和分區表，還破壞系統FlashBIOS芯片中的系統程序，導致主板損壞。病毒長1KB，由于使用VXD技術，只感染32位Windows系統可執行文件中的.PE格式文件。修復硬盤分區表：信源公司()的免費軟件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美國Symantec公司的Kill_CIH4.4常見的病毒及清除（1）284.4常見的病毒及清除（2）宏病毒 宏(Macro)：為避免重復操作而設計的一組命令。在打開文件時，先執行“宏”，然后載入文件內容。因此如果“宏”帶有病毒，則在編輯文件時病毒自動載入。宏病毒的特點:感染數據文件、多平臺交叉感染 容易編寫、容易傳播宏病毒的癥狀：1）用Word或Excel打開文件時，出現“文檔未打開”、“內存不夠”、“WordBasicErr=514”等；2）保存文件時，強制將文件按“.dot”類型存儲，或強制在指定目錄存放。29幾種宏病毒：AAAZAOMacro：Concept病毒，第一個宏病毒；TaiwanNO.1：第一個中文word病毒；RainbowMacro：能改變桌面顏色；FormatC：格式化C盤，第一個木馬型宏病毒；HotMac