计算机病毒基本知识课件.ppt

《计算机病毒基本知识课件.ppt》由会员分享，可在线阅读，更多相关《计算机病毒基本知识课件.ppt（65页珍藏版）》请在三一办公上搜索。

1、计算机安全,CH11：计算机病毒基本知识及其防治,内容,计算机病毒的定义计算机病毒存在的原因计算机病毒的历史计算机病毒的生命周期计算机病毒的特性计算机病毒的传播途径计算机病毒的分类理论上预防计算机病毒的方法 计算机病毒结构的基本模式计算机病毒变体案例分析,计算机病毒的定义,计算机病毒概念的提出最初对计算机病毒理论的构思可追溯到科幻小说。在20世纪70年代，托马斯J瑞恩(Thomas J. Ryan)的科幻小说P-1的春天(The Adolescence of P-1) 一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，他借用生物学中的“病毒”一词，称之为“计算机病毒”。计算机病毒与医

2、学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来的。,病毒的定义：1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，其中第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。此定义具有法律权威性。,携带有计算机病毒的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最

3、重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。而计算机病毒的再生机制， 即它的传染机制却是使计算机病毒代码强行传染到一切可传染的程序之上，迅速地在一台计算机内，甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机，本身既是一个受害者，又是一个新的计算机病毒传染源。,广义的计算机病毒,特洛伊木马一种潜伏执行非授权功能的技术，它在正常程序中存放秘密指令，使计算机在仍能完成原先指定任务的情况下，执行非授权功能。特洛伊木马的关键是采用潜伏机制来执行非授权的功能。特洛伊木马通常又称为黑客程序。蠕虫一个程序或程序序列，通过分布式网络来扩散传播特定的信息或错误，进而造

4、成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒的危害日益显著，“爱虫”（ILOVEYOU，又称情书计算机病毒）就是影响极大的一例。,病毒与蠕虫的差异,计算机病毒存在的原因,计算机系统的脆弱性是产生计算机病毒的客观因素。Herschberg和Paans指出：可以断定计算机病毒将长期存在。I. S. Herschberg and R. Paans, The programmers threat: cases and causes, in J. H. Finch and E. G. Dougall (eds), Computer Security: A Global Challenge (Else

5、vier, NorthHolland, 1984), pp. 40923. 这可以追溯到冯诺依曼关于自我复制机器的论点。1949年，计算机之父冯诺依曼在复杂自动机组织论中定义了计算机病毒的概念即一种“能够实际复制自身的自动机”，他指出：一部事实上足够复杂的机器能够复制自身。这一开拓性论点发表后的三十年里，引起了激烈的争论，反对者认为机器不能复制自身。,冯诺依曼指出，一部足够复杂的机器具有复制其自身的能力。此处所说的“机器”不仅包含硬件，而是包含硬件和软件的特殊组合，也即现在所谓的系统。争论持续了多年，最终证明冯诺依曼是正确的。现在，用一部复杂的机器(包含硬件和软件的组合)去复制其自身是很简单的

6、。硬件被固定，问题被归结为一件很简单的事：编写一个程序去复制其自身。 假如有人能成功地编写一个程序，它有能力复制首先被启动的程序，从而复制出其自身。这也是病毒的属性。这一属性的要求是一件非常明显而原始的事：启动原始程序，由于其自身的递归应用，原始程序拷贝其自身到任一其他程序中，其受害者也具有再去感染其他程序的能力。原始程序就可以在它可以运行的系统中，进行传播。,Ghannam指出：病毒利用了冯诺依曼计算机结构体系。这种体系被应用于几乎所有的办公计算机系统中。这种体系把存储的软件当作数据处理，可以动态地进行修改，以满足变化多端的需求。操作系统和应用程序都被如此看待。病毒利用了系统中可执行程序可被

7、修改的属性、去达到病毒自身的不同于系统或用户的特殊目的。,冯诺依曼体系与病毒的存在,信息共享与病毒传播,如果说冯诺依曼体系提供了病毒存在的可能，那么信息共享则使病毒的存在成为现实。计算机安全专家已从理论上证实：如果没有信息共享，病毒是不可能传播。信息共享使病毒程序和正常程序具有共用的部分，从而两者互相接触，有了由此到彼的桥梁。因此，信息共享使病毒有了转移、发病的机会；而冯诺依曼体系为病毒提供了进行感染、破坏的物质基础。因此，可以说，只要冯诺依曼体系存在，只要有信息共享，病毒就将存在。反言之，要根除病毒，就要消除冯诺依曼体系和信息共享。,事实上，冯诺依曼体系和信息共享这两件事物，将长期存在，哪一

