计算机病毒概述与防治培训课件.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,计算机病毒概述与防治,*,单击此处编辑母版标题样式,单击此处编辑母版副标题样式,*,计算机病毒概述与防治,*,单击此处编辑母版标题样式,单击此处编辑母版副标题样式,*,计算机病毒概述与防治,*,计算机病毒概述与防治,计算机病毒从它诞生之日起到现在，已成为了当今信息社会的一个癌症，它随着计算机网络的发展，已经传播到信息社会的每一个角落，并大肆破坏计算机数据、改变操作程序、摧毁计算机硬件，给人们造成了重大损失。为了更好地防范计算机及网络病毒，必须了解计算机病毒的机制，同时掌握计算机病毒的预防和清除办法。,本章将学习以下主要内容：,计算机病毒的定义；,计算机病毒的工作原理；,计算机病毒的分类；,计算机网络病毒及发展；,病毒的清除办法和防护措施；,著名的网络病毒的介绍。,2,计算机病毒概述与防治,7.1 计算机病毒概述,随着现代通信技术的不断发展，人与人之间的沟通变得越来越方便快捷，数据、文件、电子邮件可以迅速有效的在各个网络工作站之间进行传递，而通过电缆、光缆和电话线的相连使得工作站间的距离摆脱了物理限制，近至并排相靠，远达万里之遥，都可进行即时的信息传送和交流。但在沟通方便的同时，也为计算机病毒提供了良好的发育环境，使其得以蔓延扩散已成为社会的一大公害。,现在，计算机病毒技术日臻完善成熟，网络病毒不再需要寄生在主程序中，但人们将文件附加在电子邮件中进行传送、从Internet、BBS下载文件或浏览Java Active X网页的时候,病毒可能就会神不知,3,计算机病毒概述与防治,鬼不觉地进入了网络和计算机系统。目前每天都有数十种新的病毒在网上发现。与此同时，各类已知病毒的变异品种也在网上四处横行。如何发现和防治病毒在此时就变得尤为重要了。,7.1.1 病毒的定义,美国计算机研究专家F.Cohen博士最早提出了“计算机病毒”的概念。计算机病毒是一段人为编制的计算机程序代码。这段代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。其特性在很多方面与生物病毒有着极其相似的地方。,4,计算机病毒概述与防治,在中华人民共和国计算机信息系统安全保护条例第二十八条中将计算机病毒定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”,人们从不同角度给出计算机病毒的定义。一种定义是：通过磁盘、磁带和网络等存储媒介传播扩散，能“传染”其他程序的程序；另一种是：能够实现自身复制且借助一定的载体存在的，具有潜伏性、传染性和破坏性的程序；还有的定义是：一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里，当某种条件或时机成熟时，它会自我复制并传播，使计算机的资源受到不同程序的破坏等。,5,计算机病毒概述与防治,现在，计算机病毒的传播方式、感染途径、发作方式都有了极大的不同。以前，大多数类型的病毒主要通过软盘传播。但是，当Internet成为人们的主要通信方式以后，为病毒的传播提供了新的传送机制。尤其是随着现在电子邮件被用作一个重要的企业通信工具，使病毒比以往任何时候都要扩展得快。附带在电子邮件信息中的病毒，在几分钟内就可以侵染整个企业，使企业每年在生产损失和清除病毒的开销上就要花费数百万美元。,随着网络技术的发展，计算机病毒在快速增长。按美国国家计算机安全协会发布的统计资料，已有超过18000种病毒被辨认出来，而且每个月又在产生200种新型病毒。可以这样说，在计算机世界中没有一台计算机可以对病毒免疫。对于经常上网的用户来说必须经常性地对付病毒的突然爆发。,6,计算机病毒概述与防治,7.1.2 计算机病毒的发展历史,计算机病毒并非是最近才出现的新产物。事实上，早在1949年，距离第部商用计算机的出现仍有好几年时，计算机的先驱者约翰范纽曼(John Von Neumann)在他的论文复杂自动装置的理论及组织的进行中就已把病毒程序的蓝图勾勒出来。,当时，绝大部分的计算机专家都无法想象这种会自我繁殖的程序是可能的。可是，少数几个科学家默默的研究了范纽曼所提出的概念。十年之后，当时贝尔实验室中三个年轻程序员：道格拉斯麦耀莱、维特维索斯基以及罗伯在业余时间想出来一个游戏“磁蕊大战”(Core War)。