网络安全--计算机病毒(PPT 45页).ppt

计算机病毒的特征 - 3 隐蔽性 一般是具有很高编程技巧、短小灵活的程序，通常依附在正常程序或磁盘中较隐蔽的地方，也有的以隐含文件夹形式出现，用户很难发现。如果不经过代码分析，是很难将病毒程序与正常程序区分开的。正是这种特性才使得病毒在发现之前已进行了广泛的传播，造成了破坏 潜伏性 大部分计算机系统感染病毒后，病毒不会马上发作，可在几天、几周、几个月甚至几年地隐藏起来，而不被发现。只有在满足某种特定条件时才会发作。如著名的“黑色星期五”和“CIH”病毒 * 计算机病毒的特征 - 4 不可预见性 计算机病毒的制作技术不断提高，种类也不断翻新。相比之下，防病毒技术落后病毒制作技术。新型操作系统、新型软件工具的应用，也为病毒编制者提供了方便。因此，对未来病毒的类型、特点及破坏性等均很难预测 衍生性 计算机病毒程序可被他人模仿或修改，经过恶做剧者或恶意攻击者的改写，就可能成为原病毒的变种。 针对性 很多计算机病毒并非任何环境下都可起作用，而是有一定的运行环境要求，只有在软、硬件条件满足要求时才能发作。 * 计算机病毒的分类 - 1 按破坏程度的强弱不同 良性病毒和恶性病毒； 按传染方式的不同 文件型病毒、引导型病毒和混合型病毒 按连接方式的不同 源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒 * 计算机病毒的分类 - 2 良性病毒 只是为了表现自身，并不彻底破坏系统和数据，但会占用大量CPU时间，增加系统开销，降低系统工作效率的一类计算机病毒 该类病毒多为恶作剧者的产物 恶性病毒 一旦发作，就会破坏系统或数据，造成计算机系统瘫痪的一类计算机病毒 该类病毒危害极大，有些病毒发作后可能给用户造成不可挽回的损失 如“黑色星期五” 、木马、蠕虫病毒等 * 计算机病毒的分类 - 3 文件型病毒 一般只传染磁盘上的可执行文件（如.com，.exe）。在用户运行染毒的可执行文件时，病毒首先被执行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。这类病毒的特点是附着于正常程序文件中，成为程序文件的一个外壳或部件。当该病毒完成了它的工作后，其正常程序才被运行，使人看起来仿佛一切都很正常 引导扇区型病毒 潜伏在软盘或硬盘的引导扇区或主引导记录中。如果计算机从被感染的软盘引导，病毒就会感染到引导硬盘，并把自己的代码调入内存。病毒可驻留在内存并感染被访问的软盘。触发引导扇区型病毒的典型事件是系统日期和时间 混合型病毒 兼有以上两种病毒的特点，既传染引导区，又传染文件，因此扩大了这种病毒的传染途径。当染有该类病毒的磁盘用于引导系统或调用执行染毒文件时，病毒都会被激活 * 计算机病毒的分类 - 4 源码型病毒 较为少见，亦难以编写。它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件，这样刚刚生成的可执行文件便已经带毒了。 嵌入型病毒 可用自身代替正常程序中的部分模块，因此，它只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难 操作系统型病毒 可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，因此病毒的危害性也较大，可能导致整个系统瘫痪 外壳型病毒 将自身附着在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类 * 计算机病毒的传播 网络 带有病毒的文件、邮件被下载或接收后被打开或运行，病毒就会扩散到系统中相关的计算机上 可移动的存储设备 如软盘、磁带、光盘、优盘等 通信系统 通过点对点通信系统和无线通信信道也可传播计算机病毒。如手机病毒 * 计算机病毒的危害 攻击系统数据区 包括硬盘主引导扇区、boot扇区、FAT表、文件目录等数据区 攻击文件 方式很多，如删除、改名、替换内容、丢失簇和对文件加密等 抢占系统资源 大多数病毒在动态下都常驻内存，这就要抢占部分系统资源 占用磁盘空间和对信息的破坏 干扰系统运行，使运行速度下降 如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串/并接口等 攻击和破坏网络系统 * 病毒的检查方法 比较法 比较被检测对象与原始备份 扫描法 利用病毒特征代码串 特征字识别法 病毒体内特定位置的特征 分析法和检验和法 运用反汇编技术对被检测对象进行分析和检验 * 比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 该方法可能发现异常，如文件长度的变化，或程序代码的变化等。 优点：简单，方便，不需专用软件 缺点：无法确定病毒类型 * 扫描法 扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描 扫描程序由两部分组成 病毒代码库 对该代码进行扫描的程序 病毒扫描程序可识别的病毒数目取决于病毒代码库中所含病毒的种类 * 特征字识别法