计算机病毒基础知识

第八讲计算机病毒基础知识计算机病毒简介计算机病毒的基本原理计算机病毒的检测技术计算机病毒的清除、预防本讲内容计算机病毒的概念在生物学中，病毒是指侵入动植物体等有机生命体中的具有感染性、潜伏性、破坏性的微生物，而且不同的病毒具有不同的诱发因素。“计算机病毒”一词是人们联系到破坏计算机系统的“病原体”具有与生物病毒相似的特征，借用生物学病毒而使用的计算机术语。“计算机病毒”与生物学上的“病毒”还是有些区别，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性（这是计算机病毒产生的根本原因），编制具有特殊功能的程序。计算机病毒的概念（续）目前最流行的定义：计算机病毒是一段附着在其他程序上的、可以自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性、权威性。病毒程序与正常程序的区别正常程序是具有应用功能的完整程序，以文件形式存在，具有合法文件名；而病毒一般不以文件的形式独立存在，一般没有文件名，它隐藏在正常程序和数据文件中，是一种非完整的程序。正常程序依照用户的命令执行，完全在用户的意愿下完成某种操作，也不会自身复制；而病毒在用户完全不知的情况下运行，将自身复制到其他正常程序中，而且与合法程序争夺系统的控制权，甚至进行各种破坏。计算机病毒产生的原因研究、兴趣等目的。游戏、恶作剧、表现欲等目的。破坏、报复目的。软件保护目的。特殊目的。计算机病毒特征可执行性：病毒是一段可执行程序，但不是一个完整的程序。传染性：病毒的基本特征，必备的特征。非授权性：强调病毒程序的执行对用户是未知的。依附性：病毒的寄生方式（静态）。潜伏性：由可触发性决定的（动态）。可触发性：病毒在一定条件下激活或发作。不可预见性：指病毒的实现机制。针对性：病毒一般是对特定的操作系统的。破坏性：病毒的表现特征。计算机病毒的生命周期创造期：编制者花数日数周努力研究出一种可广为散布的有害程序，新病毒诞生。孕育期：病毒被放在一些容易散播的地方。潜伏感染期：病毒不断地繁殖与传染。发作期：一切条件形成，病毒开始破坏行动。发现期：一旦病毒发作，也就是它被发现的时期。同化期：杀毒软件能够检测到这种新计算机病毒。根除期：使用了能检测及控制这种病毒的杀毒软件，病毒就有可能被根除。计算机病毒的传播途径网页电子邮件局域网共享或共享的个人计算机盗版软件、文件下载系统漏洞、协议漏洞移动存储设备：软盘、磁带、、盘等通过点对点通信系统和无线通信系统传播计算机病毒的状态静态：存在于辅助存储介质上的计算机病毒。能激活态：内存中的病毒代码能够被系统的正常运行机制执行。激活态：系统正在执行病毒代码。失活态：内存中的病毒代码不能被系统的正常运行机制执行。计算机病毒的组成引导模块：病毒的初始化部分，它随着系统或宿主程序的执行而进入内存。感染模块：病毒进行感染动作的部分，负责实现感染机制。触发模块：根据预定条件满足与否，控制病毒的感染或破坏动作。（可选）破坏模块：负责实施病毒的破坏动作。主控模块：在总体上控制病毒程序的运行。计算机病毒工作的主要流程计算机病毒的分类按照操作系统分：系统的病毒、系统的病毒、系统的病毒、系统的病毒等。按照链接方式分：源码型病毒、嵌入型病毒、病毒、译码型病毒、操作系统型病毒等。按照破坏情况分：良性病毒和恶性病毒。按传播媒介分：单机病毒和网络病毒。按寄生方式和传染途径分：引导型病毒、文件型病毒、引导型兼文件型病毒。计算机病毒产生过程程序设计传播依附激活潜伏触发运行实行攻击计算机病毒基本原理的思考传播途径寄生方式激活方式计算机病毒基本原理的举例引导型病毒文件型病毒宏病毒脚本病毒蠕虫病毒引导型病毒通过软盘传播，修改。寄生对象引导扇区。激活方式系统启动。典型病毒：大麻病毒、小球病毒、火炬病毒等。文件型病毒通过文件复制传播。寄生对象可执行文件。激活方式文件执行。典型病毒：变色龙病毒、病毒等。宏病毒宏就是能够组织在一起的，可以作为一个独立命令来执行的一系列命令。通过文件复制传播。寄生对象文件。激活方式文件打开。典型病毒：美丽莎、七月杀手、号病毒等。脚本病毒脚本语言是介于和、和之类的编程语言之间的语言。脚本语言需要一个脚本语言引擎解释执行脚本语言编写的程序。通过网页、等传播。运行网页中控件。欺骗性，如邮件附件采用双后缀。寄生对象:网页文件、附件。激活方式:系统启动自动加载。典型病毒：美丽公园病毒、爱虫病毒、库尔尼科娃病毒等。