計(jì)算機(jī)病毒2PPT

1、第2章 計(jì)算機(jī)病毒 病毒基本概念 引導(dǎo)型病毒 文件型病毒 混合型病毒 宏病毒 網(wǎng)絡(luò)病毒與防護(hù) 典型病毒原理及防治方法2.1 病毒基本概念 2.1.1 病毒的起源 2.1.2 病毒的本質(zhì)計(jì)算機(jī)病毒定義：是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用且能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 病毒傳播載體：網(wǎng)絡(luò)、電磁性介質(zhì)和光學(xué)介質(zhì)病毒傳染的基本條件：計(jì)算機(jī)系統(tǒng)的運(yùn)行、讀寫(xiě)介質(zhì)（磁盤(pán)）上的數(shù)據(jù)和程序病毒的傳播步驟：駐留內(nèi)存、尋找傳染的機(jī)會(huì)、進(jìn)行傳染。病毒傳染方式：引導(dǎo)扇區(qū)（包括硬盤(pán)的主引導(dǎo)扇區(qū)）傳染類(lèi)、文件型病毒2.1.3 病毒的特點(diǎn)隱蔽性：隱藏在操作系統(tǒng)的引導(dǎo)扇區(qū)、可

2、執(zhí)行文件、數(shù)據(jù)文件、標(biāo)記的壞扇區(qū)。傳染性：自我復(fù)制潛伏性：定期發(fā)作可觸發(fā)性：控制條件，日期、時(shí)間、標(biāo)識(shí)、計(jì)數(shù)器表現(xiàn)性或破壞性：干擾系統(tǒng)、破壞數(shù)據(jù)、占用資源2.1.4 病毒的種類(lèi)按破壞性分類(lèi)良性病毒：是指那些只是為了表現(xiàn)自己而并不破壞系統(tǒng)數(shù)據(jù)，只占用系統(tǒng)CPU資源或干擾系統(tǒng)工作的一類(lèi)計(jì)算機(jī)病毒。惡性病毒：是指病毒制造者在主觀上故意要對(duì)被感染的計(jì)算機(jī)實(shí)施破壞，這類(lèi)病毒一旦發(fā)作就破壞系統(tǒng)的數(shù)據(jù)、刪除文件、加密磁盤(pán)或格式化操作系統(tǒng)盤(pán)，使系統(tǒng)處于癱瘓狀態(tài)。按寄生方式分類(lèi)系統(tǒng)引導(dǎo)型：系統(tǒng)引導(dǎo)時(shí)病毒裝入內(nèi)存，同時(shí)獲得對(duì)系統(tǒng)的控制權(quán)，對(duì)外傳播病毒，并且在一定條件下發(fā)作，實(shí)施破壞。文件型（外殼型）：將自身包圍在

3、系統(tǒng)可執(zhí)行文件的周?chē)?duì)原文件不作修改、運(yùn)行可執(zhí)行文件時(shí)，病毒程序首先被執(zhí)行，進(jìn)入到系統(tǒng)中，獲得對(duì)系統(tǒng)的控制權(quán)。源碼型：在源被編譯之前，插入到源程序中，經(jīng)編譯之后，成為合法程序的一部分。入侵型：將自身入侵到現(xiàn)有程序之中，使其變成合法程序的一部分。2.1.4 病毒的種類(lèi)按廣義病毒概念分類(lèi)蠕蟲(chóng)（worm）：監(jiān)測(cè)IP地址，網(wǎng)絡(luò)傳播邏輯炸彈（logic bomb）：條件觸發(fā)，定時(shí)器特洛伊木馬（Trojan Horse）：隱含在應(yīng)用程序上的一段程序，當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶(hù)的安全性。陷門(mén)：在某個(gè)系統(tǒng)或者某個(gè)文件中設(shè)置機(jī)關(guān)，使得當(dāng)提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。細(xì)菌（Germ）:不斷繁殖，直至添滿(mǎn)

4、整個(gè)網(wǎng)絡(luò)的存儲(chǔ)系統(tǒng)2.1.5 病毒的基本結(jié)構(gòu)表現(xiàn)部分引導(dǎo)部分傳播部分計(jì)算機(jī)病毒程序結(jié)構(gòu)引導(dǎo)部分：把病毒程序加載到內(nèi)存。 功能：駐留內(nèi)存、修改中斷、修改高端內(nèi)存、保存原中斷向量傳染部分：把病毒代碼復(fù)制到傳染目標(biāo)上。 功能：條件判斷、與主程序連接、設(shè)置標(biāo)志。表現(xiàn)部分：運(yùn)行、實(shí)施破壞 功能：條件判斷、顯示、文件讀寫(xiě)2.1.5 病毒的基本結(jié)構(gòu)2.1.6 計(jì)算機(jī)病毒與存儲(chǔ)結(jié)構(gòu)磁盤(pán)空間的總體劃分：主引導(dǎo)記錄區(qū)（只有硬盤(pán)有）、引導(dǎo)記錄區(qū)、文件分配表 （FAT）、目錄區(qū)和數(shù)據(jù)區(qū)。軟盤(pán)空間的總體劃分：引導(dǎo)記 錄區(qū)、文件分配表1、文件分配表2、根目錄區(qū)以及數(shù)據(jù)區(qū)硬盤(pán)空間的總體劃分：主引導(dǎo)記錄區(qū)：主引導(dǎo)程序、分區(qū)信

