第十章计算机恶意程序与病毒

第十章 计算机恶意程序与病毒

第十章计算机恶意程序与病毒 五、宏病毒(Macro Virus) 一种利用应用程序宏语言编制的计算机病毒，它附着在某个文件上，当用户打开这个文件时，宏病毒就被激活，并产生连锁性的感染。针对MS Office的宏病毒通常感染Word的DOT模板文件，尤其是Normal.dot是系统中大部分文档和字模板的基础，系统缺省状态下该模板文件首先被打开，若该文件被病毒感染，当它被打开时，病毒就会扩散到其他文档和模板。迫使正在编辑的文档以指定模板格式存盘，以便进行传播。宏病毒无法附着在标准格式的DOC文件中，只有文档模板可以存储实际的宏代码，从而作为病毒载体。

第十章计算机恶意程序与病毒 1。宏的概念宏（Macro）是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。

OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板（Normal．dot），里面包含了基本的宏。只要一启动Word，就会自动运行Normal．dot文件。如果在Word中重复进行某项工作，可用宏使其自动执行。Word提供了两种创建宏的方法：OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板（Normal．dot），里面包含了基本的宏。只要一启动Word，就会自动运行Normal．dot文件。如果在Word中重复进行某项工作，可用宏使其自动执行。Word提供了两种创建宏的方法：宏录制器和Visual Basic编辑器。

第十章计算机恶意程序与病毒 2。宏病毒的概念 1995年出现第一例，1996年出现５种，目前，已经出现或变异成了上千种，其破坏性已经从良性发展到恶性。宏病毒编制机理由Joel McNamara所公开，通过Internet网络的主题新闻组和电子公告牌详细阐述了计算机文档、电子邮件以及OLE环境的安全脆弱性，阐述了采用宏编写特殊程序（病毒）的可能性和文档，并公开了完整的、带注释的源程序DMV(Document Macro Virus)，该文档本身有意感染上病毒，这个源程序则成为以后那些别有用心的人编制宏病毒的教材和示例。

第十章计算机恶意程序与病毒 1）宏病毒是怎样传播的？　一个宏病毒传播主要发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存贮的所有Doc文档。　当Word打开一个.doc文件时，先检查里面有没有模板/宏代码,如果有，就认为这不是普通的doc文件，而是一个模版文件,并执行里面的auto类的宏(如果有的话)。　一般染毒后的.doc被打开后，通过Auto宏或菜单、快捷键和工具栏里的特洛伊木马来激活，随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统“永久”控制权。夺权后，当系统有文档存储动作时，病毒就把自身复制入此文档并储存成一个后缀为.doc 的模板文件；另外，当一定条件满足时，病毒发作。

第十章计算机恶意程序与病毒 2）宏病毒本身的局限性　由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播。而Word 在存储模板文件时(Save AS/另存为时),不能选择保存类型,只能存为"文档模板" (.dot)。由此，很容易判断出一个文件是否为一个模板文件。如果是一个以.doc为后缀的模板文件，那么可以肯定的说，这是一个被染毒的文件，或者是一个"宏病毒遗体"。

宏病毒具有如下特征： ①与操纵系统平台无关它可以感染DOS, Windows, Win95, WinNT, MAC等系统下的文档和模板。 ②利用MS Word字处理软件特性自动装载病毒宏代码 ③感染数据文件宏病毒可以感染DOC, DOT, XLS等类型的数据文件 ④检测消除困难

第十章计算机恶意程序与病毒 宏病毒宏病毒主要针对微软软件OFFICE，包括Word, Excel, Powerpoint等病毒模板附着在正常程序后部病毒程序用宏BASIC语言写成，可用VB工具读出。正常文件模板正常文件模板病毒模板

第十章计算机恶意程序与病毒 3）宏病毒防御与消除对付“宏” 宏病毒通过Auto宏和特洛伊木马来激活，通过修改全局模板文件来传播，因此，首先要禁止Word执行Auto类的宏。如果不用向导类模板(其后缀一般为.wiz，一般人很少用)，就完全可以禁止Auto宏的执行，方法很简单,自己建立一个宏，名字叫做Autoexec,里面内容写上一句： DisableAutoMacros 1 即可，此宏是Auto宏里的老大，仅在Word启动时执行一次，即使有人对它作了篡改，只要不重起Word就不会起作用。

