第3章计算机病毒及防治案例分析.pptVIP

第3章 计算机病毒及防治;3.1 计算机病毒概述;计算机病毒的发展历史;3.1.1 计算机病毒的概念和发展史;3.1.2 计算机病毒的特征 计算机病毒一般具有以下几个特征。 1．传染性 病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。 2．非授权性 隐藏在正常文件中，窃取到系统的控制权，病毒的动作、目的队用户是未知的，未经用户许可的。 3．隐蔽性 不经过代码分析，很难将病毒程序与正常程序区别开来。 4．潜伏性 一般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发现。 5．破坏性 一旦发作会造成系统或数据的损伤甚至毁灭。 6．不可预见性 不同种类的病毒，它们的代码千差万别;3.1.3 计算机病毒的种类 1．按病毒的寄生方式分类 （1）文件型病毒 （2）引导型病毒 （3）混合型病毒 2．按病毒的传染方法分类 （1）驻留型病毒 （2）非???留型病毒;3．按病毒的破坏能力分类 （1）无害性 具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没有其他影响。 （2）无危害性 这类病毒对系统影响较小，仅是减少内存，显示信息、图像或发出声音等。 （3）危险性 这类病毒在计算机系统操作中造成严重的错误。 （4）非常危险性 这类病毒会删除程序，破坏数据，清除系统内存区和操作系统中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大的。;4．按病毒特有的算法分类 （1）伴随型病毒 （2）“蠕虫”病毒 （3）寄生型病毒 5．按病毒的链接方式分类 （1）源码型病毒 （2）嵌入型病毒 （3）外壳病毒 （4）操作系统型病毒;3.2 计算机病毒的工作机理;图3.1 转移型引导病毒的原理图;3.2.2 文件型病毒 （1）内存驻留的病毒首先检查系统内存，查看内存是否已有此病毒存在，如果没有则将病毒代码装入内存进行感染。 （2）对于内存驻留病毒来说，驻留时还会把一些DOS或者基本输入输出系统（BIOS）的中断指向病毒代码 （3）执行病毒的一些其他功能，如破坏功能，显示信息或者病毒精心制作的动画等。 （4）这些工作后，病毒将控制权返回被感染程序，使正常程序执行。; （a）引导型病毒 ;3.2.3 混合型病毒 混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒，它们可以感染可执行文件，也可以感染引导区，并使之相互感染，具有相当强的感染力。;3.2.4 宏病毒 宏病毒是计算机病毒历史上发展最快的病毒，它也是传播最广泛，危害最大的一类病毒。据国际计算机安全协会（International Computer Security Association）的统计报道，在当前流行的病毒中，宏病毒占全部病毒的80%左右。 宏病毒是一类使用宏语言编写的程序，依赖于微软Office办公套件Word、Excel和PowerPoint等应用程序传播。;1．宏病毒的特征 （1）宏病毒与传统的文件型病毒有很大的不同。 （2）宏病毒的感染必须通过宏语言的执行环境（如Word和Excel程序）的功能，不能直接在二进制的数据文件中加入宏病毒代码。 （3）宏病毒是一种与平台无关的病毒，任何可以正确打开和理解Word文件宏代码的平台都可能感染宏病毒。;（4）此外宏病毒编写容易，破坏性强。它使用Visual Basic For Applications（VBA）这样的高级语言编写，编写比较简单，功能比较强大，只要掌握一些基本的“宏”编写手段，即可编写出破坏力很大的宏病毒。 （5）宏病毒的传播速度极快。由于网络的普及，Email和FTP服务使人们更加方便快捷地获取信息，但同时也为宏病毒的传播提供了便利条件。而且，随着“无纸办公”方式的使用，微软Office软件已经成为办公人员不可缺少的工具，这也为宏病毒提供了广阔的天地。;2．宏病毒的感染机制 3．宏病毒的表现 （1）有些宏病毒只进行自身的传播，并不具破坏性。 （2）这些宏病毒只对用户进行骚扰，但不破坏系统。 （3）有些宏病毒极具破坏性。;3.2.5 网络病毒 1．蠕虫病毒的传播过程 蠕虫病毒的传播可以分为3个基本模块： （1）扫描 由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。 （2）攻击 攻击模块按漏洞攻击步骤自动攻击步骤（1）中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。 （3）复制 复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并启动。;2．蠕虫病毒的入侵过程 手动入侵一般可分为以下三步。 （1）用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。 （2）针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。对搜集来的信息进行分析，找到可以有效利用的信息。 （3）利用获得的权限在主机上安装后门、跳板、控制端和监视器等，并清除日志