第六章windows.docx

1、第六章windows网络安全技术教案（第6章）教学内容第6章 计算机病毒防范技术教材章节6.16.3教学周次第13周教学课时2授课对象计算机科学与技术教学环境多媒体教室教学目标了解病毒的工作原理；掌握病毒的检测及消除方法；了解病毒的防范措施；熟练掌握病毒的防范软件。教学内容1.病毒概述（包括：概念、特征、分类、结构等）。2.病毒工作原理。3.病毒的清除与防范。教学重点1.病毒的检测与清除。2.病毒的防范措施。教学难点病毒的工作原理，手动清除病毒。教学过程本章分1次讲述，共2学时，讲授思路和过程如下：1.详细分析第1次课提到的震荡波病毒的传播过程、发作症状、表现形式、表现特征、清除建议等，引出病

2、毒问题。2.介绍病毒的概念、一般特征，分类、结构等。3.介绍病毒的工作原理。4.介绍病毒发作前、中、后的主要症状，应引起学生对计算机使用状态的重视。5.介绍病毒的检测与清除。强调手工清除的重要性。6.重点介绍病毒的防范措施。作业与要求作业内容：1.P218，1、2、5、6、9、10题。2.进行实验15准备。要求：1.记录实验过程和结果。2.撰写并提交实验报告。备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。第6章 计算机病毒防范技术用第一次课提到的“震荡波”(Worm.Sasser )蠕虫病毒，说明研究病毒的几个问题。产生：“震荡波”病毒是由斯万在他18岁生日的前几天编制出来的。说

3、是编制，实际上是他为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。但在编写病毒程序的过程中，他又设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。传播：这个病毒在从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢 。最后微软悬赏25万美元找原凶! 那这种病毒的主要特征除了会出现“系统关机”框以外，还有这样一些特征：通过事件查看器可以看到系统日志中出现的相应记录；通过任务管理器查

4、看系统资源占用情况（可能有大批资源会占用），出现电脑运行异常缓慢的现象；在有就是在内存中会出现名为avserve的进程； 系统目录中出现名为avserve.exe的病毒文件；注册表中也会出现病毒键值。 问题：对于这样的病毒，应该怎么办？第一步是安全模式启动，重新启动系统同时按下按F8键，进入系统安全模式；第二步是注册表的恢复；第三步是删除病毒释放的文件；第四步是安装系统补丁程序 最后一步是重新配置防火墙，或关闭TCP端口5554和9996。说到补丁程序，是否有同学知道这星期微软件发布了几个安全被丁？6个安全补丁，其中5个为严重，1个为重要。补丁在网络安全防护中非常重要。计算机病毒是恶意程序的一

5、种。所谓恶意程序，是指一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入到计算机系统中来。恶意程序可以分为许多类型。如下图所示。当然还有细菌、逻辑炸弹、陷门等。蠕虫是一种通过网络自我复制的恶意程序。通常人们也把它称为病毒的一种。因为，蠕虫一旦被激活，可以表现得像病毒，可以向系统注入特洛伊木马，或进行任何次数的破坏或毁灭行动。典型的蠕虫只会在内存维持一个活动副本。此外，蠕虫是一个独立程序，自身不改变任何其他程序，但可以携带具有改变其他程序的病毒。（在介绍到蠕虫时提：像尼姆达病毒就是一种蠕虫病毒。还有是否有同学知道现在最猖獗的蠕虫病毒是什么？）（从2005年5月19日首次出现至今，该病毒目前

6、已有188个变种，“威金”病毒主要通过网络共享传播，病毒会感染电脑中所有的.EXE可执行文件，传播速度十分迅速。病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗（QQpass）”等10余种木马病毒，企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码等。）计算机病毒是所有计算机用户在计算机安全问题上，经常碰到的问题。在1999年Security Poral的报告中，排在计算机安全问题第一位的是计算机病毒事件，其次是与计算机病毒关系极为密切的黑客问题。所以本章要介绍病毒的特点及其防治。6.1 计算机病毒的概念我们都知道，计算机的灵魂是程序。正是建立在微电子载体上的程序，

