第7章病毒幻灯片.ppt

第七章 恶意代码与计算机病毒 7.1 恶意代码 7.2 计算机病毒 7.3 防治措施 7.4 本章小结 7.1 恶意代码 7.1.1 恶意代码的概念 代码是指计算机程序代码，可以被执行完成特定功能。任何事物都有正反两面，人类发明的所有工具既可造福也可作孽，这完全取决于使用工具的人。计算机程序也不例外，在善良的软件工程师们编写了大量的有用软件（操作系统、应用系统、数据库系统等）的同时，黑客们却在编写着扰乱社会和他人，甚至起着破坏作用的计算机程序，这就是恶意代码。 7.1.2 恶意代码的分类 恶意代码可以按照两种分类标准，从两个角度进行直交分类。一种分类标准是，恶意代码是否需要宿主，即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性，不能脱离宿主而独立运行；不需宿主的恶意代码具有独立性，可不依赖宿主而独立运行。另一种分类标准是，恶意代码是否能够自我复制。不能自我复制的恶意代码是不感染的；能够自我复制的恶意代码是可感染的。 由此，可以得出以下4大类恶意代码（见表7-1）： 不感染的依附性恶意代码； 不感染的独立性恶意代码； 可感染的依附性恶意代码； 可感染的独立性恶意代码。 分类标准需要宿主无需宿主不能自我复制不感染的依附性恶意代码不感染的独立性恶意代码能够自我复制可感染的依附性恶意代码可感染的独立性恶意代码目前发现并命名的主要恶意代码按上述分类方法的分类结果如表7-2所示。 表7-1 恶意代码的分类方法 表7-2 恶意代码的分类实例 1.不感染的依附性恶意代码 1 特洛伊木马 关于特洛伊木马（Trojan Horse）有一个典故。大约在公元前12世纪，因为特洛伊王子劫持了斯巴达国王梅尼拉斯的妻子海伦，希腊向特洛伊城宣战。战争持续了10年，特洛伊城非常坚固，希腊军队无法攻入。后来，希腊军队撤退，在特洛伊城外留下了很多巨大的木马。特洛伊城的军民以为这是希腊军队留给他们的礼物，就将这些木马运进城内。没想到木马中隐藏有希腊最好的战士，到了夜晚，这些希腊士兵在奥迪塞斯的带领下打开特洛伊城的城门，于是希腊军队夺下了特洛伊城。据说“小心希腊人的礼物”这一谚语也是出于这个典故。 在计算机领域，特洛伊木马是一段吸引人而不为人警惕的程序，但它们可以执行某些秘密任务。大多数安全专家统一认可的定义是：“特洛伊木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能，这些额外的功能往往是有害的。” 这个定义中有3点需要进一步解释： 第一，“有用的或必需的功能的程序”只是诱饵，就像典故里的特洛伊木马，表面看上去很美但实际上暗藏危机。 第二，“为人不知的功能”定义了其欺骗性，是危机所在之处，为几乎所有的特洛伊木马所必备的特点。 第三，“往往是有害的”定义了其恶意性，恶意企图包括： （1）试图访问未授权资源（如盗取口令、个人隐私或企业机密）； （2）试图阻止正常访问（如拒绝服务攻击）； （3）试图更改或破坏数据和系统（如删除文件、创建后门等）。 特洛伊木马一般没有自我复制的机制，所以不会自动复制自身。电子新闻组和电子邮件是特洛伊木马的主要传播途径。特洛伊木马的欺骗性是其得以传播的根本原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到电子新闻组或通过电子邮件直接传播，很容易被不知情的用户接收和继续传播。 1997年4月，一伙人开发出一个名叫AOL4FREE.COM的特洛伊木马，声称可以免费访问AOL，但它却损坏了执行它的机器硬盘。 2 逻辑炸弹 逻辑炸弹（Logic bomb）是一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件发生触发其破坏行为。扳机事件可以是特殊日期，也可以是指定事件。逻辑炸弹往往被那些有怨恨的职员利用，他们希望在离开公司后，通过启动逻辑炸弹来损伤公司利益。一旦逻辑炸弹被触发，就会造成数据或文件的改变或删除、计算机死机等破坏性事件。 一个著名的例子是美国马里兰州某县的图书馆系统，开发该系统的承包商在系统中插入了一个逻辑炸弹，如果承包商在规定日期得不到全部酬金，它将在该日期使整个系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬金时，承包商指出了逻辑炸弹的存在，并威胁如果酬金不到位的话就会让它爆炸。 3 后门或陷门 后门（backdoor）或陷门（trapdoor）是进入系统或程序的一个秘密入口，它能够通过识别某种特定的输入序列或特定账户，使访问者绕过访问的安全检查，直接获得访问权利，并且通常高于普通用户的特权。多年来，程序员为了调试和测试程序一直合法地使用后门，但当程序员或他所在的公司另有企图时，后门就变成了一种威胁。 2.不感染的独立性恶意代码 1 点滴器 点滴器（dropper）是为传送和安装其他恶意代码而设计的程序，它本身