什么叫计算机病毒?
"计算机病毒"最早是由美国计算机病毒研究专家F.Cohen博士提出的. "计算机病毒"有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我
|
8.1.1 计算机病毒的定义 "计算机病毒"最早是由美国计算机病毒研究专家F.Cohen博士提出的. "计算机病毒"有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码.在《中华人民共和国计算机信息系统安全保护条例》中的定义为:"计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码". 返回本节 8.1.2 计算机病毒的发展历史 1.计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告.同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序. 1988年11月2日晚,美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中.该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元. 2.计算机病毒在中国的发展情况 在我国,80年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题. 1982年"黑色星期五"病毒侵入我国;1985年在国内发现更为危险的"病毒生产机",生存能力和破坏能力极强.这类病毒有1537,CLME等.进入90年代,计算机病毒在国内的泛滥更为严重. CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪. 3.计算机病毒发展的10个阶段 (1)DOS引导阶段 (2)DOS可执行文件阶段 (3)混合型阶段 (4)伴随型阶段 (5)多形型阶段 (6)生成器,变体机阶段 (7)网络,蠕虫阶段 (8)Windows阶段 (9)宏病毒阶段 (10)Internet阶段 返回本节 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物.其产生的过程可分为: 程序设计→传播→潜伏→触发,运行→实行攻击. 究其产生的原因不外乎以下几种: (1)一些计算机爱好者出于好奇或兴趣 (2)产生于个别人的报复心理 (3)来源于软件加密 (4)产生于游戏 (5)用于研究或实验而设计的"有用"程序 (6)由于政治经济和军事等特殊目的 8.1.3 计算机病毒的分类 病毒种类众多,分类如下: 1.按传染方式分为引导型,文件型和混合型病毒 2.按连接方式分为源码型,入侵型,操作系统型和外壳型病毒 3.按破坏性可分为良性病毒和恶性病毒 4.网络病毒 返回本节 8.1.4 计算机病毒的特点 (1)传染性(自我复制能力 ) (2)非授权性(夺取系统控制权 ) (3)隐蔽性 (4)潜伏性 (5)刻意编写,人为破坏 (6)不可预见性 返回本节 8.1.5 计算机病毒的隐藏之处和入侵途径 1.病毒的隐藏之处 (1)可执行文件. (2)引导扇区. ( 3)表格和文档. (4)Java小程序和ActiveX控件. 2.病毒的入侵途径 (1)传统方法 (磁盘,光盘等) (2)Internet 返回本节 8.1.6 现代计算机病毒的流行特征 1.攻击对象趋于混合型 2.反跟踪技术 3.增强隐蔽性 4.加密技术处理 5.病毒繁衍不同变种 增强隐蔽性: (1)避开修改中断向量值 (2)请求在内存中的合法身份 (3)维持宿主程序的外部特性 (4)不使用明显的感染标志 加密技术处理 : (1)对程序段动态加密 (2)对显示信息加密 (3)对宿主程序段加密 返回本节 8.1.7 计算机病毒的破坏行为 (1)攻击系统数据区 (2)攻击文件 (3)攻击内存 (4)干扰系统运行,使运行速度下降 (5)干扰键盘,喇叭或屏幕 (6)攻击CMOS (7)干扰打印机 (8)网络病毒破坏网络系统 返回本节 8.1.8 计算机病毒的作用机制 一个引导病毒传染的实例 假定用硬盘启动,且该硬盘已染上了小球病毒,那么加电自举以后,小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段,即97C0:7C00处;然后修改INT 13H的中断向量,使之指向病毒的传染模块.以后,一旦读写软磁盘的操作通过INT 13H的作用,计算机病毒的传染块便率先取得控制权,它就进行如下操作: 1)读入目标软磁盘的自举扇区(BOOT扇区). 2)判断是否满足传染条件. 3)如果满足传染条件(即目标盘BOOT区的01FCH偏移位置为5713H标志),则将病毒代码的前512字节写入BOOT引导程序,将其后512字节写入该簇,随后将该簇标以坏簇标志,以保护该簇不被重写. 4)跳转到原INT 13H的入口执行正常的磁盘系统操作. 