这个游戏可以实现程序的自我复制，从而成为了病毒的先驱。,7,计算机病毒概述与防治,1983年，科恩汤普逊(Ken Thompson)是当年一项杰出计算机奖的得主。在颁奖典礼上，他作了一个演讲，不但公开证实了计算机病毒的存在，而且还告诉所有听众怎样去写自己的病毒程序。至此计算机病毒正式出现在人们面前，并迅速成为了大家谈虎色变的恐怖程序。,最早被开发出的计算机病毒是程序员用来保护自己程序的安全门。但随着时间的逐步推移，这道门渐渐开错了方向，成为了破坏程序安全的最大隐患。,世界上第一例被证实的病毒发现在1987年,但在其后的五年中病毒并没有真正在世界上传播开来，因此没有引起人们的高度重视。直到1988年11月的一次病毒发作，造成Internet网上的6200用户系统瘫,8,计算机病毒概述与防治,痪，经济损失达9 000多美元，随后一系列病毒事件的发生，才使人们对计算机病毒高度重视起来。,计算机病毒的发展经历了以下几个主要阶段：DOS引导阶段；DOS可执行文件阶段；混合型阶段；伴随、批次性阶段；多形性阶段；生成器、变体机阶段；网络、蠕虫阶段；视窗阶段；宏病毒阶段和互联网阶段。这些将在下面几节中为大家进行穿插介绍。,9,计算机病毒概述与防治,7.2 计算机病毒的工作原理,要做好反病毒技术的研究，首先要认清计算机病毒的结构特点和行为机理，为防范计算机病毒提供充实可靠的依据。下面将通过对计算机病毒的主要特征、破坏行为以及基本结构的介绍来阐述计算机病毒的工作原理。,7.2.1 计算机病毒的主要特征,1.可控性,首先，需要强调的就是计算病毒与各种应用程序一样也是人为编写出来的。它并不是偶然自发产生的。在某些方面，它具有一定的主观能动性，即是可事先预防的。当程序员编写出这些有意破坏、严谨精巧的程序段时，它们就成了具有严格组织的程序代,10,计算机病毒概述与防治,码，与其所在环境相互适应并紧密配合，伺机达到它们的破坏目的。因此，这里所指的可控性并不是针对其散播速度和范围的，而是对其产生根源的控制，也就是说是对人的控制。简单地说，只要程序员和广大的计算机爱好者们不编写那些流毒甚广的病毒的话，那么也就无需为如何防治而绞尽脑汁了。当然此类说法纯属说笑，所以人们仍然需要深入了解计算机病毒的产生、传染和破坏行为，以达知己知彼，由此方能百战不殆。,2.自我复制能力,自我复制也称“再生”或“传染”。再生机制是判断是不是计算机病毒的最重要依据。在一定条件下，病毒通过某种渠道从一个文件和一台计算机传染到另,11,计算机病毒概述与防治,外没有被感染的文件和计算机，轻则造成被感染的计算机数据破坏和工作失常，重则使计算机瘫痪。病毒代码就是靠这种机制大量传播和扩散的。携带病毒代码的文件成为计算机病毒载体和带毒程序。每一台被感染了病毒的计算机，本身既是一个受害者，又是计算机病毒的传播者，通过各种可能的渠道，如软盘、光盘、活动硬盘、网络去传染其他的计算机。在染毒的计算机上曾经使用过的软盘，很有可能已被计算机病毒感染，如果把它拿到其他机器上使用，病毒就会通过带毒软盘传染这些机器。如果计算机已经联网，通过数据和程序共享，病毒就可以迅速传染与之相连的计算机，若不加控制，就会在很短时间内传遍整个世界。,12,计算机病毒概述与防治,3.夺取系统控制权,一般的正常程序由系统或用户调用，并由系统分配资源。其运行目的对用户是可见的和透明的。而就计算机病毒的程序性(可执行性)而言，计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。当计算机在正常程序控制之下运行时，系统运行是稳定的。在这台计算机上可以查看病毒文件的名字，查看或打印计算机病毒代码，甚至拷贝病毒文件，系统都不会激活并感染病毒。病毒为了完成感染、破坏系统的目的必然要取得系统的控制权。计算机病毒一经在系统中运行，病毒首先要做初始化工作，在内存,13,计算机病毒概述与防治,中找到一片安身之地，随后将自身与系统软件挂起钩来执行感染程序，即取得系统控制权。系统每执行一次操作，病毒就有机会执行它预先设计的操作，完成病毒代码的传播和进行破坏活动。,4.隐蔽性,不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序不易区别开。,计算机病毒的隐蔽性表现在两个方面：一是传染的隐蔽性，大多数病毒在进行传染时速度是极快的，一般不具有外部表现，不宜被人发现；二是病毒程序存在的隐蔽性，一般的病毒程序都夹在正常程序之中，很难被发现，而一旦病毒发作出来，往往已给计算机系统造成了不同程度的破坏。