计算机病毒和防护专家讲座.pptxVIP

1计算机病毒概述;2计算机病毒特征;●隐蔽性

计算机病毒隐蔽性表现在两个方面，一是结果隐蔽性，大多数病毒在进行传染时速度极快，普通不只有外部表现，不易被人发觉，二是病毒程序存在隐蔽性，普通病毒程序都夹在正常程序中，极难被发觉，而一旦病毒发作出来，往往已经给计算机系统造成了不一样程序破坏。

●寄生性

病毒程序嵌入到宿主程序之中，依赖于宿主程序执行而生存。这就是计算机病毒寄生性，病毒程序在侵入到宿主程序中后，普通对宿主程序进行一定修改，宿主程序一旦执行，病毒程序就被激活，从而能够进行自我复制和繁衍。;●潜伏性

计算机病毒侵入系统后，普通不马上发作，而是含有一定潜伏期，病毒不一样其潜伏期长短就不一样，有潜伏期为几个星期，又有潜伏期为几年，在潜伏期中病毒程序只要在可能条件下就会不停地进行自我复制繁衍和结果，一旦条件成熟，病毒就开始发作，发作条件随病毒不一样而不一样，这一条件是计算机病毒设计人员所设计，病毒程序在运行时，每次都要检测发作条件。;3计算机病毒存在方式;4计算机病毒存放方式;4.1内存驻留方式

病毒在内存中驻留关键是选择存放空间，因而有以下几个内存驻留方式：

●降低DOS系统可分配空间

●利用系统间隙

●利用功效调用驻能

●利用系统程序使用空间;4.2磁盘存放方式

要防治计算机病毒，就必须了解病毒在磁盘上可能存放方式，普通情况下，计算机病毒存放在磁盘中前提条件是病毒能够被系统复制载入内存，而且在条件成熟时，可取得对系统控制权，当前较为流行方式有文件驻入式和直接存取两种。

●文件驻入式

●直接存取扇区;5计算机病毒传染原理;如系统绕带有病毒在执行过程中，首先读入是病毒程序代码：

（1）将BOOT区中病毒代码（或部分）读入内存0000：7C00处；

（2）病毒将本身完整化，并将本身完整病毒程序举向内存xxxx：xxxx地址，如：小球病毒将本身举向内存97C0:7C00处；

（3）修改中止向量INT13H向量入口，使之指向病毒控制摸块从而病毒程序得到控制权；

（4）读入正常BOOT区内容列内存0000：7C00处???行正常开启过程；

（5）此时病毒取得控制权并监视系统运行。;如在运行中，有受攻击对象，病毒进行以下操作：

（1）读入目标逻辑第0扇区（对于软盘）；

（2）判断是否传染；

（3）假如满足传染条件，则将病毒全部或部分写入Boot区将病毒部分代码及正常Boot引导程序或者仅正常Boot引导程序写入磁盘特定位置；

（4）对于这一特定存放空间，或以坏簇标志FF7、或不标；

（5）返回病毒程序、由病毒程序引入正常INT13H中止程序，此时这段病毒程序已完成了对目标盘传染过程，目标盘中就含有了这种病毒一个本身复制品，上面1,2两个步骤完成了这种病毒“繁殖”过程，已经驻入内存中病毒依然监视系统运行。;针对可执行文件传染病毒，其传染原理与对Boot区传染病毒原理一样，只是病毒是在被传染文件执行病毒驻入内存，其驻入内存过程以下（有一受染文件HZG.com并设其病毒x与其首链接）

（1）运行HZG.com；

（2）系统对这一文件进行读操作；

（3）因为病毒在文件首部，因而可直接执行病毒程序X；

（4）X读入内存并完成本身完整化；

（5）取得中止向量并使之转向病毒程序；

（6）病毒取得对系统控制权，并监视系统运行；

（7）读入正常HZG.COM文件并使之取得控制权；;此时，病毒X驻入系统内存，开始监视系统运行、当它发觉被传染目标时，做以下工作：

（1）读入HZG.COM前特定地址信息（标识位）进行判断；

（2）满足条件，则利用中止INT13H（磁盘读/写）将病毒与HZG.COM文件链接，并存入目标中；

（3）定成传染，继续监视系统运行。

对病毒与文件尾部连接情况而言，则病毒正传染过程中在正常目标前头设置一条或几条JMP指令，使程序开始运行，即指向病毒程序，使其正常文件运行前首先运行了病毒程序，其传染与其上类似。;5.2计算机病毒传染方式;6计算机病毒起源渠道主要从以下5个方面;●公开软件

不论是完全公开软件，或是半开放公享软件，都是允许人们随便拷贝，跟盗版软件一样，人们根本无法确认该公开软件是否有病毒寄生，但因为是正当行为，故其带病毒机率不如盗版软件高。

●电子公告栏

在使用电子公告栏（BBS）时要注意，因为任何人都可随便地从公告上拦载或录下文件，所以根本无法确保录下来程序是否有病毒寄生。;●通讯与网络

与电子公告栏相同，我们无法确保传来程序，或远程请求程序有没有病毒寄生或感染。

●正版软件

有些软件企业，为了防止被盗版使