8、个也不能根除。事实已经证明，在信息被共享时，信息可以解释；在信息可以被转发的任何系统中，病毒可以通过系统进行传播。阻止病毒传播的唯一希望在于限制系统的功能。但是，这些功能是计算机广泛被使用的必需的功能。因此，人们必须在计算机具有脆弱性的前提下，来研究对付计算机病毒的策略。,计算机病毒的历史,计算机刚刚诞生，就有了计算机病毒的概念。1949年，冯诺依曼便定义了计算机病毒的概念，即一种“能够实际复制自身的自动机”。1960年，美国的约翰康维在编写“生命游戏”程序时，首先实现了程序自我复制技术。他的游戏程序运行时，在屏幕上有许多“生命元素”图案在运动变化。这些元素过于拥挤时，会因缺少生存空间而死亡。

9、如果元素过于稀疏会由于相互隔绝失去生命支持系统，也会死亡。只有处于合适环境的元素才非常活跃，它们能够自我复制并进行传播。,五十年代末六十年代初，美国电话电报公司（AT&T）贝尔实验室的三位年轻程序员道格拉斯麦耀莱(Douglas McIlroy) 、维克特维索斯基(Victor Vysottsky)以及罗伯特莫里斯(Robert T. Morris)也受到冯诺依曼理论的启发，发明了“磁心大战（core war）”游戏。玩这个游戏的两个人编制许多能自身复制、并可保存在磁心存储器中的程序，然后发出信号。双方的程序在指令控制下就会竭力去消灭对方的程序。在预定的时间内，谁的程序繁殖得多，谁就得胜。这种

10、有趣的游戏很快就传播到其他计算机中心。由于这种程序与生物医学上的“计算机病毒”同样具有传染和破坏的特性，所以后来就把这种具有自我复制和破坏机理的程序称为计算机病毒。这就是所谓“病毒”的第一个雏形。,20世纪70年代，美国作家雷恩在其出版的 P-1的春天一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。 1982年，elk cloner病毒出现在苹果电脑中，这个由Rich Skrenta编写的恶作剧程序，是世界上已知的第一个电脑病毒。当elk cloner发作时，电脑屏幕上会现出一段韵文：it will get on all your disks（它会占领你所有的磁盘） i

11、t will infiltrate your chips（潜入你的芯片） yes its cloner! （是的，它就是克隆病毒！） it will stick to you like glue（它会像胶水一样粘着你） it will modify ram too（也会修改你的内存） send in the cloner! （传播这个克隆病毒！）,1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在vax/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。 20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设

12、计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。,1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。面队计算机病毒的突然袭击，众多计算机用户甚至专业人员都惊慌失措。1989年 全世界的计算机病毒攻击十分猖獗，我国也未幸免。其中“米开朗基罗”病毒给许多计算机用户造成极大损失。1991年 在“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统并使之瘫痪，保证了战斗的顺利进行，直至最后胜利。1992年 出现针对杀毒软件“幽灵”病毒，如One-half

13、。1996年 出现针对微软公司Office的“宏病毒”。1997年 被公认为计算机反病毒界的“宏病毒”年。“宏病毒”主要感染WORD、EXCEL等文件，常见的如：Tw no.1、Setmd、Consept、Mdma等。1998年 出现针对Windows95/98系统的病毒，如CIH，1998年被公认为计算机反病毒界的CIH病毒年。,1998年11月2日美国发生了“蠕虫计算机病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫计算机病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，“蠕虫”在Internet上大肆传染，使得数千台联网的计算机停止运行，并造成巨额损失，成为一时的

