第九章 计算机病毒.pptVIP

计算机网络安全技术 第九章 计算机病毒 第九章 计算机病毒 §9.1 计算机病毒概述 ★ §9.2 病毒的结构与作用机理 ★ §9.3 计算机病毒的防范 ★ §9.4 几种常见的计算机病毒 §9.1 计算机病毒概述 §9.1.1 病毒的概念与特征 §9.1.2 病毒的起源与分类 §9.1.1 病毒的概念与特征 什么是计算机病毒？ 从广义上讲，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。 Cohen博士对计算机病毒的定义 计算机病毒是一种能够通过修改程序，并把自己的复制品包括在内去感染其他程序的程序； 或者说，计算机病毒是一种在计算机系统运行过程中能把自己精确拷贝或有修改地拷贝到其他程序体中的程序。 §9.1.1 病毒的概念与特征 1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出： 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 此定义具有法律性和权威性。 §9.1.1 病毒的概念与特征 计算机病毒与正常计算机程序的差异 病毒能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。 未经授权而执行。 一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务，其目的对用户是可见的。 病毒隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。 §9.1.1 病毒的概念与特征 计算机病毒的基本特征 传染性 这是病毒的基本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。 计算机病毒是一段人为编制的计算机程序代码，一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。 §9.1.1 病毒的概念与特征 隐蔽性 病毒为了保护自己，一般采用以下方法隐藏自己： 短小精悍 病毒一般只有几百或1K字节。 附着在正常程序中或磁盘较隐蔽的地方 以隐含文件形式出现。 分散和多处隐藏 当有病毒程序潜伏的程序体被合法调用时，病毒程序也合法进入，并可将分散的程序部分在所非法占用的存储空间进行重新装配，构成一个完整的病毒体投入运行。 加密 变体 §9.1.1 病毒的概念与特征 潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，悄悄地繁殖和扩散而不被发觉，使得许多数据资源成为病毒的携带者而迅速向外传播。 只有在满足其特定条件时才启动其表现（破坏）模块。 潜伏的目的是为了赢得足够的时间，充分扩散，最后造成尽可能大的破坏。 §9.1.1 病毒的概念与特征 破坏性（表现性） 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。 由此特性可将病毒分为良性病毒与恶性病毒。 良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，这类病毒表现较为温和。 恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。 表现和破坏是病毒的最终目的。 §9.1.1 病毒的概念与特征 不可预见性 从对病毒的检测方面来看，病毒有不可预见性。 病毒的代码千差万别。 传染条件、传染方式、传染对象不同。 破坏条件、破坏方式、破坏对象不同。 以上情况处于变化之中，病毒的制作技术在不断的提高，病毒对反病毒软件永远是超前的。 某些正常程序使用了类似病毒的操作甚至借鉴了某些病毒的技术。 §9.1.1 病毒的概念与特征 触发性 满足传染触发条件时，病毒的传染模块会被激活，实施传染操作。 满足表现触发条件时，病毒的表现模块会被激活，实施表现或破坏操作。 针对性 有一定的环境要求，并不一定对任何系统都能感染。 依附性 病毒依附在合法的可执行程序上。 §9.1.2 病毒的起源与分类 计算机病毒的起源 电脑病毒的历史：磁蕊大战 早在1949年, 电脑的先驱者John Von Neumann在他所提出的一篇论文“复杂自动装置的理论及组织的进行”里，已经把病毒程序的蓝图勾勒出来。 直到十年之后，在美国电话电报公司（ATT）的贝尔实验室中，这些概念在一种很奇怪的电子游戏中成形了，这种电子游戏叫做“磁蕊大战（core war）”。 磁蕊大战的玩法是双方各写一个程序，输入到电脑中，这两个程序在电脑的存储系统内互相追杀，有时会放下一些关卡，有时会停下来修复（重新写）被对方破坏的指令；当其被困时，也可以把自己复制一次，逃离险境，游戏直到一方的程序被另一方的程序 “