常见计算机病毒幻灯片.pptVIP

主要内容 网络蠕虫的定义及其与狭义病毒的区别 蠕虫的分类 蠕虫的工作原理 蠕虫的行为特征 蠕虫的防治 1.1 蠕虫的起源 1980年，Xerox PARC的研究人员John Shoch和Jon Hupp在研究分布式计算、监测网络上的其他计算机是否活跃时，编写了一种特殊程序，Xerox蠕虫 1988年11月2日，世界上第一个破坏性计算机蠕虫正式诞生 Morris为了求证计算机程序能否在不同的计算机之间进行自我复制传播，编写了一段试验程序 为了让程序能顺利进入另一台计算机，他还写了一段破解用户口令的代码 11月2日早上5点，这段被称为“Worm”(蠕虫)的程序开始了它的旅行。它果然没有辜负Morris的期望，爬进了几千台计算机，让它们死机 Morris蠕虫利用sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进行传播 Morris在证明其结论的同时，也开启了蠕虫新纪元 Morris 90行程序代码 2小时： 6000台电脑（互联网的十分之一）瘫痪 1500万美元的损失 3年缓刑/1万罚金/400小时的社区义务劳动 病毒的萌芽： 没有企图用蠕虫去破坏数据或文件，但他企图让蠕虫广泛传播 1.2 蠕虫的原始定义 蠕虫这个生物学名词在1982年由Xerox PARC的John F. Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制” 1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，给出了蠕虫的技术角度的定义：“Worm is a program that can run by itself and can propagate a fully working version of itself to other machines. ”(计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上) 1.3 计算机病毒的原始定义 计算机病毒从技术角度的定义是由Fred Cohen在1984年给出的：“A program that can ‘infect’ other programs by modifying them to include a possibly evolved copy of itself.”(计算机病毒是一种可以感染其它程序的程序，感染的方式为在被感染程序中加入计算机病毒的一个副本，这个副本可能是在原病毒基础上演变过来的) 1988年Morris蠕虫爆发后，Eugene H. Spafford为了区分蠕虫和病毒，将病毒的含义作了进一步的解释：“Virus is a piece of code that adds itself to other programs, including operating systems. It cannot run independently and it requires that its host program be run to activate it.”(计算机病毒是一段代码，能把自身加到其它程序包括操作系统上。它不能独立运行，需要由它的宿主程序运行来激活它) 1.4 蠕虫与病毒之间的区别及联系 1.5 蠕虫定义的进一步说明 计算机病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者的计算机知识水平的高低常常决定了病毒所能造成的破坏程度。而蠕虫主要是利用计算机系统漏洞(Vulnerability)进行传染，搜索到网络中存在漏洞的计算机后主动进行攻击，在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者的计算机知识水平无关 蠕虫的定义中强调了自身副本的完整性和独立性，这也是区分蠕虫和病毒的重要因素。可以通过简单的观察攻击程序是否存在载体来区分蠕虫与病毒 不能简单的把利用了部分网络功能的病毒统称为蠕虫或蠕虫病毒 “Melissa网络蠕虫宏病毒”(Macro.Word97.Melissa)、“Lover Letter网络蠕虫病毒”(VBS.LoveLetter)等等，都是病毒，而不是蠕虫。以病毒命名的“冲击波病毒”(Worm.MSBlast)，却是典型的蠕虫 2.1 蠕虫的分类 根据蠕虫的传播、运作方式，可以将蠕虫分为两类 主机蠕虫 主机蠕虫的所有部分均包含在其所运行的计算机中 在任意给定的时刻，只有一个蠕虫的拷贝在运行 也称作“兔子”(Rabbit) 网络蠕虫 网络蠕虫由许多部分(称为段，Segment)组成，而且每一个部分运行在不同的计算机中(可能执行不同的动作) 使用网络的目的，是为了进行各部分之间的通信以及传播 网络蠕虫具有一个主segment，该主seg