計算機病毒詳細介紹計算機病毒.pptx

1、5.1 Virus Overview 計算機病毒概述5.2 Virus Mechanisms 計算機病毒的機制 5.3 Virus Prevention and Detection 計算機病毒的防范、檢測5.4 Trojan House 特洛伊木馬OutlineVon Neumann（馮諾依曼）EDVAC (Electronic Discrete Variable Computer)（離散變量自動電子計算機）方案采用二進制存儲程序 這種體系把存儲的程序當作數(shù)據(jù)處理， 可以動態(tài)地進行修改， 以滿足變化多端的需求。 操作系統(tǒng)和應(yīng)用程序都被如此看待。 病毒利用了系統(tǒng)中可執(zhí)行程序可被修改的屬性， 以達

2、到病毒自身的不同于系統(tǒng)或用戶的特殊目的。5.1.1 計算機病毒存在的原因世界：20世紀40年代， Von Neumann ：程序可以被編寫成能自我復(fù)制并 增加自身大小的形式。50年代，Bell實驗室：Core War（核心大戰(zhàn)）60年代，John Conway（約翰康威 ） : Living（生存）軟件70年代，取得進展，真正攻擊少80年代，Rich Skrenta（里奇斯克倫塔）：ElkCloner（克隆麋鹿） 感染PC Pakistani Brain：首個感染微軟公司操作系統(tǒng) 的病毒5.1.2 計算機病毒由來中國：1989年初： 大連市統(tǒng)計局的計算機上發(fā)現(xiàn)有小球計算機 病毒。 1989年3

3、、 4月間： 重慶西南鋁加工廠也有了關(guān)于計算機 病毒的報道。 從此以后， 計算機病毒以極其迅猛之勢在中國大陸蔓延。 5.1.2 計算機病毒的由來 指在編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼（中華人民共和國計算機信息系統(tǒng)安全保護條例1994年） 5.1.3 計算機病毒的定義破壞計算機功能數(shù)據(jù)影響計算機使用自我復(fù)制一組計算機指令程序代碼編制在計算機程序中插入1. 計算機病毒的傳染性 與生物病毒一致：傳染性是生物病毒的一個重要特征。通過傳染 ，生物病毒從一個生物體擴散到另一個生物體。 計算機病毒一旦進入計算機病得以執(zhí)行，它會

4、搜尋其他符合其傳染 條件的程序或存儲介質(zhì)，確定目標后再將自身插入其中，達到自我繁殖的目的。是否具傳染性:判別一個程序是否為病毒的最重要條件。 5.1.4 計算機病毒的特性圖5-1 直接傳染方式 5.1.4 計算機病毒的特性圖5-2 間接傳染方式 圖5-3 縱橫交錯傳染方式 2. 計算機病毒的隱蔽性 計算機病毒通常附在正常程序中或磁盤較隱蔽的地方， 目的是不讓用戶發(fā)現(xiàn)它的存在。 不經(jīng)過程序代碼分析或計算機病毒代碼掃描， 計算機病毒程序與正常程序是不容易區(qū)別開來的。 一是傳染 的隱蔽性。 二是計算機病毒程序存在的隱蔽性。5.1.4 計算機病毒的特性 3. 計算機病毒的潛伏性 大部分的計算機病毒感染

5、 系統(tǒng)之后一般不會馬上發(fā)作， 它可長期隱藏在系統(tǒng)中， 只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊， 在此期間， 它就可以對系統(tǒng)和文件進行大肆傳染 。 潛伏性愈好， 其在系統(tǒng)中的存在時間就會愈久， 計算機病毒的傳染 范圍就會愈大。 5.1.4 計算機病毒的特性 4. 可觸發(fā)性：一種條件的控制 計算機病毒使用的觸發(fā)條件主要有以下三種。 (1) 利用計算機內(nèi)的時鐘提供的時間作為觸發(fā)器， 這種觸發(fā)條件被許多計算機病毒采用， 觸發(fā)的時間有的精確到百分之幾秒， 有的則只區(qū)分年份。 例：CIH 病毒 陳盈豪 每年4月26日5.1.4 計算機病毒的特性(2) 利用計算機病毒體內(nèi)自帶的計數(shù)器作為觸發(fā)器， 計