第十章计算机恶意程序与病毒 对付特洛伊木马对付特洛伊木马，要建立自己的工作环境。　计算机病毒能大规模传染的一大原因是：环境的一致。如果每台机器都有其特殊之处,那么计算机病毒就很难传播和存活。 Word本身有着很强的定制功能，它可以被病毒利用进行传播，也可以被我们用来抵御病毒进攻。用户可以自己完全个性化整个界面，但所花功夫太大。但可以只定制一个FileSaveAs放在工具栏里，就可以进行简单防护了。

第十章计算机恶意程序与病毒 保护全局模板文件保护全局模板文件的关键是做备份，这是最后的防线，需要我们格外保护的是4个全局模板文件是： \MSOffice\Template\Normal.dot \MSOffice\Winword\STARTUP\POWERUP.DOT \MSOffice\Winword\STARTUP\PRCADDIN.DOT \MSOffice\Winword\STARTUP\SYMBAR.DOT 　把这几个文件做一个备份，至少能保证Word每次重启动时总是处于无毒状态。

第十章计算机恶意程序与病毒 打开带毒文件时的防护如果发现一个abc.doc文档带毒，可如下手工杀除： 1）关闭并重启起Word,如果系统提示因为只读无法写normal.dot或其他dot时,千万别上当打开只读，导致病毒感染Normal.dot等系统模板文件。

第十章计算机恶意程序与病毒 2）copy abc.doc -> abc.doc.vir做个备份 3）在Word里选“工具(T)/模板和加载项(I)/",再点"管理器(O)"按钮,在"宏(M)"栏先点"关闭文件(F)"，使它变成"打开文件(F)",打开染毒的abc.doc,然后删除里面所有的宏，再把它关闭。

第十章计算机恶意程序与病毒 4）打开修改过的abc.doc,观察是否有异常 5）如果abc.doc一切正常，在资源管理器中，右键击abc.doc，然后选新建，再把新建文档存盘即可。如果abc.doc文档遭到破坏，则解决起来较难。

第十章计算机恶意程序与病毒 常见宏病毒使用的宏： AutoOpen, AutoExec, Autoclose, AutoLoad, FileSaveAs, FileExit, FilePrint, FilePrintDefault, InsertPayLoad, PayLoad DropSuriv,

第十章计算机恶意程序与病毒 常见宏病毒感染的Word模板： NORMAL.DOT 该模板文件通常存放在： C:\Windows\Program Files\Office\ Templates\Normal.dot 手动检查宏病毒的方法： 1）在工具栏中使用宏（m）\ 宏（m） 2）使用Versual BASIC编辑器

第十章计算机恶意程序与病毒 第四节计算机反病毒技术永远的对抗！计算机反病毒技术的难点和困惑病毒制造和病毒机理的不可预知反病毒技术发展迟缓，处于被动局面关键技术：检测、确认；清除、恢复；预防、免疫。技术间的相互依赖，彼此影响。反病毒技术的副作用。并非所有病毒和未来病毒都能够检测、清除、免疫和进行系统恢复。病毒预报能够提出安全警告，但不一定能确认病毒。

第十章计算机恶意程序与病毒 一、计算机病毒的检查与识别 1. 静态检查以病毒特征码扫描检查特征码：特殊的病毒程序指令代码或数据. 单一特征码串；组合特征码；整体扫描、分区扫描、循环扫描、解压扫描、缺点：特征码不全、缺少；欺骗性特征码；变异型特征码

第十章计算机恶意程序与病毒 单一特征码组合特征码欺骗特征码变异特征码病毒 A 病毒 A’ 病毒 B

第十章计算机恶意程序与病毒 病毒欺骗: 病毒欺骗通常指：在一种病毒代码中（如病毒A中）故意显式地设置另一种病毒（如病毒B）的代码，从而欺骗病毒检测和扫描程序，使其误认为是另一种病毒，造成错报和错误删除。病毒A 病毒B

