计算机病毒原理、类型与实验

1. 计算机病毒概念介绍

1.1 什么是计算机病毒？

计算机病毒是一种恶意软件，类似于现实中的病毒，能够感染其他计算机程序，通过操纵它们来传播和复制。病毒的目标是破坏计算机系统正常运行，可能导致数据丢失、系统崩溃等问题。

1.2 病毒的传播方式和目标

病毒通过各种方式传播，包括感染可执行文件、通过网络传播，甚至通过恶意链接或附件传递给用户。一旦进入系统，病毒可以执行各种有害操作，如删除文件、窃取个人信息，甚至拒绝服务，使计算机无法正常工作。

1.3 病毒与蠕虫、木马的区别

• 病毒（Virus）： 需要用户交互或执行感染文件，依赖宿主文件（可运行程序或脚本）传播。

• 蠕虫（Worm）： 能够自行传播，无需依赖宿主文件。通过网络漏洞或恶意附件传播到其他计算机。

• 木马（Trojan Horse）： 伪装成有用软件，欺骗用户安装。与病毒不同，木马不会自行传播，通常用于窃取信息或提供后门访问。

---

问题设计： 在保护计算机安全的过程中，你认为哪些行为是有效预防计算机病毒的措施？

2. 计算机病毒的原理与类型

2.1 病毒的基本原理

计算机病毒的基本原理类似于现实中的生物病毒。病毒是一段能够自我复制的恶意代码，依附在合法程序或文件上。当这些文件被执行时，病毒也会被激活，开始感染其他文件，如同传染疾病一样，迅速扩散。

2.2 常见的病毒类型

2.2.1 文件感染病毒

• 描述： 这种病毒将自己附加到可执行文件或脚本上，使得在执行这些文件时，病毒也会运行并感染其他文件。

• 示例： CIH（Chernobyl）病毒是一种文件感染病毒，以极快的速度感染并破坏系统文件。

• CIH 中毒发作时的症状就是突然死机或无法开机，而问题的成因却比其它当时已知的电脑病毒都要复杂。它的破坏目标除了硬盘数据，还有主板 BIOS 固件。

• 

• 更多内容可以参考这个帖子二十年重回首——CIH病毒源码分析 - 知乎 (zhihu.com)https://zhuanlan.zhihu.com/p/50684852

2.2.2 引导扇区病毒

• 描述： 这类病毒感染硬盘或可启动设备的引导扇区，使得在启动时病毒会加载到内存中，继而感染其他存储介质。

• 示例： Stoned病毒是引导扇区病毒的例子，曾在20世纪80年代广泛传播。

2.2.3 宏病毒

• 描述： 这种病毒利用应用程序中的宏语言，嵌入在文档中。当文档被打开时，宏病毒也会被执行。

• 示例： Melissa病毒是一种利用Microsoft Word宏的病毒，曾在1999年引起大规模感染。

• 更多内容可以参考这个帖子

• 宏病毒的研究与实例分析01——基础篇-CSDN博客https://blog.csdn.net/qq_38474570/article/details/88382677

2.2.4 网络病毒

• 描述： 网络病毒通过网络传播，利用系统漏洞或用户不慎的行为感染其他计算机。

• 示例： Nimda病毒是一种网络病毒，通过多种方式传播，包括利用邮件附件和共享文件。

3. 病毒的不同影响

3.1 信息窃取

• 描述： 一些病毒专注于窃取用户的个人信息，如账户密码、信用卡号等。这类病毒悄无声息地在背后工作，将窃取的信息发送给攻击者。特别是游戏账号、QQ账号等有虚拟资产比较“值钱”的账号。