,14,计算机病毒概述与防治,随着病毒编写技巧的提高，病毒代码本身还进行加密和变形，使得对计算机病毒的查找和分析更为困难，容易造成漏查或错杀。,5.潜伏性,一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。只有在满足其特定条件后才启动其表现模块，先是发作信息和进行系统破坏。其中一个例子就是臭名昭著的CIH病毒，它在平时会隐藏得很好，而只有在每月的26日发作时才会凶相毕露。,15,计算机病毒概述与防治,使计算机病毒发作的触发条件主要有以下几种：,(1)利用系统时钟提供的时间作为触发器，这种触发机制被大量病毒使用。,(2)利用病毒体自带的计数器作为触发器。病毒利用计数器记录某种事件发生的次数，一旦计算器达到设定值，就执行破坏操作。这些事件可以是计算机开机的次数；可以是病毒程序被运行的次数；还可以是从开机起被运行过的程序数量等。,(3)利用计算机内执行的某些特定操作作为触发器。特定操作可以是用户按下某些特定键的组合，可以是执行的命令，也可以是对磁盘的读写。被病毒使用的触发条件多种多样，而且往往是由多个条件的组合出发。大多数病毒的组合条件是基于时间的，再辅以读写盘操作，按键操作以及其他条件。,16,计算机病毒概述与防治,6.不可预见性,不同种类病毒的代码千差万别，病毒的制作技术也在不断地提高，病毒比反病毒软件永远是超前的。新的操作系统和应用系统的出现，软件技术不断地发展，也为计算机病毒提供了新的发展空间，对未来病毒的预测更加困难，这就要求人们不断提高对病毒的认识，增强防范意识。,7.病毒的衍生性，持久性，欺骗性等,7.2.2 病毒与黑客软件的异同,计算机病毒与黑客软件相同点是：都有隐蔽性、可立即执行性、潜伏性、可触发性、破坏性、非授权性、欺骗性、持久性。而不同点是病毒可以寄生在其他文件中，可以自我复制，可以感染其他文件，,17,计算机病毒概述与防治,其目的是破坏文件或系统。对于黑客软件，它不能寄生，不可复制和感染文件，其目的是盗取密码和远程监控系统。,7.2.3 计算机病毒破坏行为,计算机病毒的破坏性多种多样。若按破坏性粗略分类，可以分为良性病毒和恶性病毒。恶性病毒是指在代码中包含有损伤、破坏计算机系统的操作，在其传染和发作时会对系统直接造成严重损坏。它的损坏目的非常明确，如破坏计算机数据、删除文件、格式化磁盘、破坏主板等，因此恶性病毒非常危险。良性病毒是指不包含立即直接破坏的代码，只是为了表示其存在或为了说明某些事件而存在，如只显示某些信息、播放一段音乐或没有任何破坏动作,18,计算机病毒概述与防治,但不停地传播。但是这类病毒的潜在破坏还是有的，它使内存空间减少，占用磁盘空间，降低系统运行效率，使某些程序不能运行，它还与操作系统和应用程序争抢CPU的控制权，严重时导致死机、网络瘫痪。,计算机病毒的破坏性表现为病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他的技术能力。数以万计、不断发展的病毒破坏行为千奇百怪，不可穷举。根据有关病毒资料可以把病毒的破坏目标和攻击部位归纳如下：,(1)病毒激发对计算机数据信息的直接破坏作用。大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件以及破坏COMS设置等。,19,计算机病毒概述与防治,(2)干扰系统运行，使运行速度下降。此类行为也是花样繁多，如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等。病毒激活时，系统时间延迟程序启动，在时钟中纳入循环计数，迫使计算机空转，运行速度明显下降。,(3)占有磁盘空间和对信息的破坏。,(4)抢占系统资源。,(5)干扰I/O设备，篡改预定设置以及扰乱运行。,(6)网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。,20,计算机病毒概述与防治,7.2.4 计算机病毒的结构,计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分及其他部分组成。,(1)引导部分也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。