计算机病毒PPT

2003年1月 宿主程序运行网络大面积瘫痪，银行自动提款机运做中断，直 主动攻击 接经济损失超过26亿美元
传染目标
冲击波(Blaster) 霸王虫(Sobig.F)
本地文件
2003年
网络计算机
20亿~100亿美元，受到感染的计算机不计其数
A. 漏洞蠕虫 (69%)
B. 邮件蠕虫 (27%) C. 传统蠕虫 (4%)
计算机病毒的分类与传播原理 以及著名的病毒分析
小组成员: 王建 曹长波 李思航 甄卓然 方迪恺
本质
virus
分类
传播原理
走进病毒世界
实例分析
计算机病毒是什么？
1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条 例》中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算
2004年8月
2003年
50亿~100亿美元，超过100万台计算机被感染 损失估计：数千万美元
震荡波(Sasser)
【代号： Stuxnet 蠕虫 超级工厂病毒】
感染系统：windows CE系统 传播方式：U盘 发现时间：2010年6月 杀伤力：导致伊朗布什尔核电站瘫痪
具体情况：stuxnet的独特之处在于它并不攻击传统的Windows系统，而是
鸽子诞生的2001年到销声匿迹的2008年之间，正好遭遇了全民皆黑客的年代，灰 鸽子因为操作简单，上手快，很快的成为当时最泛滥的木马病毒，近中国国内至 少有上千万台电脑感染过灰鸽子病毒。 有趣的是，灰鸽子的作者并没有像熊猫烧香的李俊一样，一直用灰鸽子赚钱。在
2008年之后该作者转而开发防火墙，专门用来防护自己的灰 鸽子。
引导过程：
1：驻留内存（网络病毒丌需要） 2：获取系统控制权 3：恢复系统功能（为了隐藏自己，系统丌会 出现死机等异常状况，使用户无法发现病毒的存 在。）
▲ 传染机制
指计算机病毒由一个宿主传播到另一个宿主程序，由一 个系统进入另一个系统的过程。
传 染 方 式
被动传播
（用户在复制磁盘或文件时，把一个计算机病毒由一
3.键盘触 6.访问磁盘
▲ 破坏机制
与传染机制基本相同，通过修改某一中断量入口地址，使该中断向量 指向计算机病毒程序的破坏模块，当系统访问该向量时，破坏模块就被激 活，对计算机上的文件产生破坏行为。 例如：火炬病毒发作时，屏幕上显示5把燃烧的火炬，同时该病毒用内存的 随机数从硬盘的物理第一扇区开始覆盖，造成硬盘中的数据丢失。
为什么熊猫烧香如此 猖獗？
最绝的是，病毒作者李俊将这个病 毒卖给了120个黑客，鼓励教导 他们广撒网多抓鸡。李俊自己也购 买了服务器，专门用作病毒更新，
创下了一天更新8次的病毒升级 记录，可以堪称史上最勤奋的病毒 作者。
█ 特洛伊木马病毒
窃取密码和重要文件为主，还能对计算机进行跟踪监视、控制、查看、修改资料等
个信息载体复制到另一个信息载体，也可以通源自文库网络 把程序从一方传到另一方。）
主动传播
（在计算机病毒处于激活的状态下，只要传染条件满 足，计算机病毒程序能主动地把计算机病毒自身传染 给另一个载体或另一个系统。）
对于被动传播的病毒而言：其传染过程是随着复制磁盘或文件工 传 染 过 程
作的进行而进行的。
对于主动传播的病毒而言：其传染过程是在系统运行时，计算机病
CIH感染的系统：
CIH以可移植可执行文件格式在Windows95、Windows98和Windows ME上传播。 CIH不会在Windows NT、Windows 2000或者WindowsXP上传播。
• •
