新型計算機病毒的發(fā)展趨勢及特點和技術

優(yōu)秀精品課件文檔資料.任課教師：喬奎賢E-mail：cren616@126.com計算機病毒原理與防范第4章新型計算機病毒的發(fā)展

趨勢及特點和技術4.1新型計算機病毒的發(fā)展趨勢4.2新型計算機病毒發(fā)展的主要特點4.3新型計算機病毒的主要技術4.1新型計算機病毒的發(fā)展趨勢網(wǎng)絡化

利用基于Internet的編程語言與編程技術實現(xiàn)，易于修改以產(chǎn)生新的變種，從而逃避反計算機病毒軟件的搜索。如利用Java、ActiveX和VBScript等技術，使病毒潛伏在HTML頁面中。

例如：“愛蟲”病毒、“Kakworm”病毒人性化

充分利用了心理學知識，針對人類的心理制造計算機病毒，其主題、文件名更具人性化和極具誘惑性。

例如：“My-babypic”病毒多樣化

新計算機病毒可以是可執(zhí)行文件、腳本語言和HTML網(wǎng)頁等多種形式，并向電子郵件、網(wǎng)上賀卡、卡通圖片、ICQ和OICQ等發(fā)展。4.1新型計算機病毒的發(fā)展趨勢隱蔽化

新一代計算機病毒更善于隱蔽自己、偽裝自己，其主題會在傳播中改變，或具有誘惑性的主題、附件名。

如：主頁計算機病毒、“維羅納”病毒、“Matrix”病毒平民化

由于腳本語言的廣泛使用，專用計算機病毒生成工具的流行，計算機病毒的制造不再是計算機專家表現(xiàn)自己的高超技術。智能化

可對外設、硬件設施物理性破壞，也可對人體實施攻擊。4.2新型計算機病毒發(fā)展的主要特點4.2.1新型計算機病毒的主要特點4.2.2基于Windows的計算機病毒4.2.3新型計算機病毒的傳播途徑4.2.4新型計算機病毒的危害4.2.5電子郵件成為病毒傳播的主要媒介4.2.6新型計算機病毒的最主要載體4.2.1新型計算機病毒的主要特點利用系統(tǒng)漏洞將成為計算機病毒有力的傳播方式局域網(wǎng)內快速傳播以多種方式快速傳播欺騙性增強大量消耗系統(tǒng)與網(wǎng)絡資源更廣泛的混合性特征計算機病毒與黑客技術的融合計算機病毒出現(xiàn)頻度高，計算機病毒生成工具多，計算機病毒的變種多難于控制和徹底根治，容易引起多次疫情

4.2.2基于Windows的計算機病毒1．什么是Windows計算機病毒？Windows計算機病毒：

指能感染W(wǎng)indows可執(zhí)行程序并可在Windows系統(tǒng)下運行的計算機病毒。Windows計算機病毒分類：感染NE格式(Windows3.X)可執(zhí)行程序的計算機病毒感染PE格式(Windows95以上)可執(zhí)行程序的計算機病毒4.2.2基于Windows的計算機病毒2．為什么Windows計算機病毒這么多？

一方面，隨著人們對Windows操作系統(tǒng)認識的深入，系統(tǒng)功能的強大而使系統(tǒng)龐大，不可避免地出現(xiàn)錯誤和漏洞；另一方面，Windows系統(tǒng)源碼保密。危害系統(tǒng)主機的非授權主機進程的表現(xiàn)形式：病毒程序蠕蟲木馬后門漏洞4.2.2基于Windows的計算機病毒危害系統(tǒng)主機的非授權主機進程的表現(xiàn)形式：病毒程序病毒程序一般比較小巧，表現(xiàn)為強傳染性，會傳染它所能訪問的文件系統(tǒng)中的文件。蠕蟲蠕蟲是利用網(wǎng)絡進行傳播的程序。利用主機提供的服務缺陷攻擊目標機。目標機感染后，一般會隨機選擇一段IP地址進行掃描，尋找下一個有缺陷的目標進行攻擊。如：“Lion”——針對DNS解析的服務程序BIND； “沖擊波”、“震蕩波”——針對Windows系統(tǒng)。4.2.2基于Windows的計算機病毒危害系統(tǒng)主機的非授權主機進程的表現(xiàn)形式：木馬

