计算机病毒+详细介绍计算机病毒(最全)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

(3) 影响系统运行速度,
(4) 破坏磁盘。 (5) 扰乱屏幕显示。
使系统的运行明显变慢。
(6) 键盘和鼠标工作不正常。 (7) 攻击CMOS。
(8) 干扰外设的工作, 尤其是打印机。
Outline 5.1 Virus Overview 计算机病毒概述
5.2 Virus Mechanisms
计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House 特洛伊木马
生为一种与原先版本不同的计算机病毒。 后者可能与 原先的计算机病毒有很相似的特征, 这时我们称其为
原先计算机病毒的一个变种/变体(Computer VirusVariance)。
5.1.4 计算机病毒的特性
8. 计算机病毒的寄生性 计算机病毒的寄生性是指一般的计算机病毒程序
都是依附于某个宿主程序中, 依赖于宿主程序而生存,
5.1.4 计算机病毒的特性
5. 计算机病毒的破坏性 任何计算机病毒只要侵入系统, 都会对系统及应用程序产生 不同程度的影响。 轻者会降低计算机的工作效率, 占用系统资 源, 重者可导致系统崩溃。 这些都取决于计算机病毒编制者的 意愿。 攻击系统数据区, 攻击部位包括引导扇区、 FAT表、 文件
目录; 攻击文件; 攻击内存; 干扰系统运行, 如无法操作文
5.1.2 计算机病毒的由来
中国:
1989年初: 大连市统计局的计算机上发现有小球计算机
病毒。 1989年3、 4月间: 重庆西南铝加工厂也有了关于计算机 病毒的报道。
从此以后, 计算机病毒以极其迅猛之势在中国大陆蔓延。
5.1.3 计算机病毒的定义
在计算机 编制 程序中插入
一组计算机指令 影响计算机使用
CV P3.2
CV P3.3 …
CV P3.k
图5-3 纵横交错传染方式
5.1.4 计算机病毒的特性
2. 计算机病毒的隐蔽性 计算机病毒通常附在正常程序中或磁盘较隐蔽的 地方, 目的是不让用户发现它的存在。 不经过程序 代码分析或计算机病毒代码扫描, 计算机病毒程序与 正常程序是不容易区别开来的。
图5-1 直接传染方式
再生病毒 CV P1 CV … P2 Pn CV
源病毒 CV
图5-2 间接传染方式
CV 再生病毒 CV P1.1 CV P1.2
源病毒
CV P1.3
CV P1.4 …
CV P1.i
CV P2.1
CV P2.2
CV P2.3
CV P2.4
CV P2.5 …
CV P2j
CV P3.1
5.2.4 病毒的破坏机制
(1)修改某一中断向量人口地址
一般为时钟中断INT 8H,或与时钟中断有关的其他中断,如 INT 1CH
(2)使该中断向量指向病毒程序的破坏模块 (3)激活病毒破坏模块 (4)判断设定条件是否满足 (5)满足则对系统或磁盘上的文件进行破坏活动
Outline 5.1 Virus Overview 计算机病毒概述
采用二进制
存储程序
这种体系把存储的程序当作数据处理, 可以动态地进行修 改, 以满足变化多端的需求。 操作系统和应用程序都被如此看 待。 病毒利用了系统中可执行程序可被修改的属性, 以达到病 毒自身的不同于系统或用户的特殊目的。
5.1.2 计算机病毒由来
世界:
20世纪40年代, Von Neumann :程序可以被编写成能自我复制并
(2) 利用计算机病毒体内自带的计数器作为触发器, 计 算机病毒利用计数器记录某种事件发生的次数, 一旦 计数器达到某一设定的值, 就执行破坏操作。 例:ElkCloner 第50次启动感染 病毒的软盘时
(3) 利用计算机内执行的某些特定操作作为触发器,
特定操作可以是用户按下某种特定的组合键, 可以是 执行格式化命令, 也可以是读写磁盘的某些扇区等。
极强, 目前尚没有较好的检测手段对付它。 2. 移动存储设备:光盘、移动硬盘等。
3. 网 络 : 电 子 邮 件 、 BBS 、 WWW 浏 览 、 FTP 文 件 下