14、舆论焦点。美国6000多台计算机被计算机病毒感染，造成Inter net不能正常运行。这一典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。此次事件中遭受攻击的包括5个计算机中心和拥有政府合同的25万台计算机。这次计算机病毒事件，计算机系统直接经济损失达9600万美元。,这个计算机病毒是历史上第一个通过Internet传播的计算机病毒。它的设计者罗伯特莫里斯正是利用系统存在的弱点编写了入侵Arpanet网的最大的电子入侵者，从而获准参加康奈尔大学的毕业设计，并获得哈佛大学Aiken中心超级用户的特权。他也因此被判3年缓刑，罚款1万美元，还被命令进行

15、400小时的社区服务，成为历史上第一个因为制造计算机病毒受到法律惩罚的人，从而揭开了世界上通过法律手段来解决计算机病毒问题的新一页。附注: 此处的Robert T. Morris (Jr)是P.14中提到的Robert T. Morris (Sr)的儿子，当时大 Morris 刚好是负责 Arpanet网路安全。,全球十大计算机病毒 NO.1 “CIH病毒” 爆发年限：1998年6月CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Fo

16、rmat)。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本。损失估计：全球约5亿美元 NO.2 “梅利莎(Melissa)” 爆发年限：1999年3月梅利莎是通过微软的Outlook电子邮件软件，向用户通讯簿名单中的50位联系人发送邮件来传播自身。该邮件包含以下这句话：“这就是你请求的文档，不要给别人看”，此外夹带一个Word文档附件。而单击这个文件，就会使病毒感染主机并且重复自我复制。损失估计：全球约3亿6亿美元,NO.3 “爱虫(Iloveyou)” 爆发年限：2000年爱虫是通过Outlook电子邮件系统传播，邮件主题为“I Love You”，包含附件“L

17、ove-Letter-for-you.txt.vbs”。打开病毒附件后，该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本，阻塞邮件服务器，同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。 损失估计：全球超过100亿美元NO.4 “红色代码(CodeRed)”爆发年限：2001年7月红色代码是一种计算机蠕虫病毒，能够通过网络服务器和互联网进行传播。2001年7月13日，红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。极具讽刺意味的是，在此之前的六月中旬，微软曾经发布了一个补丁，来修补这个漏洞。损失估计：全球约26亿美

18、元,NO.5 “冲击波(Blaster)” 爆发年限：2003年夏季冲击波（2003年）于2003年8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后利用DCOM RPC缓冲区漏洞攻击该系统，一旦成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。 损失估计：数百亿美元NO.6 “巨无霸（Sobig)” 爆发年限：2003年8月巨无霸（2003年）是通过局域网传播，查找局域网上的所有计算机，并试图将自身写入网上各计算机的启动目录中以进行自启动。该病毒一旦运行，在计算机联网的状态下，就

19、会自动每隔两小时到某一指定网址下载病毒，同时它会查找电脑硬盘上所有邮件地址，向这些地址发送标题如：Re: Movies、Re: Sample等字样的病毒邮件进行邮件传播，该病毒还会每隔两小时到指定网址下载病毒，并将用户的隐私发到指定的邮箱。损失估计：50亿100亿美元,NO.7 “MyDoom” 爆发年限：2004年1月MyDoom是一例比“巨无霸”病毒更厉害的病毒，在2004年1月26日爆发，在高峰时期，导致网络加载时间减慢50%以上。它会自动生成病毒文件，修改注册表，通过电子邮件进行传播，并且还会尝试从多个URL下载并执行一个后门程序，如下载成功会将其保存在Windows文件夹中，名称为w

20、invpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机。损失估计：百亿美元NO.8 “震荡波(Sasser)” 爆发年限：2004年4月震荡波爆发和，短短的时间内就给全球造成了数千万美元的损失，该病毒为I-Worm/Sasser.a的第三方改造版本，通过微软的最新LSASS漏洞进行传播，我们及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。如果在纯DOS环境下执行病毒文件，会显示出谴责美国大兵的英文语句。震荡波感染的系统包括Windows 2000、Windows Server 2003和Windows XP，病毒运行后会巧妙的将自身复制为%WinDir%napatch.

