结果,即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己计算机病毒利用计算机系统使用过程中出现的频繁中断或操作,通过修改地址,使病毒指令程序插入中断程序与正常程序之间1.3.1 分类的目的对事物进行系统的分类研究,其作用与意义主要体现在以下几个方面:描述:描述研究对象,将其转化为易于理解、分析和管理的对象;理解:好的分类方法有助于人们更清晰、更系统地理解所研究的对象;预测:通过对已知领域或已知事物的系统分类研究,可以进一步预测未知领域,或者为进一步的研究提供指导对计算机病毒的分类研究,目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术一个病毒通常会具有多个属性,分类的主要问题在于选择哪些属性作为分类的依据,依据不同,分类自然不同1.3.2 按照病毒的破坏能力、破坏情况分类根据病毒破坏的能力可划分为以下几种无害型无危险型危险型非常危险型按照计算机病毒的破坏情况又可分为两类良性病毒恶性病毒良性和恶性是相比较而言的,不可轻视任何一种病毒对计算机系统造成的损害1.3.3 按照计算机病毒攻击的操作系统分类攻击 DOS 系统的病毒攻击 Windows 系统的病毒攻击 UNIX 系统的病毒攻击 OS/2 系统的病毒攻击 Macintosh 系统的病毒其它操作系统上的病毒如手机病毒、PDA 病毒等1.3.4 按照计算机病毒攻击的机型分类攻击微型计算机的病毒如巴基斯坦病毒攻击工作站的病毒攻击小型计算机的病毒攻击中、大型计算机的病毒1.3.5 按照计算机病毒特有的算法分类伴随型病毒病毒并不改变文件本身,它们根据算法产生文件的伴随体“蠕虫”型病毒蠕虫通过计算机网络传播,不改变文件和资料信息,除了内存,一般不占用其它资源寄生型病毒除了伴随型和“蠕虫”型,其它病毒均可称为寄生型病毒,依附在系统的引导扇区或文件中练习型病毒病毒自身包含错误,不能进行很好的传播,例如一些在调试阶段的病毒诡秘型病毒变形病毒又称幽灵病毒一般由一段混有无关指令的解码算法和被变化过的病毒体组成1.3.6 按照计算机病毒的链接方式分类
源码型病毒将病毒代码插入到高级语言源程序中,经编译成为合法程序的一部分嵌入型病毒也称作入侵型病毒。
该类病毒将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击对象以插入方式链接,并代替其中部分不常用到的功能模块或堆栈区外壳Shell型病毒外壳型病毒常附在主程序的首部或尾部,相当于给宿主程序加了个“外壳” 译码型病毒隐藏在微软 Office、AmiPro 等文档中,如宏病毒、脚本病毒VBS/WHS/JS等,一般是解释执行此类病毒。
操作系统型病毒病毒用自己的程序试图加入或取代部分操作系统功能1.3.7 按照计算机病毒的传播媒介分类单机病毒单机病毒的载体是磁盘、优盘、光盘等移动存储设备,常见的是通过软盘传入硬盘,感染系统后再传染其他软盘,软盘又感染其他系统网络病毒网络为病毒提供了最好的传播途径, 网络病毒的破坏能力是前所未有的。
网络病毒利用计算机网络的协议或命令以及 Email 等进行传播,常见的是通过 QQ、BBS、Email、FTP、Web等传播8 按照病毒的寄生对象和驻留方式分类计算机病毒按寄生对象分为:引导型病毒文件型病毒混合型病毒计算机病毒按是否驻留内存分为:驻留内存型不驻留内存型1.4 恶意程序、蠕虫与木马1.4.1 恶意程序未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码恶意程序大致可以分为两类:依赖于主机程序的恶意程序不能独立于应用程序或系统程序,即存在宿主独立于主机程序的恶意程序能在操作系统上运行的、独立的程序蠕虫蠕虫Worm是一种独立的可执行程序,主要由主程序和引导程序两部分组成主程序一旦在计算机中得到建立,就可以去收集与当前计算机联网的其他计算机的信息,通过读取公共配置文件并检测当前计算机的联网状态信息,尝试利用系统的缺陷在远程计算机上建立引导程序引导程序把蠕虫带入它所感染的每一台计算机中与普通病毒不同,蠕虫并不需要将自身链入宿主程序来达到自我复制的目的蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段蠕虫病毒具有如下特性:传染方式多传播速度快清除难度大破坏性强特洛伊木马特洛伊木马Trojan