网络与系统攻击技术.pptVIP

计算机病毒的危害 攻击文件：包括可执行文件、数据文件、删除文件和数据。 攻击内存：大量占用和消耗内存空间，占用CPU时间，阻扰内存中常驻程序正常运行。 攻击邮件。 阻塞网络。 病毒历史 1983年 计算机安全专家考因证明了病毒的可实现性。 1987年 世界各地发现了形形色色的计算机病毒。 1989年 全世界的计算机病毒攻击十分猖獗。 1989年 10月13日为“世界计算机病毒流行日” 1991年 “海湾战争”中美军将计算机病毒用于实战。 1992年 出现针对杀毒软件的“幽灵”病毒。 1996年 首次出现针对微软公司Office的“宏病毒”。 1998年 被公认为计算机反病毒界的CIH病毒年。 CIH病毒从台湾传入国内，共有三个版本：1.2版/1.3版/1.4版，发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒，是迄今为止破坏最为严重的病毒。 1999年 完全通过Internet传播的病毒的出现，从而使病毒在极短的时间内遍布全球。 病毒历史 2001年9月一种名为“尼姆达”的蠕虫病毒席卷世界 。“尼姆达”病毒在全球各地侵袭了830万部电脑，总共造成约5.9亿美元的损失。 2003年1月25日，一种新的蠕虫病毒再次震惊了世界。人们给这一病毒起了不同的名字：“2003蠕虫王”、“强风”、“SQL杀手”等等。这一蠕虫病毒攻击互联网开始于北京时间25日13时15分左右，除我国外，全球已经有2.2万个网络服务器受到这一病毒的攻击而瘫痪。 我国互联网出现大面积网络流量异常，访问速度非常慢，情况严重的网络一度中断，无法使用。 韩国全国的有线和无线互联网服务几乎同时中断，韩国情报通信部立即宣布进入紧急工作状态。 美国最大的银行之一美洲银行由于遭到病毒袭击，1.3万台自动取款机发生故障，长达几个小时的时间内不能为顾客进行交易…… 病毒的特征 1. 传染性 传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。 2. 未经授权而执行 病毒隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。 3. 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。 4. 潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。 5. 破坏性 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。 6. 不可预见性 从对病毒的检测方面来看，病毒还有不可预见性。病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。 病毒的分类 按功能方式分类 文件型病毒、引导型病毒、宏病毒、木马病毒、脚本病毒、邮件病毒、蠕虫病毒。 文件型病毒的引导过程 对于文件型病毒，由于它们是依附于可执行文件上，所以病毒引导进入系统的方式，与系统可执行文件的装入执行过程紧密相关。 引导型病毒加载过程 在自举过程中，自举程序将磁盘中的引导扇区装入内存0000:7C00处执行时，对引导扇区的合法性并未做检查，而是简单地、机械地读入执行。后面我们要介绍的“传染引导扇区型”病毒就是利用了DOS自举中这一弱点，使病毒程序先于正常DOS引导程序获得控制 常见宏病毒 （1） 只进行自身的传播，并不具有破坏性的类型。如较常见的有一种AutoOpen宏病毒。 （2）只对用户进行骚扰，但不破坏系统的类型。如“台湾No．1”宏病毒。 （3）使打印中途中断或打印出混乱信息的类型。如Nuclear、Kompu等属此类。 （4）极具破坏性的类型。MDMA．A(无政府者一号)，这种病毒既感染中文版Word，又感染英文版Word，发作时间是每月的1日。破坏性表现为在机器的批处理文件： Autoexec．bat中加入“deltree/y c：”一句，机器在下一次启动后就将自动删除C盘上的所有文件。 宏病毒的特点 (a)?传播极快。Word宏病毒通过DOC文档及DOT模板