计算机病毒
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
30
2.7.1 小球病毒
小球病毒攻击的对象主要是PC机及其兼容机,这 种病毒是在世界各地出现比较早的病毒,它的破坏 性不是很强,主要是对系统的信息显示产生干扰。 小球病毒的表现形式:
屏幕上显示按近似正弦轨迹跳动的小球,到达屏幕边缘 反弹 系统运行速度显著减慢
小球病毒的传染途径:
14
2.2 引导型病毒
15
2.2 引导型病毒
2.2.1 引导型病毒特点
引导部分占据磁盘引导区。 只有在计算机启动过程中,磁盘被引导时,“引导型”病毒 才被激活。 具有磁盘引导扇区内容“复原”功能。
修改内存容量,病毒驻留内存。
修改磁盘访问中断,在进行磁盘写操作的时候进行传播。
按寄生方式分类
系统引导型:系统引导时病毒装入内存,同时获得对系统 的控制权,对外传播病毒,并且在一定条件下发作,实施 破坏。 文件型(外壳型):将自身包围在系统可执行文件的周围、 对原文件不作修改、运行可执行文件时,病毒程序首先被
7
2.1.4 病毒的种类
按广义病毒概念分类
蠕虫(worm):监测IP地址,网络传播 逻辑炸弹(logic bomb):条件触发,定时器 特洛伊木马(Trojan Horse):隐含在应用程序 上的一段程序,当它被执行时,会破坏用户的安 全性。 陷门:在某个系统或者某个文件中设置机关,使 得当提供特定的输入数据时,允许违反安全策略。 细菌(Germ):不断繁殖,直至添满整个网络的 存储系统
2.2.2 引导型病毒传播方式
正常的操作系统启动过程 感染引导型病毒的操作系统启动
16
2.2.3 引导型病毒的清除方法
1、病毒诊断
1)用DEBUG诊断 2)用CHKDSK命令诊断 3)用PCTOOLS实用工具软件诊断
2、手工清除病毒办法
1)硬盘主引导扇区病毒清除 2)硬盘操作系统引导扇病毒清除 3)软盘引导扇区病毒清除
32
1、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。 驻留在.COM和.EXE文件中 屏幕左下方出现一个小量块 感染不成功时,系统被死锁 系统运行速度显著减慢 删除所执行的程序 文件长度增加(COM +1813一次,EXE+1808 无数次)
33
2.7.2 黑色星期五病毒(长方块)
5
2.1.3 病毒的特点
隐蔽性:隐藏在操作系统的引导扇区、可执 行文件、数据文件、标记的坏扇区。 传染性:自我复制 潜伏性:定期发作 可触发性:控制条件,日期、时间、标识、 计数器 表现性或破坏性:干扰系统、破坏数据、占 用资源
6
2.1.4 病毒的种类
按破坏性分类
良性病毒:是指那些只是为了表现自己而并不破坏系统数 据,只占用系统CPU资源或干扰系统工作的一类计算机病 毒。 恶性病毒:是指病毒制造者在主观上故意要对被感染的计 算机实施破坏,这类病毒一旦发作就破坏系统的数据、删 除文件、加密磁盘或格式化操作系统盘,使系统处于瘫痪 状态。
系统型病毒的磁盘存储结构:磁盘引导扇区 (引导部分)、磁盘其他的扇区(传染、表现 部分) 病毒程序定位 11
2.1.7 计算机病毒与中断
中断的定义:CPU在运行过程中对外部事件发 出的中断请求及时地进行处理,处理完成后又 立即返回断点,继续进行CPU原来的工作。
中断源:引起中断的原因或者说发出中断请求 的来源。根据中断源的不同,可以把中断分为:
硬件中断可以分为外部中断和内部中断两类:
外部中断:一般是指由计算机外设发出的中断请求。 内部中断:是指因硬件出错或运算出错所引起的中断。
软件中断:其实并不是真正的中断,它们只是可 被调用执行的一般程序。
12
