计算机病毒与防范（讲义）.ppt

第15章计算机病毒与防范;15.1计算机病毒简介;恶意代码的分类;;15.1.3计算机病毒的开展史

DOS时代

Windows时代

3.Internet时代

由于网络的快速和便捷，网络病毒的传播是以几何级数进

行的，其危害比以前的任何一种病毒都要大。

现在，计算机病毒有一个新的开展趋势。利用漏洞进行破坏性攻击的病毒已经逐渐不再唱主角了，电脑用户平安的最大威胁已经让位于以经济利益为目的，以欺骗用户为手段，严重干扰人们日常工作、数据平安和个人隐私的各类间谍、木马、钓鱼软件。有报告显示，这类软件的危害已经超越传统病毒，成为互联网平安最大的威胁。;15.1.4计算机病毒的分类

1.系统引导病毒

系统引导病毒又称引导区型病毒。直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的主引导记录(也称为主引导扇区)。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。;2.文件型病毒

文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等的文件。每一次它们激活时，被感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，直到病毒又被激活。

;3.复合型病毒

复合型病毒有引导区型病毒和文件型病毒两者的特征。

4.宏病毒

宏病毒一般是指存放在MicrosoftOffice文档上的病毒宏代码。它影响对文档的各种操作，如翻开、存储、关闭或去除等。当翻开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。;5.网络病毒

网络病毒大体上可分为两类：一类是局域网上的病毒；另一类就是随着互联网的兴起产生的新的网络病毒。这类新的病毒又可以根据提供的效劳来细分。

互联网提供了众多的效劳，如WWW效劳、电子邮件效劳、文件传输效劳等。病毒可以利用这些效劳来传播，因而可以把网络病毒分为邮件病毒、网页病毒、FTP病毒等。其中，邮件病毒在网络病毒中占绝大多数。;15.1.5计算机病毒的特点

计算机病毒一般具有以下八个特点：

破坏性、隐蔽性、

潜伏性、传染性、

未经授权而执行、

依附性、针对性、

不可预见性。;15.2.1计算机病毒的结构

计算机病毒在结构上有着共同性，一般由引导局部、传染局部、表现局部三局部组成。

1.引导局部：也就是病毒的初始化局部，它随着宿主程序的执行而进入内存，为传染局部做准备。

2.传染局部：作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows95/98操作系统。

3.表现局部：这是病毒间差异最大的局部，前两局部是为这局部效劳的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大局部病毒都是在一定条件下才会触发其表现局部的。;15.2.2引导区型病毒的工作机理

在病毒的分类中已经提到过，引导区型病毒感染的是硬盘的主引导区或软盘的引导扇区，它是BIOS从磁盘调入内存的第一个程序。这样的话，病毒就常驻内存，一旦满足条件(调用了被病毒修改后的某个中断效劳程序)，病毒就会兴风作浪。病毒感染软盘引导扇区的隐蔽性比硬盘差得多。

因为软盘和硬盘不同，它没有隐含的扇区，所以病毒要么把正常的引导扇区内容放到软盘的最后一个扇区，要么放到根目录区，所以当用户显示软盘目录时就会得到乱七八糟的文件名，引起用户的警觉。有的病毒干脆就不保存正常的引导程序，这样用这种软盘启动时就不能正常引导系统，这也很快会被用户发现。;15.2.3文件型病毒的工作机理

文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中，并等待程序运行。病毒会驻留在内存中，企图感染其它文件。同引导扇区病毒不同，文件型病毒把自己附着或追加在EXE和COM这样的可执行文件上。根据附着类型不同可分为三种文件病毒：覆盖型、前后附加型和伴随型文件病毒。;1.覆盖型病毒

简单地把自己覆盖到原始文件代码上，显然这会完全摧毁该文件，所以这种病毒比较容易被发现。当用户运行该文件时，病毒代码就会得到运行，而原始文件那么不能正常运行。现在有些新型病毒可以覆盖那些不影响宿主程序运行的那局部代码，人们也就不容易发现这种病毒。覆盖病毒的优势就是不改变文件长度，使原始文件看起来正常，但杀毒程序还是可以检测到这种病毒代码的存在。

2.前后附加型病毒

前附加型病毒把自己附加在文件的开始局部，后附加型正好相反。这种病毒会增加文件的长度。也就容易被检测和发现，并被去除。;3.伴随型文件病毒