第一章 计算机病毒概述

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机病毒概述
本章学习目标
明确计算机病毒的基本概念 了解计算机病毒发展的历史转折点
熟悉计算机病Βιβλιοθήκη Baidu的分类
熟悉商业计算机病毒命名规则
掌握计算机病毒的发展趋势
一、计算机病毒的定义
计算机病毒产生的动机(原因): • 计算机系统的脆弱性(IBM病毒防护计划) • 作为一种文化(hacker) • 病毒编制技术学习。 • 恶作剧。 • 产生于个别人的报复心理。 • 用于版权保护(江民公司)。 • 用于特殊目的(军事、计算机防病毒公司)。
五、计算机病毒的分类
1、按病毒存在的媒体分类
网络病毒:通过计算机网络传播感染网络中的可执
行文件; 文件病毒:感染计算机中的文件(如:COM,E XE,DOC等); 引导型病毒:感染启动扇区(Boot)和硬盘的系统 引导扇区(MBR); 混合型病毒:是上述三种情况的混合。例如:多型 病毒(文件和引导型)感染文件和引导扇区两种目 标,这样的病毒通常都具有复杂的算法,它们使用 非常规的办法侵入系统,同时使用了加密和变形算 法。
1996年首次出现针对微软公司Office的“宏病毒”。




1997年被公认为计算机反病毒界的“宏病毒”年。 1999年4月26日,CIH病毒在全球范围大规模爆发,造 成近6000万台电脑瘫痪。(该病毒产生于1998年) 1999年 Happy99等完全通过Internet传播的病毒的出 现标志着Internet病毒将成为病毒新的增长点。 2001年7月中旬,一种名为“红色代码”的病毒在美 国大面积蔓延,这个专门攻击服务器的病毒攻击了白 宫网站,造成了全世界恐慌 。 2003年,“2003蠕虫王”病毒在亚洲、美洲、澳大利 亚等地迅速传播,造成了全球性的网络灾害。
2006年木马仍然是病毒主流,变种层出不穷
2006年上半年,江民反病毒中心共截获新病毒33358
种,另据江民病毒预警中心监测的数据显示,1至6月 全国共有7322453台计算机感染了病毒,其中感染木 马病毒电脑2384868台,占病毒感染电脑总数的 32.56%,感染广告软件电脑1253918台,占病毒感染 电脑总数的17.12%,感染后门程序电脑 664589台, 占病毒感染电脑总数的9.03%,蠕虫病毒216228台, 占病毒感染电脑总数的2.95%,监测发现漏洞攻击代 码感染181769台,占病毒感染电脑总数的2.48%,脚 本病毒感染15152台,占病毒感染电脑总数的2.06%。
3、按病毒破坏的能力分类
无害型:除了传染时减少磁盘的可用空间外,
对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示 图像、发出声音及同类音响。 危险型:这类病毒在计算机系统操作中造成 严重的错误。 非常危险型:这类病毒删除程序、破坏数据、 清除系统内存区和操作系统中重要的信息。
4、按病毒算法分类

伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文 件的伴随体,具有同样的名字和不同的扩展名(COM),例如: XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不 改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体 加载执行原来的EXE文件。 蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络 从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病 毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。 寄生型病毒:依附在系统的引导扇区或文件中,通过系统的功能进行传 播。 练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒 在调试阶段。 变形病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有 不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和 经过变化的病毒体组成。
小邮差(Worm.Mimail)
求职信(Worm.Klez) 大无极(Worm.SoBig)
2005年是木马流行的一年,新木马包括:
8月9日, “闪盘窃密者(Trojan.UdiskThief)”病毒。该木马病毒会判
定电脑上移动设备的类型,自动把U盘里所有的资料都复制到电脑C盘的 “test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。 11月25日, “证券大盗”(Trojan/PSW.Soufan)。 该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交 易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。 7月29日, “外挂陷阱”(troj.Lineage.hp)。此病毒可以盗取多个网络 游戏的用户信息,如果用户通过登陆某个网站 ,下载安装所需外挂后, 便会发现外挂实际上是经过伪装的病毒,这个时候病毒便会自动安装到 用户电脑中。 9月28日," 我的照片" (Trojan.PSW.MyPhoto)病毒。该病毒试图窃取 《热血江湖》 、《传奇》 、《天堂Ⅱ》 、《工商银行》 、《中国农业 银行》 等数十种网络游戏及网络银行的账号和密码。该病毒发作时,会 显示一张照片使用户对其放松警惕。
2、按病毒传染的方法分类
引导扇区传染病毒:主要使用病毒的全部或
部分代码取代正常的引导记录,而将正常的 引导记录隐藏在其他地方。 执行文件传染病毒:寄生在可执行程序中, 一旦程序执行,病毒就被激活,进行预定活 动。 网络传染病毒:这类病毒是当前病毒的主流, 特点是通过互联网络进行传播。例如,蠕虫 病毒就是通过主机的漏洞在网上传播。
while(满足破坏条件) {激活病毒程序; 调用破坏功能模块;} 运行宿主源程序; if 不关机 goto A; 关机;
}
三、病毒成长的痕迹
在第一部商用电脑出现之前,冯· 诺伊曼在他的论文《复杂自



