计算机病毒

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
22
第 2 章 计算机病毒
2.5.1 宏病毒特点
宏病毒的表现
自身的传播无破坏性 干扰打印和显示 删除文件
宏病毒的特点
容易制造 交叉硬件平台 传播速度极快 具有很好的隐蔽性 破坏性强
23
第 2 章 计算机病毒
2.5.2 宏病毒传播方式
实际上,宏病毒感染通用模板的目的,仅仅相当 于普通病毒要感染引导扇区和驻留内存功能,附加在 公用模板上才有“公用”的作用,感染Word或Excel 系统是为了进一步获得对系统,特别是对Office系统 的控制权。其最终目的是要传染其他Office文件,即 传染用户自己的文档文件或个人模板。可以说,在同 一台计算机上宏病毒的传染主要靠通用模板的机制, 在不同的计算机之间宏病毒的传播,就要靠具体的 Office文件,通过磁介质或网络来进行。其中也包括 Office系统中“HTML模板”发布到网上的传染机制。
病毒检查
比较法、搜索法、特征字识别法、分析法、通用解密法、 人工智能技术、数字免疫
病毒的消除
引导型病毒消除、文件型病毒消除、宏病毒清除、病毒交 叉感染的消除
14
第 2 章 计算机病毒
2.2 引导型病毒
15
第 2 章 计算机病毒
2.2 引导型病毒
2.2.1 引导型病毒特点
引导部分占据磁盘引导区。 只有在计算机启动过程中,磁盘被引导时,“引导型”病毒才被激活。
34
第 2 章 计算机病毒
2.7.2 黑色星期五病毒(长方块)
4、黑色星期五病毒程序原理分析
(1)引导驻留部分 (2)传播部分
5、黑色星期五病毒的诊断方法
(1)检查系统中是否感染有病毒 (2)检查文件上是否感染了病毒
6、黑色星期五病毒的清除与免疫:
免疫:在特定位置上放置病毒标识(特征值) 病毒的清除:有系统中病毒和文件中病毒两种。
30
第 2 章 计算机病毒
2.7.1 小球病毒
小球病毒攻击的对象主要是PC机及其兼容机,这种病毒是 在世界各地出现比较早的病毒,它的破坏性不是很强,主 要是对系统的信息显示产生干扰。 小球病毒的表现形式:
屏幕上显示按近似正弦轨迹跳动的小球,到达屏幕边缘反弹 系统运行速度显著减慢
小球病毒的传染途径:
32
第 2 章 计算机病毒
2.7.2 黑色星期五病毒(长方块)
1、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。 驻留在.COM和.EXE文件中 屏幕左下方出现一个小量块 感染不成功时,系统被死锁 系统运行速度显著减慢 删除所执行的程序 文件长度增加(COM +1813一次,EXE+1808无数次)
隐藏读写操作 隐藏长度 同时隐藏读写操作和长度。
Java病毒
29
第 2 章 计算机病毒
2.7 典型病毒原理及防治方法
小球病毒是典型的引导型病毒,它具备了引导型 病毒的一些明显特性。 黑色星期五病毒是典型的文件型病毒,它具有很 大的破坏性。 宏病毒是一种新形态的计算机病毒,也是一种跨 平台式计算机病毒。 CIH病毒是典型的Windows平台下的文件型病毒, 它感染EXE文件,驻留内存,感染Windows环境下 的PE格式文件,攻击计算机的BIOS,它具有很大 的破坏性。
8
第 2 章 计算机病毒
2.1.5 病毒的基本结构
引 导 部 分
传播部分 表现部分
计算机病毒程序结构
9
第 2 章 计算机病毒
2.1.5 病毒的基本结构
引导部分:把病毒程序加载到内存。 功能:驻留内存、修改中断、修改高端内存、保存原 中断向量 传染部分:把病毒代码复制到传染目标上。 功能:条件判断、与主程序连接、设置标志。 表现部分:运行、实施破坏 功能:条件判断、显示、文件读写
具有磁盘引导扇区内容“复原”功能。
修改内存容量,病毒驻留内存。 修改磁盘访问中断,在进行磁盘写操作的时候进行传播。
2.2.2 引导型病毒传播方式
正常的操作系统启动过程 感染引导型病毒的操作系统启动
16
第 2 章 计算机病毒
2.2.3 引导型病毒的清除方法
1Baidu Nhomakorabea病毒诊断
1)用DEBUG诊断 2)用CHKDSK命令诊断 3)用PCTOOLS实用工具软件诊断