陈盈豪（1975年—)，台湾的电脑技术鬼才，CIH病毒之父。现在是集嘉通 讯（技嘉子公司）主任工程师，以研究作业系统核心为主，试图开发更符合 人性的智慧的手机系统。 据初步统计，来自台湾的CIH电脑病毒共造成全球6000万台电脑瘫痪，其中 韩国损失最为严重，共有30万台电脑中毒，占全国电脑总数的15%以上，损 失更是高达两亿韩元以上。土耳其、孟加拉、马来西亚、俄罗斯、中国内地 的电脑均遭CIH病毒的袭击。CIH电脑病毒暴发过后，有的把CIH的始作俑 者陈盈豪抬升为“天才”，有的把他贬为“鬼才”。
将目标放在了极小众、极专业的西门子wincc工控系统上，这个系统的原型 就是广为人知的Windows CE。并且这个病毒的目标非常具体，它会通过U 盘感染将自己摆渡到目标工控件中，然后发作。 吊诡的是，第一批发作的 病毒60%将目标定在了伊朗布什尔核电站的西门子工控系统上，这个核电站 正是美国怀疑伊朗制造核武器的基地。专家指出：一旦stuxnet找到西门子 WinCC装置，就能接管西门子设施的关键操作系统，并在十分之一秒内封 住设备的操作。
毒通过计算机病毒载体即系统的外存储器进入系统的内存储器，常驻 内存，并在系统内存中监视系统的运作。在计算机病毒引导模块将计 算机病毒传染模块驻留内存的过程中，通常要修改系统中断向量入口 地址（如INT 13H或INT 21H)，使该中断向量指向计算机病毒程序传 染模块。一旦系统执行磁盘读写操作或系统功能调用，计算机病毒传 染模块激活，在条件满足的条件下，利用INT 13H读写磁盘中断把计 算机病毒自身传染给读写的磁盘或加载程序，也就是实施计算机病毒 的传染，然后再转移到原中断服务程序执行原有的操作。
操作，具有很强的隐蔽性、突发性和攻击性。 木马的运行模式属于客户/服务模式，它包括两大部分，即客户端和服务端。 其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主 机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接 请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守 护进程。
破坏机制 传播机制
触发机制
传染机制
引导机制
▲ 引导机制
病毒作为一种特殊的程序，就必须从存储体进入内存才能实现其预定功能。
所以其寄生对象主要分为寄生在计算机硬盘的主引导扇区；寄生在计 算机磁盘逻辑分析引导扇区；寄生在可执行程序中。
其寄生方式为：
替代法 （用自身的指令代码替代原有的内容） 链接法 （将自身代码作为正常程序的一部分链接 在程 序的首部、尾部或中间）
代号： 熊 猫 烧 香
感染系统：windows xp 发现时间：2006年10月16日 传播方式：端口攻击和恶意脚本
杀伤力：国内至少100万台计算机受感染
熊猫烧香感染机理： “熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统
中的exe,com,pif,scr,html,asp等文件，它能中止大量的反病毒软件进程并且会 删除扩展名为gho的文件，使用户的系统备份文件丢失。被感染的用户系统中 所有.exe可执行文件全部被改为熊猫举着三根香的模样。 该病毒除了通过网站感染用户 外，还会在局域网中传播，在 极端时间内就可以感染几千台 计算机，严重时出现网络瘫痪。 中毒电脑也会出现蓝屏、频繁 重启以及数据文件被破坏等现 象。

④
计算机病毒先传染工作站，在工作站内存驻留，在计算机病毒运行时直接通过 映像路径传染到服务器中。 如果远程工作站被计算机病毒侵入，病毒也可以通过通信中数据交换进入网络 服务器中。
病毒名称 爱虫病毒( I LOVEYOU)
持续时间
造成损失
2000年5月至今 █ 蠕虫型病毒
众多用户计算机被感染，损失超过100亿美元
机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指
令或者程序代码。”
计算机病毒有哪些特征?
