【正文】 1 第五章 計算機病毒及惡意代碼 ? 本章學習重點掌握內(nèi)容： ? 傳統(tǒng)病毒原理 ? 腳本病毒原理 ? 網(wǎng)絡蠕蟲原理 ? 木馬技術(shù) ? 網(wǎng)絡釣魚技術(shù) ? 僵尸網(wǎng)絡 ? 流氓軟件 2 第五章 計算機病毒及惡意代碼 計算機病毒概述 傳統(tǒng)的計算機病毒 腳本病毒 3 計算機病毒的定義 ? 計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組 計算機指令 或者程序代碼 。 4 ? 計算機病毒的 計算機病毒伴隨計算機、網(wǎng)絡信息技術(shù)的快速發(fā)展而日趨復雜多變，其破壞性和傳播能力也不斷增強。計算機病毒發(fā)展主要經(jīng)歷了五個重要的階段。 （ 1）原始病毒階段（第一階段） ? 攻擊目標和破壞性比較單一。病毒程序不具有自我保護功能，較容易被人們分析、識別和清除。 （ 2）混合型病毒階段（第二階段） ? 19891991，隨著計算機局域網(wǎng)的應用與普及，給計算機病毒帶來了第一次流行高峰。主要特點：攻擊目標趨于綜合，以更隱蔽的方法駐留在內(nèi)在和傳染目標中，系統(tǒng)感染病毒后沒有明顯的特征，病毒程序具有自我保護功能，出現(xiàn)眾多病毒的變種 （ 3）多態(tài)性病毒階段（第三階段） ? 在每次傳染目標時，放入宿主程序中的病毒程序大部分是可變的。防病毒軟件難以查殺，如 94年“幽靈“病毒。 （ 4）網(wǎng)絡病毒階段（第四階段） ? 隨國際互聯(lián)網(wǎng)廣泛發(fā)展，依賴互聯(lián)網(wǎng)傳播的郵件病毒和宏病毒等泛濫，呈現(xiàn)出病毒傳播快、隱蔽性強、破壞性大特點。 ? 基于 Windows運行環(huán)境的病毒，隨著微軟 Office軟件的普及，出現(xiàn)了宏病毒，各種腳本病毒也日益增多著名病毒如 CIH病毒等 （ 5）主動攻擊型病毒階段（第五階段） ? 典型代表：沖擊波、震蕩波病毒和木馬等。 5 ? 計算機病毒的產(chǎn)生原因 ? 計算機病毒的產(chǎn)生原因主要有 4個方面： 1） 惡作劇型 2） 報復心理型 3） 版權(quán)保護型 4） 特殊目的型 6 ? 病毒的命名并無統(tǒng)一的規(guī)定，基本都是采用前后綴法來進行命名。 ? 一般格式為： [前綴 ].[病毒名 ].[后綴 ]。 ? 以振蕩波蠕蟲病毒的變種 c“Worm. Sasser. c”為例， Worm指病毒的種類為蠕蟲， Sasser是病毒名， c指該病毒的變種。 （ 1）病毒前綴 （ 2）病毒名 （ 3）病毒后綴 7 計算機病毒的分類（ 1） 1. 以病毒攻擊的操作系統(tǒng)分類 （ 1） 攻擊 DOS 系統(tǒng)的病毒 （ 2） 攻擊 Windows 系統(tǒng)的病毒 ? 用戶使用多，主要的攻擊對象 （ 3） 攻擊 UNIX 系統(tǒng)的病毒 （ 4） 攻擊 OS/2 系統(tǒng)的病毒 （ 5） 攻擊 NetWare 系統(tǒng)的病毒 2．以病毒的攻擊機型分類 （ 1） 攻擊微型計算機的病毒 （ 2） 攻擊小型機的計算機病毒 （ 3） 攻擊服務器的計算機病毒 8 計算機病毒的分類（ 2） 3．按照計算機病毒的鏈接方式分類 （ 1） 源碼型病毒 （ 2） 嵌入型病毒 ? 將計算機病毒的主體程序與其攻擊對象以插入方式進行鏈接，一旦進入程序中就難以清除。 （ 3） 外殼型病毒 ? 