14.1.5　计算机病毒与黑客防范

计算机病毒和黑客攻击已成为影响网络安全的重要分支。本节将对计算机病毒与黑客防范方面的知识进行讲解。

1．计算机病毒检测与防范技术

20世纪60年代初，美国贝尔实验室的三位程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。

20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。

20世纪80年代后期，巴基斯坦有两个以编程为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，这就是世界上流行的第一个真正的病毒。

那么，究竟什么是计算机病毒呢？

1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”

这个定义具有法律性和权威性。根据这个定义，计算机病毒是一种计算机程序，它不仅能破坏计算机系统，而且还能传染到其他系统。计算机病毒通常隐藏在其他正常程序中，能生成自身的拷贝并将其插入其他的程序中，对计算机系统进行恶意的破坏。

计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有破坏功能的程序。计算机病毒能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的一组程序或指令集合。

（1）病毒的特征

传统意义上的计算机病毒一般具有以下几个特点。

1）破坏性

任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。

根据病毒对计算机系统造成破坏的程度，我们可以把病毒分为良性病毒与恶性病毒。良性病毒可能只是干扰显示屏幕，显示一些乱码或无聊的语句，或者根本没有任何破坏动作，只是占用系统资源。这类病毒较多，如GENP、小球和W-BOOT等。恶性病毒则有明确的目的，它们破坏数据、删除文件、加密磁盘甚至格式化磁盘，有的恶性病毒能对数据造成不可挽回的破坏。这类病毒有CIH及红色代码等。

2）隐蔽性

病毒程序大多夹在正常程序之中，很难被发现，它们通常附在正常程序中或磁盘较隐蔽的地方（也有个别的以隐含文件形式出现），这样做的目的是不让用户发现它的存在。如果不经过代码分析，我们很难区别病毒程序与正常程序。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到有任何异常。

大部分病毒程序具有很高的程序设计技巧和代码短小精悍的特点，其目的就是为了隐蔽。病毒程序一般只有几百字节，而PC对文件的存取速度可达每秒几百KB以上，所以病毒程序在转瞬之间便可将这短短的几百字节附着到正常程序之中，非常不易被察觉。

3）潜伏性

大部分计算机病毒感染系统之后不会马上发作，可长期隐藏在系统中，只有在满足特定条件时才启动其破坏模块。例如PETER-2病毒在每年的2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”病毒在逢13号的星期五发作。当然最令人难忘的是26日发作的CIH病毒。这些病毒在平时会隐藏得很好，只有在发作日才会显露出其破坏的本性。

4）传染性

计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要计算机染毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，在与其他机器进行数据交换或通过网络接触时，病毒会在整个网络中继续传染。

正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

（2）病毒的新增特点

随着计算机软件和网络技术的发展，在今天的网络时代，计算机病毒又有了很多新的特点。

1）主动通过网络和邮件系统传播

从当前流行的计算机病毒来看，绝大部分病毒都可以利用邮件系统和网络进行传播。例如“求职信”病毒就是通过电子邮件传播的，这种病毒程序代码往往夹在邮件的附件中，当收邮件者点击附件时，病毒程序便得以执行并迅速传染。它们还能搜索计算机用户的邮件通信地址，继续向网络进行传播。

2）传播速度极快

由于病毒主要通过网络传播，因此一种新病毒出现后，可以迅速通过国际互联网传播到世界各地。例如“爱虫”病毒在一两天内迅速传播到世界各地的主要计算机网络，并造成欧美国家的计算机网络瘫痪。

3）变种多

现在很多新病毒都不再使用汇编语言编写，而是使用高级程序设计语言。例如“爱虫”是脚本语言病毒，“美丽杀”是宏病毒。它们容易编写，并且很容易被修改，生成很多病毒变种。“爱虫”病毒在十几天中，就出现了三十多个变种。“美丽杀”病毒也生成了三四个变种，并且此后很多宏病毒都是使用了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致，只是某些代码作了修改。

4）具有病毒、蠕虫和黑客程序的功能

随着网络技术的普及和发展，计算机病毒的编制技术也在不断地提高。过去病毒最大的特点是能够复制自身给其他的程序。现在计算机病毒具有了蠕虫的特点，可以利用网络进行传播。同时有些病毒还具有了黑客程序的功能，一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统。呈现出计算机病毒功能的多样化，因而更具有危害性。

（3）病毒的分类

通常，计算机病毒可分为下列几类。

1）文件型病毒

文件型病毒通过在执行过程中插入指令，把自己依附在可执行文件上。然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行指令序列。通常这个执行过程发生得很快，以致用户并不知道病毒代码已被执行。

2）引导扇区病毒

引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码，然后再继续PC的启动进程。大多数情况，在一台染有引导型病毒的计算机上对可读写的软盘进行读写操作时，这块软盘也会被感染该病毒。引导扇区病毒会潜伏在软盘的引导扇区里，或者在硬盘的引导扇区或在主引导记录中插入指令。此时，如果计算机从被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。

