計算機病毒詳細介紹計算機病毒

計算機病毒詳細介紹計算機病毒世界:20世紀40年代,VonNeumann:程序可以被編寫成能自我復制并增加自身大小得形式。50年代,Bell實驗室:CoreWar(核心大戰(zhàn))60年代,JohnConway(約翰·康威)

:Living(生存)軟件70年代,取得進展,真正攻擊少80年代,RichSkrenta(里奇·斯克倫塔):ElkCloner(克隆麋鹿) 感染PCPakistaniBrain:首個感染微軟公司操作系統(tǒng)得病毒5、1、2計算機病毒由來中國:1989年初:大連市統(tǒng)計局得計算機上發(fā)現(xiàn)有小球計算機病毒。1989年3、4月間:重慶西南鋁加工廠也有了關(guān)于計算機病毒得報道。從此以后,計算機病毒以極其迅猛之勢在中國大陸蔓延。5、1、2計算機病毒得由來

指在編制或者在計算機程序中插入得破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制得一組計算機指令或者程序代碼(《中華人民共和國計算機信息系統(tǒng)安全保護條例》1994年)

5、1、3計算機病毒得定義破壞計算機功能數(shù)據(jù)影響計算機使用自我復制一組計算機指令程序代碼編制在計算機程序中插入1、計算機病毒得傳染性與生物病毒一致:傳染性就是生物病毒得一個重要特征。通過傳染,生物病毒從一個生物體擴散到另一個生物體。計算機病毒一旦進入計算機病得以執(zhí)行,她會搜尋其她符合其傳染條件得程序或存儲介質(zhì),確定目標后再將自身插入其中,達到自我繁殖得目得。就是否具傳染性:判別一個程序就是否為病毒得最重要條件。5、1、4計算機病毒得特性圖5-1直接傳染方式5、1、4計算機病毒得特性圖5-2間接傳染方式圖5-3縱橫交錯傳染方式

2、計算機病毒得隱蔽性計算機病毒通常附在正常程序中或磁盤較隱蔽得地方,目得就是不讓用戶發(fā)現(xiàn)她得存在。不經(jīng)過程序代碼分析或計算機病毒代碼掃描,計算機病毒程序與正常程序就是不容易區(qū)別開來得。一就是傳染得隱蔽性。二就是計算機病毒程序存在得隱蔽性。5、1、4計算機病毒得特性

3、計算機病毒得潛伏性大部分得計算機病毒感染系統(tǒng)之后一般不會馬上發(fā)作,她可長期隱藏在系統(tǒng)中,只有在滿足其特定條件時才啟動其表現(xiàn)(破壞)模塊,在此期間,她就可以對系統(tǒng)和文件進行大肆傳染。潛伏性愈好,其在系統(tǒng)中得存在時間就會愈久,計算機病毒得傳染范圍就會愈大。5、1、4計算機病毒得特性4、可觸發(fā)性:一種條件得控制計算機病毒使用得觸發(fā)條件主要有以下三種。

(1)利用計算機內(nèi)得時鐘提供得時間作為觸發(fā)器,這種觸發(fā)條件被許多計算機病毒采用,觸發(fā)得時間有得精確到百分之幾秒,有得則只區(qū)分年份。 例:CIH病毒陳盈豪每年4月26日

5、1、4計算機病毒得特性大家學習辛苦了，還是要堅持繼續(xù)保持安靜(2)利用計算機病毒體內(nèi)自帶得計數(shù)器作為觸發(fā)器,計算機病毒利用計數(shù)器記錄某種事件發(fā)生得次數(shù),一旦計數(shù)器達到某一設定得值,就執(zhí)行破壞操作。例:ElkCloner第50次啟動感染病毒得軟盤時

(3)利用計算機內(nèi)執(zhí)行得某些特定操作作為觸發(fā)器,特定操作可以就是用戶按下某種特定得組合鍵,可以就是執(zhí)行格式化命令,也可以就是讀寫磁盤得某些扇區(qū)等。5、1、4計算機病毒得特性

