信息安全应用教程 978-7-302-30428-9 病毒分析01讲新.pptVIP

病毒分析第1讲 授课教师：赵树升 授课日期：2012-02 计算机病毒分析 【上节回顾】 操作系统[磁盘结构，文件管理，内存管理，进程管理]； C++程序设计【API】； 计算机网络[接收和发送数据，远程控制]； 汇编语言【古老，独到功能】 计算机病毒分析 如何学习 阅读： 上网查资料 MSDN 练习程序 计算机病毒分析 第1章计算机 病毒概述 1.1 定义 1.2 计算机病毒的特性 1.3 计算机病毒的分类 （重点） 1.4 计算机病毒的产生与历史 1.5 计算机病毒的命名 （重点） 1.6 计算机病毒的本质 （重点） 1.7 病毒的工作机制 本章 内容 计算机病毒分析 1.2 计算机病毒的特性 传染性 （重点；自我复制到相同位置） 隐蔽性【占用磁盘、内存或文件空间的变化】 潜伏性 【条件满足后触发】 破坏性【对硬件，操作系统，应用软件】 不可预见 【感染时不清楚，不知道发作时间】 计算机病毒分析 1.3 计算机病毒的分类 1、按照计算机病毒侵入的系统分类 【操作系统，DOS，控制台，图形界面，保护模式，实模式，典型操作系统】 2、按照计算机病毒的链接方式分类 【编程时插入，插入已有程序，包裹应用程序，修改系统部分功能】 3、按照计算机病毒的破坏性质分类 4、按照计算机病毒的寄生部位或传染对象分类 【引导扇区，操作系统，可执行程序，宏】 5、按照传播介质分类 计算机病毒分析 1.4 计算机病毒的产生与历史 伴随着计算机硬件、软件技术，尤其操作系统的发展而发展的。 1、预言：冯·诺伊曼 2、1983年11月3日，弗雷德·科恩博士 3、1988年3月2日，一种苹果机的病毒发作 4、病毒的产生的原因 ： 好奇或兴趣 、报复心理 、软件保护 （江民） 解释：软件保护，如注册，防拷贝 计算机病毒分析 1.4.3 病毒的发展过程 1、DOS引导阶段 ： 什么是引导、怎么编写 2、DOS可执行阶段 ：MZ格式 3、PE可执行 4、变形：代码变，难找特征码【解释】 5、变种：机器产生变形 6、蠕虫：不需要人工干预 7、宏病毒。什么是宏？ 计算机病毒分析 1.4.4 病毒的发展趋势 1、病毒与黑客技术相结合 2、蠕虫病毒更加泛滥 3、病毒破坏性更大 4、制作病毒的方法更简单 【机器做】 5、 病毒传播速度更快 6、病毒的检测与查杀更困难 计算机病毒分析 1.5 计算机病毒的命名 1、反病毒公司为了方便管理，通常会按照病毒的特性，将病毒进行分类命名。一般格式为：病毒前缀.病毒名.病毒后缀。 病毒前缀。指一个病毒的种类 ； 病毒名。指一个病毒的名称 ； 病毒后缀。指一个病毒的变种特征 。 计算机病毒分析 1.6 计算机病毒的本质 是程序设计者非法利用系统或应用软件的正常功能，系统或应用软件存在的漏洞而产生的影响系统正常使用，未经授权而运行的程序代码。 举例：菜刀，鼻孔 举例：文件钩子与病毒（正常功能） 引导与引导病毒（未检查引导代码） 计算机病毒分析 1.6.1 病毒的隐藏位置 ● 可执行文件。例如在exe文件中、vbs文件中。 ● 引导扇区。例如软盘的引导扇区。 ● 表格和文档。例如WORD的模板文件normal.dot中。 ● Java小程序和ActiveX控件。例如我们上网时常被提醒是否安装ActiveX控件，文件里可能含有病毒。 计算机病毒分析 1.6.2 病毒对系统功能的利用 ● BIOS功能。BIOS（Basic Input/Output System，基本输入输出系统）全称是ROM－BIOS，是只读存储器基本输入／输出系统的简写，它实际是一组被固化到电脑中，为电脑提供最低级最直接的硬件控制的程序，它是连通软件程序和硬件设备之间的枢纽，通俗地说，BIOS是硬件与软件程序之间的一个“转换器”或者说是接口，负责解决硬件的即时要求，并按软件对硬件的操作要求具体执行。 我们在汇编语言程序设计中学到的int 10h、int 13h、int 16h等，病毒可以利用它们来在屏幕上显示字符、读写扇区和获取按键信息等。 ● DOS功能。DOS是早期微软的磁盘操作系统，主要功能有文件管理、内存管理、设备管理、作业管理和CPU管理等。这些功能主要集中在int 21h中。病毒利用这些功能进行文件操作，内存操作。 ● API函数。API的英文全称(Application Programming Interface)，WIN32 API也就是Microsoft Windows 32位平台的应用程序编程接口，包含了大量的函数。函数为程序设计者编程进行文件操作、磁盘扇区操作、内存操作、进程管理提