6、算機病毒利用計數(shù)器記錄某種事件發(fā)生的次數(shù)， 一旦計數(shù)器達到某一設(shè)定的值， 就執(zhí)行破壞操作。 例：ElkCloner 第50次啟動感染 病毒的軟盤時 (3) 利用計算機內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器， 特定操作可以是用戶按下某種特定的組合鍵， 可以是執(zhí)行格式化命令， 也可以是讀寫磁盤的某些扇區(qū)等。 5.1.4 計算機病毒的特性 5. 計算機病毒的破壞性 任何計算機病毒只要侵入系統(tǒng)， 都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。 輕者會降低計算機的工作效率， 占用系統(tǒng)資源， 重者可導(dǎo)致系統(tǒng)崩潰。 這些都取決于計算機病毒編制者的意愿。 攻擊系統(tǒng)數(shù)據(jù)區(qū)， 攻擊部位包括引導(dǎo)扇區(qū)、 FAT表、 文件目錄； 攻

7、擊文件； 攻擊內(nèi)存； 干擾系統(tǒng)運行， 如無法操作文件、 重啟動、 死機等； 導(dǎo)致系統(tǒng)性能下降； 攻擊磁盤， 造成不能訪問磁盤、 無法寫入等； 擾亂屏幕顯示； 干擾鍵盤操作； 喇叭發(fā)聲； 攻擊CMOS； 干擾外設(shè)， 如無法訪問打印機等。5.1.4 計算機病毒的特性 6. 計算機病毒的針對性 計算機病毒都是針對某一種或幾種計算機和特定的操作系統(tǒng)的。 例如， 有針對PC及其兼容機的， 有針對Macintosh的， 還有針對Unix和Linux操作系統(tǒng)的。 只有一種計算機病毒幾乎是與操作系統(tǒng)無關(guān)的， 那就是宏病毒， 所有能夠運行Office文檔的地方都有宏病毒的存在。 5.1.4 計算機病毒的特性 7

8、. 計算機病毒的衍生性 計算機病毒的衍生性是指計算機病毒編制者或者其他人將某個計算機病毒進行一定的修改后， 使其衍生為一種與原先版本不同的計算機病毒。 后者可能與原先的計算機病毒有很相似的特征， 這時我們稱其為原先計算機病毒的一個變種/變體（Computer Virus-Variance）。 5.1.4 計算機病毒的特性 8. 計算機病毒的寄生性 計算機病毒的寄生性是指一般的計算機病毒程序都是依附于某個宿主程序中， 依賴于宿主程序而生存，并且通過宿主程序的執(zhí)行而傳播的。 蠕蟲和特洛伊木馬程序則是例外， 它們并不是依附于某個程序或文件中， 其本身就完全包含有惡意的計算機代碼， 這也是二者與一般計

9、算機病毒的區(qū)別。 5.1.4 計算機病毒的特性 9. 計算機病毒的不可預(yù)見性 計算機病毒的不可預(yù)見性體現(xiàn)在以下兩個方面： 首先是計算機病毒的侵入、傳播和發(fā)作是不可預(yù)見的，有時即使安裝了實時計算機病毒防火墻，也會由于各種原因而不能完全阻隔某些計算機病毒的侵入。 其次不同種類的代碼千差萬別，病毒的制作技術(shù)也不斷提高，對未來病毒的預(yù)測很困難。 5.1.4 計算機病毒的特性 1. 不可移動的計算機硬件設(shè)備 這種傳播途徑是指利用專用集成電路芯片（ASIC）進行傳播。 這種計算機病毒雖然極少， 但破壞力卻極強， 目前尚沒有較好的檢測手段對付它。 2. 移動存儲設(shè)備：光盤、移動硬盤等。 3. 網(wǎng)絡(luò)：電子郵件

