第4章计算机病毒
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.针对性
• 很多计算机病毒并非在任何环境下都可 起作用,而是有一定的运行环境要求, 只有在软、硬件条件满足要求时才能发 作。
4.1.3 计算机病毒的传播途径
• 就当前的病毒特点分析,传播途径有两 种,一种是通过硬件设备传播,一种是 通过网络传播。
1.通过硬件设备传播
• 通过硬件设备进行传播,主要分为不可移动的 计算机硬件设备和可移动的计算机硬件设备两 种传播方式。
• 处于静态的病毒存于存储器介质中,一般不执行感染和 破坏,其传播只能借助第三方活动(如复制、下载、邮 件传输等)实现。 • 当病毒经过引导进入内存后,便处于活动状态,满足一 定的触发条件后就开始进行传染和破坏,从而构成对计 算机系统和资源的威胁和毁坏。
1.引导模块
• 计算机病毒的寄生方式有两种:采用替代方式和采用链接方式。
2.感染模块
• 感染是指计算机病毒由一个载体传播到另一个载体。 这种载体一般为磁盘,它是计算机病毒赖以生存和进 行传染的媒介。 • 计算机病毒的传染方式基本可以分为以下两大类:
• (1)立即传染
• (2)驻留内存并伺机传染
3.触发模块
• 计算机病毒在传染和发作之前,往往要判断某些特定条件是否满 足,满足则传染和发作,否则不传染或不发作,这个条件就是计 算机病毒的触发条件。计算机病毒频繁的破坏行为可能给用户以 重创。 • 目前病毒采用的触发条件主要有以下几种:
• (1)日期触发 • (2)时间触发 • (3)键盘触发 • (4)感染触发 • (5)启动触发
• (6)访问磁盘次数触发
• (7)CPU型号/主板型号触发
4.破坏模块
• 破坏模块在触发条件满足的情况下,病毒对系统或磁盘 上的文件进行破坏。 • 计算机病毒破坏行为的激烈程度取决于病毒作者的主观 愿望和他所具有的技术含量。数以万计、不断发展扩张 的病毒,其破坏行为千奇百怪。病毒破坏目标和攻击的 部位主要有:系统数据区、文件、内存、系统运行速度、 磁盘、CMOS、主板和网络等。
3.其他系统病毒
• 这类病毒主要攻击Linux、Unix和OS/2及 嵌入式系统。由于系统本身的复杂性, 这类病毒数量不是很多。
4.2.2 按传染对象分类
• 传染性是计算机病毒的本质属性,根据 寄生部位或传染对象分类,即根据计算 机病毒传染方式进行分类,可以分为引 导型病毒、文件型病毒、混合型病毒、 宏病毒和蠕虫病毒。
• 1.单机病毒
• 单机病毒的载体是磁盘,常见的是病毒从软盘传入硬盘, 感染系统,然后再传染其他软盘,软盘又传染其他系统。
• 2.网络病毒
• 网络病毒的传播媒介不再是移动式载体,而是网络通道, 这种病毒的传染能力更强,破坏力更大。
4.2.4 按破坏能力分类
• 根据病毒破坏的能力,计算机病毒可划分为良性 病毒和恶性病毒。
• 而且为了更好地隐藏自己,病毒一般只有几百或上千字节,这相 对于现在动辄MB甚至GB级的程序来说,嵌入这样一个病毒,如 果不采用专门的工具,是很难被用户发现的。
5.可触发性
• 病毒因某个事件或数值的出现,诱使病毒实施感 染或进行攻击的特性称为可触发性。
• 病毒既要隐蔽又要维持杀伤力,它必须具有可触 发性。病毒的触发机制就是用来控制感染和破坏 动作的频率的。病毒具有预定的触发条件,这些 条件可能是时间、日期、文件类型或某些特定数 据等。病毒运行时,触发机制检查预定条件是否 满足,如果满足,启动感染或破坏动作,使病毒 进行感染或攻击;如果不满足,使病毒继续潜伏。
• 其特点是附着于正常程序文件,成为程序文件 的一个外壳或部件,这是较为常见的传染方式。
3.混合型病毒
• 混合型病毒综合了引导型病毒和文件型 病毒的特性,既感染引导区又感染文件, 更增加了病毒的传染性以及存活率,此 种病毒也是最难消灭的。
4.宏病毒
• 宏病毒一般是指寄生在Microsoft Office文档上 的病毒宏代码。它影响对文档的各种操作,如 打开、存储、关闭或清除等。当打开Office文 档时,宏病毒程序就会被执行,即宏病毒处于 激活状态,当触发条件满足时,宏病毒才会传 染、表现和进行破坏。
