计算机病毒与流氓软件讲课文档.ppt

计算机病毒与流氓软件;优选计算机病毒与流氓软件;第3页，共49页。;10.1计算机病毒

1.计算机病毒的定义

计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，属于黑色软件。

合法软件：指为方便用户使用计算机工作、娱乐而开发的一类软件，属于白色软件。

流氓软件（恶意软件）：在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。属于灰色软件。

;;4．计算机病毒的危害

攻击内存：内存是计算机病毒最主要的攻击目标。计算机病毒在发作时额外地占用和消耗系统的内存资源，导致系统资源匮乏，进而引起死机。病毒攻击内存的方式主要有占用大量内存、改变内存总量、禁止分配内存和消耗内存。

攻击文件：文件也是病毒主要攻击的目标。当一些文件被病毒感染后，如果不采取特殊的修复方法，文件很难恢复原样。病毒对文件的攻击方式主要有删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇或丢失数据文件等。

攻击系统数据区：对系统数据区进行攻击通常会导致灾难性后果，攻击部位主要包括硬盘主引导扇区、Boot扇区、FAT表和文件目录等，当这些地方被攻击后，普通用户很难恢复其中的数据。

;干扰系统正常运行：病毒会干扰系统的正常运行，其行为也是花样繁多的，主要表现方式有不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、重启动、死机、强制游戏以及扰乱串并行口等。

影响计算机运行速度：当病毒激活时，其内部的时间延迟程序便会启动。该程序在时钟中纳入了时间的循环计数，迫使计算机空转，导致计算机速度明显下降。

攻击磁盘：表现为攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。;5．计算机病毒的分类

(1)引导扇区病毒

病毒修改或覆盖硬盘原来的主引导记录，有少数几种病毒甚至对引导扇区参数进行了加密处理???

所有引导区病毒基本上都是内存驻留型的，微机启动时，病毒就被加载到内存中，直到系统关机为止，病毒一直存在，所以引导型病毒基本上都会减少可用的内存容量。

(2)文件病毒

·文件病毒：大部分感染可执行程序进行传播。

·寄生病毒：寄生在宿主程序上，并不破坏宿主程序的功能。

·覆盖病毒：直接用病毒程序替换被感染的程序，这样所有的文件头也变成了病毒程序的文件头。

·伴随病毒：病毒为被感染的文件创建一个病毒文件。;文件病毒的工作原理:

文件病毒感被激活后，病毒会立刻获得控制权。病毒首先检查

系统内存，查看内存中是否已经有病毒代码存在，如果没有，

就将病毒代码装入内存。然后执行病毒设计的一些功能，如，

破坏功能，显示信息或动画等。为了病毒定时发作，病毒往往

会修改系统的时钟中断，在合适的时候激活。完成这些工作后，病毒将控制权交回被感染的程序。

(3)宏病毒

·宏病毒主要运行在微软公司的Office软件中。

·宏病毒利用了宏语言VBA。VBA语言可以对文本和数据表进行

完整的控制，可以调用操作系统的任意功能，甚至包括格式化

硬盘这种操作。;(4)蠕虫病毒

蠕虫病毒以网络为寄生环境，以网络上节点计算机为基本感染

单位，通过网络设计的缺陷，达到占用整个网络资源的目的。

蠕虫病毒往往利用系统漏洞或利用欺骗方法进行传播。?

蠕虫病毒由传播模块、隐藏模块、功能模块组成。

蠕虫病毒传播过程：扫描攻击复制

·扫描：由扫描模块负责探测主机地漏洞。当程序向某个主机发

送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传

播的对象。

·攻击：攻击模块自动攻击找到漏洞的主机，取得该主机的权限。

·复制：复制模块通过原主机和新主机的交互，将蠕虫病毒复制

到新主机中并启动。;(5)木马程序

木马程序分为服务器端和客户端两个部分，服务器端程序一般被伪装并安装在受害者计算机中，以后程序将随该计算机每次运行而自动加载，而客户端一般安装在控制者计算机中。

木马程序可以用来作正常的用途，也可以被一些别有用心的人利用来做非法的事情。木马程序与远程控制程序的基本区别在于，远程控制程序是在用户明确授权后运行的，并在用户主机上有明显的控制图标，而木马程序则是隐蔽运行的。木马程序通常并不感染文件，木马程序一般会修改注册表的启动项，或者修改打开文件的关联而获得运行的机会。;木马程序的类型

密码发送木马程序：在用户计算机的文件里查找密码。

键盘记录木马程序：记录受害计算机的键盘击键记录，获得用户密码信息。

破坏型木马程序：破坏并删除文件。

下载类木马：在下载文件同时下载了木马

邮件炸弹木马程序：木马程序会随机生成各种各样主题的信件，对