第1章 计算机病毒概述

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 一般的木马都有客户端和服务器端两个程序
– 客户端是用于攻击者远程控制已植入木马的计算机 的程序
– 服务器端程序就是在用户计算机中的木马程序 – 攻击者要通过木马攻击用户的系统,他所做的第一
步是要把木马的服务器端程序植入到用户的计算机 中
1.5 计算机病毒的命名规则
1.5.1 通用命名规则
• 按病毒发作的时间命名
– 正常的计算机程序一般是不会将自身的代码强行链 接到其他程序之上的。是否具有传染性,是判别一 个程序是否为计算机病毒的首要条件。传染性也决 定了计算机病毒的可判断性。
1.2 计算机病毒的基本特征
1.2.1 计算机病毒的基本特征
• 计算机病毒的非授权性
– 计算机病毒未经授权而执行
• 计算机病毒的隐蔽性
– 衍生性为一些好事者提供了一种创造新病毒的捷径。 衍生出来的变种病毒造成的后果可能比原版病毒严 重
– 衍生性,是导致产生变体病毒的必然原因
1.2 计算机病毒的基本特征
1.2.1 计算机病毒的基本特征
• 计算机病毒的寄生性(依附性)
– 病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存, 这就是计算机病毒的寄生性
• 《中华人民共和国计算机信息系统安全保护条 例》中,计算机病毒被定义为:“计算机病毒 是指编制或者在计算机程序中插入的破坏计算 机功能或者破坏数据,影响计算机使用并且能 够自我复制的一组计算机指令或者程序代码”
– 这一定义,具有一定的法律性和权威性
1.1 计算机病毒的定义
广义定义
• 计算机病毒(Computer Virus),是一种人为制造 的、能够进行自我复制的、具有对计算机资源 进行破坏作用的一组程序或指令集合
– 潜伏性愈好,其在系统中的存在时间就会愈长,病 毒的传染范围就会愈大
• 计算机病毒的可触发性
– 计算机病毒因某个事件或数值的出现,诱使病毒实 施感染或进行攻击的特性称为可触发性
– 为了隐蔽自己,病毒必须潜伏,少做动作。如果完 全不动作,一直潜伏的话,病毒既不能感染也不能 进行破坏,便失去了杀伤力。病毒既要隐蔽又要维 持杀伤力,它必须具有可触发性
– 如手机病毒、PDA病毒等
1.3 计算机病毒的分类
1.3.4 按照计算机病毒攻击的机型分 类
• 攻击微型计算机的病毒
– 如巴基斯坦病毒
• 攻击工作站的病毒
• 攻击小型计算机的病毒
• 攻击中、大型计算机的病毒
1.3 计算机病毒的分类
1.3.5 按照计算机病毒特有的算法分 类
• 伴随型病毒
– 病毒并不改变文件本身,它们根据算法产生文件的伴随体
1.3 计算机病毒的分类
1.3.2 按照病毒的破坏能力、破坏情 况分类
• 根据病毒破坏的能力可划分为以下几种
– 无害型 – 无危险型 – 危险型 – 非常危险型
• 按照计算机病毒的破坏情况又可分为两类
– 良性病毒 – 恶性病毒
– 良性和恶性是相比较而言的,不可轻视任何一种病 毒对计算机系统造成的损害
目的
1.4 恶意程序、蠕虫与木马
1.4.2 蠕虫
• 蠕虫程序的工作流程可以分为漏洞扫描、 攻击、传染、现场处理四个阶段
漏洞扫描
攻击
传染
• 蠕虫病毒具有如下特性:
– 传染方式多 – 传播速度快 – 清除难度大 – 破坏性强
现场处理
1.4 恶意程序、蠕虫与木马
1.4.3 特洛伊木马
• 特洛伊木马(Trojan house,简称木马)是指表面 上是有用的软件、实际目的却是危害计算机安 全并导致严重破坏的计算机程序,是一种在远 程计算机之间建立连接,使远程计算机能通过 网络控制本地计算机的非法程序
读COMMAND.COM
磁盘自举完成
正常DOS自举 带病毒的DOS自举
进入ROM-BIOS
读引导至0:7C00H 系统复位
读COMMAND.COM 磁盘自举完成
1.3 计算机病毒的分类
1.3.1 分类的目的
• 对事物进行系统的分类研究,其作用与意义主要体现在以 下几个方面:
– 描述:描述研究对象,将其转化为易于理解、分析和管理的 对象;
1.3 计算机病毒的分类
