第3章 计算机病毒及防治
3.1 计算机病毒概述 3.2 计算机病毒的工作机理 3.3 计算机病毒实例 3.4 计算机病毒的检测和清除
3.1 计算机病毒概述
计算机病毒的定义
“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提 出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算 机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。 在《中华人民共和国计算机信息系统安全保护条例》中的定义为： “计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能 或者数据，影响计算机使用并且能够自我复制的一组计算机指令或 者程址0CFEH和0CFDH向BIOS引导块内
各写一个字节的代码，造成主机无法启动。
2) 通过调用Vxd call IOS_SendCommand直接对磁盘进行存取，
将垃圾代码以2048个扇区为单位，覆盖硬盘的数据(含逻辑片）
3.3.2 红色代码病毒
• 红色代码病毒是一种新型网络病毒 • 从一台服务器内存传染到另一台服务器内存 • 攻击装有IIS服务的系统 红色代码II： •攻击任何语言的系统 •在被攻击的系统上植入木马程序 •利用IIS服务程序的堆栈溢出漏洞 •病毒代码创建300个病毒线程（中文600个），向随机地址的80端口发送病毒传染数据 包 •强行重启计算机
返回本节
计算机病毒的发展历史
1986年1月，首例病毒：巴基斯坦病毒(Pakistan或称Brain病毒) ， 1986-1995 年间主要通过软盘传播。
1989年春，在我国发现了首例计算机病毒——小球病毒 1999年email出现之前，利用微软Word等程序的宏病毒将散布时间从
数周甚至数月缩短到了数天。 1998年的CIH 1998年以后：红色代码、尼姆达、冲击波…
病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。
2．非授权性 隐藏在正常文件中，窃取到系统的控制权，病毒的动作、目的队用户是未知的，未
经用户许可的。 3．隐蔽性 不经过代码分析，很难将病毒程序与正常程序区别开来。 4．潜伏性 一般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发现。 5．破坏性 一旦发作会造成系统或数据的损伤甚至毁灭。 6．不可预见性 不同种类的病毒，它们的代码千差万别
1990年，赛门铁克推出了Norton Antivirus，这是由一家重要软件 公司开发出的第一个反病毒程序。
3.1.1 计算机病毒的概念和发展史
1．萌芽阶段 2．DOS平台阶段 3．Windows平台阶段 4．互联网阶段
3.1.2 计算机病毒的特征
计算机病毒一般具有以下几个特征。 1．传染性
入输出系统（BIOS）的中断指向病毒代码
（3）执行病毒的一些其他功能，如破坏功能，显示信息或者病毒
精心制作的动画等。
（4）这些工作后，病毒将控制权返回被感染程序，使正常程序执
行。
系统启动 引导程序
病毒跳转到内存并 获得系统控制权
符合条件?
N
Y 激活病毒
传染或破坏
驻留等待
执行正常的系统引导
系统启动 运行.COM，.EXE 文件
（2）攻击
攻击模块按漏洞攻击步骤自动攻击步骤（1）中找到的对象，取得该主机的权限 （一般为管理员权限），获得一个shell。
（3）复制
复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并启动。
2．蠕虫病毒的入侵过程
手动入侵一般可分为以下三步。
（1）用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。 （2）针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直
3.2 计算机病毒的工作机理
3.2.1 引导型病毒
1．引导区的结构 2．计算机的引导过程 3．引导型病毒的基本原理
覆盖型和转移型
图3.1 转移型引导病毒的原理图
3.2.2 文件型病毒
（1）内存驻留的病毒首先检查系统内存，查看内存是否已有此病
毒存在，如果没有则将病毒代码装入内存进行感染。
（2）对于内存驻留病毒来说，驻留时还会把一些DOS或者基本输
Applications（VBA）这样的高级语言编写，编写比较简单，功能 比较强大，只要掌握一些基本的“宏”编写手段，即可编写出破坏 力很大的宏病毒。
（5）宏病毒的传播速度极快。由于网络的普及，Email和FTP服务
使人们更加方便快捷地获取信息，但同时也为宏病毒的传播提供了 便利条件。而且，随着“无纸办公”方式的使用，微软Office软件 已经成为办公人员不可缺少的工具，这也为宏病毒提供了广阔的天 地。
特征判定技术
（3）分析法:针对未知新病毒采用的技术。