house,简称木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序, 是一种在远程计算机之间建立连接, 使远程计算机能通过网络控制本地计算机的非法程序一般的木马都有客户端和服务器端两个程序客户端是用于攻击者远程控制已植入木马的计算机的程序服务器端程序就是在用户计算机中的木马程序攻击者要通过木马攻击用户的系统,他所做的第一步是要把木马的服务器端程序植入到用户的计算机中按病毒发作的时间命名如“黑色星期五”按病毒发作症状命名如“小球”病毒按病毒的传染方式命名如黑色星期五病毒,又命名为疯狂拷贝病毒按病毒自身宣布的名称或包含的标志命名CIH 病毒的命名源于其含有“CIH”字符按病毒发现地命名如“黑色星期五”又称 Jerusalem耶路撒冷病毒按病毒的字节长度命名如黑色星期五病毒又称作 1813 病毒思考:这种命名方式,存在什么不足? 即计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀病毒名后缀”, 三元组命名规则前缀表示该病毒发作的操作平台或者病毒的类型,而 DOS 下的病毒一般是没有前缀病毒名为该病毒的名称及其家族后缀一般可以不要,只是以此区别在该病毒家族中各病毒的不同,可以为字母,或者为数字以说明此病毒的大小三元组中“病毒名”的命名优先级为:病毒的发现者或制造者→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串例如:WM.Cap.AA 表示在 Cap 病毒家族中的一个变种,WM 表示该病毒是一个 Word 宏Macro病毒病毒名中若有 PSW 或者 PWD 之类的,一般都表示该病毒有盗取口令的功能1.6.1 计算机病毒的危害计算机病毒的蓄意破坏计算机病毒的偶然性破坏计算机病毒错误与不可预见的危害计算机病毒的兼容性对系统运行的影响计算机病毒的附带性破坏抢占系统资源影响计算机运行速度计算机病毒造成的心理的及社会的危害计算机病毒导致的声誉损失和商业风险对病毒症状做出不恰当反应而造成的破坏当一个用户面对计算机病毒症状甚至面对的只是计算机故障现象时,可能会做出不适当的反应,如进行不必要的重新格式化、不恰当地恢复磁盘,从而引起比病毒本身更大的损害,这就是所谓的二次性袭击。
1.6.2 计算机病毒的症状系统声音异常Yankee Doodle 病毒发作时播放美国名曲 Yankee Doodle系统工作异常不承认硬盘或系统引导失败开机出现黑屏内存空间减小,系统运行速度下降系统自动重启、异常死机、用户没有访问的设备出现工作信号,如没有存取磁盘,但磁盘指示灯却一直闪亮键盘工作异常响铃换字符重复字符封锁键盘输入紊乱打印机异常假报警间接性打印更换字符文件系统异常文件长度变化不规则变化变成固定长度增加固定长度时间日期变化时间日期消失时间日期变化文件数目变化伴随型病毒每次感染文件,都会产生一个伴随体文件文件后缀变化其他异常形式运行 Word,打开 Word 文档后,该文件另存时只能以模板方式保存,无法另存为一个.DOC文档修改磁盘卷标Brain 病毒将系统磁盘的卷标改为 Brain。
发出虚假报警Best Wishes 病毒主要感染.COM 文件,每当察看或者运行病毒文件的时候,都会发出虚假报警信息:“File not found”系统逆向计时Back Time 病毒主要感染.COM 文件,并常驻内存,发作时系统时间就会倒转,逆向计时,在此后建立的文件,时间反而都是病毒发作前的时间陌生人发来的电子函件或自动发送电子函件Windows 桌面图标发生变化网络瘫痪与病毒现象类似的硬件故障系统的硬件配置由于配件的不完全兼容,导致一些软件不能够正常运行电源电压不稳定插件接触不良软驱故障关于 CMOS 的问题BIOS 设置不当,容易发生死机与病毒现象类似的软件故障出现“Invalid drive specification非法驱动器号”可能是驱动器的主引导扇区的分区表参数被破坏或是磁盘标志 55AA 