1.3.3 按照计算机病毒攻击的操作系 统分类
• 攻击DOS系统的病毒
– 引导型病毒,米氏病毒 ;“黑色星期五”,“1575“,“卡死脖”病毒 (CASPER)
• 攻击Windows系统的病毒
– 勒索病毒
• 攻击UNIX系统的病毒 • 攻击OS/2系统的病毒 • 攻击Macintosh系统的病毒 • 其它操作系统上的病毒
第一章
计算机病毒与反 病毒技术
第1章 计算机病毒概述
主要内容
• 计算机病毒的定义 • 计算机病毒的基本特征与分类 • 计算机病毒的命名规则 • 计算机病毒的危害与症状 • 计算机病毒的传播途径 • 计算机病毒的生命周期 • 计算机病毒简史 • 研究计算机病毒的基本原则
1.1 计算机病毒的定义
狭义定义
– “人为的特制程序”是任何计算机病毒都固有的 本质属性,这一属性也决定了病毒的面目各异且多 变
1.2 计算机病毒的基本特征
1.2.1 计算机病毒的基本特征
• 计算机病毒的传染性
– 计算机病毒的传染性是指病毒具有把自身复制到其 他程序的能力。
– 计算机病毒会通过各种渠道从已被感染的计算机扩 散到未被感染的计算机。计算机病毒的这种将自身 复制到感染目标中的“再生机制”,使得病毒能够 在系统中迅速扩散。
1.2 计算机病毒的基本特征
1.2.2 计算机病毒的本质
• 计算机病毒利用计算机系统使用过程中出现的频繁中断或
操作,通过修改地址,使病毒指令程序插入中断程序与正
常程序之间
系统加电复位
系统加电复位 进入ROM-BIOS 读引导至0:7C00H
系统复位
读引导区病毒 执行病毒程序 修改中断向量 复制病毒/感染磁盘
– 计算机病毒的破坏性,决定了病毒的危害性
1.2 计算机病毒的基本特征
1.2.1 计算机病毒的基本特征
• 计算机病毒攻击的主动性
– 计算机病毒对系统的攻击是主动的,是不以人的意 志为转移的
• 计算机病毒的针对性
– 要使计算机病毒得以运行,就必须具有适合该病毒 发生作用的特定软硬件环境
• 计算机病毒的衍生性
• 外壳(Shell)型病毒
– 外壳型病毒常附在主程序的首部或尾部,相当于给宿主程序加了 个“外壳” 译码型病毒
– 隐藏在微软Office、AmiPro等文档中,如宏病毒、脚本病毒 (VBS/WHS/JS)等,一般是解释执行此类病毒。
• 操作系统型病毒
– 病毒用自己的程序试图加入或取代部分操作系统功能
– 理解:好的分类方法有助于人们更清晰、更系统地理解所研 究的对象;
– 预测:通过对已知领域或已知事物的系统分类研究,可以进 一步预测未知领域,或者为进一步的研究提供指导
• 对计算机病毒的分类研究,目的在于更好地描述、分析、 理解计算机病毒的特性、危害、原理及其防治技术
• 一个病毒通常会具有多个属性,分类的主要问题在于选择 哪些属性作为分类的依据,依据不同,分类自然不同
• 恶意程序大致可以分为两类:
– 依赖于主机程序的恶意程序 • 不能独立于应用程序或系统程序,即存在宿主
– 独立于主机程序的恶意程序 • 能在操作系统上运行的、独立的程序
恶意程序
依赖主机程序
独立于主机程序
后门 特洛伊木马 逻辑炸弹 病毒 蠕虫 细菌 拒绝服务程序
1.4 恶意程序、蠕虫与木马
1.4.2 蠕虫
• “蠕虫”型病毒
– 蠕虫通过计算机网络传播,不改变文件和资料信息,除了内存, 一般不占用其它资源
• 寄生型病毒
– 除了伴随型和“蠕虫”型,其它病毒均可称为寄生型病毒,依附 在系统的引导扇区或文件中
• 练习型病毒
– 病毒自身包含错误,不能进行很好的传播,例如一些在调试阶段 的病毒
• 诡秘型病毒 • 变形病毒(又称幽灵病毒)
– 类似于生物病毒,它能把自身附着在各种类型的文 件上或寄生在存储媒介中,能对计算机系统和网络 进行各种破坏;
– 有独特的复制能力和传染性,能够自我复制——主 动传染,另一方面,当文件被复制或在网络中从一 个用户传送到另一个用户时——被动传染,它们就 随同文件一起蔓延开来
1.1 计算机病毒的定义
病毒感染示意
• 计算机病毒的不可预见性
– 反病毒软件预防措施和技术手段往往滞后于病毒的产生速度
• 计算机病毒的诱惑欺骗性