5、計算機病毒得破壞性任何計算機病毒只要侵入系統(tǒng),都會對系統(tǒng)及應用程序產(chǎn)生不同程度得影響。輕者會降低計算機得工作效率,占用系統(tǒng)資源,重者可導致系統(tǒng)崩潰。這些都取決于計算機病毒編制者得意愿。

攻擊系統(tǒng)數(shù)據(jù)區(qū),攻擊部位包括引導扇區(qū)、FAT表、文件目錄;攻擊文件;攻擊內(nèi)存;干擾系統(tǒng)運行,如無法操作文件、重啟動、死機等;導致系統(tǒng)性能下降;攻擊磁盤,造成不能訪問磁盤、無法寫入等;擾亂屏幕顯示;干擾鍵盤操作;喇叭發(fā)聲;攻擊CMOS;干擾外設,如無法訪問打印機等。5、1、4計算機病毒得特性

6、計算機病毒得針對性計算機病毒都就是針對某一種或幾種計算機和特定得操作系統(tǒng)得。例如,有針對PC及其兼容機得,有針對Macintosh得,還有針對Unix和Linux操作系統(tǒng)得。只有一種計算機病毒幾乎就是與操作系統(tǒng)無關(guān)得,那就就是宏病毒,所有能夠運行Office文檔得地方都有宏病毒得存在。5、1、4計算機病毒得特性

7、計算機病毒得衍生性計算機病毒得衍生性就是指計算機病毒編制者或者其她人將某個計算機病毒進行一定得修改后,使其衍生為一種與原先版本不同得計算機病毒。后者可能與原先得計算機病毒有很相似得特征,這時我們稱其為原先計算機病毒得一個變種/變體(puterVirus-Variance)。5、1、4計算機病毒得特性

8、計算機病毒得寄生性計算機病毒得寄生性就是指一般得計算機病毒程序都就是依附于某個宿主程序中,依賴于宿主程序而生存,并且通過宿主程序得執(zhí)行而傳播得。蠕蟲和特洛伊木馬程序則就是例外,她們并不就是依附于某個程序或文件中,其本身就完全包含有惡意得計算機代碼,這也就是二者與一般計算機病毒得區(qū)別。5、1、4計算機病毒得特性

9、計算機病毒得不可預見性計算機病毒得不可預見性體現(xiàn)在以下兩個方面:首先就是計算機病毒得侵入、傳播和發(fā)作就是不可預見得,有時即使安裝了實時計算機病毒防火墻,也會由于各種原因而不能完全阻隔某些計算機病毒得侵入。其次不同種類得代碼千差萬別,病毒得制作技術(shù)也不斷提高,對未來病毒得預測很困難。5、1、4計算機病毒得特性

1、不可移動得計算機硬件設備這種傳播途徑就是指利用專用集成電路芯片(ASIC)進行傳播。這種計算機病毒雖然極少,但破壞力卻極強,目前尚沒有較好得檢測手段對付她。

2、移動存儲設備:光盤、移動硬盤等。

3、網(wǎng)絡:電子郵件、BBS、瀏覽、FTP文件下載、新聞組。

4、通過點對點通信系統(tǒng)和無線通信系統(tǒng)傳播5、1、5計算機病毒得傳播途徑(1)攻擊系統(tǒng)數(shù)據(jù)區(qū)。(2)對于文件得攻擊。(3)影響系統(tǒng)運行速度,使系統(tǒng)得運行明顯變慢。(4)破壞磁盤。(5)擾亂屏幕顯示。(6)鍵盤和鼠標工作不正常。(7)攻擊CMOS。(8)干擾外設得工作,尤其就是打印機。5、1、6計算機病毒得危害和由此產(chǎn)生得癥狀5、1VirusOverview計算機病毒概述5、2VirusMechanisms計算機病毒得機制5、3VirusPreventionandDetection計算機病毒得防范、檢測5、4TrojanHouse特洛伊木馬Outline圖5-4計算機病毒得結(jié)構(gòu)模式5、2、1計算機病毒得結(jié)構(gòu)模式5、2、2病毒得引導機制計算機病毒得寄生對象寄生在可以獲取執(zhí)行權(quán)得寄生對象上磁盤引導扇區(qū)可執(zhí)行文件進行自身得主動傳播和破壞寄生方式替代法鏈接法前后依附伴隨圖5-5寄生方式5、2、2病毒得引導機制圖5-6采用加密技術(shù)得病毒程序5、2、2病毒得引導機制3、計算機病毒得引導過程一般:駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復系統(tǒng)功能

