计算机病毒与网络安全资料.ppt

* Post： power on self test MBR：Master Boot Record）,中文意为主引导记录。，盘的0磁道的第一个扇区称为MBR，它的大小是512字节，第一部分为pre-boot区（预启动区），占446字节；第二部分是Partition table区（分区表），占66个字节，。 2、 BIOS加电自检内存地址为0fff:0000;（POST程序，POST将检测系统的总内存以及其他硬件设备的状况）3、 将硬盘第一个扇区(0头0道1扇区,也就是Boot Sector)读入内存地址0000:7c00处;4、 检查(WORD)0000:7dfe是否等于0xaa55.若不等于则转去尝试其他介质;如果没有其他启动介质,则显示 ”No ROM BASIC” ,然后死机;5、 跳转到0000:7c00处执行MBR中的程序;6、 MBR先将自己复制到0000:0600处,然后继续执行;7、 在主分区表中搜索标志为活动的分区.如果发现没有活动分区或者不止一个活动分区,则停止;8、 将活动分区的第一个扇区读入内存地址0000:7c00处;9、 检查(WORD)0000:7dfe是否等于0xaa55,若不等于则显示 “Missing Operating System”,然后停止,或尝试软盘启动;10、 跳转到0000:7c00处继续执行特定系统的启动程序;11、 启动系统. * * * 。它将自己依附在可执行的文件（通常是.com和.exe）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常 * * （如 Word Basic） （如 Microsoft Office文档） 虽然宏病毒不会有严重的危害，但它会影响系统的性能以及对文档的各种操作，如打开、存储、关闭或清除等。当打开文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏 * * * * * * * * * * * * * * * * * * * * * * * 人们谈论“病毒” 时，常常是泛指各种恶意程序，也就是说是使用的“广义病毒”的概念。事实上，我们还应该注意到“狭义病毒”这样的概念，以及其在恶意程序族谱中所处的地位。 恶意程序的主要分支包括： Viruses 病毒 Worms --蠕虫 Trojans --木马程序 Backdoors --后门程序 Joke Programs --玩笑程序 Hoaxes --恶作剧 Denial of Service Attacker agent --DoS攻击代理 恶意程序还有其他分支，而且随着应用水平的不断发展，能够对用户造成伤害的种类还在继续增多。例如ADWare广告程序，就是在近年来随着Internet的不断发展而出现的。 * * * * * * 1977年，Thomas j Ryan在科幻小说《P-1的青春》中幻想一种计算机病毒可以从一台计算机传染到另一台计算机，最终控制了7000台计算机。 1983年美国计算机安全专家Fred Cohen博士在VAX-11上通过实验证明了计算机病毒的存在。 1986年，巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒，成了世界上公认的第一个传染PC兼容机的病毒，并且很快在全球流行。 1987年10月，美国发现世界上第一例计算机病毒(Brain)。 1988年，小球病毒传入我国，在几个月之内迅速传染了20 多个省、市，成为我国第一个病毒案例。 此后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷！ * 这一阶段从1986年到1989年，这期间出现的病毒可以称为传统的病毒，是计算机病毒的萌芽时期。 由于当时应用软件少，而且大多是单机运行环境，因此病毒没有大量流行，病毒种类也比较有限，病毒清除相对比较容易。 特点： 攻击目标单一，只传染引导扇区或可执行文件； 主要采取截取系统中断向量的方式监控系统的运行状态，并在一定的触发条件下进行传播； 传染目标后特征明显，易被发现； 不具有自我保护措施，易分析其原理。 * 开始采用自我保护措施，如加密技术、反跟踪技术、制造障碍等，增加了对病毒分析的难度； 开始出现变种，隐蔽性更强，破坏更大。 * * * 2000年以后，计算机病毒的发展可谓真正到了一个成熟繁荣的阶段，计算机病毒的更新和传播手段更加多样性，网络病毒的目的性也更强。出现了木马，恶意软件等为了特定目的而存在的程序。 （1）有些病毒程序一天甚至出现多次更新和变种。 （2）国内更出现了“AV终结者”、熊猫烧香等关闭杀毒软件，屏蔽病毒字样的目的性很强，并在被感染的计算机后台大