网络安全5.pptVIP

8.5 反病毒技术 8.5.1 病毒概述 8.5.2 宏病毒 8.5.3 CIH病毒 8.5.4 常用反病毒技术 8.5.1 病毒概述 病毒定义 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 一般地，我们所讲的病毒包括特洛伊木马、病毒、细菌和蠕虫等等。特洛伊木马和病毒，它们不能脱离某些特定的的应用程序、应用工具或系统而独立存在；而细菌和蠕虫是完整的程序，操作系统可以调度和运行它们。而且除特洛伊木马外，其他三种形式的病毒都有能够复制。 8.5.1 病毒概述 2. 病毒传染方式 病毒的传染途径有电磁波、有线电路、军用或民用设备或直接放毒等。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过程中病毒是否被激活，病毒传染分为静态传染和动态传染。 静态传染是指由于用户使用了COPY、DISKCOPY等拷贝命令或类似操作，一个病毒连同其载体文件一起从一处被复制到另一处。而被复制后的病毒不会引起其他文件感染。 动态传染是指一个静态病毒被加载进入内存变为动态病毒后，当其传染模块被激活所发生的传染操作，这是一种主动传染方式。与动态传染相伴随的常常是病毒的发作 。 8.5.1 病毒概述 3. 病毒的分类 按病毒感染的途径，病毒分为三类： 引导型病毒。它是是藏匿在磁盘片或硬盘的第一个扇区。每次启动计算机时，在操作系统还没被加载之前就被加载到内存中，这个特性使得病毒完全控制DOS的各类中断，并且拥有更大的能力进行传染与破坏。 文件型病毒。文件型病毒通常寄生在可执行文件中当这些文件被执行时，病毒的程序就跟着被执行。根据病毒依传染方式的不同，它分成非常驻型和常驻型 。 复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的特性。它们可以传染 *.COM和*.EXE 文件，也可以传染磁盘的引导区。 8.5.1 病毒概述 4. 病毒结构 计算机病毒是一种特殊的程序，它寄生在正常的、合法的程序中，并以各种方式潜伏下来，伺机进行感染和破坏。在这种情况下，称原先的那个正常的、合法的程序为病毒的宿主或宿主程序。病毒程序一般由以下部份组成： 初始化部分。它指随着病毒宿主程序的执行而进入内存并使病毒相对独立于宿主程序的部分。 传染部分。它指能使病毒代码连接于宿主程序之上的部分，由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体部分组成。 破坏部分或表现部分。主要指破坏被传染系统或者在被传染系统设备上表现特定的现象。它是病毒程序的主体，在一定程度上反映了病毒设计者的意图。 8.5.1 病毒概述 5. 病毒感染原理 引导型病毒感染原理 引导型病毒通过执行启动计算机的动作作为感染的途径。一般正常软盘启动动作为：开机、执行BIOS、读入BOOT程序执行和加载DOS。 假定某张启动软盘已经了感染病毒，那么该软盘上的BOOT扇区将存放着病毒程序，而不是BOOT 程序。所以，“读入BOOT程序并执行”将变成“读入病毒程序并执行”，等到病毒入侵内存后，等到病毒入侵内存后，再由病毒程序读入原始BOOT程序，既然病毒DOS先一步进入内存中，自然在DOS下的所有读写动作将受到病毒控制。所以，当使用者只要对另一张干净的软盘进行读写，驻在内存中的病毒可以感染这张软盘。 8.5.1 病毒概述 若启动盘是硬盘。因硬盘多了一个分区表，分区表位于硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是“读入分区表并执行”，比软盘启动多了一道手续。所以和感染软盘不同的地方是病毒不但可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。 感染BOOT扇区是在“读入分区表并执行”之后，“读入BOOT程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入病毒程序并执行”之后，“读入分区表并执行”之前“读入BOOT程序并执行”。 　不管是软盘还是硬盘，引导型病毒一定比DOS早一步进入内存中，并控制读写动作，伺机感染其他未感染病毒的磁盘。 8.5.1 病毒概述 文件型病毒感染原理 对非常驻型病毒而言，只要一执行中毒的程序文件，病毒便立即寻找磁盘中尚未感染病毒的文件，若找到了便加以感染。一般而言，对于.COM型文件，病毒替换它的第一条指令；对于.ExE文件，病毒改变入口指针。 而常驻型病毒必须常驻内存，才能达到感染其他文件的目的。在每一个程序文件在执行时，都会调用INT 21H中断命令，所以病毒必须拦截INT 21H的调用，使其先通过病毒的程序，再去执行真正的INT 21H服务程序。这样，每个要被执行的程序文件都要先通过病毒“检查”是否已中毒，若未中毒则病毒感染该文件。 复合型病毒感染原理 就启动动作来说，假设以感染复合型病毒的磁盘启动，那么病毒便先潜入内