被修改提示光盘未格式化光盘的刻录速度与正在使用的光驱的倍速不匹配软件程序或文档已被破坏非病毒由于磁盘质量等问题,文件的数据部分丢失,而该程序还能够运行,这时使用就会出现不正常现象操作系统配置不当软件与操作系统版本的兼容性引导过程故障用不同的编辑软件有关软件临时文档的问题软件工作模式或故障产生的类似病毒的文件计算机病毒的几种主要传播途径通过不可移动的计算机硬件设备进行传播通过移动存储设备来传播通过有线网络系统进行传播通过无线通讯系统传播病毒生命周期计算机病毒的产生过程可分为:程序设计→传播→潜伏→触发、运行→实施攻击计算机病毒是一类特殊的程序,也有生命周期开发期传染期潜伏期潜伏分为静态潜伏和动态潜伏发作期发现期消化期消亡期1.9.1 病毒的起源计算机病毒的元祖计算机病毒起源于一种电子游戏——核心大战Core War,也称作磁芯大战计算机病毒的出现“病毒”的正式出现与疯狂发展萌芽、滋生阶段这一阶段跨越 1986 年~1989 年这一阶段的计算机病毒具有如下特点:病毒攻击的目标比较单一,只传染磁盘引导扇区,或者是只传染可执行文件;病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对特定目标进行传染病毒传染目标以后的特征比较明显病毒程序不具有自我保护的措施,容易被人们分析和解剖,从而使得人们容易编制相应的消毒软件综合发展阶段这个阶段跨越 1989 年~1992 年这一阶段的典型病毒具有如下特点:病毒攻击的目标趋于混合型,即一种病毒既传染磁盘引导扇区,又传染可执行文件病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和传染目标病毒传染目标后没有明显的特征病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大成熟发展阶段这个阶段跨越 1992 年~1995 年这一阶段的典型病毒都具有多态性或“自我变形”能力,是病毒的成熟发展阶段Internet 阶段1995 年,随着网络的普及,大量的病毒开始利用网络进行传播,它们只是以上几代病毒的改进这一时期的病毒的最大特点是利用 Internet 作为其主要传播途径,因而,病毒传播快、隐蔽性强、破坏性大1.9.3 计算机病毒的新特点基于 Windows 的计算机病毒越来越多计算机病毒向多元化发展新计算机病毒种类不断涌现,数量急剧增加计算机病毒传播方式多样化,传播速度更快计算机病毒造成的破坏日益严重病毒技术与黑客技术日益融合1.9.4 导致计算机病毒产生的社会渊源计算机病毒是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物,是计算机犯罪的一种新的衍化形式产生计算机病毒的原因,大致可以分为以下几种:计算机爱好者出于好奇或兴趣,也有的是为了满足自己的表现欲或制作恶作剧产生于个别人的报复、破坏心理来源于游戏软件来源于软件加密用于研究或实验而设计的“有用”的程序出于政治、经济和军事等特殊目的, 一些组织或个人也会编写一些程序用于进攻对方的计算机1.9.5 计算机病毒存在的必然性、长期性计算机病毒的产生,不是偶然的,而是必然的病毒与反病毒的较量,也必然是个长期的过程。
病毒并非源于偶然病毒:“事在人为”病毒存在的必然性计算机病毒的长期性计算机病毒的基本防治解决病毒攻击的理想方法是对病毒进行预防,即在第一时间阻止病毒进入系统原则上讲,计算机病毒防治应采取“主动预防为主、被动处理为辅”、防毒、查毒、杀毒相结合的策略防止病毒的侵入要比病毒入侵后再去发现和消除它更重要应做好预防计算机病毒的各项工作研究计算机病毒的基本原则技术,是一柄双刃剑。
病毒与反病毒技术,是相辅相成的在学习、研究计算机病毒的过程中,在遵守相关法律法规的前提下,应严格遵守以下“八字原则”——自尊自爱、自强自律自尊尊重自己的人格,不做违法、违纪的事自爱爱惜自己的“知识储备”,不随便“发挥自己的聪明才智”,自己对自己负责自强刻苦钻研,努力提高防毒、杀毒水平自律严以律己、宽以待人,不以任何理由为借口而“放毒”VBS 脚本病毒定义VBS 脚本病毒:利用 VBScript 编写而成,该脚本语言功能非常强大,它们利用 Windows 系统的开放性特点,通过调用一些现成的 Windows 对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。
计算机病毒就是一种思想,但是这种思想在用 VBS 实现时变得极其容易。
2.2.1 VBS 脚本病毒如何感染、搜索文件VBS 脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。
