【正文】 計算機安全技術(shù) 計算機病毒分析與防治 計算機病毒概述 引導扇區(qū)型病毒 文件型病毒 宏病毒 其他類型的病毒 計算機安全技術(shù) 計算機病毒分析與防治 計算機病毒概述 計算機病毒是某些人利用計算機軟 、 硬件所固有的脆弱性 ， 編制具有特殊功能的程序 。 這種特殊功能主要體現(xiàn)在三個方面：復制性 、 隱蔽性和破壞性 。 20世紀 70年代 ， 美國出版了兩本科幻小說： 《 震蕩波騎士 》 和 《 P1的青春 》 。 第一個被稱作計算機病毒程序是在 1983年 11月 ， 由弗雷德 科恩博士研制出來的 。 1988年由羅伯特 莫里斯編寫的 “ 蠕蟲病毒 ” ， 是一次非常典型的計算機病毒人侵計算機網(wǎng)絡的事件 ， 迫使美國政府立即作出反應 ， 國防部成立了計算機應急行動小組 。 計算機安全技術(shù) 計算機病毒分析與防治 計算機病毒概述 病毒的產(chǎn)生 計算機病毒是一種高技術(shù)犯罪的毒果 ， 另一方面 ， 計算機軟硬件產(chǎn)品的脆弱性是引發(fā)病毒產(chǎn)生的根本原因 ， 為病毒的侵人提供了客觀方便 。 病毒制造者的動機主要有： ①開個玩笑，一個惡作劇。 ②產(chǎn)生于個別人的報復心理。 ③用于版權(quán)保護。 ④用于特殊目的。 計算機安全技術(shù) 計算機病毒分析與防治 計算機病毒概述 病毒的發(fā)展過程 （ 1） DOS引導階段 （ 2） DOS可執(zhí)行階段 （ 3）伴隨、批次型階段 （ 4）幽靈、多形階段 （ 5）生成器、變體機階段 （ 6）網(wǎng)絡、蠕蟲階段 （ 7） Windows階段 （ 8）宏病毒階段 （ 9）互聯(lián)網(wǎng)階段 （ l0）爪哇、郵件炸彈階段 病毒的破壞行為 計算機安全技術(shù) 計算機病毒分析與防治 計算機病毒概述 病毒的傳播方式 病毒的傳播途徑有五種： (1)利用電磁波 (2)利用有線線路傳播 (3)直接放毒 (4)利用微波傳輸 (5)利用軍用或民用設備傳播 計算機安全技術(shù) 計算機病毒分析與防治 病毒程序的結(jié)構(gòu) 它們的主要結(jié)構(gòu)包含三個部分：引導部分、傳染部分、表現(xiàn)部分。 引導部分的作用是借助宿主程序?qū)⒉《局黧w從外存加載到內(nèi)存，以便傳染部分和表現(xiàn)部分進人活動狀態(tài)。它所做的工作有：駐留內(nèi)存，修改中斷，修改高端內(nèi)存，保存原中斷向量等操作。另外，引導部分還可以根據(jù)特定的計算機系統(tǒng)，將分別存放的病毒程序鏈接在一起，重新進行裝配，形成新的病毒程序，破壞計算機系統(tǒng)。 計算機安全技術(shù) 計算機病毒分析與防治 傳染部分的作用是將病毒代碼復制到傳染目標上去，是病毒的核心。一般復制傳染的速度比較快，不會引起用戶的注意，同時還要盡可能擴大染毒范圍。病毒的傳染模塊大致由兩部分組成：條件判斷部分，程序主體部分。 表現(xiàn)部分是病毒間差異最大的部分 ， 前兩個部分也是為這部分服務的 。 病毒的本質(zhì) 計算機病毒的本質(zhì)是一組計算機指令或者程序代碼，是一種可存儲、可執(zhí)行的特殊程序。 計算機安全技術(shù) 計算機病毒分析與防治 病毒的基本特征 計算機病毒在 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 中定義為： “ 指編制或者在計算機程序中插人的破壞計算機功能或者破壞數(shù)據(jù) ， 影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼 ” 。 有復制傳染的功能 ， 有表現(xiàn)破壞的功能 ， 有隱藏的手段 。 它還具有衍生性 。 計算機安全技術(shù) 計算機病毒分析與防治 病毒的分類 計算機病毒的類型根據(jù)不同的角度各有不同： 按傳染方式：引導型病毒 、 文件型病毒和混合型病毒； 按連接人侵方式：源碼型病毒 、 入侵型病毒 、 操作系統(tǒng)型病毒 、 外殼型病毒； 按病毒存在的媒體：網(wǎng)絡病毒 、 文件病毒 、 引導型病毒； 按其駐留的方法：駐留型病毒和非駐留型病毒； 按其表現(xiàn)性質(zhì)：良性病毒和惡性病毒； 按寄生方式：內(nèi)存宿主型病毒和磁盤宿主型病毒； 根據(jù)病毒破壞的能力：無害型 、 無危險型 、 危險型 、非常危險型等 。 