第8章計算機病毒防范技術內容提要：概述計算機病毒的工作原理和分類計算機病毒的檢測與防范

惡意代碼

小結8.1

概述計算機病毒的定義計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。美國計算機安全專家FredCohen博士認為：計算機病毒是一種能傳染其它程序的程序，病毒是靠修改其它程序，并把自身的拷貝嵌入其它程序而實現的。返回本章首頁計算機病毒的特性計算機病毒是一個程序；計算機病毒具有傳染性，可以傳染其它程序；計算機病毒的傳染方式是修改其它程序，把自身拷貝嵌入到其它程序中而實現的；計算機病毒的定義在很多方面借用了生物學病毒的概念，因為它們有著諸多相似的特征，比如能夠自我復制，能夠快速“傳染”，且都能夠危害“病原體”，當然計算機病毒危害的“病原體”是正常工作的計算機系統和網絡。計算機病毒的特性隨著計算機網絡技術的飛速發展，計算機病毒逐漸融合木馬、網絡蠕蟲和網絡攻擊等技術，形成了以普通病毒、木馬、網絡蠕蟲、移動代碼和復合型病毒等形態存在的惡意代碼，造成更大的社會危害。計算機病毒簡史-1早在1949年，計算機的先驅者馮·諾依曼在他的一篇論文《復雜自動機組織論》中，提出了計算機程序能夠在內存中自我復制，即已把病毒程序的藍圖勾勒出來。十年之后，在美國電話電報公司（AT&T）的貝爾實驗室中，三個年輕程序員道格拉斯·麥耀萊、維特·維索斯基和羅伯·莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰”。1975年，美國科普作家約翰·布魯勒爾寫了一本名為《震蕩波騎士》的書，該書第一次描寫了在信息社會中，計算機成為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。1977年夏天，科幻小說《P-1的青春》幻想了世界上第一個計算機病毒，可以從一臺計算機傳染到另一臺計算機，最終控制了7000臺計算機，釀成了一場災難，這實際上是計算機病毒的思想基礎。計算機病毒簡史-21983年11月3日，弗雷德·科恩博士研制出一種在運行過程中可以復制自身的破壞性程序，倫·艾德勒曼將它命名為計算機病毒（Viruses），并在每周一次的計算機安全討論會上正式提出，8小時后專家們在VAX11/750計算機系統上運行，第一個病毒實驗成功，一周后又獲準進行5個實驗的演示，從而在實驗上驗證了計算機病毒的存在。1986年初，在巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了Pakistan病毒，該病毒在一年內流傳到了世界各地，使人們認識到計算機病毒對PC機的影響。1987年10月，美國第一例計算機病毒（Brian）被發現。此后，病毒就迅速蔓延開來，世界各地的計算機用戶幾乎同時發現了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。1988年3月2日，一種蘋果機病毒發作。1988年11月3日，美國6千臺計算機被病毒感染，造成Internet不能正常運行。這是一次非常典型計算機病毒入侵計算機網絡的事件。1989年，“米開朗基羅”病毒給許多計算機用戶造成極大損失。計算機病毒簡史-31991年，在“海灣戰爭”中，美軍第一次將計算機病毒用于實戰。1992年，出現針對殺毒軟件的“幽靈”病毒，如One_Half。還出現了實現機理與以往的文件型病毒有明顯區別的DIR2病毒。1994年5月，南非第一次多種族全民大選的計票工作，因計算機病毒的破壞停止30余小時，被迫推遲公布選舉結果。1996年，出現針對微軟公司Office的“宏病毒”。1997年公認為計算機反病毒界的“宏病毒年”。