網(wǎng)絡(luò)管理與信息安全

網(wǎng)絡(luò)管理與信息安全第1頁(yè)，共22頁(yè)，2023年，2月20日，星期六計(jì)算機(jī)病毒的歷史

1983年11月3日，弗雷德·科恩（FredCohen）博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼（LenAdleman）將它命名為計(jì)算機(jī)病毒（computervirus），并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出，8小時(shí)后專家們?cè)赩AX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行，第一個(gè)病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行5個(gè)實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫了Pakistan病毒（即Brain病毒），該病毒在一年內(nèi)流傳到了世界各地。1988年11月2日，美國(guó)6000多臺(tái)計(jì)算機(jī)被病毒感染，造成Internet不能正常運(yùn)行據(jù)瑞星公司的不完全統(tǒng)計(jì)，2004年國(guó)內(nèi)共發(fā)現(xiàn)新病毒26025個(gè)，比2003年增加了20%。其中，木馬13132個(gè)，后門程序6351個(gè)，蠕蟲(chóng)3154個(gè)，腳本病毒481個(gè)，宏病毒258個(gè)，其余類病毒2649個(gè)。由此可見(jiàn)，病毒的泛濫和危害已經(jīng)到了十分危險(xiǎn)的程度。第2頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述病毒(Virus)定義計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。一般地，我們所講的病毒包括特洛伊木馬、病毒、細(xì)菌和蠕蟲(chóng)等等。特洛伊木馬和病毒，它們不能脫離某些特定的的應(yīng)用程序、應(yīng)用工具或系統(tǒng)而獨(dú)立存在；而細(xì)菌和蠕蟲(chóng)是完整的程序，操作系統(tǒng)可以調(diào)度和運(yùn)行它們。而且除特洛伊木馬外，其他三種形式的病毒都有能夠復(fù)制。第3頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述

2.

病毒傳染方式病毒的傳染途徑有電磁波、有線電路、軍用或民用設(shè)備或直接放毒等。具體傳播介質(zhì)有計(jì)算機(jī)網(wǎng)絡(luò)、軟硬磁盤和光盤等。根據(jù)傳輸過(guò)程中病毒是否被激活，病毒傳染分為靜態(tài)傳染和動(dòng)態(tài)傳染。靜態(tài)傳染是指由于用戶使用了COPY、DISKCOPY等拷貝命令或類似操作，一個(gè)病毒連同其載體文件一起從一處被復(fù)制到另一處。而被復(fù)制后的病毒不會(huì)引起其他文件感染。

動(dòng)態(tài)傳染是指一個(gè)靜態(tài)病毒被加載進(jìn)入內(nèi)存變?yōu)閯?dòng)態(tài)病毒后，當(dāng)其傳染模塊被激活所發(fā)生的傳染操作，這是一種主動(dòng)傳染方式。與動(dòng)態(tài)傳染相伴隨的常常是病毒的發(fā)作。第4頁(yè)，共22頁(yè)，2023年，2月20日，星期六病毒的生命周期隱藏階段：處于這個(gè)階段的病毒不進(jìn)行操作，而是等待事件觸發(fā)，觸發(fā)事件包括時(shí)間、其它程序或文件的出現(xiàn)、磁盤容量超過(guò)某個(gè)限度等。但這個(gè)周期不是必要的，有的病毒沒(méi)有隱藏期，而是無(wú)條件地傳播和感染。傳播階段：在這一階段的病毒會(huì)把自身的一個(gè)副本傳播到未感染這種病毒的程序或磁盤的某個(gè)扇區(qū)中去。每個(gè)被感染的程序?qū)粋€(gè)該病毒的副本，并且這些副本也可以向其它未感染的程序繼續(xù)傳播病毒的副本。觸發(fā)階段：這個(gè)階段病毒將被激活去執(zhí)行病毒設(shè)計(jì)者預(yù)先設(shè)計(jì)好的功能。病毒進(jìn)入這一階段也需要一些系統(tǒng)事件的觸發(fā)，比如：病毒本身進(jìn)行復(fù)制的副本數(shù)達(dá)到了某個(gè)數(shù)量。執(zhí)行階段：這一階段病毒將執(zhí)行預(yù)先設(shè)計(jì)的功能直至執(zhí)行完畢。這些功能可能是無(wú)害的，比如：向屏幕發(fā)送一條消息；也可能是有害的，比如：刪除程序或文件、強(qiáng)行關(guān)機(jī)等。第5頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述3.病毒的分類按病毒感染的途徑，病毒分為三類：

引導(dǎo)型病毒。它是是藏匿在磁盤片或硬盤的第一個(gè)扇區(qū)。每次啟動(dòng)計(jì)算機(jī)時(shí)，在操作系統(tǒng)還沒(méi)被加載之前就被加載到內(nèi)存中，這個(gè)特性使得病毒完全控制DOS的各類中斷，并且擁有更大的能力進(jìn)行傳染與破壞。文件型病毒。文件型病毒通常寄生在可執(zhí)行文件中當(dāng)這些文件被執(zhí)行時(shí)，病毒的程序就跟著被執(zhí)行。根據(jù)病毒依傳染方式的不同，它分成非常駐型和常駐型。復(fù)合型病毒。這類病毒兼具引導(dǎo)型病毒以及文件型病毒的特性。它們可以傳染*.COM和*.EXE文件，也可以傳染磁盤的引導(dǎo)區(qū)。第6頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述4.

