第4章计算机病毒

6.针对性
• 很多计算机病毒并非在任何环境下都可 起作用，而是有一定的运行环境要求， 只有在软、硬件条件满足要求时才能发 作。
4.1.3 计算机病毒的传播途径
• 就当前的病毒特点分析，传播途径有两 种，一种是通过硬件设备传播，一种是 通过网络传播。
1.通过硬件设备传播
• 通过硬件设备进行传播，主要分为不可移动的 计算机硬件设备和可移动的计算机硬件设备两 种传播方式。
• 处于静态的病毒存于存储器介质中，一般不执行感染和 破坏，其传播只能借助第三方活动（如复制、下载、邮 件传输等）实现。 • 当病毒经过引导进入内存后，便处于活动状态，满足一 定的触发条件后就开始进行传染和破坏，从而构成对计 算机系统和资源的威胁和毁坏。
1.引导模块
• 计算机病毒的寄生方式有两种：采用替代方式和采用链接方式。
2.感染模块
• 感染是指计算机病毒由一个载体传播到另一个载体。 这种载体一般为磁盘，它是计算机病毒赖以生存和进 行传染的媒介。 • 计算机病毒的传染方式基本可以分为以下两大类：
• （1）立即传染
• （2）驻留内存并伺机传染
3.触发模块
• 计算机病毒在传染和发作之前，往往要判断某些特定条件是否满 足，满足则传染和发作，否则不传染或不发作，这个条件就是计 算机病毒的触发条件。计算机病毒频繁的破坏行为可能给用户以 重创。 • 目前病毒采用的触发条件主要有以下几种：
• （1）日期触发 • （2）时间触发 • （3）键盘触发 • （4）感染触发 • （5）启动触发
• （6）访问磁盘次数触发
• （7）CPU型号/主板型号触发
4.破坏模块
• 破坏模块在触发条件满足的情况下，病毒对系统或磁盘 上的文件进行破坏。 • 计算机病毒破坏行为的激烈程度取决于病毒作者的主观 愿望和他所具有的技术含量。数以万计、不断发展扩张 的病毒，其破坏行为千奇百怪。病毒破坏目标和攻击的 部位主要有：系统数据区、文件、内存、系统运行速度、 磁盘、CMOS、主板和网络等。
3.其他系统病毒
• 这类病毒主要攻击Linux、Unix和OS/2及 嵌入式系统。由于系统本身的复杂性， 这类病毒数量不是很多。
4.2.2 按传染对象分类
• 传染性是计算机病毒的本质属性，根据 寄生部位或传染对象分类，即根据计算 机病毒传染方式进行分类，可以分为引 导型病毒、文件型病毒、混合型病毒、 宏病毒和蠕虫病毒。
• 1.单机病毒
• 单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘， 感染系统，然后再传染其他软盘，软盘又传染其他系统。
• 2.网络病毒
• 网络病毒的传播媒介不再是移动式载体，而是网络通道， 这种病毒的传染能力更强，破坏力更大。
4.2.4 按破坏能力分类
• 根据病毒破坏的能力，计算机病毒可划分为良性 病毒和恶性病毒。
• 而且为了更好地隐藏自己，病毒一般只有几百或上千字节，这相 对于现在动辄MB甚至GB级的程序来说，嵌入这样一个病毒，如 果不采用专门的工具，是很难被用户发现的。
5.可触发性
• 病毒因某个事件或数值的出现，诱使病毒实施感 染或进行攻击的特性称为可触发性。
• 病毒既要隐蔽又要维持杀伤力，它必须具有可触 发性。病毒的触发机制就是用来控制感染和破坏 动作的频率的。病毒具有预定的触发条件，这些 条件可能是时间、日期、文件类型或某些特定数 据等。病毒运行时，触发机制检查预定条件是否 满足，如果满足，启动感染或破坏动作，使病毒 进行感染或攻击；如果不满足，使病毒继续潜伏。
• 其特点是附着于正常程序文件，成为程序文件 的一个外壳或部件，这是较为常见的传染方式。
3.混合型病毒
• 混合型病毒综合了引导型病毒和文件型 病毒的特性，既感染引导区又感染文件， 更增加了病毒的传染性以及存活率，此 种病毒也是最难消灭的。
4.宏病毒
• 宏病毒一般是指寄生在Microsoft Office文档上 的病毒宏代码。它影响对文档的各种操作，如 打开、存储、关闭或清除等。当打开Office文 档时，宏病毒程序就会被执行，即宏病毒处于 激活状态，当触发条件满足时，宏病毒才会传 染、表现和进行破坏。
