网络与信息安全.ppt

1、 ,*,第,*,页,网络与信息安全,第二章 恶意代码,2.1,计算理论与冯,诺依曼体系结构回顾,图灵机,递归论,冯,诺依曼体系结构,1/28/2026,3,计算理论,20,世纪,40,年代，从几个不同的方向建立起来的计算理论，开始了大规模的互相融合，奠定了今天的计算机科学的基础,在计算理论形成的过程中，图灵机模型和递归函数理论影响最大，二者已被证明在计算能力上是等价的,图灵机模型和递归函数理论同时也为计算机病毒和其他恶意代码的存在提供了理论的前提,1/28/2026,4,计算机体系结构,同样是在,20,世纪,40,年代，关于计算机的研制工作也在如火如荼地展开,冯,诺依曼为计算机的体系结构作了奠

2、基性的工作，近,60,年以来，计算机的性能发生了翻天覆地的变化，但是计算机体系结构的一些基本的方面，仍然没有跳出冯,诺依曼提出的一些基本原则的范围,正是这些基本的原则，构成了以计算机病毒为主要代表的恶意代码的存在提供了系统的前提,1/28/2026,5,图灵机,T,H,I,S,I,S,A,T,U,R,I,带,读写头,状态机,1/28/2026,6,通用图灵机,把,图灵机,A,的,描述作为图灵机,B,的一部分输入，把图灵机,A,的输入作为图灵机,B,的另一部分输入，如果这时图灵机,B,的,输出恰好就是图灵机,A,的输出，则称图灵机,B,可以模拟图灵机,A,如果图灵机,B,可以模拟所有的图灵机，那

3、么就称图灵机,B,是一个通用图灵机,计算理论证明：通用图灵机是存在的,1/28/2026,7,递归函数理论,一个函数如果可以通过常数函数、函数复合、函数分支判断、原始递归、,递归五种手段定义出来，它就是一个递归函数,递归函数模型和图灵机模型在计算能力上是等价的,1/28/2026,8,通用递归函数,递归函数一共可数多个，可以用自然数编码,假设函数,A,是一个有,n,个变元的递归函数，它的自然数编码是,a,，,函数,B,是一个有,n+1,个变元的递归函数，它的前一个变元取值为,a,，后,n,个变元的取值依次为函数,A,的,n,个变元的取值，那么就称函数,B,模拟了函数,A,一个可以模拟任何,n,

4、元递归函数的,n+1,元,函数，叫做,n,元通用递归函数,递归函数理论证明：对任何,n,，,n,元通用递归函数是存在的,1/28/2026,9,冯,诺依曼体系结构,运算器,指令计数器,寄存器,寄存器,寄存器,指令寄存器,指令,数据,存储器,1/28/2026,10,指令存储,指令存储，是冯,诺依曼体系结构的核心特点，指令和数据在存储形态上没有分别，关键在程序的运行逻辑中你把存储的内容当作指令还是数据,操作系统的引导，程序的编译，都离不开指令存储这一基本前提,以计算机病毒为代表的恶意代码，也是利用了冯,诺依曼体系结构中关于指令存储的这个基本的前提,1/28/2026,11,2.2,恶意代码概述,

5、1/28/2026,12,历史,冯,诺依曼,早在,1949,年,也就是第一部商用计算机出现的几年以前,电子计算机的先驱者、德国科学家冯,诺伊曼,(John Von Neumann),，,就在他的一篇论文,复杂自动装置的理论及组织的进化,中,勾勒出了病毒程序的蓝图。,这一思想在当时是非常超前的，同时代的绝大部份计算机专家都无法想象这种能够自我繁殖的程序是什么样子。只有少数几个科学家开始默默地研究冯,诺伊曼所提出的概念。,1/28/2026,13,历史,核心大战,60,年代初,在美国电话电报公司,(AT&T),的贝尔实验室中，有三个年轻的程序员，他们是道格拉斯,麦基尔罗伊,(Douglas,H.M

6、cIlroy,),、,维克多,维索特斯基,(Victor,Vysottsky,),和罗伯特,莫里斯,(Robert T.Morris),。,当时三人年纪都只有二十多岁。他们常在工作后留在实验室里玩起他们自己创造的一种叫做,“,核心大战,(Core War),”,的计算机游戏。,1/28/2026,14,历史,核心大战,“,核心大战,”,的玩法如下：双方各编一段小程序，输入同一部计算机中，让这两个程序在计算机中互相追杀，并设法销毁对方的游戏程序。,这些程序有时会设下一些关卡，有时会停下来重写被对方破坏的几行指令，当它们被困时，也可以把自己复制一次，逃离险境。,在双方的程序进入计算机内存后，玩游戏