,(2)传染部分作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要判断传染条件，如CIH病毒只针对Windows 95/98操作系统，判断病毒是否已经感染过该目标等。,(3)表现部分是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。,21,计算机病毒概述与防治,7.3 病毒分类,据最新统计，目前已知的病毒数量已超过了 50 000种。并以每月800个新病毒的速度递增。按其攻击类型来分，其中的大多数(74%)是寄生病毒(攻击可执行文件)，第二是宏病毒(19%)，7%是引导扇区病毒。,计算机病毒按照传染方式分为引导型、文件型和混合型等3种病毒。下面将详细介绍这3种病毒和Internet病毒。,7.3.1 引导型病毒,1.引导记录病毒,引导记录病毒攻击用于引导计算机的程序。在软盘上，一个引导记录病毒可以感染软盘引导记录程序。,22,计算机病毒概述与防治,而在硬盘上，一个引导记录病毒可以感染活动分区引导记录或主引导记录的自举程序。,软盘中的第一个扇区，0磁道、0磁头、1扇区，保留为引导记录使用，引导记录中包括自举例程，一种用于装入操作系统的机器语言程序。之所以成为自举程序是因为它让计算机通过自举读取并执行一个短程序引导代码来装入它自己，接下来再装入操作系统的其余部分。,并不一定是可引导的磁盘才能传播引导记录病毒。所有软盘在格式化或硬盘引导时病毒就会被激活。甚至计算机不能从感染的磁盘启动时(例如在软盘中不包含相应的DOS系统文件时)，它也要运行自举例程，这正是病毒激活所需要的机制。就像驻留,23,计算机病毒概述与防治,程序一样，大多数引导记录病毒在内存中安装它自己，并且把它自己挂到计算机的BOIS和操作系统提供的各种系统服务中。只要计算机是开着的，它在内存中就仍然是活动的，只要它们停留在内存中，就可以通过感染计算机访问的软盘来不断传播。,引导记录病毒在IBM PC病毒的总数中大约占5%，但是它们却在每年报告的实际最终用户感染中超过85%。,2.软盘引导记录病毒,病毒程序经常把软盘引导记录(FBR)作为攻击目标，一个重要的原因是用户经常错误地把软盘留在软驱中。这样一个看起来无关痛痒的错误实际上为软盘引导记录病毒提供了惟一的进入方式。如果在驱动,24,计算机病毒概述与防治,器中有一片磁盘，计算机从这里被配置进行引导，自举程序此时会执行。病毒通过用它自己的程序来代替原来的自举例程，同时病毒程序中也包括它自己的带病毒的自举例程，从而使得病毒能在其他程序运行前控制系统。然后病毒就可以感染硬盘了。,软盘引导记录在系统重置期间获取计算机的控制。在起动过程中，大多数PC中的BIOS都要确定软驱中是否有软盘以及计算机是否可以从这个软盘中配置引导。如果BIOS在驱动器中找到软盘，它就认定用户想要从这个磁盘引导。在它定位磁盘之后，BIOS就会把软盘引导记录装入计算机内存中，并执行它的自举例程。,在一块感染的软盘中，BIOS装入的引导记录是经,25,计算机病毒概述与防治,过病毒感染的自举例程，而不是通常的操作系统自举例程。在引导期间，BIOS把对计算机的控制完全给与病毒程序而不是正常的自举程序。当控制程序传送给病毒之后，它就会得到对计算机上所有资源独有的访问权；如果在软盘中有操作系统的话，就不会被装入，也不会防止病毒的行为。,大多数FBR病毒在引导过程中要在启动操作系统之前把自己作为内存驻留驱动器装入，通过这种方式，病毒就可以在计算机操作期间监视所有磁盘请求，并且任意感染其他软盘。,FBR病毒要完成其工作，就必须从软盘上得到原来的FBR，并且启动原来的引导过程，好像没有病毒一样。这非常重要，因为病毒要想存活下去就不能,26,计算机病毒概述与防治,进行破坏。如果FBR病毒把自己安装到内存中，感染了硬盘，并且导致软盘启动失败，它很快就会被检测清除。大多数病毒在软盘最后的某一个扇区维护原来FBR的一份拷贝。在病毒把它自己安装到内存之后，它就会把原来的FBR装入内存，并执行原来的自举例程，然后自举例程正常的进行，完全意识不到病毒的存在。,大多数软盘包含数据，但是不带有DOS操作系统文件。在病毒把控制传送给原来的自举例程后，它会显示一个消息，如“Non system disk”。这时，一般用户就会认为是其错误地使用了数据盘引导，然后从驱动器取出磁盘重新引导。