计算机病毒防治-课件PPT
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4 计算机病毒的介绍
计算机病毒的工作机理
1.计算机病毒的结构 计算机病毒在结构上有着共同性,一般由引导模块、 传染模块、表现(破坏)模块3部分组成。 必须指出的是,不是任何病毒都必须包含这3个模块。 2.计算机病毒的工作机理 因为计算机病毒的传染和发作需要使用一些系统函数 及硬件,而后者往往在不同的平台上是各不相同的,因此 大多数计算机病毒都是针对某种处理器和操作系统编写的。 我根据病毒的寄生方式分类介绍病毒。
4 计算机病毒的介绍
文件型病毒的种类 覆盖型文件病毒
ABC.EXE
依附性文件病毒
伪ABC.EXE
后
病毒
依
附
捆绑型文件病毒
Virus.exe
信息转移到磁盘的其他扇区中。当系统需要访问这些引导数据信息时,病毒
程序会将系统引导到存储这些引导信息的新扇区,从而使系统无法发觉引导
信息的转移,增强了病毒自身的隐蔽性。
引
引导指令
病
导
区
磁盘来自百度文库
毒 感染
硬盘
引 导 区
引导指令
4 计算机病毒的介绍
4.2 文件型病毒 概述
文件型病毒攻击的对象是可执行程序,病毒程序将自己附着或追加在后 缀名为.exe或.com等的可执行文件上。当感染了该类病毒的可执行文件运行 时,病毒程序将在系统中进行它的破坏行动。同时,它将驻留在内存中,试 图感染其他文件。当该类病毒完成了它的工作之后,其宿主程序才得到运行, 使一切看起来很正常。
4 计算机病毒的介绍
常见的恶意代码(广义的病毒定义)
恶意代码
需要宿主的程序
可以独立运行的程序
后门 逻辑炸弹 特洛伊木马 病毒
蠕虫
复制
恶意代码分类示意图
4 计算机病毒的介绍
4.1 引导型病毒
概述 引导区病毒就是专门感染磁盘引导扇区和硬盘主引导扇区的计算机病毒
程序,如果被感染的磁盘被作为系统启动盘使用,则在启动系统时,病毒 程序即被自动装入内存,从而是现行系统感染病毒。引导区病毒是一种将 硬盘重新分区和格式化都不能清除掉的一种顽固病毒。例如,“大麻”病 毒、“小球”病毒、“磁盘杀手”病毒。目前,在windows环境中,主引 导区也成为部分病毒(Bootkit)实施“永驻”的位置之一 ,只是实施起 来比DOS系统更加复杂而已。
计算机病毒的定义从其产生发展至今逐渐有了质的变 化,如今的病毒结合各类技术向多方面发展,基本上可以 说只要对计算机系统、计算机网络有不良影响的行为都能 称得上是计算机病毒,简言之:恶意代码就是计算机病毒。
广义上的计算机病毒还包括:蠕虫、木马、后门、流 氓软件、间谍软件、广告软件、黑客工具等。
2.计算机病毒的特点
大家好
1
计算机病毒与对抗
主要内容
1 计算机病毒的定义
2 计算机病毒的特点
3 计算机病毒的分类
4 计算机病毒的介绍
5 计算机病毒的对抗技术
2
1.计算机病毒的定义
1994年2月18日,我国正式颁布实施了《中华人民共 和国计算机信息系统安全保护条例》,在《条例》第二十 八条中明确指出:“计算机病毒,是指编制或者在计算机 程序中插入的破坏计算机功能或者毁坏数据,影响计算机 使用并能自我复制的一组计算机指令或者程序代码。”此 定义具有法律效力和权威性。
4 计算机病毒的介绍
引导型病毒的工作机理
引导扇区是硬盘或软盘的第一个扇区,是存放引导指令的地方,这些引 导指令对于操作系统的装载起着十分重要的作用。一般来说,引导扇区在 CPU的运行过程中最先获得对CPU的控制权,病毒一旦控制了引导扇区,也 就意味着病毒控制了整个计算机系统。
引导型病毒程序会用自己的代码替换原始的引导扇区信息,并把这些
4 计算机病毒的介绍
文件型病毒的工作机理
当今,绝大多数的文件型病毒都属于Win32 PE病毒,我来介绍一下 Win32 PE病毒的原理。 一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流 程示意如下: ①用户点击或系统自动运行HOST程序; ②装载HOST程序到内存; ③通过PE文件中的AddressOfEntryPoint+ImageBase,定位第一条语句的位 置(程序入口); ④从第一条语句开始执行(这时执行的其实是病毒代码); ⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码; ⑥HOST程序继续执行。
2.计算机病毒的特点
2.4 传染性
对大多数计算机病毒,传染是它的一个重要特点。它用过修改别的程 序,并把自身的副本包括进去,从而达到扩散的目的。病毒能将自身的 代码强行传染到一切符合其传染条件的未感染的文件,而且还可以通过
各种可能的渠道感染其他计算机。
2.5 不可预见性
从病毒检测技术来看,病毒还有不可预见性,不同种类病毒,其代码 千差万别,有的正常的程序也使用了类似病毒的操作甚至借鉴了某些病 毒的技术,甄别起来更是困难,再加上病毒的制作技术也在不断的提高, 所以病毒对反病毒软件永远是超前的。
计算机病毒的特点
2.1 破坏性 2.2 隐蔽性 2.3 潜伏性 2.4 传染性 2.5 不可预见性
2.计算机病毒的特点
2.1 破坏性
任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。 轻则显示一些画面,发出音乐,弹出一些无聊的窗口。重则破坏数据, 删除文件,格式化磁盘,有的甚至对计算机硬件也有损坏。
2.2 隐蔽性
病毒一般是短小精悍的一段程序,通常潜入到正常程序或磁盘中,在 没有防护的情况下,有些病毒是在悄无声息的进行着计算机的破坏或者 自我复制,有些病毒还嵌入到正常的程序中,因此很难被发现。
2.3 潜伏性
大部分病毒在感染系统之后不会马上发作,它可以长时间隐藏在系统 之中,在满足其特定条件下才启动其破坏模块。
3 计算机病毒的分类
1.按其破坏性分类 可分为:良性病毒和恶性病毒。 2.按照病毒的功能进行分类 可分为:感染性病毒、蠕虫、木马、Backdoor、VirusTools工 具等。 3.按照病毒链接方式分类 可分为:源码型、嵌入型、操作系统型和外壳型病毒。 4.按寄生方式 可分为:引导型病毒、文件型病毒以及集两种病毒特性于一体的 复合型病毒和宏病毒、网络病毒。 5.其他一些分类方式 按照计算机病毒攻击的操作系统;按照计算机病毒激活的时间; 按计算机病毒攻击的机型。