7、的人只能看着屏幕上显示的战况,而不能做任何更改，一直到某一方的程序被另一方的程序完全,“,吃掉,”,为止。,从,“,核心大战,”,中已经可以看到计算机病毒的影子,1/28/2026,15,历史,病毒在科幻中登场,1977,年夏天，美国作家托马斯,捷,瑞安,(Thomas.J.Ryan),的科幻小说,P-1,的春天,(The Adolescence of P-1),成为美国的最畅销书之一。,作者在这部小说中描写了一种计算机病毒，它可以通过从一台计算机传播到另一台计算机。这个病毒最后控制,7,000,台计算机的操作系统，造成了一场大灾难。,“,计算机病毒,”,一词也第一次在这本书中出现。,1/28

8、/2026,16,历史,科学家打破沉默,1983,年，,Fred Cohen,博士研制出一种在运行过程中可以复制自身的破坏性程序,Len,Adleman,将它命名为计算机病毒,(Computer Virus),，,并在每周一次的计算机安全讨论会上正式提出,8,小时后，专家们在,VAX11/750,计算机系统上运行，第一个病毒实验成功了,一周后又获准进行,5,个实验的演示,这样，,34,年以前冯,诺伊曼关于计算机病毒的设想就在实验上被验证了。,1/28/2026,17,历史,PC,病毒亮相,1986,年，巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了,“,巴基斯坦,”,病毒，成了世界上公认的第一个

9、传染,PC,兼容机的病毒，并且很快在全球流行。,1988,年，小球病毒传入我国，在几个月之内迅速传染了,20,多个省、市。成为我国第一个病毒案例。,1/28/2026,18,历史,蠕虫染指互联网,1988,年，莫里斯制作并传播了世界上第一个蠕虫病毒，通过当时的,Internet,大规模传播，染指了当时数万台联网主机的十分之一，造成了巨大的破坏,在此之后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷,1/28/2026,19,定义,恶意代码,通过未经用户授权的渠道传播并执行的、具有恶意执行效果的计算机程序，称为恶意代码（,Malware,）,计算机病毒（,Virus,）,是恶意代码的典型代表，

10、具有通过操作系统或网络自我复制的能力,后门（,Backdoor,）、,特洛伊木马（,Trojan Horse,）、,逻辑炸弹（,Logical Bomb,）,不具备自我复制的能力，但也属于恶意代码的范畴,1/28/2026,20,定义,计算机病毒,广义定义,能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。,狭义定义,病毒程序通过修改,(,操作,),而传染其他程序,即修改其他程序使之含有病毒自身的精确版本或可能演化的版本、变种或其他病毒繁衍体。,可见，计算机病毒的广义定义差不多就相当于恶意代码,1/28/2026,21,定义,法律中的计算机病毒,我国的计算机病毒定义,计算机病毒,是指

11、编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,摘自,中国人民共和国计算机信息系统安全保护条例,第条,1/28/2026,22,特征,非授权可执行性,隐蔽性,传染性,潜伏性,表现性或破坏性,可触发性,1/28/2026,23,非授权可执行性,所有恶意代码都是先通过欺骗等手段获取了系统的操控权，然后再进行感染、传播、破坏等行动。,这些行动都是在用户不知情的情况下进行的。,它们在没有得到用户许可的时候就开始了行动，因此说它们具有“非授权可执行性”。,1/28/2026,24,隐蔽性,所有的恶意代码都会尽量不使自己被发现，因为被发现

12、的后果就是被清除掉,隐蔽性好的恶意代码可以在一个系统中存在很长时间而不被发现，因此在发作时也会使人们猝不及防，造成重大损失,隐蔽手段的分类,代码隐藏,进程隐藏,通信隐藏,1/28/2026,25,传染性,感染是狭义的计算机病毒作为一种程序来讲的最主要的特点，也是判断一个程序是否是病毒的根本依据,感染的机理将在下两个小节中重点讲述,1/28/2026,26,潜伏性,为了避免在没来得及传播开来时就被“灭种”，有时病毒在一段时间内会什么事情也不做，而只是在一些看似很偶然的方式进行感染。,这样可以大大加强这个病毒的隐蔽性，使其传播得更为广泛。,1/28/2026,27,表现性或破坏性,如果一个病毒只是

