- 1、本文档共53页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第7章 计算机病毒 本章要点: 计算机病毒概述 计算机病毒的分类 计算机病毒的工作原理 反病毒技术 常见计算机病毒介绍 常用杀毒软件 7.1 计算机病毒概述 计算机病毒的危害 破坏磁盘文件分配表 删除软盘或磁盘上的可执行文件或数据文件,使文件丢失 修改或破坏文件中的数据 产生垃圾文件,占据磁盘空间,使磁盘空间逐渐减少 破坏硬盘的主引导扇区,使计算机无法启动 对整个磁盘或磁盘的特定扇区进行格式化,使磁盘中的全部或部分信息丢失 破坏计算机主板上的BIOS内容,使计算机无法正常工作 破坏网络中的资源 占用CPU运行时间,使运行效率降低 破坏屏幕正常显示,干扰用户的操作 破坏键盘的输入程序,使用户的正常输入出现错误 破坏系统设置或对系统信息加密,使用户系统工作紊乱 计算机病毒的特征 传染性 潜伏性 破坏性 隐蔽性 触发性 衍生性 寄生性 持久性 按照病毒的传染途径进行分类,可划分为引导型病毒、文件型病毒和混合型病毒: 引导型病毒 文件型病毒 混合型病毒 按照病毒的传播媒介分类: 单机病毒 网络病毒 按照病毒的表现性质分类: 良性病毒 恶性病毒 按照病毒破坏的能力分类: 无害型病毒 无危险型病毒 危险型病毒 非常危险型病毒 按照病毒的攻击对象分类: 攻击DOS的病毒 攻击 Windows的病毒 攻击网络的病毒 计算机病毒的结构: 引导部分 传染部分 表现部分 引导型病毒的工作原理: 加载过程 传染过程 破坏过程 文件型病毒的工作原理: 加载过程 传染过程 发作过程 7.4 反病毒技术 反病毒技术的发展 第一代反病毒技术是采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉。 第二代反病毒技术是采用静态广谱特征扫描方法检测病毒表现部分。 第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一 。 第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理。 7.4 反病毒技术 从杀毒技术上来讲,当前,最流行的杀毒软件都是一个扫描器,扫描的算法有多种,通常为了使杀毒软件功能更强大,会结合使用好几种扫描方法。 简单特征码 80年代末期,基于个人电脑病毒的诞生,随即就有了清除病毒的工具──反病毒软件。这一时期,病毒所使用的技术还比较简单,从而检测相对容易,最广泛使用的就是特征码匹配的方法。 特征码是什么呢?比如说,“如果在第1034字节处是下面的内容:0xec , 0x99, 0x80,0x99,就表示是大麻病毒。”这就是特征码,一串表明病毒自身特征的十六进制的字串。特征码一般都选得很长,有时可达数十字节,一般也会选取多个,以保证正确判断。杀毒软件通过利用特征串,可以非常容易的查出病毒。 7.4 反病毒技术 广谱特征 为了躲避杀毒软件的查杀,电脑病毒开始进化。病毒为了躲避杀毒软件的查杀,逐渐演变为变形的形式,每感染一次,就对自身变一次形,通过对自身的变形来躲避查杀。这样一来,同一种病毒的变种病毒大量增加,甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连续字节是相同的。 为了对付这种情况,首先特征码的获取不可能再是简单的取出一段代码来,而是分段的,中间可以包含任意的内容(也就是增加了一些不参加比较的“掩码字节”,在出现“掩码字节”的地方,出现什么内容都不参加比较)。这就是曾经提出的广谱特征码的概念。这个技术在一段时间内,对于处理某些变形的病毒提供了一种方法,但是也使误报率大大增加,所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀,并且还可能把正规程序当作病毒误报给用户. 7.4 反病毒技术 启发式扫描 为了对付病毒的不断变化和对未知病毒的研究,启发式扫描方式出现了。启发式扫描是通过分析指令出现的顺序,或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的,通常的行为都会有一定的特征,例如非常规读写文件,终结自身,非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。这种启发式扫描比起静态的特征码扫描要先进的多,可以达到一定的未知病毒处理能力,但还是会有不准确的时候。特别是因为无法确定一定是病毒,而不可能做未知病毒杀毒。 7.4 反病毒技术 行为判定 针对变形病毒、未知病毒等复杂的病毒情况,极少数杀毒软件采用了虚拟机技术,达到了对未知病毒良好的查杀效果。它实际上是一种可控的,由软件模拟出来的程序虚拟运行环境,就像我们看的电影《黑客帝国》一样。在这一环境中虚拟执行的程序,就像生活在母体(Ma
文档评论(0)