计算机病毒防范技术.ppt

《计算机病毒防范技术.ppt》由会员分享，可在线阅读，更多相关《计算机病毒防范技术.ppt（68页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第八章第八章 计算机病毒防范技术计算机病毒防范技术 第第8章章 计算机病毒防范技术计算机病毒防范技术内容提要：内容提要：概述概述计算机病毒的工作原理和分类计算机病毒的工作原理和分类计算机病毒的检测与防范计算机病毒的检测与防范 恶意代码恶意代码小结小结 第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1 计算机病毒概述计算机病毒概述8.1.1 计算机病毒的定义计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2、用，并能自我复制的一组计算机指令或者程序代码。美国计算机安全专家美国计算机安全专家Fred Cohen博士认为：计博士认为：计算机病毒是一种能传染其它程序的程序，病毒是靠算机病毒是一种能传染其它程序的程序，病毒是靠修改其它程序，并把自身的拷贝嵌入其它程序而实修改其它程序，并把自身的拷贝嵌入其它程序而实现的。现的。返回本章首页返回本章首页第八章第八章 计算机病毒防范技术计算机病毒防范技术 计算机病毒的特性计算机病毒的特性 计算机病毒是一个程序；计算机病毒是一个程序；计算机病毒具有传染性，可以传染其它程序；计算机病毒具有传染性，可以传染其它程序；计算机病毒的传染方式是修改其它程序，把自计算机病毒的

3、传染方式是修改其它程序，把自身拷贝嵌入到其它程序中而实现的；身拷贝嵌入到其它程序中而实现的；计算机病毒的定义在很多方面借用了生物学计算机病毒的定义在很多方面借用了生物学病毒的概念，因为它们有着诸多相似的特征，比病毒的概念，因为它们有着诸多相似的特征，比如能够自我复制，能够快速如能够自我复制，能够快速“传染传染”，且都能够，且都能够危害危害“病原体病原体”，当然计算机病毒危害的，当然计算机病毒危害的“病原病原体体”是正常工作的计算机系统和网络。是正常工作的计算机系统和网络。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1.2 计算机病毒简史计算机病毒简史-1 早在早在1949年，计算机

4、的先驱者冯年，计算机的先驱者冯诺依曼在他的一诺依曼在他的一篇论文篇论文复杂自动机组织论复杂自动机组织论中，提出了计算机程序能中，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来。够在内存中自我复制，即已把病毒程序的蓝图勾勒出来。十年之后，在美国电话电报公司（十年之后，在美国电话电报公司（AT&T）的贝尔实）的贝尔实验室中，三个年轻程序员道格拉斯验室中，三个年轻程序员道格拉斯麦耀莱、维特麦耀莱、维特维索斯维索斯基和罗伯基和罗伯莫里斯在工作之余想出一种电子游戏叫做莫里斯在工作之余想出一种电子游戏叫做“磁磁芯大战芯大战”。1977年夏天，科幻小说年夏天，科幻小说P-1的青春的青春幻

5、想了世界幻想了世界上第一个计算机病毒，可以从一台计算机传染到另一台上第一个计算机病毒，可以从一台计算机传染到另一台计算机，最终控制了计算机，最终控制了7000台计算机，酿成了一场灾难，台计算机，酿成了一场灾难，这实际上是计算机病毒的思想基础。这实际上是计算机病毒的思想基础。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1.2 计算机病毒简史计算机病毒简史-2 1983年年11月月3日，弗雷德日，弗雷德科恩博士研制出一种在运行过程中可以复制科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，伦自身的破坏性程序，伦艾德勒曼将它命名为计算机病毒（艾德勒曼将它命名为计算机病毒（Virus

6、es），并在），并在每周一次的计算机安全讨论会上正式提出，每周一次的计算机安全讨论会上正式提出，8小时后专家们在小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演个实验的演示，从而在实验上验证了计算机病毒的存在。示，从而在实验上验证了计算机病毒的存在。1986年初，在巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了年初，在巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了Pakistan病毒，该病毒在一年内流传到了世界各地，使人们认识到计算机病毒，该病毒在一年内流传到了世界各地，使人们认识到计算机病

7、毒对病毒对PC机的影响。机的影响。1987年年10月，美国第一例计算机病毒（月，美国第一例计算机病毒（Brian）被发现。此后，病毒）被发现。此后，病毒就迅速蔓延开来，世界各地的计算机用户几乎同时发现了形形色色的计算机就迅速蔓延开来，世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、病毒，如大麻、IBM圣诞树、黑色星期五等等。圣诞树、黑色星期五等等。1988年年3月月2日，一种苹果机病毒发作。日，一种苹果机病毒发作。1988年年11月月3日，美国日，美国6千台计算机被病毒感染，造成千台计算机被病毒感染，造成Internet不能正不能正常运行。这是一次非常典型计算机病毒入侵计算机网

