计算机病毒学习课件.pptVIP

3. 按连接方式分类 源码型病毒：较少见，也难以编写。因为他要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译。连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。 入侵型病毒：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强，一般难以发现，清除也较困难。 操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。由于其直接感染操作系统，这类病毒的危害性也较大。（小球，大麻） 外壳型病毒：将自身依附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部分文件型病毒属于此类 1.5 计算机病毒的分类 * 4．按病毒特有的算法分类 1）伴随型病毒：这类病毒不改变文件本身，他根据算法产生EXE文件的伴随体，具有同样的名字和不同扩展名（COM）。 2）蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其他机器的内存，计算网络地址，将自身的病毒通过网络发送。他们在系统中存在，一般除了占用内存以外不会占用其他资源。 3）寄生型病毒：除了伴随和蠕虫，其他的都可以成为寄生型病毒，他们依附在系统的引导区或文件，通过系统的功能进行传播 4）练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒处于调试阶段 5）变形病毒：这病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容与长度。 1.5 计算机病毒的分类 * 1. 不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片（ASIC）进行传播。 这种计算机病毒虽然极少， 但破坏力却极强， 目前尚没有较好的检测手段对付它。 2. 移动存储设备：光盘、移动硬盘等。 3. 网络：电子邮件、BBS、WWW浏览、FTP文件下 载、新闻组。 4. 通过点对点通信系统和无线通信系统传播 1.6 计算机病毒的传播途径 * 1.7 病毒的发生机制 （1）传染源：存储介质, 例如软盘、 硬盘等构成传染源。  （2）传染媒介：计算机网, 移动的存储介质或硬件。 （3）病毒激活：是指将病毒装入内存, 并设置触发条件。 （4）病毒触发：内部时钟, 系统的日期, 用户标识符，也可能是系统一次通信等等。一旦触发条件成熟, 病毒就开始作用－－自我复制到传染对象中, 进行各种破坏活动等。 （5）病毒表现：屏幕显示，破坏数据等 （6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。 * 宏是嵌入在字处理文档或其他类型文件中的一段用宏语言编写的可执行程序，用户使用宏可以完成一些重复性的工作。例如，用户可以通过宏定义一个击键序列，然后就可以通过敲击功能键或特定的组合键来启动该宏，以减少在键盘上的直接操作。 据美国国家计算机安全协会统计，宏病毒大约占整个病毒的三分之一。宏病毒所以如此猖獗，主要原因有下列一些： 2.1 宏病毒 * （1）宏病毒感染的是文档而不是代码的可执行部分 宏病毒的存在和执行，依赖于系统是否具有强大的宏语言环境。Word从6.0开始，Excel从4.0开始，数据文件中就包含了宏语言功能。而计算机中具有大量这样的文档文件，并且人们使用极为普遍的电子邮件往往是以文档的形式进行传输。这就为宏病毒的传播提高了方便途径。 （2）宏病毒与平台无关 应用极为普遍的Word和Excel是宏病毒的主要载体，所有支持Word和Excel的硬件平台和操作系统都会感染宏病毒。 （3）宏病毒可以自动运行 宏病毒中有一种自动执行宏，它不需要用户启动，只要出现相应的执行事件，就可以自动运行。 2.1 宏病毒 * 宏病毒的基本传播过程 （1）将宏病毒依附与一个Word文档； （2）通过电子邮件或移动存储设备，把该文档输入到一个系统； （3）一个被染毒的.doc文件被打开后，会通过Auto类宏来激活病毒，接着感染模板文件，得到系统的“永久”控制权。 （4）宏把自身拷贝到宏文件中； （5）下一次启动Word时，将激活全局宏，并在该宏执行时会进行自我复制并破坏系统。 2.1 宏病毒 * 一 蠕虫的定义与特征 1982年，Xerox PARC的John F.Shoch等人为了进行分布式计算的模型实验，编写了称为蠕虫的程序。但是他们没有想到，这种“可以自我复制”，并可以“从一台计算机移动到另一台计算机”的程序，后来不断给计算机界带来灾难。1988年被Robert Morris释放的Morris蠕虫，在Internet上爆发，在几个小时之内迅速感染了所能找到的、存在漏洞的计算机。 人们通常也将蠕虫称为蠕虫病毒。但是严