病毒及其防治重点.ppt

第1章 恶意程序及其防范 ;计算机病毒是恶意程序的一种。所谓恶意程序，是指一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入到计算机系统中来。恶意程序可以分为许多类型。图1.1为按照有无自我复制功能和需要不需要宿主对恶意程序的分类情形。 ; 陷门（Trap Doors）是进入程序的一些秘密入口。陷门中有些是程序员为了进行调试和测试而预留的一些特权，有些则是系统漏洞。黑客也挖空心思地设计陷门，以便以特殊的、不经授权的方式进入系统。陷门通常寄生于某些程序（有宿主），但无自我复制功能。 逻辑炸弹是嵌入某些合法程序的一段代码，没有自我复制功能，在某些条件下会执行一个有害程序，造成一些破坏。 特洛伊木马是计算机网络中一种包含有害代码的有用或表面上有用的程序或过程，激活时产生有害行为。它们不具备自我复制功能。 ; 细菌是以自我繁殖为主要目的的程序。 蠕虫是一种通过网络自我复制的恶意程序。通常人们也把它称为病毒的一种。因为，蠕虫一旦被激活，可以表现得像细菌和病毒，可以向系统注入特洛伊木马，或进行任何次数的破坏或毁灭行动。典型的蠕虫只会在内存维持一个活动副本。此外，蠕虫是一个独立程序，自身不改变任何其他程序，但可以携带具有改变其他程序的病毒。 其中，计算机病毒是所有计算机用户在计算机安全问题上，经常碰到的问题。在1999年Security Poral的报告中，排在计算机安全问题第一位的是计算机病毒事件，其次是与计算机病毒关系极为密切的黑客问题。所以本章以病毒为主，介绍恶意程序的特点及其防治。 ;1.1 计算机病毒的概念;1.1.1 计算机病毒的特征 人类发明了工具，改变了世界，也改变了人类自己。自20世纪40年代起，计算技术与电子技术的结合，使推动人类进步的工具从体力升华到了智力。计算机的出现，将人类带进了信息时代，使人类生产力进入了一个特别的发展时期。 计算机的灵魂是程序。正是建立在微电子载体上的程序，才将计算机的延伸到了人类社会的各个领域。“成也萧何，败也萧何”。人的智慧可以创造人类文明，也可以破坏人类已经创造的文明。随着计算机系统设计技术向社会各个领域急剧扩展，人们开发出了将人类带入信息时代的计算机程序的同时，也开发出了给计算机系统带来副作用的计算机病毒程序。; 在生物学界，病毒（virus）是一类没有细胞结构但有遗传、复制等生命特征，主要由核酸和蛋白质组成的有机体。 在《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒(Computer Virus)被明确定义为：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。; 计算机病毒有一些与生物界中的病毒极为相似的特征，这也就是所以称其为病毒的缘由。这些特征有如下一些。 1. 传染性 病毒也是一种程序，它与其他程序的显著不同之处，就是它的传染性。与生物界中的病毒可以从一个生物体传播到另一个生物体一样，计算机病毒可以借助各种渠道从已经感染的计算机系统扩散到其他计算机系统。 早在1949年，计算机的先驱者Von Neumann 就在他的论文《复杂自动机组织论》中，提出了计算机程序在内存中自我复制的设想，勾画了病毒程序的蓝图。1977年夏天，美国作家托马斯·捷·瑞安在其幻想小说《P-1的青春》一书中构思了一种能够自我复制的计算机程序，第一次使用了“计算机病毒”的术语。所以自我复制应当是计算机病毒的主要特征。 ; 20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是计算机“病毒”的雏形。 1983年美国计算机专家弗雷德·科恩博士研制出一种在运行过程中可以自我复制的具有破坏性的程序，并在同年11月召开的国际计算机安全学术研讨会，首次将病毒程序在VAX/750计算机上进行了实验。世界上第一个计算机病毒就这样出生在实验室中。 ; 20世纪80年代初，计算机病毒（如“巴基斯坦智囊”病毒）主要感染软盘的引导区。20世纪80年代末，出现了感染硬盘的病毒（如“大麻”病毒）。20世纪90年代初，出现了感染文件的病毒（如“Jerusalem，黑色13号星期五”病毒）。接着出现了引导区和文件型“双料”病毒，既感染磁盘引导区又感染可执行文件。20世纪90年代中期，称为“病毒生产机”的软件开始出现，使病毒的传播不再是简单的自我复制，而是可以自动、轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同。 ; 1995年大量具有相同“遗传基因”的