1998年，首例破壞計算機硬件的CIH病毒出現，引起人們的恐慌。1999年3月26日，出現一種通過因特網進行傳播的“美麗殺手”病毒。1999年4月26日，CIH病毒在我國大規模爆發，造成巨大損失。2000年5月4日，愛蟲病毒開始在全球各地迅速傳播。該病毒通過MicrosoftOutlook電子郵件系統傳播令全球為此損失100億美元。計算機病毒簡史-42001年完全可以被稱為“蠕蟲之年”。Nimda（尼姆達）、CodeRed（紅色代碼）、Badtrans（壞透了）……出現的蠕蟲病毒不僅數量眾多，而且危害極大，感染了數百萬臺電腦。在2002年新生的計算機病毒中，木馬、黑客病毒以61%的絕對數量占據頭名。網絡病毒越來越成為病毒的主流。2003年的1月25日，僅在“SQL殺手”病毒出現的當天，我國就有80%的網絡服務供應商先后遭受此蠕蟲病毒的攻擊，造成許多網絡的暫時癱瘓。2003年的8月12日，名為“沖擊波”的病毒在全球襲擊Windows操作系統，據估計可能感染了全球一、兩億臺計算機，在國內導致上千個局域網癱瘓。計算機病毒簡史-52005年由國內作者編寫的“灰鴿子”木馬成為當年頭號病毒，它危害極大，變種極多（共有4257個變種），是國內非常罕見的惡性木馬病毒。2006年11月至今，我國又連續出現“熊貓燒香”、“艾妮”等盜取網上用戶密碼帳號的病毒和木馬，病毒的趨利性進一步增強。2010年6月，“震網”病毒成為第一個專門定向攻擊真實世界中基礎能源設施的“蠕蟲”病毒。2012年5月，俄羅斯安全專家發現了“火焰”病毒，全名為Worm.Win32.Flame，它是一種后門程序和木馬病毒，同時又具有蠕蟲病毒的特點。計算機病毒的特征非授權可執行性隱蔽性傳染性潛伏性表現性或破壞性可觸發性計算機病毒的主要危害直接破壞計算機數據信息占用磁盤空間和對信息的破壞搶占系統資源影響計算機運行速度計算機病毒錯誤與不可預見的危害計算機病毒的兼容性對系統運行的影響攻擊移動智能終端系統摧毀工業控制系統和工業基礎設施給用戶造成嚴重的心理壓力8.2計算機病毒的工作原理和分類8.2.1計算機病毒的工作原理1．計算機病毒的結構（1）病毒的邏輯結構（2）病毒的磁盤存儲結構（3）病毒的內存駐留結構（1）病毒的邏輯結構病毒的引導模塊；病毒的傳染模塊；病毒的發作（表現和破壞）模塊。引導模塊傳染條件判斷模塊實施傳染模塊觸發條件判斷模塊實施表現或破壞模塊圖8-1計算機病毒的模塊結構（2）病毒的磁盤存儲結構①磁盤空間結構經過格式化后的磁盤應包括：主引導記錄區（硬盤）引導記錄區文件分配表（FAT）目錄區數據區（2）病毒的磁盤存儲結構②系統型病毒的磁盤存儲結構病毒的一部分存放在磁盤的引導扇區中另一部分則存放在磁盤其它扇區中引導型病毒沒有對應的文件名字（2）病毒的磁盤存儲結構③文件型病毒的磁盤存儲結構文件型病毒專門感染系統中可執行文件；其程序依附在被感染文件的首部、尾部、中部或空閑部位；絕大多數文件型病毒都屬于外殼型病毒。（3）病毒的內存駐留結構①系統型病毒的內存駐留結構系統型病毒是在系統啟動時被裝入的病毒程序將自身移動到適當的內存高端采用修改內存向量描述字的方法隱藏自己有些病毒也利用小塊沒有使用的低端內存系統（3）病毒的內存駐留結構②文件型病毒的內存駐留結構病毒程序是在運行其宿主程序時被裝入內存的，文件型病毒按其駐留內存方式可分為：高端駐留型，典型的病毒有Yankee。常規駐留型，典型的病毒有黑色星期五。內存控制鏈駐留型：典型的病毒有1701。設備程序補丁駐留型：典型的病毒有DIR2。不駐留內存型：典型的病毒有Vienna/648。2．計算機病毒的作用機制（1）引導機制（2）傳染機制（3）破壞機制（1）中斷與計算機病毒中斷是CPU處理外部突發事件的一個重要技術。中斷類型可劃分為：