計算機安全技術(shù) 計算機病毒分析與防治 1． 引導型病毒 引導型病毒，感染對象是計算機存儲介質(zhì)的引導扇區(qū)。病毒將自身的全部或部分程序取代正常的引導記錄，而將正常的引導記錄隱藏在介質(zhì)的其他存儲空間。 2． 文件病毒 文件病毒是文件侵染者，也被稱為寄生病毒。它運行在計算機內(nèi)存里，通常它感染帶有 .COM， .EXE， .DRV，擴展名的可執(zhí)行文件。它們每一次激活時，感染文件把自身復制到其他可執(zhí)行文件中，并能在內(nèi)存中保存很長時間，直到病毒又被激活。當用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。其特點是附著于正常程序文件，成為程序文件的一個外殼或部件。 計算機安全技術(shù) 計算機病毒分析與防治 根據(jù)病毒特有的算法，病毒還可以劃分為：伴隨型病毒；“蠕蟲”型病毒；練習型病毒，自身包含錯誤，不能進行很好的傳播，例如一些病毒在調(diào)試階段；詭秘型病毒，一般不直接修改 DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設備技術(shù)和文件緩沖區(qū)等 DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)，利用 DOS空閑的數(shù)據(jù)區(qū)進行工作；變型病毒（又稱幽靈病毒），使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般由一段混有無關指令的解碼算法和被變化過的病毒體組成。 計算機安全技術(shù) 計算機病毒分析與防治 引導扇區(qū)型病毒 硬盤主引導記錄和引導扇區(qū) 硬盤的主引導分區(qū)是磁道號為 0、 磁頭號為 0、扇區(qū)號為 1（ C－ 0， H－ 0， R＝ l） 的扇區(qū) ， 它是硬盤的第一個物理扇區(qū) 。 主引導分區(qū)中的數(shù)據(jù)由硬盤主引導記錄和硬盤分區(qū)表組成 ， 最后 2個字節(jié)是55H、 AAH。 主引導記錄占用位臵 000～ 0EFH， 硬盤分區(qū)表占用位臵 01BE～ 01FEH。 分區(qū)表包含 4個16字節(jié)的表項 ， 共 64個字節(jié) ， 每一個表項描述一個分區(qū) ， 表項的內(nèi)容參見 P150表 51所示 。 計算機安全技術(shù) 計算機病毒分析與防治 引導扇區(qū)型病毒 2708病毒的分析 2708病毒是一種引導型病毒，它在傳染軟盤時，把正常引導扇區(qū)放到磁盤的 1面 27道 (以十六進制表示 )08扇區(qū)，因此取名為 2708病毒。在病毒發(fā)作時，病毒程序?qū)?BIOS中的打印端口地址數(shù)據(jù)臵 0，從而封鎖打印機。 1． 2708病毒的引導過程 2． 2708病毒的傳播方式 3． 2708病毒的發(fā)作 2708病毒在傳染硬盤主引導扇區(qū)后，每次從硬盤啟動時，都會將啟動次數(shù)加 1，并將這個計數(shù)器保存在主引導扇區(qū)中。當啟動次數(shù)達到 32次后，計數(shù)器不再增加，覆蓋BIOS區(qū)域中的并口和串口地址，而不能進行打印操作。 計算機安全技術(shù) 計算機病毒分析與防治 引導扇區(qū)型病毒 引導型病毒的檢測和防治 1． 引導型病毒的引導過程 引導型病毒在系統(tǒng)起動時，在正常系統(tǒng)引導之前將其自身裝入到系統(tǒng)中。在傳染硬盤時它覆蓋了硬盤的主引導扇區(qū)或 DOS引導扇區(qū)，在傳染軟盤時則覆蓋了引導扇區(qū)。在系統(tǒng)引導時， ROM BIOS把這些扇區(qū)的內(nèi)容讀入內(nèi)存并執(zhí)行。這樣，病毒程序就獲得了控制權(quán)。它首先把自己復制到內(nèi)存高端，在完成安裝過程后再繼續(xù) DOS引導過程。為了保護內(nèi)存高端的病毒程序不被系統(tǒng)使用，要將內(nèi)存容量減少若干 KB。 2． 引導型病毒的傳播方式 引導型病毒的傳染對象是軟盤的引導扇區(qū)和硬盤的主引導扇區(qū)及硬盤 DOS引導扇區(qū)。 計算機安全技術(shù) 計算機病毒分析與防治 引導扇區(qū)型病毒 3． 引導型病毒的表現(xiàn)形式 在滿足特定