计算机病毒课件.pptVIP

第2章 计算机病毒 病毒基本概念 引导型病毒 文件型病毒 混合型病毒 宏病毒 网络病毒与防护 典型病毒原理及防治方法 2.1 病毒基本概念 2.1.1 病毒的起源 2.1.2 病毒的本质 计算机病毒定义：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用且能自我复制的一组计算机指令或者程序代码。 病毒传播载体：网络、电磁性介质和光学介质 病毒传染的基本条件：计算机系统的运行、读写介质（磁盘）上的数据和程序 病毒的传播步骤：驻留内存、寻找传染的机会、进行传染。 病毒传染方式：引导扇区（包括硬盘的主引导扇区）传染类、文件型病毒 2.1.3 病毒的特点 隐蔽性：隐藏在操作系统的引导扇区、可执行文件、数据文件、标记的坏扇区。 传染性：自我复制 潜伏性：定期发作 可触发性：控制条件，日期、时间、标识、计数器 表现性或破坏性：干扰系统、破坏数据、占用资源 2.1.4 病毒的种类 按破坏性分类 良性病毒：是指那些只是为了表现自己而并不破坏系统数据，只占用系统CPU资源或干扰系统工作的一类计算机病毒。 恶性病毒：是指病毒制造者在主观上故意要对被感染的计算机实施破坏，这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘，使系统处于瘫痪状态。 按寄生方式分类 系统引导型：系统引导时病毒装入内存，同时获得对系统的控制权，对外传播病毒，并且在一定条件下发作，实施破坏。 文件型（外壳型）：将自身包围在系统可执行文件的周围、对原文件不作修改、运行可执行文件时，病毒程序首先被执行，进入到系统中，获得对系统的控制权。 源码型：在源被编译之前，插入到源程序中，经编译之后，成为合法程序的一部分。 入侵型：将自身入侵到现有程序之中，使其变成合法程序的一部分。 2.1.4 病毒的种类 按广义病毒概念分类 蠕虫（worm）：监测IP地址，网络传播 逻辑炸弹（logic bomb）：条件触发，定时器 特洛伊木马（Trojan Horse）：隐含在应用程序上的一段程序，当它被执行时，会破坏用户的安全性。 陷门：在某个系统或者某个文件中设置机关，使得当提供特定的输入数据时，允许违反安全策略。 细菌（Germ）:不断繁殖，直至添满整个网络的存储系统 2.1.5 病毒的基本结构 2.1.5 病毒的基本结构 引导部分：把病毒程序加载到内存。 功能：驻留内存、修改中断、修改高端内存、保存原中断向量 传染部分：把病毒代码复制到传染目标上。 功能：条件判断、与主程序连接、设置标志。 表现部分：运行、实施破坏 功能：条件判断、显示、文件读写 2.1.6 计算机病毒与存储结构 磁盘空间的总体划分：主引导记录区（只有硬盘有）、引导记录区、文件分配表 （FAT）、目录区和数据区。 软盘空间的总体划分：引导记 录区、文件分配表1、文件分配表2、根目录区以及数据区 硬盘空间的总体划分： 主引导记录区：主引导程序、分区信息表 多个系统分区： 系统型病毒的磁盘存储结构：磁盘引导扇区（引导部分）、磁盘其他的扇区（传染、表现部分) 病毒程序定位 文件型病毒的磁盘存储结构 外壳病毒 2.1.7 计算机病毒与中断 中断的定义：CPU在运行过程中对外部事件发出的中断请求及时地进行处理，处理完成后又立即返回断点，继续进行CPU原来的工作。 中断源：引起中断的原因或者说发出中断请求的来源。根据中断源的不同，可以把中断分为： 硬件中断可以分为外部中断和内部中断两类： 外部中断：一般是指由计算机外设发出的中断请求。 内部中断：是指因硬件出错或运算出错所引起的中断。 软件中断：其实并不是真正的中断，它们只是可被调用执行的一般程序。 2.1.8 病毒的危害 1、攻击系统数据区 2、攻击文件 3、攻击内存 4、干扰系统运行 5、干扰外部设备 6、攻击CMOS 7、破坏网络系统 8、破坏计算机控制系统 2.1.9 病毒的防治 预防措施 访问控制、进程监视、校验信息的验证、病毒扫描程序、启发式扫描程序、应用程序级扫描程序 病毒检查 比较法、搜索法、特征字识别法、分析法、通用解密法、人工智能技术、数字免疫 病毒的消除 引导型病毒消除、文件型病毒消除、宏病毒清除、病毒交叉感染的消除 2.2 引导型病毒 2.2 引导型病毒 2.2.1 引导型病毒特点 引导部分占据磁盘引导区。 只有在计算机启动过程中，磁盘被引导时，“引导型”病毒才被激活。 具有磁盘引导扇区内容“复原”功能。 修改内存容量，病毒驻留内存。 修改磁盘访问中断，在进行磁盘写操作的时候进行传播。 2.2.2 引导型病毒传播方式 正常的操作系统启动过程 感染引导型病毒的操作系统启动 2.2.3 引导型病毒的清除方法 1、病毒诊断