第七章 计算机病毒与恶意代码防范技术

一、本章复习建议

在历年考题中，本章主要出现在单项选择、填空题中，其考察知识点平均分布在各节，学习层次包含识记、领会层面，建议学员在本章的学习过程中根据考核要求，全面掌握教材中各个考核知识点，在学习和复习阶段结合教材和相关例题、历年真题透彻理解本章节的相关内容。
 

二、本章重要知识点讲解

 
第一节  7.1 计算机病毒概述
（一）7.1.1 计算机病毒的定义 ★
“计算机病毒”最早是由美国计算机病毒研究专家Fred Cohen博士正式提出的。“病毒”一词来源于生物学，因为计算机病毒与生物病毒在很多方面有着相似之处。
Fred Cohen博士对计算机病毒的定义是：“病毒是一种靠修改其他程序来插入或进行自身拷贝，从而感染其他程序的一段程序。”这一定义作为标准已被普遍地接受。
在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”
 
 
（二）7.1.3 计算机病毒的特征 ★
 
 
计算机病毒的特征：
①非授权可执行性②隐蔽性③传染性④潜伏性⑤破坏性⑥触发性。
非授权可执行性：
计算机病毒具有正常程序的一切特性：可存储性、可执行性。它隐藏在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行。
隐蔽性：
病毒一般是具有很高编程技巧的、短小精悍的一段代码，躲在合法程序当中。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。这是病毒程序的隐蔽性。在没有防护措施的情况下，病毒程序取得系统控制权后，可以在很短的时间里传染大量其他程序，而且计算机系统通常仍能正常运行，用户不会感到任何异常，好像在计算机内不曾发生过什么。这是病毒传染的隐蔽性。
传染性：
病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序一旦进入计算机并得以执行，就会寻找符合感染条件的目标，将其感染，达到自我繁殖的目的。所谓“感染”，就是病毒将自身嵌入到合法程序的指令序列中，致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。
因此，只要一台计算机染上病毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）就会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续传染。病毒通过各种可能的渠道，如可移动存储介质（如软盘）、计算机网络去传染其他计算机。传染性是病毒的基本特征。
潜伏性：
病毒进入系统之后一般不会马上发作，可以在几周或者几个月甚至几年内隐藏在合法程序中，默默地进行传染扩散而不被人发现，潜伏性越好，在系统中的存在时间就会越长，传染范围也就会越大。病毒的内部有一种触发机制，不满足触发条件时，病毒除了传染外不做什么破坏。一旦触发条件得到满足，病毒便开始表现，有的只是在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除文件、加密数据、封锁键盘、毁坏系统等。触发条件可能是预定时间或日期、特定数据出现、特定事件发生等。
破坏性：
病毒一旦被触发而发作就会造成系统或数据的损伤甚至毁灭。病毒都是可执行程序，而且又必然要运行，因此所有的病毒都会降低计算机系统的工作效率，占用系统资源，其侵占程度取决于病毒程序自身。病毒的破坏程度主要取决于病毒设计者的目的，如果病毒设计者的目的在于彻底破坏系统及其数据，那么这种病毒对于计算机系统进行攻击造成的后果是难以想像的，它可以毁掉系统的部分或全部数据并使之无法恢复。虽然不是所有的病毒都对系统产生极其恶劣的破坏作用，但有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃等重大恶果。
触发性：
计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制，使之进行传染，或者激活病毒的表现部分或破坏部分。
 
（三）7.1.4 计算机病毒的危害
①直接破坏计算机数据信息
②占用磁盘空间和对信息的破坏
③抢占系统资源
④影响计算机运行速度
⑤计算机病毒错误与不可预见的危害
⑥计算机病毒的兼容性对系统运行的影响
⑦给用户造成严重的心理压力
 
 
第二节  7.2 计算机病毒的工作原理和分类
（一）7.2.1 计算机病毒的工作原理
计算机病毒一般包括三大功能模块，即引导模块、传染模块和发作模块（破坏/表现模块）。
①引导模块。计算机病毒要对系统进行破坏，争夺系统控制权是至关重要的，一般的病毒都是由引导模块从系统获取控制权，引导病毒的其它部分工作。中断与计算机病毒，中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理，处理完后又立即返回断点，继续进行CPU原来的工作。
②传染模块。计算机病毒的传染是病毒由一个系统扩散到另一个系统，由一张磁盘传和入另一张磁盘，由一个系统传入另一张磁盘，由一个网络传播到另一个网络的过程。计算机病毒是不能独立存在的，它必须寄生于一个特定的寄生宿主之上。
③发作模块。计算机病毒潜伏在系统中处于发作就绪状态，一旦病毒发作就执行病毒设计者的目的操作。破坏机制在设计原理、工作原理上与传染机制基体相同。
若某程序被定义为计算机病毒，只有传染机制是强制性的，引导机制和表现机制是非强制性的。
 
 
（二）7.2.2 计算机病毒的分类
按病毒攻击的系统分类：
① 攻击DOS系统的病毒
② 攻击windows系统的病毒
③ 攻击UNIX系统的病毒
④ 攻击OS/2系统的病毒。
按病毒的攻击机型分类：
①攻击微型计算机的病毒
②攻击小型机的计算机病毒
③攻击工作部的计算机病毒。
按病毒的链接方式分类：
①源码型病毒②嵌入型病毒③外壳型病毒④操作系统型病毒。
按病毒的破坏情况分类：①良性计算机病毒②恶性计算机病毒。
良性病毒仅传染，不破坏数据；恶性病毒在其传染或发作时会对系统产生直接的破坏作用。
按病毒的寄生方式分类：①引导型病毒②文件型病毒③复合型病毒。
按病毒的传播媒介分类：①单机病毒②网络病毒。
 