7、才将计算机延伸到了人类社会的各个领域。“成也萧何，败也萧何”，人的智慧可以创造人类文明，也可以破坏人类已经创造的文明。随着计算机系统设计技术向社会各个领域急剧扩展，人们开发出了将人类带入信息时代的计算机程序的同时，也开发出了给计算机系统带来副作用的计算机病毒程序。6.1.1 计算机病毒的定义在生物学界，病毒是一类没有细胞结构但有遗传、复制等生命特征，主要由核酸和蛋白质组成的有机体。计算机病毒与其非常相似。所谓计算机病毒是指一种能够通过自身复制传染,起破坏作用的计算机程序。在这个定义中强调了计算机病毒程序的三个基本要素：即程序性、传染性和破坏性。这些也恰恰是计算机病毒的特征。6.1.2 计算机病

8、毒的特征计算机病毒有一些与生物界中的病毒极为相似的特征，主要有：1.传染性和衍生性病毒也是一种程序，它与其他程序的显著不同之处，就是它的传染性。与生物界中的病毒可以从一个生物体传播到另一个生物一样，计算机病毒可以借助各种渠道从已经感染的计算机系统扩散到其他计算机系统。20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战”的游戏中通过复制自身来摆脱对方的控制，这就是计算机“病毒”的雏形。1983年美国计算机专家弗雷德科恩博士研制出一种在运行过程中可以自我复制的具有破坏性的程序，并在同年11月召开的国际计算机安全学术研讨会，首次将病毒程序在VAX/750计算机上进行了实验

9、。世界上第1个病毒就这样出生在实验室中。20世纪80年代初，计算机病毒（如巴基斯坦智囊病毒）主要感染软盘的引导区。20世纪80年代末，出现了感染硬盘的病毒（如大麻病毒）。20世纪90年代初，出现了感染文件的病毒（如黑色13号星期五病毒）。接着出现了引导区和文件型“双料”病毒，既感染硬盘引导区又感染可执行文件。20世纪90年代中期，称为“病毒生产机”的软件开始出现，使病毒的传播不再是简单的自我复制，而是可以自动、轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象也不同。1995年大量具有相同“遗传基因

10、”的“同族”病毒的涌现，标志着“病毒生产机”软件已出现。目前国际上已有上百种“病毒生产机”软件。这种“病毒生产机”软件不用绞尽脑汁地去编程序，便可以轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象也不同，但主体构造和原理基本相同。这就是病毒衍生性。2.潜伏性和隐蔽性计算机病毒通常是由技术高超者编写的比较完美的、精巧严谨、短小精悍程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不被发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措

11、施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，不会感到任何异常。正是由于隐蔽性，计算机病毒得以在没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易察觉。大部分病毒在感染系统后一般不会马上发作，它可长期隐藏在系统中，除了传染外，不表现出破坏性，这样的状态可能保持几天，几个月甚至几年，只有在满足其特定条件后才启动其表现模块，显示发作信息或进行系统破坏。使计算机病毒发作的触发条件主要有以下3种。(1) 利用系统时钟提供

12、的时间作为触发器。(2) 利用病毒体自带的计数器作为触发器。(3) 利用计算机内执行的某些特定操作作为触发器。3.欺骗性和持久性每个计算机病毒都有特洛伊木马的特点，用欺骗手段寄生在其文件上，一旦这种文件被加载，就发生问题。即使在病毒程序被发现以后，数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下，由于病毒程序由一个受感染的拷贝通过反复传播，使得病毒程序的消除非常复杂。4.触发性和破坏性触发性是指计算机病毒的发作一般都有一个激发条件，即一个条件控制。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等。另外，计算机病毒的设计者进行病毒程序设计的目的就是为了

13、攻击破坏。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。计算机病毒的破坏性多种多样。若按破坏性粗略分类，可以分为良性病毒和恶性病毒。恶性病毒是指在代码中包含有损伤、破坏计算机系统的操作，在其传染或发作时会对系统直接造成严重损坏。良性病毒是指不包含立即直接破坏的代码，只是为了表现其存在或为说明某些事件而存在。但是这类病毒的潜在破坏还是有的，它使内存空间减少，占用磁盘空间，降低系统运行效率，使某些程序不能运行，它还与操作系统和应用程序争抢CPU的控制权，严重时导致系统死机、网络瘫痪。一般表现在占用CPU资源、干扰系统运行、