• 影响： 用户的隐私和敏感信息可能被泄露，导致财务损失和身份盗窃。

3.2 数据破坏

• 描述： 一些病毒的目标是破坏系统中的数据，可能是文件、数据库或整个硬盘。这种破坏性行为可能导致数据无法恢复。

• 影响： 造成数据丢失，可能导致个人用户或企业遭受重大损失，尤其是未备份的重要数据。

3.3 服务拒绝攻击（DoS）和分布式拒绝攻击（DDoS）

• 描述： 这类攻击旨在通过使目标系统过载或崩溃来阻止正常的服务。DoS由单一来源发起，而DDoS则涉及多个源，使攻击更为强大。

• 影响： 服务不可用，导致业务中断，可能带来重大经济损失。在DDoS攻击中，更难以追踪和阻止攻击源。

• 更多内容可以参考这个帖子

• 【精选】DOS攻击_Shadow丶S的博客-CSDN博客https://blog.csdn.net/song123sh/article/details/124229841

---

4. 历史上影响大的病毒

4.1 Morris蠕虫

• 描述： 于1988年由Robert Tappan Morris创建，是历史上第一种大规模的互联网蠕虫。它通过利用Unix系统上的漏洞，迅速传播到数千台计算机。

• 影响： 引起了互联网上的第一次大规模拒绝服务攻击，导致数千台Unix计算机陷入瘫痪。

• 更多可参考这个

• Morris蠕虫病毒30年：意外打开的潘多拉魔盒 - 知乎 (zhihu.com)https://zhuanlan.zhihu.com/p/48356177

4.2 ILOVEYOU病毒

• 描述： 于2000年出现，通过电子邮件传播。主要感染Windows系统，尤其是使用Outlook的用户。

• 影响： 造成数百万Windows计算机感染，导致了巨大的经济损失，是史上最具破坏性的计算机病毒之一。

• 这里有个有趣的帖子，可以了解更多

• 爱虫病毒二十年：一个蹩脚的病毒为什么影响如此深远？_安全_James Griffiths_InfoQ精选文章https://www.infoq.cn/article/ktMHFSYXw3eegZLZ8tmS

4.3 Code Red蠕虫

• 描述： 于2001年出现，通过利用Microsoft IIS服务器漏洞传播。主要影响Windows服务器系统。

• 影响： 导致数十万台Windows服务器被感染，对互联网基础设施造成了严重威胁。

4.4 Conficker蠕虫

• 描述： 出现于2008年，通过利用Windows操作系统的漏洞传播。主要感染Windows系统。

• 影响： 数百万台Windows计算机感染，形成庞大的僵尸网络，被认为是最顽固的计算机蠕虫之一。

4.5 WannaCry勒索病毒

• 描述： 于2017年大规模爆发，利用Windows漏洞传播。主要影响未及时更新的Windows系统。

• 影响： 感染超过200,000台Windows计算机，影响医疗、交通等多个领域，引起全球关注。

• 这里有更多有趣内容：

• [系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最”详细的蠕虫传播机制解读-腾讯云开发者社区-腾讯云 (tencent.com)https://cloud.tencent.com/developer/article/1910271

