Download ppt - 第十五章计算机病毒

第十五章计算机病毒第十五章计算机病毒

计算机病毒计算机病毒

• 病毒概述病毒概述– 计算机病毒概述计算机病毒概述– 计算机病毒的表现计算机病毒的表现

• 病毒的起源与发展病毒的起源与发展– 病毒产生的背景病毒产生的背景– 病毒发展病毒发展

• 病毒分类病毒分类• 病毒分析病毒分析

– 病毒特征病毒特征– 病毒程序结构及机制病毒程序结构及机制


•网络蠕虫病毒技术网络蠕虫病毒技术– 蠕虫病毒与一般病毒的异同蠕虫病毒与一般病毒的异同– 蠕虫的破坏和发展趋势蠕虫的破坏和发展趋势– 网络蠕虫病毒分析网络蠕虫病毒分析– 企业防范蠕虫病毒措施企业防范蠕虫病毒措施– 对个人用户产生直接威胁的蠕虫病毒对个人用户产生直接威胁的蠕虫病毒– 个人用户对蠕虫病毒的防范措施个人用户对蠕虫病毒的防范措施– 小结小结


• CIHCIH– 病毒的表现形式、危害及传染途径病毒的表现形式、危害及传染途径– 病毒的运行机制病毒的运行机制– 病毒的清除病毒的清除

• exeexe 型病毒型病毒 MyVirusMyVirus• WordWord 宏病毒宏病毒

– 宏的概念宏的概念– 宏病毒分析宏病毒分析– CtoLCtoL 宏病毒代码及流程宏病毒代码及流程– 宏病毒的判断方法宏病毒的判断方法– 宏病毒的防治和清除宏病毒的防治和清除


•脚本病毒脚本病毒•邮件型病毒邮件型病毒•病毒的检测和防治病毒的检测和防治

– 病毒检测病毒检测– 病毒防治病毒防治– 计算机系统的修复计算机系统的修复

计算机病毒概述计算机病毒概述• 与医学上的“病毒”不同，计算机病毒不是天然存在的，与医学上的“病毒”不同，计算机病毒不是天然存在的，

是某些人利用计算机软、硬件所固有的脆弱性，编制具有是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。特殊功能的程序。

• 能通过某种途径潜伏在计算机存储介质（或程序）里，当能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令感染它们，对计算机资源进行破坏的这样一组程序或指令集合。集合。

• 19941994 年年 22 月月 1818 日，我国正式颁布实施了《中华人民共和日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 用，并能自我复制的一组计算机指令或者程序代码。”

计算机病毒的表现计算机病毒的表现

• 根据计算机病毒感染和发作的阶段，可以将计算根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类：发作前、发作时机病毒的表现现象分为三大类：发作前、发作时和发作后的表现现象。和发作后的表现现象。 – 计算机病毒发作前的表现现象计算机病毒发作前的表现现象

• 计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。一个阶段。

• 在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现的同时，算机病毒会以各式各样的手法来隐藏自己，在不被发现的同时，又自我复制，以各种手段进行传播。又自我复制，以各种手段进行传播。

计算机病毒发作前的表现现象计算机病毒发作前的表现现象• 现象：现象：

– 平时运行正常的计算机突然经常性无缘无故地死机；病毒感染了平时运行正常的计算机突然经常性无缘无故地死机；病毒感染了计算机系统后，将自身驻留在系统内并修改了中断处理程序等，计算机系统后，将自身驻留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生。引起系统工作不稳定，造成死机现象发生。

– 操作系统无法正常启动；关机后再启动，操作系统报告缺少必要操作系统无法正常启动；关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这很可能是计的启动文件，或启动文件被破坏，系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。统加载、引导。

– 运行速度明显变慢；可能是计算机病毒占用了大量的系统资源，运行速度明显变慢；可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不足，并且自身的运行占用了大量的处理器时间，造成系统资源不足，运行变慢。运行变慢。

– 以前能正常运行的软件经常发生内存不足的错误。可能是计算机以前能正常运行的软件经常发生内存不足的错误。可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减小。小。

– 打印和通讯发生异常。可能是计算机病毒驻留内存后占用了打印打印和通讯发生异常。可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序，使之不能正常工作。端口、串行通讯端口的中断服务程序，使之不能正常工作。

计算机病毒发作前的表现现象计算机病毒发作前的表现现象– 无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作，无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘，或者要求在读取、复制写保操作系统提示软驱中没有插入软盘，或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。自动查找软盘是否在软驱中的时候引起的系统异常。

– 以前能正常运行的应用程序经常发生死机或者非法错误。可能是以前能正常运行的应用程序经常发生死机或者非法错误。可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。或者计算机病毒程序本身存在着兼容性方面的问题造成的。

– 系统文件的时间、日期、大小发生变化。这是最明显的计算机病系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增加，文件的访问和修改原始文件的后面，文件大小大多会有所增加，文件的访问和修改日期和时间也会被改成感染时的时间。日期和时间也会被改成感染时的时间。

– 运行运行 WordWord ，打开，打开 WordWord文档后，该文件另存时只能以模板方式文档后，该文件另存时只能以模板方式保存。无法另存为一个保存。无法另存为一个 DOCDOC文档，只能保存成模板文档（文档，只能保存成模板文档（ DODOTT）。这往往是打开的）。这往往是打开的 WordWord文档中感染了文档中感染了 WordWord 宏病毒的缘故。宏病毒的缘故。

计算机病毒发作前的表现现象计算机病毒发作前的表现现象– 磁盘空间迅速减少。没有安装新的应用程序，而系统可用的磁盘磁盘空间迅速减少。没有安装新的应用程序，而系统可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。空间减少地很快。这可能是计算机病毒感染造成的。

– 网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。卷、共享目录等无法创建、修改文件。

– 基本内存发生变化。在基本内存发生变化。在 DOSDOS 下用下用 mem /c/pmem /c/p 命令查看系统中内命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的存使用状况的时候可以发现基本内存总字节数比正常的 640Kb640Kb要小，一般少要小，一般少 1Kb1Kb ～～ 2Kb2Kb。这通常是计算机系统感染了引导型。这通常是计算机系统感染了引导型计算机病毒所造成的。计算机病毒所造成的。

– 陌生人发来的电子函件。收到陌生人发来的电子函件，尤其是那陌生人发来的电子函件。收到陌生人发来的电子函件，尤其是那些标题很具诱惑力，比如一则笑话，或者一封情书等，又带有附些标题很具诱惑力，比如一则笑话，或者一封情书等，又带有附件的电子函件。件的电子函件。

– 自动链接到一些陌生的网站。没有在上网，计算机会自动拨号并自动链接到一些陌生的网站。没有在上网，计算机会自动拨号并连接到因特网上一个陌生的站点，或者在上网的时候发现网络特连接到因特网上一个陌生的站点，或者在上网的时候发现网络特别慢，存在陌生的网络链接。这种联接大多是黑客程序将收集到别慢，存在陌生的网络链接。这种联接大多是黑客程序将收集到的计算机系统的信息“悄悄地”发回某个特定的网址的计算机系统的信息“悄悄地”发回某个特定的网址

