计算机病毒与反病毒技术

1 计算机病毒

1.1 计算机病毒的历史

• 1983年11月3日，弗雷德·科恩（Fred Cohen）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼（Len Adleman）将它命名为计算机病毒（computer virus），并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。
• 1986年初，巴基斯坦的巴锡特（Basit）和阿姆杰德（Amjad）两兄弟编写了Pakistan病毒（即Brain病毒），该病毒在一年内流传到了世界各地。
• 1988年11月2日，美国6000多台计算机被病毒感染，造成Internet不能正常运行
• 据瑞星公司的不完全统计，2004年国内共发现新病毒26025个，比2003年增加了20%。其中，木马13132个，后门程序6351个，蠕虫3154个，脚本病毒481个，宏病毒258个，其余类病毒2649个。由此可见，病毒的泛滥和危害已经到了十分危险的程度。

1.2 病毒的本质

1．病毒的定义

​ 在《中华人民共和国计算机信息系统安全保护条例》中对计算机病毒进行了明确定义：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

2．病毒的生命周期

• 隐藏阶段：处于这个阶段的病毒不进行操作，而是等待事件触发，触发事件包括时间、其它程序或文件的出现、磁盘容量超过某个限度等。但这个周期不是必要的，有的病毒没有隐藏期，而是无条件地传播和感染。
• 传播阶段：在这一阶段的病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去。每个被感染的程序将包含一个该病毒的副本，并且这些副本也可以向其它未感染的程序继续传播病毒的副本。
• 触发阶段：这个阶段病毒将被激活去执行病毒设计者预先设计好的功能。病毒进入这一阶段也需要一些系统事件的触发，比如：病毒本身进行复制的副本数达到了某个数量。
• 执行阶段：这一阶段病毒将执行预先设计的功能直至执行完毕。这些功能可能是无害的，比如：向屏幕发送一条消息；也可能是有害的，比如：删除程序或文件、强行关机等。

1.3 病毒的发展阶段与特征

1．病毒的发展阶段

• DOS引导阶段
• DOS可执行阶段
• 伴随型阶段 幽灵、多形阶段
• 生成器、变体机阶段
• 网络、蠕虫阶段
• Windows阶段
• 宏病毒阶段
• 因特网阶段
• Java、邮件炸弹阶段

2．病毒的特征

• 传染性

• 破坏性

• 潜伏性

• 可执行性

• 可触发性

• 隐蔽性

1.4 病毒的具体危害

病毒的具体危害主要表现在以下几个方面

• 病毒发作对计算机数据信息的直接破坏

• 占用磁盘空间和对信息的破坏

• 抢占系统资源

• 影响计算机运行速度

• 计算机病毒错误与不可预见的危害

• 计算机病毒给用户造成严重的心理压力

1.5 病毒的命名

病毒前缀.病毒名.病毒后缀。

• 病毒前缀是指一个病毒的种类，不同的种类的病毒，其前缀不相同。比如我们常见的木马的前缀是Trojan，蠕虫的前缀是Worm。
• 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如著名的CIH病毒的家族名都是统一的CIH，振荡波蠕虫病毒的家族名是Sasser。
• 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如：Worm.Sasser.b就是指振荡波蠕虫病毒的变种b。如果病毒变种非常多，可以采用数字与字母混合表示变种标识。

1.6 病毒种类

• Trojan：如Trojan.LMir.PSW.60
• 脚本病毒：Script.Redlof、VBS.Happytime
• 宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97，例：Macro.Melissa
• 后门病毒：Backdoor.IRCBot
• 病毒种植程序病毒：如：冰河播种者（Dropper.BingHe2.2C）
• 破坏性程序病毒的前缀是：Harm，如：格式化C盘（Harm.formatC.f）
• 玩笑病毒：如：女鬼（Joke.Girlghost）病毒
• 捆绑机病毒：捆绑QQ（Binder.QQPass.QQBin）

2 几种典型病毒的分析

2.1 CIH病毒

1.CIH病毒介绍

​ CIH病毒，属于文件型病毒，主要感染Windows 9x下的可执行文件。CIH病毒使用了面向Windows的VxD技术（虚拟设备驱动程序），使得这种病毒传播的实时性和隐蔽性都特别强.

