系统恶意程序.pptx_咨信网zixin.com.cn

资源描述

1、第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒第一节第一节恶意程序与计算机病毒恶意程序与计算机病毒一、特殊程序、恶意程序与病毒一、特殊程序、恶意程序与病毒1.1.特殊程序特殊程序在特定条件、特定时间和特定环境下才执行的程序在特定条件、特定时间和特定环境下才执行的程序。那些具有专门程序功能和执行结果的程序。那些具有专门程序功能和执行结果的程序。例如：例如：系统调试与跟踪程序、测试程序、网络分析与监察系统调试与跟踪程序、测试程序、网络分析与监察程序、安全审计程序、工具程序等；程序、安全审计程序、工具程序等；自毁程序、跟踪程序、侦察程序等。自毁程序、跟踪程序、侦察程序等。合法的

2、程序序并不能保证不被非法的使用，合法的程序序并不能保证不被非法的使用，合法程合法程序的滥用序的滥用，将对系统安全形成极大的威协，造成极大的，将对系统安全形成极大的威协，造成极大的破坏。破坏。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒在已经出现的计算机恶意程序中，有的是在已经出现的计算机恶意程序中，有的是将某个将某个合法程序进行改动合法程序进行改动，让它含有并执行某，让它含有并执行某种破坏功能，如程序自毁或磁盘自毁。有的是种破坏功能，如程序自毁或磁盘自毁。有的是利用合法程序的功能利用合法程序的功能和权限，非法获取系统资和权限，非法获取系统资源和敏感数据，进行系统入侵，如利用网络

3、协源和敏感数据，进行系统入侵，如利用网络协议分析程序，进行网络包伪造、通信数据替换议分析程序，进行网络包伪造、通信数据替换等。等。合法程序的滥用是恶意程序产生的一类因合法程序的滥用是恶意程序产生的一类因素。素。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒恶意程序恶意程序(一类一类特殊程序特殊程序)有宿主有宿主无宿主无宿主特洛依木马特洛依木马病毒病毒细菌细菌蠕虫蠕虫(Trojan H)(Virus)(Bacteria)(Worm)(Trojan H)(Virus)(Bacteria)(Worm)复合型病毒复合型病毒第第1313章章计算机计算机恶意程序与病毒恶意程序与

4、病毒 “特洛依木马特洛依木马”(Trojan Horse)Trojan Horse)一种故意隐藏在正常程序代码中的异一种故意隐藏在正常程序代码中的异常特殊代码，在条件成熟时进行特殊任务常特殊代码，在条件成熟时进行特殊任务的执行。的执行。“逻辑炸弹逻辑炸弹”(Logic Bomb)Logic Bomb)：基于逻辑条件的满足而触发基于逻辑条件的满足而触发 “时间炸弹时间炸弹”(Time Bomb)Time Bomb)：基于时间条件的满足而激活。基于时间条件的满足而激活。不自身复制、不传染、任务完成后自毁不自身复制、不传染、任务完成后自毁或或隐藏隐藏。n远程访问型特洛伊木马：远程访问型特洛伊木马：n

5、这是现在最广泛的特洛伊木马。可以访问受害人的硬这是现在最广泛的特洛伊木马。可以访问受害人的硬盘。盘。RATS（一种远程访问木马）用起来是非常简单（一种远程访问木马）用起来是非常简单的。只需得到受害人的的。只需得到受害人的IP，你就会访问到他，你就会访问到他/她的电她的电脑。他们能几乎可以在你的机器上干任何事。键盘记脑。他们能几乎可以在你的机器上干任何事。键盘记录，上传和下载功能等等录，上传和下载功能等等有不少的流行的特洛伊木马每天被发现，并且这有不少的流行的特洛伊木马每天被发现，并且这些程序都是大同小异。如果特洛伊木马在每次的些程序都是大同小异。如果特洛伊木马在每次的Windows重新启动时都

6、会跟着启动，这意味着它修重新启动时都会跟着启动，这意味着它修改了注册表或者改了注册表或者Win.ini或其他的系统文件以便使木或其他的系统文件以便使木马可以启动。马可以启动。n特洛伊木马会创建一些文件到特洛伊木马会创建一些文件到WindowsSystem目录下。那些文件像目录下。那些文件像一些一些Windows的正常可执行文件。大多的正常可执行文件。大多数的特洛伊木马会在数的特洛伊木马会在Alt+Ctrl+Del对话对话框中隐藏。框中隐藏。n远程访问型特洛伊木马会在你的电脑上远程访问型特洛伊木马会在你的电脑上打开一个端口让每一个人连接。一些特打开一个端口让每一个人连接。一些特洛伊木马有可以改变

