第十章计算机病毒及防治详细分析.ppt

第十章　计算机病毒及防治 10.1　计算机病毒概述 10.2　DOS环境下的病毒 10.3　宏病毒 10.4　网络计算机病毒 10.5　反病毒技术 10.6　软件防病毒技术 10.7　典型病毒实例——CIH病毒介绍 10.1　计算机病毒概述 一、计算机病毒的定义 二、计算机病毒的发展历史 三、计算机病毒的分类 四、计算机病毒的特点 五、计算机病毒的隐藏之处和入侵途径 六、现代计算机病毒的流行特征 七、计算机病毒的破坏行为 八、计算机病毒的作用机制 一、计算机病毒的定义 “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 二、计算机病毒的发展历史 1．计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。 1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。 二、计算机病毒的发展历史 2．计算机病毒在中国的发展情况 在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。 二、计算机病毒的发展历史 3．计算机病毒发展的10个阶段 （1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段 三、计算机病毒的分类 病毒种类众多，分类如下： 1．按传染方式分为引导型、文件型和混合型病毒 2．按连接方式分为源码型、入侵型、操作系统型和外壳型病毒 3．按破坏性可分为良性病毒和恶性病毒 4．网络病毒 四、计算机病毒的特点 （1）刻意编写，人为破坏 （2）自我复制能力 （3）夺取系统控制权 （4）隐蔽性 （5）潜伏性 （6）不可预见性 五、计算机病毒的隐藏之处和入侵途径 1．病毒的隐藏之处 （1）可执行文件。 （2）引导扇区。 （ 3）表格和文档。 （4）Java小程序和ActiveX控件。 2．病毒的入侵途径 （1）传统方法 （2）Internet 六、现代计算机病毒的流行特征 1．攻击对象趋于混合型 2．反跟踪技术 3．增强隐蔽性 4．加密技术处理 5．病毒繁衍不同变种 六、现代计算机病毒的流行特征 增强隐蔽性： （1）避开修改中断向量值 （2）请求在内存中的合法身份 （3）维持宿主程序的外部特性 （4）不使用明显的感染标志 六、现代计算机病毒的流行特征 加密技术处理 ： （1）对程序段动态加密 （2）对显示信息加密 （3）对宿主程序段加密 七、计算机病毒的破坏行为 （1）攻击系统数据区 （2）攻击文件 （3）攻击内存 （4）干扰系统运行，使运行速度下降 （5）干扰键盘、喇叭或屏幕 （6）攻击CMOS （7）干扰打印机 （8）网络病毒破坏网络系统 八、计算机病毒的作用机制 1．计算机病毒的一般构成 2．计算机病毒的引导机制 3．计算机病毒的传染机制 4．计算机病毒的破坏机制 一个引导病毒传染的实例 假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自举以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段，即97C0：7C00处；然后修改INT 13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT 13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作： 1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后51