【正文】 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 計(jì)算機(jī)病毒概述 引導(dǎo)扇區(qū)型病毒 文件型病毒 宏病毒 其他類(lèi)型的病毒 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 計(jì)算機(jī)病毒概述 計(jì)算機(jī)病毒是某些人利用計(jì)算機(jī)軟 、 硬件所固有的脆弱性 ， 編制具有特殊功能的程序 。 這種特殊功能主要體現(xiàn)在三個(gè)方面：復(fù)制性 、 隱蔽性和破壞性 。 20世紀(jì) 70年代 ， 美國(guó)出版了兩本科幻小說(shuō)： 《 震蕩波騎士 》 和 《 P1的青春 》 。 第一個(gè)被稱(chēng)作計(jì)算機(jī)病毒程序是在 1983年 11月 ， 由弗雷德 科恩博士研制出來(lái)的 。 1988年由羅伯特 莫里斯編寫(xiě)的 “ 蠕蟲(chóng)病毒 ” ， 是一次非常典型的計(jì)算機(jī)病毒人侵計(jì)算機(jī)網(wǎng)絡(luò)的事件 ， 迫使美國(guó)政府立即作出反應(yīng) ， 國(guó)防部成立了計(jì)算機(jī)應(yīng)急行動(dòng)小組 。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 計(jì)算機(jī)病毒概述 病毒的產(chǎn)生 計(jì)算機(jī)病毒是一種高技術(shù)犯罪的毒果 ， 另一方面 ， 計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是引發(fā)病毒產(chǎn)生的根本原因 ， 為病毒的侵人提供了客觀方便 。 病毒制造者的動(dòng)機(jī)主要有： ①開(kāi)個(gè)玩笑，一個(gè)惡作劇。 ②產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。 ③用于版權(quán)保護(hù)。 ④用于特殊目的。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 計(jì)算機(jī)病毒概述 病毒的發(fā)展過(guò)程 （ 1） DOS引導(dǎo)階段 （ 2） DOS可執(zhí)行階段 （ 3）伴隨、批次型階段 （ 4）幽靈、多形階段 （ 5）生成器、變體機(jī)階段 （ 6）網(wǎng)絡(luò)、蠕蟲(chóng)階段 （ 7） Windows階段 （ 8）宏病毒階段 （ 9）互聯(lián)網(wǎng)階段 （ l0）爪哇、郵件炸彈階段 病毒的破壞行為 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 計(jì)算機(jī)病毒概述 病毒的傳播方式 病毒的傳播途徑有五種： (1)利用電磁波 (2)利用有線線路傳播 (3)直接放毒 (4)利用微波傳輸 (5)利用軍用或民用設(shè)備傳播 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 病毒程序的結(jié)構(gòu) 它們的主要結(jié)構(gòu)包含三個(gè)部分：引導(dǎo)部分、傳染部分、表現(xiàn)部分。 引導(dǎo)部分的作用是借助宿主程序?qū)⒉《局黧w從外存加載到內(nèi)存，以便傳染部分和表現(xiàn)部分進(jìn)人活動(dòng)狀態(tài)。它所做的工作有：駐留內(nèi)存，修改中斷，修改高端內(nèi)存，保存原中斷向量等操作。另外，引導(dǎo)部分還可以根據(jù)特定的計(jì)算機(jī)系統(tǒng)，將分別存放的病毒程序鏈接在一起，重新進(jìn)行裝配，形成新的病毒程序，破壞計(jì)算機(jī)系統(tǒng)。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 傳染部分的作用是將病毒代碼復(fù)制到傳染目標(biāo)上去，是病毒的核心。一般復(fù)制傳染的速度比較快，不會(huì)引起用戶的注意，同時(shí)還要盡可能擴(kuò)大染毒范圍。病毒的傳染模塊大致由兩部分組成：條件判斷部分，程序主體部分。 表現(xiàn)部分是病毒間差異最大的部分 ， 前兩個(gè)部分也是為這部分服務(wù)的 。 病毒的本質(zhì) 計(jì)算機(jī)病毒的本質(zhì)是一組計(jì)算機(jī)指令或者程序代碼，是一種可存儲(chǔ)、可執(zhí)行的特殊程序。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 病毒的基本特征 計(jì)算機(jī)病毒在 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 中定義為： “ 指編制或者在計(jì)算機(jī)程序中插人的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù) ， 影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 ” 。 有復(fù)制傳染的功能 ， 有表現(xiàn)破壞的功能 ， 有隱藏的手段 。 它還具有衍生性 。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 病毒的分類(lèi) 計(jì)算機(jī)病毒的類(lèi)型根據(jù)不同的角度各有不同： 按傳染方式：引導(dǎo)型病毒 、 文件型病毒和混合型病毒； 按連接人侵方式：源碼型病毒 、 入侵型病毒 、 操作系統(tǒng)型病毒 、 外殼型病毒； 按病毒存在的媒體：網(wǎng)絡(luò)病毒 、 文件病毒 、 引導(dǎo)型病毒； 按其駐留的方法：駐留型病毒和非駐留型病毒； 按其表現(xiàn)性質(zhì)：良性病毒和惡性病毒； 按寄生方式：內(nèi)存宿主型病毒和磁盤(pán)宿主型病毒； 根據(jù)病毒破壞的能力：無(wú)害型 、 無(wú)危險(xiǎn)型 、 危險(xiǎn)型 、非常危險(xiǎn)型等 。