13、把自己复制来复制去，没有任何其它的行动，这个病毒就没有什么意思了,计算机病毒的表现可以是播放一段音乐或显示图片、文字等，也可能是破坏系统、格式化硬盘、阻塞网络运行或者毁坏硬件（这在后面会详细说明）,1/28/2026,28,可触发,性,绝大部分病毒会设定一定的条件作为发作条件。这个条件可以是某个日期，键盘的点击次数或是某个文件的调用。,其中，日期作为发作条件的病毒居多。,CIH,病毒的发作条件是,4,月,26,日。,“,欢乐时光,”,病毒的发作条件是,“,月,+,日,=13,”,，比如,5,月,8,日、,6,月,7,日等。,触发条件的设定对于一个病毒是非常重要的。太宽松则会很快随着被它感染的宿

14、主一起毁灭，不会流传开来；太苛刻则很难发作，结果会在它的漫长的潜伏期中被发现而无法发生作用。,1/28/2026,29,与生物学中病毒的对比,生物病毒,计算机病毒,不同,本质,一类构成简单的生物,一种特殊的程序,宿主,活细胞,计算机,相同,感染性,都可以将自身复制而使更多的宿主被感染,寄生性,都必须寄生在宿主里，不能够独立存在,破坏性,都可以使宿主出现“症状”，甚至使宿主毁灭（死亡）,1/28/2026,30,恶意代码的分类,计算机病毒,通过自我复制传播，带有不同程度的破坏性,后门,通过特殊手段植入或预留，用以绕开正常的访问控制机制进入系统,特洛伊木马,通过特殊手段植入，用以进行远程控制,逻辑

15、炸弹,通过特殊手段植入，用以耗尽目标系统资源,1/28/2026,31,病毒的分类,按传染方式,引导型病毒,小球病毒,大麻病毒,Anti-CMOS,病毒,文件性病毒,1575/1591,病毒,CIH,病毒,WM/Concept,病毒,网络病毒,即时传播类：红色代码、,Nimda,延时传播类：爱虫、,SirCam,、,求职信、欢乐时光等,1/28/2026,32,病毒的分类,按破坏性,良性病毒,小球病毒,WM/Concept,病毒,恶性病毒,CIH,病毒,爱虫病毒,1/28/2026,33,制作恶意代码的目的,自我表现,版权保护,发泄报复,特殊目的,1/28/2026,34,自我表现,最典型的例

16、子就是,1988,年的,“,蠕虫,”,病毒事件。,事后的调查报告认为：小莫里斯释放,“,蠕虫,”,是一中忽视了明显的潜在后果的青少年行为。报告还客观地指出，当,“,蠕虫,”,程序进入网络，并通过口令之后，就已经具备了系统用户的最高权限。它此时可以读取被加密保护的机密数据，还可以做种种特权操作。,“,蠕虫,”,已经具备了进行最严重破坏的能力，但它没有这样做，它只是使网络变得很慢而已。,1/28/2026,35,自我表现,其实小莫里斯只不过是想给当时负责维护,ARPAnet,的网络安全的他的父亲捣捣乱而已。但如果他真的要恶意攻击，那么天知道会造成什么可怕后果。（当时美国军方的计算机可是都连接在,A

17、RPAnet,上的！）,1/28/2026,36,版权保护,世界上少数几个在病毒程序中给出编写者姓名的病毒之一，上面提到的巴基斯坦的巴希特和阿姆贾德两兄弟编写的,C-Brain/,巴基斯坦病毒，就是出于这个目的,由于制作一个软件产品耗资巨大，制作周期较长，平均到每一个软件的拷贝的成本都比较高。这就是正版软件价格昂贵的原因之一。但是，制作一个软件的拷贝却很简单，甚至一台,PC,机就可以实现。所以，盗版泛滥起来，使软件制作者蒙受了很大损失。,这些软件制作者为了维护自己的权益，就开始制作一些病毒来打击盗版。,1/28/2026,37,发泄报复,一个例子是某公司的职员,A,，,他负责管理公司的计算机系

18、统。他制作了一个病毒程序：在打印工资报表时，先检测他的名字是否出现在其中。,如果他的名字在工资报表里有，则继续进行工资报表的打印。,如果他的名字工资报表里没有，就意味着他已经被解雇。此时病毒程序就可以开始报复。比如毁坏系统中的文件、造成混乱甚至破坏整个公司的计算机网络系统。,1/28/2026,38,发泄报复,另一个例子就是,CIH,病毒的编写者，台湾的陈盈豪。陈盈豪从大学一年级开始就痴迷上了计算机，每天都要上网，下载最热门的软件、游戏等，因此也经常遭遇计算机病毒。为了使自己的计算机免受病毒的侵扰，他买了不少广告做得天花乱坠的防病毒软件，结果往往什么用也没有，于是觉得自己被欺骗了。,CIH,病

