計算機病毒知識PPT

1、計算機病毒的分類與傳播原理以及著名的病毒分析走進病毒世界實例分析實例分析傳播原理傳播原理分類分類本質(zhì)本質(zhì)virus計算機病毒是什么？計算機病毒是什么？ 1994年2月18日頒布實施的中華人民共和國計算機信息系統(tǒng)安全保護條例中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指計算機指令令或者程序代碼程序代碼?！庇嬎銠C病毒有哪些特征計算機病毒有哪些特征?1.傳染性傳染性指病毒具有把自身復(fù)制到其它程序中的特性 2. 取得系統(tǒng)控制權(quán)取得系統(tǒng)控制權(quán)3. 隱蔽性隱蔽性通過隱蔽技術(shù)使宿主程序的大小沒有改變，以至于很難被發(fā)現(xiàn)。 4.

2、破壞性破壞性 計算機所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計算機病毒的破壞5. 潛伏性潛伏性潛伏性 長期隱藏在系統(tǒng)中，只有在滿足特定條件時，才啟動其破壞模塊。 6. 不可預(yù)見性不可預(yù)見性計算機病毒的分類計算機病毒的分類病毒攻擊的操作系統(tǒng)病毒攻擊的操作系統(tǒng)（1） 攻擊DOS 系統(tǒng)的病毒（2） 攻擊Windows 系統(tǒng)的病毒用戶使用多，主要的攻擊對象（3） 攻擊UNIX 系統(tǒng)的病毒（4） 攻擊OS/2 系統(tǒng)的病毒（5） 攻擊NetWare 系統(tǒng)的病毒病毒的鏈接方式病毒的鏈接方式（1） 源碼型病毒（3） 外殼型病毒（4） 操作系統(tǒng)型病毒（2） 嵌入型病毒病毒的載體病毒的載體（1

3、）引導(dǎo)型病毒（2）文件型病毒： .com .exe（4）混合型病毒計算機病毒的破壞能力.病毒特有的算法不同病毒特有的算法不同（3） 網(wǎng)絡(luò)病毒（1）伴隨型病毒（2）“蠕蟲”型病毒（3）寄生型病毒練習(xí)型病毒詭秘型病毒變型病毒病毒的攻擊機型.病毒的工作步驟與機制病毒的工作步驟與機制休眠狀態(tài)休眠狀態(tài)特定的程序被執(zhí)行特定的程序被執(zhí)行將自身程序復(fù)制給其將自身程序復(fù)制給其他程序或磁盤區(qū)域他程序或磁盤區(qū)域病毒激活病毒激活執(zhí)行特定功能達執(zhí)行特定功能達到既定目標(biāo)到既定目標(biāo)破環(huán)文件感破環(huán)文件感染程序染程序潛伏階段潛伏階段傳染階段傳染階段觸發(fā)階段觸發(fā)階段發(fā)作階段發(fā)作階段觸發(fā)機制觸發(fā)機制破壞機制破壞機制傳播機制傳播機制

4、引導(dǎo)機制引導(dǎo)機制傳染機制傳染機制 引導(dǎo)機制引導(dǎo)機制病毒作為一種特殊的程序，就必須從存儲體進入內(nèi)存才能實現(xiàn)其預(yù)定功能。所以其寄生對象主要分為寄生在計算機硬盤的主引導(dǎo)扇區(qū)；寄生在計算機磁盤邏輯分析引導(dǎo)扇區(qū)；寄生在可執(zhí)行程序中。其寄生方式為其寄生方式為：替代法鏈接法（用自身的指令代碼替代原有的內(nèi)容）（將自身代碼作為正常程序的一部分鏈接在程 序的首部、尾部或中間）引導(dǎo)過程：引導(dǎo)過程： 1：駐留內(nèi)存（網(wǎng)絡(luò)病毒不需要） 2：獲取系統(tǒng)控制權(quán) 3：恢復(fù)系統(tǒng)功能（為了隱藏自己，系統(tǒng)不會出現(xiàn)死機等異常狀況，使用戶無法發(fā)現(xiàn)病毒的存在。）指計算機病毒由一個宿主傳播到另一個宿主程序，由一指計算機病毒由一個宿主傳播到另一