​ 发作日是每年4月26日。v1.3版本发作日是每年6月26日。v1.4版本发作日为每月26日。

2．CIH病毒的破坏性

​ CIH病毒感染Windows可执行文件，不感染Word和Excel文档；感染Windows 9x系统，却不感染windows NT系统。

​ CIH病毒采取一种特殊的方式对可执行文件进行感染，感染后的文件大小没有变化，病毒代码的大小在1K左右。当一个染毒的EXE文件被执行，CIH病毒驻留内存，在其他程序被访问时对它们进行感染。

​ CIH最大的特点就是对计算机硬盘以及BIOS（基本输入输出系统具有超强的破坏能力。在病毒发作时，病毒将从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据全被破坏为止。因此，当CIH被发现的时侯，硬盘数据已经遭到破坏，当用户想到需要采取措施之时，面临的可能已经是一台瘫痪的计算机了。

​ 在病毒发作时，还试图覆盖BIOS中的数据。一旦BIOS被覆盖掉，机器将不能启动，只有对BIOS进行重写。

3．如何判断是否感染CIH病毒

有两种简单的方法可以判断是否已经感染上了CIH病毒：

（1）一般来讲，CIH病毒只感染EXE可执行文件，我们可以用Ultra Edit打开一个常用的EXE文件（如记事本或写字板），然后按下“切换16进制模式按钮（H）”，再查找“CIHv1.”，如果发现“CIH v1.2”，“CIH v1.3”或“CIH v1.4”等字符串，则说明已经被感染上CIH病毒了。

（2）感染了CIH v1.2版，则所有WinZip自解压文件均无法自动解开，同时会出现信息“WinZip自解压首部中断。可能原因：磁盘或文件传输错误。”感染了CIHv1.3版，则部分WinZip自解压文件无法自动解开。如果遇到以上情况，有可能就是感染上CIH病毒了。

2.2 宏病毒

1.宏病毒介绍

​ 宏病毒是一种使用宏编程语言编写的病毒，主要寄生于Word文档或模板的宏中。一旦打开这样的文档，宏病毒就会被激活，进入计算机内存，并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，如果网上其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

​ 宏病毒通常使用VB脚本，影响微软的Office组件或类似的应用软件，大多通过邮件传播。最有名的例子是1999年的美丽杀手病毒（Melissa），通过Outlook来把自己放在电子邮件的附件中自动寄给其他收件人。

2．宏病毒的特点

（1）感染数据

​ 文件以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的认识。

（2）多平台交叉感染

​ 宏病毒冲破了以往病毒在单一平台上传播的局限。当Word、Excel这类著名应用软件在不同平台如Windows、OS/2和MacinTosh上运行时，会被宏病毒交叉感染。

（3）容易编写

​ 以往病毒是以二进制的机器码形式出现，而宏病毒则是以人们容易阅读的源代码形式出现，所以编写和修改宏病毒比以往更容易。这也是前几年宏病毒的数量居高不下的原因。

（4）容易传播

​ 用户只要一打开带有宏病毒的电子邮件，计算机就会被宏病毒感染。此后，打开或新建文件都可能染上宏病毒，这导致了宏病毒的感染率非常高。

3．宏病毒的预防

（1）禁止所有自动宏的执行

（2）检查是否存在可疑的宏

（3）按照自己的习惯设置

（4）使用Windows自带的写字板

（5）提示保存Normal模板

（6）使用.rtf和.csv格式代替.doc和.xls

2.3 蠕虫病毒

1.蠕虫病毒介绍

​ 蠕虫（Worm）是一种通过网络传播的恶性病毒，它通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。

​ 蠕虫又与传统的病毒又有许多不同之处，如不利用文件寄生、对网络造成拒绝服务、与黑客技术相结合等。

2．蠕虫病毒的基本结构和传播过程

（1）蠕虫的基本程序结构包括以下3个模块：

​ 传播模块：负责蠕虫的传播，传播模块又可以分为三个基本模块：扫描模块、攻击模块和复制模块。

​ 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。

​ 目的功能模块：实现对计算机的控制、监视或破坏等功能。

（2）蠕虫程序的一般传播过程为：

​ 扫描：由蠕虫的扫描模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。

​ 攻击：攻击模块按漏洞攻击步骤自动攻击上一步骤中找到的对象，取得该主机的权限（一般为管理员权限）。

​ 复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。

2.4 病毒的发展趋势

（1）传播网络化

（2）利用操作系统和应用程序的漏洞

（3）混合型威胁

（4）病毒制作技术新

（5）病毒家族化特征显著

（6）病毒正在变得简单而又全能

3 反病毒技术

• 理想方法-预防

3.1 反病毒技术的发展阶段

一个合理的反病毒方法，应包括以下几个措施：

​ 检测：就是能够确定一个系统是否已发生病毒感染，并能正确确定病毒的位置。

​ 识别：检测到病毒后，能够辩别出病毒的种类。

​ 清除：识别病毒之后，对感染病毒的程序进行检查，清除病毒并使程序还原到感染之前的状态，从系统中清除病毒以保证病毒不会继续传播。如果检测到病毒感染，但无法识别或清除病毒，解决方法是删除被病毒感染的文件，重载未被感染的版本。