7、端口的选项并且设洛伊木马有可以改变端口的选项并且设置密码为的是只能让感染你机器的人来置密码为的是只能让感染你机器的人来控制特洛伊木马控制特洛伊木马 n密码发送型特洛伊木马密码发送型特洛伊木马这种特洛伊木马的目的是找到所有这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这下把它们发送到指定的信箱。大多数这类的特洛伊木马不会在每次的类的特洛伊木马不会在每次的Windows重启时重启，而且它们大多数使用重启时重启，而且它们大多数使用25号号端口发送端口发送E-mail。像。像ICQ号码、电脑信号码、电脑信息等。如果你

8、有隐藏密码，这些特洛伊息等。如果你有隐藏密码，这些特洛伊木马是危险的。木马是危险的。n键盘记录型键盘记录型这种特洛伊木马是非常简单的。它这种特洛伊木马是非常简单的。它们只作一种事情，就是记录受害者的键们只作一种事情，就是记录受害者的键盘敲击并且在盘敲击并且在LOG文件里查找密码。通文件里查找密码。通常这种特洛伊木马随着常这种特洛伊木马随着Windows的启动的启动而启动。它们有像在线和离线记录这样而启动。它们有像在线和离线记录这样的选项。在在线选项中，它们知道受害的选项。在在线选项中，它们知道受害者在线并且记录每一件事。但在离线记者在线并且记录每一件事。但在离线记录时每一件事在录时每一件事在

9、Windows启动被记录后启动被记录后才被记录并且保存在受害者的磁盘上等才被记录并且保存在受害者的磁盘上等待被移动。待被移动。n毁坏型毁坏型这种特洛伊木马的唯一功能是毁坏这种特洛伊木马的唯一功能是毁坏并且删除文件。它们非常简单，并且很并且删除文件。它们非常简单，并且很容易被使用。它们可以自动的删除你电容易被使用。它们可以自动的删除你电脑上的所有的脑上的所有的.Dll或或.ini或或.exe文件。这文件。这是非常危险的特洛伊木马并且一旦你被是非常危险的特洛伊木马并且一旦你被感染确信你没有杀除，则你的电脑信息感染确信你没有杀除，则你的电脑信息会受到极大的影响。会受到极大的影响。nFTP型特洛伊木

10、马型特洛伊木马 n这类的特洛伊木马打开你电脑的这类的特洛伊木马打开你电脑的21号端号端口，使每一个人都可以有一个口，使每一个人都可以有一个FTP客户客户端且不用密码连接到你的电脑并且会有端且不用密码连接到你的电脑并且会有完全的上传下载选项。完全的上传下载选项。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒“计算机病毒计算机病毒”(Computer Virus)Computer Virus)一种人为编制的特殊程序代码，可将一种人为编制的特殊程序代码，可将自己附着在其他程序代码上以便传播，可自己附着在其他程序代码上以便传播，可自我复制、隐藏和潜伏，并带有破坏数据、自我复制、隐藏和潜伏，

11、并带有破坏数据、文件或系统的特殊功能文件或系统的特殊功能。特洛依木马的特例。特洛依木马的特例。具有宿主。具有宿主。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒“细菌细菌”(Bacteria)Bacteria)一种简单的可自身复制的程序，一旦一种简单的可自身复制的程序，一旦进入系统，该程序就连续不停地运行，尽进入系统，该程序就连续不停地运行，尽可能地占据处理器时间和存储空间，造成可能地占据处理器时间和存储空间，造成系统因缺乏可用资源而不能工作。系统因缺乏可用资源而不能工作。无宿主。无宿主。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒“蠕虫蠕虫”(Worm)Worm)一

12、种独立运行的程序代码，在网络环一种独立运行的程序代码，在网络环境下主动传播和复制，利用系统资源侵入境下主动传播和复制，利用系统资源侵入网络，从而阻塞和拒绝网络服务。无宿主、网络，从而阻塞和拒绝网络服务。无宿主、不驻留、仅存在于内存，可经网络传播。不驻留、仅存在于内存，可经网络传播。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒分类已随着恶意程序彼此间的交叉和互相分类已随着恶意程序彼此间的交叉和互相渗透渗透(变异变异)变得模糊。变得模糊。恶意程序的出现、发展和变化给计算机系恶意程序的出现、发展和变化给计算机系统、网络系统和各类信息系统带来了巨大的危统、网络系统和各类信息系统带来了巨

