(精)计算机病毒.ppt

第4章 计算机病毒与黑客 4.1 计算机病毒的概述 4.2 计算机病毒制作技术 4.3 计算机杀毒软件制作技术 4.4 蠕虫病毒分析 4.5 特洛伊木马 4.6 计算机病毒与黑客的防范 4.1 计算机病毒的概述? 4.1.1 计算机病毒的定义 《中华人民共和国计算机信息系统安全保护条例》对病毒定义表明了计算机病毒就是具有破坏性的计算机程序。 4.1.2 计算机病毒的特征 1．破坏性。 2．隐蔽性。 3．传染性。 计算机病毒的破坏性、隐蔽性、传染性是计算机病毒的基本特征。 4．潜伏性。 5．可触发性。 6．不可预见性。 4.1.3 计算机病毒的产生原因 1．软件产品的脆弱性是产生计算机病毒根本的技术原因 2．社会因素是产生计算机病毒的土壤 病毒不是来源于突发或偶然的原因。一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒． 4.1.4 计算机病毒的传播途径 计算机病毒主要是通过复制文件、发送文件、运行程序等操作传播的。通常有以下几种传播途径： 1．移动存储设备 包括硬盘、移动硬盘、光盘等。硬盘是数据的主要存储介质，因此也是计算机病毒感染的主要目标。 2．网络 目前大多数病毒都是通过网络进行传播的，破坏性很大。 4.1.5 计算机病毒的分类 我们把计算机病毒大致归结为7种类型。 1．引导型病毒。主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表（FAT）来感染系统。早期的计算机病毒大多数属于这类病毒。 2．文件型病毒。它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染或执行破坏操作。文件型病毒大多数也是常驻内存的。 3．宏病毒。宏病毒是一种寄存于微软Office的文档或模板的宏中的计算机病毒，是利用宏语言编写的。由于Office软件在全球存在着广泛的用户，所以宏病毒的传播十分迅速和广泛。 4．蠕虫病毒。蠕虫病毒与一般的计算机病毒不同，它不采用将自身拷贝附加到其它程序中的方式来复制自己，也就是说蠕虫病毒不需要将其自身附着到宿主程序上。蠕虫病毒主要通过网络传播，具有极强的自我复制能力、传播性和破坏性。 5．特洛伊木马型病毒。特洛伊木马型病毒实际上就是黑客程序，一般不对计算机系统进行直接破坏，而是通过网络控制其它计算机，包括窃取秘密信息，占用计算机系统资源等现象。 6．网页病毒。网页病毒一般也是使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘，使你防不胜防。 7．混合型病毒。兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的机会也更多，杀毒也更加困难。 有多种分类方法： 根据病毒存在的媒体可分为网络病毒，文件病毒，引导型病毒。 根据病毒传染的方法可分为驻留型病毒和非驻留型病毒。 按病毒破坏的能力可分为无害型、无危险型、危险型、非常危险型。 按病毒的算法可分为伴随型病毒，“蠕虫”型病毒，寄生型病毒、诡秘型病毒（它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。）、变型病毒（又称幽灵病毒） （这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成）。 4.1.6 计算机病毒的表现现象 1.计算机系统运行速度减慢。 　　2.计算机系统经常无故发生死机。 　　3.计算机