19、毒完全是他一人设计的，目的是想出一个在广告上吹嘘,“,百分之百,”,防毒的软件的洋相。,陈盈豪制作的目的，一部分是出于前面所提到的,“,表现欲,”,，但很大一部分是出于发泄自己对防,/,杀毒软件的不满。,1/28/2026,39,特殊目的,病毒、后门、木马、逻辑炸弹都是信息战的重要形态,利用这些技术可制作网络信息战武器,在海湾战争中，美国首次使用计算机病毒作为一种辅助攻击手段，结果在军事上取得巨大成功,恶意代码技术也可以用来窃取情报,1/28/2026,40,恶意代码的危害,消耗资源,干扰输出,干扰输入,破坏信息,泄漏信息,破坏系统,心理影响,1/28/2026,41,消耗资源,病毒程序的运行

20、使得系统效率明显下降,逻辑炸弹可以使系统的时间,/,空间资源消耗殆尽而崩溃,蠕虫类病毒可能大量侵吞网络通信资源，造成通信阻塞乃至崩溃,1/28/2026,42,干扰输出,在屏幕上显示图形或符号，或播放莫名其妙的音乐或声音。一般的良性病毒都有这项,“,功能,”,，这可能也是良性病毒的主要,“,攻击,”,手段了。这样的,“,攻击,”,手段通常不会带来什么实质性的破坏，但是会干扰你的工作。,一个叫做,“,零臭虫,”,(Zero Bug),的病毒，在它进入内存后，会在屏幕上显示一个,“,臭虫,”,。这个,“,臭虫,”,会,“,吃掉,”,屏幕上所有的,“,0,”,字符。这个病毒不会使文件数据丢失，不过相

21、信看一个没有,“,0,”,的屏幕是有相当难度的。,恶性病毒也有可能改变屏幕显示或播放声音，但通常此时只是灾难的开始,它也许正在格式化你的硬盘。,1/28/2026,43,干扰输入,对你的键盘做手脚。无论是良性病毒和恶性病毒都有可能具有这项,“,功能,”,。这种破坏方式会使你的键盘输入出现混乱。,比如,“,排字工,”,病毒,(Type COM),就是一种可以干扰键盘输入的病毒。当你输入,“,A,”,的时候，却会在屏幕上显示,“,S,”,；,当你在输入,“,L,”,的时候，却会显示,“,：,”,。总之，实际被计算机接收的字符是你所按键的右边那个键。,又如,“,Hymn,”,病毒，在病毒进入内存之后

22、就监视键盘活动。在第,980,次敲击键盘之后，再敲击的键依次被两个空格和五个乱码代替，这样就使键盘无法发挥作用,1/28/2026,44,破坏信息,覆盖文件,破坏文件系统元数据（如,FAT,表）,修改数据,格式化磁盘,1/28/2026,45,泄漏信息,最近流行的,SirCam,、,求职信、红色代码、尼姆达等病毒均有泄露信息的特点。,SirCam,和求职信病毒泄露信息的方式是把被感染机器上的一些文件作为邮件附件连同病毒一起发往一些真实的电子邮件地址。,红色代码和尼姆达病毒泄露信息的方式是把被感染机器的一些硬盘分区设成远程共享，等于是后门大开。在红色代码病毒流行期间，就出现了一些机器被红色代码

23、病毒感染了以后，黑客借助被打开的后门又实施了篡改网页的二次破坏。,1/28/2026,46,破坏系统,病毒可以采用篡改系统设置或对系统进行加密的方法，使系统发生混乱。,例如，,CIH,病毒甚至还能破坏硬件系统。它可以识别台湾地区及个别国家生产的某些计算机主板上的,BIOS,（,Basic Input/Output System,基本输入输出系统）的写入口，并随机修改几个字符，造成,BIOS,工作混乱。由于,BIOS,在计算机中的特殊地位，它必须靠专业厂商才能修复。这样，就造成了硬件的损坏。,有些计算机病毒还具有感知杀毒软件的能力，先下手干掉已经安装在宿主机器内的杀毒软件。比如最近流行的求职信病

24、毒的新变种就有这样的特点。,1/28/2026,47,心理影响,有些病毒会进行反动宣传（如,6,4,病毒）,有些病毒会显示一些对人身心健康不利的文字或图像。,在,2000,年年底，人们发现了一个通过电子邮件传播的病毒，,“,女鬼,”,病毒。当你打开感染了,“,女鬼,”,病毒的邮件的附件时，病毒发作，在屏幕上显示一个美食家杀害妻子的恐怖故事。之后，一切恢复正常。一般人会以为这个病毒的发作只是这样而已。但是，,5,分钟后，突然屏幕变黑，一个恐怖的女尸的图像就会显示出来，让没有丝毫心理准备的人吓一跳。椐报道，一人因此突发心脏病身亡。,所以，计算机病毒的心理危害也不可低估。,1/28/2026,48,

