第七章
计算机病毒及防范
小到个人,大到全世界,凡是在使用计算机
的人无一不在受计算机病毒的困扰。对于那
些侥幸未受病毒骚扰的人,也不能麻痹大意。
对于计算机病毒,最好还是能防患于未然!
为了能更好地做好防范工作,我们必须了解
它的工作原理、传播途径、表现形式,同时
必须掌握它的检测、预防和清除方法。
7-1计算机病毒基础知识
7-1-1 计算机病毒的定义
在《条例》第二十八条中明确指出:“计算机
病毒,是指编制或者在计算机程序中插入的
破坏计算机功能或者毁坏数据、影响计算机
使用,并能自我复制的一组计算机指令或者
程序代码”。此定义具有法律性、权威性。
7-1-2 计算机病毒的历史
19491949年,距离第一部商用计算机的出现还有好几年年,距离第一部商用计算机的出现还有好几年
时,计算机的先驱者冯时,计算机的先驱者冯··诺依曼在他的一篇论文诺依曼在他的一篇论文
《复《复
杂自动机组织论》,提出了计算机程序能够在内存杂自动机组织论》,提出了计算机程序能够在内存
中自我复制,即已把病毒程序的蓝图勾勒出来中自我复制,即已把病毒程序的蓝图勾勒出来 。。
十年之后,在美国电话电报公司十年之后,在美国电话电报公司((AT&T)AT&T)的贝尔实验的贝尔实验
室中,三个年轻程序员道格拉斯室中,三个年轻程序员道格拉斯··麦耀莱、维特麦耀莱、维特··
维维
索斯基和罗伯索斯基和罗伯··莫里斯在工作之余想出一种电子游莫里斯在工作之余想出一种电子游
戏戏
叫做叫做““磁芯大战磁芯大战””,而它成了计算机病毒的祖先。,而它成了计算机病毒的祖先。
7-1-2 计算机病毒的历史(续)
19771977年年夏夏天天,,托托马马斯斯··捷捷··瑞瑞安安的的科科幻幻小小说说《《P-1P-1的的青青春春》》
中,中,
作者幻想了世界上第一个计算机病毒,可以从一台计算机传作者幻想了世界上第一个计算机病毒,可以从一台计算机传
染到另一台计算机,最终控制了染到另一台计算机,最终控制了70007000台计算机,酿成了一台计算机,酿成了一
场灾难,这是计算机病毒的思想基础。场灾难,这是计算机病毒的思想基础。
19831983年年1111月月33日日,,弗弗雷雷德德··科科恩恩博博士士研研制制出出一一种种在在运运行行过过程程
中中
可可以以复复制制自自身身的的破破坏坏性性程程序序,,伦伦··艾艾德德勒勒曼曼将将它它命命名名为为计计算算
机机
病毒,并在每周一次的计算机安全讨论会上正式提出,病毒,并在每周一次的计算机安全讨论会上正式提出,88小小
时后专家们在时后专家们在VAX11/750VAX11/750计算机系统上运行,第一个病毒实计算机系统上运行,第一个病毒实
验成功,一周后又获准进行验成功,一周后又获准进行55个实验的演示,从而在实验上个实验的演示,从而在实验上
验证了计算机病毒的存在。验证了计算机病毒的存在。
7-1-2 计算机病毒的历史(续)
19871987年年1010月,在美国,世界上第一例计算机病毒月,在美国,世界上第一例计算机病毒
((BrianBrian))发现,这是一种系统引导型病毒。它以发现,这是一种系统引导型病毒。它以
强劲的执着蔓延开来。世界各地的计算机用户几强劲的执着蔓延开来。世界各地的计算机用户几
乎同时发现了形形色色的计算机病毒,如大麻、乎同时发现了形形色色的计算机病毒,如大麻、
IBMIBM圣诞树、黑色星期五等等。圣诞树、黑色星期五等等。
19881988年年1111月月33日,美国康乃尔大学日,美国康乃尔大学2323岁的研究生罗岁的研究生罗
