計算機病毒原理與防範技術（簡體書）

《普通高等教育信息安全類國家級特色專業系列規劃教材：計算機病毒原理與防範技術》主要內容包括計算機病毒概述、計算機病毒的工作機制、計算機病毒的表現、新型計算機病毒的發展趨勢、計算機病毒檢測技術、典型病毒的防範技術、網絡安全、即時通信病毒和移動通信病毒分析、操作系統漏洞攻擊和網絡釣魚概述、常用反病毒軟件等。本書內容豐富，具有先進性和實用性，既是一本計算機病毒與技術的專著，也是一本計算機病毒與防範技術的教材。本書可作為信息安全、計算機，以及各類信息技術、管理學等專業的大學本科生和碩士研究生的教材或參考書，也可作為從事計算機病毒研究和應用工程開發的科技、管理、工程人員的參考書。·

秦志光編著的《計算機病毒原理及防范技術(普通高等教育信息安全類國家級特色專業系列規劃教材)》既是一本計算機病毒與技術的專著，也是一本計算機病毒與防范技術的教材。本書可作為信息安全、計算機，以及各類信息技術、管理學等專業的大學本科生和碩士研究生的教材或參考書，也可作為從事計算機病毒研究和應用工程開發的科技、管理、工程人員的參考書。

叢書序
前言
第1章　計算機病毒概述
1．1　計算機病毒的產生與發展
1．1．1　計算機病毒的起源
l．1．2　計算機病毒的發展背景
1．1．3　計算機病毒的發展歷史
1．2　計算機病毒的基本概念
1．2．1　計算機病毒的一般特徵
1．2．2　計算機病毒在網絡環境下表現的特徵
1．2．3　計算機病毒的生命週期
1．2．4　計算機病毒的傳播途徑
1．2．5　計算機感染上病毒的一般症狀
1．3　計算機病毒的分類
1．3．1　按照病毒的破壞情況分類
1．3．2　按照病毒攻擊的系統分類
l．3．3　按照病毒的寄生部位或傳染對象分類
l．3．4　按照病毒攻擊的對象分類
1．3．5　按照病毒的連接方式分類
1．3．6　按照病毒的寄生方式分類
1．3．7　按照病毒特有的算法分類
1．3．8　按照病毒存在的媒體分類
1．3．9　按照病毒的“作案”方式分類
1．3．10　Linux平臺下的病毒分類
1．3．11　網絡病毒
習題

第2章　計算機病毒的工作機制
2．1　計算機病毒的工作過程
2．1．1　計算機病毒的引導模塊
2．1．2　計算機病毒的感染模塊
2．1．3　計算機病毒的表現模塊
2．2　計算機病毒的引導機制
2．2．1　計算機病毒的寄生對象
2．2．2　計算機病毒的寄生方式
2．2．3　計算機病毒的引導過程
2．3　計算機病毒的傳染機制

第3章　計算機病毒的表現
第4章　新型計算機病毒的發展趨勢
第5章　計算機病毒檢測技術
第6章　典型病毒的防範技術
第7章　網絡安全
第8章　即時通信病毒和移動通信病毒分析
第9章　操作系統漏洞攻擊和網絡釣魚概述
第10章　常用反病毒軟件
參考文獻·

第1章 計算機病毒概述
計算機病毒與醫學上的“病毒”相比不完全相同，計算機病毒不是天然存在的，而是某些人利用計算機軟、硬件所固有的弱點所編制的、具有特殊功能的程序。計算機病毒是一個程序，或一段可執行代碼，它像生物病毒一樣具有獨特的復制能力，能夠很快蔓延，有很強的感染性、一定的潛伏性、特定的觸發性和極大的破壞性，又常常難以被根除。隨著計算機網絡的發展，計算機病毒與計算機網絡技術結合，其蔓延的速度更加迅速。
計算機病毒是一個靠修改其他程序，并把自身復制品傳染給其他程序的程序。計算機病毒是一種人為的計算機程序，這種程序隱藏在計算機系統的可存取信息資源中，利用計算機系統信息資源進行生存、繁殖，影響和破壞計算機系統的運行。在《中華人民共和國計算機信息系統安全保護條例》中對計算機病毒有明確的定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼” 。
