第8章病毒、蠕虫与木马.pptVIP

第八章 病毒蠕虫与木马 8.1 计算机病毒 计算机病毒的概念 一种能够自身复制自身并以其他程序为宿主的可执行的代码 --Fred Cohen 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 --中华人民共和国计算机信息系统安全保护条例 计算机病毒潜入到计算机内部时会附着在程序中，当宿主程序启动后，病毒就随之被激活并感染系统中的其它部分 计算机病毒可以分作良性和恶性 8.1 计算机病毒 计算机病毒的分类 文件型病毒 引导扇区病毒 混合性病毒 宏病毒 隐形飞机式病毒 密文病毒 多态病毒 Script病毒 电子邮件病毒 文件型病毒 这一类病毒主要是感染计算机中的个别文件，当这些文件被执行，病毒程序就跟着被执行。 寄生在主程序上的方式主要有3种 将病毒加于文件之前，则病毒先于文件代码激活 将病毒置于文件之后，但在执行文件的开端会加入一个跳转指令到病毒程序 病毒文件直接将执行文件程序覆盖，当受感染文件执行时，病毒就开始作用了。 按照传染方式不同，文件型的病毒又分成非常驻型以及常驻型两种。 引导扇区病毒 藏匿和感染软盘或硬盘的第一个扇区，即平常我们所说的引导扇区 引导型病毒借由引导动作而侵入内存，若用已经感染的磁盘引导，那么病毒将立即感染到硬盘。 DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断得到完全的控制, 并且拥有更大的能力进行传染与破坏。 现在这类病毒比较少见。 混合性病毒 同时兼具引导型病毒和文件型病毒的特点，具有很强的破坏力。 通常会先修改引导扇区，而此时病毒已经在系统中激活，并潜伏在内存中。 下一步就是要感染其它可执行文件了。 宏病毒 利用了一些数据处理系统内置宏编程指令的特性而形成的一种特殊病毒。 与前述的病毒不同，宏病毒不感染程序，只感染文档和模板，如Word和Excel文件等。 它是依附在正常的文件上，利用文档可执行其内宏命令代码的方式，在文档在打开或关闭时来控制并感染系统。 宏病毒的影响很大，轻则文件被破坏，重则格式化硬盘，使数据毁于一旦。 隐形飞机式病毒 病毒的目的是在防病毒软件装载和发现它们之前就开始行动以逃避检测。 一种常采用的技术是将程序A中指向另外一个程序B或系统信息的地址进行重定向，使其指向一个病毒程序文件。 当程序A调用程序B的时候，得到运行的是病毒程序。由于并没有想受感染文件中注入附加的代码，这种方法可以逃避一些基于特征码检测的杀毒软件。 另外一种常用的方法是虽然替换了文件，但是保证了替换后的文件和替换前的文件的长度是一样的，这样就可以逃避以文件长度为检测特征的软件的查杀。 密文病毒 通过自我加密，密文病毒的外观能够从一种形态变成另一种形态，并将感染过的文本和信息隐藏起来。 加密后的病毒文件看起来并不是病毒，而是一段毫无疑义的乱码。 病毒加密的部分需要一把“密钥”来译解其隐藏的代码，这把钥匙就隐藏在病毒的固定文本中。 当被感染文件执行时，密钥会把病毒的剩余部分解密还原。 多态病毒 每当病毒它们运行一次，就会以不同的病毒码传染到别的地方去。 每一个中毒的文件中，所含的病毒码都不一样，对于扫描固定病毒码的防毒软件来说，基本无法彻底查杀 Script病毒 Script病毒（VBScript、JavaScript、HTML）是利用脚本来进行破坏的病毒，它本身是一个ASCII码或加密的ASCII码文本文本，由特定的脚本解释器执行。 它利用了脚本解释器的疏忽和用户登录身份不当对系统设置进行恶意配置或恶意调用系统命令造成危害。VBScript（Visual Basic Script）以JavaScript病毒必须透过Microsoft的Windows Scripting Host（WSH）才能够启动执行以及感染其它文件。 HTML病毒使用内嵌在HTML文件中的Script来进行破坏，当使用者从具备Script功能的浏览器检视HTML网页时，内嵌Script便会自动执行。 电子邮件病毒 电子邮件病毒是近来出现的恶意软件。最早利用电子邮件散布的病毒，是利用邮件附件的宏病毒。 如果收件者打开附件，就会执行Word宏，然后病毒就会根据收件者的联系人名单，将自身复制传送给所有的联系人。 现在有些病毒甚至不需要打开邮件的附件，只要接收了电子邮件，就会感染病毒。 这种病毒是由软件所支持的VBScript语言所编写的。 计算机病毒的特点 传染性 传染性是计算机病毒的最重要特征，指病毒从一个程序复制进入另一个程序体的过程，其功能是有病毒的传染模块来实现的。 病毒本身是一个可以运行的程序段，因此正常程序运行途径和方法就是病