5、個宿主程序，由一個系統(tǒng)進入另一個系統(tǒng)的過程。個系統(tǒng)進入另一個系統(tǒng)的過程。 傳染方式 被動傳播 主動傳播（用戶用戶在復(fù)制磁盤或文件時，把一個計算機病毒由一個信息載體復(fù)制到另一個信息載體，也可以通過網(wǎng)絡(luò)把程序從一方傳到另一方。）（在計算機病毒處于激活的狀態(tài)下在計算機病毒處于激活的狀態(tài)下，只要傳染條件滿足，計算機病毒程序能主動主動地把計算機病毒自身傳染給另一個載體或另一個系統(tǒng)。） 傳染過程傳染過程對于被動傳播的病毒而言：對于被動傳播的病毒而言：其傳染過程是隨著復(fù)制磁盤或文件工作的進行而進行的。對于主動傳播的病毒而言對于主動傳播的病毒而言：其傳染過程是在系統(tǒng)運行時，計算機病毒通過計算機病毒載體即系統(tǒng)的

6、外存儲器進入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運作。在計算機病毒引導(dǎo)模塊將計算機病毒傳染模塊駐留內(nèi)存的過程中，通常要修改系統(tǒng)中斷向量入口地址（如INT 13H或INT 21H)，使該中斷向量指向計算機病毒程序傳染模塊。一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用，計算機病毒傳染模塊激活，在條件滿足的條件下，利用INT 13H讀寫磁盤中斷把計算機病毒自身傳染給讀寫的磁盤或加載程序，也就是實施計算機病毒的傳染，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。 傳染機制傳染機制 觸發(fā)機制觸發(fā)機制可觸發(fā)性是計算機病毒的攻擊性與潛伏性之間的調(diào)整杠桿，可以控制計算機病毒感染和破壞的頻度，兼顧殺傷性和潛

7、伏性。一般觸發(fā)條件越苛刻，病毒就具有越好的潛伏性，但不易傳播，所以殺傷力就減弱。目前采用的觸發(fā)條件一般有：1.日期觸發(fā)日期觸發(fā) （CIH病毒4月26號發(fā)作）2.時間觸發(fā)時間觸發(fā) 3.鍵盤觸鍵盤觸發(fā)發(fā) 4.感染觸發(fā)感染觸發(fā) 5.啟動觸發(fā)啟動觸發(fā) 6.訪問磁盤訪問磁盤觸發(fā)觸發(fā) .例如：火炬病毒發(fā)作時，屏幕上顯示5把燃燒的火炬，同時該病毒用內(nèi)存的隨機數(shù)從硬盤的物理第一扇區(qū)開始覆蓋，造成硬盤中的數(shù)據(jù)丟失。 與傳染機制基本相同，通過修改某一中斷量入口地址通過修改某一中斷量入口地址，使該中斷向量指向計算機病毒程序的破壞模塊，當(dāng)系統(tǒng)訪問該向量時，破壞模塊就被激活，對計算機上的文件產(chǎn)生破壞行為。 破壞機制破壞

8、機制 傳播方式：傳播方式： 計算機病毒直接從有盤站復(fù)制到服務(wù)器直接從有盤站復(fù)制到服務(wù)器中。 計算機病毒先傳染工作站，在工作站內(nèi)存駐留，等運行網(wǎng)絡(luò)盤內(nèi)程序時運行網(wǎng)絡(luò)盤內(nèi)程序時再傳染給服務(wù)器。 計算機病毒先傳染工作站，在工作站內(nèi)存駐留，在計算機病毒運行時直接直接通過通過映像路徑映像路徑傳染到服務(wù)器中。 如果遠程工作站被計算機病毒侵入，病毒也可以通過通過通信中數(shù)據(jù)交換通信中數(shù)據(jù)交換進入網(wǎng)絡(luò)服務(wù)器中。 傳播機制傳播機制計算機網(wǎng)絡(luò)的基本構(gòu)成 網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)節(jié)點站有盤工作站無盤工作站遠程工作站 計算機病毒的傳播途徑：（1） 通過不可移動的計算機硬件設(shè)備進行傳播，即利用專用ASIC 芯片和硬盤進行傳播；（2

