1、【摘要】 随着计算机的快速普及和中国 Internet 的爆炸式发展,信息安全的内涵和范围也发生了很大的变化。它从针对性的防范变成一般性的防范,企业领域拓展到家庭领域。人们在享受计算机技术带来的各种便利的同时也在遭受计算机病毒带来的痛苦和烦恼。计算机病毒的特性不仅仅只是恶作剧,更使计算机用户蒙受巨大的损失。目前,计算机病毒可以渗透到信息社会的各个领域,从计算机延伸到手机等各种数码产品,无不受其害。因此,研究计算机病毒的防范技术是极其有必要的 。 【关键词】 计算机病毒 病毒的特性 病毒防范技术 2 目 录 前 言 . 4 第一章 什么是计算机病毒 . 5 第一节 计算机病毒的定义 . 5 第二
2、节 计算机病毒的发 展阶段 . 6 一、根据病毒的技术性划分 . 6 二、根据病毒的特点划分 . 9 第三节 计算机病毒的特征和分类 . 11 一、 计算机病毒的特征 . 11 二、计算机病毒的类型 . 13 第二章 计算机病毒的检测方法和防范技术 . 14 第一节 计算机病毒入侵的途径 . 14 第二节 计算机病毒的检测方法 . 14 一、 外观检测法 . 14 二、 特征代码法 . 15 三、 系统数据对比法 . 15 四、 软件模拟法 . 16 五、 其他病毒检测的新技术 . 16 第三节 计算机病毒的防范技术 . 16 一、 计算机病毒的防范 . 16 二、 清理计算机病 毒的基本技术
3、 . 21 三、 计算机系统的修复 . 22 第三章 计算机病毒实例和解析 . 23 第一节 Win32.StartPage 病毒分析与清除 . 23 一、病毒分析 . 23 二、清除操作 . 24 结 论 . 25 结束语 . 26 3 参考文献 . 27 4 前 言 随着计算机的快速普及和中国 Internet 的爆炸式发展,信息安全的内涵和范围也发生了很大的变化。它从针对性的防范变成一般性的防范,企业领域拓展到家庭领域。人们在享受计算机技术带来的各种便利的同时也在遭受计算机病毒带来的痛苦和烦恼。计算机病毒的特性不仅仅只是恶作剧,更使计算机用户蒙受巨大的损失。目前,计算机病毒可以渗透到信息
4、社会的各个领域,从计算机延伸到手机等各种数码产品,无不受其害。因此,研究计算机病毒的防范技术是极其有必要的。 要 做反计算机病毒技术的研究,首先应搞清楚计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。 因此,研究计算机病毒与防治就显得很有现实意义。本文将从计算机病毒的特点入手,初步探讨计算机的防范策略,分析了计算机病毒的表现形式,针对病毒对计算机及网络的破坏性,提出了防治的基本方法和处理措施。 “前言”,分页,居中, 加黑宋体二号。 空一行。 空一个中文字符行。 5 第一章 什么是计算机病毒 第一节 计算机病毒的定义 生物界的“病毒”( virus)是一种没有细胞结构、只
5、有由蛋自质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物。如 HSN、 0一 157大肠杆曲、 HIV(艾滋病毒)、口蹄疫病毒、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒、埃博拉病毒等。绝大多数病毒只有在电子显微镜下才能看得到,而且不能独立生存,必须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁俏后代因此给寄主生物造成极大的危害在人类或动物的传染性疾病中,有许多是由病毒感染引起的,如人类所患的病毒性肝炎、流行性感冒、艾滋病、脊仙灰质炎、 SARS 等疾病,动物中的猪瘟、鸡瘟、牛瘟等瘟疫。 我们通常所说的“计算机病毒” (Computer Virus)
6、,实际应该 被称做“为达到特殊目的而制作和传播的计算机代码或程序”,或者被称为“恶意代码”。这些程序之所以被称做病毒,主要是由于它们与生物医学上的病毒有着很多的相同点例如,它们都其有寄生性、传染性和破坏性有些恶意代码会像生物病毒隐藏和寄生在其他生物细胞中那样寄生在计算机用户的正常文件中,而且会伺机发作,并大量地复制病毒体感染本机的其他文件和网络中的计算机。而且绝大多教的恶意代码郁会对人类社会生活造成不利的影响,造成的经济损失数以亿计。由此可见,“计算机病毒”这一名词是由生物医学上的病毒概念引申而来的。与生物病毒不同 的是,计算机病毒并不是天然存在的,它们是别有用心的人利用计算机 软、硬件所固有
7、的安全上的缺陷有目的地编制而成的。干扰计算机正常运行并造成计算机软硬件故障,甚至破坏计算机数据的可自我复制的计算机程序或指令集合都是计算机病毒。依据此定义,诸如逻辑炸弹蠕虫,木马程序等均可成为计算机病毒。 国务院颁布的中华人民共和国计算机信息系统安全保护条例,以及公安部出台的计算机病毒防治管理办法将计算机病毒均定义如下:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组 计算机指令或者程序代码。这是目前官方最6 权威的关于计算机病毒的定义,此定义也被目前通行的计算机病毒防治产品评级准则的国家标准所采纳 。 第二节 计算机病毒的发展阶段 一
