計(jì)算機(jī)安全技術(shù)第章七

第七章計(jì)算機(jī)病毒及防范小到個(gè)人，大到全世界，凡是在使用計(jì)算機(jī)的人無一不在受計(jì)算機(jī)病毒的困擾。對于那些僥幸未受病毒騷擾的人，也不能麻痹大意。對于計(jì)算機(jī)病毒，最好還是能防患于未然！為了能更好地做好防范工作，我們必須了解它的工作原理、傳播途徑、表現(xiàn)形式，同時(shí)必須掌握它的檢測、預(yù)防和清除方法。

7-1計(jì)算機(jī)病毒基礎(chǔ)知識

7-1-1計(jì)算機(jī)病毒的定義

在《條例》第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。此定義具有法律性、權(quán)威性。

7-1-2計(jì)算機(jī)病毒的歷史

1949年，距離第一部商用計(jì)算機(jī)的出現(xiàn)還有好幾年時(shí)，計(jì)算機(jī)的先驅(qū)者馮·諾依曼在他的一篇論文《復(fù)雜自動機(jī)組織論》，提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制，即已把病毒程序的藍(lán)圖勾勒出來。十年之后，在美國電話電報(bào)公司(AT&T)的貝爾實(shí)驗(yàn)室中，三個(gè)年輕程序員道格拉斯·麥耀萊、維特·維索斯基和羅伯·莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)”，而它成了計(jì)算機(jī)病毒的祖先。

7-1-2計(jì)算機(jī)病毒的歷史（續(xù)）1977年夏天，托馬斯·捷·瑞安的科幻小說《P-1的青春》中，作者幻想了世界上第一個(gè)計(jì)算機(jī)病毒，可以從一臺計(jì)算機(jī)傳染到另一臺計(jì)算機(jī)，最終控制了7000臺計(jì)算機(jī)，釀成了一場災(zāi)難，這是計(jì)算機(jī)病毒的思想基礎(chǔ)。1983年11月3日，弗雷德·科恩博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼將它命名為計(jì)算機(jī)病毒，并在每周一次的計(jì)算機(jī)安全討論會上正式提出，8小時(shí)后專家們在VAX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行5個(gè)實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。

7-1-2計(jì)算機(jī)病毒的歷史（續(xù)）1987年10月，在美國，世界上第一例計(jì)算機(jī)病毒（Brian）發(fā)現(xiàn)，這是一種系統(tǒng)引導(dǎo)型病毒。它以強(qiáng)勁的執(zhí)著蔓延開來。世界各地的計(jì)算機(jī)用戶幾乎同時(shí)發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如大麻、IBM圣誕樹、黑色星期五等等。1988年11月3日，美國康乃爾大學(xué)23歲的研究生羅伯特·莫里斯將計(jì)算機(jī)病毒蠕蟲投放到網(wǎng)絡(luò)中，結(jié)果使美國6千臺計(jì)算機(jī)被病毒感染，造成Internet不能正常運(yùn)行。這是一次非常典型計(jì)算機(jī)病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，引起了世界范圍的轟動。

7-1-2計(jì)算機(jī)病毒的歷史（續(xù)）1991年，在“海灣戰(zhàn)爭”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)，在空襲巴格達(dá)的戰(zhàn)斗中，成功地破壞了對方的指揮系統(tǒng)，使之癱瘓，保證了戰(zhàn)斗順利進(jìn)行，直至最后勝利。1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。

7-1-3計(jì)算機(jī)病毒的結(jié)構(gòu)

計(jì)算機(jī)病毒的種類雖多，但對病毒代碼進(jìn)行分析、比較可看出，它們的主要結(jié)構(gòu)是類似的，有其共同特點(diǎn)。整個(gè)病毒代碼雖短小但也包含三部分：引導(dǎo)部分，傳染部分，表現(xiàn)部分。7-1-4計(jì)算機(jī)病毒的特征