这就是为什么大多数FBR病毒在引导期间感染硬盘的MBR或活动分区,27,计算机病毒概述与防治,引导记录。这种感染确保即使软盘没有包含相应的操作系统文件，病毒仍然可以传播到硬盘并且感染其他磁盘。最后，一小部分FBR病毒能够维护他们的内存驻留状态，即使在“热”重新启动(即按+组合键)时也是如此。如果计算机是热启动的，而病毒仍然驻留在内存中，病毒仍然可以感染其他磁盘，即使它未感染硬盘。,当FBR病毒把它自己安装到内存中并把它自己指定为代理磁盘服务提供者之后，它还有机会进行感染。此后在DOS或它的程序要访问软盘(或硬盘)时，操作系统就会调用病毒。,如果病毒不驻留在内存，仅访问一块被感染的软磁盘不会引起计算机被感染。除非用户从一块被感染,28,计算机病毒概述与防治,的软盘引导，否则FBR病毒绝对不会执行。如果它不能执行，它就不会感染硬盘和安装自己作为驻留的服务提供者。然而，如果计算机已经被感染而且病毒已经作为驻留的服务提供者安装，在病毒驻留时访问未感染的软盘肯定会使病毒传播到软盘上。,当用户或操作系统进行合法的磁盘请求时，几乎所有的FBR病毒都会感染磁盘。磁盘请求通常会引起驱动器旋转，并且会使驱动器的LED等亮起来。只有当用户开始一些磁盘活动时，如文件和目录的复制，软盘才会旋转。如果病毒要在某个任意时间传播，用户可能会注意到某些活动(通过杂音和LED等)，并且怀疑某件事做错了。,只有当用户或操作系统请求磁盘活动时才感染新的,29,计算机病毒概述与防治,软盘，这样做对病毒是有利的，有几个原因是最重要的：如果用户或操作系统请求使用磁盘，可能驱动器中实际上就有一个软盘。其次，病毒可以在BIOS磁盘服务提供者为正常的磁盘请求提供服务前后立即暗中感染软盘引导记录。感染过程一般需要不到一秒钟。因为用户最可能请求磁盘活动，出现的驱动器旋转就有了合理的解释。通过这种方式，病毒就会有效地传播到新的软盘而不会暴露它的存在。,在病毒要感染磁盘之前，它必须确定磁盘是否已经被感染。在大多数时候，病毒会把目标FBR装入内存并与它自己的内容进行比较。如果FBR病毒确定目标软盘没有被感染过，它就会进行感染过程。大,30,计算机病毒概述与防治,多数FBR病毒要把原来的FBR保存到软盘中的另一个扇区，这样如果用户要从这个磁盘引导，病毒就可以启动并驻留在内存中。,FBR病毒总是把原来的引导记录存储在软盘的一到两处位置上：可能在被感染软盘的最后或者在软盘存储根目录结构的扇区。如果不细心的话，可能会造成存储在这两个位置的原来的FBR数据丢失。一般的1.44MB 3.5吋软盘在根目录中可以存放224个文件。这个保留的目录空间需要14个存储扇区，其中大多数都没有使用，因为很少有软盘在根目录中存放224个文件。许多FBR病毒认为根目录的最后一个扇区没有使用，把原来的引导记录存放在这里。进而，如果用户把一些文件复制到该磁盘中，可能要使用覆盖的目录条目，从而覆盖已保存的FBR。这样在以后用这个软盘引导就会失败。,31,计算机病毒概述与防治,大多数FBR病毒会把原来的引导记录存放在软盘的最后某一个扇区中，也假定这些扇区是未经使用的。如果一个病毒用原来的引导记录内容覆盖其中的一个扇区，它可能恢复该磁盘中现有的文件数据，从而引起数据损坏。除此之外，许多病毒不会更新磁盘中的FAT以标识磁盘最后的扇区已被使用。如果一个用户要向这个软盘复制其他文件，原来的引导记录就会被这些文件覆盖，以后从这个软盘引导时就会失败。,当FBR病毒把一个被病毒感染的自举例程插入FBR，并且把原来的FBR的一份拷贝存储在磁盘中的某个地方时，它能够覆盖一些数据。许多FBR病毒会覆盖根目录结构的最后一个扇区。如果这个扇区正在,32,计算机病毒概述与防治,使用，存储在这个扇区的任何文件目录条目都会被损坏。幸而可以使用Norton Disk Doctor这类磁盘工具修复这种损坏。,其他引导病毒把原来FBR的一份拷贝存储在软盘的最后。如果软盘满了，病毒就会覆盖某个文件使用的一个扇区，从而至少损坏512字节的数据。不幸的是，在病毒覆盖了软盘上某个文件使用的扇区后，使用传统的磁盘工具无法修复该扇区原来的内容。,3.分区引导记录病毒,(1)分区引导记录(PBR),可以把一个物理硬盘划分成多个逻辑硬盘，每一个逻辑硬盘中都包含它自己的操作系统。结果每一个逻辑硬盘都需要它自己的分区引导记录(PBR)，用,33,计算机病毒概述与防治,以装入那个分区中特定的操作系统。PBR总是被存放在每个分区的第一个磁道、扇区和磁头。