9、） 通過移動存儲設(shè)備來傳播，其中U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì)；（3） 通過計算機網(wǎng)絡(luò)進行傳播；（4） 通過點對點通信系統(tǒng)和無線通道傳播。A. 漏洞蠕蟲漏洞蠕蟲 (69%)蠕蟲病毒與一般病毒的區(qū)別 普通病毒 蠕蟲病毒 存在形式 寄存文件 獨立程序獨立程序 傳染機制 宿主程序運行 主動攻擊主動攻擊 傳染目標(biāo) 本地文件 網(wǎng)絡(luò)計算機網(wǎng)絡(luò)計算機 蠕蟲型病毒蠕蟲型病毒網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的計算機病毒類型。網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的計算機病毒類型。病毒名稱病毒名稱持續(xù)時間持續(xù)時間造成損失造成損失愛蟲病毒( I LOVEYOU)2000年5月至今眾多用戶計算機被感染，損失超

10、過100億美元紅色代碼(Code Red)2001年7月100多萬臺計算機感染，直接經(jīng)濟損失超過26億美元求職信2001年12月大量病毒郵件堵塞服務(wù)器，損失達數(shù)百億美元SQL蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓，銀行自動提款機運做中斷，直接經(jīng)濟損失超過26億美元沖擊波(Blaster)2003年20億100億美元，受到感染的計算機不計其數(shù)霸王蟲(Sobig.F)2003年50億100億美元，超過100萬臺計算機被感染震蕩波(Sasser)2004年8月?lián)p失估計：數(shù)千萬美元【代號：【代號： Stuxnet 蠕蟲蠕蟲 超級工廠病毒】超級工廠病毒】感染系統(tǒng)：感染系統(tǒng)：windows CE系統(tǒng)系統(tǒng)發(fā)現(xiàn)時

11、間：發(fā)現(xiàn)時間：2010年年6月月傳播方式：傳播方式：U盤盤殺傷力：導(dǎo)致伊朗布什爾核電站癱瘓殺傷力：導(dǎo)致伊朗布什爾核電站癱瘓具體情況：具體情況：stuxnet的獨特之處在于它并不攻擊傳統(tǒng)的Windows系統(tǒng)，而是將目標(biāo)放在了極小眾、極專業(yè)的西門子wincc工控系統(tǒng)上，這個系統(tǒng)的原型就是廣為人知的Windows CE。并且這個病毒的目標(biāo)非常具體，它會通過U盤感染將自己擺渡到目標(biāo)工控件中，然后發(fā)作。 吊詭的是，第一批發(fā)作的病毒60%將目標(biāo)定在了伊朗布什爾核電站的西門子工控系統(tǒng)上，這個核電站這個核電站正是美國懷疑伊朗制造核武器的基地正是美國懷疑伊朗制造核武器的基地。專家指出：一旦stuxnet找到西門

12、子WinCC裝置，就能接管西門子設(shè)施的關(guān)鍵操作系統(tǒng)，并在十分之一秒內(nèi)封住設(shè)備的操作。代號：代號： 熊熊 貓貓 燒燒 香香感染系統(tǒng)：感染系統(tǒng)：windows xp發(fā)現(xiàn)時間：發(fā)現(xiàn)時間：2006年年10月月16日日傳播方式：傳播方式：端口攻擊和惡意腳本端口攻擊和惡意腳本殺傷力：國內(nèi)至少殺傷力：國內(nèi)至少100萬臺計算機受感染萬臺計算機受感染熊貓燒香感染機理：熊貓燒香感染機理： “熊貓燒香”，是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中的exe,com,pif,scr,html,asp等文件，它能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可