在計(jì)算機(jī)病毒所具有的眾多特征中，傳染性、潛伏性、觸發(fā)性和破壞性是它的基本特征。其次，它還有隱蔽性、衍生性和持久性等。網(wǎng)絡(luò)時(shí)代，計(jì)算機(jī)病毒的新特點(diǎn)：①主動通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播②傳播速度極快③危害性極大④變種多⑤難于控制⑥難于根治、容易引起多次疫情⑦具有病毒、蠕蟲和后門（黑客）程序的功能

7-2計(jì)算機(jī)病毒的工作原理

7-2-1計(jì)算機(jī)病毒的工作過程計(jì)算機(jī)病毒的完整工作過程一般應(yīng)包括以下幾個(gè)環(huán)節(jié)：1．傳染源2．傳染媒介3．病毒觸發(fā)（激活）4．病毒表現(xiàn)5．傳染7-2-2計(jì)計(jì)算機(jī)病毒毒的引導(dǎo)機(jī)制制1.計(jì)算機(jī)機(jī)病毒的寄生生對象2.計(jì)算機(jī)機(jī)病毒的寄生生方式3.計(jì)算機(jī)機(jī)病毒的引導(dǎo)導(dǎo)過程計(jì)算機(jī)病毒的的引導(dǎo)過程一一般包括以下下三方面。駐留內(nèi)存(2)竊取取系統(tǒng)控制權(quán)權(quán)(3)恢復(fù)復(fù)系統(tǒng)功能7-2-3計(jì)算機(jī)病毒的的觸發(fā)機(jī)制計(jì)算機(jī)病毒在在傳染和發(fā)作作之前，往往往要判斷某些些特定條件是否否滿足，滿足足則傳染或發(fā)發(fā)作，否則不不傳染、不發(fā)作作或只傳染不不發(fā)作，這個(gè)個(gè)條件就是計(jì)計(jì)算機(jī)病毒的觸觸發(fā)條件。實(shí)實(shí)際上病毒采采用的觸發(fā)條條件花樣繁多，，目前病毒采采用的觸發(fā)條條件主要有以以下幾種。日期觸發(fā)2.時(shí)間觸觸發(fā)3.鍵盤觸觸發(fā)4.感染觸觸發(fā)5.啟動觸觸發(fā)6.訪問磁磁盤次數(shù)觸發(fā)發(fā)7.調(diào)用中中斷功能觸發(fā)發(fā)7-2-4計(jì)算機(jī)病毒破破壞行為根據(jù)有的病毒毒資料可以把把病毒的破壞壞目標(biāo)和攻擊擊部位歸納如如下：①攻擊系統(tǒng)統(tǒng)數(shù)據(jù)區(qū)②攻擊文件件③③攻攻擊內(nèi)存④干擾系統(tǒng)統(tǒng)運(yùn)行⑤運(yùn)行速度度下降⑥攻擊磁盤盤⑦攻擊CMOS7-2-5計(jì)算機(jī)病毒的的傳播計(jì)算機(jī)病毒傳傳播的一般過過程在系統(tǒng)運(yùn)行時(shí)時(shí)，計(jì)算機(jī)病病毒通過病毒毒載體即系統(tǒng)統(tǒng)的外存儲器進(jìn)入入系統(tǒng)的內(nèi)存存儲器，常駐駐內(nèi)存。該病病毒在系統(tǒng)內(nèi)存中中監(jiān)視系統(tǒng)的的運(yùn)行，當(dāng)它它發(fā)現(xiàn)有攻擊擊的目標(biāo)存在并滿滿足條件時(shí)，，便從內(nèi)存中中將自身存入入被攻擊的目標(biāo)，，從而將病毒毒進(jìn)行傳播。。而病毒利用用系統(tǒng)INT13H讀寫磁盤的中中斷又將其寫寫入系統(tǒng)的外外存儲器軟盤或硬盤盤中，再感染染其他系統(tǒng)。。7-2-5計(jì)算機(jī)病毒的的傳播（續(xù)）2.計(jì)算機(jī)機(jī)病毒的傳播播途徑①移動存儲儲設(shè)備（包括括軟盤、磁帶帶等）②網(wǎng)絡(luò)和電電子郵件③通信系統(tǒng)統(tǒng)和通道7-2-6計(jì)算機(jī)病毒與與故障、黑客客軟件的區(qū)別別1.