3）混合型病毒

混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。当执行一个被感染的文件时，它将感染硬盘的引导扇区或主引导记录，并且感染在机器上使用过的软盘。这种病毒能感染可执行文件，从而能在网上迅速传播。

4）变形病毒

变形病毒随着每次复制而发生变化，通过在可能被感染的文件中搜索简单的、专门的字节序列，是不能检测到这种病毒的。变形病毒是一种能变异的病毒，随着感染时间的不同而改变其不同的形式，不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。

5）宏病毒

宏病毒不只是感染可执行文件，它可以感染一般软件文件。虽然宏病毒不会对计算机系统造成严重的危害，但它仍令人讨厌。因为宏病毒会影响系统的性能及用户的工作效率。宏病毒是利用宏语言编写的，不受操作平台的约束，可以在DOS、Windows、UNIX甚至在OS/2系统中散播。这就是说宏病毒能被传播到任何可运行编写宏病毒的应用程序的机器中。

（4）病毒的检测方法

计算机病毒具有自我复制和传播的特点，因此，研究计算机病毒的传播途径是极为重要的。从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。Internet是信息传播的高速公路，也是计算机病毒传播的便捷通道。

计算机病毒检测方法有很多，常用的有以下几种方法。

·比较法：用原始备份与被检测引导扇区或文件作比较，看长度，内容变化。这种方法简便，不需专用软件。但无法确认病毒的种类名称。

·综合对比法：将每个程序的文件名、大小、时间、日期及内容，综合为一个检查码，附于程序后，再利用此对比系统，追踪记录每个程序的检查码是否遭更改，判断是否感染病毒。

·搜索法：用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒。

·分析法：静态分析和动态分析。利用反汇编工具和DEBUG等调试工具进行分析，是防病毒专业技术人员所使用的一整套剖析方法。可发现新病毒，提取特征字串，制定防杀措施方案。

·人工智能陷阱技术和宏病毒陷阱技术：监测计算机行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所察觉，并告知使用者。优点是速度快、操作简便，可侦测到各式病毒；缺点是程序设计难，且不易考虑周全。宏病毒陷阱技术（Macro Trap）是结合了搜索法和人工智能陷阱技术，依靠行为模式来侦测已知及未知的宏病毒。

·软件仿真扫描法：专门用来对付多态变形病毒。该病毒在每次传染时，都将自身以不同的随机数加密于每个感染的文件中，传统搜索法根本就无法找到它。软件仿真技术则是成功地仿真CPU执行，在DOS虚拟机下伪执行病毒程序，安全并确实地将其解密，使其显露本来的面目，再加以扫描。

·先知扫描法：是继软件仿真后的一大技术突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机，仿真CPU动作并伪执行程序以解开多态变形病毒，那么应用类似的技术也可以用来分析一般程序，检査可疑的病毒代码。因此，先知扫描技术是专业人员用来判断程序是否存在病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术伪执行新的病毒，超前分析出新病毒代码，对付以后的病毒。

（5）病毒攻击的防范

1）用常识进行判断

绝不打开来历不明邮件的附件或并未预期接收到的附件。对看来可疑的邮件附件要自觉不予打开，即使附件看来好像是jpg文件。这是因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀。例如，看到的邮件附件名称是wantjob.jpg，而它的全名实际是wangjob.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒。

2）安装防病毒产品并保证更新最新的病毒库

在重要的计算机上安装实时病毒监控软件，例如KV3000、金山毒霸等软件。至少每周更新一次病毒库（现在的杀毒软件一般都支持在线升级），防病毒软件只有最新才最有效。

值得注意的是，当首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。领先的防病毒软件供应商现在都已将病毒扫描作为自动程序，当用户在首次安装产品时会自动执行。

3）不要从任何不可靠的渠道下载任何软件

最好不要使用重要的计算机去浏览一些个人网站，特别是一些黑客类或黄色网站，不要随意在小网站上下载软件。如果非得下载，我们应该对下载的软件在安装或运行前进行病毒扫描。

4）使用其他形式的文档

常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用RichText存储文件，这并不表明仅在文件名称中用RTF后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择RichText形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual BasicMacros或JScript。

5）不要用共享的软盘安装软件，或者是复制共享的软盘

这是导致病毒从一台机器传播到另一台机器的方式。一般人都以为不要使用别人的磁盘即可防毒，但是不要随便用别人的电脑也是非常重要的，否则有可能带一大堆病毒回家。在网络环境下，要尽量使用无盘工作站，不用或少用有软驱的工作站。工作站是网络的门户，只要把好这一关，就能有效地防止病毒入侵。

6）禁用Windows Scripting Host

Windows Scripting Host（WSH）运行各种类型的文本，但基本都是VBScript或JScript。许多病毒（例如Bubbleboy和KAK.worm）使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。