病毒結(jié)構(gòu)

計(jì)算機(jī)病毒是一種特殊的程序，它寄生在正常的、合法的程序中，并以各種方式潛伏下來(lái)，伺機(jī)進(jìn)行感染和破壞。在這種情況下，稱原先的那個(gè)正常的、合法的程序?yàn)椴《镜乃拗骰蛩拗鞒绦颉２《境绦蛞话阌梢韵虏糠萁M成：初始化部分。它指隨著病毒宿主程序的執(zhí)行而進(jìn)入內(nèi)存并使病毒相對(duì)獨(dú)立于宿主程序的部分。傳染部分。它指能使病毒代碼連接于宿主程序之上的部分，由傳染的判斷條件和完成病毒與宿主程序連接的病毒傳染主體部分組成。破壞部分或表現(xiàn)部分。主要指破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)設(shè)備上表現(xiàn)特定的現(xiàn)象。它是病毒程序的主體，在一定程度上反映了病毒設(shè)計(jì)者的意圖。第7頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述5.病毒感染原理引導(dǎo)型病毒感染原理

引導(dǎo)型病毒通過(guò)執(zhí)行啟動(dòng)計(jì)算機(jī)的動(dòng)作作為感染的途徑。一般正常軟盤啟動(dòng)動(dòng)作為：開(kāi)機(jī)、執(zhí)行BIOS、讀入BOOT程序執(zhí)行和加載DOS。假定某張啟動(dòng)軟盤已經(jīng)了感染病毒，那么該軟盤上的BOOT扇區(qū)將存放著病毒程序，而不是BOOT程序。所以，“讀入BOOT程序并執(zhí)行”將變成“讀入病毒程序并執(zhí)行”，等到病毒入侵內(nèi)存后，等到病毒入侵內(nèi)存后，再由病毒程序讀入原始BOOT程序，既然病毒DOS先一步進(jìn)入內(nèi)存中，自然在DOS下的所有讀寫動(dòng)作將受到病毒控制。所以，當(dāng)使用者只要對(duì)另一張干凈的軟盤進(jìn)行讀寫，駐在內(nèi)存中的病毒可以感染這張軟盤。

第8頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述

若啟動(dòng)盤是硬盤。因硬盤多了一個(gè)分區(qū)表，分區(qū)表位于硬盤的第0面第0道第1扇區(qū)。當(dāng)在“讀入BOOT程序并執(zhí)行”之前是“讀入分區(qū)表并執(zhí)行”，比軟盤啟動(dòng)多了一道手續(xù)。所以和感染軟盤不同的地方是病毒不但可以感染硬盤的BOOT扇區(qū)還可以感染硬盤的分區(qū)表。

感染BOOT扇區(qū)是在“讀入分區(qū)表并執(zhí)行”之后，“讀入BOOT程序并執(zhí)行”之前“讀入病毒程序并執(zhí)行”。感染分區(qū)表是在“讀入病毒程序并執(zhí)行”之后，“讀入分區(qū)表并執(zhí)行”之前“讀入BOOT程序并執(zhí)行”。不管是軟盤還是硬盤，引導(dǎo)型病毒一定比DOS早一步進(jìn)入內(nèi)存中，并控制讀寫動(dòng)作，伺機(jī)感染其他未感染病毒的磁盤。第9頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述文件型病毒感染原理

對(duì)非常駐型病毒而言，只要一執(zhí)行中毒的程序文件，病毒便立即尋找磁盤中尚未感染病毒的文件，若找到了便加以感染。一般而言，對(duì)于.COM型文件，病毒替換它的第一條指令；對(duì)于.ExE文件，病毒改變?nèi)肟谥羔槨６ｑv型病毒必須常駐內(nèi)存，才能達(dá)到感染其他文件的目的。在每一個(gè)程序文件在執(zhí)行時(shí)，都會(huì)調(diào)用INT21H中斷命令，所以病毒必須攔截INT21H的調(diào)用，使其先通過(guò)病毒的程序，再去執(zhí)行真正的INT21H服務(wù)程序。這樣，每個(gè)要被執(zhí)行的程序文件都要先通過(guò)病毒“檢查”是否已中毒，若未中毒則病毒感染該文件。復(fù)合型病毒感染原理就啟動(dòng)動(dòng)作來(lái)說(shuō)，假設(shè)以感染復(fù)合型病毒的磁盤啟動(dòng)，那么病毒便先潛入內(nèi)存中，伺機(jī)感染其他未中毒的磁盤，而當(dāng)DOS載入內(nèi)存后，病毒再攔截INT21H已達(dá)到感染文件的目的。第10頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.1病毒概述6.病毒的網(wǎng)絡(luò)威脅