首先,将病毒自身代码赋给字符串变量 VBScopy;然后,将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、VBS 为后缀的文件副本;最后,删除目标文件。
2.2.2 VBS 脚本病毒传播方式1. 通过 Email 附件传播2. 通过局域网共享传播3. 通过感染 html、asp、jsp、php 等网页文件传播4. 通过 QQ、IRC 聊天通道传播2.2.3 VBS 脚本病毒如何获得控制权1. 修改注册表项Windows 会 自 动 加 载HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 项下的各键值所执向的程序。
2. 通过映射文件执行方式3. 欺骗用户,让用户自己执行4. desktop.ini 和 folder.htt 互相配合1. 自加密2. 巧妙运用 Execute 函数3. 改变某些对象的声明方法4. 直接关闭反病毒软件VBS 脚本病毒的弱点1. 绝大部分 VBS 脚本病毒运行的时候需要用到一个对象:FileSystemObject;2. VBScript 代码是通过 Windows Script Host 来解释执行的;3. VBS 脚本病毒的运行需要其关联程序 Wscript.exe 的支持;4. 通过网页传播的病毒需要 ActiveX 的支持; 但是绝大部分病毒都是以 Email5. 通过 Email 传播的病毒需要 OE 的自动发送邮件功能支持,为主要传播方式的。
1. 禁用文件系统对象 FileSystemObject2. 卸载 Windows Scripting Host3. 删除 VBS、VBE、JS、JSE 文件后缀名与应用程序的映射4. 设置浏览器5. 安装反病毒软件网页病毒:是利用网页来进行破坏的病毒。
它使用一些脚本语言编写,并利用浏览器的漏洞来实现病毒植入。
当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。
轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,装上木马,染上病毒,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。
网页病毒特点1. 网页病毒容易编写和修改,使用户防不胜防。
2. 网页病毒主要利用 JAVAScript、VBScript、PHP、ActiveX、WSH 共同合作来实现对客户端计算机,进行本地的写操作。
譬如:改写注册表,在本地计算机硬盘上添加、删除、更改文件夹或文件等操作。
而这一功能恰恰使网页病毒、网页木马有了可乘之机。
网页病毒有如下两类1. 通过 JAVAScript、Applet、ActiveX 脚本程序修改 IE 浏览器1.默认主页被修改;2.默认首页被修改;3.默认的微软主页被修改;4.主页设置被屏蔽锁定,且设置选项无效不可改回;5.默认的 IE 搜索引擎被修改;6.IE 标题栏被添加非法信息 ;7.OE 标题栏被添加非法信息;8.鼠标右键菜单被添加非法网站广告链接;9.鼠标右键弹出菜单功能被禁用失常;10.IE 收藏夹被强行添加非法网站的地址链接;11.在 IE 工具栏非法添加按钮;12.锁定地址下拉菜单及其添加文字信息;13.IE 查看下的源文件被禁用;2. 通过 JVAVScript、Applet、ActiveX 脚本程序修改用户操作系统1.开机出现对话框;2.系统正常启动后,但 IE 被锁定网址自动调用打开;3.格式化硬盘 ;4.暗藏“万花谷”蛤蟆病毒,导致瘫痪崩溃;5.非法读取或盗取用户文件;6.锁定禁用注册表;7.时间前面加广告;8.注册表被锁定禁用之后,编辑.reg 注册表文件打开方式错乱;9.启动后首页被再次修改;10.更改“我的电脑”下的一系列文件夹名称网页病毒如何工作1. 网页病毒大多由恶意代码、病毒体通常是经过伪装成正常图片文件后缀的.exe 文件和脚本文件或
JAVA 小程序组成,病毒制作者将其写入网页源文件;2. 用户浏览上述网页,病毒体和脚本文件以及正常的网页内容一起进入计算机的临时文件夹;3. 脚本文件在显示网页内容的同时开始运行,要么直接运行恶意代码,要么直接执行病毒程序,要.