网 络 安 全 案 例电子科技大学信息与软件工程学院第七讲 网络病毒与防治电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 2第七讲 网络病毒与防治 内容提要 了解计算机病毒的定义 掌握计算机病毒的工作原理 了解计算机病毒的分类 了解计算机病毒的发展 掌握病毒的清除办法和防范措施电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 3计算机病毒与恶意代码 恶意代码的概念 恶意代码是一种程序，它通过把代码在不被察觉的情况下嵌入到另 一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破 坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 恶意代码的特征 目的性 恶意代码的基本特征。 传播性 恶意代码体现其生命力的重要手段。 破坏性 恶意代码的表现手段。电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例恶意代码的种类恶意代码主要包括：普通计算机病毒 蠕虫 特洛伊木马 Rootkits工具流氓软件 间谍软件 恶意广告 逻辑炸弹 网络僵尸 网络钓鱼 恶意脚本 垃圾信息 智能终端恶意代码等电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例典型安全问题 计算机病毒什么是计算机病毒什么是计算机病毒?电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 6计算机病毒定义 美国计算机研究专家F.Cohen博士最早提出了“计算机病毒” 的概念。计算机病毒是一段人为编制的计算机程序代码。这 段代码一旦进入计算机并得以执行，它就会搜寻其他符合其 传染条件的程序或存储介质，确定目标后再将自身代码插入 其中，达到自我繁殖的目的。其特性在很多方面与生物病毒 有着极其相似的地方。 在中华人民共和国计算机信息系统安全保护条例第二十 八条中将计算机病毒定义为：“指编制或者在计算机程序中 插入的破坏计算机功能或者数据,影响计算机使用并且能够 自我复制的一组计算机指令或者程序代码。”电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 7计算机病毒的发展历史 计算机刚刚诞生，就有了计算机病毒的概念1949年，计算机 之父冯诺依曼在复杂自动机组织论中便定义了计算机病毒的概念：一种“能够实际复制自身的自动机“ 1960年，美国的约翰康维在编写“生命游戏”程序时，首先实现了程序自我复制技术。 贝尔实验室的三位年轻程序员也受到冯诺依曼理论的启发 ，发明了“磁心大战”游戏，进一步将电脑病毒“感染性“的概念体现出来。 电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 8计算机病毒的发展经历的几个主要阶段（一） DOS引导阶段； 1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石 头”病毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软 盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修 改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存， 修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传 播。 DOS可执行文件阶段； 1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件 的机制工作，如“耶路撒冷”，“星期天”等病毒。可执行型病毒的病 毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用 时进行传染，并将自己附加在可执行文件中，使文件长度增加。电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 9计算机病毒的发展经历的几个主要阶段（二）混合型阶段； 1990年，发展为复合型病毒，可感染COM和EXE 文件。 伴随、批次性阶段； 1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性 的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴 随体；它感染COM文件时，改为原来的COM 文件为同名的EXE文件，在产生一个 原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权 ，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒 时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗”病毒，它在得到执 行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。 多形性阶段； 1994年，汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的 方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型 的多形病毒幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一 半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据 中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是 一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒 往往要两段以上的子程序方能解除。电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 10计算机病毒的发展经历的几个主要阶段（三）生成器、变体机阶段； 1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运 算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结 果。 某些解码算法可以由生成器生成不同的变种。其代表作品“病毒制造机 ”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统 的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了 复杂程度。 网络、蠕虫阶段； 1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几 代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用 除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址， 将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。 电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 11计算机病毒的发展经历的几个主要阶段（四）视窗阶段； 1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发 展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的机制 更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。宏病毒阶段和互联网阶段。 1996年，随着MS Office功能的增强及盛行，使用Word宏语言也可以编制病 毒，这种病毒使用类Basic 语言，编写容易，感染Word文件。 1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些 携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，电脑就 有可能中毒。 1997年，随着互联网上Java的普及，利用Java语言进行传播和资料获取的 病毒开始出现，典型的代表是JavaSnake病毒。还有一些利用邮件服务器进 行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 12第一个真正的电脑病毒 到了1987年，第一个电脑病毒C-BRAIN终于诞生了 。一般而言，业界都公认这是真正具备完整特征的 电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄 弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的 ，他们在当地经营一家贩卖个人电脑的商店，由于 当地盗拷软件的风气非常盛行，因此他们的目的主 要是为了防止他们的软件被任意盗拷。只要有人盗 拷他们的软件，C-BRAIN就会发作，将盗拷者的硬 盘剩余空间给吃掉。 电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 13DOS时代的著名病毒（一） 耶路撒冷（Jerusalem） 这个古董级病毒其实有个更广为人知的别称，叫做“黑色星期五”。 为什么会有这么有趣的别称？道理很简单:因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者 所执行的程序，症状相当凶狠。 米开朗基罗（Michelangelo） 著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外，更重 要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日（这也就是 它为什么叫做“米开朗基罗“的原因）时，这个病毒就会以Format硬盘来为这位大师祝寿。电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 14DOS时代的著名病毒（二） 猴子（Monkey） Monkey据说是第一个“引导型”的病毒，只要你使用被Monkey感染过的系统软盘开机，病毒就会入侵到你的电脑中，然后伺机移走硬 盘的分区表，让你一开机就会出现“Invalid drive specification”的信 息。比起“文件型”病毒只有执行过受感染文件才会中毒的途径而言 ，Monkey的确是更为难缠了。 音乐虫病毒（Music Bug） 这个发作时会大声唱歌，甚至造成资料流失、无法开机的病毒，正 是台湾土产的病毒。所以，当你听到电脑自动传来一阵阵音乐声时 ，别以为你的电脑比别人聪明，那很有可能是中毒了。电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 15Windows时代的典型病毒 宏病毒 “宏”的功能，让使用者可以用“创造宏”的方式，将一些繁琐的过程 记录成一个简单的指令来方便自己操作。这使得“文件型”病毒进入 一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行 文件，而宏病毒则会感染Word、Excel、AmiPro、Access等软件储 存的资料文件。 Taiwan NO.1B 是其中的典型。 32位病毒 是在Windows 95之后所产生的一种新型态文件型病毒，它虽然同样 是感染exe执行文件，但是这种病毒专挑Windows的32位程序下手， 其中最著名的就是曾经大为流行的CIH病毒。 电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 16Internet的环境下病毒的新发展 病毒的传染途径更为多元化。传统的病毒可能以磁 盘或其他存储媒体的方式散布，现在电子邮件或聊天软件，网络上下载文件，都可能成为病毒传播的 途径。 利用ActiveX，JavaApplets技术编写的病毒通过浏览器就能传播。 电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 17计算机病毒的发展趋势传播途径增加，传播速度、影响范围不断扩大 IDC, 2002邮件/互联网Code Red Nimdafunlove Klez20012002邮件Melissa19992000Love Letter1981物理介质Brain19861998CIH速客一号 冲击波 2003电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 18病毒数量增长加速电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案 例*Copyright电子科技大学计算机学院 19CIH病毒的签名CIH作者陈盈豪CIH病毒电子科技大学计算机学院第七讲 网络病毒与防治网 络 安 全 案