动装置的理论及组识的进行》里,就已经勾勒出了病毒程序 的蓝图。 Bell实验室的磁心大战(Core War)。 70年代美国作家雷恩出版的《P1的青春-The Adolescence of P1》一书中作者构思出了计算机病毒的概念。 1983年11月3日,Fred Cohen博士研制出第一个计算机病 毒(Unix)。 1986 年初,在巴基斯坦的拉合尔 (Lahore),巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容 机的小商店。他们编写了Pakistan 病毒,即Brain。在一年 内流传到了世界各地。 1987年世界各地的计算机用户几乎同时发现了形形色色的计 算机病毒,如大麻、IBM圣诞树、黑色星期五等等 。
二、病毒特征和结构
破坏性
传染性
寄生性
隐蔽性
触发(潜伏)性
/*引导功能模块*/ {将病毒程序寄生于宿主程序中; 加载计算机程序; 病毒程序随其宿主程序的运行进入系统;} {传染功能模块;} {破坏功能模块;} main() {调用引导功能模块; A:do {寻找传染对象; if(传染条件不满足) goto A;} while(满足传染条件); 调用传染功能模块;
李俊,大学本科毕业
大于1000万用户染毒 损失数亿元人民币
处罚:最高无期?
五、计算机病毒的主要危害
直接危害: 1.病毒激发对计算机数据信息的直接破坏作用 2.占用磁盘空间和对信息的破坏 3.抢占系统资源 4.影响计算机运行速度 5.计算机病毒错误与不可预见的危害 6.计算机病毒的兼容性对系统运行的影响
间接危害:
1.计算机病毒给用户造成严重的心理压力 2.造成业务上的损失
3.法律上的问题
近几年来的重大损失
年 2006 2005 2004 份 攻击行为发起者 木马和恶意软件 木马 —— —— —— 受害PC数目 损失金额 (美元) —— —— ——
Worm_Sasser (震荡波)
Worm_MSBLAST (冲击波)
2004年是蠕虫泛滥的一年,大流行病毒:
网络天空(Worm.Netsky) 高波(Worm.Agobot) 爱情后门(Worm.Lovgate) 震荡波(Worm.Sasser) SCO炸弹(Worm.Novarg) 冲击波(Worm.Blaster) 恶鹰(Worm.Bbeagle)
标准定义(中国): 直至1994年2月18日,我国正式颁布实施了《中 华人民共和国计算机信息系统安全保护条例》, 在《条例》第二十八条中明确指出:"计算机病 毒,是指编制或者在计算机程序中插入的破坏 计算机功能或者毁坏数据,影响计算机使用, 并能自我复制的一组计算机指令或者程序代码。 "此定义具有法律性、权威性。
CIH病毒,又名“切尔诺贝
利”,是一种可怕的电脑病 毒。它是由台湾大学生陈盈 豪编制的,九八年五月间, 陈盈豪还在大同工学院就读 时,完成以他的英文名字缩 写“CIH”名的电脑病毒起 初据称只是为了“想纪念一 下1986的灾难”或“使反 病毒软件公司难堪”。
年仅18岁的高中生杰弗
里· 帕森因为涉嫌是 李· “冲击波”电脑病毒的制 造者于2003年8月29日被 捕。对此,他的邻居们表 示不敢相信。在他们的眼 里,杰弗里· 帕森是一 李· 个电脑天才,而决不是什 么黑客,更不会去犯罪。
Fred Cohen定义:
计算机病毒是一种程序,他用修改其它程序的方法 将自身的精确拷贝或者可能演化的拷贝插入其它程 序,从而感染其它程序。