5、息表多個(gè)系統(tǒng)分區(qū)：系統(tǒng)型病毒的磁盤(pán)存儲(chǔ)結(jié)構(gòu)：磁盤(pán)引導(dǎo)扇區(qū)（引導(dǎo)部分）、磁盤(pán)其他的扇區(qū)（傳染、表現(xiàn)部分)病毒程序定位文件型病毒的磁盤(pán)存儲(chǔ)結(jié)構(gòu)外殼病毒2.1.7 計(jì)算機(jī)病毒與中斷中斷的定義：CPU在運(yùn)行過(guò)程中對(duì)外部事件發(fā)出的中斷請(qǐng)求及時(shí)地進(jìn)行處理，處理完成后又立即返回?cái)帱c(diǎn)，繼續(xù)進(jìn)行CPU原來(lái)的工作。中斷源：引起中斷的原因或者說(shuō)發(fā)出中斷請(qǐng)求的來(lái)源。根據(jù)中斷源的不同，可以把中斷分為：硬件中斷可以分為外部中斷和內(nèi)部中斷兩類(lèi)：外部中斷：一般是指由計(jì)算機(jī)外設(shè)發(fā)出的中斷請(qǐng)求。內(nèi)部中斷：是指因硬件出錯(cuò)或運(yùn)算出錯(cuò)所引起的中斷。軟件中斷：其實(shí)并不是真正的中斷，它們只是可被調(diào)用執(zhí)行的一般程序。2.1.8 病毒的危害1

6、、攻擊系統(tǒng)數(shù)據(jù)區(qū)2、攻擊文件 3、攻擊內(nèi)存4、干擾系統(tǒng)運(yùn)行5、干擾外部設(shè)備 6、攻擊CMOS7、破壞網(wǎng)絡(luò)系統(tǒng)8、破壞計(jì)算機(jī)控制系統(tǒng)2.1.9 病毒的防治預(yù)防措施訪問(wèn)控制、進(jìn)程監(jiān)視、校驗(yàn)信息的驗(yàn)證、病毒掃描程序、啟發(fā)式掃描程序、應(yīng)用程序級(jí)掃描程序 病毒檢查比較法、搜索法、特征字識(shí)別法、分析法、通用解密法、人工智能技術(shù)、數(shù)字免疫病毒的消除引導(dǎo)型病毒消除、文件型病毒消除、宏病毒清除、病毒交叉感染的消除2.2 引導(dǎo)型病毒2.2 引導(dǎo)型病毒2.2.1 引導(dǎo)型病毒特點(diǎn)引導(dǎo)部分占據(jù)磁盤(pán)引導(dǎo)區(qū)。只有在計(jì)算機(jī)啟動(dòng)過(guò)程中，磁盤(pán)被引導(dǎo)時(shí)，“引導(dǎo)型”病毒才被激活。具有磁盤(pán)引導(dǎo)扇區(qū)內(nèi)容“復(fù)原”功能。修改內(nèi)存容量，病毒駐

7、留內(nèi)存。修改磁盤(pán)訪問(wèn)中斷，在進(jìn)行磁盤(pán)寫(xiě)操作的時(shí)候進(jìn)行傳播。2.2.2 引導(dǎo)型病毒傳播方式正常的操作系統(tǒng)啟動(dòng)過(guò)程感染引導(dǎo)型病毒的操作系統(tǒng)啟動(dòng)2.2.3 引導(dǎo)型病毒的清除方法1、病毒診斷 1）用DEBUG診斷 2）用CHKDSK命令診斷 3）用PCTOOLS實(shí)用工具軟件診斷2、手工清除病毒辦法 1）硬盤(pán)主引導(dǎo)扇區(qū)病毒清除 2）硬盤(pán)操作系統(tǒng)引導(dǎo)扇病毒清除 3）軟盤(pán)引導(dǎo)扇區(qū)病毒清除2.3.1文件型病毒特點(diǎn)文件型病毒的主要特點(diǎn)是：系統(tǒng)執(zhí)行病毒所寄生的文件時(shí)，其病毒才被激活。有可能直接攻擊目標(biāo)對(duì)象，主要是EXE、COM等可執(zhí)行文件，如果是混合型病毒，則還要攻擊硬盤(pán)的主引導(dǎo)扇區(qū)或操作系統(tǒng)引導(dǎo)扇區(qū)。修改系統(tǒng)內(nèi)