计算机病毒发作时的表现现象计算机病毒发作时的表现现象 • 计算机病毒发作时是指满足计算机病毒发作的条件，计算计算机病毒发作时是指满足计算机病毒发作的条件，计算

机病毒程序开始破坏行为的阶段。机病毒程序开始破坏行为的阶段。 • 一些计算机病毒发作时常见的表现现象：一些计算机病毒发作时常见的表现现象：

– 提示一些不相干的话。最常见的是提示一些不相干的话，比如打提示一些不相干的话。最常见的是提示一些不相干的话，比如打开感染了宏病毒的开感染了宏病毒的 WordWord 文档，如果满足了发作条件的话，它就文档，如果满足了发作条件的话，它就会弹出对话框显示“这个世界太黑暗了！”，并且要求你输入会弹出对话框显示“这个世界太黑暗了！”，并且要求你输入“太正确了”后按确定按钮。 “太正确了”后按确定按钮。

– 发出一段的音乐。恶作剧式的计算机病毒，最著名的是外国的发出一段的音乐。恶作剧式的计算机病毒，最著名的是外国的“杨基”计算机病毒（“杨基”计算机病毒（ YangkeeYangkee ）和中国的“浏阳河”计算机病）和中国的“浏阳河”计算机病毒。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏毒。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐，而“浏阳河”计算机病毒更绝，当系统时钟为《杨基》音乐，而“浏阳河”计算机病毒更绝，当系统时钟为 99月月 99 日时演奏歌曲《浏阳河》，而当系统时钟为日时演奏歌曲《浏阳河》，而当系统时钟为 1212 月月 2626 日时则日时则演奏《东方红》的旋律。这类计算机病毒大多属于“良性”计算演奏《东方红》的旋律。这类计算机病毒大多属于“良性”计算机病毒，只是在发作时发出音乐和占用处理器资源。机病毒，只是在发作时发出音乐和占用处理器资源。

计算机病毒发作时的表现现象计算机病毒发作时的表现现象– 产生特定的图象。另一类恶作剧式的计算机病毒，比如小球计算机病毒，产生特定的图象。另一类恶作剧式的计算机病毒，比如小球计算机病毒，

发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是“良性”计算机病毒，只是在发作时破坏用户的显示界面，病毒大多也是“良性”计算机病毒，只是在发作时破坏用户的显示界面，干扰用户的正常工作。干扰用户的正常工作。

– 硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时，硬盘的灯就会不断闪烁，比如格式化或者写入很大很大的量的操作时，硬盘的灯就会不断闪烁，比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化，或者写不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化，或者写入许多垃圾文件，或反复读取某个文件，致使硬盘上的数据遭到损失。入许多垃圾文件，或反复读取某个文件，致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是“恶性”计算机病毒。具有这类发作现象的计算机病毒大多是“恶性”计算机病毒。

– 进行游戏算法。有些恶作剧式的计算机病毒发作时采取某些算法简单的进行游戏算法。有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作，一定要玩嬴了才让用户继续他的工作。游戏来中断用户的工作，一定要玩嬴了才让用户继续他的工作。

– WindowsWindows桌面图标发生变化。这一般也是恶作剧式的计算机病毒发作时桌面图标发生变化。这一般也是恶作剧式的计算机病毒发作时的表现现象。把的表现现象。把 WindowsWindows缺省的图标改成其他样式的图标，或者将其他缺省的图标改成其他样式的图标，或者将其他应用程序、快捷方式的图标改成应用程序、快捷方式的图标改成 WindowsWindows缺省图标样式，起到迷惑用户缺省图标样式，起到迷惑用户的作用。的作用。

计算机病毒发作时的表现现象计算机病毒发作时的表现现象• 计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题，代计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题，代

码没有严格测试，在发作时会造成意想不到情况；或者是计算机病毒码没有严格测试，在发作时会造成意想不到情况；或者是计算机病毒在在 Autoexec.batAutoexec.bat文件中添加了一句文件中添加了一句 Format cFormat c：之类的语句，需要系：之类的语句，需要系统重启后才能实施破坏的。统重启后才能实施破坏的。

• 自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段，也有的电子函件计算机病毒在某一特定函件的方法作为传播的手段，也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服时刻向同一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服务器的正常服务功能务器的正常服务功能

• 鼠标自己在动。没有对计算机进行任何操作，也没有运行任何演示程鼠标自己在动。没有对计算机进行任何操作，也没有运行任何演示程序、屏幕保护程序等，而屏幕上的鼠标自己在动，应用程序自己在运序、屏幕保护程序等，而屏幕上的鼠标自己在动，应用程序自己在运行，有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的行，有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制，从广义上说这也是计算机病毒发作的一种现象控制，从广义上说这也是计算机病毒发作的一种现象

计算机病毒发作后的表现现象计算机病毒发作后的表现现象 • 通常情况下，计算机病毒发作都会给计算机系统带来破坏性的后果，通常情况下，计算机病毒发作都会给计算机系统带来破坏性的后果，那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于“恶性”计算机病毒。小一部分。大多数计算机病毒都是属于“恶性”计算机病毒。

• 一些恶性计算机病毒发作后所造成的后果：一些恶性计算机病毒发作后所造成的后果：– 硬盘无法启动，数据丢失硬盘无法启动，数据丢失 – 系统文件丢失或被破坏系统文件丢失或被破坏 – 文件目录发生混乱文件目录发生混乱 – 部分文档丢失或被破坏部分文档丢失或被破坏– 部分文档自动加密码部分文档自动加密码 – 修改修改 Autoexec.batAutoexec.bat文件，增加文件，增加 Format CFormat C ：一项，导致计算机重新启动：一项，导致计算机重新启动

时格式化硬盘。时格式化硬盘。 – 使部分可软件升级主板的使部分可软件升级主板的 BIOSBIOS程序混乱，主板被破坏。程序混乱，主板被破坏。 – 网络瘫痪，无法提供正常的服务。网络瘫痪，无法提供正常的服务。






病毒的起源与发展病毒的起源与发展

• 早在早在 19491949 年，距离第一部商用计算机的出现还有年，距离第一部商用计算机的出现还有好几年时，计算机的先驱者冯好几年时，计算机的先驱者冯··诺依曼在他的一诺依曼在他的一篇论文《复杂自动机组织论》，提出了计算机程篇论文《复杂自动机组织论》，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来。图勾勒出来。

• 十年之后，在美国电话电报公司十年之后，在美国电话电报公司 (AT&T)(AT&T)的贝尔实的贝尔实验室中，三个年轻程序员道格拉斯验室中，三个年轻程序员道格拉斯··麦耀莱、维麦耀莱、维特特··维索斯基和罗伯维索斯基和罗伯··莫里斯在工作之余想出莫里斯在工作之余想出一种叫做一种叫做 ""磁芯大战磁芯大战 ""的电子游戏。的电子游戏。

病毒产生的背景病毒产生的背景

• 计算机病毒的产生是计算机技术和以计算机为核计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物心的社会信息化进程发展到一定阶段的必然产物

• 计算机病毒是计算机犯罪的一种新的衍化形式计算机病毒是计算机犯罪的一种新的衍化形式 • 计算机软硬件产品的危弱性是根本的技术原因计算机软硬件产品的危弱性是根本的技术原因 • 微机的普及应用是计算机病毒产生的必要环境微机的普及应用是计算机病毒产生的必要环境

病毒发展病毒发展• 第一代病毒第一代病毒

– 第一代病毒的产生年限可以认为在第一代病毒的产生年限可以认为在 1986—19891986—1989 年之间，年之间，这一期间出现的病毒可以称之为传统的病毒，是计算这一期间出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽和滋生时期机病毒的萌芽和滋生时期

