计算机病毒+详细介绍计算机病毒(最全).ppt

上传人:王** 文档编号:187931 上传时间:2023-04-03 格式:PPT 页数:39 大小:682KB
下载 相关 举报
计算机病毒+详细介绍计算机病毒(最全).ppt_第1页
第1页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第2页
第2页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第3页
第3页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第4页
第4页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第5页
第5页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第6页
第6页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第7页
第7页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第8页
第8页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第9页
第9页 / 共39页
计算机病毒+详细介绍计算机病毒(最全).ppt_第10页
第10页 / 共39页
亲,该文档总共39页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《计算机病毒+详细介绍计算机病毒(最全).ppt》由会员分享,可在线阅读,更多相关《计算机病毒+详细介绍计算机病毒(最全).ppt(39页珍藏版)》请在优知文库上搜索。

1、5.1 Virus Overview 计算机病毒概述计算机病毒概述5.2 Virus Mechanisms 计算机病毒的机制计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测计算机病毒的防范、检测5.4 Trojan House 特洛伊木马特洛伊木马OutlineVon Neumann(冯诺依曼)EDVAC (Electronic Discrete Variable Computer)(离散变量自动电子计算机)方案采用二进制存储程序 这种体系把存储的程序当作数据处理, 可以动态地进行修改, 以满足变化多端的需求。 操作系统和应用程序都

2、被如此看待。 病毒利用了系统中可执行程序可被修改的属性, 以达到病毒自身的不同于系统或用户的特殊目的。5.1.1 5.1.1 计算机病毒存在的原因计算机病毒存在的原因世界:20世纪40年代, Von Neumann :程序可以被编写成能自我复制并 增加自身大小的形式。50年代,Bell实验室:Core War(核心大战)60年代,John Conway(约翰康威 ) : Living(生存)软件70年代,取得进展,真正攻击少80年代,Rich Skrenta(里奇斯克伦塔):ElkCloner(克隆麋鹿) 感染PC Pakistani Brain:首个感染微软公司操作系统 的病毒5.1.2 5

3、.1.2 计算机病毒由来计算机病毒由来中国:1989年初: 大连市统计局的计算机上发现有小球计算机 病毒。 1989年3、 4月间: 重庆西南铝加工厂也有了关于计算机 病毒的报道。 从此以后, 计算机病毒以极其迅猛之势在中国大陆蔓延。 5.1.2 5.1.2 计算机病毒的由来计算机病毒的由来 指在编制或者在计算机程序中插入的破坏计算机指在编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够功能或者破坏数据,影响计算机使用并且能够自我复自我复制制的的一组计算机指令或者程序代码一组计算机指令或者程序代码(中华人民共和中华人民共和国计算机信息系统安全保护条例国计算机信息系统

4、安全保护条例1994年)年) 5.1.3 5.1.3 计算机病毒的定义计算机病毒的定义破坏计算机功能数据影响计算机使用自我复制一组计算机指令一组计算机指令程序代码程序代码编制在计算机程序中插入1. 计算机病毒的传染性 与生物病毒一致:传染性是生物病毒的一个重要特征。通过传染 ,生物病毒从一个生物体扩散到另一个生物体。 计算机病毒一旦进入计算机病得以执行,它会搜寻其他符合其传染 条件的程序或存储介质,确定目标后再将自身插入其中,达到自我繁殖的目的。是否具传染性:判别一个程序是否为病毒的最重要条件。 5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性图5-1 直接传染方式 CV源病毒CVP2

5、CVP1CVPn再生病毒5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性图5-2 间接传染方式 CV源病毒CVP2CVP1CVPn再生病毒图5-3 纵横交错传染方式 CV源病毒CVP1.2CVP1.1CVP1.i再生病毒CVP1.3CVP1.4CVP2.2CVP2.1CVP2.3CVP2.4CVP2.5CVP2jCVP3.2CVP3.1CVP3.3CVP3.k 2. 计算机病毒的隐蔽性 计算机病毒通常附在正常程序中或磁盘较隐蔽的地方, 目的是不让用户发现它的存在。 不经过程序代码分析或计算机病毒代码扫描, 计算机病毒程序与正常程序是不容易区别开来的。 一是传染 的隐蔽性。 二是计算机病