伯特伯特··莫里斯将计算机病毒蠕虫投放到网络中,结莫里斯将计算机病毒蠕虫投放到网络中,结
果使美国果使美国66千台计算机被病毒感染,造成千台计算机被病毒感染,造成InternetInternet
不能正常运行。不能正常运行。 这是一次非常典型计算机病毒入这是一次非常典型计算机病毒入
侵计算机网络的事件,引起了世界范围的轰动。侵计算机网络的事件,引起了世界范围的轰动。
7-1-2 计算机病毒的历史(续)
1991年,在“海湾战争”中,美军第一次将计
算机病毒用于实战,在空袭巴格达的战斗中,
成功地破坏了对方的指挥系统,使之瘫痪,
保证了战斗顺利进行,直至最后胜利。
1998年,首例破坏计算机硬件的CIH病毒出现,
引起人们的恐慌。1999年4月26日,CIH病毒
在我国大规模爆发,造成巨大损失。
7-1-3 计算机病毒的结构
计算机病毒的种类虽多,但对病毒代码进
行分析、比较可看出,它们的主要结构是
类似的,有其共同特点。整个病毒代码虽
短小但也包含三部分:引导部分,传染部
分,表现部分。
7-1-4 计算机病毒的特征
在计算机病毒所具有的众多特征中,传染性、潜在计算机病毒所具有的众多特征中,传染性、潜
伏性、触发性和破坏性是它的基本特征。其次,伏性、触发性和破坏性是它的基本特征。其次,
它还有隐蔽性、衍生性和持久性等。它还有隐蔽性、衍生性和持久性等。
网络时代,计算机病毒的新特点:网络时代,计算机病毒的新特点:
① ① 主动通过网络和邮件系统传播主动通过网络和邮件系统传播
② ② 传播速度极快传播速度极快 ③ ③ 危害性极大危害性极大
④ ④ 变种多变种多 ⑤ ⑤ 难于控制难于控制
⑥ ⑥ 难于根治、容易引起多次疫情难于根治、容易引起多次疫情
⑦ ⑦ 具有病毒、蠕虫和后门(黑客)程序的功能具有病毒、蠕虫和后门(黑客)程序的功能
7-2 计算机病毒的工作原理
77-2-1 -2-1 计算机病毒的工作过程计算机病毒的工作过程
计算机病毒的完整工作过程一般应包括以下几个环节:计算机病毒的完整工作过程一般应包括以下几个环节:
11.传染源.传染源
22.传染媒介.传染媒介
33.病毒触发(激活).病毒触发(激活)
44.病毒表现.病毒表现
55.传染.传染
7-2-2 计算机病毒的引导机制
1. 1. 计算机病毒的寄生对象计算机病毒的寄生对象
2. 2. 计算机病毒的寄生方式计算机病毒的寄生方式
3. 3. 计算机病毒的引导过程计算机病毒的引导过程
计算机病毒的引导过程一般包括以下三方面。计算机病毒的引导过程一般包括以下三方面。
(1)驻留内存驻留内存
(2) (2) (2) 窃取系统控制权窃取系统控制权
(3) (3) (3) 恢复系统功能恢复系统功能
7-2-3 计算机病毒的触发机制
计算机病毒在传染和发作之前,往往要判断某些计算机病毒在传染和发作之前,往往要判断某些
特定条件是否满足,满足则传染或发作,否则不特定条件是否满足,满足则传染或发作,否则不
传染、不发作或只传染不发作,这个条件就是计传染、不发作或只传染不发作,这个条件就是计
算机病毒的触发条件。实际上病毒采用的触发条算机病毒的触发条件。实际上病毒采用的触发条
件花样繁多,目前病毒采用的触发条件主要有以件花样繁多,目前病毒采用的触发条件主要有以
下几种。下几种。
1. 日期触日期触发发 2. 2. 时间时间触触发发 3. 3. 键盘键盘触触发发
2. 4. 4. 感染触感染触发发 5. 5. 启启动动触触发发