13、大的危害，尽管已经出现了许多有效的防范措施，但害，尽管已经出现了许多有效的防范措施，但仍然远远不够。因此，必须了解恶意程序及其仍然远远不够。因此，必须了解恶意程序及其对它的防御。由于计算机病毒的特殊功能和潜对它的防御。由于计算机病毒的特殊功能和潜在的威胁，它成为所有计算机恶意程序的代名在的威胁，它成为所有计算机恶意程序的代名词词。目前的威胁：目前的威胁：复合类病毒！复合类病毒！病毒制造者将病毒制造者将各类病毒机理相互借鉴，形成各类改进型、混各类病毒机理相互借鉴，形成各类改进型、混合型、交叉型和多形型的病毒合型、交叉型和多形型的病毒。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒二

14、、计算机病毒的特性二、计算机病毒的特性所有计算机病毒都具有所有计算机病毒都具有(或者部分具或者部分具有有)下述的特性，这些特性是病毒赖以生下述的特性，这些特性是病毒赖以生存的手段和机制，是计算机病毒对抗技术存的手段和机制，是计算机病毒对抗技术中必须涉及的重要问题。中必须涉及的重要问题。传染性传染性(propagation)propagation)。感染病毒感染病毒的程序一旦运行，就会感染其他的程序，的程序一旦运行，就会感染其他的程序，并且一直保持这种传染性，进行再传染。并且一直保持这种传染性，进行再传染。特洛依木马型特殊程序以预施方式发布。特洛依木马型特殊程序以预施方式发布。第第1313章章

15、计算机计算机恶意程序与病毒恶意程序与病毒持久性持久性(persistence)persistence)。带毒程序带毒程序可以再传染，带毒程序的检测和清除、带可以再传染，带毒程序的检测和清除、带毒环境的清洗、系统和数据的恢复是十分毒环境的清洗、系统和数据的恢复是十分困难和费时的，甚至是不可能的。尤其在困难和费时的，甚至是不可能的。尤其在网络环境下，病毒的跟踪检测是很困难的。网络环境下，病毒的跟踪检测是很困难的。反病毒软件及硬件本身所具有的副作用反病毒软件及硬件本身所具有的副作用,使系统恢复不稳定和困难。使系统恢复不稳定和困难。多能性多能性(versatility)versatility)。计

16、算机病计算机病毒具有各种类型，变化各异毒具有各种类型，变化各异,攻击目标不攻击目标不同同,可以针对和攻击各个应用领域，甚至可以针对和攻击各个应用领域，甚至无需任何预先信息。无需任何预先信息。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒潜伏性潜伏性(conceality)conceality)。绝大多数病绝大多数病毒代码量少、体积小，附加于其他程序之毒代码量少、体积小，附加于其他程序之上上,隐藏于系统之中而不易查觉，以便长隐藏于系统之中而不易查觉，以便长期潜伏。程序固化和病毒码的微电子化期潜伏。程序固化和病毒码的微电子化,也从另一途径使得病毒具有长期存在性和也从另一途径使得病毒具

17、有长期存在性和潜伏性。潜伏期的病毒由专门事件触发，潜伏性。潜伏期的病毒由专门事件触发，受害者很难早期发现。部分病毒具有伪装受害者很难早期发现。部分病毒具有伪装性，难以识别。性，难以识别。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒影响性影响性(effectiveness)effectiveness)。计算机计算机病毒既可以对数据、程序、以及整个系统病毒既可以对数据、程序、以及整个系统带来灾难性和深远的影响，也可以对操作带来灾难性和深远的影响，也可以对操作员、程序员、以及决策者的心理产生极大员、程序员、以及决策者的心理产生极大影响，造成平时和战时影响，造成平时和战时,军事与民事的

18、双军事与民事的双重压力。重压力。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒三、计算机病毒的分类三、计算机病毒的分类，不同的分类方式不同的分类方式：功能性功能性、进展、进展分类分类：四类（四代）四类（四代）驻留和感染机制分类驻留和感染机制分类：文件驻留型、系统驻留型、混合驻留文件驻留型、系统驻留型、混合驻留型、宏病毒。型、宏病毒。宿主机不同宿主机不同分类分类：PCPC型病毒、型病毒、MacMac病毒、病毒、UNIXUNIX病毒、网病毒、网络病毒等。络病毒等。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒 1.1.计算机病毒进展分类计算机病毒进展分类第一代第一代：良性

19、和准恶性表现良性和准恶性表现第二代第二代：恶性、破坏性、复合性机制恶性、破坏性、复合性机制第三代第三代：变异性、欺骗性、反跟踪性变异性、欺骗性、反跟踪性第四代：第四代：交叉、融合、隐形和多形性交叉、融合、隐形和多形性早期病毒与合法的特殊程序间区别模糊，早期病毒与合法的特殊程序间区别模糊，这类病毒程序的表现形式是良性的，例如：这类病毒程序的表现形式是良性的，例如：占占据和消耗时间和空间、据和消耗时间和空间、修改中断矢量，改动文修改中断矢量，改动文件指针，改动并增加文件长度，感染指定文件，件指针，改动并增加文件长度，感染指定文件，破坏有限，病毒程序代码基本不变，驻留环境破坏有限，病毒程序代

