信息安全-徐汇教育.PPT

计算机病毒技术知识及蠕虫病毒的查杀 上海三零卫士信息安全有限公司 马昆 mak@30 今日主题 计算机病毒的发展 病毒分类 流行病毒的手工查杀方法 检查病毒的常用工具 什么才是最佳病毒解决方案 病毒的概念 “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 计算机病毒发展简史 电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯·诺伊曼（John Von Neumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。 历史的预见 1977年夏天，托马斯·捷·瑞安（Thomas.J.Ryan）的科幻小说《P-1的春天》（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 第一个病毒的产生 1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机），伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出。 “巴基斯坦”病毒 1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地。  世界上公认的第一个在个人电脑上广泛流行的病毒 通过软盘传播。 “蠕虫－莫里斯” 1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。 CIH CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。 CodeRed 2001年7月19日 IIS服务的.ida漏洞（Indexing Service中的漏洞） 损失20亿美元 CodeRed II 损失12亿美元 冲击波 年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里·李·帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。 计算机病毒的分类 引导区病毒 文件型病毒 宏病毒 脚本病毒 蠕虫病毒 木马程序 一个引导病毒传染的实例 假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自检以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段，即97C0：7C00处；然后修改INT 13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT 13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作： 1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。 4）跳转到原INT 13H的入口执行正常的磁盘系统操作。 一个文件病毒传染的实例 假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改INT 21H的中断向量，使之指向病毒传染模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒的传染模块将通过INT 21H的调用率先获得控制权，并进行以下操作： 1）读出该文件特定部分。 2）判断是否传染。 3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。