计算机病毒与防范技术

Computer Virus

安徽师范大学——计算机与信息学院———— 作者(授课教师): 周文

 

第1章 概述

一、计算机病毒的定义

凡是人为编制的、干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的可自我复制的计算机程序或者指令都是计算机病毒。

1.1 计算机病毒的广义定义

• 蠕虫Worms

  • 网络病毒，主要在网络上进行复制。
  • 蠕虫会在某台远程机器上自动运行，而不需要用户的任何干预。
  • 蠕虫是典型不需要宿主程序的独立运行的程序。

• 特洛伊木马Trojan Horses

  • 表面上是有用的软件，实际目的却是危害计算机安全并导致严重破坏的计算机程序。

  • 是一种在远程计算机之间建立连接，使远程计算机能够通过网络控制本地计算机的非法程序。

    • 一般来说，木马由客户端和服务器端两个程序组成。

• 后门

  

• 逻辑炸弹 Logic Bombs

  • 逻辑炸弹是合法的应用程序，只是在编程时被故意写入的某种“恶意功能”(malfunction)

  

• 拒绝服务攻击(DoS)

  • 恶意黑客使用洪泛的方式攻击联网的计算机系统，一般是增加额外的网络流量负载来实现拒绝服务(DoS)攻击
  • 如果DoS攻击是从多台被攻陷的系统(称为僵尸Zombie计算机)上同时发起的，那么这个攻击就被称为分布式拒绝服务攻击(DDoS)。

  

二、计算机病毒的基本特征

2.1 基本特征

2.1.1 非授权性

• 又称非法性

  • 计算机病毒未经授权而执行。

2.1.2 隐藏性

• 病毒一般都是具有很高的编程技巧且短小精悍的程序。

• 通常附在正常程序中或者磁盘较隐蔽的地方，也有个别的以隐含文件的形式出现。

• 目的是不让用发现它的存在。

  • 如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。

• 计算机病毒的隐藏性表现在以下两个方面

  • 传染的隐藏性
  • 病毒程序存在的隐藏性

2.1.3 潜伏性

• 计算机病毒依附于宿主程序，病毒传染宿主程序后，不立即发作，而是潜伏下来。

  • 病毒潜伏性越好，传染范围越广，危害越大。
  • 病毒触发时间由发作条件来确定，在此之前，系统没有任何征兆，不影响系统正常运行。

2.1.4 可触发性

• 计算机病毒因某个事件或者数值的出现，诱使病毒实际感染或者进行攻击的特性称为可触发性。

• 为了隐蔽自己，病毒必须潜伏，少做动作。

  • 如果完全不动作，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。

• 病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。

2.1.5 可执行性

• 又称表现性

• 无论何种病毒程序，一旦侵入系统，都会对操作系统的运行造成不同程度的影响，即具有可执行性。

  • 破坏作用
  • 占用系统资源

2.1.6 破坏性

• 所有的计算机病毒都对操作系统造成不同程度的影响，轻者降低计算机系统工作效率，占用系统资源(如占用内存空间、占用磁盘存储空间以及系统运行时间等)，重者导致数据丢失、系统崩溃。
• 其具体情况取决于入侵系统的病毒程序、取决于计算机病毒设计者的目的。

2.1.7 传染性

• 计算机病毒的传染性是指病毒具有把自身复制到其他程序的能力。

• 正常的计算机程序一般是不会将自身的代码强行链接到其他程序之上的，而病毒却能使自身的代码强行传染到一切符合其传染条件的程序之上。

  • 计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机

• 是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。

2.1.8 针对性

• 针对特定计算机系统或程序进行感染的特性。

• 没有适合于所有操作系统的计算机病毒

  • Windows 环境下的计算机病毒在Macintosh环境下是无效的，反之亦然。

2.1.9 衍生性

• 又称变异性；

• 病毒程序可以被改动，从而衍生出另一种不同于原版病毒的新病毒。

  • 这种衍生出的病毒可能与原先的计算机病毒有很相似的特征，被称为原病毒的一个变种。

• 如果衍生的计算机病毒已经与以前的计算机病毒有了很大甚至是根本性的差别，则此时就会将其认为是一种新的计算机病毒。

2.1.10 不可预见性

• 从对病毒的检测方面来看，病毒还有不可预见性。

  • 不同种类的病毒，它们的代码千差万别。

• 有些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。

• 病毒的制作技术也在不断地提高，病毒技术对反病毒软件永远是超前的。

2.2 计算机病毒的新特点

• 基于Windows的计算机病毒越来越多
• 计算机病毒向多元化发展
• 新计算机病毒种类不断涌现，数量急剧增加
• 计算机病毒传播方式多样化，传播速度更快
• 计算机病毒造成的破坏日益严重
• 病毒技术与黑客技术日益融合