第十章计算机恶意程序与病毒 2. 动态检查关键部位操作企图、可疑操作，对敏感部位和关键数据取的访问企图。例如：对中断矢量的修改对系统参数的修改对配置参数的修改

第十章计算机恶意程序与病毒 对中断矢量的修改地址：00000-003FF 对系统参数的修改地址：00400-005FF 如：00413 = 0280 = 640KB容量不能减少。对配置参数的修改 I/O地址 70-71，如： IN AL , 70 OUT 71 , AL

第十章计算机恶意程序与病毒 3. 病毒检测的副作用 1)漏报系统中有病毒但不能够检查出来。原因: 未知新病毒、病毒变异、多形性病毒或者隐形病毒；检测程序功能有限、检查技术、位置、途径不对。无病毒特征码，病毒特征码不断改变，压缩文件方式多样，病毒体加密解密方式改变(如循环加密等)，病毒采用反跟踪技术和迷惑技术，内存高端和 XMS/EMS 区驻留，病毒技术避开检测技术等。

第十章计算机恶意程序与病毒 2)误报系统中没有病毒报成有病毒。原因: 病毒特征码选择不合理，正常操作与非正常操作不能区分、判断失误，检测技术错误或者不妥。因特殊的干扰而作出错误推测。

第十章计算机恶意程序与病毒 3)错报将一种病毒错报成另一种病毒。原因: 特征码交叉，病毒交叉感染，病毒、重复感染、病毒欺骗等。一般性错报: ①病毒名称的人为命名确认病毒名称，采用对应反病毒软件。 ②多种病毒具有相同的特征码选择合适的病毒特征码，选用反病毒软件。

第十章计算机恶意程序与病毒 对实用而言，少许的漏报和误报是允许的，而错报可能会带来一定问题。但误报率超过一定限度，就会对用户产生干扰，也会对反病毒软硬件的质量与可靠性产生怀疑。

第十章计算机恶意程序与病毒 二、计算机病毒的清除 1. 计算机病毒清除的机理只把病毒程序清除掉并不一定能保证系统恢复正常，理论上应当将那些被病毒改动和覆盖的代码、数据和参数完全恢复，但这是困难的。目前的方式：删除、覆盖、替换、恢复 2. 计算机病毒清除问题的讨论 1) 安全干净清除（期望） 2) 不能够安全清除（可用，可信） 3) 不能清除（保守疗法）

第十章计算机恶意程序与病毒 计算机病毒清除问题的讨论例如：引导区病毒的覆盖、替换性清除转移 1）第一次感染清除用正常引导区覆盖病毒区可以完整清除病毒。 2）重复感染后清除，仍然用病毒区覆盖病毒区，不能有效清除。重复感染正常引导扇区病毒程序扇区正常引导扇区病毒程序扇区覆盖清除替换病毒程序扇区

第十章计算机恶意程序与病毒 三、病毒清除后的系统恢复病毒消除的副作用: 带毒程序可以执行，但病毒消除后却反而不能执行甚至死机。带毒系统本来可以正常启动，但消除病毒后反而系统不能启动，而且很难恢复。

第十章计算机恶意程序与病毒 产生的问题：用户反感、怀疑、愤怒、不愿使用。反病毒技术和消病毒软件失去实用性，可信性。这种副作用在病毒变异和病毒交叉感染情况下尤其严重，对病毒的错误消除将产生文件或者系统的不可能恢复。

第十章计算机恶意程序与病毒 错误检测将导致错误消除，可能引起系统崩溃、死机，使系统不能恢复。目前，很多病毒不能安全清除，或清除后系统恢复不全。不能清除的原因: 新型病毒机理不完全了解，计算有误，恢复点不完全，重要数据已经丢失。不能恢复的原因: 破坏性感染，复盖型感染，转移型 + 复盖性感染，物理性删除等。最后形成：系统安全恢复，系统部分恢复，系统带毒运行，系统不能恢复。

第十章计算机恶意程序与病毒 四、计算机病毒的预防与免疫防患于未来，反病毒技术的宗旨。没有一劳永益的事，能有一种反病毒软、硬件能防止未来的病毒吗？否！免疫法和以毒攻毒的办法能否有效？对某些病毒有效，有些无效。并非所有病毒都是可以免疫的。由于病毒的变异，某些病毒免疫标志也会发生变化，甚至消失。这样，免疫法在时过境迁的情况下是不能阻止病毒的再次感染，也不能防止未来的病毒。以毒攻毒的办法只适合于某类病毒，并非都有效。