14、攻击CMOS、攻击系统数据区、攻击文件、干扰外部设备运行等等。6.1.3 计算机病毒的分类1.系统引导病毒以硬盘和软盘的非文件区域（系统区域）为感染对象。引导型病毒会去改写磁盘上的引导扇区（BOOT SECTOR）的内容，软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬盘。常见的引导型病毒有: 大麻(Stoned)、2708、INT60病毒、Brain、小球病毒等。2.文件型病毒文件型病毒是指感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。被感染的文件分为可执行文件类和文本文件类。文件型的病毒文件型病毒主要以感染文件扩展名

15、为.COM、.EXE和.OVL等可执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓，甚至完全无法执行。有些文件遭感染后，一执行就会遭到删除。典型文件型病毒有: ONEHALF、NATAS、3783、FLIP。3. 复合型病毒具有引导型病毒和文件型病毒寄生方式的计算机病毒称作复合型病毒，典型的复合型病毒有尼姆达、SQL Slammer、口令蠕虫与冲击波病毒。4. 宏病毒宏病毒一般是指用Visual Basic书写的病毒程序，是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就

16、会被激活，转移到计算机上，并驻留在Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。由于被感染文件通常会通过网络共享或下载，因此宏病毒的传播速度相当惊人。典型的宏病毒有 Word宏病毒和Excel宏病毒。5. 特洛伊木马型程序木马本身并不会自我复制，被广义归类成病毒。木马病毒是指在用户的机器里运行服务端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序的控制端，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。6. 网络蠕虫病毒蠕虫是一种通过网络传播的病毒，它具有病毒的一些共性，

17、如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，网络的发展使得蠕虫可以在短短的时间内蔓延世界，造成网络瘫痪。事实上，随着病毒的不断发展，综合型的病毒已比较常见，已不易明确分类。计算机病毒分类6.1.4 计算机病毒的结构计算机病毒的种类很多，但是它们的主要结构是类似的，一般需要4个部分：引导部分、传染部分、表现部分和破坏部分。1.引导部分它的作用是借助于宿主程序将病毒主体从外存加载到内存，以便传染部分和表现部分进入活动状态。它所做的工作有：驻留内存、修改中断、修改高端内存、保存原中断向量等操作。另外，引导部分还可以根据特定的计

18、算机等，将分别存放的病毒程序链接在一起，重新进行装配，形成新的病毒程序，破坏计算机系统。2.传染部分其作用是将病毒代码复制到传染目标上去。一般复制传染的速度比较快，不会引起用户的注意，同时还尽可能扩大传染范围。病毒的传染模块大致有两部分组成：条件判断部分，负责判断传染条件是否成立；程序主体部分，负责将病毒程序和宿主程序链接，完成传染病毒的工作。不同类型的病毒在传染方式和传染条件方面各不相同。进行传播之前，先要判断传染条件。3.表现部分它是病毒间差异最大的部分，是病毒的核心，前两部分也是为这部分服务的。一般的病毒都在满足一定条件的情况下，才会触发其表现部分，如以时钟、计数器作为触发条件的或用键盘

19、输入特定来触发的。这一部分也是最为灵活的部分，它完全根据编制病毒者的不同目的而千差万别，或者根本没有这一部分。4.破坏部分作用是产生破坏被传染系统的行为。6.2 计算机病毒的工作原理为了做好病毒的检测、预防和清除工作，首先要在认清计算机病毒的结构和主要特征的基础上，了解计算机病毒的工作的一般过程及其原理，只有这样才能针对每个环节做出相应的防范措施，为检测和清除病毒提供充实可靠的依据。6.2.1 计算机病毒的引导过程计算机病毒的引导过程一般分为3步：驻留内存、窃取控制权和恢复系统功能。1.驻留内存病毒要发挥其破坏作用，多数要驻留内存。为了驻留内存，就必须开辟内存空间或覆盖系统占用的部分内存空间。

20、2.窃取控制权计算机病毒驻留内存后，接下来的工作是取代或扩充系统原有功能，并窃取系统的控制权。3.恢复系统功能计算机病毒窃取系统控制权后，就要开始潜伏等待，即根据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。然而，病毒为了隐蔽自己，驻留内存后还要恢复系统，使系统不致死机。6.2.2 计算机病毒的触发机制传染、潜伏、可触发、破坏是病毒的基本特性。可触发性是病毒的攻击性和潜伏性之间的的杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。过于苛刻的触发条件，可能使病毒有好的潜伏性，但不易传播、杀伤力较低。而过于宽松的触发条件将导致病毒频繁感染破坏，容易暴露，导致用户做反病毒处理