工作过程如下：
确认被检查的磁盘引导扇区或计算机文件中是否含有病毒。 确认病毒的类型和种类，判断它是否为一种新病毒； 分析病毒程序的大致结构，提取识别用的特征字符或字符
串，添加到病毒特征库中； 分析病毒程序的详细结构，为制定相应的反病毒措施提供
方案。
（3）危险性
这类病毒在计算机系统操作中造成严重的错误。
（4）非常危险性
这类病毒会删除程序，破坏数据，清除系统内存区和操作系统中重要的信息， 甚至会破坏计算机硬件，对系统的危害是最大的。
4．按病毒特有的算法分类 （1）伴随型病毒 （2）“蠕虫”病毒 （3）寄生型病毒
5．按病毒的链接方式分类 （1）源码型病毒 （2）嵌入型病毒 （3）外壳病毒 （4）操作系统型病毒
到获得主机的管理员权限。对搜集来的信息进行分析，找到可以有 效利用的信息。
（3）利用获得的权限在主机上安装后门、跳板、控制端和监视器
等，并清除日志。
（1）“扫描－攻击－复制”模式 （2）蠕虫病毒传播的其他模式 3．蠕虫病毒的安全防御
3.3 计算机病毒实例
3.3.1 CIH病毒
CIH病毒是一种文件型病毒，又称Win95.CIH、Win32.CIH以 及PE_CIH，其宿主是Windows 95/98系统下的PE格式可执行文件 （.EXE文件），在DOS平台和Windows NT/2000平台中病毒不起作 用。
件将这些端口禁止或者使用“TCP/IP筛选”功能来禁止这些端口。
3.4 计算机病毒的检测和清除
3.4.1 计算机病毒的检测
计算机病毒的检测技术是指通过一定的技术手段判定计算机病 毒的一门技术。
现在判定计算机病毒的手段主要有两种：一种是根据计算机病毒 特征来进行判断，另一种是对文件或数据段进行校验和计算，保 存结果，定期和不定期地根据保存结果对该文件或数据段进行校 验来判定。
（2）改DOS系统为数据区的内存总量。
（3）对.COM与.EXE文件进行写入操作。
（4）病毒程序与宿主程序的切换。
4．软件模拟法
是一种软件分析器，用软件的方法来模拟和分析程 序的运行。
运行。所以该病毒发作时仅会破坏可升级主板的FLASH BIOS。
1．CIH病毒的驻留（病毒的引导）
当运行带有CIH病毒的.exe文件时，首先调入内存执行的是病毒
的驻留程序，驻留程序为184。
2．病毒的传染
病毒驻留在内存过程中调用Windows内核底层函数。CIH不会重复 感染PE格式文件。
3．病毒的表现
2.校验和判定技术
计算正常文件内容的校验和，将校验和保存。检测时，检 查文件当前内容的校验和与原来保存的校验和是否一致。 优点：能发现未知病毒； 缺点：无法识别病毒种类。
3. 行为判定技术
利用病毒的特有行为特性进行监测，一旦发现病毒行为
则立即报警。
病毒具有一些比较特殊的共同行为：
（1）占有INT 13H。所有的引导型病毒，都攻击引导 扇区或主引导扇区。
3.2.4 宏病毒
宏病毒是计算机病毒历史上发展最快的病毒，它也是传播最 广泛，危害最大的一类病毒。据国际计算机安全协会 （International Computer Security Association）的统计报 道，在当前流行的病毒中，宏病毒占全部病毒的80%左右。
宏病毒是一类使用宏语言编写的程序，依赖于微软Office办 公套件Word、Excel和PowerPoint等应用程序传播。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run 项 ， 在 其 中 加 入 “ windows auto update”=“msblast.exe”，进行自启动，用户可以手工清除该键 值。
（5）病毒会用到135、4444和69等端口，用户可以使用防火墙软
病毒随文件到内存 并获得系统控制权
符合条件?
N
Y 激活病毒
传染或破坏
驻留等待
文件正常执行
（a）引导型病毒 病毒的传播、破坏过程
（b）文件型病毒
返回本节
3.2.3 混合型病毒
混合型病毒顾名思义就是集引导型和文件型病毒特性为一体 的病毒，它们可以感染可执行文件，也可以感染引导区，并使 之相互感染，具有相当强的感染力。
2．宏病毒的感染机制 3．宏病毒的表现 （1）有些宏病毒只进行自身的传播，并不具破坏性。 （2）这些宏病毒只对用户进行骚扰，但不破坏系统。 （3）有些宏病毒极具破坏性。
3.2.5 网络病毒
1．蠕虫病毒的传播过程
蠕虫病毒的传播可以分为3个基本模块：
（1）扫描
由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。
3.3.3 冲击波病毒
针对Windows操作系统(NT/2000/XP/2003)安全漏洞； 利用IP扫描技术寻找Windows操作系统的计算机 利用DCOM RPC缓冲区漏洞进行攻击
冲击波病毒的清除
冲击波病毒的清除方法如下。
（1）病毒通过微软的最新RPC漏洞进行传播，因此用户可以先
进入微软网站，下载相应的系统补丁，给系统打上补丁。
优点：简单易行； 缺点：无法确认是否为病毒，且无法识别病毒种类。