第11章 计算机病毒.ppt

病毒与数据安全;计算机病毒; 恶 意 代 码 ;图1 恶意代码分类 ; 1．后门(Backdoor/ Trapdoor, 陷阱门) 后门是进入程序的一个秘密入口。知道这个后门的人就可以通过它绕过访问控制的一般安全检查，而直接获得访问权限。很多年来，程序员为了调试和测试程序一直合法地使用后门。当这些后门被用来获得非授权访问时，后门就变成了一种安全威胁。 2. 逻辑炸弹(Logic Bomb) 合法程序中的代码，当符合某种条件的时候就会“爆炸”。用来触发逻辑炸弹的条件可以是某些文件的出现或缺失、某个日期或星期几、某一特定用户运行该应用程序等。; 3. 特洛伊木马(Trojan Horse) 特洛伊木马程序是一个有用的(或表面看起来很有用的)程序或命令过程，其中包含了秘密代码。当调用的时候，这些秘密代码将执行一些不必要的或有害的操作。 当未授权用户无法直接完成某些操作的时候，就可以通过特洛伊木马程序来间接完成。比如在一个多用户操作系统中，如果想访问其它用户的文件，那么用户就可以创建一个特洛伊木马程序。当执行它的时候，将改变用户文件的访问权限，这样，任何用户都能读取它。 比如系统登录程序。该代码在登录程序中留下后门，这样攻击者就可以使用特殊的口令登录到系统中。 ;;表1 病毒程序与正常程序的比较 ;病毒的起源 计算机病毒的来源多种多样，主要有以下五种 1、计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的， 2、软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚， 3、个人行为多为雇员对雇主的报复行为 4、政府行为则是有组织的战略战术手段 5、有的病毒还是用于研究或实验而设计的有用程序，由于某种原因失去控制扩散出实验室或研究所，从而成为危害四方的计算机病毒。 ;病毒历史 概念的提出??? “计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说《P1的青春》中提出?1983年??????? 美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。?1987年??????? 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等.?;病毒的特征 传染性 传染性是病毒的基本特征。计算机病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 未经授权而执行 病毒具有正常程序的一切特性，它隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。 3. 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。 4. 潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。 5. 破坏性 轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃，此特性可将病毒分为良性病毒与恶性病毒。 6. 不可预见性 从对病毒的检测方面来看，病毒还有不可预见性，病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。;病毒的分类 1. 按传染方式分类 分为引导型病毒、文件型病毒和混合型病毒三种 2. 按连接方式分类 分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。 3. 按破坏性分类 分为良性病毒和恶性病毒。 4. 按程序运行平台分类 分为DOS病毒、Windows病毒、Windows NT病毒、OS/2病毒等。 5. 新型病毒 部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类，如宏病毒、黑客软件、电子邮件病毒等。 ;病毒的破坏行为 攻击系统数据区 即攻击计算机硬盘的主引导扇区、Boot扇区、FAT表、文件目录等内容（一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复）。 攻击文件 是删除文件、修改文件名称、替换文件内容、删除部分程序代码等等。 攻击内存 内存是计算机的重要资源，也是病毒的攻击目标。其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等。 干扰系统运行 不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。;速度下降 不少病毒在时