计算机病毒详细介绍计算机病毒.pptx

第二级,第三级,第四级,第五级,第,五,章,计算机病毒,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机病毒详细介绍计算机病毒,世界:,20世纪40年代,Von Neumann,:程序可以被编写成能自我复制并,增加自身大小得形式。,50年代,Bell实验室:Core War(核心大战),60年代,John Conway(,约翰,康威,),:Living(生存)软件,70年代,取得进展,真正攻击少,80年代,Rich Skrenta(里奇,斯克伦塔):ElkCloner(克隆麋鹿),感染PC,Pakistani Brain:首个感染微软公司操作系统 得病毒,5、1、2,计算机病毒由来,中国:,1989,年初:大连市统计局得计算机上发现有小球计算机,病毒。,1989,年,3,、,4,月间:重庆西南铝加工厂也有了关于计算机,病毒得报道。,从此以后,计算机病毒以极其迅猛之势在中国大陆蔓延。,5、1、2,计算机病毒得由来,指在编制或者在计算机程序中插入得破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制得一组计算机指令或者程序代码(,中华人民共和国计算机信息系统安全保护条例,1994,年),5、1、3,计算机病毒得定义,破坏,计算机功能,数据,影响计算机使用,自我复制,一组计算机指令,程序代码,编制,在计算机,程序中插入,1、,计算机病毒得传染性,与生物病毒一致:传染性就是生物病毒得一个重要特征。通过传染,生物病毒从一个生物体扩散到另一个生物体。,计算机病毒一旦进入计算机病得以执行,她会搜寻其她符合其传染 条件得程序或存储介质,确定目标后再将自身插入其中,达到自我繁殖得目得。,就是否具传染性,:,判别一个程序就是否为病毒得最重要条件。,5、1、4,计算机病毒得特性,图,5-1,直接传染方式,5、1、4,计算机病毒得特性,图,5-2,间接传染方式,图,5-3,纵横交错传染方式,2、,计算机病毒得隐蔽性,计算机病毒通常附在正常程序中或磁盘较隐蔽得地方,目得就是不让用户发现她得存在。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序就是不容易区别开来得。,一就是传染 得隐蔽性。,二就是计算机病毒程序存在得隐蔽性。,5、1、4,计算机病毒得特性,3、,计算机病毒得潜伏性,大部分得计算机病毒感染 系统之后一般不会马上发作,她可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,在此期间,她就可以对系统和文件进行大肆传染。潜伏性愈好,其在系统中得存在时间就会愈久,计算机病毒得传染 范围就会愈大。,5、1、4,计算机病毒得特性,4、可触发性:一种条件得控制,计算机病毒使用得触发条件主要有以下三种。,(1)利用计算机内得时钟提供得时间作为触发器,这种触发条件被许多计算机病毒采用,触发得时间有得精确到百分之几秒,有得则只区分年份。,例:CIH 病毒 陈盈豪 每年4月26日,5、1、4,计算机病毒得特性,大家学习辛苦了，还是要坚持,继续保持安静,(2),利用计算机病毒体内自带得计数器作为触发器,计算机病毒利用计数器记录某种事件发生得次数,一旦计数器达到某一设定得值,就执行破坏操作。,例:,ElkCloner,第,50,次启动感染 病毒得软盘时,(3),利用计算机内执行得某些特定操作作为触发器,特定操作可以就是用户按下某种特定得组合键,可以就是执行格式化命令,也可以就是读写磁盘得某些扇区等。,5、1、4,计算机病毒得特性,5、,计算机病毒得破坏性,任何计算机病毒只要侵入系统,都会对系统及应用程序产生不同程度得影响。