网络与信息安全第十七讲计算机病毒及其防治.pdfVIP

2002-2003年度北京大学工程硕士研究生课程 网络与信息安全 网络与信息安全 第十七讲 第十七讲 计算机病毒及其防治 计算机病毒及其防治 王 昭 北京大学计算机系信息安全研究室 wangzhao@cs.pku.edu.cn 讨论议题 • 计算机病毒定义 • 计算机病毒的特征 • 计算机病毒的分类 • 计算机病毒的命名 • 计算机病毒的逻辑结构 • 计算机病毒的工作流程和工作机制 • 计算机病毒的检测、预防 名称来历 • 由生物医学上的“病毒”一词借用而来 • 与生物医学上“病毒”的异同 – 同:都具有传染性、流行性、以及针对性…… – 异:不时天生的,是人为编制的具有特殊功能的程序 • 从广义上定义，凡能够引起计算机故障，破坏 计算机数据的程序统称为计算机病毒 (Computer Virus) 。 • 依据此定义，诸如逻辑炸弹、蠕虫、木马等均 可称为计算机病毒。 计算机病毒的定义-(1) • 国内学者给出的一种较为广泛的定义:计算机病毒就是 能够通过某种途径潜伏在计算机存储介质（或程序） 里, 当达到某种条件时即被激活的具有对计算机资源进 行破坏作用的一组程序或指令集合。 • 美国计算机安全专家Fred Cohen1989年把计算机病毒 定义为：“病毒程序通过修改（操作）而传染其它程序， 即修改其他程序使之含有病毒自身的精确版本或可能 演化版本、变种或其他的病毒繁衍体。病毒可以看作 是攻击者愿意使用的任何代码的携带者。病毒中的代 码可经由系统或网络进行扩散，从而强行修改程序和 数据。 计算机病毒的定义-(2) • 直至1994年2月18 日，我国正式颁布实施了 《中华人民共和国计算机信息系统安全保护条 例》，在《条例》第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据，影响计 算机使用，并能自我复制的一组计算机指令或 者程序代码。”此定义具有法律性、权威性。 计算机病毒的基本特征-(1) 1.寄生性（依附性） • 计算机病毒是一种特殊的计算机程序，它不是以独立的文 件的形式存在的，它寄生在合法的程序中. • 病毒所寄生的合法程序被称做病毒的载体，也称为病毒的 宿主程序。病毒程序嵌入到宿主程序中，依赖于宿主程序 的执行而生存，这就是计算机病毒的寄生性。 2.传染性 • 计算机病毒的传染性是指计算机病毒会通过各种渠道从已 被感染的计算机扩散到未被感染的计算机。 • 是否具有传染性是判别一个程序是否为计算机病毒的最重 要条件。 计算机病毒的基本特征-(2) 3 ．隐蔽性 • 计算机病毒在发作之前，必须能够将自身很好的 隐蔽起来，不被用户发觉，这样才能实现进入计 算机系统、进行广泛传播的目的。计算机病毒的 隐蔽性表现为传染的隐蔽性与存在的隐蔽性。 4 ．潜伏性 • 计算机病毒的潜伏性是指病毒程序为了达到不断 传播并破坏系统的目的，一般不会在传染某一程 序后立即发作，否则就暴露了自身。 • 潜伏性愈好，其在系统中的存在时间就会愈长， 病毒的传染范围就会愈大。 计算机病毒的基本特征-(3) 5.可触发性 • 因某个特征或数值的出现，诱使病毒实施感染 或进行攻击的特性称为可触发性。 6 ．破坏性 • 共同的危害，即降低计算机系统的工作效率， 占用系统资源，其具体情况取决于入侵系统的 病毒程序。 • 同时计算机病毒的破坏性主要取决于计算机病 毒设计者的目的. • 有时几种本来没有多大破坏作用的病毒交叉感 染，也会导致系统崩溃等重大恶果。 计算机病毒的基本特征-(4) 7 ．产生的必然性 • 计算机病毒存在的理论依据来自于冯·诺依曼结 构及信息共享，从理论上讲如果要彻底消灭病 毒，只有摒弃冯·诺依曼结构及信息共享，显然，