20、码基本不变，驻留环境单一单一，检测消除较容易，系统恢复较好检测消除较容易，系统恢复较好。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒目前病毒新进展目前病毒新进展：不修改中断矢量，采用插入或不修改中断矢量，采用插入或补丁补丁方方式式，不改动、也不增加文件长度，潜伏在保留不改动、也不增加文件长度，潜伏在保留区中区中，感染文件类型增加，甚至全盘感染感染文件类型增加，甚至全盘感染；恶恶性破坏增多，物理性、复盖性破坏增加性破坏增多，物理性、复盖性破坏增加；病毒程序代码改变或部分改变，反跟踪、病毒程序代码改变或部分改变，反跟踪、反分析技术采用，潜伏性强反分析技术采用，潜伏性强；变异型病

21、毒增多，变异型病毒增多，修改已知病毒，增加反侦破技术修改已知病毒，增加反侦破技术。检测消除困难，系统恢复困难检测消除困难，系统恢复困难；多机系统、多机系统、多用户系统和网络上的病毒开始出现多用户系统和网络上的病毒开始出现。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒2.2.计算机病毒的驻留方式分类计算机病毒的驻留方式分类 1)1)文件驻留型病毒文件驻留型病毒病毒附着在可执行文件中。病毒附着在可执行文件中。2)2)系统驻留型病毒系统驻留型病毒病毒程序驻留在系统保留区、参数区、磁盘。病毒程序驻留在系统保留区、参数区、磁盘。3)3)双重驻留型病毒双重驻留型病毒兼具上述两种情况。兼

22、具上述两种情况。4)4)宏病毒宏病毒利用利用Word BASICWord BASIC宏语言，宏语言，驻留在驻留在WordWord文档文档字模板字模板文档，并文档，并进行感染传播进行感染传播，原文件病毒，原文件病毒。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒宏病毒特征：宏病毒特征：与操纵系统平台无关与操纵系统平台无关它可以感染它可以感染DOS,Windows,Win95,WinNT,DOS,Windows,Win95,WinNT,MACMAC等系统下的文档和模板。等系统下的文档和模板。利用利用文档自动装载文档自动装载利用利用MS WordMS Word字处理软件特性自动装载

23、病毒字处理软件特性自动装载病毒宏代码宏代码，其他，其他OfficeOffice文档也受影响。文档也受影响。感染数据文件感染数据文件宏病毒可以感染宏病毒可以感染DOC,DOT,XLSDOC,DOT,XLS等类型的数等类型的数据文件据文件。检测消除困难检测消除困难与传统病毒机理不同，消除困难。与传统病毒机理不同，消除困难。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒四、计算机病毒的干扰方式四、计算机病毒的干扰方式潜伏待机潜伏待机。即特洛依木马，是一种。即特洛依木马，是一种具有特殊任务的潜伏程序，它注入目标系具有特殊任务的潜伏程序，它注入目标系统后不立即发作，而处于潜伏期。在潜

24、伏统后不立即发作，而处于潜伏期。在潜伏期无任何影响，直到预先设置的事件或者期无任何影响，直到预先设置的事件或者条件满足，才自激触发或外激触发，产生条件满足，才自激触发或外激触发，产生干扰和破坏。等病毒现象表现出来，已为干扰和破坏。等病毒现象表现出来，已为时过晚。它具有硬件型时过晚。它具有硬件型(预置器件预置器件)和软件和软件型型(逻辑炸弹逻辑炸弹)。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒欺骗干扰欺骗干扰。即即强迫检疫强迫检疫(Forced Forced Quarantine)Quarantine)。一种欺骗手段，病毒进入一种欺骗手段，病毒进入目标系统后即表现自己，公开宣告

25、病毒存目标系统后即表现自己，公开宣告病毒存在。此时，系统操作员被强迫进行系统检在。此时，系统操作员被强迫进行系统检疫，做病毒检测、诊断。对网络用户则不疫，做病毒检测、诊断。对网络用户则不得不退出网络，以免传染给其他站点，而得不退出网络，以免传染给其他站点，而其他网络用户也提心吊胆，担心被传染。其他网络用户也提心吊胆，担心被传染。这样，使整个系统和网络处于一种自疑状这样，使整个系统和网络处于一种自疑状态、一种不稳态、一种不稳定、不可信状态。定、不可信状态。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒性能恶化性能恶化。使系统超载。使系统超载(Overload)Overload)，运

