计算机病毒及防治1

来源:百度文库 编辑:神马文学网 时间:2023/02/02 15:42:06

10.3 计算机病毒及防治

在目前网络十分普及的情况下,几乎所有的计算机用户都遇到过病毒的侵袭,以致影响学习、生活和工作。所以,即使是一个普通的用户,学会病毒的防治,也具有很重要的价值。

10.3.1什么是计算机病毒

“计算机病毒”为什么叫做病毒?首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。其次,由于它与生物医学上的“病毒”同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。

在国内,专家和研究者对计算机病毒也做过许多不尽相同的定义。1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。

自从Internet盛行以来,含有Java和ActiveX技术的网页逐渐被广泛使用,一些别有用心的人于是利用Java和ActiveX的特性来撰写病毒。以Java病毒为例,Java病毒并不能破坏储存媒介上的资料,但若你使用浏览器来浏览含有Java病毒的网页,Java病毒就可以强迫你的Windows不断的开启新窗口,直到系统资源被耗尽,而你也只有重新启动。所以在Internet出现后,计算机病毒就应加入只要是对使用者造成不便的程序代码,就可以被归类为计算机病毒。

10.3.2 计算机病毒分类

计算机病毒有许多不同的种类,可以根据不同的准则来对病毒进行分类:

(1)根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。

(2)根据病毒传染的方法可分为驻留型病毒和非驻留型病毒。

(3)根据病毒破坏的能力可划分为无害型,无危险型,危险型,非常危险型。

(4)根据病毒特有的算法,病毒可以划分为伴随型病毒,“蠕虫”型病毒,寄生型病毒,练习型病毒,诡秘型病毒,变型病毒(又称幽灵病毒)。

下面介绍两个比较常见的名词:特洛伊木马和蠕虫

 

(1)特洛伊木马程序

正如其名称所暗示,一个特洛伊木马程序隐藏着编写者的某种企图而丝毫不为用户所知。特洛伊木马程序通常被用于进行破坏或者对某个系统进行恶意操作,但是表面上伪装成良性的程序,它们同样能对计算机造成严重损害。与一般病毒不同的是,特洛伊木马不对自身进行复制。

(2)蠕虫程序

蠕虫程序和病毒一样复制自身。但是,与病毒在文件之间进行传播不同,它们是从一台计算机传播到另一台计算机,从而感染整个系统。蠕虫程序比计算机病毒更加阴险,因为它们在计算机之间进行传播时很少依赖(或者完全不依赖)人的行为。计算机蠕虫程序是一种通过某种网络媒介——电子邮件,TCP/IP协议等——自身从一台计算机复制到其他计算机的程序。蠕虫程序倾向于在网络上感染尽可能多的计算机,而不是在一台计算上尽可能多地复制自身(像计算机病毒那样)。典型的蠕虫病毒只需感染目标系统(或运行其代码)一次;在最初的感染之后,蠕虫程序就会通过网络自动向其他计算机传播。

10.3.3 计算机病毒的发展过程

在计算机病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。具体来说,计算机病毒的发展可分成以下几个阶段,这几个阶段并不是按严格的时间顺序的。

1. DOS引导阶段

1980年代中后期,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。

当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。

1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”病毒。

2. DOS可执行阶段

1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表性的病毒有“耶路撒冷”,“星期天”等。病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。

后来,可执行文件型病毒发展为复合型病毒,可感染COM和EXE文件。

3. 伴随、批次型阶段

伴随型病毒是利用DOS加载文件的优先顺序进行工作的。具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,较典型的是“海盗旗”病毒,它在得到机会执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的,和“海盗旗”病毒类似的一类病毒。

4. 幽灵、多形阶段

随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如,“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。

5. 生成器、变体机阶段

在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。

6. 网络、蠕虫阶段

随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。

7. Windows阶段

随着Windows操作系统的日益普及,利用Windows进行工作的病毒开始发展,它们修改系统文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。

8. 宏病毒阶段

随着Microsoft Word功能的增强,使用Word宏语言也可以编制病毒。这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。

9. 互联网阶段

随着因特网的发展,各种病毒也开始利用因特网进行传播,携带病毒的邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。随着因特网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。

10.3.4 几种计算机流行病毒介绍

在现今的网络时代,计算机病毒具有快速产生和流行的特点,每隔一段时间,都会有一些新的、危害能力更强的病毒出现。下面介绍的几种病毒是最近两、三年比较著名的病毒。

1. 红色代码病毒

“红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络技术与病毒的巧妙结合,开创了网络病毒传播的新路,可称之为划时代的病毒。稍加改造,就是非常致命的病毒,可以完全取得所攻破计算机的所有权限。可以为所欲为,盗走机密数据,严重威胁网络安全。

该病毒采用了一种叫做“缓存区溢出”的黑客技术,通过微软公司IIS系统漏洞进行感染,它使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行,病毒驻留后再次通过此漏洞感染其它服务器。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。

与其它病毒不同的是,“红色代码”病毒并不将病毒信息写入被攻击服务器的硬盘。它只存在于内存,传染时不通过文件这一常规载体,而是借助这个服务器的网络连接攻击其它的服务器,直接从一台计算机内存传到另一台计算机内存。当本地IIS服务程序收到某个来自“红色代码”发送的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线程跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。

而“红色代码II”是“红色代码”的变种病毒,该病毒代码首先会判断内存中是否已注册了一个名为CodeRedII的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态;未感染则%