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
34
2.7.2 黑色星期五病毒(长方块)
4、黑色星期五病毒程序原理分析
(1)引导驻留部分 (2)传播部分
5、黑色星期五病毒的诊断方法
(1)检查系统中是否感染有病毒 (2)检查文件上是否感染了病毒
6、黑色星期五病毒的清除与免疫:
免疫:在特定位置上放置病毒标识(特征值)
2、黑色星期五病毒程序的结构 黑色星期五病毒程序由三部分组成:
(1)引导驻留部分 (2)传播部分 (3)破坏部分
2.7.2 黑色星期五病毒(长方块)
3、黑色星期五病毒的传染机制 黑色星期五病毒的传染过程是将其自身复 制到在其控制下的系统中运行的所有执行 文件中。
执行带有病毒的程序 动态(主动)传染条件
病毒的清除:有系统中病毒和文件中病毒两种。
(1)消除系统中的病毒
2)消除文件上的病毒
35
2.7.3
美丽莎宏病毒
美丽莎宏病毒的表现形式
HKEY_CURRENT_USER\Software\Microsoft\Office\“Melissa?”=“… by KWyjibo”
美丽莎宏病毒的传染机制
带有病毒的软盘启动计算机 磁盘复制,copy diskcopy 动态(主动)传染条件:
磁盘读写操作 引导扇区是否有标识“1357”,
31
2.7.2 黑色星期五病毒(长方块)
黑色星期五病毒的名称来源于该病毒的 发作条件,即除了1987年之外,凡是十三 号并且是星期五这一天,病毒程序发作, 删除磁盘上和系统中所有被执行的文件。 该病毒又称之为希伯莱病毒、耶路撒冷 病毒或以色列病毒(犹太人病毒)。
百度文库
10
2.1.6 计算机病毒与存储结构
磁盘空间的总体划分:主引导记录区(只有硬 盘有)、引导记录区、文件分配表 (FAT)、 目录区和数据区。 软盘空间的总体划分:引导记 录区、文件分 配表1、文件分配表2、根目录区以及数据区 硬盘空间的总体划分:
主引导记录区:主引导程序、分区信息表 多个系统分区:
前置感染 后置感染 覆盖感染 扩展覆盖感染
19
2.3.3 文件型病毒的清除方法
1、病毒诊断
(1)比较文件内容 (2)系统的内存变化 (3)检查中断向量 2、 文件型病毒的清除
20
2.4 混合型病毒
定义:一些病毒即能感染文件也能感染引导扇
区。 混合型病毒有文件型和引导型两类病毒的某 些共同特性 混合型病毒的诊断、清除方法可以结合诊断、 清除文件型和引导型病毒使用的方法进行。
26
2.6.1
网络病毒的特点
网络病毒的特点:
1、破坏性强 2、传播性强 3、具有潜伏性和可激发性 4、针对性强 5、扩散面广
27
2.6.2 网络防毒措施
服务器 工作站 网络管理
28
2.6.3 常见网络病毒
蠕虫 多态病毒 伙伴病毒 BO病毒 隐藏病毒
8
2.1.5
病毒的基本结构
引 导 部 分
传播部分 表现部分
计算机病毒程序结构
9
2.1.5
病毒的基本结构
引导部分:把病毒程序加载到内存。 功能:驻留内存、修改中断、修改高端内存、 保存原中断向量 传染部分:把病毒代码复制到传染目标上。 功能:条件判断、与主程序连接、设置标志。 表现部分:运行、实施破坏 功能:条件判断、显示、文件读写
隐藏读写操作 隐藏长度 同时隐藏读写操作和长度。
Java病毒
29
2.7 典型病毒原理及防治方法
小球病毒是典型的引导型病毒,它具备了 引导型病毒的一些明显特性。 黑色星期五病毒是典型的文件型病毒,它 具有很大的破坏性。 宏病毒是一种新形态的计算机病毒,也是 一种跨平台式计算机病毒。 CIH病毒是典型的Windows平台下的文件 型病毒,它感染EXE文件,驻留内存,感 染Windows环境下的PE格式文件,攻击计 算机的BIOS,它具有很大的破坏性。
13
2.1.9 病毒的防治
预防措施