8、存分配，病毒駐留內(nèi)存。修改系統(tǒng)中斷，等待時(shí)機(jī)進(jìn)行病毒的發(fā)作或再次傳播。2.3.2 文件型病毒傳播方式前置感染后置感染覆蓋感染擴(kuò)展覆蓋感染2.3.3 文件型病毒的清除方法1、病毒診斷（1）比較文件內(nèi)容（2）系統(tǒng)的內(nèi)存變化（3）檢查中斷向量2、 文件型病毒的清除2.4 混合型病毒 定義：一些病毒即能感染文件也能感染引導(dǎo)扇區(qū)。 混合型病毒有文件型和引導(dǎo)型兩類(lèi)病毒的某些共同特性混合型病毒的診斷、清除方法可以結(jié)合診斷、清除文件型和引導(dǎo)型病毒使用的方法進(jìn)行。2.5 宏病毒宏病毒的產(chǎn)生宏病毒是一種特殊的文件型病毒，它的產(chǎn)生是利用了一些數(shù)據(jù)處理系統(tǒng)。這種特性可以把特定的宏命令代碼附加在指定文件上，在未經(jīng)使用者

9、許可的情況下獲取某種控制權(quán)，實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞。病毒通過(guò)文件的打開(kāi)或關(guān)閉來(lái)獲取控制權(quán)，然后進(jìn)一步捕獲一個(gè)或多個(gè)系統(tǒng)事件，并通過(guò)這些調(diào)用完成對(duì)文件的感染。宏病毒與傳統(tǒng)的病毒有很大不同，它不感染.EXE和.COM等可執(zhí)行文件，而是將病毒代碼以“宏”的形式潛伏在Office文件中，主要感染W(wǎng)ord和Excel等文件，當(dāng)采用Office軟件打開(kāi)這些染毒文件時(shí)，這些代碼就會(huì)被執(zhí)行并產(chǎn)生破壞作用。宏病毒與VBA 宏病毒與正常的宏采用相同的語(yǔ)言編寫(xiě)，只是這些宏的執(zhí)行效果有害。宏病毒也應(yīng)用了定自動(dòng)執(zhí)行這一特點(diǎn)，使用戶(hù)在打開(kāi)文件時(shí)不知不覺(jué)地就運(yùn)行了這些病毒程序。2.5.1 宏病毒特點(diǎn)宏病毒的表

10、現(xiàn)自身的傳播無(wú)破壞性干擾打印和顯示刪除文件宏病毒的特點(diǎn)容易制造交叉硬件平臺(tái)傳播速度極快具有很好的隱蔽性破壞性強(qiáng)2.5.2 宏病毒傳播方式 實(shí)際上，宏病毒感染通用模板的目的，僅僅相當(dāng)于普通病毒要感染引導(dǎo)扇區(qū)和駐留內(nèi)存功能，附加在公用模板上才有“公用”的作用，感染W(wǎng)ord或Excel系統(tǒng)是為了進(jìn)一步獲得對(duì)系統(tǒng)，特別是對(duì)Office系統(tǒng)的控制權(quán)。其最終目的是要傳染其他Office文件，即傳染用戶(hù)自己的文檔文件或個(gè)人模板?？梢哉f(shuō)，在同一臺(tái)計(jì)算機(jī)上宏病毒的傳染主要靠通用模板的機(jī)制，在不同的計(jì)算機(jī)之間宏病毒的傳播，就要靠具體的Office文件，通過(guò)磁介質(zhì)或網(wǎng)絡(luò)來(lái)進(jìn)行。其中也包括Office系統(tǒng)中“HTML

11、模板”發(fā)布到網(wǎng)上的傳染機(jī)制。2.5.3 宏病毒的清除方法1、宏病毒的預(yù)防2、宏病毒的檢測(cè)與清除（1）用操作系統(tǒng)的“查找”功能（2）用Office系統(tǒng)的檢查（3）其他手工方法（4）使用專(zhuān)業(yè)殺毒軟件2.6 網(wǎng)絡(luò)病毒與防護(hù) 網(wǎng)絡(luò)病毒并不是指某種特定病毒，它是能夠在網(wǎng)絡(luò)上進(jìn)行傳播的計(jì)算機(jī)病毒的總稱(chēng)。 2.6.1 網(wǎng)絡(luò)病毒的特點(diǎn) 2.6.2 網(wǎng)絡(luò)防毒措施 2.6.3 常見(jiàn)網(wǎng)絡(luò)病毒2.6.1 網(wǎng)絡(luò)病毒的特點(diǎn)網(wǎng)絡(luò)病毒的特點(diǎn)：1、破壞性強(qiáng)2、傳播性強(qiáng)3、具有潛伏性和可激發(fā)性4、針對(duì)性強(qiáng)5、擴(kuò)散面廣2.6.2 網(wǎng)絡(luò)防毒措施服務(wù)器工作站網(wǎng)絡(luò)管理2.6.3 常見(jiàn)網(wǎng)絡(luò)病毒 蠕蟲(chóng) 多態(tài)病毒 伙伴病毒 BO病毒 隱藏病毒