25、2.3,病毒通过文件的传播,1/28/2026,49,自我传播的数字精灵,你能抓住自己的头发把自己揪起来吗？,这个问题涉及了一个深刻的现象,指向自身（,Self reference,）。,中国古代的哲人们已经具备了这种大智慧。著名的成语,“,自相矛盾,”,说的就是把一个人的大话用到这个人自己头上。古希腊的哲人们也具有这种大智慧，以克里特岛上的人为背景的,“,说谎者悖论,”,几千年后仍然是哲学和逻辑学上反复被引用的精品。,1/28/2026,50,程序指向自身：,Boot,程序也可以指向自身,计算机启动时，操作系统从一个很小的核心开始，就在不断地把操作系统的更多代码作为数据来“搬运”到内存当中，

26、再让他们作为指令运行起来。搬运的那一时刻，指令被当作普通的数据；搬运结束后，数据又被当作指令。,我们在上一章的“缓冲区溢出”那一小节里也看到了把指令当作数据的用法。,1/28/2026,51,程序指向自身：,MIT,博士生作业,题目是这样的：“写一个,C,程序，这个程序能把自己的源代码一字不差地打印出来，前提条件是不许读文件。”,后来，这个题目被公布到曙光,BBS,上，当时清华大学电子工程系的一个刚入学的硕士研究生（,chenming,）,不久就把这道题目做了出来。,1/28/2026,52,病毒自我复制机理示意图,病毒代码,带毒文件,1/28/2026,53,病毒的原理,一个程序的执行过程如

27、果恰好包含了把自己的执行代码“贴”到另一个程序的执行代码中，那么只要启动它的运行，就存在不断滚动运行、滚动传播的可能性,被感染的程序叫做“宿主”,1/28/2026,54,病毒的原理,如果仅仅是,“,贴,”,而不破坏原有的可执行代码，那被感染的软件基本上还能运行。如果为了躲避文件特征检查而故意挤占掉一部分原有的可执行代码，那被感染的软件可能就基本上被,“,废,”,掉了。,1/28/2026,55,病毒传播的前提条件,宿主必须具有可执行的属性,一般是可执行文件,一些复杂的文档文件（如微软,word,文件）可含有可执行的成分（所谓,“,宏,”,），打开后其执行平台具有运行这些宏的能力，因此这些文档

28、文件可被嵌入,“,宏病毒,”,网页也可以含有可执行成分（所谓,“,脚本,”,），因此也可以通过浏览器感染,“,脚本病毒,”,1/28/2026,56,病毒的结构,传播部分,负责自我复制机制的实现,效果部分,负责产生病毒的效果,1/28/2026,57,一些技术问题,如何使病毒自动运行（注册表）,如何选择感染目标,如何控制感染速度,如何躲避杀毒软件,1/28/2026,58,2.4,病毒通过网络的传播,1/28/2026,59,网络病毒的传播,即时传播：网络请求,如：红色代码、尼姆达,延时传播：邮件,如：求职信、欢乐时光、,SirCam,“,通过网络传播的病毒,”,不等于,“,在网络上传播的病毒

29、后者可以是文件型病毒，只不过借用了网络的传输能力而已，前者要求在传播的机理上也利用网络的漏洞,1/28/2026,60,请求探测,源,目的,代码植入,发作,即时传播的网络病毒：如红色代码,1/28/2026,61,即时网络病毒的传播原理,利用网络漏洞向远程主机植入并运行病毒代码,运行病毒代码的同时向另外一台远程主机植入并运行病毒代码,分三个阶段,请求探测,代码植入,发作（代码运行）,1/28/2026,62,请求探测,类似网络漏洞扫描，在网上以一定的分布向,LAN/WAN,发送请求探测，用来发现哪些主机具有可利用的漏洞,根据探测结果决定攻击（感染）目标,由于探测具有盲目性，而且要保证传

30、播的成功率就必须有足够数量的探测,结果是，大量的请求探测充斥在网络上，造成严重的拥塞,1/28/2026,63,代码植,入,目前多利用,Web,服务器的缓冲区溢出漏洞，利用,Web,请求夹带溢出攻击代码，植入目标系统,获得目标系统控制权之后，立即植入病毒代码，有的病毒还顺带植入后门，可方便他人通过特定的远程请求进入目标系统,1/28/2026,64,代码执行,被植入目标系统的病毒代码在目标主机中激活运行，导致下一轮感染,探测,-,植入,-,执行三个步骤可以相当连贯，从而在很短时间内完成一个感染周期,可以想象，这种即时传播的病毒的大规模扩散，会导致什么样的严重后果,1/28/2026,65,延时