载、新闻组。 4. 通过点对点通信系统和无线通信系统传播
5.1.6 计算机病毒的危害和由此产生的症状
(1) 攻击系统数据区。 (2) 对于文件的攻击。
件、 重启动、 死机等; 导致系统性能下降; 攻击磁盘, 造成 不能访问磁盘、 无法写入等; 扰乱屏幕显示; 干扰键盘操作;
喇叭发声; 攻击CMOS; 干扰外设, 如无法访问打印机等。
5.1.4 计算机病毒的特性
6. 计算机病毒的针对性 计算机病毒都是针对某一种或几种计算机和特定
的操作系统的。 例如, 有针对PC及其兼容机的, 有
针对Macintosh的, 还有针对Unix和Linux操作系统的。 只有一种计算机病毒几乎是与操作系统无关的,
那就是宏病毒, 所有能够运行Office文档的地方都有
宏病毒的存在。
5.1.4 计算机病毒的特性
7. 计算机病毒的衍生性 计算机病毒的衍生性是指计算机病毒编制者或者
其他人将某个计算机病毒进行一定的修改后, 使其衍
5.2.3 病毒的发生机制
(1)传染源:存储介质, 例如软盘、 硬盘等构成传染源。 (2)传染媒介:计算机网, 移动的存储介质或硬件。 (3)病毒激活:是指将病毒装入内存, 并设置触发条件。 (4)病毒触发:内部时钟, 系统的日期, 用户标识符,也可能是系统 一次通信等等。一旦触发条件成熟, 病毒就开始作用--自我复制到 传染对象中, 进行各种破坏活动等。 (5)病毒表现:屏幕显示,破坏数据等 (6)传染:病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。
5.3.2 计算机病毒的检测
1.特征代码法 已知病毒样本库 在被检测文件中 匹配特征代码
特征。通过传染 ,生物病毒从一个生物体扩散到另一
个生物体。 计算机病毒一旦进入计算机病得以执行,它会搜
寻其他符合其传染 条件的程序或存储介质,确定目标
后再将自身插入其中,达到自我繁殖的目的。
是否具传染性:判别一个程序是否为病毒的最重要条件。
5.1.4 计算机病毒的特性
CV 再生 病毒 CV P1 CV P2 … CV Pn 源病 毒
5.1.4 计算机病毒的特性
4. 可触发性:一种条件的控制 计算机病毒使用的触发条件主要有以下三种。
(1) 利用计算机内的时钟提供的时间作为触发器, 这种触发条件被许多计算机病毒采用, 触发的时间有 的精确到百分之几秒, 有的则只区分年份。 例:CIH 病毒 陈盈豪 每年4月26日
5.1.4 计算机病毒的特性
Outline 5.1 Virus Overview 计算机病毒概述
5.2 Virus Mechanisms
计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House 特洛伊木马
5.1.1 计算机病毒存在的原因
Von Neumann(冯·诺依曼) EDVAC (Electronic Discrete Variable Computer) (离散变量自动电子计算机)方案
5.2.1 计算机病毒的结构模式
计 算 机 病 毒 程 序 病毒安装模块(潜伏机制)
病毒传染模块(再生机制)
病毒激发模块(激发机制)
图5-4 计算机病毒的结构模式
5.2.2 病毒的引导机制
1. 计算机病毒的寄生对象 寄生在可以获取执行权的寄生对象上
磁盘引导扇区
可执行文件
进行自身的主动传播和破坏 2. 寄生方式 替代法 链接法 前后依附 伴随
见的,有时即使安装了实时计算机病毒防火墙,也会 由于各种原因而不能完全阻隔某些计算机病毒的侵入。
其次不同种类的代码千差万别,病毒的制作技术
也不断提高,对未来病毒的预测很困难。
5.1.5 计算机病毒的传播途径
1. 不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片( ASIC )
进行传播。 这种计算机病毒虽然极少, 但破坏力却
5.2.2 病毒的引导机制
CV CV1
CV
CV2
CV P P P
CVn P
图5-5 寄生方式