21、，也不能有大的杀伤力。计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染、不发作或只传染不发作，这个条件就是计算机病毒的触发条件。下面通过一些例子，说明一些病毒的触发条件。(1) 日期/时间触发。很多病毒采用日期或时间做触发条件。计算机病毒读取系统时钟，判断是否激活。例如：PETER-2，在每年2月27日会提出3个问题，答错后会将硬盘加密。Yankee Doodle，在每天下午5时发作。黑色星期五，逢13日的星期五发作。上海一号，在每年的三、六、九月的13日发作。1998年2月，台湾的陈盈豪，编写出了破坏性极大的Windows恶性病毒CHI-1.2版，并定

22、于每年的4月26日发作破坏，然后，悄悄地潜伏在网上的一些供人下载的软件中。可是两个月的时间，被人下载的不多，到了4月26日，病毒只在台湾少量发作，并没有引起重视。陈盈豪又炮制了CHI-1.3版，并将破坏时间设在6月26日。7月，又炮制出了CHI-1.4版。这次，他干脆将破坏时间设为每个月的26日。(2) 计数器触发。计算机病毒内部设定一个计数单元，对系统事件进行曲计数，判定是否激活。例如：2078病毒当系统启动次数达到32次时被源程序激活，发起对串、并口地址的攻击。(3) 键盘触发。当敲入某些字符时触发或组合键等为激发条件。例如：AIDS病毒，在敲入A、I、D、S时发作。Devils Danc

23、e病毒在用户第2000次击键时被触发。Invader病毒在按下Ctrl+Alt+Del键时发作。(4) 启动触发。以系统的启动次数作为触发条件。例如：Anti-Tei和Telecom病毒当系统第400次启动时被激活。(5) 感染触发。以感染文件个数、感染序列、感染磁盘数、感染失败数作为触发条件。例如：Black Monday病毒在运行第240个染毒程序时被激活；VHP2病毒每感染8个文件就会触发系统热启动操作等。(6) 组合条件触发。用多种条件综合使用，作为计算机病毒的触发条件。6.2.3 计算机病毒的传播计算机病毒的传播过程就是其传染过程。病毒的传染大体上有3个途径。1.文件传染传播病毒的文

24、件可以分为3类：(1) 可执行文件，即扩展名为.COM,.EXE,/PE,.BAT,.SYS等的文件。(2) 文档文件或数据文件，例如，Word文档，Excel文档，Access数据库文件。宏病毒就感染这些文件。(3) Web文档，如.html文档和.htm文档。已经发现的Web病毒有HTML/Prepend和HTML/Redirect。文件传染可能采用如下的一种方式：(1) 驻留复制。复制病毒装入内存后，发现另一个系统运行的程序文件后进行传染。(2) 非驻留复制。病毒选择磁盘上一个或多个文件，不等它们装入内存，就直接进行感染。2.引导扇区传染引导扇区病毒在系统初始化时自动装入内存，然后简单地

25、将指令指针（指针计数器的内容）修改到一个存储系统指令的新的位置。于是便以普通方式启动，而病毒已经驻留在了内存。所以，不需要用户执行磁盘上任何被感染的程序，只要有访问磁盘的操作，就可以进行复制。3.网络及电子邮件传播(1) 直接发送传播利用社会工程学，最典型的莫过于在QQ 上对网友说：“这是我照片”或“美女图片”，然后发送带有病毒的图象文件,虽然原始，但还是有很多人中招成功率很难说。(2) 利用电子邮件A) 利用附件进行传播。著名的“爱虫”，由于邮件的主题是具有诱惑性的“I LOVE YOU”，附件为LOVE-LETTER-FOR-YOU.TXT.VBS，一旦用户打开附件，病毒便进行感染：搜索o

26、utlook地址簿、IRC连接、发送带有病毒的邮件、通过IRC感染其它用户。主要是通过HTML嵌入技术实现。B) 邮件网页木马只要接受者点击了邮件主题看了信件，而不用打开附件，就会中招。而攻击者只需利用社会工程学及心理学等基本技巧，让邮件看起来不是明显的垃圾邮件或广告，接受者会认为反正不打开附件就没事于是打开邮件。3) 利用网页启动A) Java & Active XB) Jpg网页木马传播打开http:/xxx.xxx.xxx.xxx/001.jpgC) 域名欺骗D) 电子书(CHM)木马4.利用系统漏洞Worm.Blaster利用的是系统的RPC DCOM漏洞2005年的狙击波(Worm.

