计算机病毒防治课件PPT

4 计算机病毒的介绍
计算机病毒的工作机理
1．计算机病毒的结构 计算机病毒在结构上有着共同性，一般由引导模块、传染模块、表现 （破坏）模块3部分组成。 必须指出的是，不是任何病毒都必须包含这3个模块。 2．计算机病毒的工作机理 因为计算机病毒的传染和发作需要使用一些系统函数及硬件，而后者 往往在不同的平台上是各不相同的，因此大多数计算机病毒都是针对某种 处理器和操作系统编写的。 我根据病毒的寄生方式分类介绍病毒。
2.2 隐蔽性
病毒一般是短小精悍的一段程序，通常潜入到正常程序或磁盘中，在没有防护的情况下，有 些病毒是在悄无声息的进行着计算机的破坏或者自我复制，有些病毒还嵌入到正常的程序中，因 此很难被发现。
2.3 潜伏性
大部分病毒在感染系统之后不会马上发作，它可以长时间隐藏在系统之中，在满足其特定条 件下才启动其破坏模块。
4 计算机病毒的介绍
普通病毒 存在形式 寄存文件 传染机制 宿主程序运行 传染目标 本地文件
蠕虫病毒 独立程序 主动攻击 网络计算机
蠕虫病毒与一般病毒的区别
4 计算机病毒的介绍
（2）蠕虫的分类
① 根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒 和面向个人用户的蠕虫病毒。 面向企业用户的蠕虫病毒利用系统漏洞，主动进行攻击，可以对整个网络造成瘫痪 性的后果，以“红色代码”、“尼姆达”、“SQL蠕虫王”为代表；面向个人用户 的蠕虫病毒通过网络（主要是电子邮件、恶意网页形式等）迅速传播，以“爱虫”、 “求职信”蠕虫为代表。
5 计算机病毒的对抗技术
（2）病毒文件的花指令
一个没有任何防护措施的程序，很容易被完整地静态反汇编出来。为了达到 迷惑破解者的目的，病毒作者往往在程序中加入花指令。这不仅仅用在计算机病 毒中以防止被轻易分析出其病毒结构和原理，它也常常用在很多正常的软件中， 以防止遭到非法破解。
宏病毒是一种专门感染 Office系列文档的恶性病毒。1995年，世界上发现了 第一个宏病毒Concept。由于宏的编程语言VBA简单易学，因此大量的宏病毒层 出不穷，短短两年时间其数量就上升至20000多种!
5 计算机病毒的对抗技术
5.1病毒技巧 （1）病毒文件的隐藏技术（同理病毒进程、注册表、服务端口等） （2）病毒的花指令 （3）病毒的加密 （4）加壳技术 （5）特征码定位 （6）反调试技术
4 计算机病毒的介绍
常见的恶意代码（广义的病毒定义）
恶意代码
需要宿主的程序
可以独立运行的程序
后门 逻辑炸弹 特洛伊木马 病毒
蠕虫
恶意代码分类示意图
复制
4 计算机病毒的介绍
4.1 引导型病毒
概述 引导区病毒就是专门感染磁盘引导扇区和硬盘主引导扇区的计算机病毒程序，如果被感染的磁
盘被作为系统启动盘使用，则在启动系统时，病毒程序即被自动装入内存，从而是现行系统感染病 毒。引导区病毒是一种将硬盘重新分区和格式化都不能清除掉的一种顽固病毒。例如，“大麻”病 毒、“小球”病毒、“磁盘杀手”病毒。目前，在windows环境中，主引导区也成为部分病毒 （Bootkit）实施“永驻”的位置之一 ，只是实施起来比DOS系统更加复杂而已。
4 计算机病毒的介绍
引导型病毒的工作机理
引导扇区是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引导指令对于操作系统 的装载起着十分重要的作用。一般来说，引导扇区在CPU的运行过程中最先获得对CPU的控制权， 病毒一旦控制了引导扇区，也就意味着病毒控制了整个计算机系统。
引导型病毒程序会用自己的代码替换原始的引导扇区信息，并把这些信息转移到磁盘的其他 扇区中。当系统需要访问这些引导数据信息时，病毒程序会将系统引导到存储这些引导信息的新 扇区，从而使系统无法发觉引导信息的转移，增强了病毒自身的隐蔽性。
计算机病毒的特点
2.1 破坏性 2.2 隐蔽性 2.3 潜伏性 2.4 传染性 2.5 不可预见性
2.计算机病毒的特点
2.1 破坏性
任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。轻则显示一些画面， 发出音乐，弹出一些无聊的窗口。重则破坏数据，删除文件，格式化磁盘，有的甚至对计算机硬 件也有损坏。
4 计算机病毒的介绍
（3）木马的工作过程 木马对网络主机的入侵过程，可大致分为6个步骤。
① 配置木马（制造者） ② 传播木马（制造者上传，用户下载） ③ 运行木马（用户运行） ④ 信息泄露（病毒程序） ⑤ 连接建立（病毒程序） ⑥ 远程控制（病毒程序）