計算機的信息需要存取、復制和傳送，計算機病毒作為信息的一種形式可以隨之繁殖、感染和破壞，并且，當計算機病毒取得控制權之后，它會主動尋找感染目標、廣泛傳播。隨著計算機技術發展得越來越快，計算機病毒技術與計算機反病毒技術的對抗也越來越激烈。從1983年計算機病毒被首次確認以來，直到1987年才開始在世界范圍受到普遍的重視，至今全世界已經發現萬余種病毒，并且還在快速增加。現在每天都要出現幾十種新的計算機病毒，其中很多計算機病毒的破壞性非常大，稍有不慎，就會給計算機用戶造成嚴重的后果。計算機操作系統的弱點往往被計算機病毒利用，所以一方面要提高系統的安全性以預防計算機病毒；另一方面，信息保密的要求又讓人在泄密和截獲計算機病毒之間無法選擇。這樣，計算機病毒與反計算機病毒勢必成為一個長期的技術對抗過程。計算機病毒主要由反計算機病毒軟件來對付，而且反計算機病毒技術將成為一項長期的科研任務。
1.1 計算機病毒的產生與發展
1.1.1 計算機病毒的起源
計算機病毒的來源多種多樣，一般來自玩笑與惡作劇、報復心理、版權保護等方面，有的是計算機工作人員或業余愛好者純粹為了尋求開心而制造出來的，有的則是軟件公司為保護自己的產品不被非法復制而制造的報復性懲罰。還有一種情況就是蓄意破壞，它分為個人行為和政府行為兩種：個人行為多為雇員對雇主的報復行為，而政府行為則是有組織的戰略戰術手段。對病毒的起源有幾種說法。
第一種為科學幻想起源說。1977年，美國科普作家托馬斯?丁?雷恩推出轟動一時的《P-1的青春》一書，作者構思了一種能夠自我復制、利用信息通道傳播的計算機程序，并稱之為計算機病毒。這是世界上第一個幻想出來的計算機病毒。
第二種為惡作劇起源說。惡作劇者是為了顯示一下自己在計算機技術方面的天賦，或是要報復一下他人或單位而編寫的計算機病毒，只是和對方開個玩笑。而出發點有些惡意成分的人所編寫的病毒的破壞性很大，世界上流行的許多計算機病毒都是惡作劇者的產物。
第三種是游戲程序起源說。20世紀70年代，美國貝爾實驗室的計算機程序員為了娛樂，在自己實驗室的計算機上編制吃掉對方程序的程序，看誰能先把對方的程序吃光。有人猜測這是世界上第一個計算機病毒。
第四種是軟件商保護軟件起源說。軟件制造商為了處罰那些非法復制者，在軟件產品之中加入計算機病毒程序并由一定條件觸發并傳染。比如Pakistani Brain 計算機病毒，該病毒是巴基斯坦的兩兄弟為了追蹤非法復制其軟件的用戶而編制的，它只是修改磁盤卷標，把卷標改為Brain 以便識別。
歸納起來，計算機系統及Internet 的脆弱性是產生計算機病毒的根本技術原因之一，人性心態與人的價值和法制的定位是產生計算機病毒的社會基礎，基于政治、軍事等方面的特殊目的是計算機病毒應用產生質變的催化劑。現在流行的病毒是人為故意編寫的，從大量的統計分析來看，病毒作者主要情況和目的是一些天才的程序員為了表現自己和證明自己的能力，出于對上司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了怕軟件拿不到報酬而預留的陷阱等。當然也有因政治、軍事、宗教、民族、專利等方面的需要而專門編寫的病毒軟件，其中也包括一些病毒研究機構和黑客的測試病毒軟件。
1.1.2 計算機病毒的發展背景
1.計算機病毒的祖先：Core War（磁芯大戰）
