第2章：病毒及其防治-第9章课件.pptVIP

第2章 恶意程序及其防范 2.1 计算机病毒的概念 2.2 计算机病毒原理 2.3 计算机病毒编制的关键技术 2.4 蠕虫 2.5 木马 2.6病毒对抗技术 2.1 计算机病毒的概念 2.2 计算机病毒原理 2.3 计算机病毒编制的关键技术 2.4 蠕虫 2.5 木马 2.6 病毒对抗技术 （2）谋求在内存的合法性：早期的病毒程序一般驻留内存高端。因此，内存侦察是反病毒软件的首选技术。为躲避侦察，病毒程序可以采用下面的方法： · 通过正常的内存申请进行合法驻留。如扬基病毒、DONG病毒等； · 改驻留高端为驻留低端，如DIRII病毒。 （3）维持宿主程序的外特性：保持宿主程序的外特性不变，例如，CIH病毒采用碎洞攻击技术不增加宿主文件的长度。 （4）不使用明显的感染标志：早先，病毒只简单地根据某个标志来判断病毒是否已经存在，现在则要经过一系列相关运算来进行判断。 2. 采用抗分析技术 为了增加病毒分析的困难，病毒还采用了一些抗分析技术，例如： （1）降低代码的可读性； （2）采用加密技术，使分析者无法在病毒不执行的情形下阅读病毒程序。主要的加密技术有： · 对程序段进行动态加密：采用边执行边解密的方法，使后面的机器码是与前面的机器码运算后还原形成，分析者即使用DEBUG等调试工具将病毒程序从头到尾打印出来，也是一堆乱码。 · 对宿主程序段进行加密。例如Chairman病毒将COM型宿主程序的前5个字节进行加密，转存到病毒体524H处开始的地方；而对EXE型宿主程序的文件头偏移0EH~08H的内容存放在病毒体偏移524H处开始的地方。 · 密钥不固定。 （3）采用反跟踪技术：为清除病毒，常常可以借助DEBUG等调试工具，对发现的病毒进行跟踪剖析。为了对付这种跟踪，病毒程序可以采用破坏中断向量的方法，如嵌入一些破坏单步中断INT 1H和中断点设置中断INT 3H的中断向量的程序段，使动态跟踪难以进行。 （4）自加密：例如新欢乐时光病毒可以随机地选取密钥，对自己的部分代码进行加密变换，并使每次感染的病毒代码不同。这给用特征法查毒带来一些困难。 （5）直接关闭反病毒软件：例如VBS病毒可以查看正在运行的进程，发现反病毒软件，就将之关闭。 3. 采用变形病毒技术 病毒在发展，网络在发展，网络又促进了病毒的发展，复杂的病毒又朝着变形病毒发展。采用变形技术的病毒是一种进化病毒（Evolutionary Virus）也称计算机病毒变体（Computer Virus Variance）。它们是在计算机系统运行过程中，可以将自身有修改地复制到其他程序体内的计算机病毒，形成来源于同一病毒而表象形式不同的计算机病毒系列。 返回 2.4.1 蠕虫的定义与特征 1982年，Xerox PARC的John F.Shoch等人为了进行分布式计算的模型实验，编写了称为蠕虫的程序。但是他们没有想到，这种“可以自我复制”，并可以“从一台计算机移动到另一台计算机”的程序，后来不断给计算机界带来灾难。1988年被Robert Morris释放的Morris蠕虫，在Internet上爆发，在几个小时之内迅速感染了所能找到的、存在漏洞的计算机。 人们通常也将蠕虫称为蠕虫病毒。但是严格地讲，它们并不是病毒。 下面讨论蠕虫与病毒之间的异同。 1. 存在的独立性 病毒具有寄生性，寄生在宿主文件中；而蠕虫是独立存在的程序个体。 2. 传染的反复性 病毒与蠕虫都具有传染性，它们都可以自我复制。但是，病毒与蠕虫的传染机制有三点不同： · 病毒传染是一个将病毒代码嵌入到宿主程序的过程，而蠕虫的传染是自身的拷贝； · 病毒的传染目标针对本地程序（文件），而蠕虫是针对网络上的其他计算机； · 病毒是在宿主程序运行时被触发进行传染，而蠕虫是通过系统漏洞进行传染。 此外，由于蠕虫是一种独立程序，所以它们也可以作为病毒的寄生体，携带病毒，并在发作时释放病毒，进行双重感染。 病毒防治的关键是将病毒代码从宿主文件中摘除，蠕虫防治的关键是为系统打补丁（patch），而不是简单地摘除。只要漏洞没有完全修补，就会重复感染。 3. 攻击的主动性 计算机使用者病毒的传染的触发者，而蠕虫的传染与操作者是否进行操作无关，它有哪些信誉好的足球投注网站到计算机的漏洞后即可主动攻击进行传染。 4. 破坏的严重性 病毒虽然对系统性能有影响，但破坏的主要是文件系统。而蠕虫主要是利用系统及网络漏洞影响系统和网络性能，降低系统性能。例如它们的快速复制以及在传播过程中的大面积漏洞有哪些信誉好的足球投注网站，会造成巨量的数据流量，导致网络拥塞甚至瘫痪；对一般系统来说，多个副本形成大量进程，则会大量耗费系统资源，导致系统性能下降，对网络服务器尤为明显。表1.2为几种主要蠕