Download
1 / 76
760 likes | 920 Views
第七章 计算机病毒及防治. 7.1 计算机病毒概述 7.2 DOS 环境下的病毒 7.3 宏病毒 7.4 网络计算机病毒 7.5 反病毒技术 7.6 软 件防 病毒 技术 7.7 典型病毒实例 —— CIH 病毒介绍. 本章学习目标. ( 1 )了解计算机病毒的定义、发展历史、分类、特点、入侵途径、流行特征、破坏行为、作用机制。 ( 2 )了解 DOS 环境下的病毒、宏病毒和网络计算机病毒的分类、传染过程、防治和清除方法。 ( 3 )熟悉基本的反病毒技术,包括计算机病毒的检测、防治与感染病毒后的修复;掌握杀毒软件的选购指标、反病毒软件的原理。
E N D
第七章 计算机病毒及防治 • 7.1 计算机病毒概述 • 7.2DOS环境下的病毒 • 7.3 宏病毒 • 7.4 网络计算机病毒 • 7.5 反病毒技术 • 7.6 软件防病毒技术 • 7.7 典型病毒实例——CIH病毒介绍
本章学习目标 • (1)了解计算机病毒的定义、发展历史、分类、特点、入侵途径、流行特征、破坏行为、作用机制。 • (2)了解DOS环境下的病毒、宏病毒和网络计算机病毒的分类、传染过程、防治和清除方法。 • (3)熟悉基本的反病毒技术,包括计算机病毒的检测、防治与感染病毒后的修复;掌握杀毒软件的选购指标、反病毒软件的原理。 • (4)掌握如何恢复被CIH病毒破坏的硬盘信息。 返回本章首页
7.1 计算机病毒概述 • 7.1.1 计算机病毒的定义 • 7.1.2 计算机病毒的发展历史 • 7.1.3 计算机病毒的分类 • 7.1.4 计算机病毒的特点 • 7.1.5 计算机病毒的隐藏之处和入侵途径 • 7.1.6 现代计算机病毒的流行特征 • 7.1.7 计算机病毒的破坏行为 • 7.1.8 计算机病毒的作用机制 返回本章首页
7.1.1 计算机病毒的定义 • “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 返回本节
7.1.2 计算机病毒的发展历史 • 1.计算机病毒发展简史 • 世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序。 • 1988年11月2日晚,美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元。
2.计算机病毒在中国的发展情况 • 在我国,80年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。1982年“黑色星期五”病毒侵入我国;1985年在国内发现更为危险的“病毒生产机”,生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代,计算机病毒在国内的泛滥更为严重。CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。
3.计算机病毒发展的10个阶段 • (1)DOS引导阶段 • (2)DOS可执行文件阶段 • (3)混合型阶段 • (4)伴随型阶段 • (5)多形型阶段 • (6)生成器,变体机阶段 • (7)网络,蠕虫阶段 • (8)Windows阶段 • (9)宏病毒阶段 • (10)Internet阶段 返回本节
7.1.3 计算机病毒的分类 • 病毒种类众多,分类如下: • 1.按传染方式分为引导型、文件型和混合型病毒 • 2.按连接方式分为源码型、入侵型、操作系统型和外壳型病毒 • 3.按破坏性可分为良性病毒和恶性病毒 • 4.网络病毒 返回本节
7.1.4 计算机病毒的特点 • (1)刻意编写,人为破坏 • (2)自我复制能力 • (3)夺取系统控制权 • (4)隐蔽性 • (5)潜伏性 • (6)不可预见性 返回本节
7.1.5 计算机病毒的隐藏之处和入侵途径 • 1.病毒的隐藏之处 • (1)可执行文件。 • (2)引导扇区。 • ( 3)表格和文档。 • (4)Java小程序和ActiveX控件。2.病毒的入侵途径 • (1)传统方法 • (2)Internet 返回本节
7.1.6 现代计算机病毒的流行特征 • 1.攻击对象趋于混合型 • 2.反跟踪技术 • 3.增强隐蔽性 • 4.加密技术处理 • 5.病毒繁衍不同变种
增强隐蔽性: • (1)避开修改中断向量值 • (2)请求在内存中的合法身份 • (3)维持宿主程序的外部特性 • (4)不使用明显的感染标志
加密技术处理 : • (1)对程序段动态加密 • (2)对显示信息加密 • (3)对宿主程序段加密 返回本节
7.1.7 计算机病毒的破坏行为 • (1)攻击系统数据区 • (2)攻击文件 • (3)攻击内存 • (4)干扰系统运行,使运行速度下降 • (5)干扰键盘、喇叭或屏幕 • (6)攻击CMOS • (7)干扰打印机 • (8)网络病毒破坏网络系统 返回本节
7.1.8 计算机病毒的作用机制 • 1.计算机病毒的一般构成 • 2.计算机病毒的引导机制 • 3.计算机病毒的传染机制 • 4.计算机病毒的破坏机制
