计算机病毒及防范技术2012.pptVIP

病毒演示 病毒演示—彩带病毒 病毒演示—女鬼病毒 病毒演示—千年老妖 病毒演示—圣诞节病毒 病毒演示—白雪公主 红色代码 1() 5.1 计算机病毒概念 定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外） 1994年2月18日，国家正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在第二十八条中明确指出：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。（国内） 5.2 计算机病毒原理 1。破坏性：(体系设计者的意图） 无论何种病毒一旦进入系统对OS的运行就会造成不同程度的影响，小到占用资源（石头、小球），大到删除数据和使系统崩溃，使之无法恢复，造成补课挽回的损失。 2.传染性:(最重要的特征） 计算机病毒也会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。 3.隐蔽性: 病毒是一种具有很高编程技巧，短小精悍的可执行程序，他通常粘附在正常程序或磁盘引导扇区中，以及一些空闲概率比较大的扇区中，目的就是不让用户发现。计算机病毒不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。 5.2 计算机病毒原理 2. 按感染形式分类 文件病毒：通过在执行文件中插入指令把自己依附在可执行文件上，此种病毒感染文件，并寄生在文件中，进而造成文件损坏。如“耶路撒冷”、“百年病毒” 引导区病毒：潜伏在软盘的引导扇区，或在硬盘的引导区，或主引导纪录（分区扇区）中插入指令。如果计算机用被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。（小球、石头） 混合型病毒：具有引导型和文件型两种病毒的特性。CIH病毒就是这种混合型病毒。 5.2 计算机病毒原理 3。 按连接方式分类 源码型病毒：较少见，也难以编写。因为他要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译。连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。 入侵型病毒：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强，一般难以发现，清除也较困难。 操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。由于其直接感染操作系统，这类病毒的危害性也较大。（小球，大麻） 外壳型病毒：将自身依附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部分文件型病毒属于此类 5.2 计算机病毒原理 4．按病毒特有的算法分类 1）伴随型病毒：这类病毒不改变文件本身，他根据算法产生EXE文件的伴随体，具有同样的名字和不同扩展名（COM）。 2）蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其他机器的内存，计算网络地址，将自身的病毒通过网络发送。他们在系统中存在，一般除了占用内存以外不会占用其他资源。 3）寄生型病毒：除了伴随和蠕虫，其他的都可以成为寄生型病毒，他们依附在系统的引导区或文件，通过系统的功能进行传播 4）练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒处于调试阶段 5）变形病毒：这病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容与长度。 5.2.3 计算机病毒的传播途径： 1）通过不可移动的设备进行传播 较少见，但破坏力很强。 2）通过移动存储设备进行传播 最广泛的传播途径 3）通过网络进行传播 反病毒所面临的新课题 4）通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道 5.2 计算机病毒原理 虽然不同类型的计算机病毒的机制和表现手法不尽相同，但计算机病毒的结构基相似，一般说来是由以下三个程序模块组成。 1.引导模块 2.传染模块 3.破坏与表现模块 5.2 计算机病毒原理 1.引导模块 当被感染的软硬盘，应用程序开始工作时，病毒的引 导模块将病毒由外存引入存，并使病毒程序成为相对独立 于宿主程序的部分，从而使病毒的传染模块和破坏模块进 入待机状态。 5.2 计算机病毒原理 2．传染模块 传染模块包括三部分内容： （1）传染控制部分。病毒一般都有一个控制条件，一旦满足这个条件就开始感染。例如，病毒先判断某个文件是否是.EXE文件，如果是再进行传染，否则再寻找下一个文件； （2）传染判断部分。每个病毒程序都有一个标记，在传染时将判断这个标记，如果磁盘或者文件已经被传染就不再传染，否则就要传染了； （3）传染操作部分。在满足传染条件时进行传染操作。 5.2 计算机病毒原理