搜索
第2章计算机病毒1第2章计算机病毒病毒基本概念引导型病毒文件型病毒混合型病毒宏病毒网络病毒与防护典型病毒原理及防治方法第2章计算机病毒2第2章计算机病毒3第2章计算机病毒4第2章计算机病毒52.1病毒基本概念2.1.1病毒的起源2.1.2病毒的本质计算机病毒定义:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用且能自我复制的一组计算机指令或者程序代码。病毒传播载体:网络、电磁性介质和光学介质病毒传染的基本条件:计算机系统的运行、读写介质(磁盘)上的数据和程序病毒的传播步骤:驻留内存、寻找传染的机会、进行传染。病毒传染方式:引导扇区(包括硬盘的主引导扇区)传染类、文件型病毒第2章计算机病毒62.1.3病毒的特点隐蔽性:隐藏在操作系统的引导扇区、可执行文件、数据文件、标记的坏扇区。传染性:自我复制潜伏性:定期发作可触发性:控制条件,日期、时间、标识、计数器表现性或破坏性:干扰系统、破坏数据、占用资源第2章计算机病毒72.1.4病毒的种类按破坏性分类良性病毒:是指那些只是为了表现自己而并不破坏系统数据,只占用系统CPU资源或干扰系统工作的一类计算机病毒。恶性病毒:是指病毒制造者在主观上故意要对被感染的计算机实施破坏,这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘,使系统处于瘫痪状态。按寄生方式分类系统引导型:系统引导时病毒装入内存,同时获得对系统的控制权,对外传播病毒,并且在一定条件下发作,实施破坏。文件型(外壳型):将自身包围在系统可执行文件的周围、对原文件不作修改、运行可执行文件时,病毒程序首先被执行,进入到系统中,获得对系统的控制权。源码型:在源被编译之前,插入到源程序中,经编译之后,成为合法程序的一部分。入侵型:将自身入侵到现有程序之中,使其变成合法程序的一部分。第2章计算机病毒82.1.4病毒的种类按广义病毒概念分类蠕虫(worm):监测IP地址,网络传播逻辑炸弹(logicbomb):条件触发,定时器特洛伊木马(TrojanHorse):隐含在应用程序上的一段程序,当它被执行时,会破坏用户的安全性。陷门:在某个系统或者某个文件中设置机关,使得当提供特定的输入数据时,允许违反安全策略。细菌(Germ):不断繁殖,直至添满整个网络的存储系统第2章计算机病毒92.1.5病毒的基本结构表现部分引导部分传播部分计算机病毒程序结构第2章计算机病毒10引导部分:把病毒程序加载到内存。功能:驻留内存、修改中断、修改高端内存、保存原中断向量传染部分:把病毒代码复制到传染目标上。功能:条件判断、与主程序连接、设置标志。表现部分:运行、实施破坏功能:条件判断、显示、文件读写2.1.5病毒的基本结构第2章计算机病毒112.1.6计算机病毒与存储结构磁盘空间的总体划分:主引导记录区(只有硬盘有)、引导记录区、文件分配表(FAT)、目录区和数据区。软盘空间的总体划分:引导记录区、文件分配表1、文件分配表2、根目录区以及数据区硬盘空间的总体划分:主引导记录区:主引导程序、分区信息表多个系统分区:系统型病毒的磁盘存储结构:磁盘引导扇区(引导部分)、磁盘其他的扇区(传染、表现部分)病毒程序定位文件型病毒的磁盘存储结构外壳病毒第2章计算机病毒122.1.7计算机病毒与中断中断的定义:CPU在运行过程中对外部事件发出的中断请求及时地进行处理,处理完成后又立即返回断点,继续进行CPU原来的工作。中断源:引起中断的原因或者说发出中断请求的来源。根据中断源的不同,可以把中断分为:硬件中断可以分为外部中断和内部中断两类:外部中断:一般是指由计算机外设发出的中断请求。内部中断:是指因硬件出错或运算出错所引起的中断。软件中断:其实并不是真正的中断,它们只是可被调用执行的一般程序。