第十章计算机恶意程序与病毒 必须防止以毒攻毒办法的滥用。反病毒技术是针对一定的硬件环境，针对病毒的机理和技术形成的，要防止未来形病毒，必须找出计算机系统本身的薄弱点，加强系统本身的安全。如果只是针对病毒而寻找反病毒方法，研究反病毒技术，将永远是被动的，会永远受病毒技术制约，落后于病毒技术。

第十章计算机安全与恶意程序 几种重要病毒 1。CIH病毒（病毒编写人：陈益豪，台湾） CIH病毒又名“切尔诺贝利病毒”（病毒被设定在前苏联切尔诺贝利核电站事故的周年纪念日发作），是已知计算机病毒中危害最大的一种，传染力强、破坏性非常大，甚至会对硬件设备造成损害。与一般计算机病毒不同，它既破坏软件，又破坏与硬件有关的固件（firmware：存储有程序指令和数据的硬件芯片）中的内容，使计算机主板失效（注意，不是直接摧毁硬件，这是一个概念问题）。

第十章计算机安全与恶意程序 几种重要病毒截止2000年，CIH病毒有３个重要版本：1.2版本（４月26日爆发），1.3版本（6月26日爆发），1.4版本（5月26日爆发），变异版本（每月26日爆发）。 CIH病毒的防范措施： 1）提前检查和清除病毒，可利用各种反病毒软件。 2）人工在病毒发作前修改计算机上的时间，避开病毒爆发。 3）病毒入侵途径通过国际互联网，建议用户在下载网上文件时一定要谨慎。

第十章计算机安全与恶意程序 第二代CIH病毒第二代CIH病毒主要攻击ＮＴ网和汉字简码库，主要针对我国计算机系统进行攻击，新病毒具有微软Windows.NT版和微软Windows汉字简码库两个版本进行攻击，造成NT整个网络瘫痪和所有汉字系统破坏。

第十章计算机安全与恶意程序 CIH病毒受损修复方法 CIH病毒发作后的现象：硬盘不能正常启动，所有逻辑分区丢失，显示器不能正常显示，系统BIOS被病毒改写，软盘不能正常启动计算机。 1．磁盘修复　对于已经被CIH破坏的硬盘,可以作以下处理： 1）第一个逻辑盘（C盘）通常不能完全恢复，如果使用KILL 98制作过应急盘，可以用KILL 98应急盘中保存的主引导区记录、分区表记录恢复硬盘，找回大部分文件。

第十章计算机安全与恶意程序 2）其它逻辑盘，只要不是FAT32格式，可以用NDD之类的磁盘工具或用KILL98急救盘恢复，但需要使用者对硬盘的物理结构有足够的了解。 3）对FAT32分区的逻辑盘，需要对FAT32结构具有深入了解的专业人员用debug等工具手工恢复。

第十章计算机安全与恶意程序 2．主板修复 CIH破坏主板，实际上是破坏系统BIOS，可以作以下处理，恢复BIOS 1）如果是能够提供良好服务的厂家的品牌主板，请与厂家联系。 2）找一个相同型号的主板（要求BIOS的厂家和版本必须严格相同），下载主板厂家提供的升级文件，取下坏BIOS芯片，用新的BIOS片启动电脑，并在带电的情况下换回坏的BIOS片，从A盘写入。(此办法由于带电操作，有很大危险，用户操作有可能操作后造成硬件整体被破坏，请用户慎重！)

第十章计算机安全与恶意程序 3）有的主版升级程序在写入时会检测BIOS版本号，如无则无法改写，此种无法写入BIOS情况则必须更换计算机的BIOS芯片,可以与您的硬件购买商,或主板在中国的代理商联系。 3．采用反病毒程序利用KV300、瑞星等反病毒程序中提供功能解决。例如，采用Symantec公司研制的KILL_CIH软件来检测CIH病毒，该程序可以十分简洁迅速地“关闭”受CIH病毒侵袭的计算机内存中所有的CIH 病毒感染进程，但不会从文件中检测或清除W95 CIH病毒，只会使内存中的病毒失效。

