计算机病毒PPT
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2003年1月 宿主程序运行网络大面积瘫痪,银行自动提款机运做中断,直 主动攻击 接经济损失超过26亿美元
传染目标
冲击波(Blaster) 霸王虫(Sobig.F)
本地文件
2003年
网络计算机
20亿~100亿美元,受到感染的计算机不计其数
A. 漏洞蠕虫 (69%)
B. 邮件蠕虫 (27%) C. 传统蠕虫 (4%)
计算机病毒的分类与传播原理 以及著名的病毒分析
小组成员: 王建 曹长波 李思航 甄卓然 方迪恺
本质
virus
分类
传播原理
走进病毒世界
实例分析
计算机病毒是什么?
1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条 例》中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算
2004年8月
2003年
50亿~100亿美元,超过100万台计算机被感染 损失估计:数千万美元
震荡波(Sasser)
【代号: Stuxnet 蠕虫 超级工厂病毒】
感染系统:windows CE系统 传播方式:U盘 发现时间:2010年6月 杀伤力:导致伊朗布什尔核电站瘫痪
具体情况:stuxnet的独特之处在于它并不攻击传统的Windows系统,而是
鸽子诞生的2001年到销声匿迹的2008年之间,正好遭遇了全民皆黑客的年代,灰 鸽子因为操作简单,上手快,很快的成为当时最泛滥的木马病毒,近中国国内至 少有上千万台电脑感染过灰鸽子病毒。 有趣的是,灰鸽子的作者并没有像熊猫烧香的李俊一样,一直用灰鸽子赚钱。在
2008年之后该作者转而开发防火墙,专门用来防护自己的灰 鸽子。
引导过程:
1:驻留内存(网络病毒丌需要) 2:获取系统控制权 3:恢复系统功能(为了隐藏自己,系统丌会 出现死机等异常状况,使用户无法发现病毒的存 在。)
▲ 传染机制
指计算机病毒由一个宿主传播到另一个宿主程序,由一 个系统进入另一个系统的过程。
传 染 方 式
被动传播
(用户在复制磁盘或文件时,把一个计算机病毒由一
3.键盘触 6.访问磁盘
▲ 破坏机制
与传染机制基本相同,通过修改某一中断量入口地址,使该中断向量 指向计算机病毒程序的破坏模块,当系统访问该向量时,破坏模块就被激 活,对计算机上的文件产生破坏行为。 例如:火炬病毒发作时,屏幕上显示5把燃烧的火炬,同时该病毒用内存的 随机数从硬盘的物理第一扇区开始覆盖,造成硬盘中的数据丢失。
为什么熊猫烧香如此 猖獗?
最绝的是,病毒作者李俊将这个病 毒卖给了120个黑客,鼓励教导 他们广撒网多抓鸡。李俊自己也购 买了服务器,专门用作病毒更新,
创下了一天更新8次的病毒升级 记录,可以堪称史上最勤奋的病毒 作者。
█ 特洛伊木马病毒
窃取密码和重要文件为主,还能对计算机进行跟踪监视、控制、查看、修改资料等
个信息载体复制到另一个信息载体,也可以通源自文库网络 把程序从一方传到另一方。)
主动传播
(在计算机病毒处于激活的状态下,只要传染条件满 足,计算机病毒程序能主动地把计算机病毒自身传染 给另一个载体或另一个系统。)
对于被动传播的病毒而言:其传染过程是随着复制磁盘或文件工 传 染 过 程
作的进行而进行的。
对于主动传播的病毒而言:其传染过程是在系统运行时,计算机病
CIH感染的系统:
CIH以可移植可执行文件格式在Windows95、Windows98和Windows ME上传播。 CIH不会在Windows NT、Windows 2000或者WindowsXP上传播。
• •