早在1949年，距離第一部商用計算機的出現還有好幾年時，計算機的先驅者馮?諾依曼就在他的一篇論文《復雜自動機組織論》中，提出了計算機程序能夠在內存中自我復制的觀點，即已把計算機病毒程序的雛形勾勒出來了。但在當時，絕大部分的計算機專家都無法想象這種會自我繁殖的程序是可能實現的，只有少數幾個科學家默默地研究馮?諾依曼所提出的概念。直到10 年之后，在美國電話電報公司（ AT & T）的貝爾實驗室中，3 個年輕程序員在工作之余想出一種電子游戲叫做Core War（磁芯大戰），他們是道格拉斯?麥耀萊（ H. DouglasMcIlroy） 、維特?維索斯基（Victor Vysottsky）及羅伯?莫里斯（Robert T.Morris），當時3人的年紀都只有二十多歲。Core War 的玩法如下：雙方各編寫一套程序，輸入同一部計算機中。
這兩套程序在計算機內存中運行，它們相互追殺。有時它們會放下一些關卡，有時會停下來修復被對方破壞的指令。當它們被困時，可以自己復制自己，逃離險境。因為它們都在計算機的內存（以前均用Core 作為內存）中游走，因此叫Core War。這個游戲的特點在于雙方的程序進入計算機之后，玩游戲的人只能看著屏幕上顯示的戰況，而不能做任何更改，一直到某一方的程序被另一方的程序完全“吃掉”為止。
2.計算機病毒的出現
在單機操作時代，每個計算機是互相獨立的，如果有某部計算機因受到計算機病毒的感染而失去控制，那么只需把它關掉即可。但是當計算機網絡逐漸成為社會結構的一部分之后，一個會自我復制的計算機病毒程序很可能帶來無窮的禍害。因此，長久以來，懂得玩“磁芯大戰” 游戲的計算機工作者都嚴守一條不成文的規則：不對大眾公開這些程序的內容。
這項規則在1983 年被打破了。科恩? 湯普遜（Ken Thompson）是當年的一個杰出計算機得獎人。在頒獎典禮上，他做了一個演講，不但公開地證實了計算機病毒的存在，而且還告訴所有聽眾怎樣去寫自己的計算機病毒程序。1984 年，《科學美國人》Scienti f ic A merican 月刊的專欄作家杜特尼（A. K.Dewdney）在5 月寫了第一篇討論Core War 的文章，并且只要寄上兩美金，任何讀者都可以收到他所寫的有關編寫這種程序的要領，并可以在自己家中的計算機上開辟戰場。在1985年3月的《科學美國人》里，杜特尼再次討論Core War 和計算機病毒，在該文章中第一次提到“計算機病毒”這個名稱。從此，計算機病毒就伴隨著計算機的發展而發展起來了。
1.1.3 計算機病毒的發展歷史
20 世紀60 年代初，美國電話電報公司（ AT & T）的貝爾實驗室Core War 游戲問世。20世紀70年代早期的大型計算機時代，一些程序員制作了被稱為“兔子”的程序，它們在系統中分裂出替身，占用系統資源，影響正常的工作。在一種大型計算機――Univax 1108 系統中，首次出現了一個和現代計算機病毒本質上一樣的叫做“流浪的野獸”（Pervading Animal）的程序，該程序可以將自己附著到其他程序的后面。20世紀80年代，獨立程序員寫了很多游戲或者其他的小程序，并通過電子公告板（BBS）自由地流傳，竊取相關賬號和密碼，由此就誕生了無數的“特洛伊木馬病毒”（ Trojan Horses） 。1982 年，在蘋果機上誕生了最早的引導區計算機病毒――“埃爾科克隆者”（Elk Cloner）。
到1986年，隨著計算機病毒數量的不斷增大，計算機病毒的制作技術也逐步提高。計算機病毒是所有軟件中最先利用操作系統底層功能，以及最先采用復雜的加密和反跟蹤技術的軟件之一，計算機病毒技術發展的歷史就是軟件技術發展的歷史。一種新的病毒技術出現后，計算機病毒會迅速發展；接著，反計算機病毒技術的發展又會抑制其流傳。操作系統進行升級時，計算機病毒也會調整為新的方式，產生新的計算機病毒技術。
計算機病毒的發展歷程可以分為以下4個階段。