中斷硬件中斷軟件中斷：并不是真正的中斷，系統功能調用內部中斷：因硬件出錯或運算出錯所引起；外部中斷：由外設發出的中斷；病毒有關的重要中斷INT08H和INT1CH的定時中斷，有些病毒用來判斷激發條件；INT09H鍵盤輸入中斷，病毒用于監視用戶擊鍵情況；INT10H屏幕輸入輸出，一些病毒用于在屏幕上顯示信息來表現自己；INT13H磁盤輸入輸出中斷，引導型病毒用于傳染病毒和格式化磁盤；INT21HDOS功能調用，絕大多數文件型病毒修改該中斷。病毒利用中斷

圖8-2

病毒盜用中斷示意圖

中斷向量中斷服務程序中斷向量病毒相關程序中斷服務程序盜用后：盜用前：（2）計算機病毒的傳染機制傳染是指計算機病毒由一個載體傳播到另一載體，由一個系統進入另一個系統的過程。計算機病毒的傳染方式主要有：病毒程序利用操作系統的引導機制或加載機制進入內存；從內存的病毒傳染新的存儲介質或程序文件是利用操作系統的讀寫磁盤的中斷或加載機制來實現的。（3）計算機病毒的破壞機制破壞機制在設計原則、工作原理上與傳染機制基體相同。它也是通過修改某一中斷向量入口地址，使該中斷向量指向病毒程序的破壞模塊。8.2.2計算機病毒的分類1．按照病毒攻擊的系統分類（1）攻擊DOS系統的病毒。（2）攻擊Windows系統的病毒。（3）攻擊UNIX系統的病毒。（4）攻擊OS/2系統的病毒。2．按照病毒的攻擊機型分類（1）攻擊微型計算機的病毒。（2）攻擊小型機的計算機病毒。（3）攻擊工作站的計算機病毒。（4）攻擊移動終端設備的病毒。（5）攻擊工業設備的病毒。3．按照病毒的鏈結方式分類（1）源碼型病毒（2）嵌入型病毒（3）外殼型病毒（4）操作系統型病毒4．按照病毒的破壞情況分類（1）良性計算機病毒（2）惡性計算機病毒5．按照病毒的寄生方式分類（1）引導型病毒（2）文件型病毒（3）復合型病毒6．按照病毒的傳播媒介分類（1）單機病毒（2）網絡病毒8.2.3病毒實例分析1．CIH病毒概況CIH病毒是一種文件型病毒，感染Windows95/98環境下PE格式的EXE文件。病毒的危害主要表現在病毒發作后，硬盤數據全部丟失，甚至主板上的BIOS中的原內容會被徹底破壞，主機無法啟動。1999年4月26日，CIH病毒大爆發，全球超過6000萬臺電腦被破壞，2000年CIH再度爆發，全球損失超過10億美元，2001年僅北京就有超過6000臺電腦遭破壞；2002年CIH病毒使數千臺電腦遭破壞，瑞星公司修復硬盤數量一天接近200塊。（1）CIH病毒的表現形式受感染的.EXE文件的文件長度沒有改變；DOS以及WIN3.1格式（NE格式）的可執行文件不受感染，并且在WinNT中無效。用資源管理器中“工具>查找>文件或文件夾”的“高級>包含文字”查找EXE特征字符串——“CIHv”，在查找過程中，顯示出一大堆符合查找特征的可執行文件。若4月26日開機，顯示器突然黑屏，硬盤指示燈閃爍不停，重新開機后，計算機無法啟動。（2）CIH病毒的行為機制CIH病毒直接進入Windows內核。沒有改變宿主文件的大小，而是采用了一種新的文件感染機制即碎洞攻擊（fragmentedcavityattack），將病毒化整為零，拆分成若干塊，插入宿主文件中去；最引人注目的是它利用目前許多BIOS芯片開放了可重寫的特性，向計算機主板的BIOS端口寫入亂碼，開創了病毒直接進攻計算機主板芯片的先例。可以說CIH病毒提供了一種全新的病毒程序方式和病毒發展方向。2．宏病毒宏的定義所謂宏，就是軟件設計者為了在使用軟件工作時避免一再地重復相同動作而設計出來的一種工具。它利用簡單的語法，把常用的動作編寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，完成某項特定的任務，而不必再重復相同的動作。所謂“宏病毒”，是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。宏病毒是一種新形態的計算機病毒，也是一種跨平臺的計算機病毒，可以在Windows9X、WindowsNT/2000、OS/2和MacintoshSystem7等操作系統上執行。（1）宏病毒的行為機制Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為doc的文件之中，這種作法已經不同于以往的軟件將資料和宏分開存儲的方法。正因為這種宏也是文檔資料，便產生了宏感染的可能性。Word宏病毒通過doc文檔和dot模板進行自我復制及傳播。計算機文檔是交流最廣的文件類型。這就為Word宏病毒傳播帶來了很多便利，特別是Internet網絡的普及和E-mail的大量應用更為Word宏病毒的傳播“拓展”了道路。（2）Word宏病毒特征Word宏病毒會感染doc文檔和dot模板文件。Word宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復制到Word通用（Normal）模板中，以后在打開或關閉文件時宏病毒就會把病毒復制到該文件中。多數Word宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權。Word宏病毒中總是含有對文檔讀寫操作的宏命令。Word宏病毒在doc文檔、dot模板中以BFF（BinaryFileFormat）格式存放，這是一種加密壓縮格式，不同Word版本格式可能不兼容。3．網絡病毒網絡病毒專指在網絡傳播、并對網絡進行破壞的病毒；網絡病毒也指HTML病毒、E-mail病毒、Java病毒等與因特網有關的病毒。網絡病毒的特點傳染方式多傳播速度比較快清除難度大破壞性強潛在性深4．電子郵件病毒“電子郵件病毒”其實和普通的計算機病毒一樣，只不過它們的傳播途徑主要是通過電子郵件，所以才被稱為“電子郵件病毒”。電子郵件病毒的特點傳統的殺毒軟件對檢測此類格式的文件無能為力傳播速度快傳播范圍廣破壞力大8.3計算機病毒的檢測與防范