Fred Cohen认为:
病毒不是利用操作系统运行的错误和缺陷的程序, 病毒是正常的用户程序。
广义定义: 从广义上讲,凡能够引起计算机故障,破坏计算机 数据的程序统称为计算机病毒。依据此定义,诸如 恶意代码,蠕虫,木马等均可称为计算机病毒。在 国内,专家和研究者对计算机病毒也做过不尽相同 的定义,但一直没有公认的明确定义。
计算机病毒的前身只不过是程序员闲来无事而编写的趣 味程序;后来,才发展出了诸如破坏文件、修改系统参 数、干扰计算机的正常工作等的恶性病毒。 “病毒”一词的正式出现在1985年3月份的“科学美国人” 里。 “计算机病毒”与医学上的“病毒”不同,它不是天然 存在的,是某些人利用计算机软、硬件所固有的脆弱性, 编制的具有特殊功能的程序。 “计算机病毒”为什么叫做病毒?原因是,它与生物医 学上的病毒同样有传染和破坏的特性,因此这一名词是 由生物医学上的“病毒”概念引申而来。
2003
超过140万台
——
2003
2002 2001 2001 2000 1999
SQL Slammer
Klez RedCode NIMDA Love Letter CIH
超过20万台
超过6百万台 超过1百万台 超过8百万台 —— 超过6千万台
9.5亿至12亿
90亿 26亿 60亿 88亿 近100亿
德· 科恩 (Fred Cohen) 博士 研制出一种在运行过程中可 以复制自身的破坏性程序, 伦· 艾德勒曼 (Len Adleman) 将它命名为计算机病毒 (computer viruses),并在每 周一次的计算机安全讨论会 上正式提出。
1988年冬天,正在康乃尔
大学攻读的莫里斯,把一个 被称为“蠕虫”的电脑病毒 送进了美国最大的电脑网 络——互联网。1988年11 月2日下午5点,互联网的 管理人员首次发现网络有不 明入侵者。当晚,从美国东 海岸到西海岸,互联网用户 陷入一片恐慌。
病毒的危害情况
a 数据部分丢失 b 系统无法使用 c 浏览器配置被修改 d 网络无法使用 e 使用受限 f 受到远程控制 g 数据全部丢失 h 不知道
h不知道 8% g数据全部丢失 5% f受到远程控制 8% e使用受限 11% a数据部分丢失 19%
b系统无法使用 19%
d网络无法使用 13%
c浏览器配置被 修改 17%
2007年:
流氓软件——反流氓软件技术对抗的阶段。
Cnnic 3721 – yahoo
病毒的发展趋势
病毒更新换代向多元化发展
依赖网络进行传播 攻击方式多样(邮件,网页,局域网等)
利用系统漏洞成为病毒有力的传播方式
病毒与黑客技术相融合
四、病毒人生(法律)
1983 年 11 月 3 日,弗雷
1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感


染的苹果机停止工作,只显示“向所有苹果电脑的使 用者宣布和平的信息”。以庆祝苹果机生日。 1988年冬天,正在康乃尔大学攻读的莫里斯,把一个 被称为“蠕虫”的电脑病毒送进了美国最大的电脑网 络——互联网。1988年11月2日下午5点,互联网的管 理人员首次发现网络有不明入侵者。当晚,从美国东 海岸到西海岸,互联网用户陷入一片恐慌。 1989年全世界的计算机病毒攻击十分猖獗,我国也未 幸免。 1991年在“海湾战争”中,美军第一次将计算机病毒 用于实战。 1992年出现针对杀毒软件的“幽灵”病毒,如Onehalf。
相关文档
最新文档