第一代病毒（1986～1989 年），這期間出現的病毒稱之為傳統的病毒，為萌芽與滋生時期。
第二代病毒（1989～1991 年）為混合型病毒，是病毒由簡單到復雜、由單純到成熟的階段。
第三代病毒（1992～1995 年）為多態性病毒、自我變形病毒，為病毒成熟發展階段。
第四代病毒（1996～今），隨著Internet 的普及，病毒的流行迅速突破地域的限制而傳播。
1.第一代病毒――病毒的萌芽時期
第一代病毒產生于1986～1989 年，稱為傳統的病毒，是計算機病毒的萌芽和滋生時期。
由于那時計算機的應用軟件少，且大多是單機運行環境，病毒的種類有限，病毒的清除工作相對來說較容易。這一階段的計算機病毒具有如下的一些特點。
（1）病毒攻擊的目標比較單一，傳染磁盤引導扇區，或傳染可執行文件。
（2）病毒程序主要采取截獲系統中斷向量的方式監視系統的運行狀態，并在一定的條件下對目標進行傳染。
（3）病毒傳染目標以后的特征比較明顯，如磁盤上出現壞扇區、可執行文件的長度增加、文件建立日期時間發生變化等。
（4）病毒程序不具有自我保護的措施。
隨著計算機反病毒技術的提高和反病毒產品的不斷涌現，病毒編制者也在不斷地總結自己的編程技巧和經驗，千方百計地逃避反病毒產品的分析、檢測和解毒，從而出現了第二代計算機病毒。
2.第二代病毒――混合型病毒
第二代病毒稱為混合型病毒（或“超級病毒”），年限為1989～1991年，它是計算機病毒由簡單發展到復雜、由單純走向成熟的階段。當時計算機局域網開始應用與普及，應用軟件開始轉向網絡環境，網絡系統尚未有安全防護的意識，缺乏在網絡環境下防御病毒的思想準備與方法對策，使計算機病毒形成了第一次流行高峰。這一階段的計算機病毒具有如下特點。
（1）病毒攻擊的目標趨于混合型，可以感染多個/種目標。
（2）病毒程序采取隱蔽的方法駐留內存和傳染目標。
（3）病毒傳染目標后沒有明顯的特征。
（4）病毒程序采取了自我保護措施，如加密技術、反跟蹤技術，制造障礙，增加人們剖析和檢測病毒、解毒的難度。
（5）出現許多病毒的變種，這些變種病毒較原病毒的傳染性更隱蔽，破壞性更大。
這一時期出現的病毒不僅在數量上急劇增加，更重要的是病毒從編制的方式、方法，駐留內存以及對宿主程序的傳染方式、方法等方面都有了較大的變化。
3.第三代病毒――多態性病毒
第三代病毒的產生年限為1992～1995年，此類病毒稱為“多態性”病毒或“自我變形”病毒。所謂“多態性”或“自我變形”，是指此類病毒在每次傳染目標時，放入宿主程序中的病毒程序大部分都是可變的，即同一種病毒的多個樣本中，病毒程序的代碼絕大多數是不同的。
此類病毒的首創者是Mark Washburn，他是一位反病毒的技術專家，他編寫的“1260病毒”就是一種多態性病毒，該病毒有極強的傳染力，被傳染的文件被加密，每次傳染時都更換加密密鑰，而且病毒程序都進行了相當大的改動。他編寫此類病毒的目的是為了研究，以證明特征代碼檢測法不是在任何場合下都是有效的。不幸的是，為研究病毒而發明的此種病毒超出了反病毒的技術范圍，流入了病毒技術中。
1992年上半年，在保加利亞發現了“黑夜復仇者”（Dark Avenger）病毒的變種MutationD-ark Avenger，這是世界上最早發現的多態性的實戰病毒，它可用獨特的加密算法產生幾乎無限數量的不同形態的同一病毒。據悉，該病毒作者還散布一種名為“多態性生成器”的軟件工具，利用此工具將普通病毒進行編譯即可使之變為多態性病毒。