8、、根据病毒的技术性划分 1、 第一代病毒 第一代病毒的产生可追溯到 1986 年一 1989 年之间,这一时期出现的病毒可以称之为传统病毒是计算机病毒的萌芽和滋生时期。由于当时计算机的应用软件较少,而且大多是单机运行环境因此病毒没有大量流行,且流行病毒的种类也很有限病毒的消除工作相对来说比较容易。这一阶段的计算机病毒具有如下一些特点: 病毒攻击的目林比较单一或者是传染磁盘引导扇区,或者是传染可执行文件。 病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定条件下对目标进行传染。 病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可执行文件的长度增加,文件建立日期与时间发生变化,
9、等等这些特征很容易通过人工或查毒软件发现 病毒程序不具有自我保护措施,容易被分析和解剖从而使得人们容易编制相应的清毒软件。 然而,随若计算机反病毒技术的提高和反病毒产品的不断捅现 病毒编制者也在不断地总结编程技巧和经验于方百计地逃避反病毒产品的分析、检侧和解毒从而出现了第二代计算机病毒。 2、 第二代病毒 第二代病毒又称为混合型病毒,其产生的年限可以认为在 1989 年一 l991年之间,这一时期是计算机病毒由简单到复杂、由单纯走向成热的阶段。在此期间计算机局域网开始应用与普及,许多单机应用软件开始转向网络环境,应用7 软件更加成熟由于网络系统尚未有安全防护愈识因此缺乏在网络环境下防御病毒的思
10、想准备与方法对策,从而导致计算机病毒的第一次流行高峰。这一阶段的计算机病毒且有如下特点: 病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可传染可执行文件。 病毒程序不采用明显截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留在内存和传染目标中。 病毒传染目标后没有明显的特征,如进盘上不出现坏扇区,可执行文件长度的增加不明显,不改变被传染文件原来的键立日期和时间,等等。 病毒程序往往采取一些自我保护措施如加密技术、反跟踪技术,制造障碍。增加人们对其进行分析和解剖的难度,同时也增加了软件检测和解毒的难度。 出现许多病毒的变种,这些变种病毒 比原病母的传染性更隐蔽,破坏性更大。
11、 总之这一时期出现的病毒不仅在数量上急剧增加,更重要的是在病毒编制的方式方法、驻留内存以及对宿主程序的传染方式方法等方面部有了较大变化。 3、 第三代病毒 第三代病毒的产生年限可以认为是从 1992 年到 1995 年,此类病毒称为”变形”病毒或“幽灵”病毒。所谓“变形”是指此类病毒在每次传染目标时放入宿主程序中的病毒程序大部分都是可变的,即在搜集到同二种病毒的多个样本中病毒种序的代码绝大多数是不同的,这是此类病毒的重要特点。正足由于这二特点,传统的利用特征码检侧病毒产品的 方法不能检测出此类病毒。 据资料介绍,此类病毒的首创者是 Mark Washbum,他井不是病毒的有意制造者,而是一位反
12、病毒的技术专家他编写的 1260 病毒就是一种变形病毒。此病毒于 l990 年 1月问世。有极强的传染力,被传染的文件被加密,每次传染时都更换加密密钥,而且病毒程序都进行了相当大的改动。他编写此类病毒是为了研究的目的,他将此类病毒散发给他的同事,其目的是为了向他们证明特征代码检侧法不是在任何场合下都是有效的。然而,遗撼的是,为研究病毒而发明的此种病毒超出了反病毒的技术范围,而变成了制造病毒的技术。 1992 年上半年在保加利亚发现了黑夜复仇者( DarkAvenger)病街的变种“ MutationoDark 一级标题“一、”,左对齐,加黑宋体三号。 8 Avenger“。这是世界上最早发现的
13、多态性的实战病毒,它可用独特的加密算法产生几乎无数的不同形态的同一病毒据悉该病毒作者还散布了一种名为“多态性发发生器”的软件工具,利用此工其对将普通病毒进行编译即可使之变为多态性病毒。 我国在 1994 年底就发现了变形病毒 “幽灵”病毒迫使许多反病毒技术部门开发了相应的检测和杀毒产品。由此可见,第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术 的发展,病毒开始向多维化方向发展,即传统病毒传染的过程与病毒自身运行的时间和空间无关,而新型计算机病毒的传染过程则与病毒自身运行的时间、空间和宿主程序紧密相关,这无疑将使计算机病毒的检侧和消除变得更加困难 。 4、 第四代病毒 20
14、世纪 90 年代中后期,随着远程网及远程访问服务的开通病毒的流行面更加广泛,其范围迅速突破地域的限制,首先通过广城网传播至局城网内,再在局域网内传播扩散。 1996 年下半年随着我国 Internet 和 Email 使用的普及,夹杂于 Email 内的 Word 宏病毒己成为当前病毒的主流。由于宏病毒编 写简单,破坏性强,清除困难。加上徽软对 DOC 文档结构没有公开,因而给直接基于文档结构清除宏病毒的方法带来了诸多不便。从某种意义上讲,微软 Word Basic 的公开性以及 DOC 文档结构的封闭性,使宏病毒对文档的破坏己经不仅仅属于普通病毒的范畴。如果放任宏病毒泛滥,不采取有力的彻底解
