计算机病毒基本知识.pptVIP

计算机安全 内容 计算机病毒的定义 计算机病毒存在的原因 计算机病毒的历史 计算机病毒的生命周期 计算机病毒的特性 计算机病毒的传播途径 计算机病毒的分类 理论上预防计算机病毒的方法 计算机病毒结构的基本模式 计算机病毒变体 案例分析 计算机病毒的定义 计算机病毒概念的提出 最初对计算机病毒理论的构思可追溯到科幻小说。在20世纪70年代，托马斯·J·瑞恩(Thomas J. Ryan)的科幻小说《P-1的春天》(The Adolescence of P-1) 一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，他借用生物学中的“病毒”一词，称之为“计算机病毒”。计算机病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来的。 病毒的定义： 1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，其中第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。此定义具有法律权威性。 携带有计算机病毒的计算机程序被称为计算机病毒载体或被感染程序。 是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。而计算机病毒的再生机制， 即它的传染机制却是使计算机病毒代码强行传染到一切可传染的程序之上，迅速地在一台计算机内，甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机，本身既是一个受害者，又是一个新的计算机病毒传染源。 广义的计算机病毒 特洛伊木马 一种潜伏执行非授权功能的技术，它在正常程序中存放秘密指令，使计算机在仍能完成原先指定任务的情况下，执行非授权功能。特洛伊木马的关键是采用潜伏机制来执行非授权的功能。特洛伊木马通常又称为黑客程序。 蠕虫 一个程序或程序序列，通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒的危害日益显著，“爱虫”（ILOVEYOU，又称情书计算机病毒）就是影响极大的一例。 病毒与蠕虫的差异 计算机病毒存在的原因 计算机系统的脆弱性是产生计算机病毒的客观因素。 Herschberg和Paans指出：可以断定计算机病毒将长期存在。 I. S. Herschberg and R. Paans, The programmer’s threat: cases and causes’, in J. H. Finch and E. G. Dougall (eds), Computer Security: A Global Challenge (Elsevier, North?Holland, 1984), pp. 409?23. 这可以追溯到冯·诺依曼关于自我复制机器的论点。1949年，计算机之父冯·诺依曼在《复杂自动机组织论》中定义了计算机病毒的概念——即一种“能够实际复制自身的自动机”，他指出：一部事实上足够复杂的机器能够复制自身。这一开拓性论点发表后的三十年里，引起了激烈的争论，反对者认为机器不能复制自身。 冯·诺依曼指出，一部足够复杂的机器具有复制其自身的能力。此处所说的“机器”不仅包含硬件，而是包含硬件和软件的特殊组合，也即现在所谓的系统。 争论持续了多年，最终证明冯·诺依曼是正确的。现在，用一部复杂的机器(包含硬件和软件的组合)去复制其自身是很简单的。硬件被固定，问题被归结为一件很简单的事：编写一个程序去复制其自身。 假如有人能成功地编写一个程序，它有能力复制首先被启动的程序，从而复制出其自身。这也是病毒的属性。这一属性的要求是一件非常明显而原始的事：启动原始程序，由于其自身的递归应用，原始程序拷贝其自身到任一其他程序中，其受害者也具有再去感染其他程序的能力。原始程序就可以在它可以运行的系统中，进行传播。 冯·诺依曼体系与病毒的存在 Ghannam指出：病毒利用了冯·诺依曼计算机结构体系。这种体系被应用于几乎所有的办公计算机系统中。这种体系把存储的软件当作数据处理，可以动态地进行修改，以满足变化多端的需求。操作系统和应用程序都被如此看待。病毒利用了系统中可执行程序可被修改的属性、去达到病毒自身的不同于系统或用户的特殊目的。 信息共享与病毒传播 如果说冯·诺依曼体系提供了病毒存在的可能，那么信息共享则使病毒的存在成为现实。 计算机安全专家已从理论上证实：如果没有信息共享，病毒是不可能传播。 信息共享使病毒程序和正常程序具有共用的部分，从而两者互相接触，有了由此到彼的桥梁。因此，信息共