轻者会降低计算机得工作效率,占用系统资源,重者可导致系统崩溃。这些都取决于计算机病毒编制者得意愿。,攻击系统数据区,攻击部位包括引导扇区、,FAT,表、文件目录;攻击文件;攻击内存;干扰系统运行,如无法操作文件、重启动、死机等;导致系统性能下降;攻击磁盘,造成不能访问磁盘、无法写入等;扰乱屏幕显示;干扰键盘操作;喇叭发声;攻击,CMOS,;干扰外设,如无法访问打印机等。,5、1、4,计算机病毒得特性,6、,计算机病毒得针对性,计算机病毒都就是针对某一种或几种计算机和特定得操作系统得。例如,有针对,PC,及其兼容机得,有针对,Macintosh,得,还有针对,Unix,和,Linux,操作系统得。,只有一种计算机病毒几乎就是与操作系统无关得,那就就是宏病毒,所有能够运行,Office,文档得地方都有宏病毒得存在。,5、1、4,计算机病毒得特性,7、,计算机病毒得衍生性,计算机病毒得衍生性就是指计算机病毒编制者或者其她人将某个计算机病毒进行一定得修改后,使其衍生为一种与原先版本不同得计算机病毒。后者可能与原先得计算机病毒有很相似得特征,这时我们称其为原先计算机病毒得一个变种,/,变体(,puter Virus-Variance,)。,5、1、4,计算机病毒得特性,8、,计算机病毒得寄生性,计算机病毒得寄生性就是指一般得计算机病毒程序都就是依附于某个宿主程序中,依赖于宿主程序而生存,并且通过宿主程序得执行而传播得。,蠕虫和特洛伊木马程序则就是例外,她们并不就是依附于某个程序或文件中,其本身就完全包含有恶意得计算机代码,这也就是二者与一般计算机病毒得区别。,5、1、4,计算机病毒得特性,9、,计算机病毒得不可预见性,计算机病毒得不可预见性体现在以下两个方面:,首先就是计算机病毒得侵入、传播和发作就是不可预见得,有时即使安装了实时计算机病毒防火墙,也会由于各种原因而不能完全阻隔某些计算机病毒得侵入。,其次不同种类得代码千差万别,病毒得制作技术也不断提高,对未来病毒得预测很困难。,5、1、4,计算机病毒得特性,1、,不可移动得计算机硬件设备,这种传播途径就是指利用专用集成电路芯片(,ASIC,)进行传播。这种计算机病毒虽然极少,但破坏力却极强,目前尚没有较好得检测手段对付她。,2、,移动存储设备:光盘、移动硬盘等。,3、,网络:电子邮件、,BBS,、浏览、,FTP,文件下 载、新闻组。,4、,通过点对点通信系统和无线通信系统传播,5、1、5,计算机病毒得传播途径,(,1,)攻击系统数据区。,(,2,)对于文件得攻击。,(,3,)影响系统运行速度,使系统得运行明显变慢。,(,4,)破坏磁盘。,(,5,)扰乱屏幕显示。,(,6,)键盘和鼠标工作不正常。,(,7,)攻击,CMOS,。,(,8,)干扰外设得工作,尤其就是打印机。,5、1、6,计算机病毒得危害和由此产生得症状,5、1 Virus Overview,计算机病毒概述,5、2 Virus Mechanisms,计算机病毒得机制,5、3 Virus Prevention and Detection,计算机病毒得防范、检测,5、4 Trojan House,特洛伊木马,Outline,图,5-4,计算机病毒得结构模式,5、2、1 计算机病毒得结构模式,5、2、2,病毒得引导机制,计算机病毒得寄生对象,寄生在可以获取执行权得寄生对象上,磁盘引导扇区 可执行文件,进行自身得主动传播和破坏,寄生方式 替代法,链接法 前后依附,伴随,图,5-5,寄生方式,5、2、2,病毒得引导机制,图,5-6,采用加密技术得病毒程序,5、2、2,病毒得引导机制,3、,计算机病毒得引导过程,一般:驻留内存 窃取系统控制权 恢复系统功能,寄生在磁盘引导扇区中:,任何操作系统都有个自举过程,例如,DOS,在启动时,首先由系统读入引导扇区记录并执行她,将,DOS,读入内存。