4.1 计算机病毒概述
4.1.1 计算机病毒的定义
• 计算机病毒有很多种定义。从广义上讲，凡能够引 起计算机故障，破坏计算机数据的程序统称为计算 机病毒。 • 1994年2月18日，我国正式颁布实施了《中华人民共 和国计算机信息系统安全保护条例》，在该条例第 二十八条中明确指出：“计算机病毒，是指编制或 者在计算机程序中插入的破坏计算机功能或者毁坏 数据，影响计算机使用，并能自我复制的一组计算 机指令或者程序代码。”
• DOS病毒是指针对DOS操作系统开发的病毒。目前 几乎没有新制作的DOS病毒，由于Windows 9x病 毒的出现，DOS病毒几乎绝迹。但DOS病毒在 Windows 9x环境中仍可以进行感染活动，因此若 执行染毒文件，Windows 9x用户的系统也会被感 染。
2.Windows病毒
• 现在的个人计算机用户一般都安装了 Windows系统，而Windows病毒就是针 对Windows系统开发的病毒｡ • 在Windows病毒中，种类最多的就是宏 病毒。
• 对于寄生在磁盘引导扇区的病毒来说，病毒引导程序占有了原系统引 导程序的位置，并把原系统引导程序搬移到一个特定的地方。这样系 统一启动，病毒引导模块就会自动装入内存并获得执行权，然后该引 导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置， 并采取常驻内存技术以保证这两个模块不会被覆盖，接着对这两个模 块设定某种激活方式，使之在适当时获得执行权。完成这些工作后， 病毒引导模块将系统引导模块装入内存，使系统在带毒状态下依然可 以继续运行。 • 对于寄生在文件中的病毒来说，病毒程序一般可以通过修改原有文件， 使对该文件的操作转入病毒程序引导模块，引导模块也完成把病毒程 序的其他两个模块驻留内存及初始化的工作，然后把执行权交给原文 件，使系统及文件在带毒状态下继续运行。
• • • • • • • • • • • • 1）平时运行正常的计算机突然无缘无故地死机 2）操作系统无法正常启动 3）运行速度明显变慢 4）以前能正常运行的软件经常发生内存不足的错误 5）打印和通信发生异常 6）自动对移动存储设备进行写操作 7）以前能正常运行的应用程序经常发生死机或者非法错误 8）系统文件的时间、日期、大小发生变化 9）Word文档打开后，只能以模板方式保存 10）磁盘空间迅速减少 11）网络驱动器卷或共享目录无法调用 13）陌生人发来的电子邮件
5.蠕虫病毒
• 蠕虫病毒是一种典型的网络病毒，它利用网络 进行复制和传播。
• 蠕虫病毒与一般病毒不同，蠕虫不需要将其自 身附着到宿主程序，是自包含的程序（或是一 套程序），它能传播它自身功能的复制或它的 某些部分到其他的计算机系统中（通常是经过 网络连接）。
4.2.3 按传播媒介分类
• 按照传播媒介分类，计算机病毒可分为单机病毒 和网络病毒。
网络安全与管理
第4章 计算机病毒
• 知识目标
• • • • 掌握计算机病毒的定义、特点、传播途径 了解计算机病毒的表现方式 了解计算机病毒的起源和发展 掌握计算机病毒的几种分类方法
• 技能目标
• 掌握计算机病毒的工作原理 • 掌握计算机病毒的检测、清除和防范 • 了解瑞星杀毒软件和360杀毒软件的使用方法
1.引导型病毒
• 引导型病毒主要是用病毒的全部或部分代码取代 正常的引导记录，而将正常的引导记录隐藏在磁 盘的其他地方。
• 引导区传染的计算机病毒较多，例如，“大麻” 和“小球”病毒就是这类病毒。
2.文件型病毒
• 文件型病毒一般只传染磁盘上的可执行文件 （后缀为COM和EXE）。在用户调用染毒的可 执行文件时，病毒首先被运行，然后病毒驻留 内存伺机传染其他文件或直接传染其他文件。
• 1.良性病毒
• 良性病毒是指那些只是为了表现自身，并不彻底破坏系 统和数据，但会占用大量CPU时间、增加系统开销、降 低系统工作效率的一类计算机病毒。
• 2.恶性病毒
• 恶性病毒就像是计算机系统的恶性肿瘤，它们的目的就 是破坏计算机系统的信息资源。