一个文件病毒传染的实例 假如VVV.COM(或.EXE)文件已染有耶路撒冷病毒,那么运行该文件后,耶路撒冷病毒的引导模块会修改INT 21H的中断向量,使之指向病毒传染模块,并将病毒代码驻留内存,此后退回操作系统.以后再有任何加载执行文件的操作,病毒的传染模块将通过INT 21H的调用率先获得控制权,并进行以下操作: 1)读出该文件特定部分. 2)判断是否传染. 3)如果满足条件,则用某种方式将病毒代码与该可执行文件链接,再将链接后的文件重新写入磁盘. 4)转回原INT 21H入口,对该执行文件进行正常加载. 计算机病毒的一般构成 计算机病毒在结构上有着共同性,一般由引导部分,传染部分,表现部分三部分组成. 1 . 引导部分 也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备. 2 . 传染部分 作用是将病毒代码复制到目标上去.一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统. 3 . 表现部分 是病毒间差异最大的部分,前两部分是为这部分服务的.它破坏被传染系统或者在被传染系统的设备上表现出特定的现象.大部分病毒都是在一定条件下才会触发其表现部分的. 计算机病毒的传染过程 计算机病毒的传染过程 1)驻入内存. 2)判断传染条件. 3)传染. 返回本节 计算机病毒的触发机制 感染,潜伏,可触发,破坏是病毒的基本特性. 目前病毒采用的触发条件主要有以下几种: 1.日期触发:许多病毒采用日期做触发条件.日期触发大体包括:特定日期触发,月份触发, 前半年后半年触发 等. 2.时间触发:时间触发包括特定的时间触发,染毒后累计工作时间触发,文件最后写入时间触发等. 3.键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键人时,病毒被激活,进行某些特定操作. 键盘 触发包括击键次数触发,组合键触发,热启动触发等. 4.感染触发:许多病毒的感染需要某些条件触发, 而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发.它包括:运行感染文件个数触发,感染序数触发,感染磁盘数触发,感染失败触发等. 5.启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发. 6.访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条件叫访问磁盘次数触发. 7.调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件. 8.CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定CPU型号/主板型号做触发条件, 这 种病毒的触发方式奇特罕见. 病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组 合起来的触发条件. 计算机病毒的传染机制 1.计算机病毒的传染方式 被动传染 (用户在进行拷贝磁盘或文件 ) 主动传染 (激活状态下自动传染 ) 2.计算机病毒的传染过程 拷贝和内存传染. 3.病毒传染机理 见前面的实例 计算机病毒的破坏机制 破坏机制在设计原则,工作原理上与传染机制基本相同. 它也是通过修改某一中断向量入口地址(一般为时钟中 断INT 8H,或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程序的破坏模块. 病毒破坏目标和攻击部位主要是:系统数据区,文件,内存,系统运行,运行速度,磁盘,屏幕显示,键盘,喇叭,打 印机,CMOS,主板等. 计算机病毒的引导机制 1,病毒的寄生对象 磁盘的引导扇区;可执行文件 2,病毒的寄生方式 替代法(引导扇区);链接法(可执行文件) 3,病毒的引导过程 驻留内存;窃取系统控制权;恢复系统功能. 中断与计算机病毒 1.中断基本概念 什么是中断 先打个比方.当一个经理正处理文件时,电话铃响了(中断请求),不得不在文件上做一个记号(返 回地址),暂停工作,去接电话(中断),并指示"按第二方案办"(调中断服务程序),然后,再静下心来(恢复中 断前状态),接着处理文件……. 中断是CPU处理外部突发事件的一个重要技术.它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理, 处理完成后又立即返回断点,继续进行CPU原来的工作. 2.中断与计算机病毒 与病毒有关的重要中断有: INT 08H和INT 1CH定时中断,有些病毒利用它们的记时判断激发条件. INT 09H键盘输入中断,病毒用于监视用户击键情况. INT 10H屏幕输入输出中断,一些病毒用于在屏幕上显示字符图形表现自己. INT 13H磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘. INT 21H DOS功能调用,包含了DOS的大部分功能,已发现的绝大多数文件型病毒修改INT 21H中断, 因此也成为防 病毒的重点监视部位. INT 24H DOS的严重错误处理中断,文件型病毒常进行修改,以防止传染写保护磁盘时被发现. 