計(jì)算機(jī)機(jī)病毒與計(jì)算算機(jī)故障的區(qū)區(qū)別計(jì)算機(jī)病毒表表現(xiàn)現(xiàn)象計(jì)算機(jī)在感染染病毒后，總總是有一定規(guī)規(guī)律地出現(xiàn)異異?，F(xiàn)象：①屏幕顯示示異常，屏幕幕顯示出不是是由正常程序序產(chǎn)生的畫面或或字符串，屏屏幕顯示混亂亂。②程序裝入入時(shí)間增長，，文件運(yùn)行速速度下降。③丟失數(shù)據(jù)據(jù)或程序，文文件字節(jié)數(shù)發(fā)發(fā)生變化。④內(nèi)存空間間、磁盤空間間減小。⑤異異常死機(jī)。。⑥系統(tǒng)引導(dǎo)導(dǎo)時(shí)間增長，，磁盤訪問時(shí)時(shí)間比平時(shí)增增長7-2-6計(jì)算機(jī)機(jī)病毒毒與故故障、、黑客客軟件件的區(qū)區(qū)別（（續(xù)））(2)與與病毒毒現(xiàn)象象類似似的硬硬件故故障硬件的的故障障范圍圍不太太廣泛泛，但但是很很容易易被確確認(rèn)。。在處處理計(jì)計(jì)算機(jī)機(jī)的異異?，F(xiàn)現(xiàn)象時(shí)時(shí)很容容易被被忽略略，只只有先先排除除硬件件故障障，才才是解解決問問題的的根本本。①電電源電電壓不不穩(wěn)定定②插插件接接觸不不良③軟軟驅(qū)故故障7-2-6計(jì)算機(jī)機(jī)病毒毒與故故障、、黑客客軟件件的區(qū)區(qū)別（（續(xù)））(3)與與病毒毒現(xiàn)象象類似似的軟軟件故故障①出出現(xiàn)““Invalid；drive；specification”(非法驅(qū)驅(qū)動器器號)②引引導(dǎo)過過程故故障7-2-6計(jì)算機(jī)機(jī)病毒毒與故故障、、黑客客軟件件的區(qū)區(qū)別（（續(xù)））２．計(jì)計(jì)算機(jī)機(jī)病毒毒與黑黑客軟軟件的的區(qū)別別計(jì)算機(jī)機(jī)病毒毒與黑黑客軟軟件都都有隱隱藏性性、潛潛伏性性、可可觸發(fā)性性、破破壞性性和持持久性性等基基本特特點(diǎn)。。它們們的不不同之處處在于于：病病毒是是寄生生在其其他的的文件件中，，可以以自我復(fù)復(fù)制，，可以以感染染其他他文件件，其其目的的是破破壞文文件或系系統(tǒng)。。而黑黑客軟軟件，，它不不能寄寄生，，不可可復(fù)制制和感染染文件件，其其目的的是盜盜取密密碼和和遠(yuǎn)程程監(jiān)控控系統(tǒng)統(tǒng)。7-3計(jì)算機(jī)機(jī)病毒毒的分分類１．按按照寄寄生方方式和和傳染染途徑徑分類類計(jì)算機(jī)機(jī)病毒毒按其其寄生生方式式大致致可分分為兩兩類：：一是引導(dǎo)導(dǎo)型病病毒，，二是是文件件型病病毒；；它們再再按其其傳染染途徑徑又可可分為為駐留留內(nèi)存存型和和不駐留內(nèi)內(nèi)存型型，駐駐留內(nèi)內(nèi)存型型按其其駐留留內(nèi)存存方式式又可細(xì)分分。7-3計(jì)算機(jī)機(jī)病毒毒的分分類（續(xù)））2．按按照傳傳播媒媒介分分類按照計(jì)計(jì)算機(jī)機(jī)病毒毒的傳傳播媒媒介來來分類類，可可分為單機(jī)機(jī)病毒毒和網(wǎng)網(wǎng)絡(luò)病病毒。。（1））單機(jī)機(jī)病毒毒（2））網(wǎng)絡(luò)絡(luò)病毒毒7-4計(jì)計(jì)算機(jī)機(jī)病毒毒的發(fā)發(fā)展趨趨勢隨著因因特網(wǎng)網(wǎng)的普普及和和廣泛泛應(yīng)用用，計(jì)計(jì)算機(jī)機(jī)病毒毒在傳傳播形式式、病病毒制制作技技術(shù)和和病毒毒的形形式方方面有有了根根本的改改變。。