8、络的事件。常运行。这是一次非常典型计算机病毒入侵计算机网络的事件。1989年，年，“米开朗基罗米开朗基罗”病毒给许多计算机用户造成极大损失。病毒给许多计算机用户造成极大损失。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1.2 计算机病毒简史计算机病毒简史-3 1991年，在年，在“海湾战争海湾战争”中，美军第一次将计算机病毒中，美军第一次将计算机病毒用于实战。用于实战。1994年年5月，南非第一次多种族全民大选的计票工作，因月，南非第一次多种族全民大选的计票工作，因计算机病毒的破坏停止计算机病毒的破坏停止30余小时，被迫推迟公布选举结果。余小时，被迫推迟公布选举结果。1996年，出

9、现针对微软公司年，出现针对微软公司Office的的“宏病毒宏病毒”。1997年公认为计算机反病毒界的年公认为计算机反病毒界的“宏病毒年宏病毒年”。1998年，首例破坏计算机硬件的年，首例破坏计算机硬件的CIH病毒出现，引起人病毒出现，引起人们的恐慌。们的恐慌。2000年年5月月4日，爱虫病毒开始在全球各地迅速传播。该日，爱虫病毒开始在全球各地迅速传播。该病毒通过病毒通过Microsoft Outlook电子邮件系统传播令全球为此损电子邮件系统传播令全球为此损失失100亿美元。亿美元。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1.2 计算机病毒简史计算机病毒简史-4 2001年完全

10、可以被称为年完全可以被称为“蠕虫之年蠕虫之年”。Nimda（尼（尼姆达）、姆达）、CodeRed（红色代码）、（红色代码）、Badtrans（坏透了）（坏透了）出现的蠕虫病毒不仅数量众多，而且危害极大，感出现的蠕虫病毒不仅数量众多，而且危害极大，感染了数百万台电脑。染了数百万台电脑。在在2002年新生的计算机病毒中，木马、黑客病毒以年新生的计算机病毒中，木马、黑客病毒以61%的绝对数量占据头名。网络病毒越来越成为病毒的的绝对数量占据头名。网络病毒越来越成为病毒的主流。主流。2003年的年的8月月12日，名为日，名为“冲击波冲击波”的病毒在全球的病毒在全球袭击袭击Windows操作系统，据估计可

11、能感染了全球一、两操作系统，据估计可能感染了全球一、两亿台计算机，在国内导致上千个局域网瘫痪。亿台计算机，在国内导致上千个局域网瘫痪。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1.2 计算机病毒简史计算机病毒简史-5 2005年由国内作者编写的年由国内作者编写的“灰鸽子灰鸽子”木马成为本年木马成为本年度头号病毒，它危害极大，变种极多（共有度头号病毒，它危害极大，变种极多（共有4257个变种）个变种），是国内非常罕见的恶性木马病毒。，是国内非常罕见的恶性木马病毒。2006年年11月至今，我国又连续出现月至今，我国又连续出现“熊猫烧香熊猫烧香”、“仇英仇英”、“艾妮艾妮”等盗取网上用

12、户密码账号的病毒和等盗取网上用户密码账号的病毒和木马，病毒的趋利性进一步增强，网上制作、贩卖病毒、木马，病毒的趋利性进一步增强，网上制作、贩卖病毒、木马的活动日益猖獗，利用病毒木马技术进行网络盗窃、木马的活动日益猖獗，利用病毒木马技术进行网络盗窃、诈骗的网络犯罪活动呈快速上升趋势，这些情况进一步诈骗的网络犯罪活动呈快速上升趋势，这些情况进一步显示计算机病毒新的发展趋势。显示计算机病毒新的发展趋势。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1.3 计算机病毒的特征计算机病毒的特征 非授权可执行性非授权可执行性 隐蔽性隐蔽性 传染性传染性 潜伏性潜伏性 表现性或破坏性表现性或破坏性

13、可触发性可触发性第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.1.4 计算机病毒的主要危害计算机病毒的主要危害 直接破坏计算机数据信息直接破坏计算机数据信息 占用磁盘空间和对信息的破坏占用磁盘空间和对信息的破坏 抢占系统资源抢占系统资源 影响计算机运行速度影响计算机运行速度 计算机病毒错误与不可预见的危害计算机病毒错误与不可预见的危害 计算机病毒的兼容性对系统运行的影响计算机病毒的兼容性对系统运行的影响 给用户造成严重的心理压力给用户造成严重的心理压力第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.2 计算机病毒的工作原理和计算机病毒的工作原理和分类分类第八章第八章 计算机病