,PBR非常接近软盘上的FBR，像FBR一样，PBR有它自己的BIOS参数块，这个参数块描述它的逻辑硬盘的重要属性。每个PBR还有它自己的自举例程，用于装入驻留在这个分区的操作系统。,在系统启动期间，主引导记录(MBR)的自举例程确定硬盘上哪一个分区是活动的。然后它通过读取这个分区的第一个扇区装入这个分区的PBR。如果这个PBR扇区包含一个有效的签字，MBR自举例程就会把控制传送给PBR自举例程。PBR自举例程然后装入这个分区中操作系统的其余部分。,BIOS参数块是PBR中惟一必须保持不动的部分(不,34,计算机病毒概述与防治,像PBR后边的签字)，这样DOS和其他程序就能够正确理解逻辑硬盘的布局。,PBR经常成为攻击的目标，因为在硬盘引导过程中，MBR自举例程总是装入并执行活动分区的引导记录。如果一个病毒用它自己的PBR自举例程代替原来的PBR自举例程，可以肯定在硬盘引导期间它就会执行。,(2)PBR病毒,几乎所有的软盘引导记录(FBR)病毒都会感染硬盘主引导记录(MBR)或硬盘的活动分区引导记录(PBR)。PBR病毒是另一种形式的FBR病毒，它驻留在逻辑硬盘分区的引导记录中，而不是软盘的引导记录中。,35,计算机病毒概述与防治,像FBR病毒一样，PBR病毒也是一个程序，它驻留在PBR的自举区域。要想使这个病毒激活，PBR必须在引导过程中被装入并执行。很少有FBR病毒感染活动分区的PBR；大多数FBR病毒更愿意感染硬盘的MBR。PBR病毒并不比MBR病毒更差，但是创建它更困难，这就是这种病毒存在很少的原因。另一方面Form PBR病毒是今天世界上最普遍的病毒之一。,PBR病毒不同于FBR病毒，当它执行时，它不会立即试图感染其他软盘。一般的FBR病毒在引导期间会感染硬盘，因为它要确保在将来从硬盘引导时允许病毒执行，并且能够把它自己作为驻留驱动器安装。而PBR病毒没有这样的需求，因为它已经驻留在硬盘中；它使用硬盘引导过程只是为了把它自己作为驻留驱动器安装。,36,计算机病毒概述与防治,引导过程中当PBR病毒执行并把自己安装到内存后，它就会把原来PBR的一份拷贝装入内存，并且把控制传送给它的自举程序。这个自举程序然后装入正常操作系统的其余部分，用户最后会接受一个C：提示符。,PBR病毒也像FBR病毒一样，一旦它把自己安装为内存驻留驱动器，所有磁盘系统服务请求都要发送到病毒的处理程序。然后病毒检查服务请求，如果它选择了这个服务请求，就会去感染被访问的磁盘。在病毒完成其破坏之后，它就会把请求重定向给原来的BIOS服务器，这样就可以提供正常的服务了。,PBR病毒把它自己安装成为一个内存驻留的服务提供者。完成这个任务之后，任何时候当用户或操作,37,计算机病毒概述与防治,系统要访问某个软盘时，病毒服务提供者就会被激活并控制计算机。在大多数情况下，病毒会等待对软驱的访问，因此在任何时候使用软盘时它都会感染软盘。,大多数PBR病毒把原来的引导记录保存在被感染硬盘最后的某一个扇区中。因为几乎没有PBR病毒会去验证目标病毒扇区是否被使用，它们可能会无意地覆盖占据这个空间的某个文件的一部分。,PBR病毒还会引起其他问题。即是病毒碰巧用原来的PBR覆盖了硬盘最后的某个未使用的扇区，用户以后仍然可以用它自己的数据覆盖已保存的引导记录。当用户用其他数据覆盖了保存的PBR后，原来的PBR就丢失了。以后从硬盘引导就会导致系统崩,38,计算机病毒概述与防治,溃。这种崩溃是因为病毒装入了它错认为是原来PBR的数据，并且把控制传送给了他自认为的自举例程。如果PBR被覆盖，病毒就会执行一堆垃圾机器代码，而不是原来的自举例程。,有些PBR病毒会防止出现前面提到的情况。例如，它们可能会减少最后一个分区的大小把最后一个扇区留给自己使用，并且把原来的PBR记录保存在这里。这样，用户就不会覆盖原来的PBR分区记录了。,(3)分区引导记录病毒的例子,Form病毒是一种内存驻留的引导记录感染病毒。它既不感染文件，也不像许多其他引导记录病毒一样，它感染活动分区的分区引导记录，而不是硬盘上的主引导区记录。,39,计算机病毒概述与防治,当计算机从感染的软盘或硬盘引导时，Form就驻留到内存中。当病毒驻留后，它会去感染访问的所有非写保护磁盘。Form占据系统内存顶端的2KB，并且在BDA的Total memory in Kbytes域增加2KB来扩大系统内存大小，从而为它自己保留空间。病毒截取BIOS磁盘系统服务提供者以感染其他媒体。