访问控制、进程监视、校验信息的验证、病毒扫 描程序、启发式扫描程序、应用程序级扫描程序
病毒检查
比较法、搜索法、特征字识别法、分析法、通用 解密法、人工智能技术、数字免疫
病毒的消除
引导型病毒消除、文件型病毒消除、宏病毒清除、 病毒交叉感染的消除
38
17
2.3.1文件型病毒特点
文件型病毒的主要特点是: 系统执行病毒所寄生的文件时,其病毒才被 激活。
有可能直接攻击目标对象,主要是EXE、 COM等可执行文件,如果是混合型病毒,则 还要攻击硬盘的主引导扇区或操作系统引导 扇区。 修改系统内存分配,病毒驻留内存。
18
2.3.2 文件型病毒传播方式
24
2.5.3 宏病毒的清除方法
1、宏病毒的预防 2、宏病毒的检测与清除
(1)用操作系统的“查找”功能 (2)用Office系统的检查 (3)其他手工方法 (4)使用专业杀毒软件
25
2.6 网络病毒与防护
网络病毒并不是指某种特定病毒,它是 能够在网络上进行传播的计算机病毒的总称。 2.6.1 网络病毒的特点 2.6.2 网络防毒措施 2.6.3 常见网络病毒
21
2.5 宏病毒
宏病毒的产生 宏病毒是一种特殊的文件型病毒,它的产生是利用了一些 数据处理系统。这种特性可以把特定的宏命令代码附加在 指定文件上,在未经使用者许可的情况下获取某种控制权, 实现宏命令在不同文件之间的共享和传递。
病毒通过文件的打开或关闭来获取控制权,然后进一步捕 获一个或多个系统事件,并通过这些调用完成对文件的感 染。 宏病毒与传统的病毒有很大不同,它不感染.EXE和.COM 等可执行文件,而是将病毒代码以“宏”的形式潜伏在 Office文件中,主要感染Word和Excel等文件,当采用 Office软件打开这些染毒文件时,这些代码就会被执行并 产生破坏作用。 宏病毒与VBA
第2章 计算机病毒
病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法
1
2
3
4
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
计算机病毒定义:是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据、影响计算 机使用且能自我复制的一组计算机指令或者程序 代码。 病毒传播载体:网络、电磁性介质和光学介质 病毒传染的基本条件:计算机系统的运行、读写 介质(磁盘)上的数据和程序 病毒的传播步骤:驻留内存、寻找传染的机会、 进行传染。 病毒传染方式:引导扇区(包括硬盘的主引导扇
22
2.5.1 宏病毒特点
宏病毒的表现
自身的传播无破坏性 干扰打印和显示 删除文件
宏病毒的特点
容易制造 交叉硬件平台 传播速度极快 具有很好的隐蔽性 破坏性强
23
2.5.2 宏病毒传播方式
实际上,宏病毒感染通用模板的目的,仅 仅相当于普通病毒要感染引导扇区和驻留内 存功能,附加在公用模板上才有“公用”的 作用,感染Word或Excel系统是为了进一步 获得对系统,特别是对Office系统的控制权。 其最终目的是要传染其他Office文件,即传染 用户自己的文档文件或个人模板。可以说, 在同一台计算机上宏病毒的传染主要靠通用 模板的机制,在不同的计算机之间宏病毒的 传播,就要靠具体的Office文件,通过磁介质 或网络来进行。其中也包括Office系统中 “HTML模板”发布到网上的传染机制。
HKEY_CURRENT_USER\Software \Microsoft\Office\9.0\Word\Security\“level”
36
2.7.4 CIH病毒
37
小
结
作业 P79 1、3、6 1、什么是计算机病毒?它由哪几部分构成? 3、计算机病毒的基本特征是什么? 6、说明计算机病毒与计算机存储结构之间的 关系