木馬是網(wǎng)絡攻擊成功后有意放置的程序，用于與外界的攻擊程序接口，以非法訪問被攻擊主機為目的。絕大多數(shù)針對Windows系統(tǒng)。后門

后門是寫系統(tǒng)或網(wǎng)絡服務程序的公司或個人放置在系統(tǒng)上，以進行非法訪問為目的的代碼。只存在于不開放源碼的操作系統(tǒng)中。漏洞

漏洞是指由于程序編寫過程中的失誤，導致系統(tǒng)被非法訪問4.2.2基于Windows的計算機病毒3．Windows系統(tǒng)與計算機病毒的斗爭Windows系統(tǒng)只有通過不斷升級、完善，才可以減少受計算機病毒騷擾的機會。4.2.3新型計算機病毒的傳播途徑1．傳播途徑軟盤光盤硬盤BBS網(wǎng)絡4.2.3新型計算機病毒的傳播途徑2．計算機病毒傳播呈現(xiàn)多樣性(1)隱藏在即時通信軟件中的計算機病毒即時通信IM軟件：ICQ、QQ、MSNMessenger例如：“求職信”病毒：第一個通過ICQ進行傳播的惡性蠕蟲“愛情森林”系列病毒、“QQ尾巴”病毒：通過騰訊QQ進行傳播“MSN射手”病毒、“W32.HLLW.Henpeck”病毒：通過騰訊MSNMessenger進行傳播通過即時通信軟件傳播病毒的原因：用戶數(shù)量龐大，有利于病毒的迅速傳播；軟件內建有聯(lián)系人清單，可方便地獲取傳播目標。4.2.3新型計算機病毒的傳播途徑2．計算機病毒傳播呈現(xiàn)多樣性隱藏在即時通信軟件中的計算機病毒在IRC中的計算機病毒點對點計算機病毒4.2.4新型計算機病毒的危害1．計算機病毒肆虐：以“震蕩波”病毒為例2．計算機病毒與IT共存

據(jù)海外有關數(shù)據(jù)顯示：全球每月產(chǎn)生新計算機病毒300種，一年就達4000~5000種。全球每年造成巨大的經(jīng)濟損失。

典型案例：“尼姆達”、“美麗莎”、“CIH”、“Sircam”病毒

網(wǎng)絡攻擊手段：密碼攻擊、分組竊聽和IP地址欺騙，以及拒絕服務（Ddos）、未授權訪問和特洛伊木馬（Trojan）專家針對計算機病毒推薦的防范措施：1．及時關注微軟公司官方網(wǎng)站公布的系統(tǒng)漏洞，下載正式補?。?．購買專業(yè)殺毒軟件廠商的軟件及其后臺服務，及時升級；3．定期備份計算機上的重要文件。4.2.5電子郵件成為計算機病毒傳播的主要媒介“BubbleBoy”病毒：無需用戶打開附件就能感染用戶的計算機系統(tǒng)。通過E-mail進行傳播的計算機病毒的主要特點：（1）傳播速度快、傳播范圍廣；（2）破壞力大、破壞性強。典型案例：2000年5月4日“愛蟲”計算機病毒的爆發(fā)

