- 1、本文档共29页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* * 第3章 计算机病毒及防治 本章主要内容: 3.1 计算机病毒概述 3.2 计算机病毒的工作机理 3.3 计算机病毒实例 3.4 计算机病毒的检测和清除 3.1 计算机病毒概述 1983年11月3日,美国计算机安全学家弗雷德·科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(Len Adleman)将它正式命名为计算机病毒,并在每周一次的计算机安全学术研究会上正式提出。 1998年6月,CIH病毒出现,CIH病毒是有史以来影响最大的病毒之一。该病毒是第一个直接攻击和破坏硬件的计算机病毒。它主要感染Windows 95/98的可执行程序,发作时可能会破坏计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。CIH病毒是迄今为止破坏最为严重的病毒。 2002年4月16日,一种新的恶意病毒—“求职信”病毒在亚洲地区倾刻爆发,它利用电子邮件方式,迅速向外传播,扩散势头十分凶猛,一股新的病毒风暴就此在全球展开。 3.1.2 计算机病毒的特征 1. 传染性 2.非授权性 3.隐蔽性 4.潜伏性 5.破坏性 6.不可预见性 3.1.3 计算机病毒的种类 1.按病毒的寄生方式分类 (1)文件型病毒 文件型病毒主要以感染文件扩展名为.COM,.EXE和.OVL等可执行文件为主。它的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,才能把文件型病毒引入内存。 (2)引导型病毒 引导型病毒感染软盘的引导扇区,以及硬盘的主引导记录或者引导扇区。它是在BIOS启动之后,系统引导时出现的病毒,其先于操作系统,依托的环境是BIOS中断服务程序。 (3)混合型病毒 混合型病毒兼具引导型病毒和文件型病毒的特性,可以传染.COM,.EXE等可执行文件,也可以传染磁盘的引导区。 2.按病毒的传染方法分类 (1)驻留型病毒 (2)非驻留型病毒 3.按病毒的破坏能力分类 (1)无害性 (2)无危害性 (3)危险性 (4)非常危险性 4.按病毒特有的算法分类 (1)伴随型病毒 (2)“蠕虫”病毒 (3)寄生型病毒 5.按病毒的链接方式分类 (1)源码型病毒 (2)嵌入型病毒 (3)外壳病毒 (4)操作系统型病毒 3.2 计算机病毒的工作机理 目前的计算机病毒几乎都是由三部分组成的,即引导模块、传染模块与表现模块。引导模块借助宿主程序将病毒主体从外存加载到内存,以便传染模块和表现模块进入活动状态。传染模块负责将病毒代码复制到传染目标上去。表现模块是病毒间差异最大的部分,它判断病毒的触发条件,实施病毒的破坏功能。 3.2.1 引导型病毒 1.引导区的结构 2.计算机的引导过程 3.引导型病毒的基本原理 引导型病毒传染的对象主要是软盘的引导扇区,硬盘的主引导扇区和引导扇区。所以,在系统启动时,这类病毒会优先于正常系统的引导将其自身装入到系统中,获得对系统的控制权。病毒程序在完成自身的安装后,再将系统的控制权交给真正的系统程序,完成系统的引导,但此时系统已处在病毒程序的控制之下。 引导型病毒还可以根据其存储方式分为覆盖型和转移型两种。 覆盖型引导病毒在传染磁盘引导区时,病毒代码将直接覆盖正常引导记录。 转移型引导病毒在传染磁盘引导区之前保留了原引导记录,并转移到磁盘的其他扇区,以备将来病毒初始化模块完成后仍然由原引导记录完成系统正常引导。绝大多数引导型病毒都是转移型的引导病毒。 3.2.2 文件型病毒 文件型病毒主要可分为三类:寄生病毒、覆盖病毒和伴随病毒。 寄生病毒在感染的时候,将病毒代码加入正常程序中,原来程序的功能部分或者全部被保留。寄生病毒把自己加入正常程序的方法有很多种。根据病毒代码加入的方式不同,可分为“头寄生”、“尾寄生”、“插入寄生”和“空洞利用”4种。 覆盖病毒直接用病毒程序替换被感染的程序。 伴随病毒不改变被感染的文件,而是为被感染的文件创建一个伴随文件(病毒文件)。 文件型病毒的基本原理如下: 当被感染程序执行之后,病毒事先获得控制权,然后执行以下操作。 (1)内存驻留的病毒首先检查系统内存,查看内存是否已有此病毒存在,如果没有则将病毒代码装入内存进行感染。 (2)对于内存驻留病毒来说,驻留时还会把一些DOS或者基本输入输出系统(BIOS)的中断指向病毒代码 。 (3)执行病毒的一些其他功能,如破坏功能,显示信息或者病毒精心制作的动画等。 (4)这些工作后,病毒将控制权返回被感染程序,使正常程序执行。 3.2.4 宏病毒 宏病毒是一类使用宏语言编写的程序,
文档评论(0)