黑客？網絡安全之計算機病毒與預防

導讀：你了解病毒的工作原理嗎？你知道多少病毒？我們又該如何預防計算機病毒呢？

補充：關於病毒的部分內容太多，一篇沒法說明白，可以簡單看下吧。

內容：

1. 計算機病毒概述

2. 病毒工作原理與分類

3. 典型計算機病毒

4. 預防與清理

1.計算機病毒概述

計算機病毒是一種程序。

它通過修改其他程序的方法將自己精準拷貝或更深化的形式放入其他程序中，從而感染它們。

由於這種感染性，病毒可在信息交流的途徑中迅速傳播並破化信息的完整性。

• 綜合來講--計算機病毒一般依附於其他程序或文檔，是能夠自我複製，並產生用戶不知道，甚至惡意的非正常程序。
  
  

計算機病毒的特點：

• 隱藏性

• 傳染性

• 潛伏性

• 破壞性

計算機病毒發展史：

• 蘊育生命
  

• 崢嶸出現

• 兩軍對壘

• 魔高一尺

• 道高一丈

• 死灰復燃

• 新的高峰

• 巔峰之作

• 風雲再起

• 永不結束的戰爭

計算機病毒之最：

• 最具有殺傷力的計算機病毒--CIH病毒
  

• 最浪漫的病毒--I LOVE U

• 最漂亮的病毒--圖片病毒

• 最虔誠的病毒--熊貓燒香

• 最煩人的病毒--即時在線聊天病毒

• 最佳創意的病毒--AV終結者

• 最流氓的病毒--灰鴿子

• 最堅強的病毒--網頁病毒

• 最牛的病毒--"未來"

計算機病毒的破壞性：

• 破壞系統數據
  

• 破壞目錄/文件

• 修改內存

• 干擾系統運行

• 效率降低

• 破壞顯示

• 干擾鍵盤操作

• 製造噪音

• 修改CMOS參數

• 影響印表機

• ......

計算機病毒引起的異常狀態：

• 計算機系統運行速度明顯降低
  

• 系統容易死機

• 文件改變

• 磁碟可用空間迅速減少

• 系統參數被修改

• 文件被破壞

• 頻繁產生錯誤信息

• 系統異常頻繁重啟動

• Office宏病毒提示

2.計算機病毒的工作原理與分類

1.分類：

按平台或對象分：

• 攻擊DOS系統的病毒

• 攻擊WINDOWS系統的病毒

• 攻擊UNIX 系統的病毒

• 攻擊OS/2系統的病毒

• 其它作業系統上的病毒：如手機病毒

按攻擊目標分：

• 攻擊微型計算機的病毒
  

• 攻擊小型計算機的病毒

• 攻擊工作站的病毒

按連結方式分：

• 源碼型病毒

• 潛入型病毒

• 外殼型病毒

• 作業系統型病毒

按破壞情況分：

• 良性病毒

• 惡性病毒

按傳播媒介分：

• 單機病毒

• 網絡病毒

按寄生方式和傳染途徑分：

• 引導型 病毒

• 文件型病毒

• 混合型病毒

2.計算機病毒的命名

<病毒前綴>.<病毒名>.<病毒後綴>

比如木馬病毒前綴Trojan、蠕蟲病毒前綴Worm

比如CIH病毒、震盪波蠕蟲病毒「Sasser」

後綴是指一個病毒變種特徵，是用來區別具體某個家族病毒某個變種的。

比如Worm.Sasser.b 表示震盪波蠕蟲病毒的變種b，因此一般叫做「震盪波b變種」或「震盪波變種b」

3.計算機病毒的工作機制：

計算機病毒程序模塊劃分：

• 病毒程序是一種特殊程序，其最大特點是具有感染能力。
  
  病毒的感染動作受到觸發機制的控制，病毒觸發機制還控制了病毒的破壞動作。
  
  
  

• 病毒程序一般由感染模塊、觸發模塊、破壞模塊、主控模塊組成。
  
  

• 與之相對應的機制是：傳播機制、觸發機制和破壞機制。
  
  

• 有的病毒不具備所有的模塊，如「巴基斯坦智囊病毒」沒有破壞模塊。
  
  

感染模塊：

感染模塊是病毒進行感染動作的部分，負責實現感染機制。

感染模塊的主要功能：

• 尋找一個可執行文件。
  
  