7）使用基于客户端的防火墙或过滤措施

如果计算机需要经常挂在互联网上，就非常有必要使用个人防火墙保护文件或个人隐私，并可防止不速之客访问系统，否则个人信息甚至信用卡号码和其他密码都有可能被窃取。

8）记住一些典型文件的长度

可以记下一些典型文件（例如Command.com）的长度，并定期进行对比，一旦发现异常，即有中毒的可能。中毒的程序，绝大部分会改变长度，所以记住一个常见程序的长度，有助于判定是否有病毒入侵系统，尤其是Command.com文件，该文件如果被病毒感染，我们的计算机系统将体无完肤。

9）重要资料必须备份

资料是最重要的，程序损坏了可重新复制，甚至再买一份。但是自己的重要资料或文档，可能是几年的研究成果，也可能是公司的财务资料，如果因病毒的原因毁于一旦，那将是损失最惨重的事情，所以我们必须养成定期备份重要资料的习惯。

（6）基于网络的防病毒系统

目前，互联网已经成为病毒传播最大的来源，电子邮件和网络信息传递为病毒传播打开了高速的通道。网络化带来了病毒传染的高效率，而病毒传染的高效率也对防病毒产品提出了新的要求。

网络病毒的传播方式有以下几种。

·直接从有盘站复制到服务器中。

·病毒先传染工作站，在工作站内存驻留，等运行网络内的程序时再传染给服务器。

·病毒先传染工作站，在工作站内存驻留，在运行时直接通过映像路径传染到服务器。

·如果远程工作站被病毒侵入，则病毒也可以通过通信中的数据交换进入网络服务器中。

基于网络系统的病毒防护体系主要包括以下策略。

·防病毒一定要实现全方位、多层次防毒。

·网关防毒是整个防毒的首要防线。

·没有管理的防毒系统是无效的防毒系统。

·服务是整体防毒系统中极为重要的一环。

网络防病毒系统组织形式有以下几种。

·系统中心统一管理。

·远程安装升级。

·一般客户端的防毒。

·防病毒过滤网关。

·硬件防病毒网关。

2．网络黑客攻防技术

（1）黑客攻击的工具

黑客攻击工具主要包括扫描器、口令攻击器、特洛伊木马程序等。

1）扫描器

在Internet安全领域，扫描器是最出名的破解工具。所谓扫描器，实际上是自动检测远程或本地主机安全性弱点的程序。通过扫描器可以发现远程服务器的各种TCP端口，以及提供的服务和相应的软件版本。扫描器通过选用TCP/IP不同的端口和服务，并记录目标机的回答，以此获得关于目标机各种有用的信息，如是否能匿名登录、是否有写的FTP目录、是否支持TELNET等。理解和分析这些信息，就可能发现破坏目标机安全性的关键因素。

2）口令攻击器

口令攻击器是一种程序，它能将口令解析出来，或者让口令保护失效。口令攻击器一般并不是真正地去解码（事实上很多加密算法是不可逆的）。大多数口令破解器采用字典穷举法进行攻击。

3）特洛伊木马程序

特洛伊木马程序是目前黑客常用的攻击手段之一。它通过在目标主机系统隐藏一个会在Windows启动时自动运行的程序，采用服务器/客户机的运行方式，从而达到在上网时控制目标主机的目的。黑客利用它窃取目标主机的口令，浏览驱动器，修改文件，登录注册表等。

4）网络嗅探器（Sniffer）

Sniffer用来截获网络上传输的信息，用在以太网或其他共享传输介质的网络上。它既可以是硬件，也可以是软件。放置Sniffer，可使网络接口处于广播状态，从而截获网上传输的信息。利用Sniffer可截获口令、秘密的和专有的信息，用来攻击相邻的网络。

5）系统破坏者

常见的破坏装置有邮件炸弹和病毒等。其中，邮件炸弹的危害性较小，而病毒的危害性则很大。邮件炸弹实质上就是发送地址不详，容量庞大的邮件垃圾。由于邮件信箱都是有限的，当庞大的邮件垃圾到达信箱的时候，就会把信箱挤爆。同时，由于它占用了大量的网络资源，常常导致网络塞车，使其无法接收有用信息。另外，邮件炸弹也可以导致邮件服务器拒绝服务。

（2）黑客防范技术

人们采用许多安全技术来提高网络的安全性，最具代表性的安全技术有数据加密、容错技术、端口保护与主体验证及防火墙（Firewall）技术。

网络安全防范技术主要从网络访问和网络协议入手，核心是密码技术、访问控制技术、身份认证技术、安全审计、安全监控技术和安全漏洞检测技术等。

目前，网络安全产品市场上的主流产品有防火墙、VPN和入侵检测系统等，它们的功能、对相关攻击的防范措施各不相同。