反病毒软件可以划分为四代：

第一代：简单的扫描器

第二代：启发式扫描器

第三代：行为陷阱

第四代：全部特征保护

3.2 高级反病毒技术

1．通用解密 （Generic Decryption，GD）

​ 当一个包含加密病毒的文件执行时，病毒必须首先对自身解密后才能执行。为检测到病毒的这种结构，GD 必须监测可执行文件的运行情况。

GD扫描器的组成：

• CPU仿真器：一种基于软件的虚拟计算机。一个可执行文件中的指令由仿真器来解释，而不是由底层的处理器解释。仿真器包括所有的寄存器和其它处理器硬件的软件版本，由于程序由仿真器解释，就可以保持底层处理器不受感染。

• 病毒特征扫描：是在目标代码中寻找已知病毒特征的模块。

• 仿真控制模块：控制目标代码的执行。

GD工作过程：

• CPU 仿真器开始对目标代码的指令逐条进行解释

• 仿真控制模块将定期地中断解释，以扫描目标代码中是否包含有已知病毒的特征。

• 代码是在仿真器中运行的，而仿真器是一个在系统完全控制下的安全环境。目标代码不会对实际的个人计算机造成危害。

2．数字免疫系统

（1）每台PC 机上运行一个监控程序，该程序包含了很多启发式规则，这些启发式规则根据系统行为、程序的可疑变化或病毒特征码等知识来推断是否有病毒出现。监控程序在判断某程序被感染之后会将该程序的一个副本发送到管理机上。

（2）管理机对收到的样本进行加密，并将其发送给中央病毒分析机。

（3）病毒分析机创建了一个可以让受感染程序受控运行并对其进行分析的环境，然后病毒分析机根据分析结果产生针对该病毒的策略描述。

（4）病毒分析机将策略描述回传给管理机。

（5）管理机向受感染客户机转发该策略描述。

（6）该策略描述同时也被转发给组织内的其他客户机。.

（7）反病毒软件用户将会定期收到病毒库更新文件，以防止新病毒的攻击。

3．行为阻断软件

行为阻断软件和主机操作系统结合起来，实时监控恶意的程序行为。行为阻断软件要监控的行为包括：

（1）试图打开、浏览、删除、修改文件；

（2）试图格式化磁盘或者其他不可恢复的磁盘操作；

（3）试图修改可执行文件、脚本、宏；

（4）试图修改关键的系统设置，如启动设置；

（5）电子邮件脚本、及时消息客户发送的可执行内容；

（6）可疑的初始化网络连接。

缺点：恶意代码得先运行才能检测

4 病毒防范措施

4.1 防病毒措施

1．服务器的防病毒措施

（1）安装正版的杀毒软件

（2）拦截受感染的附件

（3）合理设置权限

（4）取消不必要的共享

（5）重要数据定期存档

2．终端用户防病毒措施

（1）安装杀毒软件和个人防火墙

（2）禁用预览窗口功能

（3）删除可疑的电子邮件

（4）不要随便下载文件

（5）定期更改密码

4.2 常用杀毒软件

​ 杀毒软件市场潜力巨大，世界杀毒软件巨头之一的赛门铁克（Symantec）公司2004年的收入已经达到了18.7亿美元，其产品包括了网络安全的各个方面，杀毒产品为诺顿（Norton Antivirus）。国内的杀毒软件市场基本形成瑞星、江民、金山三足鼎立的局面。

​ 瑞星是北京瑞星科技股份有限公司的产品，在国内市场占据率为60%。

​ 江民杀毒软件KV2005是江民科技公司的最新产品，在国内市场占据率为15%。

​ 金山毒霸是金山软件股份有限公司的产品，在国内市场占据率为15%。

4.3 在线杀毒

​ 在线杀毒利用浏览器支持ActiveX标准的特性，通过用户浏览网页并且下载杀毒引擎控件，直接对本地硬盘查杀病毒。杀毒引擎一般很小，只需在首次访问时下载一次，需要经常更新的病毒代码库则不必用户参与，在线杀毒会自动保持与最新版本完全同步。

网络在线杀毒的优点是：

（1）使用方便。用户只需上网浏览并点击，就可使用。

（2）在线查毒是免费的，对用户来讲非常实惠，但在线杀毒一般都是收费的。

（3）网站提供了最新的软件版本，用户无需升级。