第13章 计算机病毒.ppt

第13章 计算机病毒 13.1 计算机病毒概述 13.2 病毒与操作系统 13.3 DOS环境病毒原理 13.4 Windows系统和网络环境下的病毒 13.5 病毒标志和免疫预 13.6 病毒的预防 13.7 典型病毒及杀毒软件 13.1 计算机病毒概述 13.1.1 计算机病毒的定义 计算机病毒较早的定义是：“计算机病毒是一种能够传染其它程序的程序，它修改其它程序，把自身的演化拷贝在该程序中。” 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 13.1.2 计算机病毒的历史 1949年，计算机的创始人冯·诺依曼发表了“复杂自动机器的理论和结构”的论文，提出了程序可以在内存中进行自动复制，即“程序复制机理”的理论。 1982年，美国计算机专家Shoke和Hupp提出了一种程序设计思想，希望这种程序能够在网络环境下实施，开始常驻于一台或多台计算机中，具备自动重定位的能力，如果它检测到网络中的某台机器没有它，便把自身的一个拷贝发送到那台机器，如此递归下去。由于这种程序像“蠕虫”一样在网络中来回蠕动，自我繁殖，被叫做蠕虫程序。 1984年，提出计算机病毒概念的计算机专家科恩获准首次在运行UNIX操作系统的VAX11/750机上进行“蠕虫”程序试验。试验的结果是：由于“蠕虫”程序不断地复制，侵占系统资源，在五次试验中，使计算机系统瘫痪所需的平均时间为30分钟，最短为5分钟。他认为，在对某操作系统基本了解的情况下，可以构成一种程序代码，该程序代码可使受攻击者在平均30分钟内使大量程序受到感染，从而控制整个系统。科恩的试验证明了计算机病毒的实际存在。 从那时起，基于上述设计思想和试验，一些人把如何实现这种程序作为研究目标，以达到自己的目的。1988年11月2日，美国康奈尔大学计算机科学系的研究生、23岁的莫里斯（Morris）将其编写的蠕虫程序输入计算机网络，在几小时内导致网络堵塞。这一事件在计算机界引起了巨大反响，导致了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年底，在中国统计局系统首次发现了“小球”病毒，它对统计系统影响极大。之后的CIH病毒、冲击波病毒等等都在全世界范围内造成了很大的经济和社会损失。 13.1.3 计算机病毒的特点 1．传染性 病毒自我复制（也称“再生”或“传染”）是病毒的主要特点。计算机病毒是靠修改其它程序并把自身拷贝嵌入到其它程序来实现的。计算机病毒在系统中运行，病毒首先要做初始化工作，在内存中找到一片安身之地，随后将自身与系统软件挂起钩来执行感染程序。 通过主动运行带有病毒的程序所受的传染称“动态传染”。感染的磁盘在拷贝时也会把病毒部分原样拷贝过去，同样会达到传染的目的，这种传染被称为“静态传染”。由于网络操作系统的漏洞，被病毒主动进攻所受的传染称为“被动传染”。 2．隐蔽性 病毒程序不经过程序代码分析或计算机病毒代码扫描，与正常程序是不易区别开的。在受到传染后，一般计算机系统仍然能够运行，被感染的程序也能执行，用户不会感到明显的异常。正是由于这种情况，计算机病毒得以在用户没有察觉得情况下扩散传播，这便是计算机病毒的隐蔽性。计算机病毒的隐蔽性还表现在病毒代码本身设计得非常短小，一般只有几百到几K字节，非常便于隐藏到其它程序中或磁盘内。 3．潜伏性 系统和程序染上病毒后，并不马上进行破坏 (发病)，它可长期隐藏在系统中，除了传染外，不表现出破坏性，这样的状态可能保持几天、几个月甚至几年，只有在满足其特定条件后才启动其病毒程序，显示发作信息或进行系统破坏。 4．破坏性 破坏性也称表现性，它是病毒的目的。以下是可能出现的破坏行为： （1）对磁盘进行未加警告的格式化。 （2）破坏、覆盖、改写磁盘的引导扇区、目录区、文件分配表。 （3）破坏、覆盖、改写硬盘主引导扇区和分区表。 （4）改写、破坏、删除、覆盖、添加文件。 （5）将磁盘上好的扇区(簇)标上“坏”标记，减少磁盘空间。 （6）病毒程序在内存中不断复制，使系统瘫痪。 （7）病毒程序不断复制自己以至于文件越来越长，直至占满整个磁盘空间。 （8）改写COMS数据,使系统配置参数混乱,系统瘫痪。 （9）破坏快闪内存中的BIOS系统。 （10）封锁外部设备，如打印机、通讯工具等。 上面