8.2.1 计算机病毒的检测 检测病毒方法有: 特征代码法 校验和法 行为监测法 软件模拟法 1,特征代码法 国外专家认为特征代码法是检测已知病毒的最简单,开销最小的方法. 特征代码法的实现步骤: 采集已知病毒样本;抽取特征代码;将特征代码纳入病毒数据库 ;打开被检测文件,搜索,检查文件中是否含有病毒数据库中的病毒特征代码. 特征代码法的优点是: 检测准确快速,可识别病毒的名称,误报警率低,依据检测结果,可做解毒处理. 其缺点是: 不能检测未知病毒;搜集已知病毒的特征代码,费用开销大;在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏). 特征代码法特点: 速度慢 误报警率低 不能检查多态性病毒 不能对付隐蔽性病毒 多态(形型)性病毒是指采用特殊加密技术编写的病毒,这种病毒在每感染一个对象时,采用随机方法对病毒主体进行加密.多形型病毒主要是针对查毒软件而设计的,所以随着这类病毒的增多,使得查毒软件的编写变得更困难,并还会带来许多的误报. 2,校验和法 计算正常文件的内容校验和,将该校验和写入文件中或写入别的文件中保存.在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法. 优点: 方法简单,能发现未知病毒,被查文件的细微变化也能发现. 缺点: 发布通行记录正常态的校验和,会误报警,不能识别病毒名称,不能对付隐蔽型病毒. 校验和法特点 既可发现已知病毒,又可发现未知病毒; 不能识别病毒类,不能报出病毒名称; 常常误报警; 影响文件的运行速度; 对隐蔽性病毒无效. 3,行为监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法. 有一些行为是病毒的共同行为,而且比较特殊.在正常程序中,这些行为比较罕见.当程序运行时,监视其行为,如果发现了病毒行为,立即报警. 监测病毒的行为特征 A,占有INT 13H (磁盘输入输出中断) B,改DOS系统为数据区的内存总量 (为了防止DOS系统将病毒覆盖) C,对COM,EXE文件做写入动作 D,病毒程序与宿主程序的切换 优点: 可发现未知病毒宏病毒报错,可相当准确地预报未知的多数病毒. 缺点: 可能误报警,不能识别病毒名称,实现时有一定难度. 4,软件模拟法 它是一种软件分析器,用软件方法来模拟和分析程序的运行. 主要用于检测多态性病毒.作为特征代码法的补充. 5,先知扫描法 该技术是专门针对于未知的电脑病毒所设计的,利用这种技术可以直接模拟CPU的动作来侦测出某些变种病毒的活动情况,并且研制出该病毒的病毒码.由于该技术较其他解毒技术严谨,对于比较复杂的程序在比对上会耗费比较多的时间,所以该技术的应用不那么广泛. 6,实时I/O扫描 实时地对数据的输入/输出动作做病毒码对比的动作,希望能够在病毒尚未被执行之前,就能够防堵下来. 理论上,这样的实时扫描程序会影响到整体的数据传输速率. 8.2.2 异常情况判断 计算机工作出现下列异常现象,则有可能感染了病毒: 1)屏幕出现异常图形或画面,这些画面可能是一些鬼怪,也可能是一些下落的雨点,字符,树叶等,并且系统很难退出或恢复. 2)扬声器发出与正常操作无关的声音,如演奏乐曲或是随意组合的,杂乱的声音. 3)磁盘可用空间减少,出现大量坏簇,且坏簇数目不断增多,直到无法继续工作. 4)硬盘不能引导系统. 5)磁盘上的文件或程序丢失. 6)磁盘读/写文件明显变慢,访问的时间加长. 7)系统引导变慢或出现问题,有时出现"写保护错"提示. 8)系统经常死机或出现异常的重启动现象. 9)原来运行的程序突然不能运行,总是出现出错提示. 10)打印机不能正常启动. 8.2.3 计算机病毒的防治 1.建立,健全法律和管理制度 2.加强教育和宣传 3.采取更有效的技术措施 4.网络计算机病毒的防治 采取更有效的技术措施 (1)系统安全 (2)软件过滤 (3)文件加密 (4)过程控制 (5)后备恢复 (6)其他有效措施 其他有效措施 1)重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能,避免病毒写到磁盘上或可执行文件中. 2)消灭传染源. 3)建立程序的特征值档案. 4)严格内存管理. 5)严格中断向量的管理. 6)强化物理访问控制措施 7)一旦发现病毒蔓延,要采用可靠的杀毒软件和请有经验的专家处理,必要时需报告计算机安全监察部门,特别要注意不要使其继续扩散. 8.3 宏病毒 8.3.1 宏病毒的分类 8.3.2 宏病毒的行为和特征 8.3.3 宏病毒的特点 8.3.4 宏病毒的防治和清除方法 (编辑:拼字网 - 核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