27、Zotob/Worm.Mytob)，利用MS05-051漏洞。6.3 感染病毒后计算机系统出现的症状我们可以从3个方面来讨论这个问题。6.3.1 计算机病毒发作前的症状计算机病毒发作前阶段，是指从计算机病毒感染计算机系统，潜伏在系统内开始，直到激发条件满足，计算机病毒发作之前的阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不易被发现的前提下，自我复制，以各种手段进行传播。但它总有一些表现，例如： 原来运行正常的计算机突然经常性无缘无故地死机。由于修改了中断引起的系统不稳定。 操作系统无法正常启动。可能由于感染病毒后系统文件结构发生变化，无法

28、操作系统加载、引导。 运行速度明显变慢。可能由于计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不足，运行变慢。 原来正常运行的软件总出现内存不足的错误。可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减小。 打印和通信异常。可能由于计算机病毒驻留内存后占用了打印端口，串行通信端口的中断服务程序，使之不能正常工作。 应用程序经常发生死机或者非法错误。可能由于计算机病毒破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。 系统文件的时间时期、大小发生变化。这是最明显的计算机病毒感染迹象。 打开的Word文档另存时只

29、能以模板方式保存。往往是打开的Word文档中感染了Word宏病毒的缘故。 磁盘空间突然迅速减少。 网络驱动器卷或共享目录无法调用。 基本内存发生（一般少1KB几KB）。通常是感染了引导型计算机病毒所致。 陌生人发来的电子邮件。 自动链接到一些陌生的网站。注意：一般的系统故障是有别于计算机病毒感染的。系统故障大多只符合上面的一点或两点现象，而计算机病毒感染所出现的现象会有很多。6.3.2 计算机病毒发作时的症状计算机病毒发作是指满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的阶段。通常，不同的计算机病毒发作时的表现也不相同。下面是一些病毒发作时常见的表现现象： 出现一些不相干的文字提示。

30、发出一段音乐。如“杨基”计算机病毒和中国的“浏阳河”计算机病毒。 产生特定的图像。如小球计算机病毒。 硬盘灯不断闪烁。病毒使用持续大量的硬盘读写操作。 进行游戏算法。 Windows桌面图标发生变化。 计算机突然死机或重启。 自动发送电子邮件。 鼠标指针自己动。注意：上述现象需与计算机正常运行时间的表现相区分。6.3.3 计算机病毒发作后的症状通常，计算机病毒发作都会给计算机系统带来破坏性的后果。大多数计算机病毒都属于“恶性”计算机病毒。“恶性”计算机病毒发作后往往会带来很大的损失，下面列举一些恶性计算机病毒发作后所造成的后果。 硬盘无法启动。可能是计算机病毒破坏了硬盘的引导扇区。 系统文件丢

31、失或被破坏。可能是某些计算机病毒发作时删除了系统文件，或破坏了系统文件。 文件目录发生混乱。有两种情况。一种就是确实将目录结构破坏；另一种情况是将真正的目录区转移到硬盘的其他扇区中。只要病毒存在，后者一般能够被恢复。 数据丢失。可能是计算机病毒修改了硬盘的关键内容（如文件分配表，根目录区等），或部分文档丢失或被破坏。 部分文档自动加密码。可能是某些计算机病毒利用加密算法，将加密密钥匙保存在计算机病毒程序体内或其他隐蔽的地方。一旦这种计算机病毒被清除，被加密的文档就很难被恢复了。 网络瘫痪，无法提供正常的服务。6.4 计算机病毒的防范和清除6.4.1 计算机病毒的防范防范是对付计算机病毒积极而又有效的措施，比等待计算机病毒出现之后再去扫描和清除能更有效地保护计算机系统。要做好计算机病毒的防范工作，首先是防范体系和制度的建立。其次，利用反病毒软件及时发现计算机病毒侵入，对它进行监视、跟踪等操作，并采取有效的手段阻止它的传播和破坏。1.单机病毒防范 依靠管理上的措施，及早发现疫情，捕捉计算机病毒，修复系统。 选用功能更完善的、具有更强超前防御能力的反病毒软件，尽可能多地堵塞住能被计算机病毒利用的系统漏洞。