4 计算机病毒的介绍
（4）木马的种类
① 密码发送型木马 ② 键盘记录型木马 ③ 破坏型木马 ④ DOS型木马（这个而是拒绝服务攻击的DOS） ⑤ FTP型木马
5 计算机病毒的对抗技术
（1）病毒的隐藏技术
5 计算机病毒的对抗技术
（1）病毒文件的隐藏技术
用户态文件隐藏 用户态HOOK（主要为IAT钩子） 挂钩API两个函数：FindFirstFile和FindNextFile 内核态文件隐藏 核心态HOOK（主要为SSDT钩子） 挂钩API一个函数：ZwQueryDirectoryFile
4 计算机病毒的介绍
（2）木马的特点
木马具有隐蔽性和非授权性的特点。 所谓隐蔽性，是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马。 这样，被控制端即使发现感染了木马，也不能确定其准确的位置。 所谓非授权性，是指一旦控制端与被控制端连接后，控制端将享有被控制端的大 部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是被 控制端赋予的，而是通过木马程序窃取的。
引
引导指令
病
导
毒
区
磁盘
感染
硬盘
引 导 区
引导指令
4 计算机病毒的介绍
4.2 文件型病毒 概述
文件型病毒攻击的对象是可执行程序，病毒程序将自己附着或追加在后缀名为.exe或.com等 的可执行文件上。当感染了该类病毒的可执行文件运行时，病毒程序将在系统中进行它的破坏行 动。同时，它将驻留在内存中，试图感染其他文件。当该类病毒完成了它的工作之后，其宿主程 序才得到运行，使一切看起来很正常。
3 计算机病毒的分类
1．按其破坏性分类 可分为：良性病毒和恶性病毒。 2．按照病毒的功能进行分类 可分为：感染性病毒、蠕虫、木马、Backdoor、VirusTools工具等。 3．按照病毒链接方式分类 可分为：源码型、嵌入型、操作系统型和外壳型病毒。 4．按寄生方式 可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病 毒、网络病毒。 5．其他一些分类方式 按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击 的机型。
计算机病毒与对抗
主要内容
1 计算机病毒的定义 2 计算机病毒的特点 3 计算机病毒的分类 4 计算机病毒的介绍 5 计算机病毒的对抗技术
1.计算机病毒的定义
1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系 统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒， 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响 计算机使用并能自我复制的一组计算机指令或者程序代码。”此定义具有 法律效力和权威性。
计算机中的木马是一种基于远程控制的黑客工具，采用客户机/服务器（c/s） 工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受 害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用户的一切操作， 有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动 攻击。木马的控制端和被控制端通过网络进行交互。
② 按其传播和攻击特征，可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕 虫病毒。
4 计算机病毒的介绍
(3)蠕虫的传播
蠕虫程序的一般传播过程如下： （1）扫描。由蠕虫的扫描功能模块负责收集目标主机的信息，寻找可利用的漏
洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得 到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机，探测主机的操 作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本 等。
随着互联网和无线互联网日趋完善，病毒的技术和攻击目的也更加多样，好多 病毒的功能越来越多元化，集成化，智能化。
4 计算机病毒的介绍
4.4.1 特洛伊木马 （1）木马病毒概述