4.3 计算机病毒的工作原理
4.3.1 病毒的生命周期
4.1.5 计算机病毒的起源与发展
• 计算机病毒的发展经历了以下几个主要阶段:
• 1．第一代病毒
• 2．第二代病毒
• 3．第三代病毒 • 4．第四代病毒
4.2 计算机病毒的分类
4.2.1 按攻击对象分类
• 根据病毒的攻击目标，计算机病毒可以分为DOS病 毒、Windows病毒和其他系统病毒。
1.DOS病毒
病毒的最重要条件。
2.非授权性
• 非授权性是指病毒未经授权而执行。正常的程序 是由用户调用，再由系统分配资源，完成用户交 给的任务，其目的对用户是可见的、透明的。 • 而病毒隐藏在正常程序中，窃取正常程序的系统 控制权，并先于正常程序执行，病毒的动作、目 的对用户来说是未知的，是未经用户允许的。
3.破坏性
2.计算机病毒发作时的表现
• • • • • • • • • 1）提示一些不相干的话 2）发出一段音乐 3）产生特定的图像 4）硬盘灯不断闪烁 5）进行游戏算法 6）Windows桌面图标发生变化 7）计算机突然死机或重启 8）自动发送电子邮件 9）鼠标指针自己在动
3.计算机病毒发作后的表现
• • • • • • • • 1）无法从硬盘启动系统，数据丢失 2）系统文件丢失或被破坏 3）文件目录发生混乱 4）部分文档丢失或被破坏 5）部分文档自动加密 6）修改Autoexec.bat文件 7）使部分BIOS程序混乱，主板被破坏 8）网络瘫痪，无法提供正常的服务
• 计算机病毒拥有一个生命周期，从生成开始到完 全根除结束，总共可以分为7个阶段。
• 1.开发期
• 2.传染期 • 3.潜伏期
• 4.发作期
• 5.发现期 • 6.消化期
• 7.消亡期
4.3.2病毒的逻辑结构
• 计算机病毒一般由引导模块、感染模块、触发模 块、破坏模块四大部分组成。
• 根据是否被加载到内存，计算机病毒又有静态和 动态两种状态。
来自百度文库
4.1.4 计算机病毒的表现
• 根据计算机病毒感染和发作的阶段，可以将计算 机病毒的表现分为三大类，即计算机病毒发作前、 发作时和发作后。需要注意的是，这些表现也并 非一定由计算机病毒引起，有时候，操作不慎或 者软、硬件本身存在的问题也会导致部分现象的 发生，需要根据实际情况进一步分析。
1.计算机病毒发作前的表现
• 1）通过不可移动的计算机硬件设备传播 • 2）通过移动存储设备传播
2.通过网络进行传播
• 通过网络进行传播可以分为通过有线网络传播和无线 通信系统传播两种方式。 • 1）通过有线网络传播 • 电子布告栏（BBS） • 电子邮件 • 即时消息服务（QQ、ICQ、MSN等） • Web服务 • FTP服务 • 新闻组 • 2）通过无线通信系统进行传播
• 任何计算机病毒感染了系统后，都会对系统产生 不同程度的影响。
• 发作时轻则占用系统资源，影响计算机运行速度， 降低计算机工作效率，使用户不能正常使用计算 机；重则破坏用户计算机的数据，甚至破坏计算 机硬件，给用户带来巨大的损失。
• 病毒的破坏程度取决于病毒制造者的目的和技术 水平。
4.隐蔽性
• 一般情况下，计算机病毒都不是独立存在的，而是嵌入其他的某 个程序中，把被嵌入的程序称为宿主程序。当执行宿主程序时， 病毒代码就会被执行。 • 一般在没有防护措施的情况下，计算机病毒程序取得系统控制权 后，可以在很短的时间内感染大量程序。而且受到传染后，计算 机系统通常仍能正常运行，使用户不会感到任何异常，好像不曾 在计算机内发生过什么。正是由于这种隐蔽性，计算机病毒得以 在用户没有察觉的情况下扩散并游荡于世界上的无数计算机中。
4.1.2 计算机病毒的特点
• 计算机病毒是一种特殊的程序，除与其他正常 程序一样可以存储和执行之外，还具有以下几 个与众不同的特点。
• 1.传染性（感染性） • 2.非授权性
• 3.破坏性
• 4.隐蔽性 • 5.可触发性 • 6.针对性
1.传染性（感染性）
• 传染性是病毒的基本特征。
• 是否具有传染性是判别一个程序是否为计算机