,在病毒安装到内存后，它检查系统的日期，而且如果是这个月的18日，就会截取键盘系统服务提供者。然后每次用户按下一个键时，病毒就使PC扬声器发出一个“单击”声。如果键盘驱动程序直接安装到计算机上，这种单击声可能不会出现，但是病毒仍然会适当传染。,40,计算机病毒概述与防治,病毒把原来的引导记录和它的部分可执行代码存放到硬盘的最后一个扇区或者软盘中标记为损坏的簇。,Form中包括以下文本：,The FORMVirus sends greeting to everyone whos reading this text.FORM,doesnt destroy data!Dont panic!F*S go to Corinne.,除了可能覆盖原来的引导扇区之外，Form一般不会损坏文件和数据。,4.主引导记录病毒,(1)硬盘主引导区记录,可以把一个物理的硬盘划分成多个不同的逻辑盘，,41,计算机病毒概述与防治,而且还可以为了组织数据的需要把一块盘分成多个分区。例如，可以用一个分区存储不同的操作系统或者在一个分区存储字处理文件，而在另一个分区存储程序，再用一个分区存储游戏。,主引导区记录(MBR)是存储于硬盘的第一个磁道、扇区、磁头的一个结构，每个物理硬盘都包含正好一个MBR。MBR中包含一个分区表，它代表所有扇区及其各自分区的分配。程序需要用硬盘上的分区表(就像它们需要软盘上的BIOS参数一样)理解磁盘的特征。例如，硬盘上存在多少个分区(即逻辑盘)。,MBR还包含一个以硬盘启动时所使用的自举程序。MBR的自举例程类似于软盘的自举例程，它负责装入默认的操作系统，并且把计算机引导到可用状态。,42,计算机病毒概述与防治,硬盘的MBR成为攻击目标有两个原因。首先，在所有PC硬盘的同一个物理位置上只包含一个硬盘主引导区记录。因此，病毒编写者可以方便地编写出几乎能够在市场任何PC上起作用的病毒。其次，当计算机从硬盘引导时，MBR中的自举例程总是要装入执行的。如果病毒用它自己的MBR自举例程代替原来的MBR自举例程，在每次系统引导时它都会执行。在系统引导期间，在任何基于软件的反病毒程序有机会装入并保护系统之前，病毒会完全控制计算机。,(2)主引导记录区病毒,绝大多数软盘引导区记录(FBR)病毒感染硬盘的主引导区记录(MBR)。实质上MBR病毒是另一种形,43,计算机病毒概述与防治,式的FBR病毒，它驻留在硬盘的主引导区记录中而不是软盘的引导区记录中。就像FBR和PBR病毒一样，在MBR病毒被激活以前，它要在引导时被装入并执行。,主引导区记录病毒比分区引导记录病毒更普遍。在PBR病毒感染前，它必须查找分区表找到活动分区，然后确定活动分区的引导扇区，并且感染引导扇区。MBR病毒的感染过程没有这么复杂。,在硬盘引导期间，ROM BIOS引导程序从连接到计算机的基本硬盘中装入MBR。它然后验证MBR在扇区的最后是否有正确的特征标记，如果是这样的话，它就把控制传送给MBR的自举程序。,44,计算机病毒概述与防治,在一个已感染的MBR中，病毒感染的自举例程会代替原来的自举例程。在ROM BIOS引导程序把控制传送给MBR自举程序的时候，病毒就得到了控制权。一般的MBR病毒把它自己安装为内存驻留服务提供者，就像FBR和PBR病毒一样。,大多数MBR病毒在带毒的自举例程中维护原来分区表的一份准确拷贝，因为DOS和许多应用程序需要这一信息来确定计算机上可用的逻辑盘。然而有些病毒可能不会在MBR中维护一份有效的分区表。任何时候当DOS和其他程序请求硬盘的MBR时，这种类型病毒安装的驻留内存的服务提供者就会隐藏感染，并且用原来有效的MBR和分区表的拷贝提供给请求的程序。,45,计算机病毒概述与防治,一般的MBR病毒就像FBR和PBR病毒感染一样，也需要把原来MBR的一份拷贝保存到硬盘的某个地方。以后，在计算机从已感染的硬盘引导并且病毒把它自己安装为驻留的服务提供者之后，病毒就要装入原来的MBR并把控制传送给这个MBR的自举例程。原来MBR的自举例程然后能够装入活动分区的PBR，会进行正常引导。,有些病毒不会在磁盘的某个地方保存原来的MBR；在这种情况下，病毒会包含与原来的MBR相同的自举功能。病毒完全凭自己把活动分区的PBR装入，并把控制传送给该PBR，完全越过了原来MBR的自举程序。,用于大多数硬盘的磁盘分区软件(FDISK)在硬盘,46,计算机病毒概述与防治,MBR之后会留下一个磁道的未用扇区。