– 具有如下的一些特点具有如下的一些特点 • 病毒攻击的目标比较单一，或者是传染磁盘引导扇区，或者是病毒攻击的目标比较单一，或者是传染磁盘引导扇区，或者是

传染可执行文件传染可执行文件 • 病毒程序主要采取截获系统中断向量的方式监视系统的运行状病毒程序主要采取截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染态，并在一定的条件下对目标进行传染

• 病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可执行文件的长度增加、文件建立日期、时间发生变化，等等执行文件的长度增加、文件建立日期、时间发生变化，等等

• 病毒程序不具有自我保护的措施，容易被人们分析和解剖，从病毒程序不具有自我保护的措施，容易被人们分析和解剖，从而使得人们容易编制相应的消毒软件而使得人们容易编制相应的消毒软件

病毒发展病毒发展• 第二代病毒第二代病毒

– 第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生的年限可以认为在的年限可以认为在 19891989－－ 19911991 年之间，它是计算机病毒由简单发展到年之间，它是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段复杂，由单纯走向成熟的阶段

– 这一阶段的计算机病毒具有如下特点这一阶段的计算机病毒具有如下特点 • 病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可能传染病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可能传染

可执行文件。可执行文件。 • 病毒程序不采用明显地截获中断向量的方法监视系统的运行，而采取更为隐蔽病毒程序不采用明显地截获中断向量的方法监视系统的运行，而采取更为隐蔽

的方法驻留内存和传染目标的方法驻留内存和传染目标 • 病毒传染目标后没有明显的特征，如磁盘上不出现坏扇区，可执行文件的长度病毒传染目标后没有明显的特征，如磁盘上不出现坏扇区，可执行文件的长度增加不明显，不改变被传染文件原来的建立日期和时间，等等增加不明显，不改变被传染文件原来的建立日期和时间，等等

• 病毒程序往往采取了自我保护措施，如加密技术、反跟踪技术，制造障碍，增病毒程序往往采取了自我保护措施，如加密技术、反跟踪技术，制造障碍，增加人们分析和解剖的难度，同时也增加了软件检测、解毒的难度加人们分析和解剖的难度，同时也增加了软件检测、解毒的难度

• 出现许多病毒的变种，这些变种病毒较原病毒的传染性更隐蔽，破坏性更大出现许多病毒的变种，这些变种病毒较原病毒的传染性更隐蔽，破坏性更大

病毒发展病毒发展

• 第三代病毒第三代病毒 – 第三代病毒的产生年限可以认为从第三代病毒的产生年限可以认为从 19921992 年开始至年开始至 19919955年，此类病毒称为“多态性”病毒或“自我变形”病年，此类病毒称为“多态性”病毒或“自我变形”病毒，是最近几年来出现的新型的计算机病毒。毒，是最近几年来出现的新型的计算机病毒。

– 所谓“多态性”或“自我变形”的含义是指此类病毒所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时，放入宿主程序中的病毒程序大部在每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。正是由于这一特点，传统的利用特征码法重要特点。正是由于这一特点，传统的利用特征码法检测病毒的产品不能检测出此类病毒检测病毒的产品不能检测出此类病毒


– 第三阶段是病毒的成熟发展阶段。在这一阶段第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展，病毒开中病毒的发展主要是病毒技术的发展，病毒开始向多维化方向发展，即传统病毒传染的过程始向多维化方向发展，即传统病毒传染的过程与病毒自身运行的时间和空间无关，而新型的与病毒自身运行的时间和空间无关，而新型的计算机病毒则将与病毒自身运行的时间、空间计算机病毒则将与病毒自身运行的时间、空间和宿主程序紧密相关，这无疑将导致计算机病和宿主程序紧密相关，这无疑将导致计算机病毒检测和消除的困难。毒检测和消除的困难。

病毒发展病毒发展• 第四代病毒第四代病毒

– 9090 年代中后期，随着远程网、远程访问服务的开通，病毒流行面年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传更加广泛，病毒的流行迅速突破地域的限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。播至局域网内，再在局域网内传播扩散。

– 19961996 年下半年随着国内年下半年随着国内 InternetInternet 的大量普及，的大量普及， EmailEmail 的使用，的使用，夹杂于夹杂于 EmailEmail 内的内的 WORDWORD 宏病毒已成为当前病毒的主流。宏病毒已成为当前病毒的主流。

– 一时期的病毒的最大特点是利用一时期的病毒的最大特点是利用 InternetInternet 作为其主要传播途径，作为其主要传播途径，因而，病毒传播快、隐蔽性强、破坏性大。此外，随着因而，病毒传播快、隐蔽性强、破坏性大。此外，随着 WindowsWindows9595 的应用，出现了的应用，出现了 WindowsWindows环境下的病毒。这些都给病毒防治环境下的病毒。这些都给病毒防治和传统和传统 DOSDOS 版杀毒软件带来新的挑战。版杀毒软件带来新的挑战。


• 计算机病毒的发展必然会促进计算机反病毒技术计算机病毒的发展必然会促进计算机反病毒技术的发展，也就是说，新型病毒的出现向以行为规的发展，也就是说，新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战，致使原有的反病而消除病毒的产品提出了挑战，致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。毒技术和产品在新型的计算机病毒面前无能为力。这样，势必使人们认识到现有反病毒产品在对抗这样，势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性，迫使人们在反新型的计算机病毒方面的局限性，迫使人们在反病毒的技术和产品上进行新的更新和换代。病毒的技术和产品上进行新的更新和换代。






病毒分类病毒分类

• 按照计算机病毒攻击的系统分类按照计算机病毒攻击的系统分类 – 攻击攻击 DOSDOS系统的病毒。系统的病毒。 – 攻击攻击 WindowsWindows 系统的病毒。系统的病毒。 – 攻击攻击 UNIXUNIX系统的病毒。系统的病毒。– 攻击攻击 OS/2OS/2 系统的病毒。系统的病毒。

• 按照病毒的攻击机型分类按照病毒的攻击机型分类 – 攻击微型计算机的病毒。这是世界上传染最为广泛的攻击微型计算机的病毒。这是世界上传染最为广泛的

一种病毒一种病毒 – 攻击小型机的计算机病毒。攻击小型机的计算机病毒。 – 攻击工作站的计算机病毒。攻击工作站的计算机病毒。

病毒分类病毒分类• 按照计算机病毒的链结方式分类按照计算机病毒的链结方式分类

– 源码型病毒。该病毒攻击高级语言编写的程序，该病毒在高级语源码型病毒。该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。一部分。

– 嵌入型病毒。这种病毒是将自身嵌入到现有程序中，把计算机病嵌入型病毒。这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。反病毒技术带来严峻的挑战。

– 外壳型病毒。外壳型病毒将其自身包围在主程序的四周，对原来外壳型病毒。外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。一般测试文件的大小即可知。

– 操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。


•按照计算机病毒的破坏情况分类按照计算机病毒的破坏情况分类 – 良性计算机病毒。良性病毒是指其不包含有立良性计算机病毒。良性病毒是指其不包含有立

即对计算机系统产生直接破坏作用的代码即对计算机系统产生直接破坏作用的代码 – 恶性计算机病毒。恶性病毒就是指在其代码中恶性计算机病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用染或发作时会对系统产生直接的破坏作用


