信息安全,原理,陈天洲第十五章计算机病毒.pptVIP

病毒的表现形式、危害及传染途径 病毒的危害主要表现在于病毒发作后，硬盘数据全部丢失，甚至主板上的BIOS中的原内容被会彻底破坏，主机无法启动。只有更换BIOS，或是向固定在主板上的BIOS中重新写入原来版本的程序，才能解决问题。 该病毒是通过文件进行传播。计算机开机以后，如果运行了带病毒的文件，其病毒就驻留在Windows的系统内存里了。此后，只要运行了PE格式的.EXE文件，这些文件就会感染上该病毒。 病毒的运行机制 CIH没有改变宿主文件的大小，而是采用了一种新的文件感染机制即碎洞攻击（fragmented cavity attack），将病毒化整为零，拆分成若干块，插入宿主文件中去； 最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性，向计算机主板的BIOS端口写入乱码，开创了病毒直接进攻计算机主板芯片的先例。 病毒的运行机制 CIH病毒的驻留（初始化） 病毒的感染 1、文件的截获 2、EXE文件的判断 3、PE格式.EXE判别 4．病毒首块的寄生计算 5．病毒其余块的寄生计算 6．写入病毒 病毒的运行机制 病毒的发作 1．病毒发作条件判断 2．病毒的破坏 ①通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块（boot block）内各写入一个字节的乱码，造成主机无法启动。 ②覆盖硬盘,通过调用Vxd call IOS_SendCommand直接对硬盘进行存取，将垃圾代码以2048个扇区为单位，从硬盘主引导区开始依次循环写入硬盘，直到所有硬盘（含逻辑盘）的数据均被破坏为止。 计算机病毒 病毒概述 计算机病毒概述 计算机病毒的表现 病毒的起源与发展 病毒产生的背景 病毒发展 病毒分类 病毒分析 病毒特征 病毒程序结构及机制 病毒特征 传染性 传染性是病毒的基本特征。在生物界，通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。 同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。 正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。 病毒特征 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。 通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。 潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。 病毒特征 破坏性 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。 不可预见性 从对病毒的检测方面来看，病毒还有不可预见性。 不同种类的病毒，它们的代码千差万别，但有些操作是 共有的（如驻内存，改中断）。 病毒特征 寄生性 指病毒对其他文件或系统进行一系列非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程。这是病毒的最基本特征。 触发性 指病毒的发作一般都有一个激发条件，即一个条件控制。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等等。 病毒程序结构及机制 计算机病毒程序是为了特殊目的而编制的，它通过修改其他程序而把自己复制进去，并且传染该程序。 一般来说，计算机病毒程序包括三个功能模块： 引导模块 传染模块 破坏模块 这些模块功能独立，同时又相互关联，构成病毒程序的整体。 引导模块和引导机制 引导模块的功能是借助宿主程序，将病毒程序从外存引进内存，以便使传染模块和破坏模块进入活动状态。 引导模块还可以将分别存放的病毒程序链接在一起，重新进行装配，形成新的病毒程序，破坏计算机系统。 引导模块和引导机制 计算机病毒的寄生对象 一种寄生在磁盘引导扇区； 另一种是寄生在可执行文件（.EXE或.COM）中。 这是由于不论是磁盘引导扇区还是可执行文件，它们都有获取执行权的可能 引导模块和引导机制 计算机病毒的寄生方式 替代法：病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。 链接法：病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，病毒链接的位置可能在正常程序的首部、尾部或中间。 寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在可执行文件中的病毒一般采用链接法。 引导模块和引导机制 计算机病毒的引导过程 计算机病毒的引导过程一