4.1 计算机病毒概述
4.1.1 计算机病毒的定义
• 计算机病毒有很多种定义。从广义上讲,凡能够引 起计算机故障,破坏计算机数据的程序统称为计算 机病毒。 • 1994年2月18日,我国正式颁布实施了《中华人民共 和国计算机信息系统安全保护条例》,在该条例第 二十八条中明确指出:“计算机病毒,是指编制或 者在计算机程序中插入的破坏计算机功能或者毁坏 数据,影响计算机使用,并能自我复制的一组计算 机指令或者程序代码。”
• DOS病毒是指针对DOS操作系统开发的病毒。目前 几乎没有新制作的DOS病毒,由于Windows 9x病 毒的出现,DOS病毒几乎绝迹。但DOS病毒在 Windows 9x环境中仍可以进行感染活动,因此若 执行染毒文件,Windows 9x用户的系统也会被感 染。
2.Windows病毒
• 现在的个人计算机用户一般都安装了 Windows系统,而Windows病毒就是针 对Windows系统开发的病毒。 • 在Windows病毒中,种类最多的就是宏 病毒。
• 对于寄生在磁盘引导扇区的病毒来说,病毒引导程序占有了原系统引 导程序的位置,并把原系统引导程序搬移到一个特定的地方。这样系 统一启动,病毒引导模块就会自动装入内存并获得执行权,然后该引 导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置, 并采取常驻内存技术以保证这两个模块不会被覆盖,接着对这两个模 块设定某种激活方式,使之在适当时获得执行权。完成这些工作后, 病毒引导模块将系统引导模块装入内存,使系统在带毒状态下依然可 以继续运行。 • 对于寄生在文件中的病毒来说,病毒程序一般可以通过修改原有文件, 使对该文件的操作转入病毒程序引导模块,引导模块也完成把病毒程 序的其他两个模块驻留内存及初始化的工作,然后把执行权交给原文 件,使系统及文件在带毒状态下继续运行。
• • • • • • • • • • • • 1)平时运行正常的计算机突然无缘无故地死机 2)操作系统无法正常启动 3)运行速度明显变慢 4)以前能正常运行的软件经常发生内存不足的错误 5)打印和通信发生异常 6)自动对移动存储设备进行写操作 7)以前能正常运行的应用程序经常发生死机或者非法错误 8)系统文件的时间、日期、大小发生变化 9)Word文档打开后,只能以模板方式保存 10)磁盘空间迅速减少 11)网络驱动器卷或共享目录无法调用 13)陌生人发来的电子邮件
5.蠕虫病毒
• 蠕虫病毒是一种典型的网络病毒,它利用网络 进行复制和传播。
• 蠕虫病毒与一般病毒不同,蠕虫不需要将其自 身附着到宿主程序,是自包含的程序(或是一 套程序),它能传播它自身功能的复制或它的 某些部分到其他的计算机系统中(通常是经过 网络连接)。
4.2.3 按传播媒介分类
• 按照传播媒介分类,计算机病毒可分为单机病毒 和网络病毒。
网络安全与管理
第4章 计算机病毒
• 知识目标
• • • • 掌握计算机病毒的定义、特点、传播途径 了解计算机病毒的表现方式 了解计算机病毒的起源和发展 掌握计算机病毒的几种分类方法
• 技能目标
• 掌握计算机病毒的工作原理 • 掌握计算机病毒的检测、清除和防范 • 了解瑞星杀毒软件和360杀毒软件的使用方法
1.引导型病毒
• 引导型病毒主要是用病毒的全部或部分代码取代 正常的引导记录,而将正常的引导记录隐藏在磁 盘的其他地方。
• 引导区传染的计算机病毒较多,例如,“大麻” 和“小球”病毒就是这类病毒。
2.文件型病毒
• 文件型病毒一般只传染磁盘上的可执行文件 (后缀为COM和EXE)。在用户调用染毒的可 执行文件时,病毒首先被运行,然后病毒驻留 内存伺机传染其他文件或直接传染其他文件。
• 1.良性病毒
• 良性病毒是指那些只是为了表现自身,并不彻底破坏系 统和数据,但会占用大量CPU时间、增加系统开销、降 低系统工作效率的一类计算机病毒。
• 2.恶性病毒
• 恶性病毒就像是计算机系统的恶性肿瘤,它们的目的就 是破坏计算机系统的信息资源。