14、毒防范技术计算机病毒防范技术 8.2.1 计算机病毒的工作原理计算机病毒的工作原理1计算机病毒的结构计算机病毒的结构（1）病毒的逻辑结构病毒的逻辑结构（2）病毒的磁盘存储结构）病毒的磁盘存储结构（3）病毒的内存驻留结构）病毒的内存驻留结构第八章第八章 计算机病毒防范技术计算机病毒防范技术 （1）病毒的逻辑结构病毒的逻辑结构病毒的引导模块；病毒的引导模块；病毒的传染模块；病毒的传染模块；病毒的发作（表现和破坏）模块。病毒的发作（表现和破坏）模块。引导模块传染条件判断模块实施传染模块触发条件判断模块实施表现或破坏模块图8-1 计算机病毒的模块结构第八章第八章 计算机病毒防范技术计算机病毒防范技术

15、（2）病毒的磁盘存储结构）病毒的磁盘存储结构磁盘空间结构磁盘空间结构经过格式化后的磁盘应包括：经过格式化后的磁盘应包括：主引导记录区（硬盘）主引导记录区（硬盘）引导记录区引导记录区文件分配表（文件分配表（FAT）目录区目录区数据区数据区第八章第八章 计算机病毒防范技术计算机病毒防范技术 （2）病毒的磁盘存储结构）病毒的磁盘存储结构系统型病毒的磁盘存储结构系统型病毒的磁盘存储结构 病毒的一部分存放在磁盘的引导扇区中病毒的一部分存放在磁盘的引导扇区中 另一部分则存放在磁盘其它扇区中另一部分则存放在磁盘其它扇区中 引导型病毒没有对应的文件名字引导型病毒没有对应的文件名字第八章第八章 计算机病毒防范技

16、术计算机病毒防范技术 （2）病毒的磁盘存储结构）病毒的磁盘存储结构文件型病毒的磁盘存储结构文件型病毒的磁盘存储结构 文件型病毒专门感染系统中可执行文件；文件型病毒专门感染系统中可执行文件；其程序依附在被感染文件的首部、尾部、其程序依附在被感染文件的首部、尾部、中部或空闲部位；中部或空闲部位；绝大多数文件型病毒都属于外壳型病毒。绝大多数文件型病毒都属于外壳型病毒。第八章第八章 计算机病毒防范技术计算机病毒防范技术 （3）病毒的内存驻留结构）病毒的内存驻留结构系统型病毒的内存驻留结构系统型病毒的内存驻留结构 系统型病毒是在系统启动时被装入的系统型病毒是在系统启动时被装入的 病毒程序将自身移动到适当

17、的内存高端病毒程序将自身移动到适当的内存高端 采用修改内存向量描述字的方法隐藏自己采用修改内存向量描述字的方法隐藏自己 有些病毒也利用小块没有使用的低端内存有些病毒也利用小块没有使用的低端内存系统系统第八章第八章 计算机病毒防范技术计算机病毒防范技术 （3）病毒的内存驻留结构）病毒的内存驻留结构文件型病毒的内存驻留结构文件型病毒的内存驻留结构 病毒程序是在运行其宿主程序时被装入内存病毒程序是在运行其宿主程序时被装入内存的，文件型病毒按其驻留内存方式可分为：的，文件型病毒按其驻留内存方式可分为：高端驻留型，典型的病毒有高端驻留型，典型的病毒有Yankee。常规驻留型，典型的病毒有黑色星期五。常规

18、驻留型，典型的病毒有黑色星期五。内存控制链驻留型：典型的病毒有内存控制链驻留型：典型的病毒有1701。设备程序补丁驻留型：典型的病毒有设备程序补丁驻留型：典型的病毒有DIR2。不驻留内存型：典型的病毒有不驻留内存型：典型的病毒有Vienna/648。第八章第八章 计算机病毒防范技术计算机病毒防范技术 2计算机病毒的作用机制计算机病毒的作用机制（1）引导机制）引导机制（2）传染机制）传染机制（3）破坏机制）破坏机制第八章第八章 计算机病毒防范技术计算机病毒防范技术 （1）中断与计算机病毒）中断与计算机病毒 中断是中断是CPU处理外部突发事件的一个重要技处理外部突发事件的一个重要技术。中断类型可划