（三）7.2.3 病毒实例分析
CIH病毒：
CIH病毒一般破坏硬盘数据甚至主板上的BIOS的内容，导致主机无法启动。发作时现象：在4月26日开机，显示器突然黑屏，硬盘指示灯闪烁不停，重新开机后，计算机无法启动。
CIH病毒是一种文件型病毒，属于攻击windows系统的病毒，DOS及WIN3.1格式的可执行文件不受感染。
宏病毒：
宏病毒会感染包含有数据的文件，即文档。
宏是一组指令，可以简化一个应用内的重复性任务。例如，如果你的公司要求将某一个声明加到所有文档的后面，你可以在你的Word处理器上创建一个宏，通过按几个组合键便可以将一个声明加到所有文档的后面。还可以对这个宏进行配置，使其自动运行。
宏病毒是用应用程序的宏语句编写的。它们通常利用宏的自动化功能，在用户不参与的情况下便能够运行被感染的宏。因此，只要打开一个文档，这个被感染的宏便会被执行。当一个被感染的宏被运行时，它会将自己安装在应用的模板中，并感染该应用创建和打开的所有文档。
Word宏病毒的特征。（P212）
①word宏病毒会感染.doc文档和.dot模板文件；
②word宏病毒的传染通常是word在打开一个带宏病毒的文档或模板时，激活宏病毒。
③多数word宏病毒包含AutoOpen、AutoClose、AutoNew、AutoExit等自动宏，通过这自动宏病毒取得文档操作权。
④word宏病毒中总是含有对文档读写操作的宏命令。
⑤word宏病毒在.doc文档、.dot模板中以BFF格式存放，这是一种加密压缩格式，不同word版本格式可能不兼容。
网络病毒：
在网络环境下，计算机病毒的新特点：
①传染方式多；②传播速度快；③清除难度大；④破坏性强；⑤潜在性深。
电子邮件病毒：
通过电子邮件传播的病毒。如“爱虫”病毒。
 
第三节  7.3 计算机病毒的检测与防范
（一）7.3.1 计算机病毒的检测
常用计算机病毒检测手段的基本原理：
 ①特征代码法②校验和法③行为监测法④软件模拟法（用软件分析器来模拟和分析程序的运行）
 
（二）7.3.2 计算机病毒的防范
防范计算机病毒主要从管理和技术两方面着手：
①严格的管理。制定相应的管理制度，避免蓄意制造、传播病毒的事件发生。
②有效的技术。
1）将大量的消毒/杀毒软件汇集一体，检查是否存在已知病毒。
2）检测一些病毒经常要改变的系统信息，以确定是否存在病毒行为；
3）监测写盘操作，对引导区或主引导区的写操作报警。
4）对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证，在程序执行前或定期对程序进行密码校验，如有不匹配现象即报警。
5）智能判断型：设计病毒行为过程判定知识库，应用人工智能技术，有效区别正常程序与病毒程序的行为。
6）智能监察型：设计病毒特征库，病毒行为知识库，受保护程序存取行为知识库等多个知识库及相应的可变推理机。
 
（三）7.3.3 计算机病毒的发展趋势
①变形病毒成为下一代病毒首要的特点；
②与Internet和Intranet更加紧密的结合，利用一切可以利用的方式进行传播；
③病毒往往具有混合性特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏笥大大增强，获取经济复兴开始成为编写病毒的主要目的；
④因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；⑤利用系统和应用程序漏洞将成为病毒有力的传播方式。
 
 
第四节  7.4 恶意代码
 
恶意代码或Malware，是一个可以中断或破坏计算机网络的程序或代码。一些恶意代码可以将自己附在宿主程序或文件中，而另一些恶意代码则是独立的。虽然一些恶意代码破坏力很小，但大多数破坏类型的恶意代码可能会降低系统运行速度，造成数据丢失和文件毁坏，注册表和配置文件被修改，或为攻击者创造条件，使其可以绕过系统的安全程序。
病毒是恶意代码的一种形式。然而，病毒有某些其他类型恶意代码所没有的属性。例如，他们只感染可执行程序，不像其他恶意代码可能是独立的程序或能够感染数据文件。
 
（一）7.4.1 恶意代码的特征与分类
特征：①恶意的目的②本身是程序③通过执行发生作用。
分类：按恶意代码的工作原理和传输方式区分，恶意代码可分为普通病毒、木马、网络蠕虫、移动代码和复合型病毒等类型。
 
（二）7.4.2 恶意代码的关键技术 ★
 
恶意代码主要关键技术有生存技术、攻击技术和隐藏技术。①生存技术主要包括4个方面：反跟踪技术、加密技术、模糊变换技术和自动生产技术。②常见的恶意代码攻击技术包括：进程注入技术、三线程技术、端口复用技术、对抗检测技术、端口反向连接技术和缓冲区溢出攻击技术等。③隐藏技术通常包括本地隐藏和通信隐藏，本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏和内核模块隐藏等；通信隐藏包括通信内容隐藏和传输通道隐藏。
 
（三）7.4.5 恶意代码的防范
 
恶意代码的防范措施（P228）：
①及时更新系统，修补安全漏洞
②设置安全策略，限制脚本程序的运行
③开启防火墙，关闭不必要的服务和系统信息；
④养成良好的上网习惯。