4.3 计算机病毒的工作原理
4.3.1 病毒的生命周期
4.1.5 计算机病毒的起源与发展
• 计算机病毒的发展经历了以下几个主要阶段:
• 1.第一代病毒
• 2.第二代病毒
• 3.第三代病毒 • 4.第四代病毒
4.2 计算机病毒的分类
4.2.1 按攻击对象分类
• 根据病毒的攻击目标,计算机病毒可以分为DOS病 毒、Windows病毒和其他系统病毒。
1.DOS病毒
病毒的最重要条件。
2.非授权性
• 非授权性是指病毒未经授权而执行。正常的程序 是由用户调用,再由系统分配资源,完成用户交 给的任务,其目的对用户是可见的、透明的。 • 而病毒隐藏在正常程序中,窃取正常程序的系统 控制权,并先于正常程序执行,病毒的动作、目 的对用户来说是未知的,是未经用户允许的。
3.破坏性
2.计算机病毒发作时的表现
• • • • • • • • • 1)提示一些不相干的话 2)发出一段音乐 3)产生特定的图像 4)硬盘灯不断闪烁 5)进行游戏算法 6)Windows桌面图标发生变化 7)计算机突然死机或重启 8)自动发送电子邮件 9)鼠标指针自己在动
3.计算机病毒发作后的表现
• • • • • • • • 1)无法从硬盘启动系统,数据丢失 2)系统文件丢失或被破坏 3)文件目录发生混乱 4)部分文档丢失或被破坏 5)部分文档自动加密 6)修改Autoexec.bat文件 7)使部分BIOS程序混乱,主板被破坏 8)网络瘫痪,无法提供正常的服务
• 计算机病毒拥有一个生命周期,从生成开始到完 全根除结束,总共可以分为7个阶段。
• 1.开发期
• 2.传染期 • 3.潜伏期
• 4.发作期
• 5.发现期 • 6.消化期
• 7.消亡期
4.3.2病毒的逻辑结构
• 计算机病毒一般由引导模块、感染模块、触发模 块、破坏模块四大部分组成。
• 根据是否被加载到内存,计算机病毒又有静态和 动态两种状态。
来自百度文库
4.1.4 计算机病毒的表现
• 根据计算机病毒感染和发作的阶段,可以将计算 机病毒的表现分为三大类,即计算机病毒发作前、 发作时和发作后。需要注意的是,这些表现也并 非一定由计算机病毒引起,有时候,操作不慎或 者软、硬件本身存在的问题也会导致部分现象的 发生,需要根据实际情况进一步分析。
1.计算机病毒发作前的表现
• 1)通过不可移动的计算机硬件设备传播 • 2)通过移动存储设备传播
2.通过网络进行传播
• 通过网络进行传播可以分为通过有线网络传播和无线 通信系统传播两种方式。 • 1)通过有线网络传播 • 电子布告栏(BBS) • 电子邮件 • 即时消息服务(QQ、ICQ、MSN等) • Web服务 • FTP服务 • 新闻组 • 2)通过无线通信系统进行传播
• 任何计算机病毒感染了系统后,都会对系统产生 不同程度的影响。
• 发作时轻则占用系统资源,影响计算机运行速度, 降低计算机工作效率,使用户不能正常使用计算 机;重则破坏用户计算机的数据,甚至破坏计算 机硬件,给用户带来巨大的损失。
• 病毒的破坏程度取决于病毒制造者的目的和技术 水平。
4.隐蔽性
• 一般情况下,计算机病毒都不是独立存在的,而是嵌入其他的某 个程序中,把被嵌入的程序称为宿主程序。当执行宿主程序时, 病毒代码就会被执行。 • 一般在没有防护措施的情况下,计算机病毒程序取得系统控制权 后,可以在很短的时间内感染大量程序。而且受到传染后,计算 机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾 在计算机内发生过什么。正是由于这种隐蔽性,计算机病毒得以 在用户没有察觉的情况下扩散并游荡于世界上的无数计算机中。
4.1.2 计算机病毒的特点
• 计算机病毒是一种特殊的程序,除与其他正常 程序一样可以存储和执行之外,还具有以下几 个与众不同的特点。
• 1.传染性(感染性) • 2.非授权性
• 3.破坏性
• 4.隐蔽性 • 5.可触发性 • 6.针对性
1.传染性(感染性)
• 传染性是病毒的基本特征。
• 是否具有传染性是判别一个程序是否为计算机