6、毒程序存在的隐蔽性。5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性 3. 计算机病毒的潜伏性 大部分的计算机病毒感染 系统之后一般不会马上发作, 它可长期隐藏在系统中, 只有在满足其特定条件时才启动其表现(破坏)模块, 在此期间, 它就可以对系统和文件进行大肆传染 。 潜伏性愈好, 其在系统中的存在时间就会愈久, 计算机病毒的传染 范围就会愈大。 5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性 4. 可触发性:一种条件的控制 计算机病毒使用的触发条件主要有以下三种。 (1) 利用计算机内的时钟提供的时间作为触发器, 这种触发条件被许多计算机病毒采用, 触发的时间有的精确到百

7、分之几秒, 有的则只区分年份。 例:CIH 病毒 陈盈豪 每年4月26日5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性(2) 利用计算机病毒体内自带的计数器作为触发器, 计算机病毒利用计数器记录某种事件发生的次数, 一旦计数器达到某一设定的值, 就执行破坏操作。 例:ElkCloner 第50次启动感染 病毒的软盘时 (3) 利用计算机内执行的某些特定操作作为触发器, 特定操作可以是用户按下某种特定的组合键, 可以是执行格式化命令, 也可以是读写磁盘的某些扇区等。 5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性 5. 计算机病毒的破坏性 任何计算机病毒只要侵入系统, 都会对

8、系统及应用程序产生不同程度的影响。 轻者会降低计算机的工作效率, 占用系统资源, 重者可导致系统崩溃。 这些都取决于计算机病毒编制者的意愿。 攻击系统数据区, 攻击部位包括引导扇区、 FAT表、 文件目录; 攻击文件; 攻击内存; 干扰系统运行, 如无法操作文件、 重启动、 死机等; 导致系统性能下降; 攻击磁盘, 造成不能访问磁盘、 无法写入等; 扰乱屏幕显示; 干扰键盘操作; 喇叭发声; 攻击CMOS; 干扰外设, 如无法访问打印机等。5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性 6. 计算机病毒的针对性 计算机病毒都是针对某一种或几种计算机和特定的操作系统的。 例如, 有针对

9、PC及其兼容机的, 有针对Macintosh的, 还有针对Unix和Linux操作系统的。 只有一种计算机病毒几乎是与操作系统无关的, 那就是宏病毒, 所有能够运行Office文档的地方都有宏病毒的存在。 5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性 7. 计算机病毒的衍生性 计算机病毒的衍生性是指计算机病毒编制者或者其他人将某个计算机病毒进行一定的修改后, 使其衍生为一种与原先版本不同的计算机病毒。 后者可能与原先的计算机病毒有很相似的特征, 这时我们称其为原先计算机病毒的一个变种/变体(Computer Virus-Variance)。 5.1.4 5.1.4 计算机病毒的特性

10、计算机病毒的特性 8. 计算机病毒的寄生性 计算机病毒的寄生性是指一般的计算机病毒程序都是依附于某个宿主程序中, 依赖于宿主程序而生存,并且通过宿主程序的执行而传播的。 蠕虫和特洛伊木马程序则是例外, 它们并不是依附于某个程序或文件中, 其本身就完全包含有恶意的计算机代码, 这也是二者与一般计算机病毒的区别。 5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性 9. 计算机病毒的不可预见性 计算机病毒的不可预见性体现在以下两个方面: 首先是计算机病毒的侵入、传播和发作是不可预见的,有时即使安装了实时计算机病毒防火墙,也会由于各种原因而不能完全阻隔某些计算机病毒的侵入。 其次不同种类的代码