陈盈豪(1975年—),台湾的电脑技术鬼才,CIH病毒之父。现在是集嘉通 讯(技嘉子公司)主任工程师,以研究作业系统核心为主,试图开发更符合 人性的智慧的手机系统。 据初步统计,来自台湾的CIH电脑病毒共造成全球6000万台电脑瘫痪,其中 韩国损失最为严重,共有30万台电脑中毒,占全国电脑总数的15%以上,损 失更是高达两亿韩元以上。土耳其、孟加拉、马来西亚、俄罗斯、中国内地 的电脑均遭CIH病毒的袭击。CIH电脑病毒暴发过后,有的把CIH的始作俑 者陈盈豪抬升为“天才”,有的把他贬为“鬼才”。
将目标放在了极小众、极专业的西门子wincc工控系统上,这个系统的原型 就是广为人知的Windows CE。并且这个病毒的目标非常具体,它会通过U 盘感染将自己摆渡到目标工控件中,然后发作。 吊诡的是,第一批发作的 病毒60%将目标定在了伊朗布什尔核电站的西门子工控系统上,这个核电站 正是美国怀疑伊朗制造核武器的基地。专家指出:一旦stuxnet找到西门子 WinCC装置,就能接管西门子设施的关键操作系统,并在十分之一秒内封 住设备的操作。
毒通过计算机病毒载体即系统的外存储器进入系统的内存储器,常驻 内存,并在系统内存中监视系统的运作。在计算机病毒引导模块将计 算机病毒传染模块驻留内存的过程中,通常要修改系统中断向量入口 地址(如INT 13H或INT 21H),使该中断向量指向计算机病毒程序传 染模块。一旦系统执行磁盘读写操作或系统功能调用,计算机病毒传 染模块激活,在条件满足的条件下,利用INT 13H读写磁盘中断把计 算机病毒自身传染给读写的磁盘或加载程序,也就是实施计算机病毒 的传染,然后再转移到原中断服务程序执行原有的操作。
操作,具有很强的隐蔽性、突发性和攻击性。 木马的运行模式属于客户/服务模式,它包括两大部分,即客户端和服务端。 其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主 机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接 请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守 护进程。
破坏机制 传播机制
触发机制
传染机制
引导机制
▲ 引导机制
病毒作为一种特殊的程序,就必须从存储体进入内存才能实现其预定功能。
所以其寄生对象主要分为寄生在计算机硬盘的主引导扇区;寄生在计 算机磁盘逻辑分析引导扇区;寄生在可执行程序中。
其寄生方式为:
替代法 (用自身的指令代码替代原有的内容) 链接法 (将自身代码作为正常程序的一部分链接 在程 序的首部、尾部或中间)
代号: 熊 猫 烧 香
感染系统:windows xp 发现时间:2006年10月16日 传播方式:端口攻击和恶意脚本
杀伤力:国内至少100万台计算机受感染
熊猫烧香感染机理: “熊猫烧香”,是一个感染型的蠕虫病毒,它能感染系统
中的exe,com,pif,scr,html,asp等文件,它能中止大量的反病毒软件进程并且会 删除扩展名为gho的文件,使用户的系统备份文件丢失。被感染的用户系统中 所有.exe可执行文件全部被改为熊猫举着三根香的模样。 该病毒除了通过网站感染用户 外,还会在局域网中传播,在 极端时间内就可以感染几千台 计算机,严重时出现网络瘫痪。 中毒电脑也会出现蓝屏、频繁 重启以及数据文件被破坏等现 象。
④
计算机病毒先传染工作站,在工作站内存驻留,在计算机病毒运行时直接通过 映像路径传染到服务器中。 如果远程工作站被计算机病毒侵入,病毒也可以通过通信中数据交换进入网络 服务器中。
病毒名称 爱虫病毒( I LOVEYOU)
持续时间
造成损失
2000年5月至今 █ 蠕虫型病毒
众多用户计算机被感染,损失超过100亿美元
机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指
令或者程序代码。”
计算机病毒有哪些特征?
