信息安全概论--10系统恶意程序1.ppt

第三节计算机病毒的预防第十章计算机恶意程序与病毒转移到病毒程序执行：MOV SI, 0413 ; 指向0:0413 字节XOR DI, DI ; DS:SI=0:0413 MOV DS, DI ; 0:0413 中内容为0280 DEC WORD PTR [SI] ；减去1K 字节LODSW ; 将027F 取到AX 中MOV CL, 06 ; CL=06 SHL AX, CL ; 左移6位=9 FC0 PUSH AX ; 压入返回段地址9FC0 PUSH DI ; 压入返回位移量0000 RETF ; 转移到9FC0:0000 地址第十章计算机恶意程序与病毒0面0道1扇区MBS 1面0道1扇区DBS MBS ：Main Boot Sector 主引导扇区DBS ：DOS Boot Secotor 次引导扇区FAT FAT Root （系统保留扇区62 个）病毒藏身之地Data 第十章计算机恶意程序与病毒读MBS 引导扇区：（用程序读）MOV AX, 0201 ; 读一个扇区MOV BX, 1000 ; 读入缓冲区地址1000 MOV CX, 0001 ; 读第一扇区MOV DX; 0080 ; 读C盘0面INT 13 ; 读盘操作INT 3 ; 执行终止要读63 个扇区则用023F ，要写入一个扇区则用0301 ，读A盘为00 ，B盘为01 ，C盘为80 ，D盘为81 ，类推…... 第十章计算机恶意程序与病毒读DBS 引导扇区：（用程序读）MOV AX, 0201 ; 读一个扇区MOV BX, 1000 ; 读入缓冲区地址1000 MOV CX, 0001 ; 读第一扇区MOV DX; 0180 ; 读C盘1面INT 13 ; 读盘操作INT 3 ; 执行终止读DBS 引导扇区：（用命令读）-L1000 2 0 1 注意：A盘为0，B盘为1，C盘为2，D盘为3，以此类推……. 第十章计算机恶意程序与病毒四、计算机病毒的感染机制1.重复感染计算机病毒的重复感染是指同一种病毒连续感染，在病毒载体上形成连续重复的病毒体驻留或者对驻留区域进行重复覆盖。正常文件第一次感染第二次感染第n 次感染病毒第十章计算机恶意程序与病毒2.交叉感染计算机病毒的交叉感染是指同一系列（但不同种）病毒或者不同类型病毒的重复感染或者连续感染，感染的病毒种类在两种以上。正常文件第一次感染交叉感染多次交叉感染病毒B 病毒A 病毒A 病毒A 病毒B 病毒A 病毒B 病毒N 必须采取循环扫描检测！第十章计算机恶意程序与病毒3. 破坏性感染病毒在感染过程中对正常的系统程序、结构、参数和文件进行了覆盖，当病毒程序被清除后，会产生恢复错误，甚至不能恢复。（引导型病毒多有此类情况）正常扇区病毒扇区覆盖病毒体病毒体第十章计算机恶意程序与病毒五、计算机病毒的变异机制1.计算机病毒的变异性变异病毒：也称变种病毒，利用某种病毒程序，添加新的功能、感染对象和破坏目标，修改特征码或者感染标志，破坏检测。第十章计算机恶意程序与病毒五、计算机病毒的变异机制2.计算机病毒的伪装性伪装性：病毒施放者在病毒程序中故意嵌入明显的某种已知病毒的程序代码（假特征码），以欺骗反病毒软件，造成检测判断错误，从而造成清除错误。第十章计算机恶意程序与病毒五、计算机病毒的变异机制3.计算机病毒的多形性改变病毒程序、加密变换、分段加密技术等避开反病毒软件检测。新购置的计算机中是可能携带有病毒。建议：对新购置的计算机系统用检测病毒软件检查是否有已知病毒,用人工检测方法检查是否有未知病毒。在确保没有病毒之后，再使用计算机。2. 新购置的硬盘或出厂时已格式化的软盘中可能有病毒。建议：对硬盘可以进行检测或进行低级格式化。对硬盘只做DOS 的FORMAT 格式化不能去除主引导区(分区表扇区)病毒。对软盘做DOS 的FORMAT 格式化可以去除病毒。对新购置的计算机软件也要进行病毒检测。4. 如果硬盘确无病毒，最好直接用硬盘引导启动计算机，尽量不要用软盘去启动。在不联网的情况下, 软盘是传染病毒的最主要渠道。很多以80586 为CPU 芯片的PC 机中，可以通过设置CMOS 参数, 使启动时直接从硬盘引导启动,而根本不去读A盘。5. 定期与不定期地进行磁盘文件备份工作。当然备份前要保证没有病毒, 不然也会将病毒备份。不要等到由于病毒破坏、PC 机硬件或软件故障使用户数据受到损坏时再去急救。特别是，重要的数据应当及时进行备份。6. 对于软盘，要尽可能将数据和程序分别存放。装程序的软盘要贴有写保护签。7. 自己的软盘在别人的机器上使用过之后，在自己的机器上使用之前应进行病毒检测。在自己的机器上使用别人的软盘之前，也应进行病毒检查。对重点保护的机器应做到专机、专人、专盘、专用。封闭的使用环境中，不会自然