在此此通過過對近近年來來計(jì)算算機(jī)病病毒的的疫情情特點(diǎn)分分析，，將計(jì)計(jì)算機(jī)機(jī)病毒毒的發(fā)發(fā)展趨趨勢歸歸納如如下：：1．高高頻度度2．傳傳播速速度快快，危危害面面廣3．病病毒制制作技技術(shù)新新4.病病毒毒形式式多樣樣化5．病病毒生生成工工具7-5計(jì)算機(jī)機(jī)病毒毒的檢檢測、、防范范和清清除7-5-1計(jì)算算機(jī)病病毒的的檢測測如何能能夠及及早地地發(fā)現(xiàn)現(xiàn)新病病毒呢呢？用用戶可可做以以下簡簡單判斷斷：首首先應(yīng)應(yīng)注意意內(nèi)存存情況況；其次應(yīng)應(yīng)注意意常用用的可執(zhí)執(zhí)行文文件（（如）的字節(jié)節(jié)數(shù)。檢測病病毒方方法有有：特特征代代碼法法、校校驗(yàn)和和法、、行為監(jiān)監(jiān)測法法、軟軟件模模擬法法，這這些些方法法依據(jù)據(jù)的原原理不同同，實(shí)實(shí)現(xiàn)時(shí)時(shí)所需需開銷銷不同同，檢檢測范范圍不不同，，各有所所長。。7-5-2計(jì)算機(jī)機(jī)病毒毒的防防范防范是是對付付計(jì)算算機(jī)病病毒的的積極極而又又有效效的措施，，比等等待計(jì)計(jì)算機(jī)機(jī)病毒毒出現(xiàn)現(xiàn)之后后再去去掃描和清清除能能更有有效地地保護(hù)護(hù)計(jì)算算機(jī)系系統(tǒng)。。要做好計(jì)計(jì)算機(jī)機(jī)病毒毒的防防范工工作，，首先先是防防范體系和和制度度的建建立。。其次次，利利用反反病毒毒軟件及時(shí)時(shí)發(fā)現(xiàn)現(xiàn)計(jì)算算機(jī)病病毒侵侵入，，對它它進(jìn)行行監(jiān)視、跟跟蹤等等操作作，并并采取取有效效的手手段阻阻止它的傳傳播和和破壞壞。7-5-2計(jì)算機(jī)機(jī)病毒毒的防防范（（續(xù)））反病毒毒軟件件常用用以下下幾種種反病病毒技技術(shù)來來對病病毒進(jìn)進(jìn)行預(yù)預(yù)防和和徹底底殺除除：①實(shí)實(shí)時(shí)監(jiān)監(jiān)視技技術(shù)②全全平臺臺反病病毒技技術(shù)7-5-.3計(jì)計(jì)算算機(jī)病病毒的的清除除及常常用反反病毒毒軟件件計(jì)算機(jī)機(jī)病毒毒的清清除：：文件型型病毒毒清除除(2)引引導(dǎo)型型病毒毒的清清除(3)內(nèi)內(nèi)存解解毒常用的的反病病毒軟軟件：：KV3000瑞星殺殺毒軟軟件2003版版NortonAntivirus20037-6計(jì)算算機(jī)染染毒以以后的的危害害修復(fù)復(fù)措施施對病毒毒造成成的危危害進(jìn)進(jìn)行修修復(fù)，，不論論是手手工修復(fù)還還是用用專用用工具具修復(fù)復(fù)，都都是危危險(xiǎn)操操作，，有可能能不僅僅修不不好，，反而而徹底底破壞壞。因因此，，為了修修復(fù)病病毒危危害，，用戶戶應(yīng)采采取以以下措措施：：１．重重要數(shù)數(shù)據(jù)必必須備備份２．立立刻切切斷電電源關(guān)關(guān)機(jī)，，提高高修復(fù)復(fù)成功功率３３．備備份染染毒信信息，，以防防不測測４．