2.7.1 小球病毒
小球病毒攻击的对象主要是PC机及其兼容机,这 种病毒是在世界各地出现比较早的病毒,它的破坏 性不是很强,主要是对系统的信息显示产生干扰。 小球病毒的表现形式:
屏幕上显示按近似正弦轨迹跳动的小球,到达屏幕边缘 反弹 系统运行速度显著减慢
小球病毒的传染途径:
14
2.2 引导型病毒
15
2.2 引导型病毒
2.2.1 引导型病毒特点
引导部分占据磁盘引导区。 只有在计算机启动过程中,磁盘被引导时,“引导型”病毒 才被激活。 具有磁盘引导扇区内容“复原”功能。
修改内存容量,病毒驻留内存。
修改磁盘访问中断,在进行磁盘写操作的时候进行传播。
按寄生方式分类
系统引导型:系统引导时病毒装入内存,同时获得对系统 的控制权,对外传播病毒,并且在一定条件下发作,实施 破坏。 文件型(外壳型):将自身包围在系统可执行文件的周围、 对原文件不作修改、运行可执行文件时,病毒程序首先被
7
2.1.4 病毒的种类
按广义病毒概念分类
蠕虫(worm):监测IP地址,网络传播 逻辑炸弹(logic bomb):条件触发,定时器 特洛伊木马(Trojan Horse):隐含在应用程序 上的一段程序,当它被执行时,会破坏用户的安 全性。 陷门:在某个系统或者某个文件中设置机关,使 得当提供特定的输入数据时,允许违反安全策略。 细菌(Germ):不断繁殖,直至添满整个网络的 存储系统
2.2.2 引导型病毒传播方式
正常的操作系统启动过程 感染引导型病毒的操作系统启动
16
2.2.3 引导型病毒的清除方法
1、病毒诊断
1)用DEBUG诊断 2)用CHKDSK命令诊断 3)用PCTOOLS实用工具软件诊断
2、手工清除病毒办法
1)硬盘主引导扇区病毒清除 2)硬盘操作系统引导扇病毒清除 3)软盘引导扇区病毒清除
32
1、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。 驻留在.COM和.EXE文件中 屏幕左下方出现一个小量块 感染不成功时,系统被死锁 系统运行速度显著减慢 删除所执行的程序 文件长度增加(COM +1813一次,EXE+1808 无数次)
33
2.7.2 黑色星期五病毒(长方块)
5
2.1.3 病毒的特点
隐蔽性:隐藏在操作系统的引导扇区、可执 行文件、数据文件、标记的坏扇区。 传染性:自我复制 潜伏性:定期发作 可触发性:控制条件,日期、时间、标识、 计数器 表现性或破坏性:干扰系统、破坏数据、占 用资源
6
2.1.4 病毒的种类
按破坏性分类
良性病毒:是指那些只是为了表现自己而并不破坏系统数 据,只占用系统CPU资源或干扰系统工作的一类计算机病 毒。 恶性病毒:是指病毒制造者在主观上故意要对被感染的计 算机实施破坏,这类病毒一旦发作就破坏系统的数据、删 除文件、加密磁盘或格式化操作系统盘,使系统处于瘫痪 状态。
系统型病毒的磁盘存储结构:磁盘引导扇区 (引导部分)、磁盘其他的扇区(传染、表现 部分) 病毒程序定位 11
2.1.7 计算机病毒与中断
中断的定义:CPU在运行过程中对外部事件发 出的中断请求及时地进行处理,处理完成后又 立即返回断点,继续进行CPU原来的工作。
中断源:引起中断的原因或者说发出中断请求 的来源。根据中断源的不同,可以把中断分为:
硬件中断可以分为外部中断和内部中断两类:
外部中断:一般是指由计算机外设发出的中断请求。 内部中断:是指因硬件出错或运算出错所引起的中断。
软件中断:其实并不是真正的中断,它们只是可 被调用执行的一般程序。
12
2.1.8 病毒的危害
1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统