良性病毒:是指那些只是为了表现自己而并不破坏系统数据,只占用 系统CPU资源或干扰系统工作的一类计算机病毒。 恶性病毒:是指病毒制造者在主观上故意要对被感染的计算机实施破 坏,这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格 式化操作系统盘,使系统处于瘫痪状态。
按寄生方式分类
系统引导型:系统引导时病毒装入内存,同时获得对系统的控制权, 对外传播病毒,并且在一定条件下发作,实施破坏。 文件型(外壳型):将自身包围在系统可执行文件的周围、对原文件 不作修改、运行可执行文件时,病毒程序首先被执行,进入到系统中, 获得对系统的控制权。 源码型:在源被编译之前,插入到源程序中,经编译之后,成为合法 程序的一部分。 入侵型:将自身入侵到现有程序之中,使其变成合法程序的一部分。
(1)消除系统中的病毒 2)消除文件上的病毒
35
第 2 章 计算机病毒
2.7.3 美丽莎宏病毒
美丽莎宏病毒的表现形式 美丽莎宏病毒的传染机制
HKEY_CURRENT_USER\Software \Microsoft\Office\9.0\Word\Security\“level”
中断源:引起中断的原因或者说发出中断请求的来源。 根据中断源的不同,可以把中断分为:
硬件中断可以分为外部中断和内部中断两类:
外部中断:一般是指由计算机外设发出的中断请求。
内部中断:是指因硬件出错或运算出错所引起的中断。
软件中断:其实并不是真正的中断,它们只是可被调用执行 的一般程序。
12
第 2 章 计算机病毒
定义:一些病毒即能感染文件也能感染引导扇区。
混合型病毒有文件型和引导型两类病毒的某些共同 特性
混合型病毒的诊断、清除方法可以结合诊断、清除文 件型和引导型病毒使用的方法进行。
21
第 2 章 计算机病毒
2.5 宏病毒
宏病毒的产生 宏病毒是一种特殊的文件型病毒,它的产生是利用了一些数据处理系 统。这种特性可以把特定的宏命令代码附加在指定文件上,在未经使 用者许可的情况下获取某种控制权,实现宏命令在不同文件之间的共 享和传递。 病毒通过文件的打开或关闭来获取控制权,然后进一步捕获一个或多 个系统事件,并通过这些调用完成对文件的感染。 宏病毒与传统的病毒有很大不同,它不感染.EXE和.COM等可执行文 件,而是将病毒代码以“宏”的形式潜伏在Office文件中,主要感染 Word和Excel等文件,当采用Office软件打开这些染毒文件时,这些 代码就会被执行并产生破坏作用。 宏病毒与VBA 宏病毒与正常的宏采用相同的语言编写,只是这些宏的执行效果有害。 宏病毒也应用了定自动执行这一特点,使用户在打开文件时不知不觉 地就运行了这些病毒程序。
26
第 2 章 计算机病毒
2.6.1 网络病毒的特点 网络病毒的特点:
1、破坏性强 2、传播性强 3、具有潜伏性和可激发性 4、针对性强 5、扩散面广
27
第 2 章 计算机病毒
2.6.2 网络防毒措施
服务器 工作站 网络管理
28
第 2 章 计算机病毒
2.6.3 常见网络病毒
蠕虫 多态病毒 伙伴病毒 BO病毒 隐藏病毒
33
第 2 章 计算机病毒
2.7.2 黑色星期五病毒(长方块)
2、黑色星期五病毒程序的结构 黑色星期五病毒程序由三部分组成:
(1)引导驻留部分 (2)传播部分 (3)破坏部分
3、黑色星期五病毒的传染机制 黑色星期五病毒的传染过程是将其自身复制到在 其控制下的系统中运行的所有执行文件中。
执行带有病毒的程序 动态(主动)传染条件
第 2 章 计算机病毒
第2章 计算机病毒
病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法
1
第 2 章 计算机病毒
2
第 2 章 计算机病毒
3
第 2 章 计算机病毒
4
第 2 章 计算机病毒
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
10
第 2 章 计算机病毒
2.1.6 计算机病毒与存储结构
