计算机病毒概论
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本章概要
病毒、恶意代码和垃圾邮件是计算机系统中常见的安全 威胁。这些安全威胁有以下共性:
ቤተ መጻሕፍቲ ባይዱ
它们都是来自网络以外;
它们使用或破坏计算机资源; 它们通常在用户不知情或无意的情况下进入计算机系统。
1
课程目标
通过本章的学习,读者应能够: 定义恶意代码; 描述恶意代码的一般特征;
识别几种计算机恶意代码并能列举范例;
感染文件所增加的字节数,使看起来字节数很正常。
而1345-64185病毒却每传染一个目标就增加一个宇节, 增到64185个字节时,文件就被破坏。
7
以后又出现了引导区、文件型“双料”病毒,这类病毒 既感染磁盘引导区、又感染可执行文件,常见的有 Flip/Omicron 、 XqR(Newcentury) 、 Invader/ 侵 入 者 、 Plastique/ 塑 料 炸 弹 、 3584/ 郑 州 ( 狼 ) 、 3072( 秋 天 的 水 ) 、 ALFA/3072 - 2 、 Ghost/OneHalf/3544( 幽灵 ) 、 Natas 幽灵王 ) 、 TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘 主引导区的病毒,系统引导时又将病毒调入内存,会重新感 染文件。如果只解除了主引导区的病毒,而可执行文件上的 病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感 染。
提示:病毒是恶意代码的一种形式。然而,病毒有某些其他类型恶意
代码所没有的属性。例如,他们只感染可执行程序,不像其他恶意代码可
能是独立的程序或能够感染数据文件。此外,病毒有许多不同类型;所以 为了区分明确,我们将病毒作为单独的一个计算机威胁类型在第 10 章中讨 论。
3
9.2 病毒简史
20世纪60年代初,美国贝尔实验室里,三位年轻的程序 员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自 身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。 20世纪70年代,美国作家雷恩在其出版的《P1的青春》 一书中构思了一种能够自我复制的计算机程序,并第一次称 之为“计算机病毒”。 1983年11月,在国际计算机安全学术研讨会上,美国计
识别几种特殊类型恶意代码并了解其特性; 解释各种类型的恶意代码是如何进入计算机系统,以及是如何 在计算机系统中传播的; 了解可能感染恶意代码的系统所表现出的常见症状或行为。
2
9.1 什么是病毒?
恶意代码或Malware,是一个可以中断或破坏计算机网络 的程序或代码。一些恶意代码可以将自己附在宿主程序或文件 中,而另一些恶意代码则是独立的。虽然一些恶意代码破坏力 很小,但大多数破坏类型的恶意代码可能会降低系统运行速度, 造成数据丢失和文件毁坏,注册表和配置文件被修改,或为攻 击者创造条件,使其可以绕过系统的安全程序。
8
Flip/Omicron(颠倒)、XqR(Newcentury新世纪)这两种病 毒都设计有对抗反病毒技术的手段,Flip(颠倒)病毒对其自身 代码进行了随机加密,变化无穷,使绝大部分病毒代码与前 一被感染目标中的病毒代码几乎没有三个连续的字节是相同 的,该病毒在主引导区只潜藏了少量的代码,病毒另将自身 全部代码潜藏于硬盘最后 6 个扇区中,并将硬盘分区表和
算机专家首次将病毒程序在 VAX/750计算机上进行了实验,
世界上第一个计算机病毒就这样出生在实验室中。
4
20世纪80年代后期,巴基斯坦有两个以编软件为生的兄 弟,他们为了打击那些盗版软件的使用者,设计出了一个名 为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。这就 是最早在世界上流行的一个真正的病毒。 1988年至1989年,我国也相继出现了也能感染硬盘和软 盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标 志 “ Your PC is now stoned ! ” 、
2062,4096等,主要感染.COM和.EXE文件。这类病毒修改
了部分中断向量表,被感染的文件明显的增加了字节数,并 且病毒代码主体没有加密,也容易被查出和解除。
6
这些病毒中,略有对抗反病毒手段的只有 YankeeDoole 病毒,当它发现你用 Debug工具跟踪它的话,它会自动从文 件中逃走。 接着,又一些能对自身进行简单加密的病毒相继出现, 有 1366(DaLian)、1824(N64)、 1741(Dong)、 1100等病毒。它 们加密的目的主要是防止跟踪或掩盖有关特征等。 在内存有 1741 病毒时,用 DIR 列目录表,病毒会掩盖被