•按照计算机病毒的寄生部位或传染对象分按照计算机病毒的寄生部位或传染对象分类类 – 感染磁盘引导区的计算机病毒感染磁盘引导区的计算机病毒– 感染操作系统的计算机病毒感染操作系统的计算机病毒– 感染可执行程序的计算机病毒感染可执行程序的计算机病毒


•按照计算机病毒激活的时间分类按照计算机病毒激活的时间分类 – 按照计算机病毒激活的时间可分为定时的和随按照计算机病毒激活的时间可分为定时的和随

机的。机的。– 定时病毒仅在某一特定时间才发作，而随机病定时病毒仅在某一特定时间才发作，而随机病

毒一般不是由时钟来激活的。毒一般不是由时钟来激活的。


•按照传播媒介分类按照传播媒介分类– 单机病毒。单机病毒的载体是磁盘，常见的是单机病毒。单机病毒的载体是磁盘，常见的是

病毒从软盘传人硬盘，感染系统，然后再传染病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。其他软盘，软盘又传染其他系统。

– 网络病毒。网络病毒的传播媒介不再是移动式网络病毒。网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。强，破坏力更大。


• 按照寄生方式和传染途径分类按照寄生方式和传染途径分类 – 按其寄生方式按其寄生方式

•引导型病毒。引导型病毒按其寄生对象的不同又可分为两类，引导型病毒。引导型病毒按其寄生对象的不同又可分为两类，即即 MBRMBR（主引导区）病毒，（主引导区）病毒， BRBR（引导区）病毒。（引导区）病毒。

•文件型病毒文件型病毒 – 按传染途径按传染途径

•驻留内存型驻留内存型• 不驻留内存型不驻留内存型

• 混合型病毒集引导型和文件型病毒特性于一体。混合型病毒集引导型和文件型病毒特性于一体。






病毒特征病毒特征• 传染性传染性

– 传染性是病毒的基本特征。在生物界，通过传染病毒从一个生物传染性是病毒的基本特征。在生物界，通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。并使被感染的生物体表现出病症甚至死亡。

– 同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。甚至瘫痪。

– 正常的计算机程序一般是不会将自身的代码强行连接到其它程序正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。如软盘、计算机网络去传染其它的计算机。

病毒特征病毒特征• 隐蔽性隐蔽性

– 病毒一般是具有很高编程技巧、短小精悍的程序。病毒一般是具有很高编程技巧、短小精悍的程序。– 通常附在正常程序中或磁盘较隐蔽的地方，也有个别通常附在正常程序中或磁盘较隐蔽的地方，也有个别

的以隐含文件形式出现。目的是不让用户发现它的存的以隐含文件形式出现。目的是不让用户发现它的存在。在。

• 潜伏性潜伏性 – 大部分的病毒感染系统之后一般不会马上发作，它可大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传其表现（破坏）模块。只有这样它才可进行广泛地传播。播。

病毒特征病毒特征

• 破坏性破坏性 – 任何病毒只要侵入系统，都会对系统及应用程序产生任何病毒只要侵入系统，都会对系统及应用程序产生

程度不同的影响。轻者会降低计算机工作效率，占用程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。分为良性病毒与恶性病毒。

• 不可预见性不可预见性 – 从对病毒的检测方面来看，病毒还有不可预见性。从对病毒的检测方面来看，病毒还有不可预见性。– 不同种类的病毒，它们的代码千差万别，但有些操作不同种类的病毒，它们的代码千差万别，但有些操作

是共有的（如驻内存，改中断）。是共有的（如驻内存，改中断）。

病毒特征病毒特征

•寄生性寄生性 – 指病毒对其他文件或系统进行一系列非法操作，指病毒对其他文件或系统进行一系列非法操作，

使其带有这种病毒，并成为该病毒的一个新的使其带有这种病毒，并成为该病毒的一个新的传染源的过程。这是病毒的最基本特征。传染源的过程。这是病毒的最基本特征。

•触发性触发性 – 指病毒的发作一般都有一个激发条件，即一个指病毒的发作一般都有一个激发条件，即一个

条件控制。这个条件根据病毒编制者的要求可条件控制。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运以是日期、时间、特定程序的运行或程序的运行次数等等。行次数等等。

病毒程序结构及机制病毒程序结构及机制• 计算机病毒程序是为了特殊目的而编制的，它通计算机病毒程序是为了特殊目的而编制的，它通

过修改其他程序而把自己复制进去，并且传染该过修改其他程序而把自己复制进去，并且传染该程序。程序。

• 一般来说，计算机病毒程序包括三个功能模块：一般来说，计算机病毒程序包括三个功能模块：– 引导模块引导模块– 传染模块传染模块– 破坏模块破坏模块

• 这些模块功能独立，同时又相互关联，构成病毒这些模块功能独立，同时又相互关联，构成病毒程序的整体。程序的整体。

引导模块和引导机制引导模块和引导机制

•引导模块的功能是借助宿主程序，将病毒引导模块的功能是借助宿主程序，将病毒程序从外存引进内存，以便使传染模块和程序从外存引进内存，以便使传染模块和破坏模块进入活动状态。破坏模块进入活动状态。

•引导模块还可以将分别存放的病毒程序链引导模块还可以将分别存放的病毒程序链接在一起，重新进行装配，形成新的病毒接在一起，重新进行装配，形成新的病毒程序，破坏计算机系统。程序，破坏计算机系统。


•计算机病毒的寄生对象计算机病毒的寄生对象 – 一种寄生在磁盘引导扇区；一种寄生在磁盘引导扇区；– 另一种是寄生在可执行文件（另一种是寄生在可执行文件（ .EXE.EXE或或 .COM.COM ））

中。中。 – 这是由于不论是磁盘引导扇区还是可执行文件，这是由于不论是磁盘引导扇区还是可执行文件，

它们都有获取执行权的可能它们都有获取执行权的可能


• 计算机病毒的寄生方式计算机病毒的寄生方式– 替代法：病毒程序用自己的部分或全部指令代码，替替代法：病毒程序用自己的部分或全部指令代码，替

代磁盘引导扇区或文件中的全部或部分内容。代磁盘引导扇区或文件中的全部或部分内容。 – 链接法：病毒程序将自身代码作为正常程序的一部分链接法：病毒程序将自身代码作为正常程序的一部分

与原有正常程序链接在一起，病毒链接的位置可能在与原有正常程序链接在一起，病毒链接的位置可能在正常程序的首部、尾部或中间。正常程序的首部、尾部或中间。

• 寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在可执行文件中的病毒一般采用链接法。寄生在可执行文件中的病毒一般采用链接法。


• 计算机病毒的引导过程计算机病毒的引导过程 – 计算机病毒的引导过程一般包括以下三方面计算机病毒的引导过程一般包括以下三方面

•驻留内存。病毒若要发挥其破坏作用，一般要驻留内存。为此驻留内存。病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存的病毒不驻留内存

•窃取系统控制权。在病毒程序驻留内存后，必须使有关部分取窃取系统控制权。在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。进行传染和破坏。

•恢复系统功能。病毒为隐蔽自己，驻留内存后还要恢复系统，恢复系统功能。病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。破坏的目的。