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 1． 引導(dǎo)型病毒 引導(dǎo)型病毒，感染對(duì)象是計(jì)算機(jī)存儲(chǔ)介質(zhì)的引導(dǎo)扇區(qū)。病毒將自身的全部或部分程序取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在介質(zhì)的其他存儲(chǔ)空間。 2． 文件病毒 文件病毒是文件侵染者，也被稱(chēng)為寄生病毒。它運(yùn)行在計(jì)算機(jī)內(nèi)存里，通常它感染帶有 .COM， .EXE， .DRV，擴(kuò)展名的可執(zhí)行文件。它們每一次激活時(shí)，感染文件把自身復(fù)制到其他可執(zhí)行文件中，并能在內(nèi)存中保存很長(zhǎng)時(shí)間，直到病毒又被激活。當(dāng)用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 根據(jù)病毒特有的算法，病毒還可以劃分為：伴隨型病毒；“蠕蟲(chóng)”型病毒；練習(xí)型病毒，自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段；詭秘型病毒，一般不直接修改 DOS中斷和扇區(qū)數(shù)據(jù)，而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等 DOS內(nèi)部修改，不易看到資源，使用比較高級(jí)的技術(shù)，利用 DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作；變型病毒（又稱(chēng)幽靈病毒），使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般由一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 引導(dǎo)扇區(qū)型病毒 硬盤(pán)主引導(dǎo)記錄和引導(dǎo)扇區(qū) 硬盤(pán)的主引導(dǎo)分區(qū)是磁道號(hào)為 0、 磁頭號(hào)為 0、扇區(qū)號(hào)為 1（ C－ 0， H－ 0， R＝ l） 的扇區(qū) ， 它是硬盤(pán)的第一個(gè)物理扇區(qū) 。 主引導(dǎo)分區(qū)中的數(shù)據(jù)由硬盤(pán)主引導(dǎo)記錄和硬盤(pán)分區(qū)表組成 ， 最后 2個(gè)字節(jié)是55H、 AAH。 主引導(dǎo)記錄占用位臵 000～ 0EFH， 硬盤(pán)分區(qū)表占用位臵 01BE～ 01FEH。 分區(qū)表包含 4個(gè)16字節(jié)的表項(xiàng) ， 共 64個(gè)字節(jié) ， 每一個(gè)表項(xiàng)描述一個(gè)分區(qū) ， 表項(xiàng)的內(nèi)容參見(jiàn) P150表 51所示 。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 引導(dǎo)扇區(qū)型病毒 2708病毒的分析 2708病毒是一種引導(dǎo)型病毒，它在傳染軟盤(pán)時(shí)，把正常引導(dǎo)扇區(qū)放到磁盤(pán)的 1面 27道 (以十六進(jìn)制表示 )08扇區(qū)，因此取名為 2708病毒。在病毒發(fā)作時(shí)，病毒程序?qū)?BIOS中的打印端口地址數(shù)據(jù)臵 0，從而封鎖打印機(jī)。 1． 2708病毒的引導(dǎo)過(guò)程 2． 2708病毒的傳播方式 3． 2708病毒的發(fā)作 2708病毒在傳染硬盤(pán)主引導(dǎo)扇區(qū)后，每次從硬盤(pán)啟動(dòng)時(shí)，都會(huì)將啟動(dòng)次數(shù)加 1，并將這個(gè)計(jì)數(shù)器保存在主引導(dǎo)扇區(qū)中。當(dāng)啟動(dòng)次數(shù)達(dá)到 32次后，計(jì)數(shù)器不再增加，覆蓋BIOS區(qū)域中的并口和串口地址，而不能進(jìn)行打印操作。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 引導(dǎo)扇區(qū)型病毒 引導(dǎo)型病毒的檢測(cè)和防治 1． 引導(dǎo)型病毒的引導(dǎo)過(guò)程 引導(dǎo)型病毒在系統(tǒng)起動(dòng)時(shí)，在正常系統(tǒng)引導(dǎo)之前將其自身裝入到系統(tǒng)中。在傳染硬盤(pán)時(shí)它覆蓋了硬盤(pán)的主引導(dǎo)扇區(qū)或 DOS引導(dǎo)扇區(qū)，在傳染軟盤(pán)時(shí)則覆蓋了引導(dǎo)扇區(qū)。在系統(tǒng)引導(dǎo)時(shí)， ROM BIOS把這些扇區(qū)的內(nèi)容讀入內(nèi)存并執(zhí)行。這樣，病毒程序就獲得了控制權(quán)。它首先把自己復(fù)制到內(nèi)存高端，在完成安裝過(guò)程后再繼續(xù) DOS引導(dǎo)過(guò)程。為了保護(hù)內(nèi)存高端的病毒程序不被系統(tǒng)使用，要將內(nèi)存容量減少若干 KB。 2． 引導(dǎo)型病毒的傳播方式 引導(dǎo)型病毒的傳染對(duì)象是軟盤(pán)的引導(dǎo)扇區(qū)和硬盤(pán)的主引導(dǎo)扇區(qū)及硬盤(pán) DOS引導(dǎo)扇區(qū)。 計(jì)算機(jī)安全技術(shù) 計(jì)算機(jī)病毒分析與防治 引導(dǎo)扇區(qū)型病毒 3． 引導(dǎo)型病毒的表現(xiàn)形式 在滿足特定