電腦計算機(jī)病毒簡介課件

1、網(wǎng)頁信息計算機(jī)病毒的產(chǎn)生 計算機(jī)病毒的定義和特征 計算機(jī)病毒的構(gòu)成及狀態(tài) 計算機(jī)病毒的工作原理計算機(jī)病毒分類電腦病毒的防治神馬是計算機(jī)病毒電腦病毒的原理第1頁，共20頁。計算機(jī)病毒的產(chǎn)生著名的數(shù)學(xué)家、計算機(jī)的創(chuàng)始人馮.諾依曼早在40多年前就指出，一部實(shí)際上足夠復(fù)雜的機(jī)器具有復(fù)制自身的能力。馮.諾依曼提出的這種可能性，最早是在科幻小說中出現(xiàn)的 1975年，美國科普作家約翰.布魯勒爾寫了一本名為“震蕩波騎士”的書，在該書中，作者第一次描述了信息社會，而且計算機(jī)作為正義和邪惡雙方斗爭的工具，使之成為當(dāng)年最佳暢銷書之一 在1977年夏天，托馬斯.捷瑞安的科幻小說“P-1的春天”描寫了一種可以在計算機(jī)中

2、互相傳染的病毒，病毒最后控制了7000臺計算機(jī)，造成了異常災(zāi)難 第2頁，共20頁。1983年，程序自我復(fù)制機(jī)制秘密被公開，同年11月，美國計算機(jī)安全專家Fred Cohen在美國一次“計算機(jī)安全每周會議”上，將具有自我復(fù)制能力且寄生于其它程序之上的“活的”計算機(jī)程序編碼實(shí)現(xiàn)的可能性問題提出來之后，倫.艾德勒曼將其取名為計算機(jī)病毒 Fred Cohen經(jīng)過在VAX750機(jī)上連續(xù)8個小時的實(shí)驗(yàn)之后，將一種攻擊VAX750機(jī)的計算機(jī)病毒制造出來，從而成為世界上第一例在公開場合下進(jìn)行病毒實(shí)驗(yàn)的事件 第3頁，共20頁。1988年11月2日下午5時1分59秒，美國康奈爾大學(xué)的計算機(jī)科學(xué)系研究生，23歲的莫

3、里斯(Morris)將其編寫的蠕蟲程序輸入計算機(jī)網(wǎng)絡(luò)。在幾小時內(nèi)導(dǎo)致因特網(wǎng)堵塞。這個網(wǎng)絡(luò)連接著大學(xué)、研究機(jī)關(guān)的155000臺計算機(jī)，使網(wǎng)絡(luò)堵塞，運(yùn)行遲緩1988年下半年，我國在統(tǒng)計局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒，它對統(tǒng)計系統(tǒng)影響極大。繼小球(Ping Pong)病毒之后，隨之又出現(xiàn)了大麻(stone)、巴基斯坦(brain)、黑色星期五(jerusalem)、磁盤殺手(diskkiller)、楊基都督(yankeedodle)、雨點(diǎn)(1701)、毛毛蟲(1575)等。當(dāng)時在全國約有75%的計算機(jī)染有病毒 1993年開始，計算機(jī)病毒一改原有的表現(xiàn)形式，悄悄地侵入計算機(jī)系統(tǒng)，神出鬼沒地進(jìn)行感染，典型

4、代表就是“幽靈”病毒1995年，一種新型的計算機(jī)病毒即宏病毒出現(xiàn)第4頁，共20頁。繼小球(Ping Pong)病毒之后，隨之又出現(xiàn)了大麻(stone)、巴基斯坦(brain)、黑色星期五(jerusalem)、磁盤殺手(diskkiller)、楊基都督(yankeedodle)、雨點(diǎn)(1701)、毛毛蟲(1575)等。當(dāng)時在全國約有75%的計算機(jī)染有病毒 1993年開始，計算機(jī)病毒一改原有的表現(xiàn)形式，悄悄地侵入計算機(jī)系統(tǒng)，神出鬼沒地進(jìn)行感染，典型代表就是“幽靈”病毒1995年，一種新型的計算機(jī)病毒即宏病毒出現(xiàn) 1998年，我國發(fā)現(xiàn)了一種CIH的惡性計算機(jī)病毒，這種病毒是我國迄今為止發(fā)現(xiàn)的首例直

5、接攻擊、破壞硬件系統(tǒng)的計算機(jī)病毒。這種病毒可通過軟件之間的相互拷貝進(jìn)行傳染，亦可通過互聯(lián)網(wǎng)絡(luò)傳輸文件時進(jìn)行傳染 1999年，一種叫BO黑客病毒開始在我國互聯(lián)網(wǎng)Chinanet傳播，計算機(jī)一旦感染這種病毒，則整個系統(tǒng)在網(wǎng)上暴露無疑。因此，也稱這種病毒為“后門”病毒 第5頁，共20頁。3月24日，新蠕蟲病毒“Ganda”出現(xiàn)了.該病毒以郵件附件的形式傳播，病毒將自身組件嵌入在Win32 PE可執(zhí)行文件中，并盡力避開反病毒軟件的檢測。該病毒進(jìn)入系統(tǒng)后，一旦發(fā)現(xiàn)virus, firewall, fsecure, symantec, mcafee, pc-cillin, trend micro, kas