13、執(zhí)行文件全部被改為熊貓舉著三根香的模樣。為什么熊貓燒香如此猖獗？最絕的是，病毒作者李俊將這個病毒賣給了120個黑客，鼓勵教導(dǎo)他們廣撒網(wǎng)多抓雞。李俊自己也購買了服務(wù)器，專門用作病毒更新，創(chuàng)下了一天更新8次的病毒升級記錄，可以堪稱史上最勤奮的病毒作者。該病毒除了通過網(wǎng)站感染用戶外，還會在局域網(wǎng)中傳播，在極端時間內(nèi)就可以感染幾千臺計算機，嚴(yán)重時出現(xiàn)網(wǎng)絡(luò)癱瘓。中毒電腦也會出現(xiàn)藍屏、頻繁重啟以及數(shù)據(jù)文件被破壞等現(xiàn)象。 特洛伊木馬病毒 談到木馬，人們就想到病毒，木馬也算是一種病毒，但與傳統(tǒng)的計算機病毒不同。木馬是一種惡意代碼惡意代碼，它通常并不像病毒程序那樣感染文件。木馬一般是以尋找后門、尋找后門、竊取密

14、碼和重要文件為主竊取密碼和重要文件為主，還能對計算機進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性隱蔽性、突發(fā)性和攻擊性。 木馬的運行模式屬于客戶/服務(wù)模式，它包括兩大部分，即客戶端客戶端服務(wù)端服務(wù)端。其原理是一臺主機提供服務(wù)其原理是一臺主機提供服務(wù)(服務(wù)器服務(wù)器)，另一臺主機接受服務(wù)，另一臺主機接受服務(wù)(客戶機客戶機)，作為服務(wù)器的主，作為服務(wù)器的主機一般會打開一個默認(rèn)的端口進行監(jiān)聽。如果有客戶機向服務(wù)器的這一端口提出連接機一般會打開一個默認(rèn)的端口進行監(jiān)聽。如果有客戶機向服務(wù)器的這一端口提出連接請求，服務(wù)器上的相應(yīng)程序就會自動運行，來應(yīng)答客戶機的請求。這個程序被稱

15、為守請求，服務(wù)器上的相應(yīng)程序就會自動運行，來應(yīng)答客戶機的請求。這個程序被稱為守護進程。護進程。木馬通常的攻擊步驟是：木馬通常的攻擊步驟是： ： 設(shè)定好服務(wù)器程序；設(shè)定好服務(wù)器程序； ： 騙取對方執(zhí)行服務(wù)器程序；騙取對方執(zhí)行服務(wù)器程序； ：尋找對方的地址尋找對方的地址IP； ： 用客戶端程序來控制對方的計算機。用客戶端程序來控制對方的計算機。 事實是什么情況都會出現(xiàn)?；银澴幽軌蛴涗浤愕逆I盤擊鍵記錄，能夠遠程開啟攝像頭，打開麥克風(fēng)，能夠下載你電腦里的任何文件。幾乎你能夠想到幾乎你能夠想到的電腦基本操作，黑客都可以通過灰鴿子遠程控制實現(xiàn)。的電腦基本操作，黑客都可以通過灰鴿子遠程控制實現(xiàn)。從灰鴿子誕生

16、的2001年到銷聲匿跡的2008年之間，正好遭遇了全民皆黑客的年代，灰鴿子因為操作簡單，上手快，很快的成為當(dāng)時最泛濫的木馬病毒，近中國國內(nèi)至少有上千萬臺電腦感染過灰鴿子病毒。 有趣的是，灰鴿子的作者并沒有像熊貓燒香的李俊一樣，一直用灰鴿子賺錢。在在2008年之后該作者轉(zhuǎn)而開發(fā)防火墻，專門用來防護自己的灰年之后該作者轉(zhuǎn)而開發(fā)防火墻，專門用來防護自己的灰鴿子。鴿子?！敬枺骸敬枺?灰鴿子】灰鴿子】感染系統(tǒng)：windows 系統(tǒng)發(fā)作時間：2001年傳播方式：多種網(wǎng)絡(luò)傳播方式CIH病毒病毒 CIH（英語又稱為Chernoby1或Spacefiller）是一種電腦病毒，其名稱源自它的作者，當(dāng)時仍然是臺