1.传染性 指病毒具有把自身复制到其它程序中的特性 2. 取得系统控制权 3. 隐蔽性 通过隐蔽技术使宿主程序的大小没有改变，以至 于很难被发现。 4. 破坏性 计算机所有资源包括硬件资源和软件资源，软 件所能接触的地方均可能受到计算机病毒的破坏 5. 潜伏性 潜伏性 长期隐藏在系统中，只有在满足特定条 件时，才启动其破坏模块。 6. 不可预见性
网络蠕虫成为最主要和破坏力最大的计算机病毒类型。
•
红色代码(Code 100多万台计算机感染，直接经济损失超过26亿 2001年7月 蠕虫病毒与一般病毒的区别 Red) 美元 求职信
普通病毒
2001年12月
大量病毒邮件堵塞服务器，损失达数百亿美元
蠕虫病毒
存在形式
SQL蠕虫王 传染机制
寄存文件
独立程序
▲ 传播机制
• 计算机病毒的传播途径：
（1） 通过不可移动的计算机硬件设备进行传播，即利用专用 ASIC 芯片和硬盘进行传播； （2） 通过移动存储设备来传播，其中U盘和移动硬盘是使用 最广泛、移动最频繁的存储介质； （3） 通过计算机网络进行传播； （4） 通过点对点通信系统和无线通道传播。
有盘工作站 ▲ 传播方式： 计算机网络的基本构成 无盘工作站 网络节点站 计算机病毒直接从有盘站复制到服务器中。 远程工作站 计算机病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染 给服务器。 网络服务器
CIH病毒
CIH（英语又称为Chernoby1或Spacefiller）是一种电脑病毒，其名称源自它 的作者，当时仍然是台湾大同工学院（现大同大学）学生的电脑技术鬼才陈盈豪 的名字的拼音缩写。它被认为是最有害的广泛传播的病毒之一，会破坏用 户系统的全部信息，在某些情况下，会重写系统的BIOS（BIOS是英文
▲ 触发机制
可触发性是计算机病毒的攻击性与潜伏性之间的调整杠杆，可以控制计算 机病毒感染和破坏的频度，兼顾杀伤性和潜伏性。一般触发条件越苛刻， 病毒就具有越好的潜伏性，但不易传播，所以杀伤力就减弱。 目前采用的触发条件一般有：
1.日期触发 （"CIH"病毒4月26号发作）2.时间触发 发 4.感染触发 5.启动触发 触发 ...........
计算机病毒的分类
病毒攻击的操作系统
（1） 攻击DOS 系统的病毒 （2） 攻击Windows 系统的病毒 用户使用多，主要的攻击对象 （3） 攻击UNIX 系统的病毒 （4） 攻击OS/2 系统的病毒 （5） 攻击NetWare 系统的病毒 （1） 源码型病毒
（2） 嵌入型病毒 （3） 外壳型病毒 （4） 操作系统型病毒 （1）引导型病毒 （2）文件型病毒： .com .exe （3） 网络病毒 （4）混合型病毒 （1）伴随型病毒 （2）“蠕虫”型病毒 （3）寄生型病毒 练习型病毒 诡秘型病毒 变型病毒
“Basic Input Output System”的缩略语，直译过来后中文名称就是“基本输入 输出系统”。其实，它是一组固化到计算机内主板上一个ROM芯片上的程序，它 保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和 系统自启动程序。其主要功能是为计算机提供最底层的、最直接的硬件设置和控 制。）
谈到木马，人们就想到病毒，木马也算是一种病毒，但与传统的计算机病毒不同。
木马是一种恶意代码，它通常并不像病毒程序那样感染文件。木马一般是以寻找后门、
木马通常的攻击步骤是：
Ⅰ ： 设定好服务器程序； Ⅱ ： 骗取对方执行服务器程序； Ⅲ ：寻找对方的地址IP； Ⅳ ： 用客户端程序来控制对方的计算机。
【代号： 灰鸽子】
传播方式：多种网络传播方式
感染系统：windows 系统 发作时间：2001年
中了灰鸽子会出现什么情况？
事实是什么情况都会出现。灰鸽子能够记录你的键盘击键记录，能够远程开
启摄像头，打开麦克风，能够下载你电脑里的任何文件。几乎你能够想到
的电脑基本操作，黑客都可以通过灰鸽子远程控制实现。从灰
CIH的运作原理：
通常，CIH病毒的传染方式是通过修改文件头部的程序入口地址，使其指向病毒的 引导代码，在这一点上，CIH病毒和以前DOS环境中的多数病毒是类似的。CIH的 载体一个名为“ICQ中文Chat模块”的工具，并以热门盗版光盘游戏如“盗墓奇 兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。目前传 播的主要途径主要通过Internet和电子邮件，当然随着时间推移，其传播主要仍将 通过软盘或光盘途径。
病毒的链接方式
病毒的载体
病毒特有的算法不同 计算机病毒的破坏能力 病毒的攻击机型
.........
................... ..........
病毒的工作步骤与机制
病毒激活
潜伏阶段 传染阶段
执行特定功能达 到既定目标 触发阶段 发作阶段 破环文件感 染程序
休眠状态
特定的程序被执 行
将自身程序复制给其 他程序或磁盘区域