第8章 计算机病毒与反病毒技术.pptVIP

第8章 计算机病毒与反病毒技术 目前计算机病毒与反病毒技术已经遍及社会的各个领域，互联网的快速发展及其应用的多样化成为计算机病毒滋生的温床，计算机病毒通过互联网络、电子邮件和移动终端等多种途径，为世界带来了一次又一次的巨大灾难。同时每年新的病毒层出不穷，据不完全统计，目前全世界每天新发现的病毒 包括恶意软件 数量已经超过60000个。另外，计算机病毒带来的网络恐怖主义和各种社会问题也越来越突出，根据美国政府公布的一份国家安全报告认为，“21世纪对美国国家安全威胁最严重的就是网络恐怖主义”，而计算机病毒在其中扮演了非常重要的角色，因此计算机病毒与反病毒技术越来越受到各国政府和安全部门的高度重视。 8.1 计算机病毒概述 现代计算机理论的先驱者冯·诺依曼早在第一部商用电脑出现前，就在一篇《复杂自动装置的理论及组织的进行》论文中描绘了未来计算机病毒程序的蓝图，当时大多数人都无法想象会存在这种能够自我繁殖的程序。 1975年，美国科普作家约翰·布鲁勒尔在一本名为《震荡波骑士》的书中第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具，该书也成为当年最佳畅销书之一。 而1977年约翰·布鲁勒尔的科幻小说《P-1的春天》一书更是以计算机病毒为主角，描写了一种可以在计算机中互相传染的病毒程序，并最终控制了7000台计算机，造成了一场灾难，而虚拟科幻小说世界中的计算机病毒也终于在几年后成为计算机使用者的真实噩梦。 8.1.1 计算机病毒的定义 1. 计算机病毒的基本定义 2. 计算机病毒的基本结构 8.1.2 计算机病毒的基本特征及发展特点 1. 计算机病毒的基本特征 1 传染性 2 隐蔽性 3 潜伏性 4 破坏性 5 不可预见性 2. 计算机病毒发展的新特点 1 计算机网络成为计算机病毒滋生的温床 2 计算机病毒的变异速度极快，并具有混合型特征 3 计算机病毒的运行和传播方式更加隐蔽 4 利用操作系统漏洞传播 5 计算机病毒技术与黑客技术日益融合 6 物质利益将成为推动计算机病毒发展的最大动力 8.1.3 计算机病毒的分类 1. 依据病毒寄生的媒介来分类 2. 依据病毒传染的方法来分类 3. 依据病毒的破坏能力来分类 攻击系统数据区 攻击文件和磁盘 攻击内存 干扰系统运行 降低计算机速度 扰乱键盘输入和屏幕显示 干扰计算机喇叭和打印机等 4. 依据病毒的算法原理来分类 5. 依据病毒的传染对象来分类 8.1.4 计算机病毒的发展概述 1. 计算机病毒前史：大计算机和小恶作剧 2. 早期计算机病毒 3. Windows和互联网时代的病毒和蠕虫 4. 商业利益驱动下的病毒产业链 8.2 计算机病毒惯用技术 从传统计算机病毒开始，病毒开发者就采用了加密、压缩、自我编码、变体引擎、更名感染等技术，以此逃避防毒软件的侦测及追捕。除此之外，一些恶性病毒或程序还具备了自我检查及反防毒软件的能力。由于目前病毒的种类和实现技术非常繁多，本节仅着重介绍计算机病毒常用的一些技术。 8.2.1 引导型病毒的技术特点 1. 硬盘的主引导扇区 2. 引导型病毒的传染和激活方式 8.2.2 文件型病毒的技术特点 文件型病毒主要感染可执行文件，如扩展名为.COM、.EXE、.OVL等的文件，文件型病毒是一种主流病毒而且种类繁多。 一般较完善的隐藏技术至少应该包括如图8-5所示的几个方面。 8.2.2 文件型病毒的技术特点 文件病毒会以多种不同方式连接它们的目标程序文件，将病毒代码附加到一个实际存在的可执行文件中的主要途径有以下4种： 覆盖已存在的程序代码； 在程序开头增加代码； 在程序末尾增加代码； 将病毒程序代码插入命令中，当执行合法程序时激活病毒程序。 感染文件的病毒程序一般都会在目标文件中做一些必要的变动，如果目标文件中含有常规的DOS调用，建立文件日期的数据就会被改变。如果在文件上添加代码，文件的长度就会改变。 8.2.2 文件型病毒的技术特点 根据文件型病毒的不同工作机理，又可分为如下几种常见的病毒类型。 1. 寄生型病毒 1 头寄生 2 尾寄生 3 中间插入 4 空洞利用 2. 覆盖型病毒 3. 无入口点型病毒 4. 伴随型病毒 5. 文件蠕虫 6. 链接病毒 7. 对象文件、库文件和源代码病毒 8.2.3 宏病毒的技术特点 1. 什么是“宏” 2. 宏病毒的作用机制 3. 宏病毒的主要技术特点 1 传播速度极快 2 宏病毒的开发和变种技术实现简单 3 造成破坏的可能性极大 4 多平台交叉感染 5 突破了病毒只感染程序文件的局限 8.2.4 网络蠕虫病毒的技术特点 蠕虫 Worm 病毒是一种通过网络传播的恶意病毒，它的出现相对于木马病毒、宏病毒来说比较晚，但是蠕