31、传播的网络病毒：如求职信,源,代码加载,第三方,平台,目的,传输,传输,代码激活,代码加载,传输,1/28/2026,66,延时网络病毒的传播机理,利用合法途径通过网络将携带病毒的宿主对象（邮件或网页）送至第三方平台（如邮件服务器、网站）,在目标系统使用者不知情的情况下将携带病毒代码的宿主对象下载到本地,利用本地网络软件（邮件客户端或浏览器）的漏洞，激活宿主所携带的病毒运行，运行结果是携带病毒的新的宿主对象被发送到网上,1/28/2026,67,延时网络病毒的传播机理,分,四个阶段,代码加载,代码发送,代码接收,代码激活,1/28/2026,68,代码加载,把,病毒代码加载到一定的宿主上,电子

32、邮件：病毒代码文件作为附件是通常的做法，但也有的病毒作为邮件正文的一部分,网页：把病毒代码作为网页的一部分，通常是内嵌的脚本语句,初始的过程是人工的，此后的传播环节都可以由程序自动完成,附件选择：病毒文件本身，甚至“我的文档”里面的其他文档（可以和宏病毒组合发生作用，如“美丽杀”）,1/28/2026,69,代码发送,地址选择：,Outlook Express,地址簿,地址簿结构的扩散性,邮件服务器的不设防,网站上载通常不作病毒检查,代码发送本身并不引起病毒的传播,1/28/2026,70,代码接收,通过邮件客户端从邮件服务器取信,取信时无法选择,作为病毒的附件和一般附件外部特征上无区别,通过

33、浏览器下载网页,代码接收本身并不引起病毒的传播,1/28/2026,71,代码激活,当你打开一封夹带精美动画程序的贺卡邮件的时候，微软的,Outlook Express,能够自动激活那个精美的动画程序为你播放，不需要你本人再去点击鼠标亲自激活它。这种方便给你带来的那份惊喜是难以形容的。,但是，同样是这种方便，也为借助电子邮件传播的各种病毒的运行打开了方便之门。,1/28/2026,72,在特定系统下通过电子邮件传播,被感染的系统的通讯簿,1/28/2026,73,地址簿中张健收到病毒后的情况,1/28/2026,74,“,实验,”,系统自动传播病毒后,注册表的情况,1/28/2026,75,延

34、时网络病毒的特点,蔓延速度低于即时网络病毒,影响面广（差不多所有的客户端）,隐蔽性好（有些病毒附件并不是可执行的类型，但是隐含地具有执行属性）,防不胜防（客户端漏洞知多少）,1/28/2026,76,代码激活,网页里可以嵌入各种各样的对象,为了正确地表现这些对象，浏览器要与相应的插件和客户端程序保持一种动态激活的关系，根据对象类型自动激活相应的插件或客户端程序,浏览器太自作聪明了，病毒就有了可乘之机,1/28/2026,77,代码激活,微软的,Outlook Express,有一种,“,预览,”,功能，即使你没有,“,亲自,”,通过鼠标点击打开邮件，它也会替你把邮件的一部分缩略地展示出来（自作

35、多情！）,这意味着，接收下来的邮件所携带的病毒可以利用,“,预览,”,功能强制在你的主机上被激活执行，不管你是否,“,亲自,”,打开邮件。霸道？事实！,1/28/2026,78,伪病毒,不是真正的病毒,是通过网络流传的关于某种莫须有的病毒的谣言,告诉你：病毒来了，为了安全起见，你必须杀掉某某文件（其实是一个正常的系统文件）,如果你照着做了，你自己的系统就遭到了破坏；如果你还把这个谣言转发给别人，那,不要信谣言，要信专家,1/28/2026,79,2.5,远程控制,1/28/2026,80,目的,植入特洛伊木马，一般不是为了让木马自行其是，而是让木马作为目标主机里的一个服务例程，随时准备接受远程

36、指令,通过这种办法实现从远程对目标主机的控制和操作,著名例子：,BO,，,冰河,1/28/2026,81,BO,全称：,Back,Oriffice,，,借以讽刺微软开发的,Back Office,开发者：黑客组织,“,死牛崇拜,”,（,Cult of dead cow,）,组成：配置程序、客户端程序（文本,/,图形）、服务端程序（木马），以及压缩,/,解压程序,1/28/2026,82,功能,网络和系统控制,获取网址口令、拨号上网口令、用户口令、磁盘、,CPU,、,软件版本等详细的系统信息,删除、复制、查看任何一个文件，运行任何一个程序,捕捉屏幕、键盘信息,上传各种文件,查阅、创建、删除、修改