一般的MBR选择其中的一个扇区存放原来的MBR，因为这些扇区在大多数系统中是不使用的。,通常，一个种类的病毒会把原来的MBR存放在这一区域的同一位置。相应的病毒程序总是可以从这一区域的同一个扇区存放和取得MBR。,MBR病毒以与FBR和PBR病毒同样的方式把自己安装成一个内存驻留的服务提供者。作为磁盘服务提供者，任何时候当用户或操作系统要访问某个磁盘时，病毒就能够控制计算机。在最普遍的情况下，病毒会等待对软盘的访问，并且在对软盘进行其他合法访问时它就要感染软盘。,MBR病毒把原来的主引导记录存放在硬盘第一个,47,计算机病毒概述与防治,磁道的某个地方，因为病毒没有检查就假设这部分空间可以用于它自己的目标。不幸的是，并不总是这种情况。许多不同的磁盘管理和访问控制包都把它们自己的自举程序和数据存放在这一区域。如果病毒盲目地把原来MBR的一份拷贝保存到这里，它就可能会覆盖磁盘驱动器，在以后的引导中引起系统崩溃。,如果用户从一块未感染的软盘引导并且要访问硬盘，这样做就不可能成功。病毒无法隐藏对分区表的修改，因为它没有驻留在内存中。如果感染的MBR不包含相应的分区表，DOS就会拒绝它访问硬盘。,48,计算机病毒概述与防治,(3)MBR病毒的例子,NYB也称为B1病毒，是一种简单的内存驻留的采用Stealthing技术的引导区记录病毒。它不会感染文件。当用户从感染的软盘引导时它就会感染硬盘主引导区记录。当计算机从硬盘或感染的软盘引导时病毒就会驻留到内存中。,当病毒驻留在内存中时，它就会感染计算机访问的任何非写保护磁盘。NYB通过减少在BDA的Total memory in Kbytes域制定的系统内存量在高端内存中保留1KB的空间。感染的硬盘把原来的MBR存放在0磁道、0磁头、17扇区。确定原来引导记录存放在软盘中的位置要使用一种复杂的算法。下面列出这种算法的结果。病毒截取BIOS磁盘系统服务提供者以便感染其他媒体，并且通过重定向磁盘读取隐藏和隐蔽它自己。,49,计算机病毒概述与防治,这种病毒不会以任何方式激活，但是它有时完成一系列随机读取。这种病毒能够通过随机读、写以及用原来的引导扇区/分区表覆盖破坏数据。,NYB病毒不像Form病毒，它不会在计算机屏幕上显示文本信息。,综上所述，引导型病毒具有隐蔽性强、兼容性强等优点，作为一个成熟的病毒程序是不容易被发现的，其通用于DOS、Windows 95操作系统。但它的缺点也很多，如传染速度慢，一定要有带毒软盘启动才能传到硬盘；杀毒容易，只需改写引导区即可，如使用命令：fdisk/mbr或kv3000/k。KV3000能查出所有引导型病毒，主板能对引导区写保护，所以现在单纯的引导型病毒已经很少了。,50,计算机病毒概述与防治,7.3.2 文件型病毒,文件型病毒使用可执行文件作为传播的媒介。它们使用DOS中3种基本的可执行文件格式：COM 文件、EXE文件和SYS文件中的一种或多种格式作为攻击目标。,这种基本文件病毒通过把它自己的一份拷贝附加到一种未感染的可执行程序中，从而进行复制。然后它修改这种新的宿主程序，以便当程序执行时病毒能够首先执行。,大多数文件病毒都很容易为反病毒程序检测和清除。首先，除了一部分例外，大多数文件病毒都在或接近可执行文件的入口点处感染。入口点是文件中操作系统开始执行程序的地方。感染入口点能够保证当程序执行时病毒能够控制计算机。,51,计算机病毒概述与防治,不感染可执行程序入口点的病毒不能保证获得对计算机的控制。病毒可能把它自己插入程序的数据部分，从而到程序结束也不会执行，这种病毒会破坏或改变宿主程序的行为。这些和其他感染程序中任意位置的问题不会吸引病毒编写者的兴趣。,只有用户或操作系统执行被这种病毒感染的文件时它才能控制计算机。也就是说，只要被感染的文件不执行，它们是无害的。它们可以被复制、查看和删除而不会引起问题。,病毒可以根据可执行文件类型(COM、EXE或SYS)选择程序文件的感染方法。下面描述了几种一般程序文件感染技术。,52,计算机病毒概述与防治,(1)COM文件的感染,COM文件格式是DOS可执行文件格式中最简单的一种：COM文件的装入过程也是最简单的：DOS直接把程序读入内存，然后跳到程序映射中的第一条指令(第一个字节)。当进行这个动作时，这个程序就完全控制了计算机，直到它最后终止时把控制返回给DOS。,(2)前置型COM病毒,文件型病毒通过在可执行文件映射的前部指令来感染COM文件。病毒能够保证它至少能以4种不同的方式获得控