4.2.6新型計算機病毒的最主要載體目前，計算機網(wǎng)絡成為計算機病毒傳播的最主要載體。1．網(wǎng)絡蠕蟲成為最主要和破壞力量最大的計算機病毒類型“蠕蟲”病毒主要利用系統(tǒng)漏洞進行傳播，在控制系統(tǒng)的同時，為系統(tǒng)打開后門，成為一種黑客攻擊工具?！叭湎x”病毒編寫簡單，往往直接利用VBS來編寫。如“歡樂時光”病毒。2．惡意網(wǎng)頁、木馬和計算機病毒4.2.6新型計算機病毒的最主要載體蠕蟲（Worm）：雖然蠕蟲可以在計算機系統(tǒng)中繁殖，有的蠕蟲甚至還可以在內存、磁盤、網(wǎng)絡中移動、爬行，但它們不依附于其他程序，即不需要宿主對象。嚴格地說，蠕蟲與計算機病毒的一個最大區(qū)別在于：蠕蟲程序本身并不具備傳染性。在其他方面，蠕蟲與計算機病毒又極為類似，它是計算機病毒的“近親”，而被視為是另一種類型的計算機病毒4.2.6新型計算機病毒的最主要載體目前，計算機網(wǎng)絡成為計算機病毒傳播的最主要載體。1．網(wǎng)絡蠕蟲成為最主要和破壞力量最大的計算機病毒類型2．惡意網(wǎng)頁、木馬和計算機病毒惡意網(wǎng)頁的特點：在用戶不知道情況下，修改用戶瀏覽器選項；修改用戶注冊表選項，鎖定注冊表，修改系統(tǒng)啟動選項，以及在用戶桌面生成網(wǎng)頁快捷訪問方式。格式化用戶硬盤（很少出現(xiàn)）。注意：在當前計算機病毒定義下，不能稱惡意網(wǎng)頁為計算機病毒，因為它不能自我復制；也不能稱為木馬，因為它沒有遠程控制。木馬的最主要特點：遠程控制4.2.6新型計算機病毒的最主要載體特洛伊木馬（TrojanHorse）：——借古羅馬戰(zhàn)爭中的“木馬”戰(zhàn)術而得名原理：木馬實際上是一種在遠程計算機之間建立起連接，使遠程計算機能通過網(wǎng)絡控制本地計算機上的程序。傳播：木馬以合法而正常的程序（如計算機游戲、壓縮工具乃至防治計算機病毒軟件等）面目出現(xiàn)，來達到欺騙并在用戶計算機上運行、產(chǎn)生用戶所料不及的破壞后果之目的。組成：一般情況下，木馬程序由服務器端程序和客戶端程序組成。其中服務器端程序安裝在被控制對象的計算機上，客戶端程序是控制者所使用的。4.2.6新型計算機病毒的最主要載體特洛伊木馬（TrojanHorse）：危害：通過遠程控制對目標計算機進行危險的文件管理，包括可從受害者的計算機查看、刪除、移動、上傳、下載、執(zhí)行任何文件；進行警告信息發(fā)送、鍵盤記錄、記錄機內保密信息、關閉窗口、鼠標控制、計算機基本設置等非法操作木馬和遠程控制軟件的區(qū)別：木馬具有隱蔽性。例如國內的血蜘蛛、國外的PCAnyWhere等遠程控制軟件，其服務器端在目標計算機上運行時，目標計算機上會出現(xiàn)很醒目的標志；而木馬類軟件的服務器在運行時則應用多種手段來隱藏自己。類型：遠程訪問木馬 密碼發(fā)送型木馬 FTP型木馬鍵盤記錄型木馬 毀壞型木馬 4.3新型計算機病毒發(fā)展的主要技術4.3.1ActiveX與Java4.3.2計算機病毒的駐留內存技術4.3.3修改中斷向量表技術4.3.4計算機病毒隱藏技術4.3.5對抗計算機病毒防范系統(tǒng)技術4.3.6技術的遺傳與結合4.3.1ActiveX與Java傳統(tǒng)計算機病毒與新型計算機病毒：1．宿主程序：傳統(tǒng)計算機病毒：一定有一個“宿主”程序，如.EXE文件、.COM文件以及.DOC文件宏病毒：感染W(wǎng)ord，如：“TaiwanNo.1”病毒新型計算機病毒：完全不需要宿主程序2．寄生方式傳統(tǒng)計算機病毒：寄生在可執(zhí)行程序代碼中，伺機對系統(tǒng)進行破壞新型計算機病毒：利用網(wǎng)頁編寫所用的Java或ActiveX語言編寫的可執(zhí)行程序，當瀏覽網(wǎng)頁時就會下載并在系統(tǒng)中執(zhí)行。4.3.1ActiveX與JavaJava或ActiveX語言：用來編寫具有動感十足的網(wǎng)頁Java或ActiveX語言的執(zhí)行方式：

將程序代碼寫在網(wǎng)頁上，當訪問網(wǎng)站時，用戶瀏覽器將這些程序代碼下載，然后用用戶的系統(tǒng)資源去執(zhí)行。例如：ActiveX控件病毒——“Exploder”：能關閉Windows95系統(tǒng)，可見其控制能力之強。利用Java編寫的包含惡意代碼的程序：Applicationmacros、Navigatorplug-ins、Macintosh等應用程序

