第12章 计算机病毒防范技术 本章学习目标： 掌握病毒的分类与特征 掌握病毒检测与防范的基本知识 了解计算机病毒防范技术的发展趋势 第12章 计算机病毒防范技术 本章学习目标： 掌握病毒的分类与特征 掌握病毒检测与防范的基本知识 了解计算机病毒防范技术的发展趋势 掌握防病毒软件的安装与使用

12.1 计算机病毒概述 12.1.1 计算机病毒的演变 早期的计算机病毒大部分是试验性的，并且是相对简单的自行复制的文件，它们仅在执行时显示简单的恶作剧而已。 人们普遍认为，1986年出现的Brain病毒是第一种真正的计算机病毒。 1986 年出现的其他首批病毒还包括 Virdem（第一个文件病毒）和 PC-Write（第一个特洛伊木马病毒，此程序看上去有用或无害，但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。）在 PC-Write 中，特洛伊木马程序伪装成一个同名的流行共享软件：字处理器应用程序。

12.1 计算机病毒概述 12.1.1 计算机病毒的演变(续) 随着更多的人开始研究病毒技术，病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区，然后又开始感染可执行文件。 1988 年出现了第一个 Internet 蠕虫病毒（一种使用自行传播恶意代码的恶意软件，它可以通过网络连接，自动将其自身从一台计算机分发到另一台计算机）。 1990年，开发出了第一个多态病毒。多态病毒是一种恶意软件，它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力，这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。

12.1 计算机病毒概述 12.1.1 计算机病毒的演变(续) 随着更多的人开始研究病毒技术，病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区，然后又开始感染可执行文件。 1988 年出现了第一个 Internet 蠕虫病毒（一种使用自行传播恶意代码的恶意软件，它可以通过网络连接，自动将其自身从一台计算机分发到另一台计算机）。 1990年，开发出了第一个多态病毒。多态病毒是一种恶意软件，它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力，这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。

12.1 计算机病毒概述 12.1.1 计算机病毒的演变(续) 自那时起，病毒就变得越来越复杂：病毒开始访问电子邮件通讯簿，并将其自身发送到联系人；宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。 电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。 在已感染系统上创建的后门（由恶意软件引入的秘密或隐藏的网络入口点）使得病毒编写者（或黑客）可以返回和运行他们所选择的任何软件。 病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程，来开发具有可信外观的电子邮件。 恶意软件演变的同时，防病毒软件也处在不断的发展之中。

12.1 计算机病毒概述 12.1.2 计算机病毒的定义和特征 计算机病毒的概念：是一个能够通过修改程序，把自身复制进去，进而去传染其他程序的程序。 我国在《中华人民共和国计算机信息系统安全保护条例》中明确定义，计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 一般地，计算机病毒都具有以下特性： 1．可执行性 2．传染性 3．潜伏性 4．可触发性 5．针对性 6．隐蔽性

12.1 计算机病毒概述 12.1.3 计算机病毒的分类 按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。 12.1 计算机病毒概述 12.1.3 计算机病毒的分类 按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。 1．按照计算机病毒攻击的系统分类 1）攻击DOS系统的病毒；2）攻击Windows系统的病毒；3）攻击UNIX系统的病毒；4）攻击OS/2系统的病毒。 2．按照病毒的攻击机型分类 1）攻击微型计算机的病毒；2）攻击小型机的计算机病毒；3）攻击工作站的计算机病毒。 3．按照计算机病毒的链结方式分类 1）源码型病毒 2）嵌入型病毒 3）外壳型病毒 4）操作系统型病毒

12.1 计算机病毒概述 12.1.3 计算机病毒的分类(续) 4．按照计算机病毒的破坏情况分类 1）良性计算机病毒 2）恶性计算机病毒 。 12.1 计算机病毒概述 12.1.3 计算机病毒的分类(续) 4．按照计算机病毒的破坏情况分类 1）良性计算机病毒 2）恶性计算机病毒 。 5．按照计算机病毒的寄生部位或传染对象分类 1）磁盘引导区传染的计算机病毒 2）操作系统传染的计算机病毒 3）可执行程序传染的计算机病毒 。 6．按照计算机病毒激活的时间分类 分为定时的和随机的。 7．按照传播媒介分类 1）单机病毒 2）网络病毒 8．按照寄生方式和传染途径分类 寄生方式大致可分为两类：一是引导型病毒；二是文件型病毒。 传染途径又可分为驻留内存型和不驻留内存型。

