1、5.1 Virus Overview计算机病毒概述 5.2 Virus Mechanisms计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House特洛伊木马,Outline,Von Neumann(冯诺依曼) EDVAC (Electronic Discrete Variable Computer) (离散变量自动电子计算机)方案采用二进制 存储程序这种体系把存储的程序当作数据处理, 可以动态地进行修改, 以满足变化多端的需求。 操作系统和应用程序都被如此看待。 病毒利用了系统中可执行程序可被修改的属性,
2、 以达到病毒自身的不同于系统或用户的特殊目的。,5.1.1 计算机病毒存在的原因,世界: 20世纪40年代, Von Neumann :程序可以被编写成能自我复制并增加自身大小的形式。 50年代,Bell实验室:Core War(核心大战) 60年代,John Conway(约翰康威 ) : Living(生存)软件 70年代,取得进展,真正攻击少 80年代,Rich Skrenta(里奇斯克伦塔):ElkCloner(克隆麋鹿)感染PCPakistani Brain:首个感染微软公司操作系统 的病毒,5.1.2 计算机病毒由来,中国: 1989年初: 大连市统计局的计算机上发现有小球计算机病
3、毒。 1989年3、 4月间: 重庆西南铝加工厂也有了关于计算机病毒的报道。 从此以后, 计算机病毒以极其迅猛之势在中国大陆蔓延。,5.1.2 计算机病毒的由来,指在编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码(中华人民共和国计算机信息系统安全保护条例1994年),5.1.3 计算机病毒的定义,破坏,计算机功能,数据,影响计算机使用,自我复制,一组计算机指令,程序代码,编制,在计算机 程序中插入,1. 计算机病毒的传染性 与生物病毒一致:传染性是生物病毒的一个重要特征。通过传染 ,生物病毒从一个生物体扩散到另一个生物体。计算
4、机病毒一旦进入计算机病得以执行,它会搜寻其他符合其传染 条件的程序或存储介质,确定目标后再将自身插入其中,达到自我繁殖的目的。是否具传染性:判别一个程序是否为病毒的最重要条件。,5.1.4 计算机病毒的特性,图5-1 直接传染方式,5.1.4 计算机病毒的特性,图5-2 间接传染方式,图5-3 纵横交错传染方式,2. 计算机病毒的隐蔽性 计算机病毒通常附在正常程序中或磁盘较隐蔽的地方, 目的是不让用户发现它的存在。 不经过程序代码分析或计算机病毒代码扫描, 计算机病毒程序与正常程序是不容易区别开来的。 一是传染 的隐蔽性。 二是计算机病毒程序存在的隐蔽性。,5.1.4 计算机病毒的特性,3.
5、计算机病毒的潜伏性 大部分的计算机病毒感染 系统之后一般不会马上发作, 它可长期隐藏在系统中, 只有在满足其特定条件时才启动其表现(破坏)模块, 在此期间, 它就可以对系统和文件进行大肆传染 。 潜伏性愈好, 其在系统中的存在时间就会愈久, 计算机病毒的传染 范围就会愈大。,5.1.4 计算机病毒的特性,4. 可触发性:一种条件的控制计算机病毒使用的触发条件主要有以下三种。(1) 利用计算机内的时钟提供的时间作为触发器, 这种触发条件被许多计算机病毒采用, 触发的时间有的精确到百分之几秒, 有的则只区分年份。例:CIH 病毒 陈盈豪 每年4月26日,5.1.4 计算机病毒的特性,(2) 利用计
6、算机病毒体内自带的计数器作为触发器, 计算机病毒利用计数器记录某种事件发生的次数, 一旦计数器达到某一设定的值, 就执行破坏操作。 例:ElkCloner 第50次启动感染 病毒的软盘时(3) 利用计算机内执行的某些特定操作作为触发器, 特定操作可以是用户按下某种特定的组合键, 可以是执行格式化命令, 也可以是读写磁盘的某些扇区等。,5.1.4 计算机病毒的特性,5. 计算机病毒的破坏性 任何计算机病毒只要侵入系统, 都会对系统及应用程序产生不同程度的影响。 轻者会降低计算机的工作效率, 占用系统资源, 重者可导致系统崩溃。 这些都取决于计算机病毒编制者的意愿。攻击系统数据区, 攻击部位包括引