6、persky, sophos, norton等字符的進(jìn)程（這些都是著名的反病毒軟件），將立即中止該進(jìn)程，先發(fā)制人把反毒軟件干掉。反病毒軟件失效后，該病毒就可以順利逃避反病毒軟件的檢測。Ganda蠕蟲病毒是在伊拉克戰(zhàn)爭爆發(fā)時傳播的，病毒會用許多與伊拉克戰(zhàn)爭有關(guān)的郵件主題吸引大家的興趣，譬如：一張希望終止間諜偵察行動”的動畫。一個關(guān)于喬治.布什的屏保，一副執(zhí)行特殊偵察任務(wù)的美國的某偵察衛(wèi)星的特寫鏡頭等。病毒利用這些伎倆，誘使你打開附件中招第6頁，共20頁?！坝嬎銠C(jī)病毒”一詞是人們借用了生物學(xué)“病毒”這一術(shù)語，來描述那些具有明顯生物病毒特征并對計算機(jī)信息系統(tǒng)進(jìn)行破壞的“病原體” 計算機(jī)病毒是隱藏在計

7、算機(jī)系統(tǒng)的數(shù)據(jù)資源中，利用系統(tǒng)資源進(jìn)行繁殖并生存，能夠影響計算機(jī)系統(tǒng)正常運(yùn)行并通過系統(tǒng)數(shù)據(jù)資源共享的途徑進(jìn)行傳染的程序。這種計算機(jī)病毒程序一般要在計算機(jī)系統(tǒng)內(nèi)，經(jīng)歷反復(fù)一自我繁殖和擴(kuò)散，使計算機(jī)系統(tǒng)出現(xiàn)異常，最終導(dǎo)致計算機(jī)系統(tǒng)發(fā)生故障，甚至癱瘓。由于這種程序的特性和所經(jīng)歷的過程與生物病毒極為相似，所以人們稱它為“計算機(jī)病毒” 計算機(jī)病毒的定義第7頁，共20頁。“計算機(jī)病毒”不是天然存在的，而是人故意編制的一種特殊的計算機(jī)程序。這種程序具有如下特征：感染性流行性繁殖性變種性潛伏性針對性表現(xiàn)性第8頁，共20頁。計算機(jī)病毒可以從一個程序傳染到另一個程序，從一臺計算機(jī)到另一臺計算機(jī)，從一個計算機(jī)網(wǎng)絡(luò)到

8、另一個計算機(jī)網(wǎng)絡(luò)或在網(wǎng)絡(luò)內(nèi)各個系統(tǒng)上傳染、蔓延，同時使被感染的程序、計算機(jī)、網(wǎng)絡(luò)成為計算機(jī)病毒的生存環(huán)境及新的傳染源一種計算機(jī)病毒出現(xiàn)之后，可以影響一類計算機(jī)程序、計算機(jī)系統(tǒng)、計算機(jī)網(wǎng)絡(luò)，并且這種影響在一定的地域內(nèi)或者一定的應(yīng)用領(lǐng)域內(nèi)是廣泛的第9頁，共20頁。引導(dǎo)模塊傳染模塊破壞模塊計算機(jī)病毒的構(gòu)成第10頁，共20頁。第11頁，共20頁。計算機(jī)病毒的狀態(tài)第12頁，共20頁。 計算機(jī)病毒傳染的過程是這樣的：病毒從帶毒載體進(jìn)入內(nèi)存，一般利用操作系統(tǒng)的加載機(jī)制或引導(dǎo)機(jī)制。當(dāng)系統(tǒng)運(yùn)行一個帶毒文件或用一帶毒系統(tǒng)盤啟動時，病毒就進(jìn)入內(nèi)存。而從RAM侵入無毒介質(zhì)則利用了操作系統(tǒng)的讀寫磁盤中斷或加載機(jī)制。 內(nèi)

9、存中的病毒時刻監(jiān)視著操作系統(tǒng)的每一個操作，一旦該操作滿足病毒設(shè)定的傳染條件(通常為訪問一無毒盤或加載一無毒文件等)，病毒程序便將自身代碼拷貝到受攻擊目標(biāo)上去，使之受傳染 計算機(jī)病毒的工作原理第13頁，共20頁。病毒傳染都是利用其自身的傳染機(jī)制實(shí)現(xiàn)的，是病毒的主動攻擊；通常見到的還有另一種傳染，例如，把一個帶毒的文件拷貝到一新盤上去或?qū)σ粋€帶毒盤作全盤拷貝都會使新盤受到傳染，這種傳染是一種被動傳染，這期間病毒的傳染機(jī)制并沒起作用。主動傳染和被動傳染在效果上是等效的，但后者的成功取決于用戶對病毒的存在不知不覺 第14頁，共20頁。病毒存在的媒體 病毒破壞的能力 病毒特有的算法 計算機(jī)病毒分類第15頁，共20頁。病毒檢測的方法第16頁，共20頁。第17頁，共20頁。特征代碼法被早期應(yīng)用于SCAN、CPAV等著名病毒檢測工具中。國外專家認(rèn)為特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。特征代碼法的實(shí)現(xiàn)步驟如下：采集已知病毒樣本，病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本。在病毒樣本中，遵從一定的原則抽取特征代碼。 打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)