26、行和功能逐渐恶化的过程。这种干扰运行和功能逐渐恶化的过程。这种干扰主要降低系统性能，使之不能以正常速度主要降低系统性能，使之不能以正常速度运行。运行。例如，病毒例如，病毒(及早期的蠕虫类程序及早期的蠕虫类程序)在在系统中无限制地自身复制，抢占运行时间、系统中无限制地自身复制，抢占运行时间、阻塞通信信道、占据存储空间等。它将减阻塞通信信道、占据存储空间等。它将减慢军用系统的实时响应，延迟军用控制系慢军用系统的实时响应，延迟军用控制系统的动作，影响战地信息处理速度与响应。统的动作，影响战地信息处理速度与响应。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒间谍侦察间谍侦察。即特殊的探针

27、。即特殊的探针(Probe)Probe)程序。它是一类负有特殊任务的程序，它程序。它是一类负有特殊任务的程序，它负责寻找和搜索某些专门数据，并将它们负责寻找和搜索某些专门数据，并将它们自己或者找到的数据存放或传送到一个专自己或者找到的数据存放或传送到一个专门的地点，或形成某一类特殊的、隐含式门的地点，或形成某一类特殊的、隐含式的文件的文件,到适当的时机通过特殊程序和方到适当的时机通过特殊程序和方式获取这些数据式获取这些数据,起到了一种电子侦察的起到了一种电子侦察的作用。作用。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒直接破坏直接破坏。即即刺客刺客(Assassin)Assas

28、sin)程序程序,它是病毒直接攻击的一种方式。注入的病它是病毒直接攻击的一种方式。注入的病毒摧毁和破坏某个专门文件、数据和存储毒摧毁和破坏某个专门文件、数据和存储结构。它可通过网络在任何地点查找，直结构。它可通过网络在任何地点查找，直到找到目标。并在传播过程中消除自己，到找到目标。并在传播过程中消除自己，完成任务后自毁，不留下任何痕迹。完成任务后自毁，不留下任何痕迹。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒第二节第二节计算机病毒的攻击技术计算机病毒的攻击技术一、计算机病毒的传染途径一、计算机病毒的传染途径注入注入(侵入侵入)-传染传染(驻留驻留)-替换替换(修改修改)-

29、潜伏潜伏(等待等待)-表现表现(破坏破坏)-结束结束(自毁自毁)在其上任何一个环节都可以阻止病毒在其上任何一个环节都可以阻止病毒传染、设立警戒标志和防护栏。传染、设立警戒标志和防护栏。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒二、计算机病毒的入侵机制二、计算机病毒的入侵机制 1.1.直接注入直接注入别有用心者施放，软盘、软件传播。别有用心者施放，软盘、软件传播。2.2.预置注入预置注入通过固件方式和微电子方式通过固件方式和微电子方式,利用智利用智能型可控硬件产品、部件带入或安装在系能型可控硬件产品、部件带入或安装在系统中统中,形成所谓特洛依木马式的特殊程序。形成所谓特洛依

30、木马式的特殊程序。当这些部件组成的产品进入对方系统当这些部件组成的产品进入对方系统,将将形成长期的潜在威胁形成长期的潜在威胁,特殊工作只需依靠特殊工作只需依靠某种方式激发预置的程序而已。某种方式激发预置的程序而已。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒 3.3.无线注入无线注入通过无线通信方式，利用战时无线通通过无线通信方式，利用战时无线通信系统，远距离地将计算机病毒代码信系统，远距离地将计算机病毒代码发送并进入敌方接收系统，继而进入中央发送并进入敌方接收系统，继而进入中央指挥系统或者其他子系统，完成潜伏或直指挥系统或者其他子系统，完成潜伏或直接作用。这种方式的关键是收发

31、双方的接作用。这种方式的关键是收发双方的同步同步，利用正常通信方式进入对方系统。，利用正常通信方式进入对方系统。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒 4.4.有线注入有线注入主要是经网络的病毒注入。由于网络主要是经网络的病毒注入。由于网络空间是一个人人都可进入的自由流动区，空间是一个人人都可进入的自由流动区，具有特殊发明创造力的计算机具有特殊发明创造力的计算机黑客黑客(Hacker)Hacker)总会找到进入网络系统的入口。总会找到进入网络系统的入口。而公共信息网络与国家专用信息网络的互而公共信息网络与国家专用信息网络的互连连,打开了从不敏感部门进入敏感部门的打开了

32、从不敏感部门进入敏感部门的大门。因此，军事系统受到入侵和进攻的大门。因此，军事系统受到入侵和进攻的可能性大大存在。可能性大大存在。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒三、计算机病毒的潜伏机制三、计算机病毒的潜伏机制可能的藏身之处可能的藏身之处磁盘文件、磁盘结构磁盘文件、磁盘结构(主引导、次引主引导、次引导、导、FATFAT、ROOTROOT、UMBUMB和和HMA)HMA)、保留扇区、保留扇区、超越扇区、磁盘间隙、超越扇区、磁盘间隙、CMOSCMOS等。等。网络文件、电子邮件、邮件附件等。网络文件、电子邮件、邮件附件等。1MB000000A000常常规规内内存存基本

