计算机网络安全基础 第4版 普通高等教育“十一五”国家级规划教材 作者 袁津生 吴砚农 第5章.pptVIP

计算机网络安全基础（第三版） 第5章 恶意代码及网络防病毒技术 恶意代码是指能够破坏计算机系统功能、未经用户许可非法使用计算机系统，影响计算机系统、网络正常运行，窃取用户信息的计算机程序或代码。 按传播方式，恶意代码可以分成五类：病毒，木马，蠕虫，移动代码和复合型病毒。 第5章 恶意代码及网络防病毒技术 本章主要内容： 1．计算机病毒 2．宏病毒及网络病毒 3．特洛伊木马 4．蠕虫病毒 5．其他恶意代码 6．病毒的预防、检测和清除 5.1 计算机病毒 计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。 1.计算机病毒的分类 （1）文件病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行系列。 5.1 计算机病毒 （2）引导扇区病毒。它会潜伏在软盘的引导扇区，或者是在硬盘的引导扇区，或主引导记录（分区扇区中插入指令）。此时，如果计算机从被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。 （3）多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合种，它能感染可执行文件，从而能在网上迅速传播蔓延。 5.1 计算机病毒 （4）秘密病毒。这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来，具有很大的欺骗性。因此，当某系统函数被调用时，这些病毒便“伪造”结果，使一切看起来非常正常。秘密病毒摧毁文件的方式是伪造文件大小和日期，隐藏对引导区的修改，而且使大多读操作重定向。 （5）异形病毒。这是一种能变异的病毒，随着感染时间的不同而改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法对此显得软弱无力。 5.1 计算机病毒 （6）宏病毒。宏病毒不只是感染可执行文件，它可以感染一般软件文件。宏病毒是利用宏语言编写的，不面向操作系统，所以，它不受操作平台的约束，可以在DOS、Windows、Unix、Mac甚至在OS/2系统中散播。这就是说，宏病毒能被传到任何可运行编写宏病毒的应用程序的机器中。 5.1 计算机病毒 2.计算机病毒的传播 计算机病毒是由计算机黑客们编写的，这些人想证明它们能编写出不但可以干扰和摧毁计算机，而且能将破坏传播到其它系统的程序。 最早被记录在案的病毒之一是1983年由南加州大学学生Fred Cohen编写的，当该程序安装在硬盘上后，就可以对自己进行复制扩展，使计算机遭到“自我破坏”。 1985年病毒程序通过电子公告牌向公众提供。 5.1 计算机病毒 计算机病毒通过某个入侵点进入系统来感染该系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在计算机网络系统中，可能的入侵点还包括服务器、E-mail附加部分、BBS上下载的文件、3W站点、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实验室和其它共享设备。 病毒一旦进入系统以后，通常用以下两种方式传播： （1）通过磁盘的关键区域； （2）在可执行的文件中。 5.1 计算机病毒 3.计算机病毒的工作方式 病毒能表现出的几种特性或功能有：感染、变异、触发、破坏以及高级功能（如隐身和多态）。 ●感染 任何计算机病毒的一个重要特性或功能是对计算机系统的感染。事实上，感染方法可用来区分两种主要类型的病毒：引导扇区病毒和文件感染病毒。 （1）引导扇区病毒 引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击。 5.1 计算机病毒 引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。 5.1 计算机病毒 5.1 计算机病毒 覆盖型文件病毒的一个特点是不改变文件的长度，使原始文件看起来非常正常。即使是这样，一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在。 前依附型文件病毒将自己加在可执行文件的开始部分，而后依附型文件病毒将病毒代码附加在可执行文件的末尾。 伴随型文件病毒为.exe文件建立一个相应的含有病毒代码的.com文件。当运行.EXE文件时，控制权就转到隐藏的.com文件，病毒程序就得以运行。当执行完之后，控制权又返回到.exe文件。 5.1 计算机病毒 ●变异 变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”