– 某些病毒常以某种特殊的表现方式,引诱、欺骗用户不自觉 地触发、激活病毒,从而实施其感染、破坏功能
• 计算机病毒的持久性
– 即使在病毒程序被发现以后,数据和程序以至操作系统的恢 复都非常困难
– 一般由一段混有无关指令的解码算法和被变化过的病毒体组成
1.3 计算机病毒的分类
1.3.6 按照计算机病毒的链接方式分 类
• 源码型病毒
• 将病毒代码插入到高级语言源程序中,经编译成为合法程序的 一部分
• 嵌入型病毒
– 也称作入侵型病毒。该类病毒将自身嵌入到现有程序中,把计算 机病毒的主体程序与其攻击对象以插入方式链接,并代替其中部 分不常用到的功能模块或堆栈区
1.3 计算机病毒的分类
1.3.7 按照计算机病毒的传播媒介分 类
• 单机病毒
– 单机病毒的载体是磁盘、优盘、光盘等移动存储设 备,常见的是通过软盘传入硬盘,感染系统后再传 染其他软盘,软盘又感染其他系统
• 网络病毒
– 网络为病毒提供了最好的传播途径,网络病毒的破 坏能力是前所未有的。网络病毒利用计算机网络的 协议或命令以及Email等进行传播,常见的是通过 QQ、BBS、Email、FTP、Web等传播
1.2 计算机病毒的基本特征
1.2.2 计算机病毒的本质
• 无论是DOS病毒还是Win32病毒,其本质是一 致的,都是人为制造的程序
• 其本质特点是程序的无限重复执行或复制,因 为病毒的最大特点是其传染性,而传染性的原 因是其自身程序不断复制的结果,即程序本身 复制到其他程序中或简单地在某一系统中不断 地复制自己
1.3 计算机病毒的分类
1.3.8 按照病毒的寄生对象和驻留方 式分类
• 计算机病毒按寄生对象分为:
– 引导型病毒 – 文件型病毒 – 混合型病毒
• 计算机病毒按是否驻留内存分为:
– 驻留内存型 – 不驻留内存型
1.4 恶意程序、蠕虫与木马
1.4.1 恶意程序
• 未经授权便干扰或破坏计算系统/网络的程 序或代码称之为恶意程序/恶意代码
病毒 感染
生物体
病毒
. . CALL VIRUS . .
感染
HOST
. . ADD AX,100 JMP CD00 MOV AX,0 . .
生物体 病毒
生物病毒感染与寄生
HOST
. . ADD AX,100 JMP CD00
. . CALL VIRUS . .
MOV AX,0 .
计算机病毒感染与寄.生
– 计算机病毒通常附在正常程序中或磁盘较隐蔽 的地方,也有个别的以隐含文件形式出现,目 的是不让用户发现它的存在。
– 计算机病毒的隐蔽性表现在两个方面:
• 传染的隐蔽性 • 病毒程序存在的隐蔽性
1.2 计算机病毒的基本特征
1.2.1 计算机病毒的基本特征
• 计算机病来自百度文库的潜伏性
– 一个编制精巧的计算机病毒程序,进入系统之后一 般不会马上发作
1.2 计算机病毒的基本特征
1.2.1 计算机病毒的基本特征
• 计算机病毒的破坏性
– 所有的计算机病毒都对操作系统造成不同程度 的影响,轻者降低计算机系统工作效率,占用 系统资源(如占用内存空间、占用磁盘存储空间 以及系统运行时间等),重者导致数据丢失、系 统崩溃,其具体情况取决于入侵系统的病毒程 序、取决于计算机病毒设计者的目的
1.2 计算机病毒的基本特征
1.2.1 计算机病毒的基本特征
• 计算机病毒的可执行性(程序性)
– 计算机病毒的基本特征,也是计算机病毒最基本的 一种表现形式
– 程序性决定了计算机病毒的可防治性、可清除性, 反病毒技术就是要提前取得计算机系统的控制权, 识别出计算机病毒的代码和行为,阻止其取得系统 控制权,并及时将其清除
• 蠕虫(Worm)是一种独立的可执行程序,主要由主程序和引导程序两 部分组成
– 主程序一旦在计算机中得到建立,就可以去收集与当前计算机联网的其 他计算机的信息,通过读取公共配置文件并检测当前计算机的联网状态 信息,尝试利用系统的缺陷在远程计算机上建立引导程序
– 引导程序把蠕虫带入它所感染的每一台计算机中 – 与普通病毒不同,蠕虫并不需要将自身链入宿主程序来达到自我复制的
– 如“黑色星期五”
• 按病毒发作症状命名
– 如“小球”病毒
• 按病毒的传染方式命名
– 如黑色星期五病毒,又命名为疯狂拷贝病毒
相关文档
最新文档