计算机学院网络教研室.pptVIP

2.3 恶意代码 内容安排 病毒和蠕虫 木马和后门 网络钓鱼 间谍软件和广告软件 浏览器劫持 计算机病毒的发展过程 20世纪60年代初，美国贝尔实验室三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中的一方通过复制自身来摆脱对方的控制，这就是所谓“计算机病毒第一个雏形。 20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。 计算机病毒的发展过程 到了20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟（也就是现在的程序员），他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导区。这就是最早在世界上流行的第一个真正的病毒。 1988年至1989年，我国也相继出现了能感染硬盘和软盘引导区的Stoned（石头）病毒，该病毒替代码中有明显的标志“Your Pc is now Stoned！” 20世纪90年代以前病毒的弱点 被感染的文件大小明显增加病毒代码主体没有加密。 访问文件的日期得到更新。 很容易被debug工具跟踪 这些病毒中，稍微有点对抗反病毒手段的只有Yankee Doole病毒，当它发现你用Debug工具跟踪它的时候，它会自动从文件中消失。 网络的病毒 通过IRC进行传播，通过QQ、MSN等即时软件进行传播。 通过U盘、磁盘、光盘等其他磁介质进行传播。 利用系统软件的漏洞进行传播。 利用邮件传播 无线电、短信…… “美丽莎” 介绍 大卫.史密斯，美国新泽西州工程师 在16小时内席卷全球互联网 至少造成10亿美元的损失！ 通过email传播 传播规模（50的n次方，n为传播的次数） 爱虫病毒介绍 菲律宾“AMA”电脑大学计算机系的学生 一个星期内就传遍5大洲 微软、Intel等在内的大型企业网络系统瘫痪 全球经济损失达几十亿美元 爱虫病毒特点 通过电子邮件传播，向地址本中所有用户发带毒邮件 通过聊天通道IRC、VBS、网页传播 能删除计算机内的部分文件 制造大量新的电子邮件，使用户文件泄密、网络负荷剧增。 一年后出现的爱虫变种VBS／LoveLetter．CM它还会在Windows目录下驻留一个染有CIH病毒的文件，并将其激活。 最新病毒特点 据瑞星全球反病毒监测网统计数据显示，新病毒的数量正在逐年递增，并且增长速度越来越快。 2006年被截获的新病毒共有234211个，其中90％以上带有明显的利益特征，有窃取个人资料、各种帐号密码等行为。 病毒两阶段 传统病毒 网络出现前通过软盘，安装软件传播的病毒 文件病毒 宏病毒 脚本病毒 网络病毒 通过网络传播的病毒 木马 蠕虫 浏览器劫持 。。。。。。 传统 计算机病毒的特点 传染性 破坏性 寄生性 隐蔽性 程序性（可执行性） 2.3.1 病毒 传统计算机病毒的三种机制 传播机制 本地感染;网络传播;其他磁介质传播…… 触发机制 日期;时间;击键;启动;特定事件…… 破坏机制 格式化系统；删除文件；消耗内存；干扰输出；扰乱输入；破坏硬件；泄露隐私；安装后门；DDoS网络服务器…… 计算机病毒的分类--按操作系统 DOS病毒 引导区病毒 文件型病毒 混合型病毒 Windows病毒 脚本病毒 宏病毒 PE病毒 网页病毒 文件型病毒 什么是文件型病毒？ 所有通过操作系统的文件系统进行感染的病毒都称作文件病毒 。 分COM型病毒和EXE文件病毒。 EXE文件需要熟悉MZ可执行文件格式 DOS引导区病毒 引导区病毒 所谓引导区病毒是指一类专门感染软盘引导扇区和硬盘主引导扇区的计算机病毒程序。 利用操作系统引导模块放在某一个固定位置，控制以占领位置为依据 病毒有“大麻病毒”、“巴基斯坦病毒”、 DOS执行文件格式-MZ格式 0000h 2 EXE 文件类型标记：4d5ah ‘MZ’ 0002h 2 文件最后一个扇区的字节数 0004h 2 文件的总扇区数 0006h 2 重定位项的个数 0008h 2 EXE 文件头的大小000ah 2 最小分配数 000ch 2 最大分配数 000eh 2 堆栈初始段值(SS) 0010h 1 堆栈初始指针 (SP) 0012h 1 补码校验和 0014h 1 初始代码段指针(IP) 0016h 2 初始代码段段址(CS) 0018h 2 定位表的偏移值 混合型病毒 所谓混合型病毒，就是指既可以感染引导区又可以感染文件的病毒。 Win32 PE病毒 什么是PE病毒？(Portable Executable) PE病毒是指所有感染Windows下PE文件格式文件的病毒。 PE病毒大多数采用Win32汇编编写。 学习PE病毒技术需要掌握的基础知识 Win32汇编 熟悉PE文件结构