1992年早期，第一個多態性計算機病毒生成器MtE被開發出來，計算機病毒愛好者利用這個生成器生成了很多新的多態計算機病毒。同時，第一個計算機病毒構造工具集（VirusConstruction Sets） ――“計算機病毒創建庫”（Virus Create Library）開發成功，這類工具的典型代表是“計算機病毒制造機”（VCL），它可以在瞬間制造出成千上萬種不同的計算機病毒，查解時不能使用傳統的特征識別法，需要在宏觀上分析指令，解碼后才能查解計算機病毒。變體機就是增加解碼復雜程度的指令生成機制。這段時期出現了很多非常復雜的計算機病毒，如“死亡墜落”（ Night Fall）、“胡桃鉗子”（Nutcracker）等，還有一些很有趣的計算機病毒，如“兩性體”（Bisexual） 、RNMS 等。
國內在1994 年年底已經發現了多態性病毒――“幽靈”病毒，迫使許多反病毒技術部門開發了相應的檢測和消毒產品。
由此可見，第三階段是病毒的成熟發展階段。在這一階段中主要是病毒技術的發展，病毒開始向多維化方向發展，計算機病毒與病毒自身運行的時間、空間和宿主程序緊密相關，這無疑給計算機病毒檢測和消除帶來困難。
4.第四代病毒――Windows和Internet環境
20世紀90年代中后期，隨著遠程網、遠程訪問服務的開通，病毒的流行迅速突破地域的限制，通過廣域網傳播至局域網內，再在局域網內傳播擴散。
隨著Windows系統的日益普及，利用Windows系統進行傳播的計算機病毒開始發展，它們修改NE、PE文件，典型的代表是DS.3873，這類計算機病毒的機制更為復雜，它們利用保護模式和API 調用接口工作。在Windows 環境下的計算機病毒有“博扎”（Win95.Boza）、“觸角”（Tentacle）、AEP 等。隨著微軟新的操作系統Windows 95、Windows NT和微軟辦公軟件Office的流行，計算機病毒制造者不得不面對一個新的環境，他們在這一年中開始使用一些新的感染和隱藏方法，制造出在新的環境下可以自我復制和傳播的計算機病毒，在計算機病毒中增加多態、反跟蹤等技術手段。隨著Windows Word功能的增強，使用Word宏語言也可以編制計算機病毒，感染Word文件。針對微軟字處理軟件版本6 和版本7 的宏病毒“分享歡樂”（Share Fun）隨后也出現了，這種計算機病毒的特殊之處在于除了通過字處理文檔傳播之外，還可以通過微軟的郵件程序發送病毒自身。
1996年下半年，隨著國內Internet的大量普及和E-mail的使用，夾雜于E-mail內的Word宏病毒已成為當時病毒的主流。由于宏病毒編寫簡單、破壞性強、清除繁雜，加上微軟對DOC文檔結構沒有公開，給直接基于文檔結構清除宏病毒帶來了諸多不便。從某種意義上來講，宏病毒對文檔的破壞已經不僅僅屬于普通病毒的概念，如果放任宏病毒泛濫，不采取強有力的徹底解決方法，宏病毒對中國的信息產業將會產生不測的后果。
這一時期的病毒的最大特點是利用Internet作為其主要傳播途徑，因而病毒傳播快、隱蔽性強、破壞性大。新型病毒的出現向以行為規則判定病毒的預防產品、以病毒特征為基礎的檢測產品以及根據計算機病毒傳染宿主程序的方法而消除病毒的反病毒產品提出了挑戰，迫使人們在反病毒的技術和產品上進行更新和換代。
隨著Internet的發展，各種計算機病毒也開始利用Internet進行傳播，一些攜帶計算機病毒的數據包和郵件越來越多，出現了使用文件傳輸協議（FTP）進行傳播的蠕蟲病毒――“本壘打”（ Homer） 、“mIRC 蠕蟲” 、破壞計算機硬件的CIH 、遠程控制工具“后門” （Back Orifice）、“網絡公共汽車”（NetBus）、“階段”（Phase）等軟件。