19、分为：术。中断类型可划分为：中断中断硬件中断硬件中断软件中断：并不是真正的中断，系统功能调用软件中断：并不是真正的中断，系统功能调用内部中断：因硬件出错或运算出错所引起；内部中断：因硬件出错或运算出错所引起；外部中断：由外设发出的中断；外部中断：由外设发出的中断；第八章第八章 计算机病毒防范技术计算机病毒防范技术 病毒有关的重要中断病毒有关的重要中断INT 08H和和INT 1CH的定时中断，有些病毒用来判的定时中断，有些病毒用来判断激发条件；断激发条件；INT 09H键盘输入中断，病毒用于监视用户击键情键盘输入中断，病毒用于监视用户击键情况；况；INT 10H屏幕输入输出，一些病毒用于在屏幕

20、上显屏幕输入输出，一些病毒用于在屏幕上显示信息来表现自己；示信息来表现自己；INT 13H磁盘输入输出中断，引导型病毒用于传染磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘；病毒和格式化磁盘；INT 21H DOS功能调用，绝大多数文件型病毒修改功能调用，绝大多数文件型病毒修改该中断。该中断。第八章第八章 计算机病毒防范技术计算机病毒防范技术 病毒利用中断病毒利用中断 图 8-2 病毒盗用中断示意图 中断向量中断服务程序中断向量病毒相关程序中断服务程序盗用后盗用后：盗用前：盗用前：第八章第八章 计算机病毒防范技术计算机病毒防范技术 （2）计算机病毒的传染机制）计算机病毒的传染机制 传染是

21、指计算机病毒由一个载体传播到另一传染是指计算机病毒由一个载体传播到另一载体，由一个系统进入另一个系统的过程。计算载体，由一个系统进入另一个系统的过程。计算机病毒的传染方式主要有：机病毒的传染方式主要有：病毒程序利用操作系统的引导机制或加载机制病毒程序利用操作系统的引导机制或加载机制进入内存；进入内存；从内存的病毒传染新的存储介质或程序文件是从内存的病毒传染新的存储介质或程序文件是利用操作系统的读写磁盘的中断或加载机制来实利用操作系统的读写磁盘的中断或加载机制来实现的。现的。第八章第八章 计算机病毒防范技术计算机病毒防范技术 （3）计算机病毒的破坏机制）计算机病毒的破坏机制 破坏机制在设计原则、

22、工作原理上与传染机破坏机制在设计原则、工作原理上与传染机制基体相同。它也是通过修改某一中断向量入口制基体相同。它也是通过修改某一中断向量入口地址，使该中断向量指向病毒程序的破坏模块。地址，使该中断向量指向病毒程序的破坏模块。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.2.2 计算机病毒的分类计算机病毒的分类1按照病毒攻击的系统分类按照病毒攻击的系统分类（1）攻击）攻击DOS系统的病毒。系统的病毒。（2）攻击）攻击Windows系统的病毒。系统的病毒。（3）攻击）攻击UNIX系统的病毒。系统的病毒。（4）攻击）攻击OS/2系统的病毒。系统的病毒。第八章第八章 计算机病毒防范技术计算机

23、病毒防范技术 2按照病毒的攻击机型分类按照病毒的攻击机型分类（1）攻击微型计算机的病毒。）攻击微型计算机的病毒。（2）攻击小型机的计算机病毒。）攻击小型机的计算机病毒。（3）攻击工作站的计算机病毒。）攻击工作站的计算机病毒。第八章第八章 计算机病毒防范技术计算机病毒防范技术 3按照病毒的链结方式分类按照病毒的链结方式分类（1）源码型病毒）源码型病毒（2）嵌入型病毒）嵌入型病毒（3）外壳型病毒）外壳型病毒（4）操作系统型病毒）操作系统型病毒第八章第八章 计算机病毒防范技术计算机病毒防范技术 4按照病毒的破坏情况分类按照病毒的破坏情况分类（1）良性计算机病毒）良性计算机病毒（2）恶性计算机病毒）恶

24、性计算机病毒5按照病毒的寄生方式分类按照病毒的寄生方式分类（1）引导型病毒）引导型病毒（2）文件型病毒）文件型病毒（3）复合型病毒）复合型病毒第八章第八章 计算机病毒防范技术计算机病毒防范技术 6按照病毒的传播媒介分类按照病毒的传播媒介分类（1）单机病毒）单机病毒（2）网络病毒）网络病毒第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.2.3 病毒实例分析病毒实例分析1CIH病毒病毒 概况概况 CIH病毒是一种文件型病毒，感染病毒是一种文件型病毒，感染Windows95/98环境下环境下PE格式的格式的EXE文件。病毒的危害主要表现在病毒文件。病毒的危害主要表现在病毒发作后，硬盘数据全部