21、exe，随机在网络上搜索机器，向远程计算机的445端口发送包含后门程序的非法数据，远程计算机如果存在MS04-011漏洞，将会自动运行后门程序，打开后门端口9996。 损失估计：5亿10亿美元,NO.9 “熊猫烧香(Nimaya)”爆发年限：2006年熊猫烧香准确的说是在06年年底开始大规模爆发，以Worm.WhBoy.h为例，由Delphi工具编写，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，导致用户一打开这些网页文件，I

22、E自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播，并且利用Windows系统的自动播放功能来运行。 损失估计：上亿美元NO.10 “网游大盗” 爆发年限：2007年网游大盗是一例专门盗取网络游戏帐号和密码的病毒，其变种wm是典型品种。英文名为Trojan/PSW.GamePass.jws的“网游大盗”变种jws是“网游大盗”木马家族最新变种之一，采用VisualC+编写，并经过加壳处理。“网游大盗”变种jws运行后，会将自我复制到Windows目录下，自我注册为“Windows_Down”系统服务，实现开

23、机自启。 损失估计：千万美元,计算机病毒的生命周期,“计算机病毒”和生物世界的病毒一样，都是有其独特的生命周期。而“计算机病毒”的生命周期就是由以下几个步骤组成的一个循环：创造期：孕育期：潜伏感染期：发作期：发现期：同化期：根除期：,计算机病毒的特性,计算机病毒与生物病毒有许多相似之处，同样有以下一些特性：计算机病毒的传染性：传染和破坏是病毒最重要的特性计算机病毒的隐蔽性传染过程的隐蔽性病毒程序存在的隐蔽性,计算机病毒的潜伏性：大部分的计算机病毒感染系统之后一般不会马上发作，只有在满足其特定条件时才启动其表现（破坏）模块。病毒使用的触发条件主要有以下三种。 利用计算机内的时钟提供的时间作为触发

24、器利用计算机病毒体内自带的计数器作为触发器利用计算机内执行的某些特定操作作为触发器。计算机病毒的破坏性计算机病毒的针对性计算机病毒的衍生性计算机病毒的寄生性计算机病毒的不可预见性病毒的侵入、传播和发作是不可预见的病毒的发展速度远远超出了我们的想象,计算机病毒的传播途径,计算机病毒具有自我复制和传播的特点，因此，研究计算机病毒的传播途径是极为重要的。从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。 包括：不可移动的计算机硬件设备，即专用集成电路芯片进行传播；移动存储设备；网络；点对点通信系统和无线通信系统传播,计算机病毒的分类,计算机病毒的分类方法有许多

25、种，比如：按照计算机病毒的破坏性质根据计算机病毒所攻击的操作系统根据计算机病毒的传播方式但是按照最通用的区分方式，即根据其感染的途径以及采用的技术区分，计算机病毒可分为：,文件型计算机病毒：这类病毒感染可执行文件，还可细分为驻留型计算机病毒、主动型计算机病毒、覆盖型计算机病毒、伴随型计算机病毒等。引导型计算机病毒：这类病毒影响软盘或者硬盘的引导扇区，不感染文件。其感染步骤为：首先在内存中保留一个位置以便其他程序不能占用该部分内存。然后将自己复制到该保留区域。此后，计算机病毒就会不断截取操作系统服务。每次当操作系统调用文件存取功能时，计算机病毒就会夺取系统控制权。它首先将检查被存取的文件是否已经

26、被感染了计算机病毒，如果没有感染，计算机病毒就会执行复制恶意代码的操作。最后，病毒会将干净的引导扇区内容写回到其原先的位置，并将控制权交换给操作系统。通过这种方式，用户将觉察不到有任何异样发生，尽管计算机病毒还会继续发作。,宏病毒：感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件，这些类型的文件都能够在文件内部嵌入宏（macro）。宏病毒不依赖于操作系统，但可以使用户在文档中执行特定的操作。其功能有点类似于批命令，能够执行一系列的操作。需要注意的是，宏作为一种程序，同样可以被感染，因此也成为计算机病毒的目标。目录（链接）型病毒：此类计算机病毒能够修改硬盘上存储的所有文件的地址，因