33、基本内存内存上位上位存储区存储区1088K高端存储区高端存储区ETM/EPM64K384K640K实实模模式式显示存储器显示存储器ROMBIOS 第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒0A000TopBase640KB00000Top和和Base是两个指针，是两个指针，规定了应用程序装入的规定了应用程序装入的存储区范围，其值存放存储区范围，其值存放在在00413地址（地址（0280）。）。如果病毒侵入，可将如果病毒侵入，可将top指针下移至指针下移至top1，该区，该区域被病毒程序占据，并域被病毒程序占据，并不会被新调入的程序覆不会被新调入的程序覆盖。应用程序区域缩小。盖

34、。应用程序区域缩小。Top1病毒程序病毒程序操作系统操作系统应用程序应用程序第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒转移到病毒程序执行：转移到病毒程序执行：MOV SI,0413 ;指向指向0:0413字节字节XOR DI,DI ;DS:SI=0:0413MOV DS,DI ;0:0413中内容为中内容为0280DEC WORD PTR SI；减去；减去1K字节字节LODSW ;将将027F取到取到 AX中中MOV CL,06 ;CL=06SHL AX,CL ;左左移移6位位=9FC0PUSH AX ;压入返回段地址压入返回段地址9FC0PUSH DI ;压入返压入返回回

35、位移量位移量0000RETF ;转移到转移到9FC0:0000地址地址第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒0面0道1扇区MBS1面0道1扇区DBSMBS：Main Boot Sector 主引导扇区主引导扇区DBS：DOS Boot Secotor 次引导扇区次引导扇区FATFATRoot（系统保留扇区（系统保留扇区 62个）个）病毒藏身之地病毒藏身之地Data 第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒四、计算机病毒的感染机制四、计算机病毒的感染机制 1.1.重复感染重复感染计算机病毒的重复感染是指同一种病毒连计算机病毒的重复感染是指同一种病毒连续

36、感染，在病毒载体上形成连续重复的病毒体续感染，在病毒载体上形成连续重复的病毒体驻留或者对驻留区域进行重复覆盖。驻留或者对驻留区域进行重复覆盖。正常文件正常文件第一次感染第一次感染第二次感染第二次感染第第 n 次感染次感染病毒病毒第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒 2.2.交叉感染交叉感染计算机病毒的交叉感染是指同一系列（但计算机病毒的交叉感染是指同一系列（但不同种）病毒或者不同类型病毒的重复感染或不同种）病毒或者不同类型病毒的重复感染或者连续感染，感染的病毒种类在两种以上。者连续感染，感染的病毒种类在两种以上。正常文件正常文件第一次感染第一次感染交叉感染交叉感染多次

37、交叉感染多次交叉感染病毒病毒B病毒病毒A病毒病毒A病毒病毒A病毒病毒B病毒病毒A病毒病毒B病毒病毒N必须采取循环扫描检测！必须采取循环扫描检测！第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒 3.3.破坏性破坏性感染感染病毒在感染过程中对正常的系统程序、结病毒在感染过程中对正常的系统程序、结构、参数和文件进行了覆盖，当病构、参数和文件进行了覆盖，当病毒毒程序被清程序被清除后，会产生恢复错误，甚至不能恢复。（引除后，会产生恢复错误，甚至不能恢复。（引导型病毒多有此类情况）导型病毒多有此类情况）正常扇区正常扇区病毒扇区病毒扇区覆盖覆盖病毒体病毒体病毒体病毒体第第1313章章计算机

38、计算机恶意程序与病毒恶意程序与病毒五、计算机病毒的变异机制五、计算机病毒的变异机制 1.计算机病毒的计算机病毒的变异性变异性变异病毒变异病毒：也称：也称变种病毒变种病毒，利用某，利用某种病毒程序，添加新的功能、感染对种病毒程序，添加新的功能、感染对象和破坏目标，修改特征码或者感染象和破坏目标，修改特征码或者感染标志，破坏检测。标志，破坏检测。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒五、计算机病毒的变异机制五、计算机病毒的变异机制 2.计算机病毒的伪装性计算机病毒的伪装性伪装伪装性：病毒施放者在性：病毒施放者在病毒病毒程序中程序中故意嵌入明显的某种已知病毒的程序故意嵌入

