第5章计算机病毒及恶意代码剖析.ppt

第五章 计算机病毒及恶意代码 本章学习重点掌握内容： 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络 第五章 计算机病毒及恶意代码 5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件 5.1计算机病毒概述 5.1.1 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 美国计算机安全专家Fred Cohen博士认为：计算机病毒是一种能传染其它程序的程序，病毒是靠修改其它程序，并把自身的拷贝嵌入其它程序而实现的。 计算机病毒的特性 计算机病毒是一个程序； 计算机病毒具有传染性，可以传染其它程序； 计算机病毒的传染方式是修改其它程序，把自身拷贝嵌入到其它程序中而实现的； 计算机病毒的定义在很多方面借用了生物学病毒的概念，因为它们有着诸多相似的特征，比如能够自我复制，能够快速“传染”，且都能够危害“病原体”，当然计算机病毒危害的“病原体”是正常工作的计算机系统和网络。 5.1计算机病毒概述 5.1.2计算机病毒历史 1977年，美国著名的贝尔实验室中设计磁芯大战（Core War） 彼此撰写出能够吃掉别人程序的程序来互相作战）的游戏，第一步将计算机病毒感染性的概念体现出来 . 第一个具备完整特征的计算机病毒——病毒C-BRAIN出现于1987年,由一对巴基斯坦兄弟：Basit和Amjad所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。 5.1.2计算机病毒历史 DOS病毒,破坏表现：唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等 。 基于Windows运行环境的病毒，随着微软Office软件的普及，出现了宏病毒，各种脚本病毒也日益增多，著名病毒如 CIH病毒等。 网络时代的病毒则以替换原有正常进程，或者直接以单独的进程形式出现。传染方式由传统的移动存储介质方式，转变为直接通过网络传播，通过各种系统漏洞进行攻击。 网络时代病毒已经突破了传统病毒的技术，融合许多网络攻击技术，如蠕虫技术、木马技术、流氓软件、网络钓鱼等。 传统病毒与木马和蠕虫的分析比较如表5-1所示。（略） 5.1计算机病毒概述 5.1.3 计算机病毒特征 传统意义上的计算机病毒一般具有以下几个特点： 破坏性： 任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。（良性病毒和恶性病毒） 隐蔽性 ：通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。 潜伏性： 长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。 传染性： 指病毒具有把自身复制到其它程序中的特性 （是否具有传染性是判别一个程序是否为计算机病毒的最重要条件） 5.1.3 计算机病毒特征 网络病毒又增加很多新的特点 1）主动通过网络和邮件系统传播 ； （木马病毒是通过欺骗用户下载或QQ通信软件传播的；蠕虫病毒是通过系统漏洞，把自己植入到被攻击的主机中） 2）计算机的病毒种类呈爆炸式增长； 3）变种多，容易编写，并且很容易被修改，生成很多病毒变种 ； 4）融合多种网络技术，并被黑客所使用 计算机病毒的主要危害 直接破坏计算机数据信息 占用磁盘空间和对信息的破坏 抢占系统资源 影响计算机运行速度 计算机病毒错误与不可预见的危害 计算机病毒的兼容性对系统运行的影响 给用户造成严重的心理压力 8.2.2 计算机病毒的分类（补充） 1．按照病毒攻击的系统分类 （1）攻击DOS系统的病毒。 （2）攻击Windows系统的病毒。 （3）攻击UNIX系统的病毒。 （4）攻击OS/2系统的病毒。 2．按照病毒的攻击机型分类 （1）攻击微型计算机的病毒。 （2）攻击小型机的计算机病毒。 （3）攻击工作站的计算机病毒。 3．按照病毒的链结方式分类 （1）源码型病毒 （2）嵌入型病毒 （3）外壳型病毒 （4）操作系统型病毒 4．按照病毒的破坏情况分类 （1）良性计算机病毒 （2）恶性计算机病毒 5．按照病毒的寄生方式分类 （1）引导型病毒 （2）文件型病毒 （3）复合型病毒 6．按照病毒的传播媒介分类 （1）单机病毒 （2）网络病毒 5.2 传统的计算机病毒 5.2.1 计算机病毒的基本机制（逻辑结构） 分为三大模块：传染机制、破坏机制、触发机制。 1）传染机制 指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。 这种传染可以是同一主机内不同文件之间的传染，也可以是不同主