计算机病毒知识与防治Word格式.docx
《计算机病毒知识与防治Word格式.docx》由会员分享,可在线阅读,更多相关《计算机病毒知识与防治Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
这次病毒事件,计算机系统直接经济损失达9600万美元。
这个病毒程序设计者是罗伯特·
莫里斯(ROBERT,当年23岁,是在康乃尔(CORNELL)大学攻读学位的研究生。
罗伯特·
莫里斯设计的病毒程序利用了系统存在的弱点。
由于罗伯特·
莫里斯成了入侵ARPANET网的最大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学AIKEN中心超级用户的特权。
他也因此被判3年缓刑,罚款1万美元,他还被命令进行400小时的社区服务。
1988年底,在我国的国家统计部门发现小球病毒。
三、病毒的产生
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。
其产生的过程可分为:
程序设计--传播--潜伏--触发、运行--实行攻击。
究其产生的原因不外乎以下几种:
1.一些计算机爱好者出于好奇或兴趣,也有的是为了满足自己的表现欲,故意编制出一些特殊的计算机程序,让别人的电脑出现一些动画,或播放声音,或提出问题让使用者回答,以显示自己的才干。
而此种程序流传出去就演变成计算机病毒,此类病毒破坏性一般不大。
2.产生于个别人的报复心理。
如祖国台湾的学生陈盈豪,就是出于此种情况;
他以前购买了一些杀病毒软件,可拿回家一用,并不如厂家所说的那么厉害,杀不了什么病毒,于是他就想亲自编写一个能避过各种杀病毒软件的病毒,这样,CIH就诞生了。
此种病毒对电脑用户曾造成一度的灾难。
3.来源于软件加密,一些商业软件公司为了不让自己的软件被非法复制和使用,运用加密技术,编写一些特殊程序附在正版软件上,如遇到非法使用,则此类程序自动激活,于是又会产生一些新病毒;
如巴基斯坦病毒。
4.产生于游戏,编程人员在无聊时互相编制一些程序输入计算机,让程序去销毁对方的程序,如最早的“磁芯大战”,这样,另一些病毒也产生了。
5.用于研究或实验而设计的“有用”程序,由于某种原因失去控制而扩散出来。
6.由于政治、经济和军事等特殊目的,一些组织或个人也会编制一些程序用于进攻对方电脑,给对方造成灾难或直接性的经济损失。
四、病毒的传播途径
计算机病毒的传播主要是通过拷贝文件、传送文件、运行程序等方式进行。
而主要的传播途径有以下几种:
1.硬盘
因为硬盘存储数据多,在其互相借用或维修时,将病毒传播到其他的硬盘或软盘上。
2.软盘
软盘主要是携带方便,早期时候在网络还不普及时,为了计算机之间互相传递文件,经常使用软盘,这样,通过软盘,也会将一台机子的病毒传播到另一台机子。
3.光盘
光盘的存储容量大,所以大多数软件都刻录在光盘上,以便互相传递;
由于各普通用户的经济收入不高,购买正版软件的人就少,一些非法商人就将软件放在光盘上,因其只读,所以上面即使有病毒也不能清除,商人在制作过程中难免会将带毒文件刻录在上面。
4.网络
在电脑日益普及的今天,人们通过计算机网络,互相传递文件、信件,这样给病毒的传播速度又加快了;
因为资源共享,人们经常在网上下载免费、共享软件,病毒也难免会夹在其中。
五、病毒的特征
1.传染性
计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。
计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。
而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。
而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。
计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。
当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计算机也许也被该病毒感染上了。
是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
2.非授权性
一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。
其目的对用户是可见的、透明的。
而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。
3.隐蔽性
病毒一般是具有很高编程技巧、短小精悍的程序。
通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。
目的是不让用户发现它的存在。
如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。
一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。
而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。
试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。