12.2 计算机病毒的工作流程 12.1.3 计算机病毒的分类(续) 12.2 计算机病毒的工作流程 12.1.3 计算机病毒的分类(续) 计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。计算机病毒的完整工作过程应包括以下几个环节和过程： 1）传染源。病毒总是依附于某些存储介质,如软盘、 硬盘等构成传染源。 2）传染媒介。病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质,如软盘等。 3）病毒激活。是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用——自我复制到传染对象中, 进行各种破坏活动等。 4）病毒触发。计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟 ,系统的日期, 用户标识符，也可能是系统一次通信等。 5）病毒表现。表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。 6）传染。病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。

12.3 计算机病毒的检测和防范 12.3.1 工作原理 目前，计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。 1．签名扫描 12.3 计算机病毒的检测和防范 12.3.1 工作原理 目前，计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。 1．签名扫描 通过搜索目标（宿主计算机、磁盘驱动器或文件）来查找表示恶意软件的模式。 2．启发式扫描 通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。

12.3 计算机病毒的检测和防范 12.3.2 检测和防范 用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此，防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。 对恶意代码的查找和分类的根据是：对恶意代码的理解和对恶意代码“签名”的定位来识别恶意代码。然后将这个签名加入到识别恶意代码的签名列表中，这就是防病毒软件的工作原理。防病毒软件成功的关键是它是否能够定位“签名”。 恶意代码基本上可以分为两类：脚本代码和自执行代码。实现对脚本蠕虫的防护很简单，例如，VBScript蠕虫的传播是有规律的，因此常常可以通过运行一个应用程序的脚本来控制这块代码或者让这个代码失效。

12.3 计算机病毒的检测和防范 12.3.2 检测和防范 最容易受到恶意软件攻击的区域： 1）外部网络 2）来宾客户端 3）可执行文件 12.3 计算机病毒的检测和防范 12.3.2 检测和防范 最容易受到恶意软件攻击的区域： 1）外部网络 2）来宾客户端 3）可执行文件 4）文档 5）电子邮件 6）可移动媒体 恶意软件防护方法：在针对恶意软件尝试组织有效的防护之前，需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft 强烈建议您在开始设计防病毒解决方案之前，进行完整的安全风险评估。

12.3 计算机病毒的检测和防范 12.3.2 检测和防范(续) 深层防护安全模型：在发现并记录了组织所面临的风险后，下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。 1）数据层。数据层上的风险源自这样的漏洞：攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。 2）应用程序层。应用程序层上的风险源自这样的漏洞：攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。

12.3 计算机病毒的检测和防范 12.3.2 检测和防范(续) 3）主机层。提供 Service Pack 和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。 4）内部网络层。组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。 5）外围网络层。与外围网络层（也称为 DMZ、网络隔离区域或屏幕子网）关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议 (UDP) 端口。

12.3 计算机病毒的检测和防范 12.3.2 检测和防范(续) 6）物理安全层。物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层。攻击者可能只是通过某个物理可移动媒体（如 USB 磁盘设备）将感染文件直接复制到主机。 7）策略、过程和意识层。围绕安全模型所有层的是，您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中对所有相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。由于此原因，培训也应该是任何安全模型的不可缺少的部分。

12.3 计算机病毒的检测和防范 12.3.2 检测和防范(续) 安全层用作深层病毒防护方法的基础

12.4 发展趋势及对策 从目前病毒的演化趋势来看，网络防病毒产品的发展趋势主要体现在以下几个方面： 1）反黑与反病毒相结合 12.4 发展趋势及对策 从目前病毒的演化趋势来看，网络防病毒产品的发展趋势主要体现在以下几个方面： 1）反黑与反病毒相结合 2）从入口拦截病毒 3）全面解决方案 4）客户化定制 5）区域化到国际化 目前我们所能够采取的最好的防病毒方法仍然是保证防病毒软件的及时更新，但是能够从操作系统和微处理器设计的角度出发来提高计算机防病毒的能力才是防范病毒正确的途径。