10、、BBS、WWW瀏覽、FTP文件下 載、新聞組。 4. 通過點對點通信系統(tǒng)和無線通信系統(tǒng)傳播 5.1.5 計算機病毒的傳播途徑（1） 攻擊系統(tǒng)數(shù)據(jù)區(qū)。 （2） 對于文件的攻擊。 （3） 影響系統(tǒng)運行速度， 使系統(tǒng)的運行明顯變慢。 （4） 破壞磁盤。 （5） 擾亂屏幕顯示。 （6） 鍵盤和鼠標工作不正常。 （7） 攻擊CMOS。 （8） 干擾外設(shè)的工作， 尤其是打印機。 5.1.6 計算機病毒的危害和由此產(chǎn)生的癥狀5.1 Virus Overview 計算機病毒概述5.2 Virus Mechanisms 計算機病毒的機制 5.3 Virus Prevention and Detection 計

11、算機病毒的防范、檢測5.4 Trojan House 特洛伊木馬Outline圖5-4 計算機病毒的結(jié)構(gòu)模式 5.2.1 計算機病毒的結(jié)構(gòu)模式 5.2.2 病毒的引導(dǎo)機制計算機病毒的寄生對象 寄生在可以獲取執(zhí)行權(quán)的寄生對象上 磁盤引導(dǎo)扇區(qū) 可執(zhí)行文件 進行自身的主動傳播和破壞寄生方式 替代法 鏈接法 前后依附 伴隨圖5-5 寄生方式5.2.2 病毒的引導(dǎo)機制圖5-6 采用加密技術(shù)的病毒程序 5.2.2 病毒的引導(dǎo)機制3. 計算機病毒的引導(dǎo)過程 一般：駐留內(nèi)存 竊取系統(tǒng)控制權(quán) 恢復(fù)系統(tǒng)功能 寄生在磁盤引導(dǎo)扇區(qū)中：任何操作系統(tǒng)都有個自舉過程, 例如DOS在啟動時, 首先由系統(tǒng)讀入引導(dǎo)扇區(qū)記錄并執(zhí)行

12、它, 將DOS讀入內(nèi)存。病毒程序就是利用了這一點, 自身占據(jù)了引導(dǎo)扇區(qū)而將原來的引導(dǎo)扇區(qū)內(nèi)容及其病毒的其他部分放到磁盤的其他空間, 并給這些扇區(qū)標志為壞簇。這樣, 系統(tǒng)的一次初始化, 病毒就被激活了。它首先將自身拷貝到內(nèi)存的高端并占據(jù)該范圍, 然后置觸發(fā)條件如INT 13H中斷（磁盤讀寫中斷）向量的修改, 置內(nèi)部時鐘的某一值為條件等, 最后引入正常的操作系統(tǒng)。以后一旦觸發(fā)條件成熟, 如一個磁盤讀或?qū)懙恼埱? 病毒就被觸發(fā)。如果磁盤沒有被感染（通過識別標志）則進行傳染。 5.2.2 病毒的引導(dǎo)機制3. 計算機病毒的引導(dǎo)過程 一般：駐留內(nèi)存 竊取系統(tǒng)控制權(quán) 恢復(fù)系統(tǒng)功能 寄生在可執(zhí)行程序中：這種病

13、毒寄生在正常的可執(zhí)行程序中, 一旦程序執(zhí)行病毒就被激活, 于是病毒程序首先被執(zhí)行, 它將自身常駐內(nèi)存, 然后置觸發(fā)條件, 也可能立即進行傳染, 但一般不作表現(xiàn)。做完這些工作后, 開始執(zhí)行正常的程序, 病毒程序也可能在執(zhí)行正常程序之后再置觸發(fā)條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的長度和一些控制信息, 以保證病毒成為源程序的一部分, 并在執(zhí)行時首先執(zhí)行它。這種病毒傳染性比較強。5.2.3 病毒的發(fā)生機制 （1）傳染源：存儲介質(zhì), 例如軟盤、 硬盤等構(gòu)成傳染源。 （2）傳染媒介：計算機網(wǎng), 移動的存儲介質(zhì)或硬件。 （3）病毒激活：是指將病毒裝入內(nèi)存, 并設(shè)置觸發(fā)