一个引导病毒传染的实例 • 假定用硬盘启动,且该硬盘已染上了小球病毒,那么加电自举以后,小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段,即97C0:7C00处;然后修改INT 13H的中断向量,使之指向病毒的传染模块。以后,一旦读写软磁盘的操作通过INT 13H的作用,计算机病毒的传染块便率先取得控制权,它就进行如下操作:
1)读入目标软磁盘的自举扇区(BOOT扇区)。 • 2)判断是否满足传染条件。 • 3)如果满足传染条件(即目标盘BOOT区的01FCH偏移位置为5713H标志),则将病毒代码的前512字节写入BOOT引导程序,将其后512字节写入该簇,随后将该簇标以坏簇标志,以保护该簇不被重写。 • 4)跳转到原INT 13H的入口执行正常的磁盘系统操作。
一个文件病毒传染的实例 • 假如VVV.COM(或.EXE)文件已染有耶路撒冷病毒,那么运行该文件后,耶路撒冷病毒的引导模块会修改INT 21H的中断向量,使之指向病毒传染模块,并将病毒代码驻留内存,此后退回操作系统。以后再有任何加载执行文件的操作,病毒的传染模块将通过INT 21H的调用率先获得控制权,并进行以下操作:
1)读出该文件特定部分。 • 2)判断是否传染。 • 3)如果满足条件,则用某种方式将病毒代码与该可执行文件链接,再将链接后的文件重新写入磁盘。 • 4)转回原INT 21H入口,对该执行文件进行正常加载。
计算机病毒的传染过程 • 计算机病毒的传染过程 • 1)驻入内存。 • 2)判断传染条件。 • 3)传染。 返回本节
7.2DOS环境下的病毒 • 7.2.1DOS基本知识介绍 • 7.2.2 常见DOS病毒分析 返回本章首页
7.2.1DOS基本知识介绍 • 1.DOS的基本结构 • 2.DOS启动过程 • 3.DOS的程序加载过程 • 4.DOS的中断系统
1.DOS的基本结构 • (1)引导记录模块 • (2)基本输入输出管理模块 • (3)核心模块 • (4)SHELL模块
2.DOS启动过程 • PC X86系列计算机设计时,都使地址0FFFF0H处于ROM区中,并将该地址的内容设计为一条跳转指令并首先执行它,这样就将控制权交给了自检程序和ROM引导装入程序。启动过程为:硬件自检→自举→系统初始化→内核初始化→建立系统运行环境→COMMAND.COM初始化。
3.DOS的程序加载过程 • (1)COMMAND处理命令的过程 • (2).EXE文件的加载 • (3).COM文件的加载
4.DOS的中断系统 • (1)中断向量表 • (2)中断响应过程 • (3)计算机病毒经常使用的中断
多数病毒经常使用磁盘服务中断和时钟中断。 • 1)ROM BIOS软中断INT 13H。 • 2)磁盘逻辑扇区读/写中断INT 25H、INT 26H。 • 3)间隔时钟中断INT 1CH。 • 4)时钟中断INT 8H。是ROM BIOS硬中断,其向量地址为0000:0020H~0000:0023H。 • 5)屏幕显示中断INT 10H。向量地址为0000:0040H~0000:0043H。 • 6)程序正常结束中断INT 20H。是DOS软中断,其向量地址为0000:0080~0000:0083H。 • 7)系统功能调用中断INT 21H。 返回本节
7.2.2 常见DOS病毒分析 • 1.引导记录病毒 • (1)引导型病毒的传播、破坏过程 • (2)引导型病毒实例:火炬病毒 • 2.文件型病毒 • (1)文件型病毒的类型 • (2)文件型病毒的感染方式 • (3).COM文件的感染 • (4).EXE文件的感染 • (5).SYS文件的感染
(a)引导型病毒 (b)文件型病毒 图7.1 病毒的传播、破坏过程 返回本节
7.3 宏病毒 • 7.3.1 宏病毒的分类 • 7.3.2 宏病毒的行为和特征 • 7.3.3 宏病毒的特点 • 7.3.4 宏病毒的防治和清除方法 返回本章首页
7.3.1 宏病毒的分类 • 1.公(共)用宏病毒 • 这类宏病毒对所有的Word文档有效,其触发条件是在启动或调用Word文档时,自动触发执行。它有两个显著的特点: • 1)只能用“Autoxxxx”来命名,即宏名称是用“Auto”开头,xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。 • 2)它们一定要附加在Word共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时,它们应是附加在Normal.dot模板上,或者首先要能将自己写进这样的模板才行。
2.私用宏病毒 • 私用宏病毒与公用宏病毒的主要区别是:前者一般放在用户自定义的Word模板中,仅与使用这种模板的Word文档有关,即只有使用这个特定模板的文档,该宏病毒才有效,而对使用其他模板的文档,私用宏病毒一般不起作用。 返回本节
7.3.2 宏病毒的行为和特征 • 宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh System7等操作系统上执行病毒行为。 • 宏病毒的主要特征如下: • 1)宏病毒会感染.DOC文档和.DOT模板文件。 • 2)宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒。