隨著Internet上Java的普及，開始出現利用Java語言進行傳播和資料獲取的計算機病毒，典型的代表是JavaSnake計算機病毒，還有利用郵件服務器進行傳播和破壞的計算機病毒Mail-Bomb 。第一個感染Java 可執行文件的計算機病毒是“陌生的釀造”（Strange Brew）；名為“兔子”（Rabbit）的計算機病毒則充分利用了Visual Basic腳本語言專門為Internet所設計的一些特性進行傳播；“梅麗莎”（Melissa）病毒利用郵件系統大量復制、傳播，造成網絡阻塞，甚至癱瘓，還會造成泄密。隨著微軟Windows操作系統逐步．COM化和腳本化，腳本計算機病毒成為這一時期的主流。腳本計算機病毒和傳統的計算機病毒、木馬程序相結合，給計算機病毒技術帶來了一個新的發展高峰，如“愛蟲”就是一種腳本計算機病毒，它通過微軟的電子郵件系統進行傳播。
到目前為止，反病毒技術已經成為了計算機安全的一種新興的計算機產業或稱反病毒工業。
人類歷史進入21世紀以來，互聯網滲入每一戶人家，網絡成為人們日常生活和工作的不可缺少的一部分。一個曾經未被人們重視的病毒種類遇到適合的滋生環境而迅速蔓延，這就是蠕蟲病毒。蠕蟲病毒是一種利用網絡服務漏洞而主動攻擊的計算機病毒類型。與傳統病毒不同，蠕蟲不依附在其他文件或媒介上，而是獨立存在的病毒程序，利用系統的漏洞通過網絡主動傳播，可在瞬間傳遍全世界。蠕蟲已成為目前病毒的主流。這些病毒利用操作系統的漏洞進行進攻型的擴散，不需要任何媒介和操作，用戶只要接入互聯網絡，就有可能被感染，其危害性極大。
綜上所述，計算機病毒的發展可以概括如下：世界上第一個計算機病毒于1983年11月在美國實驗室誕生，巴基斯坦兩兄弟在1986年為追蹤非法復制自己軟件的人，制造了世界上第一個傳染個人計算機兼容機的“巴基斯坦”病毒。計算機病毒1988年傳入我國。直至20世紀90年代中期，最流行的病毒仍是引導型病毒和文件型病毒。這類病毒主要感染磁盤引導扇區和可執行文件，采取截獲系統中斷向量的方式監視系統的運行狀態，并在一定的條件下對目標進行傳染；目標被感染后，出現磁盤壞扇區，可執行文件的長度、建立日期、時間發生變化等，可通過人工或殺毒軟件發現并清除。隨著匯編語言的發展，多態性病毒開始大行其道。多態性病毒通常采取加密、反跟蹤等自我保護技術，放入宿主程序中的大部分病毒代碼都是可變的，每種病毒可以演變出6萬～4000億個形態，像幽靈一樣無處不在。由于這一特點，使利用特征碼法檢測病毒的傳統反病毒產品無法檢測出此類病毒。1996年之后，感染Windows可執行程序并在Windows環境下運行的病毒開始傳播，感染Windows 3.X NE 格式和Windows95/98 PE格式文件，利用保護模式和API接口進行破壞活動。隨著互聯網的普及和遠程訪問服務的開通，使得病毒的流行迅速突破地域限制。這些病毒能夠通過網絡自我復制，大量消耗系統資源。在自我復制過程中，它們利用網絡機制、協議和軟件的漏洞，主動進行網絡探測，對目標系統發起攻擊，將自身代碼植入系統中，并啟動代碼，從而完成病毒的傳播。
1.2 計算機病毒的基本概念
1.2.1 計算機病毒的一般特征
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。
1.程序性
計算機病毒具有正常程序的一切特性：可存儲性、可執行性。計算機本身絕對不會生成計算機病毒，而程序是由人來編寫的，是人為的結果，這就決定了計算機病毒表現形式和破壞行為的多樣性和復雜性。程序性是計算機病毒的基本特征，也是最基本的表現形式。
2.傳染性
計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況 ……