计算机病毒和反病毒技术专家讲座.pptxVIP

第9章计算机病毒与反病毒技术;导读;;病毒产生

它产生是计算机技术和社会信息化发展到一定阶段必定产物.

1、计算机病毒产生背景

（1）是计算机犯罪新形式：计算机病毒是高技术

犯罪，含有瞬时性、动态性和随机性。不易取

证，风险小破坏大。

（2）计算机软硬件产品脆弱性是根本技术原因。

（3）微机普及应用是计算机病毒产生必要环境。;2、计算机病毒产生原因

搞计算机人员和业余兴趣者恶作剧、寻开心制造出病毒,比如象圆点一类良性病毒。

个他人报复心理。比如1987年底出现在以色列耶路撒冷西伯莱大学犹太人病毒,就是雇员在工作中受挫或被解聘时有意制造。

用于版权保护目标而采取报复性处罚办法。

用于研究或有益目标而设计程序,因为某种原因失去控制或产生了意想不到效果。;9.1.2病毒本质;病毒定义借用了生物学病毒概念,计算机病毒同生物病毒所相同之处是能够侵入计算机系统和网络,危害正常工作“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,含有传染性。

与生物病毒不一样是几乎全部计算机病毒都是人为地有意制造出来,有时一旦扩散出来后连编者自己也无法控制。它已经不是一个简单纯计算机学术问题,而是一个严重社会问题了。;病毒生命周期

（1）隐藏阶段：这个阶段病毒不进行操作，而是等候事件触发。

（2）传输阶段：病毒会把本身一个副本传输到未感染这种病毒程序或磁盘某个扇区中去。

（3）触发阶段：病毒将被激活去执行病毒设计者预先设计好功效。

（4）执行阶段：这一阶段病毒将执行预先设计功效直至执行完成。;病毒生存周期:

1.判断部分

判断是否满足发作条件

2.执行部分

执行恶意代码

3.伪装、复制部分

1)伪装成正常程序，或者隐藏本身。（木马惯用）

2)复制本身代码依附到其它正常程序上（传染），这是传统病毒特征。;病毒特征：

（1）传染性；

传染性是病毒基本特征。计算机病毒会经过各种渠道从已被感染计算机扩散到未被感染计算机，使被感染计算机工作失常甚至瘫痪。

病毒程序普通经过修改磁盘扇区信息或文件内容并把???身嵌入到其中，利用这种方法到达病毒传染和扩散。（被嵌入程序叫做宿主程序）;（2）破坏性

对系统来讲，全部计算机病毒都存在一个共同危害，即占用系统资源，降低计算机系统工作效率。

计算机病毒可能会彻底破坏系统正常运行它能够毁掉系统部分数据，也能够破坏全部数据并使之无法恢复。并非全部病毒都有恶劣破坏作用，有些病毒除了占用磁盘和内存外，没有别危害。但有时几个本没有多大破坏作用病毒交叉感染，也会造成系统瓦解。;（3）潜伏性：

计算机病毒程序进入系统之后普通不会马上发作，能够在几周或者几个月内隐藏在正当文件中，对其它系统进行传染，而不被人发觉。潜伏性越好，它危害就越大

潜伏性第一个表现是指，病毒程序不用专用检测程序是检验不出来。

潜伏性第二种表现是指，计算机病毒内部往往有一个触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。;（4）可执行性

计算机病毒与其它正当程序一样，是一段可执行程序，但它不是一个完整程序，而是寄生在其它可执行程序中。只有在执行时，才含有传染性、破坏性。

未经授权而执行：

病毒经过悄悄地篡夺正当程序系统控制权而得到运行机会。普通正常程序是由用户开启，完成用户交给任务，其目标对用户是可见。而病毒隐藏在正当程序中，当用户开启正当程序时窃取到系统控制权，先于正常程序执行。病毒动作、目标对用户是未知，是未经用户允许。;（5）可触发性：

病毒因某个事件或数值出现，诱使病毒实施感染或进行攻击特征称为可触发性。

病毒触发机制用来控制感染和破坏动作频率。病毒含有预定触发条件，这些条件可能是时间、日期、文件类型或一些特定数据等。

如CIH，触发条件：26日

;（6）隐蔽性：

病毒普通不经过代码分析，极难与正常程序是区分出来。普通在没有防护办法情况下，计算机病毒程序取得系统控制权后，能够在很短时间里传染大量程序。

一是传染隐蔽性，大多数病毒在传染时速度是极快，不易被人发觉。

二是病毒程序存在隐蔽性，普通病毒程序都附在正常程序中或磁盘较隐蔽地方，也有个别以隐含文件形式出现，目标是不让用户发觉它存在。;（7）衍生性：

分析计算机病毒结构可知，传染和破坏部分反应了设计者设计思想和设计目标。不过，这能够被其它掌握原理人进行任意改动，从而又衍生出一个不一样于原版本新计算机病毒（又称为变种），这就是计算机病毒衍生性。这种变种病毒造成后果可能比原版病毒严重得多。;;9.1计算机病毒;