工作站受到的威脅。病毒對(duì)網(wǎng)絡(luò)工作站的攻擊途徑主要包括：利用軟盤讀寫進(jìn)行傳播、通過(guò)網(wǎng)絡(luò)共享進(jìn)行攻擊、通過(guò)電子郵件系統(tǒng)進(jìn)行攻擊、通過(guò)FTP下載進(jìn)行攻擊和通過(guò)WWW瀏覽進(jìn)行攻擊。

服務(wù)器受到的威脅。網(wǎng)絡(luò)操作系統(tǒng)一般都采用WindowsNT/2000Server和少量Unix/Linux，而Unix/Linux本身的計(jì)算機(jī)病毒的流行報(bào)告幾乎很少。但到目前為止感染W(wǎng)indowsNT系統(tǒng)的病毒已有一定數(shù)量。Web站點(diǎn)受到的威脅。一般Web站點(diǎn)，用戶訪問(wèn)量很大，目前能通過(guò)WEB站點(diǎn)傳播的病毒只有腳本蠕蟲(chóng)、一些惡意Java代碼和ActiveX。

第11頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.2宏病毒

1.宏病毒的傳染原理

每個(gè)Word文本對(duì)應(yīng)一個(gè)模板，而且對(duì)文本進(jìn)行操作時(shí)，如打開(kāi)、關(guān)閉文件等，都執(zhí)行了相應(yīng)模板中的宏程序，由此可知：當(dāng)打開(kāi)一個(gè)帶病毒模板后，該模板可以通過(guò)執(zhí)行其中的宏程序，如AutoOpen、AutoExit等將自身所攜帶病毒程序拷貝到Word系統(tǒng)中的通用模板上，如Normal.dot中。若使用帶病毒模板對(duì)文件進(jìn)行操作時(shí)，如存盤FileSave等，可以將該文本文件重新存盤為帶毒模板文件，即由原來(lái)不帶宏程序的純文本文件轉(zhuǎn)換為帶病毒的模板文件。上述兩步循環(huán)就構(gòu)成了病毒的基本傳染原理。第12頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.2宏病毒2.

宏病毒的危害

Word宏病毒幾乎是唯一可跨越不同硬件平臺(tái)而生存、傳染和流行的一類病毒。與感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隱蔽性強(qiáng)，傳播迅速，危害嚴(yán)重，難以防治等特點(diǎn)。具體表現(xiàn)為:對(duì)Word的運(yùn)行破壞。不能正常打印、封閉或改變文件存儲(chǔ)路徑、將文件改名等。對(duì)系統(tǒng)的破壞。WordBasic語(yǔ)言能夠調(diào)用系統(tǒng)命令，這將造成破壞。第13頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.2宏病毒3.

宏病毒的預(yù)防與清除為了有效防止Word系統(tǒng)被感染，可將常用的Word模板文件改為只讀屬性。當(dāng)文件被感染后，應(yīng)及時(shí)加以清除，以防其進(jìn)一步擴(kuò)散和復(fù)制。通常可采取以下措施：

手工殺毒。以Word為例，從“工具”菜單選取“宏”一項(xiàng)，進(jìn)入“管理器”，選取標(biāo)題為“宏”的一頁(yè)，在“宏有效范圍”下拉列表框中打開(kāi)要檢查的文檔。這時(shí)在上面的列表框中就會(huì)出現(xiàn)該文檔模板中所含的宏，將不明來(lái)源的自動(dòng)執(zhí)行宏刪除即可。使用專業(yè)軟件殺毒。目前殺毒軟件公司都具備清除宏病毒的能力，當(dāng)然也只能對(duì)已知的宏病毒進(jìn)行檢查和清除，對(duì)于新出現(xiàn)的病毒或病毒的變種則可能不能正常地清除，或者將會(huì)破壞文件的完整性，此時(shí)還是采取手工清理。