---

5. 在Linux系统中预防、查杀病毒

5.1 安装防病毒软件

• 建议： 在Linux系统中安装专门的防病毒软件，例如ClamAV。这些软件能够检测并清除潜在的恶意文件。

5.2 定期更新系统和防病毒软件

• 建议： 及时应用操作系统和防病毒软件的更新补丁，以修复已知漏洞，提高系统安全性。

5.3 使用强密码和权限管理

• 建议： 强制使用复杂的密码，限制用户权限，确保每个用户只能访问其需要的系统资源，从而降低潜在威胁。

• 比如定期更改密码，多因子登录，使用“堡垒机”运维，记录登录和行为日志等。

5.4 文件完整性检查和监控

• 建议： 定期进行文件完整性检查，比如使用工具如Tripwire，以监控系统关键文件是否被篡改。

5.5 网络防火墙的设置

• 建议： 配置网络防火墙，限制不必要的网络访问，确保只有授权的服务和端口能够通信。

---

启发式问题： 在Linux系统中，你认为最重要的安全措施是什么？你是否有其他方法来确保系统安全性？

6. Linux系统中的病毒查杀工具

6.1 ClamAV

6.1.1 安装与配置

# 安装EPEL存储库
sudo yum install epel-release
​
# 安装ClamAV
sudo yum install clamav
​
# 配置ClamAV
sudo freshclam   # 更新病毒数据库
sudo systemctl start clamav-freshclam   # 启动ClamAV更新服务
sudo systemctl enable clamav-freshclam   # 设置开机自启
​
# 设置定时病毒扫描任务（每周一）
sudo crontab -e
0 0 * * 1 clamscan -r / --remove --infected   # 每周一凌晨执行全盘扫描

6.1.2 执行扫描操作

# 执行全盘扫描
sudo clamscan -r / --infected   # 扫描并显示感染文件信息
​
# 删除感染文件
sudo clamscan -r / --infected --remove   # 扫描并删除感染文件

6.2 Rootkit Hunter

6.2.1 安装与配置

# 安装Rootkit Hunter
sudo yum install rkhunter
​
# 更新Rootkit Hunter
sudo rkhunter --update

6.2.2 执行扫描操作

# 执行扫描
sudo rkhunter -c   # 扫描系统
​
# 如果有警告，执行以下命令进行解决
sudo rkhunter --propupd   # 更新文件属性数据库

这些命令适用于CentOS 7系统。在其他Linux发行版中，命令可能会有所不同。确保替换命令中的yum和systemctl等命令，以符合你使用的Linux发行版的包管理和服务管理系统。

7. 实验手册编写范例（具体参照作业要求）

7.1 实验准备

7.1.1 搭建实验环境

在CentOS 7系统中搭建实验环境，确保已安装并配置好ClamAV和Rootkit Hunter。

7.1.2 获取实验所需工具和文件

确保已获取实验所需的工具和文件，包括模拟病毒样本、ClamAV和Rootkit Hunter的安装包。

7.2 实验步骤

7.2.1 模拟病毒传播

1. 下载模拟病毒样本，并将其存放在实验环境中。

2. 模拟病毒传播，将病毒样本复制到系统关键目录或通过其他手段传播。

7.2.2 使用ClamAV进行扫描和清理

1. 打开终端，执行ClamAV全盘扫描命令，检查系统中是否有感染文件。

   sudo clamscan -r / --infected

2. 根据扫描结果，执行清理感染文件的命令。

   sudo clamscan -r / --infected --remove

7.2.3 使用Rootkit Hunter检测潜在的Rootkit

1. 打开终端，执行Rootkit Hunter扫描命令，检测系统中是否存在潜在的Rootkit。

   sudo rkhunter -c

2. 如有警告，执行更新文件属性数据库的命令。

   sudo rkhunter --propupd

7.3 实验总结

7.3.1 分析实验结果

分析ClamAV和Rootkit Hunter的扫描结果，查看是否成功检测并清理了潜在的病毒。

7.3.2 总结防护和查杀经验

总结实验中提高了网络安全认识，同时学到的防护和查杀经验，包括定期更新系统、使用防病毒软件、设置强密码等安全措施。

8. 注意事项

8.1 在合法环境中进行实验

确保在合法的实验环境中进行操作，不要试图在未经授权的系统上进行病毒传播或其他恶意活动，禁止将病毒样本通过任何网络工具传输，避免意外泄露病毒到机构网络或互联网！

8.2 定期备份系统和重要数据

在进行实验前，定期备份系统和重要数据，以防止意外情况导致的数据丢失。如果基于vmware类虚拟机，可以在实验前做好快照备份。如果中间出现虚拟机奔溃或文件系统损坏，可以及时恢复。

8.3 遵循道德准则，不得滥用实验结果

实验中获取的任何有关系统漏洞或安全性的信息，不得用于非法用途。