计算机病毒技术基础新.pptVIP

计算机病毒技术基础;实验说明;一、计算机病毒概述与分类;使系统操作和运行速度下降。 扰乱键盘操作。 浪费系统资源。 干扰打印机的正常工作。 攻击Boot、系统中断向量、FAT、硬盘的主引导区和目录区。 侵占和删除空间。 修改系统配置，攻击CMOS。 格式化磁盘。 干扰和修改屏幕的正常显示。 大面积清除数据文件、更改文件内容、文件名称，对文件加密。 修改系统文件和数据结构。 ;攻击内存：大量占用和消耗内存空间，占用CPU时间，阻扰内存中常驻程序正常运行。 攻击邮件。 阻塞网络。 3、计算机病毒的特征 程序性：计算机病毒是一段具有特定功能的、严谨精巧的计算机程序。 传染性：能自我复制、自我繁殖、感染或再生等重要属性。 潜伏性：一般潜伏一定时期，等待条件成熟才会激活。 干扰与破坏：能够对计算机资源进行破坏。 可触发性：一般有触发条件。 ;4、计算机病毒分类 （1）按操作系统分类 攻击DOS系统、攻击Windows系统、攻击UNIX系统、攻击OS/2系统。 （2）按计算机病毒链接方式分类 操作系统型病毒、外壳型病毒、嵌入式病毒、源码型病毒。 （3）按传染方式分类 引导型病毒、文件型病毒、混合型病毒。 （4）按计算机病毒的寄生方式分类 覆盖式寄生病毒、链接式寄生病毒、填充式寄生病毒、转储式寄生病毒。 （5）按功能方式分类 文件型病毒、引导型病毒、宏病毒、木马病毒、脚本病毒、邮件病毒、蠕虫病毒。 ;二、宏病毒 ;1、常见宏病毒 (1)? 只进行自身的传播，并不具有破坏性的类型。如较常见的有一种AutoOpen宏病毒，这种病毒只是将文档保存为模板，并进行自身复制，当打开带病毒的文档时，病毒就将自身传染到Word的Normal．dot模板，然后再传染给干净的文档。 （2）只对用户进行骚扰，但不破坏系统的类型。如“台湾No．1”宏病毒、Helper病毒、Aliance病毒、Phardera病毒等。 ; （3）使打印中途中断或打印出混乱信息的类型。如Nuclear、Kompu等属此类。有些宏病毒将文档中的部分字符、文本进行替换，如Concept发作时，用“，”、“e”、“not”替换所有“．”、“a”??“and”等。 （4）极具破坏性的类型。MDMA．A(无政府者一号)，这种病毒既感染中文版Word，又感染英文版Word，发作时间是每月的1日。破坏性表现为在机器的批处理文件： Autoexec．bat中加入“deltree/y c：”一句，机器在下一次启动后就将自动删除C盘上的所有文件。 ; 2、宏病毒的特征;Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.;（1）宏病毒的特点 (a)?传播极快。Word宏病毒通过DOC文档及DOT模板进行自我复制及传播，而计算机文档是交流最广的文件类型，这给Word宏病毒传播带来很多便利。 (b)?制作、变种方便。Word使用宏语言Word Basic来编写宏指令。宏病毒同样用WordBasic来编写。 (c)?破坏可能性极大。Word Basic语言提供了许多系统级底层调用，如直接使用DOS系统命令，调用Windows API，调用DDE、DLI等。这些操作均可能对系统直接构成威胁，而Word在指令安全性、完整性上检测能力很弱，破坏系统的指令很容易被执行。 ;（2）宏病毒的驱动方式 当Word处理文档时，需要同时进行各种不同的动作，如打开文件、关闭文件、读取数据材料以及储存和打印等。每一个动作其实都是对应着特定的宏命令，如存文件与FilwSave相对应，改名则对应FileSaveAS，打印则对应FilePrint；再例如当打开文件时，首先检查是否有AutoOpen宏是否存在，如有才能自动打开Word文档，在关闭文档时则执行AutoClose宏，当某个Doc文件感染了这类Word宏病毒，再运行这类自动宏时就是运行了病毒的本身，当关闭文档时，它会自动将所有的通用宏（也包括病毒在内）保存在模板文件中 。 ;三、脚本病毒;（1）脚本病毒的主要特点： (a)?由于脚本是直接解释执行，可以直接通过自我复制的方式感染其他同类文件，并且自我的异常处理变得非常容易。 这类病毒通过htm文档，Email附件或其它方式，可以在很短时间内传遍世界各地，其手段相似，无非是在附件中安置病毒本体，然后利用人类天生的好奇心，通过邮件主题或邮件内容诱惑人们点击附件中的病毒体而被感