本科网络安全与保密第14章.pdf

第14章 病毒与数据安全 第14章 病毒与数据安全 14.1 恶意代码 14.8 病毒的一般结构 14.2 计算机病毒的概念 14.9 病毒的工作原理 14.3 病毒的起源 14.10 宏病毒的工作原理 14.4 病毒的危害 14.11 CIH病毒的工作原理 14.5 病毒的传播方式 14.12 网络病毒的工作原理 14.6 病毒的特点 14.13 杀毒技术 14.7 病毒的分类 习 题 第14章 病毒与数据安全 14.1 恶意代码 图14-1给出了所有软件威胁的分类情况，也就是恶 意代码的分类情况。这些威胁可以分成两类：需要宿 主的程序和可以独立运行的程序。前者实际上是程序 片段，它们不能脱离某些特定的应用程序、应用工具 或系统程序而独立存在；后者是完整的程序，操作系 统可以调度和运行它们。 第14章 病毒与数据安全 恶意程序 需要宿主 独 立 程序 后门 逻辑炸弹 特洛伊木马 病毒 细菌 蠕虫 复制 图14-1 恶意代码分类 第14章 病毒与数据安全 也可以把这些软件威胁按照能不能够自我复制来 进行分类。不能够自我复制的可能是程序片段，当调 用宿主程序完成特定功能时，就会激活它们。可以自 我复制的程序可能是程序片段(病毒) ，也可能是一个独 立的程序(蠕虫、细菌) 。当执行它们时，将会复制出一 个或多个自身的副本。以后这些副本可以在同一个系 统中或其它系统中被激活。 值得注意的是，随着恶意代码编写技术的提升， 各种代码之间都在取长补短，所以有些恶意代码可能 包含其它的恶意代码。例如逻辑炸弹或特洛伊木马可 能是病毒或者蠕虫的一部分。 第14章 病毒与数据安全 1．后门(Backdoor/ Trapdoor, 陷阱门) 后门是进入程序的一个秘密入口。知道这个后门 的人就可以通过它绕过访问控制的一般安全检查，而 直接获得访问权限。很多年来，程序员为了调试和测 试程序一直合法地使用后门。当这些后门被用来获得 非授权访问时，后门就变成了一种安全威胁。 2. 逻辑炸弹(Logic Bomb) 合法程序中的代码，当符合某种条件的时候就会 “爆炸”。用来触发逻辑炸弹的条件可以是某些文件的 出现或缺失、某个日期或星期几、某一特定用户运行 该应用程序等。 第14章 病毒与数据安全 3. 特洛伊木马(Trojan Horse) 特洛伊木马程序是一个有用的(或表面看起来很有 用的)程序或命令过程，其中包含了秘密代码。当调用 的时候，这些秘密代码将执行一些不必要的或有害的 操作。 当未授权用户无法直接完成某些操作的时候，就 可以通过特洛伊木马程序来间接完成。比如在一个多 用户操作系统中，如果想访问其它用户的文件，那么 用户就可以创建一个特洛伊木马程序。当执行它的时 候，将改变用户文件的访问权限，这样，任何用户都 能读取它。 第14章 病毒与数据安全 接着攻击者为了诱使用户运行该程序，就会把它放在 公共目录里，并给它取一个听起来好像是一个很有用 的程序的名字。当另一个用户运行该程序后，攻击者 就能够访问该用户的文件信息了。很难被检测到的一 种特洛伊木马程序就是编译器。通过修改正常的编译 器，就可以在编译某些程序的时候插入附加代码，比 如系统登录程序。该代码在登录程序中留下后门，