1.传染性 指病毒具有把自身复制到其它程序中的特性 2. 取得系统控制权 3. 隐蔽性 通过隐蔽技术使宿主程序的大小没有改变,以至 于很难被发现。 4. 破坏性 计算机所有资源包括硬件资源和软件资源,软 件所能接触的地方均可能受到计算机病毒的破坏 5. 潜伏性 潜伏性 长期隐藏在系统中,只有在满足特定条 件时,才启动其破坏模块。 6. 不可预见性
网络蠕虫成为最主要和破坏力最大的计算机病毒类型。
•
红色代码(Code 100多万台计算机感染,直接经济损失超过26亿 2001年7月 蠕虫病毒与一般病毒的区别 Red) 美元 求职信
普通病毒
2001年12月
大量病毒邮件堵塞服务器,损失达数百亿美元
蠕虫病毒
存在形式
SQL蠕虫王 传染机制
寄存文件
独立程序
▲ 传播机制
• 计算机病毒的传播途径:
(1) 通过不可移动的计算机硬件设备进行传播,即利用专用 ASIC 芯片和硬盘进行传播; (2) 通过移动存储设备来传播,其中U盘和移动硬盘是使用 最广泛、移动最频繁的存储介质; (3) 通过计算机网络进行传播; (4) 通过点对点通信系统和无线通道传播。
有盘工作站 ▲ 传播方式: 计算机网络的基本构成 无盘工作站 网络节点站 计算机病毒直接从有盘站复制到服务器中。 远程工作站 计算机病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染 给服务器。 网络服务器
CIH病毒
CIH(英语又称为Chernoby1或Spacefiller)是一种电脑病毒,其名称源自它 的作者,当时仍然是台湾大同工学院(现大同大学)学生的电脑技术鬼才陈盈豪 的名字的拼音缩写。它被认为是最有害的广泛传播的病毒之一,会破坏用 户系统的全部信息,在某些情况下,会重写系统的BIOS(BIOS是英文
▲ 触发机制
可触发性是计算机病毒的攻击性与潜伏性之间的调整杠杆,可以控制计算 机病毒感染和破坏的频度,兼顾杀伤性和潜伏性。一般触发条件越苛刻, 病毒就具有越好的潜伏性,但不易传播,所以杀伤力就减弱。 目前采用的触发条件一般有:
1.日期触发 ("CIH"病毒4月26号发作)2.时间触发 发 4.感染触发 5.启动触发 触发 ...........
计算机病毒的分类
病毒攻击的操作系统
(1) 攻击DOS 系统的病毒 (2) 攻击Windows 系统的病毒 用户使用多,主要的攻击对象 (3) 攻击UNIX 系统的病毒 (4) 攻击OS/2 系统的病毒 (5) 攻击NetWare 系统的病毒 (1) 源码型病毒
(2) 嵌入型病毒 (3) 外壳型病毒 (4) 操作系统型病毒 (1)引导型病毒 (2)文件型病毒: .com .exe (3) 网络病毒 (4)混合型病毒 (1)伴随型病毒 (2)“蠕虫”型病毒 (3)寄生型病毒 练习型病毒 诡秘型病毒 变型病毒
“Basic Input Output System”的缩略语,直译过来后中文名称就是“基本输入 输出系统”。其实,它是一组固化到计算机内主板上一个ROM芯片上的程序,它 保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和 系统自启动程序。其主要功能是为计算机提供最底层的、最直接的硬件设置和控 制。)
谈到木马,人们就想到病毒,木马也算是一种病毒,但与传统的计算机病毒不同。
木马是一种恶意代码,它通常并不像病毒程序那样感染文件。木马一般是以寻找后门、
木马通常的攻击步骤是:
Ⅰ : 设定好服务器程序; Ⅱ : 骗取对方执行服务器程序; Ⅲ :寻找对方的地址IP; Ⅳ : 用客户端程序来控制对方的计算机。
【代号: 灰鸽子】
传播方式:多种网络传播方式
感染系统:windows 系统 发作时间:2001年
中了灰鸽子会出现什么情况?
事实是什么情况都会出现。灰鸽子能够记录你的键盘击键记录,能够远程开
启摄像头,打开麦克风,能够下载你电脑里的任何文件。几乎你能够想到
的电脑基本操作,黑客都可以通过灰鸽子远程控制实现。从灰
CIH的运作原理:
通常,CIH病毒的传染方式是通过修改文件头部的程序入口地址,使其指向病毒的 引导代码,在这一点上,CIH病毒和以前DOS环境中的多数病毒是类似的。CIH的 载体一个名为“ICQ中文Chat模块”的工具,并以热门盗版光盘游戏如“盗墓奇 兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。目前传 播的主要途径主要通过Internet和电子邮件,当然随着时间推移,其传播主要仍将 通过软盘或光盘途径。
病毒的链接方式
病毒的载体
病毒特有的算法不同 计算机病毒的破坏能力 病毒的攻击机型
.........
................... ..........
病毒的工作步骤与机制
病毒激活
潜伏阶段 传染阶段
执行特定功能达 到既定目标 触发阶段 发作阶段 破环文件感 染程序
休眠状态
特定的程序被执 行
将自身程序复制给其 他程序或磁盘区域