37、系统注册表,随时制造死机,1/28/2026,83,冰河,由中国人开发，属于国产“木马”,也是由客户端和服务器端两部分组成,服务端程序可任意改名，便于隐蔽,功能：跟踪屏幕，记录口令信息，获取系统信息，限制系统功能，进行文件与注册标操作、发送信息,等,1/28/2026,84,后门,在一个信息系统中，不为正当用户所知晓、但却为少数未经正当用户授权的非法特权人物所掌握的访问途径，被称为这个信息系统的,“,后门,”,。,可以被第三方,“,植入,”,，也可以由开发者,“,预留,”,1/28/2026,85,后门与木马的区别,特洛伊木马是一个未经授权而驻留的程序，而后门则是一个本来有着正当用途的合法系统

38、的未经正当用户授权的访问途径。,一个系统的后门可以是这个系统的设计阶段就预先埋伏下的，也可能是这个系统付诸使用以后因为有人更改了系统的配置而导致的。,后一种情况是典型的攻击行为,前一种情况十分复杂，在个人失误与组织犯罪之间走钢丝，往往被一些政治势力利用,1/28/2026,86,悬剑,我们如果找到了后门，当然可以很有把握地断定后门的存在,但是在接触不到源代码的情况下，我们一般很难断定一个系统不存在后门,这就使对后门的担心像达摩克利斯之剑，始终高悬在用户的头上,1/28/2026,87,2.6,逻辑炸弹,1/28/2026,88,目的,恶意消耗系统资源,导致系统崩溃,一般在敌对、对抗环境中使用，

39、如果用来威胁普通用户，是严重的违法行为,1/28/2026,89,类型,从外部：,Ping,炸弹,、,OICQ,炸弹、邮件炸弹（黑客工具）,从内部：,Fork,炸弹：由一个进程派生出越来越多的进程，最后资源耗尽导致死机,内存炸弹：不断占用越来越多的内存空间，最后内存耗尽而崩溃,网页炸弹：不断弹出越来越多的窗口，让你一一确认，最后用户不胜其烦或系统不堪重负而不得不重启动,等等,1/28/2026,90,用法,可作为病毒代码中的效果部分,有人用于保护知识产权（法律上受到指责），某病毒公司的例子,用于信息战,原理、实现都很简单，使用要谨慎,1/28/2026,91,其他恶意代码,强制修改默认网页,强

40、制进入收藏夹,强制占用,CPU,资源（网格计算不得不防的一点）,1/28/2026,92,2.7,恶意代码的侦测,1/28/2026,93,侦测手段,代码特征检测,宿主特征检测,虚拟机检测,1/28/2026,94,代码特征检测,恶意代码首先是一段代码。要完成特定的功能，这段代码必定有有别于其它代码的特征。,代码特征检测是恶意代码侦测的一种主要的手段。在这一点上，恶意代码的检测和入侵检测有很多相像的地方。,1/28/2026,95,代码特征检测,恶意代码只有处于特定类型的文件之中才能产生危害,因此通过对所有有可能携带恶意代码的那些类型的文件进行代码特征扫描，就能够把携带恶意代码的文件准确地查找

41、出来,但是，文件系统越大，做这件事情就越花费时间,1/28/2026,96,代码特征检测,随着网络的发展，黑客手段和恶意代码的结合更加紧密，代码特征检测和入侵检测有日益融合的趋势。这一点在红色代码和尼姆达病毒的检测过程中得到了充分的体现。,目前针对代码特征的恶意代码检测手段基本上是对付已知的恶意代码的。,新的恶意代码一出来，检测软件马上要跟着升级，否则就难以适应,1/28/2026,97,代码特征检测,为了提高效率，可以把这件事情“增量化”,假设原来系统是干净的，用户自己又不制造恶意代码,，,那么恶意代码一定是通过某个输入信道从外面进来的，比如读软盘、读光盘、通过网络流入等等,不管是哪种情况，

42、输入字符流中一定会流过符合恶意代码特征的字符，这时就可以启动报警、拦截等手段,这种手段还可以放到局域网网关上去，为整个网络范围提供恶意代码检测服务，这时的代码特征检测就更像入侵检测了,1/28/2026,98,宿主特征检测,被感染的宿主程序在感染前后的变化，一定会反映为某种特征的取值变化，比如文件的最近修改日期，文件的大小等。,由于关注点在宿主的特征变化上，它的使用范围不限于已知的恶意代码。,但是，造成宿主特征变化的原因有很多，不见得一定是恶意代码。所以，这种手段可能造成误报。,1/28/2026,99,虚拟机检测,在计算机中虚拟地构造出一台计算机来，每一文件都在构造出的虚拟计算机中运行一遍，