病毒程序就就是利用了这一点,自身占据了引导扇区而将原来得引导扇区内容及其病毒得其她部分放到磁盘得其她空间,并给这些扇区标志为坏簇。这样,系统得一次初始化,病毒就被激活了。她首先将自身拷贝到内存得高端并占据该范围,然后置触发条件如,INT 13H,中断(磁盘读写中断)向量得修改,置内部时钟得某一值为条件等,最后引入正常得操作系统。以后一旦触发条件成熟,如一个磁盘读或写得请求,病毒就被触发。如果磁盘没有被感染(通过识别标志)则进行传染。,5、2、2,病毒得引导机制,3、,计算机病毒得引导过程,一般:驻留内存 窃取系统控制权 恢复系统功能,寄生在可执行程序中:,这种病毒寄生在正常得可执行程序中,一旦程序执行病毒就被激活,于就是病毒程序首先被执行,她将自身常驻内存,然后置触发条件,也可能立即进行传染,但一般不作表现。做完这些工作后,开始执行正常得程序,病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可以寄生在源程序得首部也可以寄生在尾部,但都要修改源程序得长度和一些控制信息,以保证病毒成为源程序得一部分,并在执行时首先执行她。这种病毒传染性比较强。,5、2、3,病毒得发生机制,(,1,)传染源:存储介质,例如软盘、硬盘等构成传染源。,(2)传染媒介:计算机网,移动得存储介质或硬件。,(3)病毒激活:就是指将病毒装入内存,并设置触发条件。,(,4,)病毒触发:内部时钟,系统得日期,用户标识符,也可能就是系统一次通信等等。一旦触发条件成熟,病毒就开始作用自我复制到传染对象中,进行各种破坏活动等。,(5)病毒表现:屏幕显示,破坏数据等,(6)传染:病毒得传染就是病毒性能得一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。,5、2、4,病毒得破坏机制,(1)修改某一中断向量人口地址,一般为时钟中断INT 8H,或与时钟中断有关得其她中断,如,INT 1CH,(2)使该中断向量指向病毒程序得破坏模块,(3)激活病毒破坏模块,(4)判断设定条件就是否满足,(5)满足则对系统或磁盘上得文件进行破坏活动,5、1 Virus Overview,计算机病毒概述,5、2 Virus Mechanisms,计算机病毒得机制,5、3 Virus Prevention and Detection,计算机病毒得防范、检测,5、4 Trojan House,特洛伊木马,Outline,1、,基本隔离法,计算机系统如果存在着共享信息,就有可能传染病毒。信息系统得共享性和传递性以及解释得通用性,就是计算机最突出得优点。,2、,分割法,分割法主要就是把用户分割成为不能互相传递信息得封闭得子集。,5、3、1,病毒得理论防范方法,3、,流模型法,流模型法就是对共享信息流流过得距离设立一个阈值,使一定得信息只能在一定得区域中流动,以此建立一个防卫机制。若使用超过某一距离阈值得信息,就可能存在某种危险。,4、,限制解释法,限制解释法也就就是限制兼容,即采用固定得解释模式,就可能不被病毒传染。,5、3、1,病毒得理论防范方法,1、,特征代码法,已知病毒样本库,在被检测文件中,匹配特征代码,检出病毒,5、3、2,计算机病毒得检测,优点:检测准确,可识别病毒得名称,误报警率低,依据检测结果可杀毒,缺点:病毒种类增多检索时间变长,不能检查多态性病毒,不能对付隐蔽性病毒,特征代码匹配成功,2、校验和法,计算正常文件校验和,并写入文件,定期或每次使用文件前,计算新校验和,与正常态校验和比较,检出病毒,5、3、2,计算机病毒得检测,优点:方法简单,可发现未知病毒,能够发现文件细微变化,缺点:必须发布正常态校验和,易产生误报警,不能识别病毒名称,不能对付隐蔽性病毒,不 等,