12、隱藏讀寫(xiě)操作隱藏長(zhǎng)度同時(shí)隱藏讀寫(xiě)操作和長(zhǎng)度。 Java病毒2.7 典型病毒原理及防治方法 小球病毒是典型的引導(dǎo)型病毒，它具備了引導(dǎo)型病毒的一些明顯特性。 黑色星期五病毒是典型的文件型病毒，它具有很大的破壞性。 宏病毒是一種新形態(tài)的計(jì)算機(jī)病毒，也是一種跨平臺(tái)式計(jì)算機(jī)病毒。 CIH病毒是典型的Windows平臺(tái)下的文件型病毒，它感染EXE文件，駐留內(nèi)存，感染W(wǎng)indows環(huán)境下的PE格式文件，攻擊計(jì)算機(jī)的BIOS，它具有很大的破壞性。2.7.1 小球病毒小球病毒攻擊的對(duì)象主要是PC機(jī)及其兼容機(jī)，這種病毒是在世界各地出現(xiàn)比較早的病毒，它的破壞性不是很強(qiáng)，主要是對(duì)系統(tǒng)的信息顯示產(chǎn)生干擾。小球病毒的表現(xiàn)

13、形式：屏幕上顯示按近似正弦軌跡跳動(dòng)的小球，到達(dá)屏幕邊緣反彈系統(tǒng)運(yùn)行速度顯著減慢小球病毒的傳染途徑：帶有病毒的軟盤(pán)啟動(dòng)計(jì)算機(jī)磁盤(pán)復(fù)制，copy diskcopy動(dòng)態(tài)（主動(dòng)）傳染條件：磁盤(pán)讀寫(xiě)操作引導(dǎo)扇區(qū)是否有標(biāo)識(shí)“1357”，磁盤(pán)是否有剩余空間 黑色星期五病毒的名稱(chēng)來(lái)源于該病毒的發(fā)作條件，即除了1987年之外，凡是十三號(hào)并且是星期五這一天，病毒程序發(fā)作，刪除磁盤(pán)上和系統(tǒng)中所有被執(zhí)行的文件。 該病毒又稱(chēng)之為希伯萊病毒、耶路撒冷病毒或以色列病毒（猶太人病毒）。2.7.2 黑色星期五病毒（長(zhǎng)方塊）1、黑色星期五病毒的表現(xiàn)形式 黑色星期五病毒是一種典型的文件型病毒。駐留在.COM和.EXE文件中屏幕左下

14、方出現(xiàn)一個(gè)小量塊感染不成功時(shí)，系統(tǒng)被死鎖系統(tǒng)運(yùn)行速度顯著減慢刪除所執(zhí)行的程序文件長(zhǎng)度增加（COM +1813一次，EXE+1808無(wú)數(shù)次）2.7.2 黑色星期五病毒（長(zhǎng)方塊）2、黑色星期五病毒程序的結(jié)構(gòu) 黑色星期五病毒程序由三部分組成：（1）引導(dǎo)駐留部分（2）傳播部分（3）破壞部分3、黑色星期五病毒的傳染機(jī)制 黑色星期五病毒的傳染過(guò)程是將其自身復(fù)制到在其控制下的系統(tǒng)中運(yùn)行的所有執(zhí)行文件中。執(zhí)行帶有病毒的程序動(dòng)態(tài)（主動(dòng)）傳染條件2.7.2 黑色星期五病毒（長(zhǎng)方塊）4、黑色星期五病毒程序原理分析（1）引導(dǎo)駐留部分（2）傳播部分5、黑色星期五病毒的診斷方法（1）檢查系統(tǒng)中是否感染有病毒（2）檢查文件上是否感染了病毒 6、黑色星期五病毒的清除與免疫：免疫：在特定位置上放置病毒標(biāo)識(shí)（特征值）病毒的清除：有系統(tǒng)中病毒和文件中病毒兩種。（1）消除系統(tǒng)中的病毒2）消除文件上的病毒2.7.2 黑色星期五病毒（長(zhǎng)方塊）美麗莎宏病毒的表現(xiàn)形式HKEY_CU