传染模块和传染机制传染模块和传染机制

•传染模块的功能将病毒迅速传染，尽可能传染模块的功能将病毒迅速传染，尽可能扩大染毒范围。扩大染毒范围。

•病毒的传染模块由两部分组成：条件判断病毒的传染模块由两部分组成：条件判断部分和程序主体部分，前者负责判断传染部分和程序主体部分，前者负责判断传染条件是否成立，后者负责将病毒程序与宿条件是否成立，后者负责将病毒程序与宿主程序链接，完成传染病毒的工作。主程序链接，完成传染病毒的工作。

传染模块和传染机制传染模块和传染机制

• 计算机病毒的传染方式计算机病毒的传染方式 – 所谓传染是指计算机病毒由一个载体传播到另一个载所谓传染是指计算机病毒由一个载体传播到另一个载体，由一个系统进入另一个系统的过程。这种载体一体，由一个系统进入另一个系统的过程。这种载体一般为磁盘或磁带，它是计算机病毒赖以生存和进行传般为磁盘或磁带，它是计算机病毒赖以生存和进行传染的媒介。染的媒介。

• 计算机病毒的传染过程计算机病毒的传染过程 – 对于病毒的被动传染而言，其传染过程是随着拷贝磁对于病毒的被动传染而言，其传染过程是随着拷贝磁盘或文件工作的进行而进行的，盘或文件工作的进行而进行的，

– 对于计算机病毒的主动传染而言，其传染过程是这样对于计算机病毒的主动传染而言，其传染过程是这样的：在系统运行时，病毒通过病毒载体即系统的外存的：在系统运行时，病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运行。中监视系统的运行。

破坏模块和破坏机制破坏模块和破坏机制

• 病毒编制者的意图，就是攻击破坏计算机系统，病毒编制者的意图，就是攻击破坏计算机系统，所以破坏模块是病毒程序的核心部分。所以破坏模块是病毒程序的核心部分。

• 破坏机制在设计原则、工作原理上与传染机制基破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口地址本相同。它也是通过修改某一中断向量人口地址（一般为时钟中断（一般为时钟中断 INT 8HINT 8H ，或与时钟中断有关的，或与时钟中断有关的其他中断，如其他中断，如 INT 1CHINT 1CH ），使该中断向量指向病），使该中断向量指向病毒程序的破坏模块。毒程序的破坏模块。

• 病毒破坏目标和攻击部位主要是：系统数据区、病毒破坏目标和攻击部位主要是：系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、显示、键盘、喇叭、 CMOSCMOS、主板等。、主板等。


•网络蠕虫病毒技术网络蠕虫病毒技术– 蠕虫病毒与一般病毒的异同蠕虫病毒与一般病毒的异同– 蠕虫的破坏和发展趋势蠕虫的破坏和发展趋势– 网络蠕虫病毒分析网络蠕虫病毒分析– 企业防范蠕虫病毒措施企业防范蠕虫病毒措施– 对个人用户产生直接威胁的蠕虫病毒对个人用户产生直接威胁的蠕虫病毒– 个人用户对蠕虫病毒的防范措施个人用户对蠕虫病毒的防范措施– 小结小结

网络蠕虫病毒技术网络蠕虫病毒技术

• 一般认为，蠕虫是一种通过网络传播的恶性病毒，一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等。坏性等等。

• 同时具有自己的一些特征，如不利用文件寄生同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等。以及和黑客技术相结合等。

• 在产生的破坏性上，蠕虫病毒也不是普通病毒所在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪。间内蔓延整个网络，造成网络瘫痪。

网络蠕虫病毒技术网络蠕虫病毒技术

•根据使用者情况将蠕虫病毒分为两类：根据使用者情况将蠕虫病毒分为两类：– 一种是面向企业用户和局域网而言，这种病毒一种是面向企业用户和局域网而言，这种病毒

利用系统漏洞，主动进行攻击，可以对整个互利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果，以“红色代码”，联网可造成瘫痪性的后果，以“红色代码”，“尼姆达”，以及““尼姆达”，以及“ sqlsql蠕虫王”为代表。蠕虫王”为代表。

– 另外一种是针对个人用户的，通过网络另外一种是针对个人用户的，通过网络 ((主要主要是电子邮件，恶意网页形式是电子邮件，恶意网页形式 ))迅速传播的蠕虫迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例。病毒，以爱虫病毒，求职信病毒为例。

蠕虫病毒与一般病毒的异同蠕虫病毒与一般病毒的异同

• 蠕虫也是一种病毒，因此具有病毒的共同特征。蠕虫也是一种病毒，因此具有病毒的共同特征。 – 一般的病毒是需要的寄生的，它可以通过自己指令的一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主” 。感染的文件就被称为”宿主” 。

– 例如，例如， windowswindows下可执行文件的格式为下可执行文件的格式为 PEPE格式格式 (Port(Portable Executable)able Executable)，当需要感染，当需要感染 PEPE文件时，在宿主程文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。权交给宿主原来的程序指令。


– 蠕虫一般不采取利用蠕虫一般不采取利用 pepe格式插入文件的方法，格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有言，而蠕虫病毒的传染目标是互联网内的所有计算机。计算机。

– 局域网条件下的共享文件夹，电子邮件局域网条件下的共享文件夹，电子邮件 emailemail，，网络中的恶意网页，大量存在着漏洞的服务器网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球。使得蠕虫病毒可以在几个小时内蔓延全球。


普通病毒普通病毒蠕虫病毒蠕虫病毒

存在形式存在形式寄存文件寄存文件独立程序独立程序

传染机制传染机制宿主程序运行宿主程序运行主动攻击主动攻击

传染目标传染目标本地文件本地文件网络计算机网络计算机

蠕虫的破坏和发展趋势蠕虫的破坏和发展趋势• 19881988 年一个由美国年一个由美国 CORNELLCORNELL 大学研究生莫里斯编写的大学研究生莫里斯编写的

蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现蠕虫病毒蔓延造成了数千台计算机停机，蠕虫病毒开始现身网络身网络 ;;

• 后来的红色代码，尼姆达病毒疯狂的时候，造成几十亿美后来的红色代码，尼姆达病毒疯狂的时候，造成几十亿美元的损失。元的损失。

• 20032003 年年 11 月月 2626日，一种名为“日，一种名为“ 20032003 蠕虫王”的电脑病蠕虫王”的电脑病毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作毒迅速传播并袭击了全球，致使互联网网路严重堵塞，作为互联网主要基础的域名服务器（为互联网主要基础的域名服务器（ DNSDNS）的瘫痪造成网）的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓，同时民浏览互联网网页及收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票等网络预订系统的运作银行自动提款机的运作中断，机票等网络预订系统的运作中断，信用卡等收付款系统出现故障！专家估计，此病毒中断，信用卡等收付款系统出现故障！专家估计，此病毒造成的直接经济损失至少在造成的直接经济损失至少在 1212 亿美元以上。亿美元以上。

蠕虫的破坏和发展趋势蠕虫的破坏和发展趋势

•蠕虫发作的一些特点和发展趋势：蠕虫发作的一些特点和发展趋势：– 利用操作系统和应用程序的漏洞主动进行攻击。利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“红色代码”和“尼姆达”，此类病毒主要是“红色代码”和“尼姆达”，以及至今依然肆虐的”求职信”等以及至今依然肆虐的”求职信”等

– 传播方式多样。如“尼姆达”病毒和”求职传播方式多样。如“尼姆达”病毒和”求职信”病毒，可利用的传播途径包括文件、电子信”病毒，可利用的传播途径包括文件、电子邮件、邮件、 WebWeb 服务器、网络共享等等服务器、网络共享等等 . .