7、导扇区、 FAT表、 文件目录; 攻击文件; 攻击内存; 干扰系统运行, 如无法操作文件、 重启动、 死机等; 导致系统性能下降; 攻击磁盘, 造成不能访问磁盘、 无法写入等; 扰乱屏幕显示; 干扰键盘操作; 喇叭发声; 攻击CMOS; 干扰外设, 如无法访问打印机等。,5.1.4 计算机病毒的特性,6. 计算机病毒的针对性 计算机病毒都是针对某一种或几种计算机和特定的操作系统的。 例如, 有针对PC及其兼容机的, 有针对Macintosh的, 还有针对Unix和Linux操作系统的。 只有一种计算机病毒几乎是与操作系统无关的, 那就是宏病毒, 所有能够运行Office文档的地方都有宏病毒的存
8、在。,5.1.4 计算机病毒的特性,7. 计算机病毒的衍生性 计算机病毒的衍生性是指计算机病毒编制者或者其他人将某个计算机病毒进行一定的修改后, 使其衍生为一种与原先版本不同的计算机病毒。 后者可能与原先的计算机病毒有很相似的特征, 这时我们称其为原先计算机病毒的一个变种/变体(Computer Virus-Variance)。,5.1.4 计算机病毒的特性,8. 计算机病毒的寄生性 计算机病毒的寄生性是指一般的计算机病毒程序都是依附于某个宿主程序中, 依赖于宿主程序而生存,并且通过宿主程序的执行而传播的。 蠕虫和特洛伊木马程序则是例外, 它们并不是依附于某个程序或文件中, 其本身就完全包含有
9、恶意的计算机代码, 这也是二者与一般计算机病毒的区别。,5.1.4 计算机病毒的特性,9. 计算机病毒的不可预见性 计算机病毒的不可预见性体现在以下两个方面: 首先是计算机病毒的侵入、传播和发作是不可预见的,有时即使安装了实时计算机病毒防火墙,也会由于各种原因而不能完全阻隔某些计算机病毒的侵入。其次不同种类的代码千差万别,病毒的制作技术也不断提高,对未来病毒的预测很困难。,5.1.4 计算机病毒的特性,1. 不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片(ASIC)进行传播。 这种计算机病毒虽然极少, 但破坏力却极强, 目前尚没有较好的检测手段对付它。2. 移动存储设备:光盘、
10、移动硬盘等。3. 网络:电子邮件、BBS、WWW浏览、FTP文件下 载、新闻组。4. 通过点对点通信系统和无线通信系统传播,5.1.5 计算机病毒的传播途径,(1) 攻击系统数据区。 (2) 对于文件的攻击。 (3) 影响系统运行速度, 使系统的运行明显变慢。 (4) 破坏磁盘。 (5) 扰乱屏幕显示。 (6) 键盘和鼠标工作不正常。 (7) 攻击CMOS。 (8) 干扰外设的工作, 尤其是打印机。,5.1.6 计算机病毒的危害和由此产生的症状,5.1 Virus Overview计算机病毒概述 5.2 Virus Mechanisms计算机病毒的机制 5.3 Virus Prevention
11、 and Detection 计算机病毒的防范、检测 5.4 Trojan House特洛伊木马,Outline,图5-4 计算机病毒的结构模式,5.2.1 计算机病毒的结构模式,5.2.2 病毒的引导机制,计算机病毒的寄生对象寄生在可以获取执行权的寄生对象上磁盘引导扇区 可执行文件进行自身的主动传播和破坏 寄生方式 替代法链接法 前后依附伴随,图5-5 寄生方式,5.2.2 病毒的引导机制,图5-6 采用加密技术的病毒程序,5.2.2 病毒的引导机制,3. 计算机病毒的引导过程一般:驻留内存 窃取系统控制权 恢复系统功能寄生在磁盘引导扇区中:任何操作系统都有个自举过程, 例如DOS在启动时,
12、 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。病毒程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。这样, 系统的一次初始化, 病毒就被激活了。它首先将自身拷贝到内存的高端并占据该范围, 然后置触发条件如INT 13H中断(磁盘读写中断)向量的修改, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。如果磁盘没有被感染(通过识别标志)则进行传染。,5.2.2 病毒的引导机制,3. 计算机病毒的引导过程一般:驻留内存 窃取系统控制权 恢复系
