病毒总结
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.计算机病毒的组成
a)引导模块
b)感染模块
c)破坏模块
d)触发模块
2.计算机病毒的特征
a)驻留内存
b)病毒变种
c)EPO技术
d)抗分析技术
e)隐蔽性病毒技术
f)多态性病毒技术
g)插入型病毒技术
h)自动生产技术
i)网络病毒技术
3.各个操作系统下病毒的分类及原理
(1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
a) 文件型病毒
DOS病毒的绝大部分是感染DOS可执行文件,如:。EXE,。COM,甚至是。BAT等文件。这类病毒被称为文件型病毒。像“黑色星期五”、“1575"、“卡死脖”病毒(CASPER)等就是文件型病毒。
DOS文件型病毒一般通过将病毒本体链接到可执行文件(。EXE、。COM)上进行保存自身,并在该可执行文件得到执行后,主动或被动的找到其他可执行文件进行感染,复制自身代码,并在适当的时机发作,破坏计算机内的文件。DOS文件型病毒常见的攻击对象有命令解释器command和DOS系统的可执行文件等。例如:在病毒进入内存并得到执行,普通的一个dir /a/s命令可以感染该目录及子目录下的所有可执行文件。
b) 引导性病毒
既感染主引导区或引导区,又感染感染文件的病毒被称为混合型病毒。如:“幽灵”
病毒(ONEHALF),Natas病毒等。
DOS引导型病毒分为单纯引导型病毒、文件/引导混合型病毒,该类病毒一般会感染主引导记录和DOS引导记录,将病毒体直接写入对应的扇区内,在BIOS执行完毕,将硬盘引导记录调入内存,并开始引导时,病毒就已经进入内存。一般情况下该类病毒修改INT13的中断服务程序,以达到获取控制权的目的。在发生磁盘IO时,INT13被调用,病毒就开始传染和发作。严重时此类病毒会将引导记录和分区表同时篡改,造成整个计算机内磁盘数据的丢失,危害极大。
如果主引导区感染了病毒,用格式化程序(FORMAT)是不能清除该病毒的,可以用FDISK/MBR清除该病毒。但如果是被MONKEY或ONEHALF这类的病毒感染,采用FDISK/MBR会丢失数据或使C盘无法找到。
引导区感染了病毒,用格式化程序(FORMAT)可清除病毒。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎,Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows 95/98病毒。
(3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
a)Shell 脚本病毒
使用shell脚本语言
b)蠕虫病毒
利用已知的攻击程序去获得目标机的管理员权限。需要利用exploit这个媒介来
进行自身复制,但是exploit只针对特定版本有效,所以蠕虫病毒的跨平台能力
很差,时效性也很差。
c)欺骗库函数
可以通过改变库函数,例如修改环境变量等方式,来捉弄被攻击者。通过更改
环境变量把标准的库函数替换成你自己的程序。
d)内核级的传播
可以传播内核映像,但是该种病毒技术尚处于理论阶段。
e)与平台兼容的病毒
使用跨平台的语言书写病毒,实现平台兼容
(4)移动终端恶意代码
按照攻击对象分类:
a)短信息攻击:主要是以“病毒短信”的方式发起攻击
b)直接攻击手机:直接攻击相邻手机,例如Cabir病毒
c)攻击网关:控制WAP或短信平台,并通过网关向手机发送垃圾信息,
干扰手机用户,甚至导致网络运行瘫痪。
d)攻击漏洞:攻击字符格式漏洞、智能手机操作系统漏洞、应用程序运
行环境漏洞和应用程序漏洞
e)木马型恶意代码:利用用户的疏忽,以合法身份侵入移动终端,并伺
机窃取资料的病毒。例如Skulls病毒。
4.蠕虫的传播过程
实例:冲击波、震荡波、红色代码、尼姆达
传播模块分为扫描、攻击和复制三个步骤。
扫描:主要负责探测远程主机的漏洞,这模拟了攻防的Scan过程。当蠕虫向某个主机发送探测漏洞的信息并收到成功的应答后,就得到了一个潜在的传播对象。
攻击病毒:按特定漏洞的攻击方法对潜在的传播对象进行自动攻击,以取得该主机的合适权限,为后续步骤做准备。
复制:在特定权限下,复制功能实现蠕虫隐刀程序的远程建立工作,即把引导程序复制到攻击对象上。
5.宏的种类(几个具体的宏的名字和触发条件)
宏就是一些命令组织在一起,作为一个单独单元完成一个特定任务。
6.计算机病毒的检测方法及原理
原理:计算机病毒在感染健康程序后,会引起各种变化。每种计算机病毒所引起的症状都具有一定的特点。计算机病毒的检测原理就是更具这些特征,来判断病毒的种类,进而确定清楚办法。
常用的检测方法分为手工检测和自动检测,具体检测方法如下:
1)比较法
a)注册表比较法
b)文件比较法
c)中断比较法
d)内存比较法
2)校验和法
优点:方法简单、能发现未知计算机病毒、备查文件的席位变化也能发现;
缺点:必须预先记录正常态的校验和、误报警率较高、不能识别计算机病毒名
称、程序执行速度变慢。
3)特征码扫描法
计算机病毒扫描软件称为Scanner
两部分组成:
a)计算机病毒特征码库:含有经过特别选定的各种计算机病毒的特征码。
b)利用该特征码库进行扫描的扫描程序。
优点:
a)当特征串选择合适时,检测软件使用起来方便,对计算机病毒了解不
多的人也能用它来发现计算机病毒。
b)可识别计算机病毒的名称
c)如果特征码选择恰当,误报警率低
d)不用专门软件,用编辑软件业能检测特定计算机病毒
e)依据检测结果,可做清楚处理
缺点:
a)不容易选出合适的特征码,有时会发出假警报
b)新计算机病毒的特征码未加入代码库之前,老版本的程序无法识别出
新计算机病毒
c)当被扫描的文件很长时,扫描时间较长
d)怀有恶意的计算机病毒制造者得到特征码库后,能够根据其内容改变
计算机病毒
e)测试不彻底,可能产生误报警
f)搜集已知计算机病毒的特征代码,费用开销大
g)很难识别变异类计算机病毒
4)行为检测法
计算机病毒的行为特征:
a)写注册表
b)自动联网请求
c)病毒程序与宿主程序的切换
d)修改DOS系统数据区的内存总量
e)对COM和EXE文件做写入动作
f)使用特殊中断
5)感染实验法