蠕虫的破坏和发展趋势蠕虫的破坏和发展趋势

– 病毒制作技术新病毒制作技术新 •与传统的病毒不同的是，许多新病毒是利用当前最与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。新的变种，从而逃避反病毒软件的搜索。

– 与黑客技术相结合与黑客技术相结合•潜在的威胁和损失更大潜在的威胁和损失更大 !! 以红色代码为例，感染后以红色代码为例，感染后

的机器的的机器的 webweb 目录的目录的 \scripts\scripts下将生成一个下将生成一个 root.eroot.exexe ，可以远程执行任何命令，从而使黑客能够再次，可以远程执行任何命令，从而使黑客能够再次进入进入 ! !

网络蠕虫病毒分析网络蠕虫病毒分析

• 虫和普通病毒不同的一个特征是蠕虫病毒往往能虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞。够利用漏洞。– 这里的漏洞或者说是缺陷，可以分为两种，软件上的这里的漏洞或者说是缺陷，可以分为两种，软件上的缺陷和人为上的缺陷。软件上的缺陷，如远程溢出，缺陷和人为上的缺陷。软件上的缺陷，如远程溢出，微软微软 IEIE和和 outlookoutlook的自动执行漏洞等等，需要软件厂的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件。而人为的缺陷，商和用户共同配合，不断的升级软件。而人为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会主要是指的是计算机用户的疏忽。这就是所谓的社会工程学工程学 (social engineering)(social engineering)，当收到一封邮件带着病，当收到一封邮件带着病毒的求职信邮件时候，大多数人都会报着好奇去点击毒的求职信邮件时候，大多数人都会报着好奇去点击的。的。

网络蠕虫病毒分析网络蠕虫病毒分析

•利用软件上的缺陷的蠕虫：利用软件上的缺陷的蠕虫：– 以红色代码，尼姆达和以红色代码，尼姆达和 sqlsql蠕虫为代表蠕虫为代表 – 共同的特征是利用微软服务器和应用程序组件共同的特征是利用微软服务器和应用程序组件

的某个漏洞进行攻击的某个漏洞进行攻击

企业防范蠕虫病毒措施企业防范蠕虫病毒措施

•需要考虑几个问题：需要考虑几个问题：– 病毒的查杀能力病毒的查杀能力– 病毒的监控能力病毒的监控能力– 新病毒的反应能力新病毒的反应能力

•企业防毒的一个重要方面是是管理和策略。企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下：推荐的企业防范蠕虫病毒的策略如下： – 加强网络管理员安全管理水平，提高安全意识加强网络管理员安全管理水平，提高安全意识 – 建立病毒检测系统建立病毒检测系统 – 建立应急响应系统，将风险减少到最小建立应急响应系统，将风险减少到最小 – 建立灾难备份系统建立灾难备份系统

– 对于局域网而言，可以采用以下一些主要手段：对于局域网而言，可以采用以下一些主要手段：•在因特网接入口处安装防火墙或防杀计算机病毒产在因特网接入口处安装防火墙或防杀计算机病毒产品，将病毒隔离在局域网之外。品，将病毒隔离在局域网之外。

•对邮件服务器进行监控，防止带毒邮件进行传播。对邮件服务器进行监控，防止带毒邮件进行传播。•对局域网用户进行安全培训。对局域网用户进行安全培训。•建立局域网内部的升级系统，包括各种操作系统的建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等。件病毒库的升级等等。

对个人用户产生直接威胁的蠕虫病毒对个人用户产生直接威胁的蠕虫病毒

• 对于个人用户而言，威胁大的蠕虫病毒采取的传播对于个人用户而言，威胁大的蠕虫病毒采取的传播方式一般为电子邮件方式一般为电子邮件 (Email)(Email)以及恶意网页等等。以及恶意网页等等。

• 对于利用对于利用 emailemail传播得蠕虫病毒来说，通常利用的传播得蠕虫病毒来说，通常利用的是社会工程学是社会工程学 (Social Engineering)(Social Engineering)，即以各种各样，即以各种各样的欺骗手段那诱惑用户点击的方式进行传播。的欺骗手段那诱惑用户点击的方式进行传播。

• 恶意网页确切的讲是一段黑客破坏代码程序，它内恶意网页确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。毒的网页时，病毒就会发作。

个人用户对蠕虫病毒的防范措施个人用户对蠕虫病毒的防范措施

•网络蠕虫病毒对个人用户的攻击主要还是网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学，而不是利用系统漏洞。通过社会工程学，而不是利用系统漏洞。所以防范此类病毒需要注意以下几点所以防范此类病毒需要注意以下几点 – 购买合适的杀毒软件购买合适的杀毒软件 – 经常升级病毒库经常升级病毒库 – 提高防杀毒意识，不要轻易去点击陌生的站点，提高防杀毒意识，不要轻易去点击陌生的站点，

有可能里面就含有恶意代码。有可能里面就含有恶意代码。– 不随意查看陌生邮件，尤其是带有附件的邮件不随意查看陌生邮件，尤其是带有附件的邮件

小结小结

• 网络蠕虫病毒作为一种互联网高速发展下的一种网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒，必将对网络产生巨大的危险。新型病毒，必将对网络产生巨大的危险。

• 在防御上，已经不再是由单独的杀毒厂商所能够在防御上，已经不再是由单独的杀毒厂商所能够解决，而需要网络安全公司，系统厂商，防病毒解决，而需要网络安全公司，系统厂商，防病毒厂商及用户共同参与，构筑全方位的防范体系厂商及用户共同参与，构筑全方位的防范体系

• 蠕虫和黑客技术的结合，使得对蠕虫的分析，检蠕虫和黑客技术的结合，使得对蠕虫的分析，检测和防范具有一定的难度，同时对蠕虫的网络传测和防范具有一定的难度，同时对蠕虫的网络传播性，网络流量特性建立数学模型也是有待研究播性，网络流量特性建立数学模型也是有待研究的工作的工作





病毒的表现形式、危害及传染途径病毒的表现形式、危害及传染途径

• CIHCIH 病毒是一种文件型病毒，其宿主是病毒是一种文件型病毒，其宿主是 Windows Windows 95/9895/98 系统下的系统下的 PEPE格式可执行文件即格式可执行文件即 .EXE.EXE文件，文件，就其表现形式及症状而言，具有以下特点：就其表现形式及症状而言，具有以下特点：– 11 、受感染的、受感染的 .EXE.EXE 文件的文件长度没有改变；文件的文件长度没有改变； – 22 、、 DOSDOS以及以及 WIN 3.1 WIN 3.1 格式（格式（ NENE格式）的可执行文格式）的可执行文

件不受感染，并且在件不受感染，并且在 Win NTWin NT中无效。中无效。 – 33 、用资源管理器中“工具、用资源管理器中“工具 >>查找查找 >>文件或文件夹”的文件或文件夹”的

“高级“高级 >>包含文字”查找包含文字”查找 .EXE.EXE 特征字符串——“特征字符串——“ CIH CIH v”v” ，在查找过程中，显示出一大堆符合查找特征的可，在查找过程中，显示出一大堆符合查找特征的可执行文件。执行文件。