現(xiàn)在有些計算機病毒是在用戶未知情況下所執(zhí)行的一些操作而感染傳播的。4.3.2計算機病毒的駐留內存技術1．引導型病毒的駐留內存技術引導型病毒是在計算機啟動時從磁盤的引導扇區(qū)被ROMBIOS中的引導程序讀入內存的。在將控制權轉交給正常引導程序去做進一步的系統(tǒng)啟動工作之前，將自身搬移到內存的高端，即RAM的最高端，同時修改可用內存空間。例如：“小球”、“大麻”、“米開朗琪羅”等病毒引導型病毒總是以駐留內存的形式進行感染的。利用DOS的Chkdsk或Pctools程序可發(fā)現(xiàn)內存總數(shù)的減少；利用Debug不僅可發(fā)現(xiàn)內存的減少，而且可發(fā)現(xiàn)病毒在內存的具體位置。4.3.2計算機病毒的駐留內存技術2．文件型病毒的不駐留內存技術感染方法是只要被運行一次，就在磁盤中尋找一個未被該病毒感染的文件進行感染。當程序運行結束，病毒連同其宿主程序一起離開內存，不留任何痕跡。其傳染和擴散速度相對于內存駐留型病毒稍差些。如：“維也納DOS648”、“Taiwan”、“Syslock”、“W13”等病毒4.3.2計算機病毒的駐留內存技術3．文件型病毒的駐留內存技術