39、明显的某种已知病毒的程序代码（假特征码），以欺骗反病毒软代码（假特征码），以欺骗反病毒软件，造成检测判断错误，从而造成清件，造成检测判断错误，从而造成清除错误。除错误。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒五、计算机病毒的变异机制五、计算机病毒的变异机制 3.计算机病毒的计算机病毒的多形性多形性改变改变病毒程序病毒程序、加密变换、分段加、加密变换、分段加密密技术等避开反病毒软件检测。技术等避开反病毒软件检测。第三节第三节计算机病毒的预防计算机病毒的预防1.1.新购置的计算机中是可能携带有病毒。新购置的计算机中是可能携带有病毒。建议：建议：对新购置的计算机系统用检测病毒

40、软对新购置的计算机系统用检测病毒软件检查是否有已知病毒件检查是否有已知病毒,用人工检测方用人工检测方法检查是否有未知病毒。在确保没有法检查是否有未知病毒。在确保没有病毒之后，再使用计算机。病毒之后，再使用计算机。2.2.新购置的硬盘或出厂时已格式化的软盘中可新购置的硬盘或出厂时已格式化的软盘中可能有病毒。能有病毒。建议：建议：对硬盘可以进行检测或进行低级格式化。对对硬盘可以进行检测或进行低级格式化。对硬盘只做硬盘只做DOS的的FORMAT格式化不能去除格式化不能去除主引导区主引导区(分区表扇区分区表扇区)病毒。对软盘做病毒。对软盘做DOS的的FORMAT格式化可以去除病毒。格式化可以去除病毒。

41、3.对新购置的计算机软件也要进行病毒检测。对新购置的计算机软件也要进行病毒检测。4.如果硬盘确无病毒，最好直接用硬盘引导如果硬盘确无病毒，最好直接用硬盘引导启动计算机，尽量不要用软盘去启动。在不启动计算机，尽量不要用软盘去启动。在不联网的情况下联网的情况下,软盘是传染病毒的最主要渠软盘是传染病毒的最主要渠道。很多以道。很多以80586为为CPU芯片的芯片的PC机中，可机中，可以通过设置以通过设置CMOS参数参数,使启动时直接从硬使启动时直接从硬盘引导启动盘引导启动,而根本不去读而根本不去读A盘。盘。5.定期与不定期地进行磁盘文件备份工作。定期与不定期地进行磁盘文件备份工作。当然备份前要保证没有

42、病毒当然备份前要保证没有病毒,不然也会将病毒不然也会将病毒备份。不要等到由于病毒破坏、备份。不要等到由于病毒破坏、PC机硬件或机硬件或软件故障使用户数据受到损坏时再去急救。软件故障使用户数据受到损坏时再去急救。特别是，重要的数据应当及时进行备份。特别是，重要的数据应当及时进行备份。6.对对于于软软盘盘，要要尽尽可可能能将将数数据据和和程程序序分分别别存存放放。装程序的软盘要贴有写保护签。装程序的软盘要贴有写保护签。7.自己的软盘在别人的机器上使用过之后，自己的软盘在别人的机器上使用过之后，在自己的机器上使用之前应进行病毒检测。在自己的机器上使用之前应进行病毒检测。在自己的机器上使用别人的软盘之

43、前，也应在自己的机器上使用别人的软盘之前，也应进行病毒检查。对重点保护的机器应做到专进行病毒检查。对重点保护的机器应做到专机、专人、专盘、专用。封闭的使用环境中，机、专人、专盘、专用。封闭的使用环境中，不会自然产生计算机病毒。不会自然产生计算机病毒。8.任任何何情情况况下下，应应保保留留一一张张写写保保护护的的、无无病病毒毒的的、带带有有各各种种DOS命命令令文文件件的的系系统统启启动动软软盘盘，用于清除病毒和维护系统。用于清除病毒和维护系统。9.做做好好分分区区表表、DOS引引导导扇扇区区等等的的备备份份工工作作，在进行系统维护和修复工作时可作为参考。在进行系统维护和修复工作时可作为参考。1

44、0.对对于于多多人人共共用用一一台台计计算算机机的的环环境境，应应建建立立登登记记上上机机制制度度，使使问问题题能能尽尽早早发发现现，有有病病毒毒能及时追查、清除能及时追查、清除,不致扩散。不致扩散。11.网络管理员在启动网络管理员在启动Novell网或其它网网或其它网络的服务器时，一定要坚持用硬盘引导络的服务器时，一定要坚持用硬盘引导启动，否则在受到引导扇区型病毒感染启动，否则在受到引导扇区型病毒感染和破坏后将会影响连接整个网络的中枢。和破坏后将会影响连接整个网络的中枢。n12.网网络络服服务务器器安安装装生生成成时时，应应划划分分成成多多文文件件卷卷系系统统。建建议议至至少少划划分分成成S