8.3.1

計算機病毒的檢測1．異常情況判斷計算機工作時，如出現下列異常現象，則有可能感染了病毒：（1）屏幕出現異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統很難退出或恢復。（2）揚聲器發出與正常操作無關的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。（3）磁盤可用空間減少，出現大量壞簇，且壞簇數目不斷增多，直到無法繼續工作。（4）硬盤不能引導系統。（5）磁盤上的文件或程序丟失。（6）磁盤讀/寫文件明顯變慢，訪問的時間加長。（7）系統引導變慢或出現問題，有的出現“寫保護錯”提示。（8）系統經常死機或出現異常的重啟動現象。（9）原來運行的程序突然不能運行，總是出現出錯提示。（10）連接的打印機不能正常啟動。觀察上述異常情況后，可初步判斷系統的哪部分資源受到了病毒侵襲，為進一步診斷和清除做好準備。2．檢測的主要依據（1）檢查磁盤主引導扇區（2）檢查FAT表（3）檢查中斷向量（4）檢查可執行文件（5）檢查內存空間（6）檢查特征串3．計算機病毒的檢測手段（1）特征代碼法特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實現步驟如下：

采集已知病毒樣本。

在病毒樣本中，抽取特征代碼。

打開被檢測文件，在文件中搜索病毒特征代碼。特征代碼法的特點：

速度慢

誤報警率低

不能檢查多形性病毒

不能對付隱蔽性病毒（2）校驗和法將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致，因而可以發現文件是否感染，這種方法叫校驗和法。優點：方法簡單，能發現未知病毒、被查文件的細微變化也能發現。缺點：會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。校驗和法查病毒運用校驗和法查病毒采用三種方式：①在檢測病毒工具中納入校驗和法，對被查的對象文件計算其正常狀態的校驗和，將校驗和值寫入被查文件中或檢測工具中，而后進行比較。②在應用程序中，放入校驗和法自我檢查功能，將文件正常狀態的校驗和寫入文件本身中，每當應用程序啟動時，比較現行校驗和與原校驗和值，實現應用程序的自檢測。③將校驗和檢查程序常駐內存，每當應用程序開始運行時，自動比較檢查應用程序內部或別的文件中預先保存的校驗和。（3）行為監測法利用病毒的特有行為特征來監測病毒的方法，稱為行為監測法。這些能夠作為監測病毒的行為特征如下：A.占有INT13HB.改DOS系統為數據區的內存總量C.對COM、EXE文件做寫入動作D.病毒程序與宿主程序的切換