“ LEGALISEMARIJUANA !”,也称为“大麻”病毒等。该病
毒感染软硬盘0面0道1扇区,并修改部分中断向量表。
5
该病毒不隐藏也不加密自身代码,所以很容易被查出和解除。 类似这种特性的还有“小球”、 Azusa/Hong - Kong/2708 、 Michaelangelo ,这些都是从国外传染进来的。而国产的有 Bloody 、 Torch 、 DiskKiller 等病毒,实际上它们大多数是 Stoned病毒的翻版。 20世纪90年代初,感染文件的病毒有 Jerusalem(黑色13 号星期五 ) 、 YankeDoole 、 Liberty 、 1575 、 Traveller 、 1465 、
DOS 引导区中的磁盘实用扇区数减少了 6 个扇区,所以再次
启动系统后,硬盘的实用空间就减少了 6 个扇区。这样,原 主引导记录和病毒主程序就保存在硬盘实用扇区外,避免了
其他程序的覆盖,而且用Debug的L命令也不能调出查看,就
是用Format进行格式化也不能消除病毒,可见,病毒编制者 用意深切!与此相似的还有Denzuko病毒。
9
XqR(Newcentury 新世纪 ) 病毒也有它更狡猾的一面,它 监视着INT13、INT21中断有关参数,当你要查看或搜索被其 感染了的主引导记录时,病毒就调换出正常的主引导记录给 你查看或让你搜索,使你认为一切正常,病毒却蒙混过关。 病毒的这种对抗方法,我们在此称为:病毒在内存时,具有 “ 反 串 ” ( 反 转 ) 功 能 。 这 类 病 毒 还 有 Mask( 假 面 具 ) 、 2709/ROSE( 玫 瑰 ) 、 One_Half/3544( 幽 灵 ) 、 Natas/4744 、 Monkey 、 PC_LOCK 、 DIE_HARD/HD2 、 GranmaGrave/Burglar/1150 、 3783 病毒等,现在的新病毒越 来越多的使用这种功能来对抗安装在硬盘上的抗病毒软件, 但用无病毒系统软盘引导机器后,病毒就失去了“反 串”(反转)功能。 1345 、 1820 、 PCTCOPY - 2000 病 毒 却 直 接 隐 藏 在 COMMAND.COM文件内的空闲 (0代码)部位,从外表上看,文件 一个字节也没增加。
病毒、恶意代码和垃圾邮件是计算机系统中常见的安全 威胁。这些安全威胁有以下共性:
ቤተ መጻሕፍቲ ባይዱ
它们都是来自网络以外;
它们使用或破坏计算机资源; 它们通常在用户不知情或无意的情况下进入计算机系统。
1
课程目标
通过本章的学习,读者应能够: 定义恶意代码; 描述恶意代码的一般特征;
识别几种计算机恶意代码并能列举范例;
感染文件所增加的字节数,使看起来字节数很正常。
而1345-64185病毒却每传染一个目标就增加一个宇节, 增到64185个字节时,文件就被破坏。
7
以后又出现了引导区、文件型“双料”病毒,这类病毒 既感染磁盘引导区、又感染可执行文件,常见的有 Flip/Omicron 、 XqR(Newcentury) 、 Invader/ 侵 入 者 、 Plastique/ 塑 料 炸 弹 、 3584/ 郑 州 ( 狼 ) 、 3072( 秋 天 的 水 ) 、 ALFA/3072 - 2 、 Ghost/OneHalf/3544( 幽灵 ) 、 Natas 幽灵王 ) 、 TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘 主引导区的病毒,系统引导时又将病毒调入内存,会重新感 染文件。如果只解除了主引导区的病毒,而可执行文件上的 病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感 染。
提示:病毒是恶意代码的一种形式。然而,病毒有某些其他类型恶意
代码所没有的属性。例如,他们只感染可执行程序,不像其他恶意代码可
能是独立的程序或能够感染数据文件。此外,病毒有许多不同类型;所以 为了区分明确,我们将病毒作为单独的一个计算机威胁类型在第 10 章中讨 论。
3
9.2 病毒简史
20世纪60年代初,美国贝尔实验室里,三位年轻的程序 员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自 身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。 20世纪70年代,美国作家雷恩在其出版的《P1的青春》 一书中构思了一种能够自我复制的计算机程序,并第一次称 之为“计算机病毒”。 1983年11月,在国际计算机安全学术研讨会上,美国计
识别几种特殊类型恶意代码并了解其特性; 解释各种类型的恶意代码是如何进入计算机系统,以及是如何 在计算机系统中传播的; 了解可能感染恶意代码的系统所表现出的常见症状或行为。
2
9.1 什么是病毒?