34
2.7.2 黑色星期五病毒(长方块)
4、黑色星期五病毒程序原理分析
(1)引导驻留部分 (2)传播部分
5、黑色星期五病毒的诊断方法
(1)检查系统中是否感染有病毒 (2)检查文件上是否感染了病毒
6、黑色星期五病毒的清除与免疫:
免疫:在特定位置上放置病毒标识(特征值)
2、黑色星期五病毒程序的结构 黑色星期五病毒程序由三部分组成:
(1)引导驻留部分 (2)传播部分 (3)破坏部分
2.7.2 黑色星期五病毒(长方块)
3、黑色星期五病毒的传染机制 黑色星期五病毒的传染过程是将其自身复 制到在其控制下的系统中运行的所有执行 文件中。
执行带有病毒的程序 动态(主动)传染条件
病毒的清除:有系统中病毒和文件中病毒两种。
(1)消除系统中的病毒
2)消除文件上的病毒
35
2.7.3
美丽莎宏病毒
美丽莎宏病毒的表现形式
HKEY_CURRENT_USER\Software\Microsoft\Office\“Melissa?”=“… by KWyjibo”
美丽莎宏病毒的传染机制
带有病毒的软盘启动计算机 磁盘复制,copy diskcopy 动态(主动)传染条件:
磁盘读写操作 引导扇区是否有标识“1357”,
31
2.7.2 黑色星期五病毒(长方块)
黑色星期五病毒的名称来源于该病毒的 发作条件,即除了1987年之外,凡是十三 号并且是星期五这一天,病毒程序发作, 删除磁盘上和系统中所有被执行的文件。 该病毒又称之为希伯莱病毒、耶路撒冷 病毒或以色列病毒(犹太人病毒)。
百度文库
10
2.1.6 计算机病毒与存储结构
磁盘空间的总体划分:主引导记录区(只有硬 盘有)、引导记录区、文件分配表 (FAT)、 目录区和数据区。 软盘空间的总体划分:引导记 录区、文件分 配表1、文件分配表2、根目录区以及数据区 硬盘空间的总体划分:
主引导记录区:主引导程序、分区信息表 多个系统分区:
前置感染 后置感染 覆盖感染 扩展覆盖感染
19
2.3.3 文件型病毒的清除方法
1、病毒诊断
(1)比较文件内容 (2)系统的内存变化 (3)检查中断向量 2、 文件型病毒的清除
20
2.4 混合型病毒
定义:一些病毒即能感染文件也能感染引导扇
区。 混合型病毒有文件型和引导型两类病毒的某 些共同特性 混合型病毒的诊断、清除方法可以结合诊断、 清除文件型和引导型病毒使用的方法进行。
26
2.6.1
网络病毒的特点
网络病毒的特点:
1、破坏性强 2、传播性强 3、具有潜伏性和可激发性 4、针对性强 5、扩散面广
27
2.6.2 网络防毒措施
服务器 工作站 网络管理
28
2.6.3 常见网络病毒
蠕虫 多态病毒 伙伴病毒 BO病毒 隐藏病毒
8
2.1.5
病毒的基本结构
引 导 部 分
传播部分 表现部分
计算机病毒程序结构
9
2.1.5
病毒的基本结构
引导部分:把病毒程序加载到内存。 功能:驻留内存、修改中断、修改高端内存、 保存原中断向量 传染部分:把病毒代码复制到传染目标上。 功能:条件判断、与主程序连接、设置标志。 表现部分:运行、实施破坏 功能:条件判断、显示、文件读写
隐藏读写操作 隐藏长度 同时隐藏读写操作和长度。
Java病毒
29
2.7 典型病毒原理及防治方法
小球病毒是典型的引导型病毒,它具备了 引导型病毒的一些明显特性。 黑色星期五病毒是典型的文件型病毒,它 具有很大的破坏性。 宏病毒是一种新形态的计算机病毒,也是 一种跨平台式计算机病毒。 CIH病毒是典型的Windows平台下的文件 型病毒,它感染EXE文件,驻留内存,感 染Windows环境下的PE格式文件,攻击计 算机的BIOS,它具有很大的破坏性。
13
2.1.9 病毒的防治
预防措施
