计算机病毒的防治 计算机安全必威体育官网网址技术课程 教学课件.pptVIP

计算机病毒的防治 教材 第6章 计算机病毒 “计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1的青春》中提出。 1996年出现针对微软公司Office的“宏病毒”。 1997年被公认为计算机反病毒界的“宏病毒”年。“宏病毒”主要感染WORD、EXCEL等文件，是自1996年9月开始在国内出现并逐渐流行的病毒。如Word宏病毒。 1998年出现针对Windows95/98系统的病毒，如CIH，1998年被公认为计算机反病毒界的CIH病毒年。 计算机病毒(virus) 介绍病毒的机理 CIH病毒 邮件病毒 Nimda 病毒的本质和分类 一个分布式防病毒体系结构 CIH病毒 – 4.26事件(一则报道) CIH病毒 CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。这种病毒与DOS下的传统病毒有很大不同，它使用面向 Windows 的 VXD 技术编制。 1998年8月份从台湾传入国内，共有三个版本：1.2版/1.3版/1.4版，发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒。 CIH病毒 病毒影响：Win95/98 类型：文件型病毒，感染95/98环境下PE格式的EXE文件 病毒特点： 受感染的.EXE文件的文件长度没有改变 病毒代码化整为零，插入到被感染文件中 病毒代码只有1K字节左右 现象：突然显示器黑屏、硬盘狂闪，无法重启 传播方式：通过文件进行传播。只要运行了带病毒的文件，病毒就会驻留在系统内存中，以后，再运行PE格式的EXE文件，这些文件就会染上病毒 破坏：利用BIOS芯片可重写的特性，向BIOS写入乱码——直接破坏硬件设备 CIH病毒原理 CIH病毒驻留 如果一个EXE程序已经被感染，则此程序的入口指针被改掉，首先执行病毒的驻留部分 用SIDT取得IDT表地址，修改INT3的中断入口，指向病毒代码 执行INT 3，在ring 0执行病毒代码。 判断DR0寄存器是否为0，以便确定是否已经驻留在内存中，否则的话，执行下面的过程： 申请Windows的系统内存，以便把病毒体放到系统中。病毒代码被分割到程序各个部分，所以要先把它们装配起来 在Windows内核中的文件系统处理函数中挂接钩子，以截取文件调用的操作。因此，一旦系统出现要求打开文件的调用，则CIH病毒的感染部分代码就会马上截获此文件 恢复IDT表的INT3地址 进入程序的正常执行过程 CIH病毒原理(续一) 感染部分：对于文件调用的钩子函数 首先取到文件名字 如果文件名为EXE后缀，则感染： 判断EXE文件的格式是否为PE格式 如果文件已被感染，或者不是PE格式，则进入病毒发作模块 否则，进行感染 把病毒代码放到PE格式的各个缝隙中 首块插入到PE格式头部的自由空间中。PE格式通常有400多字节的自由空间，而病毒代码的首块必须包含驻留代码(184字节 for CIH 1.4)以及病毒块链表 修改文件入口地址，指向病毒驻留代码，并且把原来的入口地址也记录下来，以便能够回到正常的执行路径上 除了首块病毒代码之外，其他的块插入到PE文件的各个section中。根据PE头中每个section的参数信息，决定每个section可以存放的病毒代码大小，依次填入病毒代码，直到填完或者到达最后的section 最后，执行写盘操作，把病毒代码写入文件 CIH病毒原理(续二) 病毒发作 不同版本有不同的逻辑 在1.4版本中，发作日为4月26日，病毒取出系统时钟的信息，进行判断 病毒破坏逻辑 通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块（boot block）内各写入一个字节的乱码，造成主机无法启动 破坏硬盘，从硬盘的主引导区开始，写入垃圾数据，直到所有的硬盘空间都被覆盖 病毒的检测 方法1：查找病毒特征码：“CIH v1.” 方法2：在DEBUG模式下，找到PE头中的病毒感染标志 病毒的清除 是感染过程的逆过程 邮件病毒的思考 脚本类型的Internet Worm 其他还有“I love you”病毒，等各种变种 Mellisa病毒：Word宏病毒，通过邮件系统进行传播 病毒编写简单，而危害性大反映了MS产品的一个矛盾：功能与安全如何平衡？ 如何抑制这种类型的病毒 用户：提高警惕，不要轻易打开附件安装防病毒软件 软件厂商(MS)：打开附件提醒用户 增强脚本引擎的安全性 Nimda病毒 2001年9月18日发现之后，迅速传播开来 受影响的操作系统Windows 9x/Me/Nt/2000 感染途径：文件感染、电子邮件附件、Web服务器攻击，以及局域网上的共享文件功能 服务器：没打补丁的IIS Web Server