第2章计算机病毒132.1.8病毒的危害1、攻击系统数据区2、攻击文件3、攻击内存4、干扰系统运行5、干扰外部设备6、攻击CMOS7、破坏网络系统8、破坏计算机控制系统第2章计算机病毒142.1.9病毒的防治预防措施访问控制、进程监视、校验信息的验证、病毒扫描程序、启发式扫描程序、应用程序级扫描程序病毒检查比较法、搜索法、特征字识别法、分析法、通用解密法、人工智能技术、数字免疫病毒的消除引导型病毒消除、文件型病毒消除、宏病毒清除、病毒交叉感染的消除第2章计算机病毒152.2引导型病毒第2章计算机病毒162.2引导型病毒2.2.1引导型病毒特点引导部分占据磁盘引导区。只有在计算机启动过程中,磁盘被引导时,“引导型”病毒才被激活。具有磁盘引导扇区内容“复原”功能。修改内存容量,病毒驻留内存。修改磁盘访问中断,在进行磁盘写操作的时候进行传播。2.2.2引导型病毒传播方式正常的操作系统启动过程感染引导型病毒的操作系统启动第2章计算机病毒172.2.3引导型病毒的清除方法1、病毒诊断1)用DEBUG诊断2)用CHKDSK命令诊断3)用PCTOOLS实用工具软件诊断2、手工清除病毒办法1)硬盘主引导扇区病毒清除2)硬盘操作系统引导扇病毒清除3)软盘引导扇区病毒清除第2章计算机病毒182.3.1文件型病毒特点文件型病毒的主要特点是:系统执行病毒所寄生的文件时,其病毒才被激活。有可能直接攻击目标对象,主要是EXE、COM等可执行文件,如果是混合型病毒,则还要攻击硬盘的主引导扇区或操作系统引导扇区。修改系统内存分配,病毒驻留内存。修改系统中断,等待时机进行病毒的发作或再次传播。第2章计算机病毒192.3.2文件型病毒传播方式前置感染后置感染覆盖感染扩展覆盖感染第2章计算机病毒202.3.3文件型病毒的清除方法1、病毒诊断(1)比较文件内容(2)系统的内存变化(3)检查中断向量2、文件型病毒的清除第2章计算机病毒212.4混合型病毒定义:一些病毒即能感染文件也能感染引导扇区。混合型病毒有文件型和引导型两类病毒的某些共同特性混合型病毒的诊断、清除方法可以结合诊断、清除文件型和引导型病毒使用的方法进行。第2章计算机病毒222.5宏病毒宏病毒的产生宏病毒是一种特殊的文件型病毒,它的产生是利用了一些数据处理系统。这种特性可以把特定的宏命令代码附加在指定文件上,在未经使用者许可的情况下获取某种控制权,实现宏命令在不同文件之间的共享和传递。病毒通过文件的打开或关闭来获取控制权,然后进一步捕获一个或多个系统事件,并通过这些调用完成对文件的感染。宏病毒与传统的病毒有很大不同,它不感染.EXE和.COM等可执行文件,而是将病毒代码以“宏”的形式潜伏在Office文件中,主要感染Word和Excel等文件,当采用Office软件打开这些染毒文件时,这些代码就会被执行并产生破坏作用。宏病毒与VBA宏病毒与正常的宏采用相同的语言编写,只是这些宏的执行效果有害。宏病毒也应用了定自动执行这一特点,使用户在打开文件时不知不觉地就运行了这些病毒程序。第2章计算机病毒232.5.1宏病毒特点宏病毒的表现自身的传播无破坏性干扰打印和显示删除文件宏病毒的特点容易制造交叉硬件平台传播速度极快具有很好的隐蔽性破坏性强第2章计算机病毒242.5.2宏病毒传播方式实际上,宏病毒感染通用模板的目的,仅仅相当于普通病毒要感染引导扇区和驻留内存功能,附加在公用模板上才有“公用”的作用,感染Word或Excel系统是为了进一步获得对系统,特别是对Office系统的控制权。其最终目的是要传染其他Office文件,即传染用户自己的文档文件或个人模板。可以说,在同一台计算机上宏病毒的传染主要靠通用模板的机制,在不同的计算机之间宏病毒的传播,就要靠具体的Office文件,通过磁介质或网络来进行。