网络安全技术——C6.pptVIP

网络安全技术 第6章 病毒知识与防护 6.1 计算机病毒简介 计算机病毒是人为编制的一种特殊程序，能搅乱、改变或摧毁计算机中的软件或硬件，能进行复制并感染其他程序。计算机病毒有传染性，能进行复制并感染其他程序，所以危害性很大，它是通过计算机的硬盘、移动存储设备、光盘、网络使用时实现传染的。 一、计算机病毒的定义与起源 1、定义：计算机病毒是一种在计算机系统运行过程中能把自己精确复制或者有修改地复制到其他程序体中的程序。 6.2 网络—病毒滋生的理想家园 罗伯特?莫里斯，闻名世界的“莫里斯蠕虫病毒”的缔造者，在1988年秋的一次工作工程中亲手导演出了网络蠕虫病毒，这次严重的突发事件让整个世界第一次意识到防治网络蠕虫传播的重要性，第一个网络病毒从此诞生。 6.3 几种常见计算机病毒的特点预防 一、蠕虫病毒 * * 2、计算机病毒历史 1）“磁芯大战”游戏，病毒的雏形 2）雷恩《P1的青春》，首次提出“计算机病毒”的概念 3）1983年11月，第一个计算机病毒在实验室诞生 4）20世纪80年代，“巴基斯坦智囊”病毒诞生，只感染软盘引导区，最早在世界上流行的计算机病毒 3、计算机病毒的来源 1）计算机工作人员为了寻开心编出来的 2）软件公司为了保护自己的产品被非法复制而制造的报复性惩罚 3）用于实验或研究而设计的“有用”程序，由于失去控制扩散出实验室 4）蓄意破坏，报复行为、获取经济利益 二、计算机病毒的工作原理 1、病毒寄生对象 计算机病毒实际上是存储在磁盘上特殊的程序，病毒为了进行自身的主动传播，必须使自身寄生在可以获得执行权的对象上。对于计算机来说，无论是磁盘引导扇区还是可执行文件，都可以获得执行权，所以目前出现的计算机病毒其寄生对象分为两种 1）磁盘引导扇区 2）可执行文件（.exe或者.com) 2、寄生方式 1）替代法：病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。 2）链接法：病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，病毒链接位置可以是在正常程序的首部、尾部或中间。 寄生在磁盘引导扇区的病毒一般采用替代法，而寄生在可执行文件中的病毒一般采用链接法。 3、病毒工作机制 1）引导扇区病毒：病毒引导程序占有了原引导程序的位置，并把原引导程序搬移到一个特定的位置。这样系统一启动，病毒引导模块就会自动地装入内存并获得执行权，然后该引导程序负责将病毒程序的传染模块饥饿发作模块装入内存的适当位置，并且采用常驻内存技术以保证者两个模块不会被覆盖。接着对这两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装入内存，使系统在带病毒的情况下运行。 2）文件病毒：病毒程序一般通过修改原有可执行文件，使该文件一执行首先转入病毒引导模块，该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。 4、计算机病毒的两种状态 1）静态：处于静态的病毒存储于存储介质中，一般不能执行病毒的破坏或表现功能，其传播只能通过复制实现。 2）动态：当病毒完成初始引导，进入内存后，便处于动态。满足一定条件后就进行传染、表现和破坏，构成对系统和资源的威胁。 5、引导过程包括三个方面 1）驻留内存 2）窃取系统控制权 3）恢复系统功能 三、计算机病毒的特点 1）传染性 2）隐藏性 3）潜伏性 4）未经授权而执行性 5）破坏性 6）不可预见性 7）针对性 8）衍生性 四、病毒的分类 1、按传播方式分类：引导型、文件型、混合型 2、按破坏性分类：良性、恶性病毒 3、按入侵方式：外壳型病毒、操作系统型病毒、入侵型病毒、源码型病毒 4、按程序运行平台：DOS病毒、WINDOWS病毒、WINDOWS NT病毒、 OS/2病毒 5、新型病毒：宏病毒、电子邮件病毒、黑客软件 五、计算机病毒表现现象 1、计算机病毒发作前表现现象 1)平时正常运行的计算机突然经常性无缘无故的死机 2）操作系统无法正常启动 3）运行速度明显变慢 4）以前能正常运行的软件经常发生内存不足的错误 5）打印和通信发生异常 6）无意中要求对软盘进行写操作 7）以前能正常运行的程序经常发生死机或非法错误 8）系统文件的时间、日期、大小发生变化 9）运行Word，打开Word文档后，该文件另存时只能以模版形式保存 10）磁盘空间迅速减少 11）网络驱动器卷或共享目录无法调用 12）基本内存发生变化 13）陌生人发来的电子邮件 14）自动链接到某些陌生的网站 五、计算机病毒表现现象 2、计算机病毒发作时的表现现象 1）提示一些不相干的提示信息 2）播放