11、千差万别,病毒的制作技术也不断提高,对未来病毒的预测很困难。 5.1.4 5.1.4 计算机病毒的特性计算机病毒的特性 1. 不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片(ASIC)进行传播。 这种计算机病毒虽然极少, 但破坏力却极强, 目前尚没有较好的检测手段对付它。 2. 移动存储设备:光盘、移动硬盘等。 3. 网络:电子邮件、BBS、WWW浏览、FTP文件下 载、新闻组。 4. 通过点对点通信系统和无线通信系统传播 5.1.5 5.1.5 计算机病毒的传播途径计算机病毒的传播途径(1) 攻击系统数据区。 (2) 对于文件的攻击。 (3) 影响系统运行速度, 使系统的运行

12、明显变慢。 (4) 破坏磁盘。 (5) 扰乱屏幕显示。 (6) 键盘和鼠标工作不正常。 (7) 攻击CMOS。 (8) 干扰外设的工作, 尤其是打印机。 5.1.6 5.1.6 计算机病毒的危害和由此产生的症状计算机病毒的危害和由此产生的症状5.1 Virus Overview 计算机病毒概述计算机病毒概述5.2 Virus Mechanisms 计算机病毒的机制计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测计算机病毒的防范、检测5.4 Trojan House 特洛伊木马特洛伊木马Outline图5-4 计算机病毒的结构模式 病

13、毒安装模块(潜伏机制)病毒传染模块(再生机制)病毒激发模块(激发机制)计算机病毒程序5.2.1 5.2.1 计算机病毒的计算机病毒的结构模式结构模式 5.2.2 5.2.2 病毒的引导机制病毒的引导机制1. 计算机病毒的寄生对象 寄生在可以获取执行权的寄生对象上 磁盘引导扇区 可执行文件 进行自身的主动传播和破坏2. 寄生方式 替代法 链接法 前后依附 伴随图5-5 寄生方式CV1CV2CVnPCVPCVPCVP5.2.2 5.2.2 病毒的引导机制病毒的引导机制图5-6 采用加密技术的病毒程序 病毒解密程序CV1(密文)CVn(密文)病毒密钥潜伏状态病毒解密程序CV1(密文)CVn(密文)病

14、毒密钥运行状态CV1(明文)CVn(明文)5.2.2 5.2.2 病毒的引导机制病毒的引导机制3. 计算机病毒的引导过程 一般:驻留内存 窃取系统控制权 恢复系统功能 寄生在磁盘引导扇区中:寄生在磁盘引导扇区中:任何操作系统都有个自举过程, 例如DOS在启动时, 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。病毒程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。这样, 系统的一次初始化, 病毒就被激活了。它首先将自身拷贝到内存的高端并占据该范围, 然后置触发条件如INT 13H中断(磁盘读写中断)向量的修改

15、, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。如果磁盘没有被感染(通过识别标志)则进行传染。 5.2.2 5.2.2 病毒的引导机制病毒的引导机制3. 计算机病毒的引导过程 一般:驻留内存 窃取系统控制权 恢复系统功能 寄生在可执行程序中:寄生在可执行程序中:这种病毒寄生在正常的可执行程序中, 一旦程序执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可

16、以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并在执行时首先执行它。这种病毒传染性比较强。5.2.3 5.2.3 病毒的发生机制病毒的发生机制 (1)传染源:存储介质, 例如软盘、 硬盘等构成传染源。 (2)传染媒介:计算机网, 移动的存储介质或硬件。 (3)病毒激活:是指将病毒装入内存, 并设置触发条件。 (4)病毒触发:内部时钟, 系统的日期, 用户标识符,也可能是系统一次通信等等。一旦触发条件成熟, 病毒就开始作用自我复制到传染对象中, 进行各种破坏活动等。 (5)病毒表现:屏幕显示,破坏数据等 (6)传染:病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。5.2.4 5.2.4 病毒的破坏机制病毒的破坏机制 (1)修改某一中断向量人口地址 一般为时钟中断INT 8H,或与时钟中断有关的其他中断,如 INT 1CH (2)使该中断向量指向病毒程序的破坏模块 (3)激活病毒破坏模块 (4)判断设定条件是否满足 (5)满足则对系统或磁盘上的文件进行破坏活动5.1 Virus Ove

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 网络信息安全

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!