將自身包圍在合法的主程序的周圍，對原來的程序并不作任何修改。常見、易于編寫、易發(fā)現(xiàn)。 （ 4） 操作系統(tǒng)型病毒 4．按照計算機病毒的破壞能力分類 ? 根據(jù)病毒破壞的能力可劃分為 4種： （ 1） 無害型 （ 2） 無危險型 （ 3） 危險型 （ 4） 非常危險型 9 計算機病毒的分類（ 3） 5．按照傳播媒介不同分類 （ 1）單機病毒 （ 2）網(wǎng)絡病毒 6．按傳播方式不同分類 （ 1）引導型病毒 （ 2）文件型病毒： . .exe （ 3）混合型病毒 7．根據(jù)病毒特有的算法不同分類 （ 1） 伴隨型病毒 （ 2） 蠕蟲 型病毒 （ 3） 寄生型病毒 （ 4） 練習型病毒 （ 5） 詭秘型病毒 （ 6） 變型病毒（又稱幽靈病毒） 10 計算機病毒的分類（ 4） 8. 按照病毒的寄生部位或傳染對象分類 （ 1）磁盤引導區(qū)傳染的計算機病毒 （ 2）操作系統(tǒng)傳染的計算機病毒 （ 3）可執(zhí)行程序傳染的計算機病毒 ? 以上三種病毒的分類，實際上可以歸納為兩大類： ? 一類是引導區(qū)型傳染的計算機病毒； ? 另一類是可執(zhí)行文件型傳染的計算機病毒。 11 計算機病毒特征 ? 根據(jù)對計算機病毒的產(chǎn)生、傳播和破壞行為的分析，可以將計算機病毒概括為以下 6 個主要特點。 ? 指病毒具有把自身復制到其它程序中的特性 2. 取得系統(tǒng)控制權(quán) 3. 隱蔽性 ? 隱蔽性 。通過隱蔽技術(shù)使宿主程序的大小沒有改變，以至于很難被發(fā)現(xiàn)。 4. 破壞性 ? 破壞性 計算機所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計算機病毒的破壞 5. 潛伏性 ? 潛伏性 長期隱藏在系統(tǒng)中，只有在滿足特定條件時，才啟動其破壞模塊。 6. 不可預見性 12 計算機病毒特征 ? 網(wǎng)絡病毒又增加很多新的特點 ? 主動通過網(wǎng)絡和郵件系統(tǒng)傳播 ? 計算機的病毒種類呈爆炸式增長 ? 變種多，容易編寫，并且很容易被修改，生成很多病毒變種 ? 融合多種網(wǎng)絡技術(shù)，并被黑客所使用 13 ? 計算機病毒的組成結(jié)構(gòu) ? 計算機病毒的種類很多，但通過分析現(xiàn)有的計算機病毒，發(fā)現(xiàn)幾乎所有的計算機病毒都是由3 個部分組成即 : ? 引導模塊 ? 傳播模塊 ? 表現(xiàn)模塊 14 ? 病毒傳播可分為兩種方式： （ 1） 用戶在進行復制磁盤或文件時，把病毒由一個載體復制到另一個載體上，或者通過網(wǎng)絡把一個病毒程序從一方傳遞到另一方，這種傳播方式叫做 計算機病毒的被動傳播 ； （ 2） 計算機病毒以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活狀態(tài)下，只要傳播條件滿足，病毒程序能主動把病毒自身傳播給另一個載體或另一個系統(tǒng)，這種傳播方式叫做 計算機病毒的主動傳播 。 15 ? 計算機病毒的傳播途徑： （ 1） 通過不可移動的計算機硬件設備進行傳播，即利用專用 ASIC 芯片和硬盤進行傳播； （ 2） 通過移動存儲設備來傳播，其中 U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì)； （ 3） 通過計算機網(wǎng)絡進行傳播； （ 4） 通