修修復(fù)病病毒危危害7-7計(jì)算算機(jī)病病毒實(shí)實(shí)例目前病病毒的的種類類很多多，本本節(jié)主主要舉舉幾個(gè)個(gè)著名的病病毒來來說明明如何何檢測測、防防范和和消除除網(wǎng)絡(luò)蠕蟲蟲病毒毒和宏宏病毒毒等。。１．““2003蠕蟲蟲王（（Worm.NetKiller2003））”病毒2．““硬盤盤殺手手”病病毒３．““好大大（I-Worm/Sobig））”病毒4．．“美美麗殺殺手（（W97M/Melissa））”病毒9、靜夜四四無鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中黃葉葉樹，燈下下白頭人。。。20:49:0220:49:0220:4912/29/20228:49:02PM11、以我我獨(dú)沈沈久，，愧君君相見見頻。。。12月月-2220:49:0220:49Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。20:49:0220:49:0220:49Thursday,December29,202213、乍見翻翻疑夢，，相悲各各問年。。。12月-2212月-2220:49:0220:49:02December29,202214、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。29十二二月20228:49:03下下午20:49:0312月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:49下下午午12月月-2220:49December29,202216、行行動動出出成成果果，，工工作作出出財(cái)財(cái)富富。。。。2022/12/2920:49:0320:49:0329December202217、做前，，能夠環(huán)環(huán)視四周周；做時(shí)時(shí)，你只只能或者者最好沿沿著以腳腳為起點(diǎn)點(diǎn)的射線線向前。。。8:49:03下午午8:49下午午20:49:0312月-229、沒有有失敗敗，只只有暫暫時(shí)停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。20:49:0320:49:0320:4912/29/20228:49:03PM11、成功就是是日復(fù)一日日那一點(diǎn)點(diǎn)點(diǎn)小小努力力的積累。。。12月-2220:49:0320:49Dec-2229-Dec-2212、世世間間成成事事，，不不求求其其絕絕對對圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。20:49:0320:49:0320:49Thursday,December29,202213、不知香積積寺，數(shù)里里入云峰。。。12月-2212月-2220:49:0320:49:03December29,202214、意志堅(jiān)強(qiáng)的的人能把世界界放在手中像像泥塊一樣任任意揉捏。29十二月月20228:49:03下午20:49:0312月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月228:49下午午12月-2220:49December29,202216、少年十五二二十時(shí)，步行行奪得胡馬騎騎。。2022/12/2920:49:0320:49:0329December202217、空山新雨雨后，天氣氣晚來秋。。。8:49:03下下午8:49下下午20:49:0312月-229、楊柳柳散和和風(fēng)，，青山山澹吾吾慮。。。12月月-2212月月-22Thursday,December29,202210、閱讀一切切好書