计算机病毒原理及防范技术王路群电子教案 第3章 计算机病毒基本机制.pptVIP

计算机病毒原理及防范技术 第3章 计算机病毒基本机制 教学要求： 理解：病毒原理的基础部分，有关计算机病毒的基本构成、作用方式等方面. 掌握：计算机病毒的5种状态、计算机病毒的结构和3种机制、传播感染机制、触发机制、破坏机制。 3.1 计算机病毒的5种状态 计算机病毒也是一种程序，只是这种程序具有一定的特殊性。人类之所以将其称为“病毒”，就是考虑到这种特殊程序和生物病毒的很多共同点。在生物界中有很多病毒，对其对应的物种有着这样或那样的危害，但是它们也有不构成威胁的时候。这是由它们所处的状态决定的。同样的，计算机病毒也有自己的不同状态（这里是指目前病毒所处的状态，和后面病毒技巧中的“多态”技术是完全不同的概念），必须清楚地知道这些状态，才能对病毒进行有效地防治。 3.1 计算机病毒的5种状态（续） 计算机病毒在传播中有两种状态：静态和动态。这是以病毒当前所在位置为判断依据的。如果病毒处于辅助存储介质，如硬盘、DVD上时，称其为静态病毒；如果病毒位于内存中，则称之为动态病毒。 静态病毒是没有危害性的，因为任何计算机程序都必须通过系统加载并进入内存，才有被执行的资格。这里所谓的“资格”，是指即使程序进入内存，但还需要系统执行它才能够表现自己。静态病毒就好像一个标本一样，不具有传染、破坏等动作特征。因此，把处于静态的病毒也称为休眠状态病毒。但是，这些病毒还是有会被加载的可能，那个时候它们就会“活”过来。所以，将病毒位于辅助存储器上的时期称为潜伏期。 其次，还有一种特殊情况，那就是由于病毒所处的计算机系统没有具备执行它的条件，如专对Windows 98操作系统的病毒进入了Windows XP操作系统甚至UNIX操作系统的硬盘。显然处于这种境况的病毒是不会被装载的。但是它们有可能附着在E-mail附件上，或是通过局域网、FTP等途径传播到合适的系统上，从而造成危害。这就是所谓的多相病毒传播机制。 3.1 计算机病毒的5种状态（续） 动态病毒则不同，它们本身已经进入了计算机内存，因此肯定是适应所在系统的。而且病毒一定是有宿主的，宿主启动带动它们的启动，所以这个时候病毒已经处于运行状态，只是未必被激活。 病毒从静态转变为动态的过程，就是病毒和操作系统监察机制相对抗的过程，称为病毒的启动。病毒必须瞒过操作系统，让它以为目前所运行的是正常程序，才会被顺利加载。这是因为目前的操作系统普遍不能判断加载的程序是否为被感染程序，这是操作系统的一大漏洞。对于普通用户只能使用第三方工具来实现病毒的防堵。 3.1 计算机病毒的5种状态（续） 病毒处于动态，就已经启动了。但是进入内存并不是最后的阶段。处于动态的病毒也有两种状态：激活态和能激活态。 能激活态是一种准备状态，是指存在于内存中的动态病毒可以被正常的运行机制执行。病毒此时已经修改了系统中断调用，或是设备驱动头等，使这些中断、驱动等指向自己，从而在当系统要运行正常中断、设备时运行病毒本身，达到被执行的目的。 激活态则是正在被执行的病毒。此时它拥有系统的控制权，时时刻刻监视系统的一举一动，一旦条件符合，就执行相应的传染、破坏等动作。 3.1 计算机病毒的5种状态（续） 除了上面说的意外，内存中的病毒还有一种比较特殊的状态：失活态。之所以说其特殊，是因为虽然这时病毒也在内存里，但是不能继续正常工作了。出现这种情况的机会不多，大都是由于用户、反病毒软件等对病毒运行加以干预造成的。当然，也不排除系统出现某些问题从而“因祸得福”。需要将失活态和静态病毒分清楚，它们是截然不同的。 处于失活态的病毒是没有任何活动能力的，不能传播也不能做出破坏性动作，因此是我们很愿意看见的。因为内存只要掉电，里面的内容就会被清空。这时只需要重启一次计算机就能将它们完全清理出计算机。 3.2 计算机病毒的机构和3种机制 病毒是一种基于硬件和操作系统的程序，一般由4部分组成：主控模块、感染模块、触发模块和破坏模块。病毒的最大特点就是能感染，从而保证自己顽强的生命力。触发模块控制着整个病毒的工作，感染模块和破坏模块都是在触发条件一定的情况下执行的。破坏模块负责做出一些破坏性的动作，并非所有的病毒都有破坏模块，或至少是独立的破坏模块，如著名的巴基斯坦病毒。与此相对应的，计算机病毒就有3种机制：感染机制、触发机制及破坏机制。需要说明的是，破坏机制并不一定对应破坏模块，有的病毒没有专门的破坏模块，但是却能造成用户的重大损失，如后面将详细看到的大麻病毒。 3.2 计算机病毒的机构和3种机制（续） 所谓传染是指计算机病毒由一个宿主体内传播到另一个宿主的过程。但是请注意，计算机上有潜在宿主并不是病毒传播的充分条件，病毒要传染还有一个前提，这个前提又可分为以下两种。 被动传染 用户在进行复制磁盘或文件时，把一个感染病毒的宿主复制