17、灣大同工學(xué)院（現(xiàn)大同大學(xué)）學(xué)生的電腦技術(shù)鬼才陳盈豪的名字的拼音縮寫。它被認(rèn)為是最有害的廣泛傳播的病毒之一，會破壞用戶它被認(rèn)為是最有害的廣泛傳播的病毒之一，會破壞用戶系統(tǒng)的全部信息，在某些情況下，會重寫系統(tǒng)的系統(tǒng)的全部信息，在某些情況下，會重寫系統(tǒng)的BIOS（BIOS是英文“Basic Input Output System”的縮略語，直譯過來后中文名稱就是“基本輸入基本輸入輸出系統(tǒng)輸出系統(tǒng)”。其實，它是一組固化到計算機內(nèi)主板上一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開機后自檢程序和系統(tǒng)自啟動程序。其主要功能是為計算機提供最底層的、最直接的硬件設(shè)置和控制。

18、） CIH的運作原理：的運作原理： 通常，CIH病毒的傳染方式是通過修改文件頭部的程序入口地址，使其指向病毒的引導(dǎo)代碼，在這一點上，CIH病毒和以前DOS環(huán)境中的多數(shù)病毒是類似的。CIH的載體一個名為“ICQ中文Chat模塊”的工具，并以熱門盜版光盤游戲如“盜墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當(dāng)然隨著時間推移，其傳播主要仍將通過軟盤或光盤途徑。CIH感染的系統(tǒng)感染的系統(tǒng)： CIH以可移植可執(zhí)行文件格式在Windows95、Windows98和Windows ME上傳播。CIH不會在Windows

19、 NT、Windows 2000或者WindowsXP上傳播。陳盈豪（陳盈豪（1975年年)，臺灣的電腦技術(shù)鬼才，臺灣的電腦技術(shù)鬼才，CIH病毒之父。現(xiàn)在是集嘉通病毒之父?，F(xiàn)在是集嘉通訊（技嘉子公司）主任工程師，以研究作業(yè)系統(tǒng)核心為主，試圖開發(fā)更符合訊（技嘉子公司）主任工程師，以研究作業(yè)系統(tǒng)核心為主，試圖開發(fā)更符合人性的智慧的手機系統(tǒng)。人性的智慧的手機系統(tǒng)。據(jù)初步統(tǒng)計，來自臺灣的據(jù)初步統(tǒng)計，來自臺灣的CIH電腦病毒共造成全球電腦病毒共造成全球6000萬臺電腦癱瘓，其中萬臺電腦癱瘓，其中韓國損失最為嚴(yán)重，共有韓國損失最為嚴(yán)重，共有30萬臺電腦中毒，占全國電腦總數(shù)的萬臺電腦中毒，占全國電腦總數(shù)的1

20、5%以上，損以上，損失更是高達兩億韓元以上。土耳其、孟加拉、馬來西亞、俄羅斯、中國內(nèi)地失更是高達兩億韓元以上。土耳其、孟加拉、馬來西亞、俄羅斯、中國內(nèi)地的電腦均遭的電腦均遭CIH病毒的襲擊。病毒的襲擊。CIH電腦病毒暴發(fā)過后，有的把電腦病毒暴發(fā)過后，有的把CIH的始作俑者的始作俑者陳盈豪抬升為陳盈豪抬升為“天才天才”，有的把他貶為，有的把他貶為“鬼才鬼才”。1998年制造出在臺灣傳播的首例年制造出在臺灣傳播的首例CIH病毒時，陳盈豪年僅病毒時，陳盈豪年僅23歲。歲。并且并且CIH病毒完全由他一人設(shè)計。病毒完全由他一人設(shè)計。為什么要制造如此恐怖的CIH呢？ 他從大學(xué)一年級開始就癡迷于電腦，下載最熱門的軟件和游戲，因此也經(jīng)常遭遇電腦病毒，為了解決中毒的煩惱，他看報紙買了不少做的天花亂墜的防病毒軟件，結(jié)果什么用也沒有，于是覺得自己被騙了，他設(shè)計他設(shè)計CIH的目的只是想出一的目的只是想出一家在廣告上吹噓家在廣告上吹噓“百分之百防