第二讲 计算机病毒的病理分析.pptVIP

第 二 讲 计算机病毒的病理分析 课程目标 掌握病毒的作用机制 掌握系统引导型病毒的特点 掌握文件型病毒的特点 掌握复合型病毒的特点 掌握全隐蔽型文件病毒的特点 掌握病毒的一般检测与清除方法 计算机病毒的作用机制 一、引导机制 引导模块的作用: 负责将病毒程序引入内存 保护内存中的病毒程序 设置激活方式,取得运行权 二、传染机制 1、病毒传染的含义 2、载体（网络、系统、磁盘和文件） 3、病毒在不同载体上的传染机制 网络或系统上的传染利用网络间的通信或数据共享实现。 存储介质或文件间的传染一般利用内存为媒介。（带毒磁盘、文件——进入内存——感染无毒磁盘或文件） 4、主动传染 含义：利用病毒自身的传染机制实现的传染。 实现方式： 利用操作系统 的加载机制或引导机制病毒体进入内存。 利用操作系统的读写磁盘中断（存储机制）或加载机制 病毒感染无毒介质或文件。（病毒监视系统操作—判断传染条件—实施传染） 5、被动传染 含义：用户在拷贝磁盘或数据时，把病毒由一个载体复制到另一载体或通过网络将病毒由一方传递到另一方的方式。 总结：利用存储介质的病毒传染是以操作系统的加载机制和存储机制为基础的，没有文件的存取，介质上的病毒就不会进入内存；而没有加载的运行，也就不会有文件的存取。 6、病毒的传染通常采用替代法、链接法和独立存在法。 替代法：病毒将自身的部分或全部代码替换传染对象的部分或全部内容。 链接法：病毒将自身的代码作为传染对象的一部分与传染对象链接在一起。 独立存在法：病毒将自身作为一个独立的程序体复制到传染对象中。 三、破坏机制 1、表现/破坏模块的激活方式 修改某一中断向量（INT 13H、INT 21H、INT 8H 等）入口地址，使该中断向量指向病毒程序的破坏模块。 2、表现/破坏模块实施破坏的条件 访问修该过的中断向量时立即实施破坏。 访问修该过的中断向量时不立即实施破坏， 先判断条件是否满足（如时间、时钟或某些特 定条件） 系统引导型病毒分析 1、系统引导型病毒的引导过程 2、系统引导型病毒的传染对象及方式 传染对象：磁盘的主引导扇区及DOS分区的引导扇区。 传染方式：感染软盘—被动感染其他计算机系统—动态感染其他计算机硬盘及系统。 文件型病毒分析 1、文件型病毒的引导过程 2、文件型病毒的传染方式 复合型病毒分析 复合型病毒的特点 具有文件型病毒和引导型病毒的双重特点。 依附于可执行文件，并以之为载体传播。 带毒文件被执行，主动感染硬盘的主引导扇区。（一般不感染软盘） 此后，主要感染可执行文件。 全隐蔽型文件病毒分析 1、全隐蔽型文件病毒的特点 具有文件型病毒的一般特点 一般将病毒程序隐藏在磁盘的尾簇。而不是链接在被感染文件里面。 一般不改变感染文件的长度及建立日期。 不修改系统任何中断向量。 不修改系统可分配的内存空间，一般驻留在用户可用内存的低端。 2、全隐蔽型文件病毒的危害 3、全隐蔽型文件病毒的传播 运行带毒文件，病毒驻留内存。 立即感染系统盘所有.exe和.com文件。 只要读写磁盘对象，立即感染对象下的所有命令文件。 宏病毒的机制和消除方法 1、宏的含义 2、宏病毒的特点 3、常见的宏病毒 4、宏病毒的清除 计算机病毒的免疫、检测及消除 1、病毒免疫的含义及特点。 2、病毒的一般检测方法。 3、病毒的一般消除方法。 * * 自强不息 厚德载物 自强不息 厚德载物