正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。
病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。
4.潜伏性
大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。
只有这样它才可进行广泛地传播。
如“PETER-2”在每年2月27日会提三个问题,答错后会将硬盘加密。
著名的“黑色星期五”在逢13号的星期五发作。
国内的“上海一号”会在每年三、六、九月的13日发作。
当然,最令人难忘的便是26日发作的CIH。
这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。
5.破坏性
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。
轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。
由此特性可将病毒分为良性病毒与恶性病毒。
良性病毒可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。
这类病毒较多,如:
GENP、小球、W-BOOT等。
恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。
这也反映出病毒编制者的险恶用心。
6.不可预见性
从对病毒的检测方面来看,病毒还有不可预见性。
不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。
有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。
这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。
使用这种方法对病毒进行检测势必会造成较多的误报情况。
而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。
六、病毒的分类
病毒主要有以下几种类型:
1.开机型病毒(BootStrapSectorVirus):
开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。
因为DOS的架构设计,使得病毒可以在每次开机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒可以针对DOS的各类中断(Interrupt)得到完全的控制,并且拥有更大的能力进行传染与破坏。
2.文件型病毒(FileInfectorVirus):
文件型病毒通常寄生在可执行文件(如*.COM,*.EXE等)中。
当这些文件被执行时,病毒的程序就跟着被执行。
文件型的病毒依传染方式的不同,又分成非常驻型以及常驻型两种:
1)非常驻型病毒(Non-memoryResidentVirus):
非常驻型病毒将自己寄生在*.COM,*.EXE或是*.SYS的文件中。
当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。
2)常驻型病毒(MemoryResidentVirus):
常驻型病毒躲在内存中,其行为就是寄生在各类的低阶功能(如Interrupts),由于这个原因,常驻型病毒往往对磁盘造成更大的伤害。
一旦常驻型病毒进入了内存中,只要执行文件被执行,它就对其进行感染的动作,其效果非常显着。
将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。
3.复合型病毒(Multi-PartiteVirus):
复合型病毒兼具开机型病毒以及文件型病毒的特性。
它们可以传染*.COM,*.EXE文件,也可以传染磁盘的开机系统区(BootSector)。
由于这个特性,使得这种病毒具有相当程度的传染力。
一旦发病,其破坏的程度将会非常可观!
4.隐型飞机式病毒(StealthVirus):
隐型飞机式病毒又称作中断截取者(InterruptInterceptors)。
顾名思义,它通过控制DOS的中断向量,把所有受其感染的文件"
假还原"
,再把"
看似和原来一模一样"
的文件丢回给DOS。
5.千面人病毒(Polymorphic/MutationVirus):
千面人病毒可怕的地方,在于每当它们繁殖一次,就会以不同的病毒码传染到别的地方去。
每一个中毒的文件中,所含的病毒码都不一样,对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!
有些高竿的千面人病毒,几乎无法找到相同的病毒码。
感染PE_Marburg病毒后的3个月,即会在桌面上出现一堆任意排序的"
X"
符号
6.宏病毒(MacroVirus):
宏病毒主要是利用软件本身所提供的宏能力来设计病毒,所以凡是具有写宏能力的软件都有宏病毒存在的可能,如Word、Excel、AmiPro等等。
7.特洛伊木马病毒VS.计算机蠕虫
特洛伊木马(Trojan)和计算机蠕虫(Worm)之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。