三、计算机病毒的分类

3.1 按照计算机病毒攻击的机型分类

• 攻击微型计算机的病毒
• 攻击工作站的病毒
• 攻击小型计算机的病毒
• 攻击中、大型计算机的病毒

3.2 按照计算机病毒攻击的操作系统分类

• 攻击DOS系统的病毒

• 攻击Windows系统的病毒

• 攻击UNIX系统的病毒

• 攻击OS/2系统的病毒

• 攻击Macintosh系统的病毒

• 其它操作系统上的病毒

  • 如手机病毒、PDA病毒等

3.3 按照计算机病毒的链接方式分类

• 源码型病毒

  • 将病毒代码插入到高级语言源程序中，经编译成为合法程序的一部分；

• 嵌入型病毒

  • 也称作入侵型病毒。
  • 该类病毒将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击对象以插入方式链接，并代替其中部分不常用到的功能模块或堆栈区。

• 外壳(Shell)型病毒

  • 外壳型病毒常附在主程序的首部或尾部，相当于给宿主程序加了个“外壳”译码型病毒。
  • 隐藏在微软Office、AmiPro等文档中，如宏病毒、脚本病毒(VBS/WHS/JS)等，一般是解释执行此类病毒。

• 操作系统型病毒

  • 病毒用自己的程序试图加入或取代部分操作系统功能。

3.4 按照计算机病毒的传播媒介分类

• 单机病毒

  • 单机病毒的载体是磁盘、U盘、光盘等移动存储设备，常见的是通过软盘传入硬盘，感染系统后再传染其他软盘，软盘又感染其他系统。

• 网络病毒

  • –网络为病毒提供了最好的传播途径，网络病毒的破坏能力是前所未有的。
  • 网络病毒利用计算机网络的协议或命令以及Email等进行传播，常见的是通过QQ、BBS、Email、FTP、Web等传播。

3.5 按照病毒的破坏情况分类

• 良性病毒

• 恶性病毒

  • 注意：良性和恶性是相比较而言的，不可轻视任何一种病毒对计算机系统造成的损害。

3.6 按照病毒的寄生对象方式分类

• 引导型病毒
• 文件型病毒
• 混合型病毒

3.7 按照病毒的驻留方式分类

• 驻留内存型
• 不驻留内存型

四、计算机病毒的命名规则

4.1 通用命名规则

• 按病毒发作的时间命名

  • 如“黑色星期五”

• 按病毒发作症状命名

  • 如“小球”病毒

• 按病毒的传染方式命名

  • 如黑色星期五病毒，又命名为疯狂拷贝病毒

• 按病毒自身宣布的名称或包含的标志命名

  • CIH病毒的命名源于其含有“CIH”字符

• 按病毒发现地命名

  • 如“黑色星期五”又称Jerusalem(耶路撒冷)病毒

• 按病毒的字节长度命名

  • 如黑色星期五病毒又称作1813病毒

• 思考：这种命名方式，存在什么不足？

4.2 国际上对病毒命名的惯例

• 计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”，即三元组命名规则

  • 前缀表示该病毒发作的操作平台或者病毒的类型，而DOS下的病毒一般是没有前缀
  • 病毒名为该病毒的名称及其家族
  • 后缀一般可以不要，只是以此区别在该病毒家族中各病毒的不同，可以为字母，或者为数字以说明此病毒的大小

• 三元组中“病毒名”的命名优先级为：

  • 病毒的发现者(或制造者)→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串

    • 例如：WM.Cap.A
    • A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个Word宏(Macro)病毒