15、决方法,将会对信息产业产生不测的后果。 这一时期病毒的最大特点是利用 Internet 作为主要传播途径,因而病毒传播快,隐蔽性强,破坏性大。此外,随着 Windows 95 的应用,出现了 Windows环境下的病毒。这些部给病毒防治和传统 DOS 版杀毒软件带来了新的挑战。 诚然,计算机病毒的发展必然会促进计耸机反病毒技术的发展,也就是说新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战,致使原有的反病毒技术和产品在新型计算机病毒面前无能为力。从而势必使人们认识到现有反病毒产品在对抗新型计算机病毒方面的局限
16、性迫使人们对反病毒技术和产品进行更新换代。 9 到目前为止,反病毒技术己经成为计算机安全的一种新兴的计算机产业或称反病毒工业 5、 第五代病毒 跨入 21 世纪后 ,随着计算机软硬件技术的发展和在学习、生话、工作中的空前普及以及互联网的不断成熟,计算机病毒在技术,传播和表现形式上都发生了很多变化。以往需要几个月甚至几年才能传播开的病毒,现在只需几个小时就可以遍及全球的每个角落。新病毒的出现经常会形成一个重大的社会事件。这对从事反病毒工作的专家和企业来讲提高反应速度、完善反应机制成为阻止病毒传播和企业生存的关键。 二、根据病毒的特点划分 1、 DOS 引导型病毒 1987 年,计算机病毒主要是引
17、导型病毒,具有代表性的是 “ 石头 ” 病毒。当时的计算机需要通过软盘启动后使用 , 引导型 病毒利用软盘的启动原理工作 。它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播 。 1989 年,引导型病毒发展为可以感染硬盘,代表有 “ 石头 ” 病毒。 2、 DOS 可执行阶段病毒 1989 年,可执行文件型病毒出现,它们利用 DOS 系统加载执行文件的机制工作,代表为 “ 耶路撒冷 ” , “ 星期天 ” 病毒,病毒代码在系统执行文件时取得控制权,修改 DOS 中断,在系统调用时进行传染,并将自己附加在可执行文件中,
18、使文件长度增加 。 1990 年,发展为复合型病毒,可感 染 COM 和 EXE 文件。 3、 伴随 、批次型阶段 病毒 1992 年,伴随型病毒出现,它们利用 DOS 加载文件的优先顺序进行工作,具有代表性的是 “ 金蝉 ” 病毒,它感染 EXE 文件时生成一个和 EXE 同名但扩展名为 COM 的伴随体 。 它感染文件时 ,改原来的 COM 文件为同名的 EXE 文件,再产生一个原名的伴随体,文件扩展名为 COM,这样,在 DOS 加载文件时,病毒就取得控制权 。 这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非 DOS 操作系统中,一些伴随型病毒利
19、用操作系统的10 描述语言进行工作,具有典型代表 的是 “ 海盗旗 ” 病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS 下的和 “ 海盗旗 ” 病毒类似的一类病毒。 4、变形型病毒 1994 年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。 它 有一个特点,就是病毒体程序都是静态的。这些变形技术实际上就是单纯地依靠加密手段对病毒体进行保护,也就是说无论密钥如何变化,对于静态的病毒体,只要破译了解密器,解密后得到的原始病毒体代码就被打回成本来面目。 5、 生成机病毒 1995
20、 年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的 “ 病毒生成器 ” ,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是 “ 病毒制造机 ” VCL, 它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。 6、 网络蠕虫病毒 1995 年,随着网络的普及,病毒开始利用网络进行传播,它们 只是以上几代病毒的改进 。 在非 DOS 操作系统中, “ 蠕虫 ” 是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 7、 Windows 阶段 随着 Windows 和 Windows95 的日益普及,利用 Windows 进行工作的病毒开始发展,它们修改( NE,PE)文件,典型的代表是 DS.3873,这类病毒的机制更为复杂,它们利用保护模式和 API 调用接口工作,解除方法也比较复杂。 8、 宏病毒 1996 年,随着 Windows Word 功能的 增强,使用 Word 宏语言也可以编制病