3)多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。3)多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。 • 4)宏病毒中总是含有对文档读写操作的宏命令。 • 5)宏病毒在.DOC文档、.DOT模板中以BFF(Binary File Format)格式存放,这是一种加密压缩格式,每个Word版本格式可能不兼容。 • 6)宏病毒具有兼容性。 返回本节
7.3.3 宏病毒的特点 • 1.传播极快 • 2.制作、变种方便 • 3.破坏可能性极大 返回本节
7.3.4 宏病毒的防治和清除方法 • Word宏病毒,是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比,宏病毒的防治要容易得多!在了解了Word宏病毒的编制、发作过程之后,即使是普通的计算机用户,不借助任何杀毒软件,就可以较好地对其进行防冶。 • 1.查看“可疑”的宏 • 2.按使用习惯编制宏 • 3.防备Autoxxxx宏
4.小心使用外来的Word文档 • 5.使用选项“Prompt to Save Normal Template” • 6.通过Shift键来禁止运行自动宏 • 7.查看宏代码并删除 • 8.使用Disable Auto Marcros宏 • 9.使用OFFICE 97的报警设置 • 10.设置Normal.dot的只读属性 • 11.Normal.dot的密码保护 • 12.创建Payload宏 • 13.使用Word Viewer或Word Pad • 14.将文档存储为RTF格式 返回本节
7.4 网络计算机病毒 • 7.4.1 网络计算机病毒的特点 • 7.4.2 网络对病毒的敏感性 • 7.4.3 网络病毒实例——电子邮件病毒 返回本章首页
7.4.1 网络计算机病毒的特点 • 在网络环境中,计算机病毒具有如下一些新的特点: • (1)传染方式多 • (2)传染速度快 • (3)清除难度大 • (4)破坏性强 • (5)可激发性 • (6)潜在性 返回本节
7.4.2 网络对病毒的敏感性 • 1.网络对文件病毒的敏感性 • 2.网络对引导病毒的敏感性 • 3.网络对宏病毒的敏感性
1.网络对文件病毒的敏感性 • (1)网络服务器上的文件病毒 • (2)端到端网络上的文件病毒 • (3)Internet上的文件病毒
2.网络对引导病毒的敏感性 • (1)网络服务器上的引导病毒 • (2)端到端网络上的引导病毒 • (3)Internet上的引导病毒
3.网络对宏病毒的敏感性 • (1)网络服务器上的宏病毒 • (2)端到端网络上的宏病毒 • (3)Internet上的宏病毒 返回本节
7.4.3 网络病毒实例——电子邮件病毒 • 1.电子邮件病毒的特点 • (1)邮件格式不统一,杀毒困难 • (2)传播速度快,传播范围广,破坏力大 • 2.电子邮件病毒的防范措施 • 1)首先,不要轻易打开陌生人来信中的附件文件。 • 2)对于比较熟悉、了解的朋友们寄来的信件,如果其信中夹带了程序附件,但是他却没有在信中提及或是说明,也不要轻易运行。
3)给别人发送程序文件甚至包括电子贺卡时,一定要先在自己的计算机中试试,确认没有问题后再发,以免好心办了坏事。3)给别人发送程序文件甚至包括电子贺卡时,一定要先在自己的计算机中试试,确认没有问题后再发,以免好心办了坏事。 • 4)不断完善“网关”软件及病毒防火墙软件,加强对整个网络入口点的防范。 • 5)使用优秀的防毒软件对电子邮件进行专门的保护。 • 6)使用防毒软件同时保护客户机和服务器。 • 7)使用特定的SMTP杀毒软件。 返回本节
7.5 反病毒技术 • 7.5.1 计算机病毒的检测 • 7.5.2 计算机病毒的防治 • 7.5.3 计算机感染病毒后的修复 返回本章首页
7.5.1 计算机病毒的检测 • 1.异常情况判断 • 2.计算机病毒的检查
1.异常情况判断 • 计算机工作出现下列异常现象,则有可能感染了病毒: • 1)屏幕出现异常图形或画面,这些画面可能是一些鬼怪,也可能是一些下落的雨点、字符、树叶等,并且系统很难退出或恢复。 • 2)扬声器发出与正常操作无关的声音,如演奏乐曲或是随意组合的、杂乱的声音。 • 3)磁盘可用空间减少,出现大量坏簇,且坏簇数目不断增多,直到无法继续工作。 • 4)硬盘不能引导系统。 • 5)磁盘上的文件或程序丢失。
6)磁盘读/写文件明显变慢,访问的时间加长。6)磁盘读/写文件明显变慢,访问的时间加长。 • 7)系统引导变慢或出现问题,有时出现“写保护错”提示。 • 8)系统经常死机或出现异常的重启动现象。 • 9)原来运行的程序突然不能运行,总是出现出错提示。 • 10)打印机不能正常启动。
2.计算机病毒的检查 • (1)检查磁盘主引导扇区 • (2)检查FAT表 • (3)检查中断向量 • (4)检查可执行文件 • (5)检查内存空间 • (6)根据特征查找 返回本节