• 檢查該文件中是否有感染標記。
  
  

• 如果沒有感染標記，進行感染，將病毒代碼放入宿主程序。
  
  

觸發模塊：

• 觸發模塊根據預定條件滿足與否，控制病毒的感染或破壞動作。
  
  依據觸發條件的情況，可以控制病毒感染和破壞動作的頻率，使病毒在隱蔽的狀態下，進行感染和破壞動作。
  
  

• 病毒的觸發條件有多種形式，例如：日期、時間、發現特定程序、感染的次數、特定中斷調用的次數等。
  
  

病毒觸發模塊主要功能：

• 檢查預定觸發條件是否滿足。
  
  

• 如果滿足，返回真值。
  
  

• 如果不滿足，返回假值

破壞模塊：

• 破壞模塊負責實施病毒的破壞動作。
  
  其內部是實現病毒編寫者預定破壞動作的代碼。
  
  這些破壞動作可能是破壞文件、數據。
  
  破壞計算機的空間效率和時間效率或者使機器運行崩潰。
  
  有些病毒的該模塊並沒有明顯的惡意破壞行為，僅在被傳染的系統設備上表現出特定的現象，該模塊有時又被稱為表現模塊。
  
  

主控模塊：

主控模塊在總體上控制病毒程序的運行。

其基本動作如下：

• 調用感染模塊，進行感染。
  
  

• 調用觸發模塊，接受其返回值。
  
  

• 如果返回真值，執行破壞模塊。
  
  

• 如果返回假值，執行後續程序。
  
  

生命周期：

• 感染

• 潛伏

• 繁殖

• 發作

4.計算機病毒的傳播機制：

病毒傳播途徑

• 病毒主要通過電子郵件、外部介質、複製、下載、瀏覽網頁等途逕入侵計算機。
  
  
  

病毒感染目標和過程

目標：

• 硬碟系統分配表扇區(主引導扇區)
  

• 硬碟BOOT扇區

• 軟盤BOOT扇區

• EXE文件

• COM文件

• COMMAND文件

• IBMBIOS文件/IBMD0S文件

• 另外，eml,doc,dot,bvs,bat,pl,html,flash,dll,sys, asp

過程：

• 病毒入侵宿主程序的基本方式有兩種：替代方式和連結方式。
  
  
  

• 例如：病毒代碼替換磁碟的Boot扇區、主引導扇區。
  
  Command.exe程序做宿主程序。
  
  

• 染毒程序運行時，必須能使病毒代碼得到系統的控制權。
  
  染毒程序運行時，首先運行病毒代碼。
  
  

• 病毒的宿主程序可分為兩類：作業系統和應用程式。
  
  

感染長度和感染次數

• 保持原長度。
  
  
  

• 增長長度為恆定值。
  
  

• 增長長度的單位為一基數，在1節(16字節)內浮動。
  
  

• 每次感染，宿主程序增長長度都在變化。
  
  

交叉感染

寄生感染

插入感染和逆插入感染

沒有入口點的感染

OBJ、LIB和源碼的感染

零長度感染

5.計算機病毒的觸發機制：

• 日期和時間觸發:特定日期觸發、月份觸發、前半年/後半年觸發
  

• 鍵盤觸發:擊鍵次數觸發、組合鍵觸發和熱啟動觸發

• 感染觸發:感染文件個數觸發、感染序數觸發、感染磁碟數觸發和感染失敗觸發

• 啟動觸發

• 磁碟訪問觸發和中斷訪問觸發

• 其它機制觸發

3.典型的計算機病毒

1. DOS病毒

2. win32 PE 病毒

3. 宏病毒

4. 腳本病毒

5. HTML病毒

6. 蠕蟲病毒

狹義病毒與蠕蟲病毒區別：

蠕蟲程序功能模型圖：

蠕蟲的工作流程：

4.預防：

基本策略：

• 安裝至少一種防病毒軟體
  

• 定期升級你的防病毒軟體

• 不要隨便打開郵件附件

• 儘量減少授權使用你計算機的人

• 及時為計算機安裝最新的安全補丁

• 從外部獲取數據前先進行檢查

• 安裝完整性檢查軟體

• 定期備份你的文件

• 建立一個系統恢復盤

安裝第三方防火牆軟體

使用病毒掃描軟體