13、统功能寄生在可执行程序中:这种病毒寄生在正常的可执行程序中, 一旦程序执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并在执行时首先执行它。这种病毒传染性比较强。,5.2.3 病毒的发生机制,(1)传染源:存储介质, 例如软盘、 硬盘等构成传染源。,(2)传染媒介:计算机网, 移动的存储介质或硬件。,(3)病毒激活
14、:是指将病毒装入内存, 并设置触发条件。,(4)病毒触发:内部时钟, 系统的日期, 用户标识符,也可能是系统一次通信等等。一旦触发条件成熟, 病毒就开始作用自我复制到传染对象中, 进行各种破坏活动等。,(5)病毒表现:屏幕显示,破坏数据等,(6)传染:病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。,5.2.4 病毒的破坏机制,(1)修改某一中断向量人口地址一般为时钟中断INT 8H,或与时钟中断有关的其他中断,如INT 1CH,(2)使该中断向量指向病毒程序的破坏模块,(3)激活病毒破坏模块,(4)判断设定条件是否满足,(5)满足则对系统或磁盘上的文件
15、进行破坏活动,5.1 Virus Overview计算机病毒概述 5.2 Virus Mechanisms计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House特洛伊木马,Outline,1. 基本隔离法 计算机系统如果存在着共享信息,就有可能传染病毒。信息系统的共享性和传递性以及解释的通用性,是计算机最突出的优点。2. 分割法 分割法主要是把用户分割成为不能互相传递信息的封闭的子集。,5.3.1 病毒的理论防范方法,3. 流模型法 流模型法是对共享信息流流过的距离设立一个阈值, 使一定的信息只能在一定的
16、区域中流动, 以此建立一个防卫机制。 若使用超过某一距离阈值的信息, 就可能存在某种危险。 4. 限制解释法 限制解释法也就是限制兼容, 即采用固定的解释模式, 就可能不被病毒传染。,5.3.1 病毒的理论防范方法,1.特征代码法 已知病毒样本库在被检测文件中 匹配特征代码检出病毒,5.3.2 计算机病毒的检测,优点:检测准确可识别病毒的名称误报警率低依据检测结果可杀毒缺点:病毒种类增多检索时间变长不能检查多态性病毒不能对付隐蔽性病毒,特征代码匹配成功,2.校验和法 计算正常文件校验和 并写入文件定期或每次使用文件前 计算新校验和与正常态校验和比较检出病毒,5.3.2 计算机病毒的检测,优点:
17、方法简单可发现未知病毒能够发现文件细微变化缺点:必须发布正常态校验和易产生误报警不能识别病毒名称不能对付隐蔽性病毒,不 等,3.行为监测法利用病毒的特有行为特征性来监测病毒的方法,5.3.2 计算机病毒的检测,优点:可发现未知病毒可准确预报未知多数病毒缺点:易产生误报警不能识别病毒名称实现有一定难度,4.软件模拟法模拟CPU执行,在DOS虚拟机下伪执行计算机病毒程序将病毒解密,漏出本来面目特征代码法扫描,5.3.2 计算机病毒的检测,优点:可识别多态型病毒缺点:需与特征代码法结合使用,5.1 Virus Overview计算机病毒概述 5.2 Virus Mechanisms计算机病毒的机制
18、5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House特洛伊木马,Outline,所谓特洛伊木马(Trojan Horse), 就是一种潜伏执行非授权功能的技术, 它在正常程序中存放秘密指令, 使计算机在仍能完成原先指定任务的情况下, 执行非授权功能。 特洛伊木马的关键是采用潜伏机制来执行非授权的功能。 特洛伊木马通常又称为黑客程序。,Trojan House,1. 产生计算机病毒的客观物质因素是什么? 为什么说计算机病毒将长期存在?2. 计算机病毒的机构模式是什么?3. 计算机病毒的传播方式有哪几种?4. 简述病毒的破坏机制。5. 理论上预防计算机病毒的方法有哪些?6. 简诉Trojan House (特洛伊木马)的特征与检测方法。,习 题,