寄生在磁盤引導扇區(qū)中:任何操作系統(tǒng)都有個自舉過程,例如DOS在啟動時,首先由系統(tǒng)讀入引導扇區(qū)記錄并執(zhí)行她,將DOS讀入內(nèi)存。病毒程序就就是利用了這一點,自身占據(jù)了引導扇區(qū)而將原來得引導扇區(qū)內(nèi)容及其病毒得其她部分放到磁盤得其她空間,并給這些扇區(qū)標志為壞簇。這樣,系統(tǒng)得一次初始化,病毒就被激活了。她首先將自身拷貝到內(nèi)存得高端并占據(jù)該范圍,然后置觸發(fā)條件如INT13H中斷(磁盤讀寫中斷)向量得修改,置內(nèi)部時鐘得某一值為條件等,最后引入正常得操作系統(tǒng)。以后一旦觸發(fā)條件成熟,如一個磁盤讀或?qū)懙谜埱?病毒就被觸發(fā)。如果磁盤沒有被感染(通過識別標志)則進行傳染。5、2、2病毒得引導機制3、計算機病毒得引導過程一般:駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復系統(tǒng)功能

寄生在可執(zhí)行程序中:這種病毒寄生在正常得可執(zhí)行程序中,一旦程序執(zhí)行病毒就被激活,于就是病毒程序首先被執(zhí)行,她將自身常駐內(nèi)存,然后置觸發(fā)條件,也可能立即進行傳染,但一般不作表現(xiàn)。做完這些工作后,開始執(zhí)行正常得程序,病毒程序也可能在執(zhí)行正常程序之后再置觸發(fā)條件等工作。病毒可以寄生在源程序得首部也可以寄生在尾部,但都要修改源程序得長度和一些控制信息,以保證病毒成為源程序得一部分,并在執(zhí)行時首先執(zhí)行她。這種病毒傳染性比較強。

5、2、3病毒得發(fā)生機制(1)傳染源:存儲介質(zhì),例如軟盤、硬盤等構(gòu)成傳染源。

(2)傳染媒介:計算機網(wǎng),移動得存儲介質(zhì)或硬件。(3)病毒激活:就是指將病毒裝入內(nèi)存,并設置觸發(fā)條件。(4)病毒觸發(fā):內(nèi)部時鐘,系統(tǒng)得日期,用戶標識符,也可能就是系統(tǒng)一次通信等等。一旦觸發(fā)條件成熟,病毒就開始作用－－自我復制到傳染對象中,進行各種破壞活動等。

(5)病毒表現(xiàn):屏幕顯示,破壞數(shù)據(jù)等

(6)傳染:病毒得傳染就是病毒性能得一個重要標志。在傳染環(huán)節(jié)中,病毒復制一個自身副本到傳染對象中去。

5、2、4病毒得破壞機制(1)修改某一中斷向量人口地址一般為時鐘中斷INT8H,或與時鐘中斷有關(guān)得其她中斷,如INT1CH

(2)使該中斷向量指向病毒程序得破壞模塊(3)激活病毒破壞模塊(4)判斷設定條件就是否滿足(5)滿足則對系統(tǒng)或磁盤上得文件進行破壞活動5、1VirusOverview計算機病毒概述5、2VirusMechanisms計算機病毒得機制5、3VirusPreventionandDetection計算機病毒得防范、檢測5、4TrojanHouse特洛伊木馬Outline

1、基本隔離法計算機系統(tǒng)如果存在著共享信息,就有可能傳染病毒。信息系統(tǒng)得共享性和傳遞性以及解釋得通用性,就是計算機最突出得優(yōu)點。

2、分割法分割法主要就是把用戶分割成為不能互相傳遞信息得封閉得子集。5、3、1病毒得理論防范方法

3、流模型法流模型法就是對共享信息流流過得距離設立一個閾值,使一定得信息只能在一定得區(qū)域中流動,以此建立一個防衛(wèi)機制。若使用超過某一距