计算机病毒课件幻灯片.ppt

计算机病毒的分类与传播原理 以及著名的病毒分析 走进病毒世界 实例分析 传播原理 分类 本质 virus 计算机病毒是什么？ 1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 计算机病毒有哪些特征? 1.传染性 指病毒具有把自身复制到其它程序中的特性 2. 取得系统控制权 3. 隐蔽性 通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。 4. 破坏性 计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏 5. 潜伏性 潜伏性 长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。 6. 不可预见性 计算机病毒的分类 病毒攻击的操作系统 （1） 攻击DOS 系统的病毒 （2） 攻击Windows 系统的病毒 用户使用多，主要的攻击对象 （3） 攻击UNIX 系统的病毒 （4） 攻击OS/2 系统的病毒 （5） 攻击NetWare 系统的病毒 病毒的链接方式 （1） 源码型病毒 （3） 外壳型病毒 （4） 操作系统型病毒 （2） 嵌入型病毒 病毒的载体 （1）引导型病毒 （2）文件型病毒： .com .exe （4）混合型病毒 计算机病毒的破坏能力 ............................. 病毒特有的算法不同 （3） 网络病毒 （1）伴随型病毒 （2）“蠕虫”型病毒 （3）寄生型病毒 练习型病毒 诡秘型病毒 变型病毒 病毒的攻击机型 ......... 病毒的工作步骤与机制 休眠状态 特定的程序被执行 将自身程序复制给其他程序或磁盘区域 病毒激活 执行特定功能达到既定目标 破环文件感染程序 潜伏阶段 传染阶段 触发阶段 发作阶段 触发机制 破坏机制 传播机制 引导机制 传染机制 ▲ 引导机制 病毒作为一种特殊的程序，就必须从存储体进入内存才能实现其预定功能。 所以其寄生对象主要分为?寄生在计算机硬盘的主引导扇区；?寄生在计算机磁盘逻辑分析引导扇区；?寄生在可执行程序中。 其寄生方式为： 替代法 链接法 （用自身的指令代码替代原有的内容） （将自身代码作为正常程序的一部分链接在程 序的首部、尾部或中间） 引导过程： 1：驻留内存（网络病毒不需要） 2：获取系统控制权 3：恢复系统功能（为了隐藏自己，系统不会出现死机等异常状况，使用户无法发现病毒的存在。） 指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。 传染方式 被动传播 主动传播 （用户在复制磁盘或文件时，把一个计算机病毒由一个信息载体复制到另一个信息载体，也可以通过网络把程序从一方传到另一方。） （在计算机病毒处于激活的状态下，只要传染条件满足，计算机病毒程序能主动地把计算机病毒自身传染给另一个载体或另一个系统。） 传染过程 对于被动传播的病毒而言：其传染过程是随着复制磁盘或文件工作的进行而进行的。 对于主动传播的病毒而言：其传染过程是在系统运行时，计算机病毒通过计算机病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运作。在计算机病毒引导模块将计算机病毒传染模块驻留内存的过程中，通常要修改系统中断向量入口地址（如INT 13H或INT 21H)，使该中断向量指向计算机病毒程序传染模块。一旦系统执行磁盘读写操作或系统功能调用，计算机病毒传染模块激活，在条件满足的条件下，利用INT 13H读写磁盘中断把计算机病毒自身传染给读写的磁盘或加载程序，也就是实施计算机病毒的传染，然后再转移到原中断服务程序执行原有的操作。 ▲ 传染机制 ▲ 触发机制 可触发性是计算机病毒的攻击性与潜伏性之间的调整杠杆，可以控制计算机病毒感染和破坏的频度，兼顾杀伤性和潜伏性。一般触发条件越苛刻，病毒就具有越好的潜伏性，但不易传播，所以杀伤力就减弱。 目前采用的触发条件一般有： 1.日期触发 （CIH病毒4月26号发作）2.时间触发 3.键盘触发 4.感染触发 5.启动触发 6.访问磁盘触发 ........... 例如：火炬病毒发作时，屏幕上显示5把燃烧的火炬，同时该病毒用内存的随机数从硬盘的物理第一扇区开始覆盖，造成硬盘中的数据丢失。 与传染机制基本相同，通过修改某一中断量入口地址，使该中断向量指向