恶意代码或Malware,是一个可以中断或破坏计算机网络 的程序或代码。一些恶意代码可以将自己附在宿主程序或文件 中,而另一些恶意代码则是独立的。虽然一些恶意代码破坏力 很小,但大多数破坏类型的恶意代码可能会降低系统运行速度, 造成数据丢失和文件毁坏,注册表和配置文件被修改,或为攻 击者创造条件,使其可以绕过系统的安全程序。
8
Flip/Omicron(颠倒)、XqR(Newcentury新世纪)这两种病 毒都设计有对抗反病毒技术的手段,Flip(颠倒)病毒对其自身 代码进行了随机加密,变化无穷,使绝大部分病毒代码与前 一被感染目标中的病毒代码几乎没有三个连续的字节是相同 的,该病毒在主引导区只潜藏了少量的代码,病毒另将自身 全部代码潜藏于硬盘最后 6 个扇区中,并将硬盘分区表和
算机专家首次将病毒程序在 VAX/750计算机上进行了实验,
世界上第一个计算机病毒就这样出生在实验室中。
4
20世纪80年代后期,巴基斯坦有两个以编软件为生的兄 弟,他们为了打击那些盗版软件的使用者,设计出了一个名 为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。这就 是最早在世界上流行的一个真正的病毒。 1988年至1989年,我国也相继出现了也能感染硬盘和软 盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标 志 “ Your PC is now stoned ! ” 、
2062,4096等,主要感染.COM和.EXE文件。这类病毒修改
了部分中断向量表,被感染的文件明显的增加了字节数,并 且病毒代码主体没有加密,也容易被查出和解除。
6
这些病毒中,略有对抗反病毒手段的只有 YankeeDoole 病毒,当它发现你用 Debug工具跟踪它的话,它会自动从文 件中逃走。 接着,又一些能对自身进行简单加密的病毒相继出现, 有 1366(DaLian)、1824(N64)、 1741(Dong)、 1100等病毒。它 们加密的目的主要是防止跟踪或掩盖有关特征等。 在内存有 1741 病毒时,用 DIR 列目录表,病毒会掩盖被
“ LEGALISEMARIJUANA !”,也称为“大麻”病毒等。该病
毒感染软硬盘0面0道1扇区,并修改部分中断向量表。
5
该病毒不隐藏也不加密自身代码,所以很容易被查出和解除。 类似这种特性的还有“小球”、 Azusa/Hong - Kong/2708 、 Michaelangelo ,这些都是从国外传染进来的。而国产的有 Bloody 、 Torch 、 DiskKiller 等病毒,实际上它们大多数是 Stoned病毒的翻版。 20世纪90年代初,感染文件的病毒有 Jerusalem(黑色13 号星期五 ) 、 YankeDoole 、 Liberty 、 1575 、 Traveller 、 1465 、
DOS 引导区中的磁盘实用扇区数减少了 6 个扇区,所以再次
启动系统后,硬盘的实用空间就减少了 6 个扇区。这样,原 主引导记录和病毒主程序就保存在硬盘实用扇区外,避免了
其他程序的覆盖,而且用Debug的L命令也不能调出查看,就
是用Format进行格式化也不能消除病毒,可见,病毒编制者 用意深切!与此相似的还有Denzuko病毒。
9
XqR(Newcentury 新世纪 ) 病毒也有它更狡猾的一面,它 监视着INT13、INT21中断有关参数,当你要查看或搜索被其 感染了的主引导记录时,病毒就调换出正常的主引导记录给 你查看或让你搜索,使你认为一切正常,病毒却蒙混过关。 病毒的这种对抗方法,我们在此称为:病毒在内存时,具有 “ 反 串 ” ( 反 转 ) 功 能 。 这 类 病 毒 还 有 Mask( 假 面 具 ) 、 2709/ROSE( 玫 瑰 ) 、 One_Half/3544( 幽 灵 ) 、 Natas/4744 、 Monkey 、 PC_LOCK 、 DIE_HARD/HD2 、 GranmaGrave/Burglar/1150 、 3783 病毒等,现在的新病毒越 来越多的使用这种功能来对抗安装在硬盘上的抗病毒软件, 但用无病毒系统软盘引导机器后,病毒就失去了“反 串”(反转)功能。 1345 、 1820 、 PCTCOPY - 2000 病 毒 却 直 接 隐 藏 在 COMMAND.COM文件内的空闲 (0代码)部位,从外表上看,文件 一个字节也没增加。