蠕虫病毒蠕虫()是一个程序或程序序列，通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁或系统崩溃。通过系统漏洞传播。寄生对象系统目录。激活方式系统启动自动加载。典型病毒：冲击波病毒、求职信病毒等。病毒检测技术特征值检测技术校验和检测技术行为监测技术启发式扫描技术虚拟机技术特征值检测技术病毒标识是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号。病毒特征值是指一种病毒有别于另一种病毒的字符串。许多抗病毒软件都采用了计算机病毒特征值检测技术的鉴别办法。检测速度快、准确，误报率低。不能检测未知病毒。校验和检测技术计算正常文件的内容和正常的系统扇区的校验和，将该校验和数据库保存。这种方法既能发现已知病毒，也能发现未知病毒。对隐蔽性病毒无效。常常有误报警。其它检测技术行为监测技术计算机病毒不论伪装得如何巧妙，它总存在着一些和正常程序不同的行为。启发式扫描技术分析文件中的指令序列，根据专家识别病毒的经验和知识，判断该文件是否染上病毒。虚拟机技术也称软件模拟法，是一种软件分析器，用软件方法来模拟和分析程序的运行，而且程序的运行不会对系统产生实际的危险。可能误报警、可发现未知病毒。病毒的清除病毒的清除，又称杀毒，就是将染毒的文件或系统的病毒摘除，使之恢复为可正常运行的健康文件或系统。大多数情况下，使用杀毒软件恢复受感染的文件或系统。如果时间紧迫，有时不得不手工杀毒或恢复。不是所有文件都可以杀毒，也不是所有染毒系统都能够驱除病毒使之康复，可能出现不可预料的结果，做好数据备份。病毒的预防检查外来文件。局域网预防。购买正版软件。小心运行可执行文件。使用确认和数据完整性工具。周期性备份工作文件。留心计算机出现的异常。及时升级抗病毒工具的病毒特征库和有关的杀毒引擎。建立健全的网络系统安全管理制度，严格操作规程和规章制度。计算机病毒的显著特点及防御方法利用漏洞的病毒开始增多，及时修补系统是御毒良方。漏洞是操作系统致命的安全缺陷，如果系统存在漏洞，即使有杀毒软件的保护，病毒依然可以长驱直入，对系统造成破坏。“蠕虫王”病毒就是利用了的最新漏洞进行传播，病毒也属此类，近几年，漏洞病毒更是占到了病毒总数的%。预防漏洞型病毒最好的办法，就是及时为自己的操作系统打上补丁，关闭不常用的服务，对系统进行必要的设置。计算机病毒的显著特点及防御方法（续）病毒向多元化、混合化发展，整体防御成为趋势。病毒中混合型病毒越来越多，它们集合了蠕虫、后门等等功能，利用多种途径传播，危害极大。比如“爱情后门”就是一个混合型病毒，它虽然属于蠕虫类病毒，但不仅会通过邮件、网络进行传播，还会给系统开后门，对用户电脑进行远程控制。而这种病毒的最终目的不仅仅是为了使用户的计算机系统瘫痪，对于攻击者来说，用户存储在计算机上的机密资料对于他们更有价值。针对混合型病毒增多的趋势，未来的杀毒软件将是整体防御的全面解决方案。计算机病毒的显著特点及防御方法（续）有网络特性的病毒增多，杀毒软件的多途径实时监控是关键。有网络特性的病毒开始增多。像蠕虫、木马（黑客）、脚本等类型的病毒，它们都通过网络进行传播。从统计数据上看，这三类病毒占了所有病毒总数的%，其中，对个人电脑和企事业单位影响最大的是蠕虫和木马病毒，像求职信、大无极就是属此类病毒。这类病毒会通过网络或邮件漏洞进行传播，从而阻塞网络、使服务器瘫痪。多用途实时监控，是应对网络病毒泛滥的最佳措施。针对即时通讯软件的病毒大量涌现，用户安全意识要提高。随着上网聊天人数的增多，那些专门针对、等即时通讯软件的病毒极速增加，占普通病毒的%以上。比如影响比较大的专门偷盗用户密码的病毒：传送者和木马。针对的“请客”病毒和专门偷密码的“窃贼”病毒，这意味着，两大主流即时通讯软件都开始遭受到病毒的威胁，用户使用即时通讯软件越来越不安全。在这种情况下，用户要提高自己的安全意识，比如对于即时通讯软件上的好友发送过来的网址和文件，一定要小心。因为这可能是病毒发送的，好友并不知情。计算机病毒的显著特点及防御方法（续）关注即时通讯软件的升级报告，也是保护自己安全的好办法，比如的每一次升级，都会弥补上若干的漏洞。中毒之后，到专业的反病毒厂商网站上寻求专杀工具也是一个好办法。计算机病毒的显著特点及防御方法（续）对计算机病毒应持有的态度客观承认计算机病毒的存在。不要惧怕病毒。树立计算机病毒意识，善于总结经验，积极采取预防措施。掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。发现病毒，冷静处理。