病毒解密程序
病毒解密程序
CV1(密文 )
CV1(密文 )
CV1(明文 )


CVn(密文 )

CVn(密文 )
CVn(明文 )
病毒密钥 潜伏状态
病毒密钥 运行状态
图5-6 采用加密技术的病毒程序

5.2.2 病毒的引导机制
增加自身大小的形式。 50年代,Bell实验室:Core War(核心大战)
60年代,John Conway(约翰·康威 ) : Living(生存)软件
70年代,取得进展,真正攻击少 80年代,Rich Skrenta(里奇·斯克伦塔):ElkCloner(克隆麋鹿)
感染PC
Pakistani Brain:首个感染微软公司操作系统 的病毒
一是传染 的隐蔽性。
二是计算机病毒程序存在的隐蔽性。
5.1.4 计算机病毒的特性
3. 计算机病毒的潜伏性
大部分的计算机病毒感染 系统之后一般不会马
上发作, 它可长期隐藏在系统中, 只有在满足其特 定条件时才启动其表现(破坏)模块, 在此期间,
它就可以对系统和文件进行大肆传染 。 潜伏性愈好,
其在系统中的存在时间就会愈久, 计算机病毒的传染 范围就会愈大。
并且通过宿主程序的执行而传播的。 蠕虫和特洛伊木马程序则是例外, 它们并不是依
附于某个程序或文件中, 其本身就完全包含有恶意的
计算机代码, 这也是二者与一般计算机病毒的区别。
5.1.4 计算机病毒的特性
9. 计算机病毒的不可预见性 计算机病毒的不可预见性体现在以下两个方面:
首先是计算机病毒的侵入、传播和发作是不可预
破坏
计算机功能
数据
程序代码
自我复制
指在编制或者在计算机程序中插入的破坏计算机 功能或者破坏数据,影响计算机使用并且能够自我复
制的一组计算机指令或者程序代码(《中华人民共和
国计算机信息系统安全保护条例》1994年)
5.1.4 计算机病毒的特性
1. 计算机病毒的传染性 与生物病毒一致:传染性是生物病毒的一个重要
3. 计算机病毒的引导过程 一般:驻留内存 窃取系统控制权 恢复系统功能
寄生在磁盘引导扇区中:任何操作系统都有个自举过程, 例如DOS在启
动时, 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。病毒 程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容 及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。 这样, 系统的一次初始化, 病毒就被激活了。它首先将自身拷贝到内存 的高端并占据该范围, 然后置触发条件如INT 13H中断(磁盘读写中断) 向量的修改, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。
以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。如
果磁盘没有被感染(通过识别标志)则进行传染。
5.2.2 病毒的引导机制
3. 计算机病毒的引导过程 一般:驻留内存 窃取系统控制权 恢复系统功能
寄生在可执行程序中:这种病毒寄生在正常的可执行程序中, 一旦程序
执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后 置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条 件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修 改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并 在执行时首先执行它。这种病毒传染性比较强。
5.2 Virus Mechanisms
计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House 特洛伊木马
5.3.1 病毒的理论防范方法
1. 基本隔离法 计算机系统如果存在着共享信息,就有可能传染 病毒。信息系统的共享性和传递性以及解释的通用性, 是计算机最突出的优点。 2. 分割法
分割法主要是把用户分割成为不能互相传递信息
的封闭的子集。
5.3.1 病毒的理论防范方法
3. 流模型法 流模型法是对共享信息流流过的距离设立一个阈
wenku.baidu.com
值, 使一定的信息只能在一定的区域中流动, 以此
建立一个防卫机制。 若使用超过某一距离阈值的信息, 就可能存在某种危险。
4. 限制解释法
限制解释法也就是限制兼容, 即采用固定的解释 模式, 就可能不被病毒传染。
相关文档
最新文档