27、此能够感染所有这些文件。当用户使用某些工具（如SCANDISK或CHKDSK）检测受感染的磁盘时，如果发现大量的文件链接地址的错误，这些错误可能都是由此类计算机病毒造成的。此时不要试图用上述软件去修复，否则情况会更糟，因为这样做只会造成整个系统真正的混乱，其后果比计算机病毒本身产生的结果更坏！,理论上预防计算机病毒的方法,计算机病毒专家弗莱德科恩博士从理论上提出了预防病毒的方法：基本隔离法：如果取消信息共享，将系统“隔离”开来。病毒就不可能随着外部信息传播进来，当然也就不会把系统内部的病毒传播出去。这种隔离策略是防治病毒最基本的方法。分割法：主要是把用户分割成为不能互相传递信息的封闭的子集，由

28、于信息流的控制，使得这些子集可以被看作是系统分割成为相互独立的子系统。因此病毒就不会在子系统之间相互传染，而只能传染其中的某个子系统，使得整个系统不至于全部被感染。,流模型法：对共享信息流流过的距离设立一个阈值。使一定的信息只能在一定的区域中流动，以此建立一个防卫机制。若使用超过某一距离阈值的信息，就可能存在某种危险。限制解释法：即限制兼容，采用固定的解释模式，就可能不被病毒传染。例如对应用程序实行加密就可以及时检测出可执行文件是否受到病毒的感染，从而清除病毒的潜在威胁。通过对病毒理论的研究，弗莱德科恩得出了一个很有意义的结论，他说：要使通用的系统共享和病毒防护共存，实际上是不可能的，只能用综

29、合权衡加以解决。,计算机病毒结构的基本模式,一般情况下计算机病毒程序具有三个主要部分安装模块：传染模块：传染模块为计算机病毒提供再生机制。病毒程序搜索程序对象，如无特定传染标志，病毒程序就对程序对象入侵并令其感染病,毒；如已有特定标志，病毒程序就不再入侵此程序对象，传染标志是病毒程序的一种特定代码中标识符。我们这里只讨论病毒程序对未受感染程序的一次性入侵，计算机病毒变体的传播将衍化成一个变体群体，情况变得复杂化，这点我们将在后面讨论。激发模块：,计算机病毒的传染方式,计算机病毒的传染方式，大体上可归为以下方式：病毒程序的直接传染方式：源病毒CV将病毒传播给程序对象P1，P2，Pn，程序Pi（1

30、=i=n）中的CV是源病毒的再生病毒。,病毒程序的间接传染方式：源病毒CV将病毒传染给程序对象P1，染有再生病毒的程序P1再将病毒传染给程序对象P2，以此继续传播下去。,病毒程序的纵横交错传染方式:实际上只要源病毒产生，病毒程序就可以向一个计算机系统或多个计算机系统进行扩散。假定在计算机系统1内，源病毒直接感染程序对象P1.1、P1.2、P1.3，程序P1.3又将再生病毒扩散给P1.4、P1.i。系统1的程序P1.1通过传播媒介可以将再生病毒传染给计算机系统2的程序P2.1和P2.2，类似地，程序对象P3.1和P3.2被计算机系统2的P2.2中的病毒程序感染，造成在计算机系统3内产生一个计算机

31、病毒群体,计算机病毒的寄生,计算机病毒的寄生往往涉及程序设计的技巧，病毒程序寄生的基本要求是潜伏性好，不易被人察觉或发现，可以采取各种不同的寄生方式：,例如在程序对象的首部、尾部、中间或程序体内分散给构,病毒中的加密技术,目前有的计算机病毒采用了加密技术，在潜伏期的病毒程序以密文形式寄生在程序体内，这样可增加搜索和破译病毒程序的难度，不清楚病毒程序本身的内部结构和细节，就难以进行检测和在程序体清除受感染的病毒程序，也难以防范已经传播开来的病毒程序的激发。一般情况下，采用加密技术的计算机病毒，在病毒程序受到激发控制进入运行状态时，先用隐藏的密钥(有的计算机病毒采用特定的激发条件来构成密钥)通过解

32、密程序将密文状态的病毒程序恢复成明文，然后执行病毒程序,需要指出，源病毒程序是一个整体程序，当源病毒进行再生时，产生的再生病毒往往出于潜伏机制的考虑而将病毒程序采取分散结构，而当病毒程序受到激发控制后在内存寻找一个存储空间，采用指针控制把分散的病毒程序安装成一个整体程序（由于病毒程序具有小巧玲珑的特点，这个问题易于实现和解决），将系统的控制转移到病毒体程序，然后再执行病毒程序所在的程序,计算机病毒变体,前面我们曾给出关于计算机病毒的定义：计算机病毒是一种在计算机系统运行过程中能把自身精确拷贝或有修改地拷贝到其它程序体内的程序。与此对应，计算机病毒变体（Computer Virus-Varian