其中也包括Office系统中“HTML模板”发布到网上的传染机制。第2章计算机病毒252.5.3宏病毒的清除方法1、宏病毒的预防2、宏病毒的检测与清除(1)用操作系统的“查找”功能(2)用Office系统的检查(3)其他手工方法(4)使用专业杀毒软件第2章计算机病毒262.6网络病毒与防护网络病毒并不是指某种特定病毒,它是能够在网络上进行传播的计算机病毒的总称。2.6.1网络病毒的特点2.6.2网络防毒措施2.6.3常见网络病毒第2章计算机病毒272.6.1网络病毒的特点网络病毒的特点:1、破坏性强2、传播性强3、具有潜伏性和可激发性4、针对性强5、扩散面广第2章计算机病毒282.6.2网络防毒措施服务器工作站网络管理第2章计算机病毒292.6.3常见网络病毒蠕虫多态病毒伙伴病毒BO病毒隐藏病毒隐藏读写操作隐藏长度同时隐藏读写操作和长度。Java病毒第2章计算机病毒302.7典型病毒原理及防治方法小球病毒是典型的引导型病毒,它具备了引导型病毒的一些明显特性。黑色星期五病毒是典型的文件型病毒,它具有很大的破坏性。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。CIH病毒是典型的Windows平台下的文件型病毒,它感染EXE文件,驻留内存,感染Windows环境下的PE格式文件,攻击计算机的BIOS,它具有很大的破坏性。第2章计算机病毒312.7.1小球病毒小球病毒攻击的对象主要是PC机及其兼容机,这种病毒是在世界各地出现比较早的病毒,它的破坏性不是很强,主要是对系统的信息显示产生干扰。小球病毒的表现形式:屏幕上显示按近似正弦轨迹跳动的小球,到达屏幕边缘反弹系统运行速度显著减慢小球病毒的传染途径:带有病毒的软盘启动计算机磁盘复制,copydiskcopy动态(主动)传染条件:磁盘读写操作引导扇区是否有标识“1357”,磁盘是否有剩余空间第2章计算机病毒32黑色星期五病毒的名称来源于该病毒的发作条件,即除了1987年之外,凡是十三号并且是星期五这一天,病毒程序发作,删除磁盘上和系统中所有被执行的文件。该病毒又称之为希伯莱病毒、耶路撒冷病毒或以色列病毒(犹太人病毒)。2.7.2黑色星期五病毒(长方块)第2章计算机病毒331、黑色星期五病毒的表现形式黑色星期五病毒是一种典型的文件型病毒。驻留在.COM和.EXE文件中屏幕左下方出现一个小量块感染不成功时,系统被死锁系统运行速度显著减慢删除所执行的程序文件长度增加(COM+1813一次,EXE+1808无数次)2.7.2黑色星期五病毒(长方块)第2章计算机病毒342、黑色星期五病毒程序的结构黑色星期五病毒程序由三部分组成:(1)引导驻留部分(2)传播部分(3)破坏部分3、黑色星期五病毒的传染机制黑色星期五病毒的传染过程是将其自身复制到在其控制下的系统中运行的所有执行文件中。执行带有病毒的程序动态(主动)传染条件2.7.2黑色星期五病毒(长方块)第2章计算机病毒354、黑色星期五病毒程序原理分析(1)引导驻留部分(2)传播部分5、黑色星期五病毒的诊断方法(1)检查系统中是否感染有病毒(2)检查文件上是否感染了病毒6、黑色星期五病毒的清除与免疫:免疫:在特定位置上放置病毒标识(特征值)病毒的清除:有系统中病毒和文件中病毒两种。(1)消除系统中的病毒2)消除文件上的病毒2.7.2黑色星期五病毒(长方块)第2章计算机病毒36美丽莎宏病毒的表现形式HKEY_CURRENT_USER\Software\Microsoft\Office\“Melissa?”=“…byKWyjibo”美丽莎宏病毒的传染机制HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\“level”2.7.3美丽莎宏病毒第2章计算机病毒372.7.4CIH病毒