计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机,方法有很多种例如透过局域网络或是E-mail.最著名的计算机蠕虫案例就是"
ILOVEYOU-爱情虫"
。
例如:
"
MELISSA-梅莉莎"
便是结合"
计算机病毒"
及"
计算机蠕虫"
的两项特性。
该恶性程序不但会感染Word的(此为计算机病毒特性),而且会通过OutlookE-mail大量散播(此为计算机蠕虫特性)。
事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更是结合了"
特洛伊木马程序"
、"
型态来造成更大的影响力。
一个耳熟能详的案例是"
探险虫"
(ExploreZip)。
探险虫会覆盖掉在局域网络上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域网络将自己安装到远程计算机上(此为计算机蠕虫特性)。
8.黑客型病毒
-走后门、发黑色信件、瘫痪网络
自从2001年7月CodeRed红色警戒利用IIS漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed在病毒史上的地位,就如同第一只病毒Brain一样,具有难以抹灭的历史意义。
如同网络安全专家预料的,CodeRed将会成为计算机病毒、计算机蠕虫和黑客"
三管齐下"
的开山鼻祖,日后的病毒将以其为样本,变本加厉地在网络上展开新型态的攻击行为。
果不其然,在造成全球亿美金的损失后,不到2个月同样攻击IIS漏洞的Nimda病毒,其破坏指数却远高于CodeRed。
Nimda反传统的攻击模式,不仅考验着MIS人员的应变能力,更使得传统的防毒软件面临更高的挑战。
继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在网络上大量散播,包含:
电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。
由于Nimda的感染管道相当多,病毒入口多,相对的清除工作也相当费事。
尤其是下载微软的Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效。
每一台中了Nimda的计算机,都会自动扫描网络上符合身份的受害目标,因此常造成网络带宽被占据,形成无限循环的DoS阻断式攻击。
另外,若该台计算机先前曾遭受CodeRed植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势。
类似Nimda威胁网络安全的新型态病毒,将会是MIS人员最大的挑战。
-认识计算机病毒与黑客
防止计算机黑客的入侵方式,最熟悉的就是装置「防火墙」(Firewall),这是一套专门放在Internet大门口(Gateway)的身份认证系统,其目的是用来隔离Internet外面的计算机与企业内部的局域网络,任何不受欢迎的使用者都无法通过防火墙而进入内部网络。
有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。
否则,一旦让恐怖份子进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。
一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会采用另一种迂回战术,直接窃取使用者的账号及密码,如此一来便可以名正言顺的进入企业内部。
而CodeRed、Nimda即是利用微软公司的IIS网页服务器操作系统漏洞,大肆为所欲为。
-宽带大开方便之门
CodeRed能在短时间内造成亚洲、美国等地36万计算机主机受害的事件,其中之一的关键因素是宽带网络(Broadband)的"
always-on"
(固接,即二十四小时联机)特性所打开的方便之门。
宽带上网,主要是指Cablemodem与xDSL这两种技术,它们的共同特性,不单在于所提供的带宽远较传统的电话拨接为大,同时也让二十四小时固接上网变得更加便宜。
事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。
当CodeRed在Internet寻找下一部服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽带用户,"
雀屏中选"
的机率便大幅提升了。
当我们期望Broadband(宽带网络)能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时,同样的,黑客和计算机病毒也有可能随时入侵到我们家中。
计算机病毒可能让我们的马桶不停地冲水,黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。
唯有以安全为后盾,有效地阻止黑客与病毒的觊觎,才能开启宽带网络的美丽新世界。
计算机及网络家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。
在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上网络,那么再厉害的黑客也是一筹莫展,只能苦苦等候。