– 44 、若、若 44 月月 2626日开机，显示器突然黑屏，硬盘指示灯日开机，显示器突然黑屏，硬盘指示灯闪烁不停，重新开机后，计算机无法启动。闪烁不停，重新开机后，计算机无法启动。

病毒的表现形式、危害及传染途径病毒的表现形式、危害及传染途径

• 病毒的危害主要表现在于病毒发作后，硬盘数据病毒的危害主要表现在于病毒发作后，硬盘数据全部丢失，甚至主板上的全部丢失，甚至主板上的 BIOSBIOS中的原内容被会中的原内容被会彻底破坏，主机无法启动。只有更换彻底破坏，主机无法启动。只有更换 BIOSBIOS，或，或是向固定在主板上的是向固定在主板上的 BIOSBIOS中重新写入原来版本中重新写入原来版本的程序，才能解决问题。的程序，才能解决问题。

• 该病毒是通过文件进行传播。计算机开机以后，该病毒是通过文件进行传播。计算机开机以后，如果运行了带病毒的文件，其病毒就驻留在如果运行了带病毒的文件，其病毒就驻留在 WindWindowsows 的系统内存里了。此后，只要运行了的系统内存里了。此后，只要运行了 PEPE格格式的式的 .EXE.EXE文件，这些文件就会感染上该病毒。文件，这些文件就会感染上该病毒。

病毒的运行机制病毒的运行机制

• CIHCIH没有改变宿主文件的大小，而是采用了一种没有改变宿主文件的大小，而是采用了一种新的文件感染机制即碎洞攻击（新的文件感染机制即碎洞攻击（ fragmented cavfragmented cavity attackity attack），将病毒化整为零，拆分成若干块，），将病毒化整为零，拆分成若干块，插入宿主文件中去；插入宿主文件中去；

• 最引人注目的是它利用目前许多最引人注目的是它利用目前许多 BIOSBIOS芯片开放芯片开放了可重写的特性，向计算机主板的了可重写的特性，向计算机主板的 BIOSBIOS 端口写端口写入乱码，开创了病毒直接进攻计算机主板芯片的入乱码，开创了病毒直接进攻计算机主板芯片的先例。先例。


• CIHCIH 病毒的驻留（初始化）病毒的驻留（初始化） •病毒的感染病毒的感染

– 11 、文件的截获、文件的截获 – 22 、、 EXEEXE文件的判断文件的判断 – 33 、、 PEPE格式格式 .EXE.EXE判别判别 – 44 ．病毒首块的寄生计算．病毒首块的寄生计算– 55．病毒其余块的寄生计算．病毒其余块的寄生计算– 66．写入病毒．写入病毒


•病毒的发作病毒的发作 – 11 ．病毒发作条件判断．病毒发作条件判断– 22 ．病毒的破坏．病毒的破坏

•①① 通过主板的通过主板的 BIOSBIOS 端口地址端口地址 0CFEH0CFEH 和和 0CFDH0CFDH向向BIOSBIOS 引导块（引导块（ boot blockboot block）内各写入一个字节的）内各写入一个字节的乱码，造成主机无法启动。乱码，造成主机无法启动。

•②②覆盖硬盘覆盖硬盘 ,, 通过调用通过调用 Vxd call IOS_SendCommaVxd call IOS_SendCommandnd 直接对硬盘进行存取，将垃圾代码以直接对硬盘进行存取，将垃圾代码以 20482048 个扇个扇区为单位，从硬盘主引导区开始依次循环写入硬盘，区为单位，从硬盘主引导区开始依次循环写入硬盘，直到所有硬盘（含逻辑盘）的数据均被破坏为止。直到所有硬盘（含逻辑盘）的数据均被破坏为止。

病毒的清除病毒的清除

• 11 、病毒的检测、病毒的检测 – ①① 利用“资源管理器”进行搜寻利用“资源管理器”进行搜寻 – ②②DebugDebug检测检测 PE SignaturePE Signature

• 22 、病毒的清除、病毒的清除





exeexe 型病毒型病毒 MyVirusMyVirus

• 简介简介 : : 这是一个这是一个 Win32Win32平台下的多态病毒，感染平台下的多态病毒，感染PEPE格式的可执行文件。被感染的文件在运行时会格式的可执行文件。被感染的文件在运行时会先弹出警告对话框，然后正常运行，并无大碍。先弹出警告对话框，然后正常运行，并无大碍。

• 病毒程序首次被运行时将选择病毒程序首次被运行时将选择 33 个文件感染，将个文件感染，将自身代码插入被感染文件达到传染的目的，被感自身代码插入被感染文件达到传染的目的，被感染文件每次运行时都会将病毒传染给其他三个文染文件每次运行时都会将病毒传染给其他三个文件。件。

• 由于是测试版，将感染文件限制在由于是测试版，将感染文件限制在 D:\TestD:\Test目录目录下，可在下，可在 D:\TestD:\Test目录下放一些目录下放一些 .exe.exe 进行测试进行测试





宏的概念宏的概念

•宏是微软公司为其宏是微软公司为其 OFFICEOFFICE软件包设计的一软件包设计的一个特殊功能，目的是让用户文档中的一些个特殊功能，目的是让用户文档中的一些任务自动化。任务自动化。 OFFICEOFFICE中的中的 WORDWORD和和 EXECEXECLL 都有宏。都有宏。

•WordWord 宏定义为：宏就是能组织到一起作为宏定义为：宏就是能组织到一起作为一独立命令使用的一系列一独立命令使用的一系列 wordword 指令，它能指令，它能使日常工作变得更容易。使日常工作变得更容易。

宏病毒分析宏病毒分析

•宏病毒是一种寄存在文档或模板的宏中的宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在转移到计算机上，并驻留在 NormalNormal模板模板上。从此以后，所有自动保存的文档都会上。从此以后，所有自动保存的文档都会 “感染”上这种宏病毒，而且如果其他用“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。移到他的计算机上。

宏病毒分析宏病毒分析

•宏病毒的特点：宏病毒的特点：– 以数据文件方式传播，隐蔽性好，传播速度快，以数据文件方式传播，隐蔽性好，传播速度快，难于杀除难于杀除

– 制作宏病毒以及在原型病毒上变种非常方便制作宏病毒以及在原型病毒上变种非常方便– 破坏可能性极大破坏可能性极大– 宏病毒会感染宏病毒会感染 DOCDOC文档文件和文档文件和 DOTDOT 模板文件。模板文件。

CtoLCtoL 宏病毒代码及流程宏病毒代码及流程

•该程序修改了该程序修改了 FileOpenFileOpen宏，在打开文件后，宏，在打开文件后，FileOpenFileOpen将从头到尾搜索文档的文本，发将从头到尾搜索文档的文本，发现文本是字母，就将其删除。现文本是字母，就将其删除。

•还修改了还修改了 FileSaveFileSave 宏，如果是第一次打开宏，如果是第一次打开带有病毒的文件，我们就将修改后的带有病毒的文件，我们就将修改后的 FileOFileOpenpen拷贝到了拷贝到了 NORMAL.DOTNORMAL.DOT 模板。这样之模板。这样之后的所有被打开的后的所有被打开的 WordWord 文件都将被感染。文件都将被感染。

宏病毒的判断方法宏病毒的判断方法

• 11 、在打开“宏病毒防护功能”的情况下，当您打开一个、在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。您可以完全肯定您的文档已经感染了宏病毒。