第十章计算机安全与恶意程序 2。“压缩虫”病毒病毒（Worm.Explorer.Zip）是一种蠕虫类病毒，破坏性比“梅利莎”病毒更大，它能够销毁电脑里几乎所有的文件，对使用Windows95、98和NT操作系统的电脑用户影响很大。对于商业部门、政府机构和个人微电脑使用者会构成严重的威胁。该病毒于1999年6月6日在以色列首次发现，现已扩散到全世界。

第十章计算机安全与恶意程序 病毒通过电子邮件传播，它发出的邮件包含有如下的内容： "I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs." “我已收到了你的电子邮件，我将尽快发给你一个回件。收到后请打开附件。”

第十章计算机安全与恶意程序 邮件的附件名称为"zipped-files.exe"，一旦该程序被打开（执行），将在硬盘上安装一个名为"explore.exe" 的病毒程序，该程序将毁坏磁盘上的所有文件，并自动向外发出含有病毒体的电子邮件，以传播和感染新的用户。只要不打开邮件附件不会有危害。病毒修改Win 9X的WIN.INI以及Win NT的注册登记文件，调用MAPI所查到的E-mail应用程序，如：MS Outlook、MS Outlook Express、MS Exchange和Netscape-mail等。

第十章计算机安全与恶意程序 名为“Zipped_files.exe”的蠕虫病毒附在该答复邮件中，其大小为210,432 bytes。文件为Winzip压缩图标，当收件人双击它进行解压时，在此过程中将会出现一个假错误提示信息：“Cannot open file：it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.”然后，该病毒搜索机器上所有驱动器，找到后会删除所有下列文件：.c .cpp .h .asm .doc .xls .ppt，使其字节长度变为"0"。

第十章计算机安全与恶意程序 清除ExploreZIP.worm病毒的有效方法：　　 1）Win9X：重启并进入MS_DOS模式，编辑WIN.INI并删掉“run=c:\windows\system \explore.exe”，然后删除“c:\windows\system\ explore.exe”，再重启Win9X。 2）WinNT：该蠕虫作为一个进程，名为“explore”，用户可以终止该进程。运行REGEDIT（注意不是REGEDIT32）并在[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\Current\Version\Windows中删除“run=C:\\WINNT\System32\Explore.exe”，重启NT并删除文件“c:\winnt\system32\Explore.exe”

第十章计算机安全与恶意程序 计算机病毒的新动向： 1）多形性病毒越来越多 2）宏病毒泛滥 3）电子邮件成为病毒传播的主要途径 4）病毒进入各种系统平台 5）病毒机理错综复杂 6）产生移动系统中的病毒（手机病毒） 7）欺骗性病毒或者欺骗性程序产生心理障碍, 假作真来真亦假

第十章计算机安全与恶意程序 手机病毒移动电话许多功能的实现，要依靠机器中的微处理器及其软件，计算机病毒程序侵入手机也产生了可能。病毒发作特征：手机正常响铃，屏幕显示“Unavailable”，此时，不能接听，应当立即关掉手机。如果接听手机，病毒会清洗掉手机存储的资料，令手机无法使用，严重的会损坏电话卡。手机病毒可以随时发作。

第十章计算机恶意程序与病毒 第四节反病毒技术的应用反病毒技术的应用必须根据具体的计算机系统平台环境来考虑，尽可能地避免反病毒技术可能出现的副作用。环境兼容性问题是指在反病毒软、硬件研究中，对该技术的适用范围、程度、效果所依赖的硬件 (机型等) 和软件 (系统等)环境的考虑。

第十章计算机恶意程序与病毒 一、系统硬件环境的兼容性硬件环境：病毒和反病毒技术所依赖的宿主机 (机种与机型)，受系统其他部件 (如功能卡) 的限制，可能产生的地址冲突，与多用户、多机和网络环境相配合的问题。病毒攻击的目标不同，反病毒技术能否顾及全面? 这是研究的热点。反病毒的硬件产品在与机器的配置上可能会出现地址和信号的冲突。如:硬件配置结构、显示模式、磁盘格式和存储模式的不同，也会对病毒和反病毒技术产生影响。在单机上可行的反病毒技术和产品不一定能适用于多用户系统，不能与该系统兼容，也不一定能够在多机和网络环境下使用。

第十章 计算机 恶意程序与病毒