43、通过对这个文件运行的特征来判断此文件是否携带恶意代码,比如恶意代码要利用自己的代码来改写其他文件，在虚拟机中，文件不会被真的改写，但这个意图会被发现并作为恶意代码的证据,1/28/2026,100,虚拟机检测,由于不需要事先知道恶意代码的文字特征，因此它就能够检测出一些未知的恶意代码,同样，这种方法也有一些问题，比如它容易误报某某文件中含有某种恶意代码，而此文件仅仅是运行特征与该种恶意代码有些相似，但它实际上并非恶意代码,1/28/2026,101,综合集成,为了达到更好的侦测效果，可以采用把几种方法综合集成起来的做法,为了逃避侦测，恶意代码的制造者们也在“与时俱进”，研究新的更隐蔽的携带恶意

44、代码的方式，比如某种加密手段等,1/28/2026,102,2.8,恶意代码的清杀,1/28/2026,103,清杀恶意代码的步骤,用,干净的系统盘启动系统,把恶意代码从宿主程序中剪除出去，恢复正常的宿主程序,把本身就是恶意代码的文件删除掉,把与恶意代码相关的项目从注册表中删除掉,重新启动系统,CIH,病毒的清杀涉及到,BIOS,，,特殊处理,1/28/2026,104,如果杀不掉,有些病毒已经对宿主程序造成了不可挽回的破坏，即使杀掉病毒，宿主也回不到原来的样子了,如果被破坏的是系统文件，可以重新安装系统,如果被破坏的是用户数据，就要进行专业的数据恢复,1/28/2026,105,防病毒产品的

45、产业特点,用户群极为广泛,病毒事件影响面大，宣传机会多,处理已知病毒易，处理未知病毒难，需要不断升级,国产化有一定基础，已形成一些品牌，后来者不易进入,与入侵检测和个人防火墙加速融合,无政策壁垒，国内外产品几乎一视同仁,1/28/2026,106,2.9,恶意代码的预防,1/28/2026,107,大局限,从前面介绍的基本机理来看，只要我们的计算机还在使用目前主流的冯,诺依曼型的体系结构，数据和指令从形态上还看不出差别，那就无法彻底根除恶意代码，特别是无法彻底拒绝病毒的感染。,我们唯一能做的，是在我们所处的现实环境下，尽量地降低恶意代码带来的风险,1/28/2026,108,打补丁,最近流行的

46、这些网络病毒，无一例外地利用了网络漏洞,在过去，打安全补丁一般都是运行服务器的管理人员的事情，个人计算机打安全补丁这样的想法会被认为是吃错药了,但是，现在，利用网络漏洞攻击普通的,PC,机的恶意代码已经是家常便饭，不及时打补丁，将会面临极大的安全风险,1/28/2026,109,从严配置,许多系统的安全性是用户可配置的，如果你期望高安全性，可以从严配置,浏览器可以升到,“,高安全性,”,，,Active X,控件一类对象将被禁止,VBH,可以卸掉，防止客户端,“,自作多情,”,地擅自激活执行基于,VBScript,的恶意代码,1/28/2026,110,管理与习惯,来历不明的光盘、软盘，最好不

47、要使用,来历不明的网址，就像有人在,QQ,上留的那种看起来很诱惑的网址，千万不要去点击,不要轻易打开陌生人寄来的邮件，特别是带有附件的那种；当然，好朋友寄来的邮件，也有许多是携带了恶意代码的,最根本的办法是经常升级你的杀毒软件，经常注意给系统打补丁,1/28/2026,111,2.10,恶意代码的发展趋势,1/28/2026,112,日新月异的隐蔽手段,代码隐藏,进程隐藏,通信隐藏,可加载内核根工具,1/28/2026,113,日益尖锐的对抗手段,反反,病毒：先下手攻击杀毒软件（求职信病毒的一些变种就是这样）,1/28/2026,114,向,嵌入式领域渗透,移动、即时、无线通信首当其冲,在日本，发生了病毒致使数百万,imode,手机竞相拨打,110,报警台的事件,嵌入式平台市场多样化，尚未形成,PC,的一家独大，黑客群体对这类系统的认识也尚待深入,一旦在运营的通信网中出现大面积病毒感染，后果不堪设想,1/28/2026,115,恶意代码与信息战,兵家云：山川草木，皆可以为兵,恶意代码所利用的技术，也可以被网络信息战所利用,利用病毒这样的自我复制机制，一个人编写的程序，经过适当的组织，就可以成千倍、成万倍地放大战斗力、杀伤力、破坏力，比半生不熟的所谓“八万黑客”厉害不知道多少倍,要满足实战要求，还要更加隐蔽，更加面向任务，更加智能化,1/28/2026,116,Thanks!,