“特洛伊木马”的英文名称为Trojan Horse（其名称取自希腊神话的《特洛伊 木马记》），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它 的破坏性是隐蔽的。
4 计算机病毒的介绍
4.4.2 蠕虫病毒
（1）蠕虫的定义 蠕虫病毒和普通病毒有着很大的区别。普通病毒主要是感染文件和引导区，
而蠕虫则是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性，例如 传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、 可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计 算机。在破坏性上，蠕虫病毒也不是普通病毒所能比的，网络的发展使得蠕虫可以 在短短的时间内蔓延到整个网络，造成网络瘫痪。
病毒。这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入电脑， 用时使用了加密和变形技术，所以这类病毒清除的难度更大。具体的技术我 在后面部门简述。
4 计算机病毒的介绍
4.4 网络病毒
网络病毒是指通过计算机网络传播或感染网络中和网络上计算机文件的病毒。 它不再只是靠移动式存储载体，而是网络通道。这种病毒的传染力更大，破坏力更 强。例如蠕虫病毒和木马病毒等。
4 计算机病毒的介绍
文件型病毒的工作机理
当今，绝大多数的文件型病毒都属于Win32 PE病毒，我来介绍一下Win32 PE病毒的原理。 一般来说，病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下： ①用户点击或系统自动运行HOST程序； ②装载HOST程序到内存； ③通过PE文件中的AddressOfEntryPoint+ImaБайду номын сангаасeBase，定位第一条语句的位置(程序入口)； ④从第一条语句开始执行(这时执行的其实是病毒代码)； ⑤病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码； ⑥HOST程序继续执行。
2.计算机病毒的特点
2.4 传染性
对大多数计算机病毒，传染是它的一个重要特点。它用过修改别的程序，并把自身的副本包 括进去，从而达到扩散的目的。病毒能将自身的代码强行传染到一切符合其传染条件的未感染的
文件，而且还可以通过各种可能的渠道感染其他计算机。
2.5 不可预见性
从病毒检测技术来看，病毒还有不可预见性，不同种类病毒，其代码千差万别，有的正常的 程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术，甄别起来更是困难，再加上病毒的制 作技术也在不断的提高，所以病毒对反病毒软件永远是超前的。
4 计算机病毒的介绍
文件型病毒的种类 覆盖型文件病毒
ABC.EXE
病毒
捆绑型文件病毒
依附性文件病毒
伪ABC.EXE
后 依 附
伴随型文件病毒
前 依 附
伪ABC.EXE
Virus.COM
Virus.exe
infected.exe
ABC.exe
感染
4 计算机病毒的介绍
4.3 混合病毒 混合型病毒是指那些既可以对引导区进行感染也可以对文件进行感染的
（2）攻击。攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权 限（一般为管理员权限），获得一个Shell。
（3）复制。复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并 启动。
4 计算机病毒的介绍
4.5 宏病毒
为了减少用户的重复劳作，例如进行相似的操作，Office提供了一种所谓宏的 功能。利用这个功能，用户可以把一系列的操作记录下来，作为一个宏。之后只 要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏 操作一方面方便了普通的计算机用户，另一方面却也给病毒制造者提供了可乘之 机。
计算机病毒的定义从其产生发展至今逐渐有了质的变化，如今的病毒 结合各类技术向多方面发展，基本上可以说只要对计算机系统、计算机网 络有不良影响的行为都能称得上是计算机病毒，简言之：恶意代码就是计 算机病毒。
广义上的计算机病毒还包括：蠕虫、木马、后门、流氓软件、间谍软 件、广告软件、黑客工具等。
2.计算机病毒的特点