25、丢失，甚至主板上的发作后，硬盘数据全部丢失，甚至主板上的BIOS中的原中的原内容会被彻底破坏，主机无法启动。内容会被彻底破坏，主机无法启动。1999年年4月月26日，日，CIH病毒大爆发，全球超过病毒大爆发，全球超过6000万台电脑被破坏，万台电脑被破坏，2000年年CIH再度爆发，全球损失超过再度爆发，全球损失超过10亿美元，亿美元，2001年仅北京就有超过年仅北京就有超过6000台电脑遭破坏；台电脑遭破坏；2002年年CIH病毒使数千台电脑遭破坏，瑞星公司修复硬病毒使数千台电脑遭破坏，瑞星公司修复硬盘数量一天接近盘数量一天接近200块。块。第八章第八章 计算机病毒防范技术计算机病毒防范技术

26、 （1）CIH病毒的表现形式病毒的表现形式 受感染的受感染的.EXE文件的文件长度没有改变；文件的文件长度没有改变；DOS以及以及WIN 3.1 格式（格式（NE格式）的可执行格式）的可执行文件不受感染，并且在文件不受感染，并且在Win NT中无效。中无效。用资源管理器中用资源管理器中“工具工具查找查找文件或文件夹文件或文件夹”的的“高级高级包含文字包含文字”查找查找EXE特征字符串特征字符串“CIH v”，在查找过程中，显示出一大堆符合，在查找过程中，显示出一大堆符合查找特征的可执行文件。查找特征的可执行文件。若若4月月26日开机，显示器突然黑屏，硬盘指示日开机，显示器突然黑屏，硬盘指示灯闪

27、烁不停，重新开机后，计算机无法启动。灯闪烁不停，重新开机后，计算机无法启动。第八章第八章 计算机病毒防范技术计算机病毒防范技术 （2）CIH病毒的行为机制病毒的行为机制 CIH病毒直接进入病毒直接进入Windows内核。没有改内核。没有改变宿主文件的大小，而是采用了一种新的文件感变宿主文件的大小，而是采用了一种新的文件感染机制即碎洞攻击（染机制即碎洞攻击（fragmented cavity attack），将病毒化整为零，拆分成若干块，插），将病毒化整为零，拆分成若干块，插入宿主文件中去；最引人注目的是它利用目前许入宿主文件中去；最引人注目的是它利用目前许多多BIOS芯片开放了可重写的特性，向

28、计算机主芯片开放了可重写的特性，向计算机主板的板的BIOS端口写入乱码，开创了病毒直接进攻端口写入乱码，开创了病毒直接进攻计算机主板芯片的先例。可以说计算机主板芯片的先例。可以说CIH病毒提供了病毒提供了一种全新的病毒程序方式和病毒发展方向。一种全新的病毒程序方式和病毒发展方向。第八章第八章 计算机病毒防范技术计算机病毒防范技术 2宏病毒宏病毒 所谓宏，就是软件设计者为了在使用软件工作时避免所谓宏，就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单一再地重复相同动作而设计出来的一种工具。它利用简单的语法，把常用的动作编写成宏，当再工作时，就可以直的语法，把

29、常用的动作编写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，完成某项特定的任务，而接利用事先写好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作。不必再重复相同的动作。所谓所谓“宏病毒宏病毒”，是利用软件所支持的宏命令编写成，是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台的计算机病毒，可以在机病毒，也是一种跨平台的计算机病毒，可以在Windows 9X、Windows NT/2000、OS/2和和Macintosh System 7等操作系统上执行。等操作系统上执行。第八章

30、第八章 计算机病毒防范技术计算机病毒防范技术 （1）宏病毒的行为机制）宏病毒的行为机制 Word模式定义出一种文件格式，将文档资料以及该模式定义出一种文件格式，将文档资料以及该文档所需要的宏混在一起放在后缀为文档所需要的宏混在一起放在后缀为doc的文件之中，这的文件之中，这种作法已经不同于以往的软件将资料和宏分开存储的方种作法已经不同于以往的软件将资料和宏分开存储的方法。正因为这种宏也是文档资料，便产生了宏感染的可法。正因为这种宏也是文档资料，便产生了宏感染的可能性。能性。Word宏病毒通过宏病毒通过doc文档和文档和dot模板进行自我复制及模板进行自我复制及传播。计算机文档是交流最广的文件类

