《计算机病毒及防治》PPT课件

计算机病毒的发展历史
2．计算机病毒在中国的发展情况
在我国，80年代末，有关计算机病毒问题的研究和防范 已成为计算机安全方面的重大课题。 1982年“黑色星 期五”病毒侵入我国；1985年在国内发现更为危险的 “病毒生产机”，生存能力和破坏能力极强。这类病毒 有1537、CLME等。进入90年代，计算机病毒在国内的泛 滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒， 它可攻击计算机的主板，并可造成网络的瘫痪。
究其产生的原因不外乎以下几种： （1）一些计算机爱好者出于好奇或兴趣 （2）产生于个别人的报复心理 （3）来源于软件加密 （4）产生于游戏 （5）用于研究或实验而设计的“有用”程序 （6）由于政治经济和军事等特殊目的
计算机病毒的分类
病毒种类众多，分类如下：
按传染方式分为引导型、文件型和混合型病毒 按连接方式分为源码型、入侵型、操作系统型和外壳型
病毒 按破坏性可分为良性病毒和恶性病毒 网络病毒
返回本节
计算机病毒的特点
计算机病毒的特点
（1）传染性（自我复制能力 ）
（2）非授权性（夺取系统控制权 ） （3）隐蔽性 （4）潜伏性 （5）刻意编写，人为破坏 （6）不可预见性
返回本节
计算机病毒的隐藏之处和入侵途径
1．病毒的隐藏之处
可执行文件。 引导扇区。 表格和文档。 Java小程序和ActiveX控件。
是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏 被传染系统或者在被传染系统的设备上表现出特定的现象。大部 分病毒都是在一定条件下才会触发其表现部分的。
计算机病毒及防治
计算机病毒从它诞生之日起到现在，已成为 了当今信息社会的一个癌症，它随着计算机网络 的发展，已经传播到信息社会的每一个角落，并 大肆破坏计算机数据、改变操作程序、摧毁计算 机硬件，给人们造成了重大损失。为了更好地防 范计算机及网络病毒，必须了解计算机病毒的机 制，同时掌握计算机病毒的预防和清除办法。
一个文件病毒传染的实例
VVV.COM
假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么 运行该文件后，耶路撒冷病毒的引导模块会修改INT 21H 的中断向量，使之指向病毒传染模块，并将病毒代码驻 留内存，此后退回操作系统。以后再有任何加载执行文 件的操作，病毒的传染模块将通过INT 21H的调用率先获 得控制权，并进行以下操作： 1）读出该文件特定部分。 2）判断是否传染。 3）如果满足条件，则用某种方式将病毒代码与该可执行 文件链接，再将链接后的文件重新写入磁盘。 4）转回原INT 21H入口，对该执行文件进行正常加载。
计算机病毒的定义
“计算机病毒”最早是由美国计算机病毒研究专家 F.Cohen博士提出的。 “计算机病毒”有很多种定义， 国外最流行的定义为：计算机病毒，是一段附着在其他 程序上的可以实现自我繁殖的程序代码。在《中华人民 共和国计算机信息系统安全保护条例》中的定义为： “计算机病毒是指编制或者在计算机程序中插入的破坏 计算机功能或者数据，影响计算机使用并且能够自我复 制的一组计算机指令或者程序代码”。
计算机病毒的发展历史
1．计算机病毒发展简史
世界上第一例被证实的计算机病毒是在1983年，出现了 计算机病毒传播的研究报告。同时有人提出了蠕虫病毒 程序的设计思想；1984年，美国人Thompson开发出了针 对UNIHale Waihona Puke Baidu操作系统的病毒程序。
1988年11月2日晚，美国康尔大学研究生罗特·莫里斯 将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展， 造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到 影响，直接经济损失近亿美元。
计算机病毒的发展历史
3．计算机病毒发展的10个阶段
（1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段
计算机病毒的发展历史
计算机病毒的产生是计算机技术和以计算机为核心 的社会信息化进程发展到一定阶段的必然产物。其 产生的过程可分为： 程序设计→传播→潜伏→触发、运行→实行攻击。
2．病毒的入侵途径
传统方法 （磁盘、光盘等） Internet
现代计算机病毒的流行特征
现代计算机病毒的流行特征
攻击对象趋于混合型 反跟踪技术 增强隐蔽性
（1）避开修改中断向量值 （2）请求在内存中的合法身份 （3）维持宿主程序的外部特性 （4）不使用明显的感染标志
加密技术处理
（1）对程序段动态加密 （2）对显示信息加密 （3）对宿主程序段加密
计算机病毒的一般构成
计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现 部分三部分组成。
1 . 引导部分 也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，
为传染部分做准备。 2 . 传染部分
作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染 前，要首先判断传染条件是否满足，判断病毒是否已经感染过该 目标等，如CIH病毒只针对Windows 95/98操作系统。 3 . 表现部分
病毒繁衍不同变种
计算机病毒的破坏行为
计算机病毒的破坏行为
（1）攻击系统数据区 （2）攻击文件 （3）攻击内存 （4）干扰系统运行，使运行速度下降 （5）干扰键盘、喇叭或屏幕 （6）攻击CMOS （7）干扰打印机 （8）网络病毒破坏网络系统
返回本节
一个引导病毒传染的实例
小球病毒
假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自举以 后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存 的最高段，即97C0：7C00处；然后修改INT 13H的中断向量，使之指 向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT 13H的作 用，计算机病毒的传染块便率先取得控制权，它就进行如下操作： 1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标 志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字 节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。 4）跳转到原INT 13H的入口执行正常的磁盘系统操作。