12.5 瑞星杀毒软件网络版 12.5.1 系统结构 瑞星杀毒软件网络版采用分布式的体系结构。整个防病毒体系是由四个相互关联的子系统组成：系统中心、服务器端、客户端、“移动式”管理员控制台。各个子系统协同工作，共同完成对整个网络的病毒防护工作，为企业级用户的网络系统提供全方位防病毒解决方案。

12.5 瑞星杀毒软件网络版 12.5.1 系统结构(续) 系统中心是整个瑞星杀毒软件网络版网络防病毒体系的信息管理和病毒防护的自动控制核心，它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息，同时根据管理员控制台的设置，实现对整个防护系统的自动控制。 服务器端/客户端是分别针对网络服务器/网络工作站（客户机）设计的，承担着对当前服务器/工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务。 瑞星管理员控制台是为网络管理员专门设计的，是整个瑞星杀毒软件网络版网络防病毒系统设置、管理和控制的操作平台。可以安装到任何一台安装了瑞星杀毒软件网络版的计算机上，实现移动式管理。

12.5 瑞星杀毒软件网络版 12.5.2 安全管理 瑞星杀毒软件网络版采用分布式体系，结构清晰明了，管理维护方便。管理员只要拥有管理员账号和口令，就能在网络上任何一台安装了瑞星管理员控制台的计算机上，实现对整个网络上所有计算机的集中管理。 在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设置、查毒、杀毒、通知升级、启动/关闭实时监控等。 管理员可通过瑞星管理员控制台直接管理各种平台的服务器端/客户端：Windows NT/2000服务器、Windows NT/2000工作站、Windows 95/98/Me/XP客户端、Novell Netware客户端、UNIX/Linux客户端。

12.5 瑞星杀毒软件网络版 12.5.2 安全管理(续) 安全管理具有以下基本的功能： 1）全网查杀毒。 2）全网设置。 12.5 瑞星杀毒软件网络版 12.5.2 安全管理(续) 安全管理具有以下基本的功能： 1）全网查杀毒。 2）全网设置。 3）直接监视和操纵服务器端/客户端。 4）远程报警。 5）移动式管理。 6）集中式授权管理。 7）全面监控主流邮件服务器。 8）全面监控邮件客户端。 9）统一的管理界面。 10）支持大型网络统一管理的多级中心系统。

12.5 瑞星杀毒软件网络版 12.5.3 技术特点 1．未知病毒和未知宏病毒查杀技术 2．内存监控 3．Windows共享文件杀毒 12.5 瑞星杀毒软件网络版 12.5.3 技术特点 1．未知病毒和未知宏病毒查杀技术 2．内存监控 3．Windows共享文件杀毒 4．硬盘备份和恢复工具 5．实现在DOS环境下查杀NTFS分区 6．SMTP与POP3邮件监控 7．支持查杀多种压缩格式文件 8．系统漏洞扫描

12.5 瑞星杀毒软件网络版 12.5.4 系统安装和使用 运行安装文件ravsetup.exe，根据提示操作。 12.5 瑞星杀毒软件网络版 12.5.4 系统安装和使用 运行安装文件ravsetup.exe，根据提示操作。 升级包为update.exe。 通过管理员控制台实现全网自动安装! 下载地址： 安装包 http://download.rising.com.cn/01to02/middles/ravsetup.exe 升级包 http://download.rising.com.cn/register/netver/ver2004/firstupgrade/update.exe

本章小结 本章主要介绍了计算机病毒防范技术的工作原理、常用技术及发展趋势，学习重点应在掌握计算机病毒防范技术基本知识的基础上，理解“深层安全防护模型”及其各层的作用。对于计算机病毒防范技术的发展趋势应有一定的认识，那就是现有的“签名”机制不是正确的发展方向，从微处理器的角度考虑才能根除计算机病毒的危害。

作业与实验 作业： P255 1、4 实验： 安装瑞星网络版软件，实现全网防毒