计算机病毒2

计算机病毒原理与防范

计算机病毒概述

一、计算机病毒与医学上的“病毒”不同，它不是天然存在的，而是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

同医学上的病毒具有同样传染和破坏的特性

1.具有自我复制能力

2.很强的感染性

3.一定的潜伏性

4.特定的触发性

5.很大的破坏性

计算机病毒由生物医学上的病毒引申出来的

逻辑炸弹

蠕虫

1994年2月18日《中华人民共和国计算机信息系统安全保护条例》二十八条:计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

二 、从广义上定义，凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。

三 、计算机的信息需要存取、复制和传送,计算机病毒作为信息的一种形式可以随之繁殖、感染和破坏。

计算机病毒在取得控制权之后，主动寻找目标、广泛传播

自我复制，利用信息通道传播

计算机病毒的产生与发展

计算机病毒的起源

归纳起来，计算机系统、Internet的脆弱性是产生计算机病毒的根本技术原因之一，计算机科学技术的不断进步,个人计算机的快速普及应用是产生计算机病毒的加速器。

计算机病毒的发展背景

祖先：磁芯大战

出现：不仅公开证实了计算机病毒的存在，还告诉听众如何制作计算机病毒

正式出现：计算机病毒一词

计算机病毒的发展历史

一、病毒原始阶段1986~1989

二、混合型病毒1989~91/92 （复杂）

原因:杀毒软件、局域网

1.目标混合型，多个（种）目标

2.隐蔽驻留内存、传染

3.传染后无明显特征

4.自我保护（加密技术、反跟踪技术、制造障碍）

5.破坏性更强

三、多态性病毒

四、生成器

五、网络阶段

六、主动攻击型病毒

03冲击波、04震荡波

七、即时通信、移动通信

趋势:

1.计算机病毒演化

2.千奇百怪病毒出现

3.病毒载体隐蔽

4.方法进步

1.辟开杀毒

2.修改杀毒软件

计算机病毒的基本概念

计算机病毒的生物特征

宿主

感染性

危害性

微小性

简单性

变异性

多样性

特异性

相容性和互斥性

顽固性

计算机病毒的生命周期

1.开发期

2.传染期(流行站点、程序)

3.潜伏期(复制、传播)

4.发作期(事件、日期、特定行为)

5.发现期（杀毒软件厂商）

6.消化期（更新病毒库）

7.消亡期(不是重要威胁）

计算机病毒的传播途径

第一种途径:通过不可移动的计算机硬件设备进行传播。 病毒“搭载”计算机上感染系统附加在某个文件上，文件的复制、传送执行

第二种途径:通过移动存储设备来传播。 磁带、CD、U盘、硬盘、蠕虫

第三种途径:通过计算机网络进行传播。QQ/微信、msn、网络钓鱼

第四种途径:通过点对点通信系统和无线通道传播。

其他未知途径:计算机工业的发展在为人类提供更多、更快捷的传输信息方式的同时，也为计算机病毒的传播提供了新的传播途径。

计算机病毒发作的一般症状

(1)计算机运行得比平常迟钝，程序载入时间比平常久

(2)对一个简单的工作,磁盘机似乎花了比预期长的时间;

(3)不寻常、或与系统正在运行的软件无关的错误讯息出现;

(4)硬盘的指示灯无缘无故地亮了，或程序同时存取多部磁盘机;

(5)系统记忆体容量忽然大量减少，磁盘可利用的空间突然减少;

(6)可执行文档的大小改变了;

(7)记忆体内增加了来路不明的常驻程序;

(8)档案奇怪地消失或档案的内容被附加了一些奇怪的资料;