33、ce）的定义：在计算机系统运行过程中，计算机病毒可以将自身程序有修改地拷贝到其它程序体内，其病毒再生体是来源于同一种病毒而出现形式不同的计算视病毒系列。计算机病毒变体的基本特征是病毒再生体存在的差异性,病毒再生体的差异性,再生机制差异性病毒标志的随机控制宿主程序的选择再生体的程序形式潜伏机制差异性寄生位置选择嵌入病毒体的结构形式嵌入病毒体的内容选样病毒体长度控制激发机制差异性触发形式与条件选择症状形式,计算机病毒变体是一种进化病毒(Evolutionary-Virus)，病毒体再生过程中形成不同的表现形式，构成了一种计算机病毒族系。需要指出，计算机病毒再生体的差异性，可以导致产生不同的计算机病

34、毒。但是，这些不同的计算机病毒是源于同一种计算机病毒，而且是计算机病毒再生过程中产生的病毒变体系列。研究计算机病毒变体，有助于计算机病毒的分类和检测，有助于了解数据文件病毒的机制及其防治方法。,计算机病毒变体的再生机制,具有产生再生病毒变体的计算机病毒，可以通过直接方式或间接方式进行再生病毒变体的传播,应该指出，对于源病毒自身精确拷贝生成的再生计算机病毒，一般情况下，再生病毒不入侵源病毒，即源病毒对于自身的再生病毒具有免疫性,对于源病毒有修改地产生再生病毒，再生病毒变体可入侵源病毒，进而生成源病毒变体。源病毒入侵程序P生成病毒变体CVV，带有病毒变体的程序P可以入侵源病毒CV，进而使源病毒衍化

35、成源病毒变体CV。,计算机病毒变体在再生机制、寄生机制和激发机制方面都可以与入侵的计算机病毒存在差异，具有可变性和随机性特征。计算机病毒的再生病毒变体，在一定程度上还要受到被病毒入侵的宿主体、时间、环境因素等多方面的影响。计算机病毒变体的再生机制具有随机性，其再生病毒体具有可变模式，这些都对计算机病毒的防治提出了新的问题，并增加了解决问题的难度和复杂性。,计算机病毒变体的基本属性,从计算机病毒的再生机制方面，计算机病毒变体具有以下的属性：产生再生病毒变体的源病毒没有免疫能力，它将受再生病毒变体的攻击，并生成源病毒变体。已感染病毒变体的程序，可以多次受一同一种病毒所产生的病毒变体攻击，病毒变体入

36、侵具有递归属性，有了层次的概念。,现在来描述这个过程：假定CV-Vi是第i次攻击的病毒变体 P是CV-Vi的入侵对象则有 CV-V1 (P)CV-V2(P)CV-Vn(P) 实际上，计算机病毒变体对程序的入侵是时间的动态变化过程，略去中间过程则有： PCV-Vn(P) 值得注意，中间状态或中间过程中的再生病毒变体不再保留。,如果考虑称入侵对象P可能产生的变化，则这个过程的描述应该是： 假定 CV-Vi是第i次攻击的病毒变体 Pi-1是CV-Vi的入侵对象 Pi是CV-Vi的入侵结果 则有 CV-V1 (P0)CV-V2(P1)CV-Vn(Pn-1)=Pn 式中 P0是病毒变体入侵前的软件 Pn

37、是感染病毒变体的当前状态的软件 P1，P2，Pn-1是中是状态的软件 略去中间过程则有 P0Pn，即 P0CV-Vn(Pn-1) 这里CV-Vn是第n次攻击的病毒变体，软件P0遭到病毒变体n次攻击后形成软件Pn。,此外，一个源病毒在系统中生成的病毒变体群体，其扩散链是系统状态的时间函数。在一定的时间内，计算机系统内部可以形成一个计算机病毒变体群体，任何不同的病毒变体之间都可以相互扩散病毒，形成一个病毒集合体内不同层次不同病毒变体的交叉感染，病毒变体扩散是时间的动态函数。,“熊猫烧香”分析,传播方式病毒原理清除方法预防方法,传播方式网页下载传播移动存储介质（如U 盘）感染传播EXE 文件感染传播