相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的带宽不但提供家庭用户更宽广的进出渠道,也同时让黑客进出更加的快速便捷。
过去我们认为计算机防毒与防止黑客是两回事(见表一),然而CodeRed却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了网络安全的严重问题。
表一:
黑客与计算机病毒比较
黑客(Hacker)
计算机病毒(Virus)
入侵对象
锁定特定目标
没有特定目标
隐喻
被限制出入境者(非企业网管相关人员),以几可乱真的Passport欺蒙海关守门员(如同企业网络的Gateway),进入国境(企业网络)后,锁定迫害对象(计算机主机),进行各种破坏动作。
某人持有合法护照,但在出入境时,携带的行李被放置枪炮弹药等违禁品(病毒程序),海关(如同企业网络的Gateway)并没有察觉,于是在突破第一道关卡后,这些违禁品进入国境(个人计算机或企业网络),随时产生破坏动作。
举例说明
没有合法身份认证的计算机黑客通常都会先想办法取得一个合法的通行密码,或者利用系统安全疏失,在网络上通行无阻。
一个合法的使用者在有意无意间所「引进」病毒,其管道可能是直接从网际网络下载文件、或是开启e-mail中含有病毒的附加文件(Attachment)所感染。
七、病毒的命名
对病毒命名,各个反毒软件亦不尽相同,有时对一种病毒不同的软件会报出不同的名称。
如“SPY”病毒,KILL起名为SPY,KV300则叫“TPVO-3783”。
给病毒起名的方法不外乎以下几种:
按病毒出现的地点,如“ZHENJIANG_JES”其样本最先来自镇江某用户。
按病毒中出现的人名或特征字符,如“ZHANGFANG—1535”,“DISKKILLER”,“上海一号”。
按病毒发作时的症状命名,如“火炬”,“蠕虫”。
按病毒发作的时间,如“NOVEMBER9TH”在11月9日发作。
有些名称包含病毒代码的长度,如“”系列,“”等体。
八、病毒的危害
计算机病毒会感染、传播,但这并不可怕,可怕的是病毒的破坏性。
其主要危害有:
1.攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录,使磁盘上的信息丢失。
2.删除软盘、硬盘或网络上的可执行文件或数据文件,使文件丢失。
3.占用磁盘空间。
4.修改或破坏文件中的数据,使内容发生变化。
5.抢占系统资源,使内存减少。
6.占用CPU运行时间,使运行效率降低。
7.对整个磁盘或扇区进行格式化。
8.破坏计算机主板上BIOS内容,使计算机无法工作。
9.破坏屏幕正常显示,干扰用户的操作。
10.破坏键盘输入程序,使用户的正常输入出现错误。
11.攻击喇叭,会使计算机的喇叭发出响声。
有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。
有的病毒作者通过喇叭发出种种声音。
12..干扰打印机,假报警、间断性打印、更换字符。
九、病毒的发展
当前计算机病毒的最新发展:
1.病毒的演化,任何程序和病毒都一样,不可能十全十美,所以一些人还在修改以前的病毒,使其功能更完善,使杀毒软件更难检测。
2.在时下操作系统抢占市场的时候,各种操作系统应运而生,其它操作系统上的病毒也千奇百怪。
3.一些新病毒变得越来越隐蔽。
4.多变型病毒也称变形发动机,是新型计算机病毒。
这类病毒采用复杂的密码技术,在感染宿主程序时,病毒用随机的算法对病毒程序加密,然后放入宿主程序中,由于随机数算法的结果多达天文数字,所以,放入宿主程序中的病毒程序每次都不相同。
这样,同一种病毒,具有多种形态,每一次感染,病毒的面貌都不相同,犹如一个人能够“变脸”一样,检测和杀除这种病毒非常困难。
5.既然杀病毒软件是杀病毒的,而就有人却在搞专门破坏杀病毒软件的病毒,一是可以避过杀病毒软件,二是可以修改杀病毒软件,使其杀毒功能改变。
十、怎样发现病毒
计算机病毒发作时,通常会出现以下几种情况,这样我们就能尽早地发现和清除它们。
1.电脑运行比平常迟钝
2.程序载入时间比平常久
有些病毒能控制程序或系统的启动程序,当系统刚开始启动或是一个应用程序被载入时,这些病毒将执行他们的动作,因此会花更多时间来载入程序。
3.对一个简单的工作,磁盘似乎花了比预期长的时间
储存一页的文字若需一秒,但病毒可能会花更长时间来寻找未感染文件。
4.不寻常的错误信息出现
例如你可能得到以下的信息:
writeprotecterrorondriverA
表示病毒已经试图去存取软盘并感染之,特别是当这种信息出现频繁时,表示你的系统已经中毒了!
5.硬盘的指示灯无缘无故的亮了
当你没有存取磁盘,但磁盘指示灯却亮了,电脑这时已经受到病毒感染了。
6.系统内存容量忽然大量减少
有些病毒会消耗可观的内存容量,曾经执行过的程序,再次执行时,突然告诉你没有足够的内存可以利用,表示病毒已经存在你的电脑中了!
7.磁盘可利用的空间突然减少
这个信息警告你病毒已经开始复制了!
8.可执行程序的大小改变了!
正常情况下,这些程序应该维持固定的大小,但有些较不聪明的病毒,会增加程序的大小。
9.坏轨增加
有些病毒会将某些磁区标注为坏轨,而将自己隐藏其中,往往扫毒软件也无法检查病毒的存在,例如DiskKiller会寻找3或5个连续未用的磁区,并将其标示为坏轨
10.程序同时存取多部磁盘
11.内存内增加来路不明的常驻程序
1