(9)档案名称、文档名、日期和属性被更改过。

计算机病毒的分类

计算机病毒的基本分类

按照计算机病毒攻击的系统分类

攻击DOS系统的计算机病毒

攻击Windows系统的计算机病毒

攻击UNIX系统的计算机病毒

攻击OS/2系统的计算机病毒

按照计算机病毒的寄生部位或传染对象分类

磁盘引导区传染的计算机病毒 计算机病毒的部分或全部逻辑取代正常引导记录，将正常的引导记录存放在磁盘其他地方

操作系统传染的计算机病毒

可执行程序传染的计算机病毒

按照计算机病毒的攻击机型分类

微型

小型

工作站

按照计算机病毒的链接方式分类

源码型:高级语言编写的程序，编译之前插入到源程序中

嵌入型:把自己嵌入到现有程序中

外壳型：易于编写、常见、易于发现

操作系统型：如入或取代部分操作系统

按照计算机病毒的破坏情况分类

良性计算机病毒:不包含有立即对计算机系统产生直接破坏作用的代码。

良性计算机病毒

1.取得系统控制权

2.使得整个系统运行效率降低、系统可用内存减少。

3.死锁

恶性计算机病毒:在其包含有损伤和破坏计算机系统的操作的代码,在其传染或发作时会对系统产生直接的破坏作用

按照计算机病毒的寄生方式分类

按照计算机病毒激活的时间分类

定时

随机

按照计算机病毒的传播媒介分类

单机计算机病毒

网路计算机病毒 病毒毒性、传染程度 成反比

按照计算机病毒特有的算法分类

练习型计算机病毒:计算机病毒本身包含错误，不能进行很好的传播，调试阶段的病毒

诡秘型计算机病毒:使用技术是自己不易被看到

变型计算机病毒（又称幽灵计算机病毒）:复杂，内容、长度都不一样

按计算机病毒的传染途径分类

按照计算机病毒的破坏行为分类

按照计算机病毒的“作案”方式分类

互联网环境下病毒的多样化

1.传播网络化

2.利用操作系统和应用程序的漏洞

3.传播方式多样

手机：信息窃取、传播非法信息、破坏软硬件、造成网络瘫痪

流氓软件

4.病毒制作技术新

5.诱惑性

6.病毒形式多样化

7.危害多样化

将计算机病毒程序引入计算机内存，使得感染模块和表现模块处于活动状态，有自我保护功能，为感染模块和表现模块设置启动条件

计算机病毒感染模块

功能：2

1.判断当前系统环境是否满足感染条件

2.如果满足，启动感染功能，将病毒程序附加到其他宿主程序上

部分：2

1.感染条件判断子模块

2.感染功能实现子模块

计算机病毒表现模块

部分：2

根据引导模块设置的触发条件

如果满足，启动计算机病毒程序（按照预定的计划执行)

条件判断子模块

表现功能子模块

引导型病毒没有表现模块

某些文件型计算机病毒没有引导模块

病毒程序的生命周期（4个阶段）
潜伏阶段:用户感觉不到病毒存在

传染阶段：将自身复制到其他程序或者磁盘某个区域之上

触发阶段：病毒被激活来进行它想要完成的功能和潜伏阶段一样,触发阶段可能被不同的系统事件所引起

发作阶段：功能被完成.这个功能可能是无害的,例如显示在屏幕上的一个消息:或者是破坏的,例如破坏程序和数据文件

计算机病毒的表现模块

表现模块功能也包括两个部分:

其一是根据引导模块设置的触发条件,判断当前系统环境是否满足所需要的触发条件;