38、局域网弱密码共享传播,“熊猫烧香”分析,“熊猫烧香”分析,病毒原理病毒程序一旦在系统上运行后，会在系统中执行以下操作：1.释放病毒文件，三种变种释放的文件依次如下：变种一：%SystemRoot%system32FuckJacks.exe变种二：%SystemRoot%SVCH0ST.EXE%SystemRoot%system32SVCH0ST.EXE变种三：%SystemRoot% system32driversspo0lsv.exe注：%SystemRoot% 代表的是系统安装目录（如windows2000 为C:winnt，winxp 为C:windows）,“熊猫烧香”分析,病毒原理2

39、.添加注册表项启动项，确保病毒程序在系统重新启动后能够自动运行，添加的内容如下：变种一：键路径：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun键名：FuckJacks键值：%SystemRoot%system32FuckJacks.exe键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun键名：svohost键值：%SystemRoot%system32FuckJacks.exe变种二：键路径：HKEY_LOCAL_MACHINESOFTWAREMic

40、rosoftWindowsCurrentVersionRun键名：Userinit键值：%SystemRoot%system32SVCH0ST.EXE变种三：键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun键名：svcshare键值：%SystemRoot% system32driversspo0lsv.exe,“熊猫烧香”分析,病毒原理3.拷贝自身到所有驱动器根目录，命名为Setup.exe，在驱动器根目录生成autorun.inf文件，并把这两个文件的属性设置为隐藏、只读、系统。Autorun.inf 文件的内容

41、如下：AutoRunOPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe这一步的作用主要是使病毒能够通过移动存储介质进行传播（如U 盘、移动硬盘等）。4.禁用安全软件，病毒会尝试关闭安全软件（杀毒软件、防火墙、安全工具）的窗口、关闭系统中运行的安全软件进程、删除注册表中安全软件的启动项以及禁用安全软件的服务等操作，以期达到不让安全软件查杀自身的目的。,“熊猫烧香”分析,病毒原理5.感染EXE文件，病毒会搜索并感染系统中特定目录外的所有.EXE/.SCR/.PIF/.COM 文件，并将EXE 执行文件的图标改为熊猫烧香的图标

42、。6.试图用以弱口令访问局域网共享文件夹，如果发现弱口令共享，就将病毒文件拷贝到该目录下，并改名为GameSetup.exe，以达到通过局域网传播的功能。7.查找系统中以.html 和.asp 为后缀的文件，在里面插入，该网页中包含有病毒程序，一旦用户使用了未安装补丁的IE浏览器访问该网页就可能感染该病毒。,“熊猫烧香”分析,病毒原理8.除了上述行为外，病毒还会做以下操作：a . 删除.gho 的文件, 该文件是一系统备份工具GHOST 的备份文件使用户的系统备份文件丢失；b.监视记录QQ 和访问局域网文件记录，并试图使用QQ 消息传送出去；c.删除系统隐藏共享；d.禁用文件夹隐藏选项。,“熊

43、猫烧香”分析,清除方法由于病毒感染系统后会破坏系统中的可执行文件，因此一旦感染该病毒，手动修复文件的难度较大，我们需要使用专门的程序来进行修复，目前各大杀毒厂商都提供了针对该病毒的专杀工具，用户可以在网上免费下载。要注意的是由于病毒会感染执行文件，所以使用专杀的顺序要格外注意，以防专杀程序被病毒感染，正确的顺序应该是：1.在未感染的病毒机器上下载专杀工具并拷贝到干净的U盘上；2.重新启动系统到安全模式下；3.系统启动后插入U 盘，鼠标右键点击U 盘盘符选择打开并运行专杀工具。（注意：在没运行完专杀工具前，不要双击其他盘符。）,“熊猫烧香”分析,预防方法安装杀毒软件并及时升级病毒库及时安装系统补丁为系统设置强壮的密码关闭不必要的系统共享关闭系统的自动运行功能,2022/12/10,65,谢 谢！,