45、YS系系统统卷卷、共共享享的的应应用用程程序序卷卷和和各各个个网网络络用用户户可可以以独独占占的的用用户户数数据据卷卷。利利于于维维护护网网络络服服务务器器的的安安全全稳稳定定运运行行和和用用户户数数据据的的安安全全。如如果果系系统统卷卷受受到到损损伤伤,导导致致服服务务器器瘫瘫痪痪，那那么么通通过过重重装装系系统统卷卷，恢恢复复网网络络操操作作系系统统，使使服服务务器器重重新新投投入入运运行行。装装在在共共享享的的应应用用程程序序卷卷和和用用户户卷卷内内的的程程序序和和数数据据文文件件将将不不会会受受到到损损伤伤；如如果果用用户户卷卷内内的的存存储储空空间间拥拥塞塞时时，系系统统卷卷将将不不

46、受受影影响响，从从而而，不不会会影影响响网网络络系系统统的的正正常常运运行行；这这种种划划分分有有利于系统管理员设置网络安全存取权限。利于系统管理员设置网络安全存取权限。13.网络管理员在安装服务器时，应保证安装环网络管理员在安装服务器时，应保证安装环境无病毒，同时网络操作系统本身也不带病境无病毒，同时网络操作系统本身也不带病毒。毒。14.网络系统管理员应将网络系统管理员应将SYS系统卷设置成对系统卷设置成对其它用户为只读状态，屏蔽其它网络用户对其它用户为只读状态，屏蔽其它网络用户对系统卷除读以外的所有其它操作。保证除系系统卷除读以外的所有其它操作。保证除系统管理员外统管理员外,其它网络用户不

47、可能将病毒感染其它网络用户不可能将病毒感染到系统卷中。使网络用户总有一个安全的联到系统卷中。使网络用户总有一个安全的联网工作环境。网工作环境。15.只只允允许许系系统统管管理理员员（而而不不是是其其它它别别人人）在在应应用用程程序序卷卷中中安安装装共共享享软软件件。软软件件本本身身应应不不含含病病毒毒，其其安安装装环环境境也也不不得得带带病病毒毒。应应用用卷卷也也应应设设置置成成对对一一般般用用户户是是只只读读的的。不不经经授授权权、不不经经病病毒毒检检测测，就就不不允允许许在共享的应用程序卷中安装程序。在共享的应用程序卷中安装程序。16.系统管理员应该对网络内的共享电子邮件系统、系统管理员应

48、该对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描。发现异常情共享存储区域和用户卷进行病毒扫描。发现异常情况应及时处理，不使其扩散。系统管理员还应该在况应及时处理，不使其扩散。系统管理员还应该在应用程序卷中维持最新版本的反病毒软件供用户使应用程序卷中维持最新版本的反病毒软件供用户使用。用。18.系统管理员应在服务器上安装防病毒系统。系统管理员应在服务器上安装防病毒系统。19在在互互联联网网络络中中，不不可可能能有有绝绝对对的的把把握握阻阻止止一一切切新新生生病病毒毒的的传传染染。因因此此，当当出出现现病病毒毒传传染染迹迹象象时时，应应立立即即隔隔离离被被感感染染的的系系统统和和网网

49、络络并并进进行行处处理理，不不应应让让系系统统带带病病毒毒继继续续工工作作下下去。去。第第1313章章计算机计算机恶意程序与病毒恶意程序与病毒第三节第三节计算机病毒实例分析计算机病毒实例分析分析中不涉及病毒体源代码分析中不涉及病毒体源代码一、引导扇区病毒一、引导扇区病毒二二、文件驻留型病毒、文件驻留型病毒三三、系统驻留型病毒、系统驻留型病毒四四、混合混合驻留型病毒驻留型病毒五五、宏病毒、宏病毒n一、一、引导扇区病毒引导扇区病毒引导扇区是硬盘或软盘的第一个扇区。引导扇区是硬盘或软盘的第一个扇区。软盘只有一个引导区。一旦被格式化，引导区软盘只有一个引导区。一旦被格式化，引导区就

50、已存在。就已存在。硬盘有两个引导区。硬盘有两个引导区。0 0面面0 0道道1 1扇区称为主引导区，扇区称为主引导区，内有主引导程序和分区表。主引导程序查找内有主引导程序和分区表。主引导程序查找激活分区，该分区的第一个扇区即为激活分区，该分区的第一个扇区即为DOS DOS BOOT SECTERBOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘绝大多数病毒感染硬盘主引导扇区和软盘DOSDOS引引导扇区。一般来说，引导扇区先于其他程序导扇区。一般来说，引导扇区先于其他程序获得对获得对CPUCPU的控制，通过把自己放入引导扇区，的控制，通过把自己放入引导扇区，病毒就可以立刻控制整个系统。病

展开阅读全文