其二是一旦触发条件满足，则启动计算机病毒程序，按照预定的计划执行（如删除程序、盗取数据等)。

1寄生在计算机硬盘的主引导扇区中：与操作系统无关

2寄生在计算机磁盘逻辑分析引导扇区中

3寄生在可执行程序中：

寄生在磁盘引导扇区的病毒一般采用替代法

寄生在可执行文件中的计算机病毒一般采用链接法|

计算机病毒

传染方式

被动传染、主动传染

按时间性：立即传染、伺机传染

传染过程

主动传染计算机病毒是病毒载体，外储存器进入系统内存储器（常驻内存、监视）

病毒引导模块，将病毒传染模块驻留到内存，修改系统中断向量入口地址，INT 13H使得中的向量指向传染模块

一旦系统执行读写操作或者系统功能调用，传染模块被激活，判断满足条件，将自身传染给磁盘或程序转移到原中断程序执行原有操作。

正常计算机dos启动过程

1加电开机之后进入系统的检测程序

2从系统盘0面0到1扇区（逻辑0扇区）读入boot引导程序到内存0000：7c00

3转入boot执行

4boot判断是否为系统盘

是IBM BIO.COM IBM BIO.COM隐含文件

5执行文件。Command.com。装入内存

6系统正常运行，dos启动成功

1将boot区中的计算机病毒代码首先读入内存的0000：7c00

2将自身全部代码读入内存的某一安全区、常驻内存、监视系统运行

3修改INT 13H中断服务处理程序的入口地址，指向病毒控制模块执行

4病毒全部内存后，才读入正常的boot内容0000：7c00

5计算机病毒伺机等待，等待感染新的盘

如果有攻击对象

1将目标盘引导上去读入内存，判断

2如果满足将计算机病毒的部或部分写入boot区，将正常的磁盘引导区程序写入磁盘特写位置

3返回正常的INT 13H中断服务处理程序,完成的目标盘的感染

感染性，杀伤力大，潜伏期短

触发机制

日期触发

时间触发

键盘触发

感染触发

启动触发

访问磁盘次数次触发

调用中断功能触发

CPU型号、主板型号触发

传播机制

1计算机病毒直接从有盘站复制到服务器

2计算机病毒先传染工作站，在工作站内驻留等运行网络盘内程序时，在传染给服务器。

3计算机病毒先传染工作站，在工作站内驻留在计算机病毒运行时直接通过映像路径传染到服务器中

4远程工作站被侵入，进入到网络服务器

5网络环境通过邮件传输，

6邮件，彩信，短信应用程序

计算机病毒发作前的表现

1算机经常性无缘无故的死机

2操作系统无法正常启动

3运行速度异常

4内存不足的错误

5打印、通信及主机接口发生异常

6无意中要求对软盘进行写操作

7以前能正常运行的应用程序经常发生死机或错误

8系统文件的时间，日期和大小发生变化

9宏病毒的表现现象

10磁盘空间迅速减少

11网络驱动器卷或共享目录无法调用

12陌生人发来的电子邮件

13自动链接到一些陌生的网站

计算机病毒发作时的表现

1显示器屏幕异常

2声音异常

3硬盘灯不断闪烁

4进行游戏算法

5Windows桌面图标发生变化

6计算机突然死机或重启

7自动发送电子邮件

8鼠标键盘失控被感染

9系统被打开服务端口

10反计算机病毒软件无法正常工作

计算机病毒发作后的表现

1硬盘无法启动，数据丢失文件，

2文件目录丢失或破坏

3数据密级异常

4使部分可软件升级主板的BIOS程序混乱

5网络瘫痪

6其他异常现象

新型计算机病毒的发展趋势

网络化

人性化

隐蔽化

多样化

平民化

智能化

网络病毒技术不断突破

网络上恶意惩处传播方式多样

网银木马数量迅猛增长

计算机病毒变种的数量成为危害的新标准

混合病毒

黑色产业链

云安全服务将成为新趋势

云安全

p2p网格技术，云计算等分布式计算技术的混合

新型计算机病毒发展的主要特点

流行计算机病毒开始体现出以往计算机病毒截然不同的特征与和发展方向，更加呈现综合性的特点，功能越来越强大

它可以感染引导区可执行文件。更主要的是与网络结合，通过电子邮件，局域网，聊天软件甚至浏览网页等多种途径进行传播，同时还兼有黑客后门功能，进行密码猜测，实施远程控制并且中止计算机病毒软件和防火墙的运行

计算机病毒通常利用操作系统的漏洞进行感染和破坏

1利用系统漏洞将成为计算机病毒有力的传播方式

2局域网内快速传播

3以多种方式快速传播

4欺骗性增强

5大量消耗系统与网络资源

6更广泛的混合型特征

7计算机病毒与黑客技术的融合

8计算机病毒出现频度高，计算机病毒生成工具多，计算机病毒的变种多

9难于控制和彻底根治，容易引起多次疫情

新型计算机病毒的传播途径

传播途径：软盘，光盘，硬盘，bbs，网络，

计算机病毒传播呈现多样性

一隐藏在及时通讯软件中的计算机病毒

二在irc中的计算机病毒

三点对点计算机病毒

新型计算机病毒的最主要载体

网络蠕虫成为最主要和破坏力最大的计算机病毒类型

恶意网页木马和计算机病毒

新型计算机病毒的主要技术

ActiveX与Java

计算机病毒的驻留内存技术

修改中断向量表技术

计算机病毒隐藏技术

静态隐藏技术

秘密行动法

自加密技术

多态技术

插入性病毒技术

动态隐藏技术

1反debug跟踪技术

2检测系统调试寄存器，防止计算机病毒被动态跟踪调试

3进程注入技术

4超级计算机病毒技术

对抗计算机病毒防范系统技术

技术的遗传与结合

计算机病毒介绍

恶意代码：

1.概念：恶意代码->恶意软件

任何以某种方式 对（用户、计算机、网络）造成危害（破坏）的软件，它们统称为恶意软件/代码
包括

计算机病毒
木马
后门
蠕虫
rootkit
(勒索软件、间谍软件)

病毒

对功能或数据造成破坏——>代码
能够自我复制

1.服务端（受害者电脑） 客户端（黑客）

受害者电脑给黑客提供服务

后门 （后门程序）

软件开发当中，在软件当中创建一个后门

它可以让程序员通过后门控制这个软件（但是被坏人利用就坏菜了）

后门与木马的联系

1.隐藏在系统2.具有权限

后门不一定具有感染性、隐蔽性

蠕虫

网络中 复制传播

通信工具
系统漏洞

特性：1.传播2.自我复制3.一般不感染

网络僵尸(botnet)/僵尸网络

概念

是一种逻辑网络

采用一种或多种手段将大量主机感染 bot程序，形成一个网络 （可控制的网络）

1对1 或 1对多

bot是一种病毒或蠕虫

rootKit

功能

在安装目标上，隐藏自身

指定的文件、进程、网络链接

对于 木马、后门 隐藏就nb了

无论静止或者活动，它都不会被察觉（伺机而动）

勒索软件

木马、骚扰、恐吓、绑架用户文件，勒索钱财，

真实货币、比特币、虚拟货币

间谍软件

除了主动收集信息与木马无异

恶作剧软件

软件下载器

下载某个软件的特殊下载工具

捆绑软件，广告有可能是恶意的

恶意脚本

前端语言设计的脚本病毒

宏病毒

存在于 office word ，打开后转移到计算机之上

转移到自动保存的其他文件