磁盘空间的总体划分:主引导记录区(只有硬盘有)、 引导记录区、文件分配表 (FAT)、目录区和数据区。 软盘空间的总体划分:引导记 录区、文件分配表1、 文件分配表2、根目录区以及数据区 硬盘空间的总体划分:
主引导记录区:主引导程序、分区信息表 多个系统分区:
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
13
第 2 章 计算机病毒
2.1.9 病毒的防治
预防措施
访问控制、进程监视、校验信息的验证、病毒扫描程序、 启发式扫描程序、应用程序级扫描程序
24
第 2 章 计算机病毒
2.5.3 宏病毒的清除方法
1、宏病毒的预防 2、宏病毒的检测与清除
(1)用操作系统的“查找”功能 (2)用Office系统的检查 (3)其他手工方法 (4)使用专业杀毒软件
25
第 2 章 计算机病毒
2.6 网络病毒与防护
网络病毒并不是指某种特定病毒,它是能够在 网络上进行传播的计算机病毒的总称。 2.6.1 网络病毒的特点 2.6.2 网络防毒措施 2.6.3 常见网络病毒
带有病毒的软盘启动计算机 磁盘复制,copy diskcopy 动态(主动)传染条件:
磁盘读写操作 引导扇区是否有标识“1357”, 磁盘是否有剩余空间
31
第 2 章 计算机病毒
2.7.2 黑色星期五病毒(长方块)
黑色星期五病毒的名称来源于该病毒的发作条 件,即除了1987年之外,凡是十三号并且是星期五 这一天,病毒程序发作,删除磁盘上和系统中所有 被执行的文件。 该病毒又称之为希伯莱病毒、耶路撒冷病毒或 以色列病毒(犹太人病毒)。
5
第 2 章 计算机病毒
2.1.3 病毒的特点
隐蔽性:隐藏在操作系统的引导扇区、可执行文件、 数据文件、标记的坏扇区。 传染性:自我复制 潜伏性:定期发作 可触发性:控制条件,日期、时间、标识、计数器 表现性或破坏性:干扰系统、破坏数据、占用资源
6
第 2 章 计算机病毒
2.1.4 病毒的种类
按破坏性分类
7
第 2 章 计算机病毒
2.1.4 病毒的种类 按广义病毒概念分类
蠕虫(worm):监测IP地址,网络传播 逻辑炸弹(logic bomb):条件触发,定时器 特洛伊木马(Trojan Horse):隐含在应用程序上的一段程 序,当它被执行时,会破坏用户的安全性。 陷门:在某个系统或者某个文件中设置机关,使得当提供 特定的输入数据时,允许违反安全策略。 细菌(Germ):不断繁殖,直至添满整个网络的存储系统
计算机病毒定义:是指编制或者在计算机程序中插入的破 坏计算机功能或者毁坏数据、影响计算机使用且能自我复制 的一组计算机指令或者程序代码。 病毒传播载体:网络、电磁性介质和光学介质 病毒传染的基本条件:计算机系统的运行、读写介质(磁 盘)上的数据和程序 病毒的传播步骤:驻留内存、寻找传染的机会、进行传染。 病毒传染方式:引导扇区(包括硬盘的主引导扇区)传染 类、文件型病毒
18
第 2 章 计算机病毒
2.3.2 文件型病毒传播方式
前置感染 后置感染 覆盖感染 扩展覆盖感染
19
第 2 章 计算机病毒
2.3.3 文件型病毒的清除方法
1、病毒诊断
(1)比较文件内容 (2)系统的内存变化 (3)检查中断向量 2、 文件型病毒的清除
20
第 2 章 计算机病毒
2.4 混合型病毒
系统型病毒的磁盘存储结构:磁盘引导扇区(引导部 分)、磁盘其他的扇区(传染、表现部分) 病毒程序定位 文件型病毒的磁盘存储结构 外壳病毒
11
第 2 章 计算机病毒
2.1.7 计算机病毒与中断
中断的定义:CPU在运行过程中对外部事件发出的中 断请求及时地进行处理,处理完成后又立即返回断点, 继续进行CPU原来的工作。
2、手工清除病毒办法
1)硬盘主引导扇区病毒清除 2)硬盘操作系统引导扇病毒清除 3)软盘引导扇区病毒清除
17
第 2 章 计算机病毒
2.3.1文件型病毒特点
文件型病毒的主要特点是:
系统执行病毒所寄生的文件时,其病毒才被激活。
有可能直接攻击目标对象,主要是EXE、COM等可 执行文件,如果是混合型病毒,则还要攻击硬盘的主 引导扇区或操作系统引导扇区。 修改系统内存分配,病毒驻留内存。 修改系统中断,等待时机进行病毒的发作或再次传 播。
相关文档
最新文档