31、型。这就为传播。计算机文档是交流最广的文件类型。这就为Word宏病毒传播带来了很多便利，特别是宏病毒传播带来了很多便利，特别是Internet网络的普网络的普及和及和E-mail的大量应用更为的大量应用更为Word宏病毒的传播宏病毒的传播“拓展拓展”了道路。了道路。第八章第八章 计算机病毒防范技术计算机病毒防范技术 （2）Word宏病毒特征宏病毒特征 Word宏病毒会感染宏病毒会感染doc文档和文档和dot模板文件。模板文件。Word宏病毒的传染通常是宏病毒的传染通常是Word在打开一个带宏病毒在打开一个带宏病毒的文档或模板时，激活宏病毒。病毒宏将自身复制到的文档或模板时，激活宏病毒。病毒宏将

32、自身复制到Word通用（通用（Normal）模板中，以后在打开或关闭文件）模板中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。时宏病毒就会把病毒复制到该文件中。多数多数Word宏病毒包含宏病毒包含AutoOpen、AutoClose、AutoNew和和AutoExit等自动宏，通过这些自动宏病毒取等自动宏，通过这些自动宏病毒取得文档（模板）操作权。得文档（模板）操作权。Word宏病毒中总是含有对文档读写操作的宏命令。宏病毒中总是含有对文档读写操作的宏命令。Word宏病毒在宏病毒在doc文档、文档、dot模板中以模板中以BFF（Binary File Format）格式存放，这是一种加

33、密压缩格式，不同）格式存放，这是一种加密压缩格式，不同Word版本格式可能不兼容。版本格式可能不兼容。第八章第八章 计算机病毒防范技术计算机病毒防范技术 3网络病毒网络病毒 网络病毒专指在网络传播、并对网络进行破网络病毒专指在网络传播、并对网络进行破坏的病毒；坏的病毒；网络病毒也指网络病毒也指HTML病毒、病毒、E-mail病毒、病毒、Java病毒等与因特网有关的病毒。病毒等与因特网有关的病毒。第八章第八章 计算机病毒防范技术计算机病毒防范技术 网络病毒的特点网络病毒的特点 传染方式多传染方式多 传播速度比较快传播速度比较快 清除难度大清除难度大 破坏性强破坏性强 潜在性潜在性深深 第八章第八

34、章 计算机病毒防范技术计算机病毒防范技术 4电子邮件病毒电子邮件病毒 “电子邮件病毒电子邮件病毒”其实和普通的计算机病毒其实和普通的计算机病毒一样，只不过它们的传播途径主要是通过电子邮一样，只不过它们的传播途径主要是通过电子邮件，所以才被称为件，所以才被称为“电子邮件病毒电子邮件病毒”。第八章第八章 计算机病毒防范技术计算机病毒防范技术 电子邮件病毒的特点电子邮件病毒的特点 传统的杀毒软件对检测此类格式的文传统的杀毒软件对检测此类格式的文件无能为力件无能为力 传播速度快传播速度快 传播范围广传播范围广 破坏力大破坏力大 第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.3 计算机病毒的检

35、测与防范计算机病毒的检测与防范第八章第八章 计算机病毒防范技术计算机病毒防范技术 计算机病毒的检测计算机病毒的检测1异常情况判断异常情况判断 计算机工作时，如出现下列异常现象，则有可能感染计算机工作时，如出现下列异常现象，则有可能感染了病毒：了病毒：（1）屏幕出现异常图形或画面，这些画面可能是一些鬼）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。很难退出或恢复。（2）扬声器发出与正常操作无关的声音，如演奏乐曲或）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。

36、是随意组合的、杂乱的声音。（3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。断增多，直到无法继续工作。（4）硬盘不能引导系统。）硬盘不能引导系统。第八章第八章 计算机病毒防范技术计算机病毒防范技术 （5）磁盘上的文件或程序丢失。）磁盘上的文件或程序丢失。（6）磁盘读）磁盘读/写文件明显变慢，访问的时间加长。写文件明显变慢，访问的时间加长。（7）系统引导变慢或出现问题，有的出现）系统引导变慢或出现问题，有的出现“写保护错写保护错”提示。提示。（8）系统经常死机或出现异常的重启动现象。）系统经常死机或出现异常的重启动现象。（9

37、）原来运行的程序突然不能运行，总是出现出错提示。）原来运行的程序突然不能运行，总是出现出错提示。（10）连接的打印机不能正常启动。）连接的打印机不能正常启动。观察上述异常情况后，可初步判断系统的哪部分资观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和源受到了病毒侵袭，为进一步诊断和 清除做好准备。清除做好准备。第八章第八章 计算机病毒防范技术计算机病毒防范技术 2检测的主要依据检测的主要依据（1）检查磁盘主引导扇区）检查磁盘主引导扇区（2）检查）检查FAT表表（3）检查中断向量）检查中断向量（4）检查可执行文件）检查可执行文件（5）检查内存空间）检查内存空间（6）检