• 22 、同样是在打开“宏病毒防护功能”的情况下，您的、同样是在打开“宏病毒防护功能”的情况下，您的 OOFFICEFFICE文档中一系列的文件都在打开时给出宏警告。由于文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。档有宏警告时，可以肯定这些文档中有宏病毒。

• 33 、如果软件中关于宏病毒防护选项启用后，不能在下次、如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。开机时依然保存。

宏病毒的防治和清除宏病毒的防治和清除

• 11 、首选方法：用最新版的反病毒软件清除、首选方法：用最新版的反病毒软件清除宏病毒。宏病毒。

• 22 、应急处理方法：用写字板或、应急处理方法：用写字板或 WORD 6.0WORD 6.0文档作为清除宏病毒的桥梁。文档作为清除宏病毒的桥梁。




脚本病毒脚本病毒

• 20002000年年 55月月 44 日欧美爆发的“爱虫”网络日欧美爆发的“爱虫”网络蠕虫病毒。由于通过电子邮件系统传播，蠕虫病毒。由于通过电子邮件系统传播，爱虫病毒在短短几天内狂袭全球数百万计爱虫病毒在短短几天内狂袭全球数百万计的电脑。微软、的电脑。微软、 IntelIntel等在内的众多大型企等在内的众多大型企业网络系统瘫痪，全球经济损失达几十亿业网络系统瘫痪，全球经济损失达几十亿美元。而美元。而 19991999 年爆发的新欢乐时光病毒至年爆发的新欢乐时光病毒至今都让广大电脑用户更是苦不堪言。今都让广大电脑用户更是苦不堪言。

脚本病毒脚本病毒

• VBSVBS脚本病毒具有如下几个特点：脚本病毒具有如下几个特点： – 11 ．编写简单。．编写简单。– 22 ．破坏力大。．破坏力大。 – 33 ．感染力强。．感染力强。 – 44 ．传播范围大。．传播范围大。 – 55．病毒源码容易被获取，变种多。．病毒源码容易被获取，变种多。 – 66．欺骗性强。．欺骗性强。 – 77 ．使得病毒生产机实现起来非常容易。．使得病毒生产机实现起来非常容易。




邮件型病毒邮件型病毒

•随着随着 Internet Internet 的迅猛发展，电子邮件成为的迅猛发展，电子邮件成为人们相互交流最常使用的工具，于是它也人们相互交流最常使用的工具，于是它也成为新型病毒——电子邮件型病毒的重要成为新型病毒——电子邮件型病毒的重要载体。载体。

•邮件型病毒也是脚本病毒的一种，主要是邮件型病毒也是脚本病毒的一种，主要是通过利用通过利用 Outlook Outlook 的可编程特性来完成的的可编程特性来完成的




病毒检测病毒检测

• 11 、比较法、比较法• 22 、加总比对法、加总比对法• 33 、搜索法、搜索法• 44 、分析法、分析法• 55、人工智能陷阱技术和宏病毒陷阱技术、人工智能陷阱技术和宏病毒陷阱技术• 66、软件仿真扫描法、软件仿真扫描法• 77 、先知扫描法、先知扫描法

病毒防治病毒防治

• 11 、新购置的计算机硬软件系统的测试、新购置的计算机硬软件系统的测试• 22 、计算机系统的启动、计算机系统的启动• 33 、单台计算机系统的安全使用、单台计算机系统的安全使用• 44 、重要数据文件要有备份、重要数据文件要有备份• 55、不要随便直接运行或直接打开电子函件、不要随便直接运行或直接打开电子函件

中夹带的附件文件，不要随意下载软件，中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和尤其是一些可执行文件和 OfficeOffice 文档。文档。

病毒防治病毒防治

• 66、计算机网络的安全使用、计算机网络的安全使用 – （（ 11 ）安装网络服务器时，应保证没有计算机病毒存在）安装网络服务器时，应保证没有计算机病毒存在 – （（ 22 ）在安装网络服务器时，应将文件系统划分成多个）在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。卷和各个网络用户可以独占的用户数据卷。

– （（ 33 ）一定要用硬盘启动网络服务器，否则在受到引导）一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。的机器，而会影响到整个网络的中枢。

– （（ 44 ）为各个卷分配不同的用户权限。）为各个卷分配不同的用户权限。 – （（ 55）在网络服务器上必须安装真正有效的防杀计算机）在网络服务器上必须安装真正有效的防杀计算机

病毒软件，并经常进行升级。病毒软件，并经常进行升级。 – （（ 66）系统管理员的职责：）系统管理员的职责：

计算机系统的修复计算机系统的修复

• 计算机病毒感染后的一般修复处理方法：计算机病毒感染后的一般修复处理方法： – 11 ）首先必须对系统破坏程度有一个全面的了解，并根）首先必须对系统破坏程度有一个全面的了解，并根

据破坏的程度来决定采用有效的计算机病毒清除方法据破坏的程度来决定采用有效的计算机病毒清除方法和对策。和对策。

– 22 ）修复前，尽可能再次备份重要的数据文件。）修复前，尽可能再次备份重要的数据文件。– 33 ）启动防杀计算机病毒软件，并对整个硬盘进行扫描。）启动防杀计算机病毒软件，并对整个硬盘进行扫描。

– 44 ）发现计算机病毒后，我们一般应利用防杀计算机病）发现计算机病毒后，我们一般应利用防杀计算机病

毒软件清除文件中的计算机病毒，如果可执行文件中毒软件清除文件中的计算机病毒，如果可执行文件中的计算机病毒不能被清除，一般应将其删除，然后重的计算机病毒不能被清除，一般应将其删除，然后重新安装相应的应用程序。新安装相应的应用程序。


– 55）杀毒完成后，重启计算机，再次用防杀计）杀毒完成后，重启计算机，再次用防杀计算机病毒软件检查系统中是否还存在计算机病算机病毒软件检查系统中是否还存在计算机病毒，并确定被感染破坏的数据确实被完全恢复。毒，并确定被感染破坏的数据确实被完全恢复。

– 66）此外，对于杀毒软件无法杀除的计算机病）此外，对于杀毒软件无法杀除的计算机病毒，还应将计算机病毒样本送交防杀计算机病毒，还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心，以供详细分析。毒软件厂商的研究中心，以供详细分析。


•计算机系统修复应急计划计算机系统修复应急计划– 11 ）人员准备）人员准备 – 22 ）应急计划的实施步骤）应急计划的实施步骤– 33 ）善后工作）善后工作– 44 ）此外，在应急计划中还必需包括救援物质、）此外，在应急计划中还必需包括救援物质、

计算机软硬件备件的准备，以及参加人员的联计算机软硬件备件的准备，以及参加人员的联络表等，以便使得发生计算机病毒疫情后能够络表等，以便使得发生计算机病毒疫情后能够迅速地召集人手，备件到位，快速进入应急状迅速地召集人手，备件到位，快速进入应急状态。态。

作业作业

•使用汇编设计一病毒，能够传播、表现使用汇编设计一病毒，能够传播、表现•使用宏设计一病毒使用宏设计一病毒•设计一电子邮件病毒设计一电子邮件病毒•设计病毒变种自动机，可以对输入的病毒设计病毒变种自动机，可以对输入的病毒

进行变换生产变种进行变换生产变种

Download ppt - 第十五章 计算机病毒

Download ppt - 第十五章计算机病毒