優點：可發現未知病毒、可相當準確地預報未知的多數病毒。

缺點：可能誤報警、不能識別病毒名稱、實現時有一定難度。（4）軟件模擬法多態性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。為了檢測多態性病毒，可應用新的檢測方法——軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運行。新型檢測工具納入了軟件模擬法，該類工具開始運行時，使用特征代碼法檢測病毒，如果發現隱蔽病毒或多態性病毒嫌疑時，啟動軟件模擬模塊，監視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。8.3.2計算機病毒的防范1．嚴格的管理2．有效的技術目前在預防病毒工具中采用的技術主要有：（1）將大量的消毒/殺毒軟件匯集一體。（2）檢測一些病毒經常要改變的系統信息。（3）監測寫盤操作，對引導區或主引導區的寫操作報警。（4）對文件形成一個密碼檢驗碼，實現對程序完整性的驗證。（5）智能判斷型。（6）智能監察型。宏病毒的防治通過Word來防止宏病毒的感染和傳播，但是對大多數人來說，反宏病毒主要的還是依賴于各種反宏病毒軟件。當前，處理宏病毒的反病毒軟件主要分為兩類：常規反病毒掃描器和基于Word或者Excel宏的專門處理宏病毒的反病毒軟件。電子郵件病毒的防治（1）思想上高度重視，不要輕易打開來信中的附件文件；（2）不斷完善“網關”軟件及病毒防火墻軟件；（3）使用優秀的防毒軟件同時保護客戶機和服務器；（4）使用特定的SMTP殺毒軟件。8.4惡意代碼8.4.1惡意代碼概述惡意代碼是一種程序，通常在人們沒有察覺的情況下把代碼寄宿到另一段程序中，從而達到破壞被感染計算機的數據、運行具有入侵性或破壞性的程序、破壞被感染系統數據的安全性和完整性的目的。8.4.2惡意代碼的特征與分類1．惡意代碼的特征惡意代碼的特征主要體現在以下三個方面：（1）惡意的目的。（2）本身是程序。（3）通過執行發生作用。8.4.2惡意代碼的特征與分類2．惡意代碼的分類按照惡意代碼的工作原理和傳輸方式區分，惡意代碼可以分為：普通病毒木馬網絡蠕蟲移動代碼復合型病毒...木馬木馬（全稱特洛伊木馬）是根據古希臘神話中的木馬來命名的。黑客程序以此命名有“一經潛入，后患無窮”之意。木馬程序表面上沒有任何異常，但實際上卻隱含著惡意企圖。一些木馬程序會通過覆蓋系統文件的方式潛伏于系統中，還有一些木馬以正常軟件的形式出現。網絡蠕蟲網絡蠕蟲是一種可以自我復制的完全獨立的程序，其傳播過程不需要借助于被感染主機中的其他程序。網絡蠕蟲的自我復制不像其他病毒，它可以自動創建與其功能完全相同的副本，并在不需要人工干涉的情況下自動運行。網絡蠕蟲通常是利用系統中的安全漏洞和設置缺陷進行自動傳播，因此可以以非常快的速度傳播。移動代碼移動代碼是能夠從主機傳輸到客戶端計算機上并執行的代碼，它通常是作為病毒、蠕蟲、木馬等的一部分被傳送到目標計算機。此外，移動代碼可以利用系統的安全漏洞進行入侵，如竊取系統賬戶密碼或非法訪問系統資源等。移動代碼通常利用JavaApplets、ActiveX、JavaScript和VBScript等技術來實現。復合型病毒惡意代碼通過多種方式傳播就形成了復合型病毒，著名的網絡蠕蟲Nimda實際上就是復合型病毒的一個例子，它可以同時通過E-mail、網絡共享、Web服務器、Web終端4種方式進行傳播。除上述方式外，復合型病毒還可以通過點對點文件共享、直接信息傳送等方式進行傳播。8.4.3惡意代碼的關鍵技術1．生存技術生存技術主要包括4個方面：反跟蹤技術加密技術模糊變換技術自動生產技術8.4.3惡意代碼的關鍵技術2．攻擊技術攻擊技術主要包括5個方面：進程注入技術端口復用技術對抗檢測技術端口反向連接技術緩沖區溢出攻擊技術8.4.3惡意代碼的關鍵技術3．隱藏技術隱藏技術主要包括2個方面：本地隱藏文件隱藏、進程隱藏、網絡連接隱藏、內核模塊隱藏等。通信隱藏通信內容隱藏和傳輸通道隱藏。8.4.4網絡蠕蟲1．網絡蠕蟲的定義網絡蠕蟲是一種智能化、自動化，綜合網絡攻擊、密碼學和計算機病毒技術，不需要計算機使用者干預即可運行的攻擊程序或代碼。網絡蠕蟲具有主動攻擊、行蹤隱蔽、利用漏洞、造成網絡擁塞、降低系統性能、產生安全隱患、反復性和破壞性等特征，網絡蠕蟲無需計算機用戶干預即可自主運行，通過不斷地獲得網絡中存在特定漏洞的計算機上的控制權限來進行傳播。8.4.4網絡蠕蟲2．網絡蠕蟲的功能模型網絡蠕蟲的功能模塊可以分為主