38、查特征串）检查特征串第八章第八章 计算机病毒防范技术计算机病毒防范技术 3计算机病毒的检测手段计算机病毒的检测手段（1）特征代码法）特征代码法 特征代码法是检测已知病毒的最简单、开销最小的特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下：方法。特征代码法的实现步骤如下：采集已知病毒样本。采集已知病毒样本。在病毒样本中，抽取特征代码。在病毒样本中，抽取特征代码。打开被检测文件，在文件中搜索病毒特征代码。打开被检测文件，在文件中搜索病毒特征代码。特征代码法的特点：特征代码法的特点：速度慢速度慢误报警率低误报警率低不能检查多形性病毒不能检查多形性病毒不能对付隐蔽性病毒不能对

39、付隐蔽性病毒第八章第八章 计算机病毒防范技术计算机病毒防范技术 （2）校验和法）校验和法 将正常文件的内容，计算其校验和，将该校验和写将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。是否感染，这种方法叫校验和法。优点优点：方法简单，能发现未知病毒、被查文件的细：方法简单，能发现未知病毒

40、、被查文件的细微变化也能发现。微变化也能发现。缺点缺点：会误报警、不能识别病毒名称、不能对付隐：会误报警、不能识别病毒名称、不能对付隐蔽型病毒。蔽型病毒。第八章第八章 计算机病毒防范技术计算机病毒防范技术 校验和法查病毒校验和法查病毒运用校验和法查病毒采用三种方式：运用校验和法查病毒采用三种方式：在检测病毒工具中纳入校验和法，对被查的对象文件在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。或检测工具中，而后进行比较。在应用程序中，放入校验和法自我检查功能，将文件在应用程序中

41、，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自时，比较现行校验和与原校验和值，实现应用程序的自检测。检测。将校验和检查程序常驻内存，每当应用程序开始运行将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存时，自动比较检查应用程序内部或别的文件中预先保存的校验和。的校验和。第八章第八章 计算机病毒防范技术计算机病毒防范技术 （3）行为监测法）行为监测法 利用病毒的特有行为特征来监测病毒的方法，称为利用病毒的特有行为特征来监测

42、病毒的方法，称为行为监测法。这些能够作为监测病毒的行为特征如下：行为监测法。这些能够作为监测病毒的行为特征如下：A.占有占有INT 13H B.改改DOS系统为数据区的内存总量系统为数据区的内存总量 C.对对COM、EXE文件做写入动作文件做写入动作 D.病毒程序与宿主程序的切换病毒程序与宿主程序的切换 优点优点：可发现未知病毒、可相当准确地预报未知的多：可发现未知病毒、可相当准确地预报未知的多数病毒。数病毒。缺点缺点：可能误报警、不能识别病毒名称、实现时有一：可能误报警、不能识别病毒名称、实现时有一定难度。定难度。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.3.2 计算机病毒的防

43、范计算机病毒的防范1严格的管理严格的管理 2有效的技术有效的技术目前在预防病毒工具中采用的技术主要有：目前在预防病毒工具中采用的技术主要有：（1）将大量的消毒）将大量的消毒/杀毒软件汇集一体。杀毒软件汇集一体。（2）检测一些病毒经常要改变的系统信息。）检测一些病毒经常要改变的系统信息。（3）监测写盘操作，对引导区或主引导区的写操作报警。）监测写盘操作，对引导区或主引导区的写操作报警。（4）对文件形成一个密码检验码，实现对程序完整性的验）对文件形成一个密码检验码，实现对程序完整性的验证。证。（5）智能判断型。）智能判断型。（6）智能监察型。）智能监察型。第八章第八章 计算机病毒防范技术计算机病毒

44、防范技术 8.3.2 计算机病毒的防范计算机病毒的防范3宏病毒的防范宏病毒的防范 4电子邮件病毒的防范电子邮件病毒的防范（1）思想上高度重视，不要轻易打开来信中的附）思想上高度重视，不要轻易打开来信中的附件文件，尤其对于一些件文件，尤其对于一些“EXE”之类的可执行程序之类的可执行程序文件，就更要谨慎。文件，就更要谨慎。（2）不断完善）不断完善“网关网关”软件及病毒防火墙软件，软件及病毒防火墙软件，加强对整个网络入口点的防范。加强对整个网络入口点的防范。（3）使用优秀的防毒软件同时保护客户机和服务）使用优秀的防毒软件同时保护客户机和服务器器（4）使用特定的）使用特定的SMTP杀毒软件杀毒软件第

