第2章：病毒及其防治-第9章幻灯片.pptVIP

第2章 恶意程序及其防范 2.1 计算机病毒的概念 2.2 计算机病毒原理 2.3 计算机病毒编制的关键技术 2.4 蠕虫 2.5 木马 2.6病毒对抗技术 2.1 计算机病毒的概念 2.2 计算机病毒原理 2.3 计算机病毒编制的关键技术 2.4 蠕虫 2.5 木马 2.6 病毒对抗技术 （2）谋求在内存的合法性：早期的病毒程序一般驻留内存高端。因此，内存侦察是反病毒软件的首选技术。为躲避侦察，病毒程序可以采用下面的方法： · 通过正常的内存申请进行合法驻留。如扬基病毒、DONG病毒等； · 改驻留高端为驻留低端，如DIRII病毒。 （3）维持宿主程序的外特性：保持宿主程序的外特性不变，例如，CIH病毒采用碎洞攻击技术不增加宿主文件的长度。 （4）不使用明显的感染标志：早先，病毒只简单地根据某个标志来判断病毒是否已经存在，现在则要经过一系列相关运算来进行判断。 2. 采用抗分析技术 为了增加病毒分析的困难，病毒还采用了一些抗分析技术，例如： （1）降低代码的可读性； （2）采用加密技术，使分析者无法在病毒不执行的情形下阅读病毒程序。主要的加密技术有： · 对程序段进行动态加密：采用边执行边解密的方法，使后面的机器码是与前面的机器码运算后还原形成，分析者即使用DEBUG等调试工具将病毒程序从头到尾打印出来，也是一堆乱码。 · 对宿主程序段进行加密。例如Chairman病毒将COM型宿主程序的前5个字节进行加密，转存到病毒体524H处开始的地方；而对EXE型宿主程序的文件头偏移0EH~08H的内容存放在病毒体偏移524H处开始的地方。 · 密钥不固定。 （3）采用反跟踪技术：为清除病毒，常常可以借助DEBUG等调试工具，对发现的病毒进行跟踪剖析。为了对付这种跟踪，病毒程序可以采用破坏中断向量的方法，如嵌入一些破坏单步中断INT 1H和中断点设置中断INT 3H的中断向量的程序段，使动态跟踪难以进行。 （4）自加密：例如新欢乐时光病毒可以随机地选取密钥，对自己的部分代码进行加密变换，并使每次感染的病毒代码不同。这给用特征法查毒带来一些困难。 （5）直接关闭反病毒软件：例如VBS病毒可以查看正在运行的进程，发现反病毒软件，就将之关闭。 3. 采用变形病毒技术 病毒在发展，网络在发展，网络又促进了病毒的发展，复杂的病毒又朝着变形病毒发展。采用变形技术的病毒是一种进化病毒（Evolutionary Virus）也称计算机病毒变体（Computer Virus Variance）。它们是在计算机系统运行过程中，可以将自身有修改地复制到其他程序体内的计算机病毒，形成来源于同一病毒而表象形式不同的计算机病毒系列。 返回 2.4.1 蠕虫的定义与特征 1982年，Xerox PARC的John F.Shoch等人为了进行分布式计算的模型实验，编写了称为蠕虫的程序。但是他们没有想到，这种“可以自我复制”，并可以“从一台计算机移动到另一台计算机”的程序，后来不断给计算机界带来灾难。1988年被Robert Morris释放的Morris蠕虫，在Internet上爆发，在几个小时之内迅速感染了所能找到的、存在漏洞的计算机。 人们通常也将蠕虫称为蠕虫病毒。但是严格地讲，它们并不是病毒。 下面讨论蠕虫与病毒之间的异同。 1. 存在的独立性 病毒具有寄生性，寄生在宿主文件中；而蠕虫是独立存在的程序个体。 2. 传染的反复性 病毒与蠕虫都具有传染性，它们都可以自我复制。但是，病毒与蠕虫的传染机制有三点不同： · 病毒传染是一个将病毒代码嵌入到宿主程序的过程，而蠕虫的传染是自身的拷贝； · 病毒的传染目标针对本地程序（文件），而蠕虫是针对网络上的其他计算机； · 病毒是在宿主程序运行时被触发进行传染，而蠕虫是通过系统漏洞进行传染。 此外，由于蠕虫是一种独立程序，所以它们也可以作为病毒的寄生体，携带病毒，并在发作时释放病毒，进行双重感染。 病毒防治的关键是将病毒代码从宿主文件中摘除，蠕虫防治的关键是为系统打补丁（patch），而不是简单地摘除。只要漏洞没有完全修补，就会重复感染。 3. 攻击的主动性 计算机使用者病毒的传染的触发者，而蠕虫的传染与操作者是否进行操作无关，它搜索到计算机的漏洞后即可主动攻击进行传染。 4. 破坏的严重性 病毒虽然对系统性能有影响，但破坏的主要是文件系统。而蠕虫主要是利用系统及网络漏洞影响系统和网络性能，降低系统性能。例如它们的快速复制以及在传播过程中的大面积漏洞搜索，会造成巨量的数据流量，导致网络拥塞甚至瘫痪；对一般系统来说，多个副本形成大量进程，则会大量耗费系统资源，导致系统性能下降，对网络服务器尤为明显。表1.2为几种主要蠕