3. 6. 6. 访问访问磁磁盘盘次数触次数触发发 7. 7. 调调用中断功能触用中断功能触发发
7-2-4 计算机病毒破坏行为
根据有的病毒资料可以把病毒的破坏目标
和攻击部位归纳如下:
① 攻击系统数据区
② 攻击文件 ③ 攻击内存
④ 干扰系统运行
⑤ 运行速度下降
⑥ 攻击磁盘
⑦ 攻击CMOS
7-2-5 计算机病毒的传播
1. 计算机病毒传播的一般过程计算机病毒传播的一般过程
2. 在在系系统统运运行行时时,,计计算算机机病病毒毒通通过过病病毒毒载载体体即即系系
统的统的
3. 外外存存储储器器进进入入系系统统的的内内存存储储器器,,常常驻驻内内存存。。该该
病毒病毒
4. 在在系系统统内内存存中中监监视视系系统统的的运运行行,,当当它它发发现现有有攻攻
击的击的
5. 目目标标存存在在并并满满足足条条件件时时,,便便从从内内存存中中将将自自身身存存
入被入被
6. 攻攻击击的的目目标标,,从从而而将将病病毒毒进进行行传传播播。。而而病病毒毒利利
用系用系
7. 统统INT INT 13H13H读读写写磁磁盘盘的的中中断断又又将将其其写写入入系系统统的的外外
存储存储
8. 器软盘或硬盘中,再感染其他系统。器软盘或硬盘中,再感染其他系统。
7-2-5 计算机病毒的传播 (续)
2. 计算机病毒的传播途径
① 移动存储设备(包括软盘、磁带等)
② 网络和电子邮件
③ 通信系统和通道
7-2-6 计算机病毒与故障、黑客软件的区别
1. 1. 计算机病毒与计算机故障的区别计算机病毒与计算机故障的区别
(1)计计算机病毒表算机病毒表现现现现象象
(2) 计计算算机机在在感感染染病病毒毒后后,,总总是是有有一一定定规规律律地地出出现现
异常异常
(3) 现象:现象:
(4)①① 屏屏幕幕显显示示异异常常,,屏屏幕幕显显示示出出不不是是由由正正常常程程
序序
(5)产生的画面或字符串,屏幕显示混乱。产生的画面或字符串,屏幕显示混乱。
(6)②② 程序装入时间增长,文件运行速度下降。 程序装入时间增长,文件运行速度下降。
(7)③③ 丢失数据或程序,文件字节数发生变化。 丢失数据或程序,文件字节数发生变化。
(8)④④ 内存空间、磁盘空间减小。 内存空间、磁盘空间减小。⑤⑤ 异常死机。 异常死机。
(9)⑥⑥ 系系统统引引导导时时间间增增长长,,磁磁盘盘访访问问时时间间比比平平时时
增长增长
7-2-6 计算机病毒与故障、黑客软件的区别(续)
(2) 与病毒现象类似的硬件故障
硬件的故障范围不太广泛,但是很容易被确认。
在处理计算机的异常现象时很容易被忽略,
只有先排除硬件故障,才是解决问题的根本。
① 电源电压不稳定
② 插件接触不良
③ 软驱故障
7-2-6 计算机病毒与故障、黑客软件的区别(续)
(3) 与病毒现象类似的软件故障
① 出 现 “Invalid; drive;
specification”
(非法驱动器号)
② 引导过程故障
7-2-6 计算机病毒与故障、黑客软件的区别(续)
2.计算机病毒与黑客软件的区别2.计算机病毒与黑客软件的区别
计算机病毒与黑客软件都有隐藏性、潜伏性、可计算机病毒与黑客软件都有隐藏性、潜伏性、可
触发性、破坏性和持久性等基本特点。它们的不触发性、破坏性和持久性等基本特点。它们的不
同之处在于:病毒是寄生在其他的文件中,可以同之处在于:病毒是寄生在其他的文件中,可以
自我复制,可以感染其他文件,其目的是破坏文自我复制,可以感染其他文件,其目的是破坏文
件或系统。而黑客软件,它不能寄生,不可复制件或系统。而黑客软件,它不能寄生,不可复制