45、八章第八章 计算机病毒防范技术计算机病毒防范技术 8.3.3 计算机病毒的发展方向和趋势计算机病毒的发展方向和趋势1计算机病毒的新特征计算机病毒的新特征 利用微软漏洞主动传播利用微软漏洞主动传播 局域网内快速传播局域网内快速传播 以多种方式传播以多种方式传播 大量消耗系统与网络资源大量消耗系统与网络资源 双程序结构双程序结构 用即时工具传播病毒用即时工具传播病毒 病毒与黑客技术的融合病毒与黑客技术的融合 应用软件漏洞成为网页挂马的新宠应用软件漏洞成为网页挂马的新宠 第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.3.3 计算机病毒的发展方向和趋势计算机病毒的发展方向和趋势2计算机病毒发

46、展的趋势及对策计算机病毒发展的趋势及对策 变形病毒成为下一代病毒首要的特点。变形病毒成为下一代病毒首要的特点。与与Internet和和Intranet更加紧密地结合，利用更加紧密地结合，利用一切可以利用的方式进行传播；一切可以利用的方式进行传播；所有的病毒都具有混合型特征，破坏性大大增所有的病毒都具有混合型特征，破坏性大大增强；强；因为其扩散极快，不再追求隐藏性，而更加注因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；重欺骗性；利用系统漏洞将成为病毒有力的传播方式。利用系统漏洞将成为病毒有力的传播方式。第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.4 恶意代码恶意代码8.4.1 恶

47、意代码概述恶意代码概述 恶意代码是一种程序，通常在人们没有察恶意代码是一种程序，通常在人们没有察觉的情况下把代码寄宿到另一段程序中，从而觉的情况下把代码寄宿到另一段程序中，从而达到破坏被感染计算机的数据、运行具有入侵达到破坏被感染计算机的数据、运行具有入侵性或破坏性的程序、破坏被感染系统数据的安性或破坏性的程序、破坏被感染系统数据的安全性和完整性的目的。全性和完整性的目的。返回本章首页返回本章首页第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.4.2 恶意代码的特征与分类恶意代码的特征与分类 恶意代码的特征恶意代码的特征 恶意的目的恶意的目的 本身是程序本身是程序 通过执行发生作用通过

48、执行发生作用返回本章首页返回本章首页第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.4.2 恶意代码的特征与分类恶意代码的特征与分类 恶意代码的分类恶意代码的分类 木马木马 网络蠕虫网络蠕虫 移动代码移动代码 复合型病毒复合型病毒 返回本章首页返回本章首页第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.4.3 恶意代码的关键技术恶意代码的关键技术 生存技术生存技术 反跟踪技术反跟踪技术 加密技术加密技术 模糊变换技术模糊变换技术 自动生产技术自动生产技术 返回本章首页返回本章首页第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.4.3 恶意代码的关键技术恶意代码的关键技术

49、 攻击技术攻击技术 进程注入技术进程注入技术 三线程技术三线程技术 端口复用技术端口复用技术 对抗检测技术对抗检测技术 端口反向连接技术端口反向连接技术 缓冲区溢出攻击技术缓冲区溢出攻击技术 返回本章首页返回本章首页第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.4.3 恶意代码的关键技术恶意代码的关键技术 隐藏技术隐藏技术 本地隐藏技术本地隐藏技术，是指为了防止本地系统管理，是指为了防止本地系统管理人员察觉而采取的隐蔽手段。人员察觉而采取的隐蔽手段。通信隐藏，常见的网络通信隐蔽技术有通信隐藏，常见的网络通信隐蔽技术有http tunnel和和icmp tunnel等等。返回本章首页返

50、回本章首页第八章第八章 计算机病毒防范技术计算机病毒防范技术 8.4.4 网络蠕虫网络蠕虫 网络蠕虫的定义网络蠕虫的定义 网网络络蠕蠕虫虫是是一一种种智智能能化化、自自动动化化，综综合合网网络络攻攻击击、密密码码学学和和计计算算机机病病毒毒技技术术，不不需需要要计计算算机机使使用用者者干干预预即即可可运运行行的的攻攻击击程程序序或或代代码码。能能够够扫扫描描和和攻攻击击网网络络上上存存在在系系统统漏漏洞洞的的节节点点主主机机，通通过过局局域域网网或或者者国国际际互互联联网网从从一一个个节节点点传传播到另外一个节点。播到另外一个节点。返回本章首页返回本章首页第八章第八章 计算机病毒防范技术计算机