第14頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.3CIH病毒

CIH病毒工作原理

CIH病毒屬于文件型病毒，只感染W(wǎng)indows9X下可執(zhí)行文件。當(dāng)受感染的.EXE文件執(zhí)行后，該病毒便駐留內(nèi)存中，并感染所接觸到的其他PE格式執(zhí)行程序。CIH通過(guò)攻擊BIOS，覆蓋硬盤，進(jìn)入Windows內(nèi)核實(shí)現(xiàn)對(duì)硬盤的破壞。攻擊BIOS。當(dāng)CIH發(fā)作時(shí)，它會(huì)試圖向BIOS中寫入垃圾信息，BIOS中的內(nèi)容會(huì)被徹底洗去。覆蓋硬盤。CIH發(fā)作時(shí)，調(diào)節(jié)器用IOS-SendCommand直接對(duì)硬盤進(jìn)行存取，將垃圾代碼以205個(gè)扇區(qū)為單位，循環(huán)寫入硬盤，直到所有硬盤上的數(shù)據(jù)均被破壞為止。進(jìn)入Windows內(nèi)核。無(wú)論是要攻擊BIOS，還是設(shè)法駐留內(nèi)存來(lái)為病毒傳播創(chuàng)造條件，對(duì)CIH這類病毒而言，關(guān)鍵是要進(jìn)入Windows內(nèi)核，取得核心級(jí)控制權(quán)。

第15頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.2CIH病毒2.

CIH病毒防范措施

修改系統(tǒng)時(shí)間，跳過(guò)病毒的發(fā)作日。有些電腦系統(tǒng)主板具備BIOS寫保護(hù)跳線，但一般設(shè)置均為開(kāi)，可將其撥至關(guān)的位置，這樣可以防止病毒向BIOS寫入信息。檢查CIH病毒的方法可采用壓縮并解壓縮文件的方式，如果解壓縮出現(xiàn)問(wèn)題，多半可以肯定有CIHＶ1.2的存在，但用該方法不能判斷CIHＶ1.4病毒。用戶不要輕易啟動(dòng)從電子郵件或從網(wǎng)站上下載的未知軟件。由于病毒將垃圾碼寫入硬盤，導(dǎo)致硬盤的數(shù)據(jù)是不能恢復(fù)，務(wù)必將重要數(shù)據(jù)備份，以免造成損失。

第16頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)

1.反病毒技術(shù)分類

從研究的角度，反病毒技術(shù)主要分３類：

預(yù)防病毒技術(shù)。它通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。檢測(cè)病毒技術(shù)。它是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的偵測(cè)技術(shù)，如自身校驗(yàn)、關(guān)鍵字等。消除病毒技術(shù)。它通過(guò)對(duì)病毒的分析，殺除病毒并恢復(fù)原文件。第17頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)2.

常用反病毒技術(shù)從具體實(shí)現(xiàn)技術(shù)的角度，常用的反病毒技術(shù)有：病毒代碼掃描法。將新發(fā)現(xiàn)的病毒加以分析后根據(jù)其特征編成病毒代碼，加入病毒特征庫(kù)中。每當(dāng)執(zhí)行殺毒程序時(shí)，便立刻掃描程序文件，并與病毒代碼比對(duì)，便能檢測(cè)到是否有病毒。加總比對(duì)法(Check-sum)。根據(jù)每個(gè)程序的文件名稱、大小、時(shí)間、日期及內(nèi)容，加總為一個(gè)檢查碼，再將檢查碼附在程序后面，或是將所有檢查碼放在同一個(gè)資料庫(kù)中，再利用Check-sum系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否遭更改，以判斷是否中毒。第18頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)人工智能陷阱。它是一種監(jiān)測(cè)電腦行為的常駐式掃描技術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來(lái)，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所警覺(jué)，并告知用戶。軟件模擬掃描法。它專門用來(lái)對(duì)付千面人病毒。千面人病毒在每次傳染時(shí)，都以不同的隨機(jī)數(shù)加密于每個(gè)中毒的文件中，傳統(tǒng)病毒代碼比對(duì)的方式根本就無(wú)法找到這種病毒。軟件模擬技術(shù)則是成功地模擬CPU執(zhí)行，在其設(shè)計(jì)的DOS虛擬機(jī)器下模擬執(zhí)行病毒的變體引擎解碼程序，將多型體病毒解開(kāi)，使其顯露原本的面目，再加以掃描。VICE先知掃描法。由于軟件模擬可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)器，模擬CPU動(dòng)作并模擬執(zhí)行程序以解開(kāi)變體引擎病毒，應(yīng)用類似的技術(shù)也可以用來(lái)分析一般程序檢查可疑的病毒代碼。因此，VICE將工程師用來(lái)判斷程序是否有病毒代碼存在的方法，分析歸納成專家系統(tǒng)知識(shí)庫(kù)，再利用軟件工程的模擬技術(shù)假執(zhí)行新的病毒，就可分析出新病毒代碼對(duì)付以后的病毒。第19頁(yè)，共22頁(yè)，2023年，2月20日，星期六8.5.4

常用反病毒技術(shù)實(shí)