访问控制、进程监视、校验信息的验证、病毒扫 描程序、启发式扫描程序、应用程序级扫描程序
病毒检查
比较法、搜索法、特征字识别法、分析法、通用 解密法、人工智能技术、数字免疫
病毒的消除
引导型病毒消除、文件型病毒消除、宏病毒清除、 病毒交叉感染的消除
38
17
2.3.1文件型病毒特点
文件型病毒的主要特点是: 系统执行病毒所寄生的文件时,其病毒才被 激活。
有可能直接攻击目标对象,主要是EXE、 COM等可执行文件,如果是混合型病毒,则 还要攻击硬盘的主引导扇区或操作系统引导 扇区。 修改系统内存分配,病毒驻留内存。
18
2.3.2 文件型病毒传播方式
24
2.5.3 宏病毒的清除方法
1、宏病毒的预防 2、宏病毒的检测与清除
(1)用操作系统的“查找”功能 (2)用Office系统的检查 (3)其他手工方法 (4)使用专业杀毒软件
25
2.6 网络病毒与防护
网络病毒并不是指某种特定病毒,它是 能够在网络上进行传播的计算机病毒的总称。 2.6.1 网络病毒的特点 2.6.2 网络防毒措施 2.6.3 常见网络病毒
21
2.5 宏病毒
宏病毒的产生 宏病毒是一种特殊的文件型病毒,它的产生是利用了一些 数据处理系统。这种特性可以把特定的宏命令代码附加在 指定文件上,在未经使用者许可的情况下获取某种控制权, 实现宏命令在不同文件之间的共享和传递。
病毒通过文件的打开或关闭来获取控制权,然后进一步捕 获一个或多个系统事件,并通过这些调用完成对文件的感 染。 宏病毒与传统的病毒有很大不同,它不感染.EXE和.COM 等可执行文件,而是将病毒代码以“宏”的形式潜伏在 Office文件中,主要感染Word和Excel等文件,当采用 Office软件打开这些染毒文件时,这些代码就会被执行并 产生破坏作用。 宏病毒与VBA
第2章 计算机病毒
病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法
1
2
3
4
2.1 病毒基本概念
2.1.1 病毒的起源 2.1.2 病毒的本质
计算机病毒定义:是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据、影响计算 机使用且能自我复制的一组计算机指令或者程序 代码。 病毒传播载体:网络、电磁性介质和光学介质 病毒传染的基本条件:计算机系统的运行、读写 介质(磁盘)上的数据和程序 病毒的传播步骤:驻留内存、寻找传染的机会、 进行传染。 病毒传染方式:引导扇区(包括硬盘的主引导扇
22
2.5.1 宏病毒特点
宏病毒的表现
自身的传播无破坏性 干扰打印和显示 删除文件
宏病毒的特点
容易制造 交叉硬件平台 传播速度极快 具有很好的隐蔽性 破坏性强
23
2.5.2 宏病毒传播方式
实际上,宏病毒感染通用模板的目的,仅 仅相当于普通病毒要感染引导扇区和驻留内 存功能,附加在公用模板上才有“公用”的 作用,感染Word或Excel系统是为了进一步 获得对系统,特别是对Office系统的控制权。 其最终目的是要传染其他Office文件,即传染 用户自己的文档文件或个人模板。可以说, 在同一台计算机上宏病毒的传染主要靠通用 模板的机制,在不同的计算机之间宏病毒的 传播,就要靠具体的Office文件,通过磁介质 或网络来进行。其中也包括Office系统中 “HTML模板”发布到网上的传染机制。
HKEY_CURRENT_USER\Software \Microsoft\Office\9.0\Word\Security\“level”
36
2.7.4 CIH病毒
37
小
结
作业 P79 1、3、6 1、什么是计算机病毒?它由哪几部分构成? 3、计算机病毒的基本特征是什么? 6、说明计算机病毒与计算机存储结构之间的 关系