传统的计算机病毒-Read.pptVIP

* * 没有入口点的感染 * * OBJ、LIB和源码的感染 病毒感染编译库文件、目标文件和源码，这种方式少且没有广泛流传。这些该感染的OBJ、LIB合并代码到一个对象模块或对象库。因此，感染文件不是可执行文件，不会马上传播。其COM和EXE文件通过对已感染的OBJ/LIB连接而成，则该文件已感染。因此，该病毒传播有两个阶段：OBJ/LIB先感染；然后合成不同的病毒体。 如SrcVir病毒和Urphin病毒。 * * 计算机病毒的触发机制 日期和时间触发:特定日期触发、月份触发、前半年/后半年触发. 键盘触发:击键次数触发、组合键触发和热启动触发 感染触发:感染文件个数触发、感染序数触发、感染磁盘数触发和感染失败触发 启动触发 磁盘访问触发和中断访问触发 其它触发:OS型号、IP地址、语言、地区、特定漏洞 * * 计算机病毒的触发机制 感染失败触发-Worm.Sasser: * * 计算机病毒的破坏机制 攻击系统数据区：硬盘主引导扇区、Boot扇区、FAT表和文件目录 攻击文件和硬盘：删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间变空白、变碎片、假冒文件、丢失文件簇、攻击数据文件。 攻击内存：占用大量内存、改变内存总量、禁止分配内存、蚕食内存 * * 计算机病毒的破坏机制 干扰系统的运行：不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口/上网速度慢。 扰乱输出设备：字符跌落、环绕、倒置、显示前一屏幕、光标下跌、滚屏幕、抖动、乱写、吃字符，演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声和嘀嗒声，假报警、间断性打印和更换字符 扰乱键盘：响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱。 * * 计算机病毒的传播机制 移动存储 全球网络访问 Email 会议/文件服务器/FTP/BBS 局域网 盗版软件 共享的个人计算机 修理服务 * * 计算机病毒的防治 （1）检查外来文件 （2）局域网预防 （3）购买正版软件 （4）小心运行可执行文件 （5）使用确认和数据完整性工具 （6）周期性备份工作文件 （7）留心计算机出现的异常 （8）建立健全的网络系统安全管理制度 （9）及时升级防病毒软件 （10）及时升级系统补丁 * * 计算机病毒的对抗技术 特征值检测技术 校验和检测技术 行为监测技术 启发式扫描技术 虚拟机技术 * * 演示 DOS virus Macro virus * * 宏病毒 所谓宏，就是指一段类似于批处理命令的多行代码的集合。在Word中可以通过ALT+F8查看存在的宏，通过ALT+F11调用宏编辑窗口。 宏病毒是，利用宏语言的功能将自己复制并且繁殖到其他数据文档里。 寄生（doc/dot） 传染(import/export:addfromFile/addfromstring) 自动执行（Auto_XX） * * 宏病毒--自动执行 * * 宏病毒--传染 获取病毒样本 Application.VBE.ActiveVBProject.VBComponents(VirusName).Export ExportSource 感染模板-dot Set Tmp = NormalTemplate.VBProject.VBComponents Tmp.Import ExportSource 感染文档-doc Set Doc = ActiveDocument.VBProject.VBComponents Doc.Import ExportSource * * 宏病毒防范 【工具】菜单中的【宏】-〉【安全性】 * * 宏病毒防范 保护Normal模板 ：【工具】菜单中的【选项】 * * 宏病毒防范 通过DisableAutoMacros宏指令来禁止使用自动宏 Sub autoexec() WordBasic.DisableAutoMacros True End Sub * * PE 病毒 PE ? 演示Peview PE virus * * PE 病毒 病毒的重定位 call delta ;执行后，堆栈顶端为delta在内存中的真正地址 delta: pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中 获取API函数地址 Kernal32.dllLoadlibrary/GetProcAddr * * PE 病毒 关于文件搜索 FindFirstFile FindNextFile FindClose 内存映射文件 * * PE 病毒 病毒如何感染其他文件 1、增加一个节表项(描述病毒节) ； 2、增加一个新节（病毒