  • 病毒名中若有PSW或者PWD之类的，一般都表示该病毒有盗取口令的功能。

4.3 常见前缀

	说明
WM	Word宏病毒
XM	Excel宏病毒
AM	Access宏病毒
MSIL	感染Microsoft的中间语言架构，也就是用.NET编写的病毒
APM	感染Ami Pro文档和模板文件的宏病毒
PDF	感染Adobe PDF文件的病毒
W32	32位Windows病毒，感染所有的32位Windows平台（包括Windows9x/NT/2000/XP等平台）
W2K	运行在32位Microsoft Windows系统下，特别是在Windows2000/XP下的有破坏性的病毒
Linux	Linux操作系统下的ELF文件格式的病毒或特洛伊木马程序
UNIX	运行在UNIX系统中的病毒或外壳脚本
SunOS	运行在Sun Solaris系统中的具有破坏性的病毒
Trojan/Troj	特洛伊木马，装扮成有用的程序，但通常有恶意代码，特洛伊木马一般不会主动传染
VBS/JS/Script	用Visual Basic Script、Java Script等程序语言编写的脚本病毒
JAVA/JV	具有破坏性的Java应用程序或Applet
PHP	用PHP语言编写的脚本病毒或特洛伊木马程序
Bat	批处理文件病毒
Worm	蠕虫

• 随着病毒技术的发展、病毒与黑客技术等技术的结合，出现了如下前缀:

  后缀名	说明
  Hack	一些黑客程序
  Backdoor	后门病毒，该类病毒的公有特性是通过网络传播，给系统开后门
  AdCliker	反复访问含有指定广告的网址的木马
  Adware	在未经过许可的条件下安装广告软件的木马
  KeyLog	记录击键，并向攻击者立即或稍后传送的木马
  Spyware	监视浏览习惯或其他行为，并向外发送信息，通常是搜集信息的木马
  Dropper	病毒种植程序病毒，这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏
  Harm	破坏性程序病毒，这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏，如格式化C盘等
  Joke	恶作剧病毒，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户计算机进行任何破坏
  Binder	捆绑机病毒，如捆绑QQ
  Adware	在未经过许可的条件下安装广告软件的木马
  DoS	会针对某台主机或者服务器进行拒绝服务（DoS）攻击
  Exploit	会自动通过溢出对方或者自己的系统漏洞来传播自身，或者它本身就是一个用于攻击的溢出工具

4.4 病毒命名亟待进一步规范、统一

• 同种病毒出现不同名称的混乱现象，如“新欢乐时光”病毒

  • HTML.Redlof.A [Symantec]
  • VBS.KJ [金山]
  • Script.RedLof [瑞星]
  • VBS/KJ [江民]

• 病毒命名可以做出更细致的规定

• 病毒名由以下6字段组成的

  • 主行为类型
  • 子行为类型
  • 宿主文件类型
  • 主名称
  • 版本信息
  • 主名称变种号

五、计算机病毒的发展阶段

• 第一代病毒的产生 1986年—1989年之间
• 第二代病毒又称为混合型病毒，其产生的年限可以认为在1989年—1991年之间
• 第三代病毒的产生年限可以认为是从1992年到1995年，此类病毒称为“变形”病毒或“幽灵”病毒
• 第四代病毒 20世纪90年代中后期
• 第五代病毒 21世纪后

六、计算机病毒的危害

6.1 计算机病毒编制者的目的

• 恶作剧

• 报复心理

• 保护版权

• 娱乐需要

• 政治或军事目的

  • 计算机病毒对计算机应用的影响
  • 破坏数据
  • 占用磁盘存储空间
  • 抢占系统资源

6.2 影响计算机运行速度

6.3 计算机病毒错误与不可预见的危害

6.4 计算机病毒的兼容性对系统运行的影响

6.5 计算机病毒给用户造成严重的心理压力

七、计算机病毒的症状

• 电脑的工作有时会很不正常
• 有时会莫名其妙地死机
• 有时会突然重新启动
• 有时程序会无法运行
• 有的病毒发作时满屏幕会下雨，有的屏幕上会出现毛毛虫等，还有的会在屏幕上出现对话框

---

本节结束 2019年9月15日

返回目录