计算机病毒++详细介绍计算机病毒详细分析.pptVIP

第五章 计算机病毒 5.1 Virus Overview 计算机病毒概述 5.2 Virus Mechanisms 计算机病毒的机制 5.3 Virus Prevention and Detection 计算机病毒的防范、检测 5.4 Trojan House 特洛伊木马 Outline Von Neumann（冯·诺依曼） EDVAC Electronic Discrete Variable Computer （离散变量自动电子计算机）方案 采用二进制 存储程序 这种体系把存储的程序当作数据处理， 可以动态地进行修改， 以满足变化多端的需求。 操作系统和应用程序都被如此看待。 病毒利用了系统中可执行程序可被修改的属性， 以达到病毒自身的不同于系统或用户的特殊目的。 5.1.1 计算机病毒存在的原因 世界： 20世纪40年代， Von Neumann ：程序可以被编写成能自我复制并 增加自身大小的形式。 50年代，Bell实验室：Core War（核心大战） 60年代，John Conway（约翰·康威 ） : Living（生存）软件 70年代，取得进展，真正攻击少 80年代，Rich Skrenta（里奇·斯克伦塔）：ElkCloner（克隆麋鹿） 感染PC Pakistani Brain：首个感染微软公司操作系统 的病毒 5.1.2 计算机病毒由来 中国： 1989年初： 大连市统计局的计算机上发现有小球计算机 病毒。 1989年3、 4月间： 重庆西南铝加工厂也有了关于计算机 病毒的报道。 从此以后， 计算机病毒以极其迅猛之势在中国大陆蔓延。 5.1.2 计算机病毒的由来 指在编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码（《中华人民共和国计算机信息系统安全保护条例》1994年） 5.1.3 计算机病毒的定义 破坏 计算机功能 数据 影响计算机使用 自我复制 一组计算机指令 程序代码 编制 在计算机 程序中插入 1. 计算机病毒的传染性 与生物病毒一致：传染性是生物病毒的一个重要特征。通过传染 ，生物病毒从一个生物体扩散到另一个生物体。 计算机病毒一旦进入计算机病得以执行，它会搜寻其他符合其传染 条件的程序或存储介质，确定目标后再将自身插入其中，达到自我繁殖的目的。 是否具传染性:判别一个程序是否为病毒的最重要条件。 5.1.4 计算机病毒的特性 图5-1 直接传染方式 5.1.4 计算机病毒的特性 图5-2 间接传染方式 图5-3 纵横交错传染方式 2. 计算机病毒的隐蔽性 计算机病毒通常附在正常程序中或磁盘较隐蔽的地方， 目的是不让用户发现它的存在。 不经过程序代码分析或计算机病毒代码扫描， 计算机病毒程序与正常程序是不容易区别开来的。 一是传染 的隐蔽性。 二是计算机病毒程序存在的隐蔽性。 5.1.4 计算机病毒的特性 3. 计算机病毒的潜伏性 大部分的计算机病毒感染 系统之后一般不会马上发作， 它可长期隐藏在系统中， 只有在满足其特定条件时才启动其表现（破坏）模块， 在此期间， 它就可以对系统和文件进行大肆传染 。 潜伏性愈好， 其在系统中的存在时间就会愈久， 计算机病毒的传染 范围就会愈大。 5.1.4 计算机病毒的特性 4. 可触发性：一种条件的控制 计算机病毒使用的触发条件主要有以下三种。 1 利用计算机内的时钟提供的时间作为触发器， 这种触发条件被许多计算机病毒采用， 触发的时间有的精确到百分之几秒， 有的则只区分年份。 例：CIH 病毒 陈盈豪 每年4月26日 　 5.1.4 计算机病毒的特性 2 利用计算机病毒体内自带的计数器作为触发器， 计算机病毒利用计数器记录某种事件发生的次数， 一旦计数器达到某一设定的值， 就执行破坏操作。 例：ElkCloner 第50次启动感染 病毒的软盘时 3 利用计算机内执行的某些特定操作作为触发器， 特定操作可以是用户按下某种特定的组合键， 可以是执行格式化命令， 也可以是读写磁盘的某些扇区等。 5.1.4 计算机病毒的特性 5. 计算机病毒的破坏性 任何计算机病毒只要侵入系统， 都会对系统及应用程序产生不同程度的影响。 轻者会降低计算机的工作效率， 占用系统资源， 重者可导致系统崩溃。 这些都取决于计算机病毒编制者的意愿。 攻击系统数据区， 攻击部位包括引导扇区、 FAT表、 文件目录； 攻击文件； 攻击内存； 干扰系统运行， 如无法操作文件、 重启动、 死机等； 导致系统性能下降； 攻击磁盘， 造成不能访问磁盘、 无法写入等； 扰乱屏幕显示； 干扰键盘操作； 喇叭发声； 攻击CMOS； 干扰外设， 如无法访问