和感染文件,其目的是盗取密码和远程监控系统和感染文件,其目的是盗取密码和远程监控系统。。
7-3 计算机病毒的分类
1.按照寄生方式和传染途径分类
计算机病毒按其寄生方式大致可分为两类:一
是引导型病毒,二是文件型病毒;
它们再按其传染途径又可分为驻留内存型和不
驻留内存型,驻留内存型按其驻留内存方式又
可细分。
7-3 计算机病毒的分类 (续)
2.按照传播媒介分类
按照计算机病毒的传播媒介来分类,可分
为单机病毒和网络病毒。
(1)单机病毒
(2)网络病毒
7-4 计算机病毒的发展趋势
随着因特网的普及和广泛应用,计算机病毒在传随着因特网的普及和广泛应用,计算机病毒在传
播形式、病毒制作技术和病毒的形式方面有了根播形式、病毒制作技术和病毒的形式方面有了根
本的改变。在此通过对近年来计算机病毒的疫情本的改变。在此通过对近年来计算机病毒的疫情
特点分析,将计算机病毒的发展趋势归纳如下:特点分析,将计算机病毒的发展趋势归纳如下:
11.高频度.高频度
22.传播速度快,危害面广.传播速度快,危害面广
33.病毒制作技术新.病毒制作技术新
4. 4. 病毒形式多病毒形式多样样化化
55.病毒生成工具.病毒生成工具
7-5 计算机病毒的检测、防范和清除
7-5-17-5-1计算机病毒的检测计算机病毒的检测
如何能够及早地发现新病毒呢?用户可做以下简如何能够及早地发现新病毒呢?用户可做以下简
单判断:首先应注意内存情况;单判断:首先应注意内存情况;其次其次应应注意常用注意常用
的可的可执执行文件(如行文件(如))的字的字节节数数。。
检测检测病毒方法有:特征代病毒方法有:特征代码码法、校法、校验验和法、和法、
行行为监测为监测法、法、软软件模件模拟拟法,法, 这这些方法依据的原些方法依据的原
理不同,理不同,实现时实现时所需所需开销开销不同,不同,检测检测范范围围不同,不同,
各有所各有所长长。。
7-5-2 计算机病毒的防范
防范是对付计算机病毒的积极而又有效的
措施,比等待计算机病毒出现之后再去扫
描和清除能更有效地保护计算机系统。要
做好计算机病毒的防范工作,首先是防范
体系和制度的建立。其次,利用反病毒软
件及时发现计算机病毒侵入,对它进行监
视、跟踪等操作,并采取有效的手段阻止
它的传播和破坏。
7-5-2 计算机病毒的防范(续)
反病毒软件常用以下几种反病毒技术来对
病毒进行预防和彻底杀除:
① 实时监视技术
② 全平台反病毒技术
计算机病毒的清除及常用反病毒软件计算机病毒的清除及常用反病毒软件
计算机病毒的清除:
(1)文件型病毒清除
(2)(2) 引导型病毒的清除
(3)(3) 内存解毒
(4)常用的反病毒软件:
(5)KV3000
(6)瑞星杀毒软件2003版
(7)Norton Antivirus 2003
7-6计算机染毒以后的危害修复措施
对病毒造成的危害进行修复,不论是手工
修复还是用专用工具修复,都是危险操作,
有可能不仅修不好,反而彻底破坏。因此,
为了修复病毒危害,用户应采取以下措施:
1.重要数据必须备份
2.立刻切断电源关机,提高修复成功率
3.备份染毒信息,以防不测
4.修复病毒危害
7-7计算机病毒实例
目前病毒的种类很多,本节主要举几个著
名的病毒来说明如何检测、防范和消除网
络蠕虫病毒和宏病毒等。
1.“2003蠕虫王
()”病毒
2.“硬盘杀手”病毒
3.“好大(I-Worm/Sobig)”病毒 4.
“美丽杀手(W97M/Melissa)”病毒