文件型病毒可以駐留在內存高端，也可駐留在內存低端

如：“1575”、“DIR2”、“4096”、“新世紀”、“中國炸彈”、“旅行者1202”等病毒采用DOS的中斷調用27H和系統(tǒng)功能調用31H。

文件型病毒可駐留在它被系統(tǒng)調入內存時所在的位置（往往是內存低端）。可被DOS的MEM和Pctools的MI查看到。

如：“1808”病毒很多病毒采用了直接修改MCB的方法。

可以駐留在內存的低端，也可搬移到內存高端，可以躲避監(jiān)視。

如：“1575”、“4096”等病毒4.3.2計算機病毒的駐留內存技術Windows環(huán)境下病毒的內存駐留（補充）方法一：病毒作為一個應用程序由于Windows操作系統(tǒng)本身就是多任務的，所以最簡單的內存駐留方法是將病毒作為一個應用程序，病毒擁有自己的窗口(可能是隱藏的)、擁有自己的消息處理函數(shù)方法二：病毒獨立占用系統(tǒng)內存塊使用DPMI申請一塊系統(tǒng)內存，將病毒代碼放置其中方法三：病毒作為一個設備驅動程序將病毒作為一個VXD（Win3.x或者Win9x環(huán)境下的設備驅動程序）或者在WinNT／Win2000下的設備驅動程序WDM加載到內存中運行4.3.3修改中斷向量表技術引導型病毒和駐留內存的文件型病毒大都要修改中斷向量表，以達到將計算機病毒代碼掛接入系統(tǒng)的目的。對于引導型病毒，磁盤輸入輸出中斷13H是其傳染磁盤的唯一通道。通過將病毒的傳染模塊鏈入13H磁盤讀寫中斷服務程序，就可在用戶利用正常系統(tǒng)服務時感染軟硬盤。4.3.4計算機病毒隱藏技術采用“隱藏”技術的計算機病毒表現(xiàn)形式：計算機病毒進入內存后，若計算機用戶不用專用軟件或專門手段去檢查，則幾乎感覺不到因計算機病毒駐留內存而引起的內存可用容量的減少。計算機病毒感染了正常文件后，該文件的日期和時間不發(fā)生變化。因此用DIR命令查看目錄時，看不到某個文件因被計算機病毒改寫過造成的日期、時間有變化。計算機病毒在內存中時，用DIR命令看不見因計算機病毒的感染而引起的文件長度的增加。4.3.4計算機病毒隱藏技術采用“隱藏”技術的計算機病毒表現(xiàn)形式：計算機病毒在內存中時，若查看被該計算機病毒感染的文件，則看不到計算機病毒的程序代碼，只看到原正常文件的程序代碼。計算機病毒在內存中時，若查看被計算機病毒感染的引導扇區(qū)，則只會看到正常的引導扇區(qū)，而看不到實際上處于引導扇區(qū)位置的計算機病毒程序。計算機病毒在內存中時，計算機病毒防范程序和其他工具程序檢查不出中斷向量被計算機病毒接管，但實際上計算機病毒代碼已鏈接到系統(tǒng)的中斷服務程序中4.3.4計算機病毒隱藏技術1．靜態(tài)隱藏技術靜態(tài)隱藏技術：指計算機病毒代碼依附在宿主程序上時所擁有的固有的隱蔽性一般由父病毒在感染目標程序時，依照目標程序的特性，產(chǎn)生特定的子病毒，使其能隱蔽在宿主程序中而不被發(fā)現(xiàn)秘密行動法秘密行動法：通過清除感染程序所留下的痕跡，恢復宿主文件的特征，向查詢者返回虛假信息，而達到隱藏病毒的目的碎片技術：利用Windows環(huán)境PE可執(zhí)行文件分段存儲，而各段有一些未使用的剩余空間這一特征，將自身分割成小塊，隱藏在內存空隙中，從而消除病毒改變文件長度的缺陷4.3.4計算機病毒隱藏技術秘密行動法：引導型病毒的隱藏方法一感染時，修改中斷服務程序使用時，截獲INT13調用讀請求讀請求返回數(shù)據(jù)返回數(shù)據(jù)返回數(shù)據(jù)DOS應用程序原來的INT13H服務程序DOS下的殺毒軟件病毒感染后的INT13H服務程序普通扇區(qū)普通扇區(qū)被病毒感染的扇區(qū)被病毒感染的扇區(qū)的原始扇區(qū)讀扇區(qū)調用4.3.4計算機病毒隱藏技術秘密行動法：引導型病毒的隱藏方法二針對殺毒軟件對磁盤直接讀寫的特點，截獲INT21H，然后恢復感染區(qū)，最后，再進行感染。感染后的INT21H功能40H（加載一個程序執(zhí)行）執(zhí)行反病毒程序恢復被病毒感染的扇區(qū)為原來的內容原來的INT21H功能重新感染扇區(qū)返回DOS命令解釋程序（COMMAND..COM）DOS命令解釋程序（COMMAND..COM）4.3.4計算機病毒隱藏技術秘密行動法：文件型病毒的隱藏方法攔截（API,INT調用）訪問——恢復——再感染DOSINT21H調用隱藏病毒扇區(qū)列目錄時顯示感染前的文件大小讀寫文件看到正常的文件內容執(zhí)行或者搜索時隱藏病毒在支持長文件名的系統(tǒng)隱藏自身INT13H（直接磁盤訪問）列目錄功能讀寫功能(Read、Write)執(zhí)行功能（EXEC）其他功能（rename等）視窗操作系統(tǒng)下，支持長文件名的擴展DOS調用4.3.4計算機病毒隱藏技術自加密技術計算機病毒可以對靜態(tài)計算機病毒加密，同時也可以對進駐內存的動態(tài)計算機病毒進行加密MutationEngine多態(tài)技術采用特殊的加密技術，每感染一個對象，放入宿主程序的代碼都不相同，幾乎沒有任何特征代碼串，從而能有效對抗采用特征串搜索法類殺毒軟件的查殺插入性病毒技術插入性病毒在不了解宿主程序的功能和結構的前提下，能將宿主程序在適當處截斷，在宿主程序的中部插入病毒程序，并做到使病毒能獲得運行權，達到與宿主程序融為一體4.3.4計算機病毒隱藏技術2．動態(tài)隱藏技術動態(tài)隱藏技術：指計算機病毒代碼在駐留、運行和發(fā)作期間所擁有的隱蔽性計算機病毒利用操作系統(tǒng)的功能和漏洞，后臺執(zhí)行監(jiān)視和感染的功能，防止被一般的內存或進程管理程序發(fā)現(xiàn)反Debug跟蹤技術Debug主要利用系統(tǒng)中斷INT1和INT3進行動態(tài)跟蹤。計算機病毒抑制跟蹤的方法主要是修改INT1和INT3中斷服務程序入口地址的內容來破壞跟蹤此外，常見的其他反跟蹤技術有：封鎖鍵盤輸入、封鎖屏幕輸出等4.3.4計算機病毒隱藏技術檢測系統(tǒng)調試寄存器，防止計算機病毒被動態(tài)跟蹤調試現(xiàn)在的操作系統(tǒng)中出現(xiàn)