第10章：计算机病毒绪论.ppt

获取病毒库更新列表 更新病毒库： 更新病毒库完成： 病毒库防护文件更新 病毒文件修复向导：点击下一步 修复隔离文件：点击下一步 修复向导完成：点击完成 打开NORTON，点击扫描，选定硬盘分区 点击扫描，开始病毒查杀 扫描完成，显示扫描结果 * 网络入侵与防范讲义 * 10.5 病毒技术的新动向 从病毒出现到现在的二十多年的时间里，一方面，计算机病毒的数量以难以想象的速度增加，并且四周蔓延，肆意为害；另一方面，病毒技术也迅速发展，新型病毒层出不穷，主要动向为： 病毒变种繁多，演化日趋完善 混合通用型病毒 隐藏型病毒 多态型病毒 病毒的自动化生产 * 网络入侵与防范讲义 * 病毒变种繁多，演化日趋完善 人们在编写正常程序时，不可能一次做到尽善尽美，所以程序要不断修改，不断更新版本，这个过程是程序演化过程。 计算机病毒也是一种程序，一开始也不是完美的，它总会有一些缺陷。另一些人，怀着不同的目的，对原病毒进行修改，使其“完善”，这个过程是病毒的演化过程。 * 网络入侵与防范讲义 * 病毒变种繁多，演化日趋完善(2) 由于病毒的演化，出现了很多的病毒变种。这些新病毒是在原版的基础上，经过修改而成的，编写这些病毒变种的目的可能是： ①原版病毒有缺陷； ②改变触发条件； ③增加新的破坏行为； ④与反病毒攻击对抗，使流行的反病毒攻击失效。 * 网络入侵与防范讲义 * 病毒变种繁多，演化日趋完善(3) 编写病毒变种很容易，只要做一些简单的工作，如改变病毒程序的长度、改变病毒的感染标记，就能很快产生一个新的病毒变种。 现今发现的病毒几乎每个都有变种。 * 网络入侵与防范讲义 * 病毒变种繁多，演化日趋完善(4) 病毒变种的出现，给病毒的检测和防治带来新的困难。 这是因为，病毒变种常常是针对原版病毒的弱点进行修改的，且在修改时考虑了反病毒工具对该病毒的防治措施。 所以，病毒变种的攻击力，与反病毒技术的对抗力都有所增强。 * 网络入侵与防范讲义 * 混合通用型病毒 能够感染不同操作系统的病毒，称为通用病毒。 “混合”指现在的病毒攻击对象趋于对可执行文件和系统引导区同时感染，它们在病毒源的编制、反跟踪调试、程序加密、隐藏性、攻击能力等方面的设计都呈现许多不同一般的变化。 * 网络入侵与防范讲义 * 隐藏型病毒 新型病毒的代表，是病毒技术发展的新动向。 一般情况下，病毒感染宿主程序时，宿主程序总会发生一些变化，如文件长度的变化，文件最后存盘时间的变化，文件内容的变化等。人们可以通过这些变化发现病毒。 为了长期潜伏，不被人们发现，病毒采用多种隐藏技术，将文件的上述变化隐藏起来。 * 网络入侵与防范讲义 * 多态型病毒 多变型病毒也称为变形发动机，是新型计算机病毒。这类病毒采用复杂的密码技术，在感染宿主程序时，病毒使用随机的算法对病毒程序加密，放入宿主程序中。 由于随机数算法的结果多达天文级数字，所以，放入不同宿主程序中的病毒代码，不仅绝大部分不相同，而且变化的代码段的相对空间排列位置也有变化。 病毒自动化整为零，分散潜伏到各种宿主中。对不同的感染目标，分散潜伏的宿主也不同。这样，同一种病毒具有多种形态，每次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难。 * 网络入侵与防范讲义 * 多态型病毒(2) 病毒加密时一般采用如下3种加密方式。 对程序段动态加密 病毒采取一边执行一边译码的方法，即后边的机器码是与前边的某段机器码运算后还原的，而用DEBUG等调试工具把病毒从头到尾打印出来，打印出的程序语句将是被加密的，无法阅读。 对显示信息加密 如新世纪病毒在发作时，将显示一页书信。但是作者对此段信息进行加密，从而不可能通过直接调用病毒体的内存映像寻找到它的踪影。 对宿主程序段加密 病毒将宿主程序入口处的几个字节经过加密处理后存储在病毒体内，这给杀毒修复工作带来很大困难。 * 网络入侵与防范讲义 * 多态型病毒(3) 已加密的病毒要想正确执行，必须解密自己加密的部分。这种解密通常由病毒解密程序完成。 当一个被感染的程序启动时，病毒解密程序就会控制计算机，并且解密病毒体的其余部分，这样它就能正常执行了。 * 网络入侵与防范讲义 * 病毒的自动化生产 由于病毒自动生成工具的出现，病毒的生产由复杂的手工编制，发展为计算机自动化生产。 这种病毒自动生产工具是一种程序。在这个工具出现之前，要编写一个病毒，不是简单容易的事，它要求病毒制造者必须具备相当高的专业知识。现在有了这个工具，使生产病毒变成了一件人人会做的简单事情。 * 网络入侵与防范讲义 * 10.6 手机病毒 在上海召开的“2007中国消费电子市场年会” 上发布的《2006年手机市场综合分析报告》显示，信息安全已经成为手机行业中继音乐、智能之后的第三大主流