14、條件。 （4）病毒觸發(fā)：內(nèi)部時鐘, 系統(tǒng)的日期, 用戶標識符，也可能是系統(tǒng)一次通信等等。一旦觸發(fā)條件成熟, 病毒就開始作用自我復(fù)制到傳染對象中, 進行各種破壞活動等。 （5）病毒表現(xiàn)：屏幕顯示，破壞數(shù)據(jù)等 （6）傳染：病毒的傳染是病毒性能的一個重要標志。在傳染環(huán)節(jié)中, 病毒復(fù)制一個自身副本到傳染對象中去。5.2.4 病毒的破壞機制 （1）修改某一中斷向量人口地址 一般為時鐘中斷INT 8H,或與時鐘中斷有關(guān)的其他中斷，如 INT 1CH （2）使該中斷向量指向病毒程序的破壞模塊 （3）激活病毒破壞模塊 （4）判斷設(shè)定條件是否滿足 （5）滿足則對系統(tǒng)或磁盤上的文件進行破壞活動5.1 Virus

15、Overview 計算機病毒概述5.2 Virus Mechanisms 計算機病毒的機制 5.3 Virus Prevention and Detection 計算機病毒的防范、檢測5.4 Trojan House 特洛伊木馬Outline 1. 基本隔離法 計算機系統(tǒng)如果存在著共享信息，就有可能傳染病毒。信息系統(tǒng)的共享性和傳遞性以及解釋的通用性，是計算機最突出的優(yōu)點。 2. 分割法 分割法主要是把用戶分割成為不能互相傳遞信息的封閉的子集。 5.3.1 病毒的理論防范方法 3. 流模型法 流模型法是對共享信息流流過的距離設(shè)立一個閾值， 使一定的信息只能在一定的區(qū)域中流動， 以此建立一個防衛(wèi)機

16、制。 若使用超過某一距離閾值的信息， 就可能存在某種危險。 4. 限制解釋法 限制解釋法也就是限制兼容， 即采用固定的解釋模式， 就可能不被病毒傳染。 5.3.1 病毒的理論防范方法 1.特征代碼法已知病毒樣本庫在被檢測文件中匹配特征代碼檢出病毒 5.3.2 計算機病毒的檢測優(yōu)點：檢測準確 可識別病毒的名稱 誤報警率低 依據(jù)檢測結(jié)果可殺毒缺點：病毒種類增多檢索時間變長 不能檢查多態(tài)性病毒 不能對付隱蔽性病毒特征代碼匹配成功 2.校驗和法計算正常文件校驗和并寫入文件定期或每次使用文件前計算新校驗和與正常態(tài)校驗和比較檢出病毒5.3.2 計算機病毒的檢測優(yōu)點：方法簡單 可發(fā)現(xiàn)未知病毒 能夠發(fā)現(xiàn)文件細微變化缺點：必須發(fā)布正常態(tài)校驗和 易產(chǎn)生誤報警 不能識別病毒名稱 不能對付隱蔽性病毒不 等 3.行為監(jiān)測法 利用病毒的特有行為特征性來監(jiān)測病毒的方法5.3.2 計算機病毒的檢測優(yōu)點：可發(fā)現(xiàn)未知病毒 可準確預(yù)報未知多數(shù)病毒缺點：易產(chǎn)生誤報警 不能識別病毒名稱 實現(xiàn)有一定難度 4.軟件模擬法 模擬CPU執(zhí)行，在DOS虛擬機下偽執(zhí)行計算機病毒程序 將病毒解密，漏出本來面目 特征代碼法掃描5.3.2 計算機病毒的檢測優(yōu)點：可識別多態(tài)型病毒缺點：需與特征代碼法結(jié)合使用5.1 Vir