版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、定義 一、計(jì)算機(jī)例中被明確定義,(Computer)在中民指編制或者在計(jì)算機(jī)程序中計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我的一組計(jì)算機(jī)指令或者程序代碼”。二、計(jì)算機(jī)的長(zhǎng)期毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行,提高系統(tǒng)的安全性是防的一個(gè)重要方面,但完美的系統(tǒng)是不存在的,過于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于檢查,系統(tǒng)失去了可用性、實(shí)用性和易用性,另一方面,信息的要求讓人們?cè)谛姑芎妥プ≈g無法選擇。與反將作為一種技術(shù)對(duì)抗長(zhǎng)期存在,兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展。三、計(jì)算機(jī)的產(chǎn)生不是來源于突發(fā)或偶然的原因一次突發(fā)的停電和偶然的錯(cuò)誤,會(huì)在計(jì)
2、算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令,但這些代碼是無序和的,則是一種比較完美的,精巧嚴(yán)謹(jǐn)?shù)拇a,按照嚴(yán)格的秩序組織起來,與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來,不會(huì)通過偶然形成,并且需要有一定的長(zhǎng)度,這個(gè)基本的長(zhǎng)度從概率上來講是不可能通過隨機(jī)代碼產(chǎn)生的?,F(xiàn)在流行的是由人為故意編寫的,多數(shù)可以找到作者和產(chǎn)地信息,從大量的統(tǒng)計(jì)分析來看,作者主要情況和目的是:一些天才的程序員為了表現(xiàn)自己和證明自己的能力,處于對(duì)上司的不滿,為了好奇,為了,為了祝賀和求愛,為了得到控制口令,為了拿不到預(yù)留的陷阱等當(dāng)然也有因政事,的測(cè)試,民族專利等方面的需求而專門編寫的,其中也包括一些研究機(jī)構(gòu)和四、計(jì)算機(jī)的特點(diǎn),計(jì)算機(jī)
3、具有以下幾個(gè)特點(diǎn):(1) 寄生性 計(jì)算機(jī)寄生在其他程序之中,當(dāng)執(zhí)行這個(gè)程序時(shí),就起破壞作用,而在未啟動(dòng)這個(gè)程序之前,它是不易發(fā)覺的。(2) 傳染性 計(jì)算機(jī)不但本身具有破壞性,更有害的是具有傳染性,一旦被通過傳或產(chǎn)生變種,其速度之快令人難以預(yù)防。傳染性是的基本特征。在生物界,染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下,它到大量繁殖,井使被的生物體到未被病癥甚至。同樣,計(jì)算機(jī)也會(huì)通過各種從已被的計(jì)算機(jī)擴(kuò)散的計(jì)算機(jī),在某些情況下造成被的計(jì)算機(jī)工作失常甚至癱瘓。與生物不同的是,計(jì)算機(jī)是一段人為編制的計(jì)算機(jī)程序代碼,這段程序代碼一旦進(jìn)入計(jì)算機(jī)井得以執(zhí)行,它就會(huì)搜尋其他符合其傳染條件的程序或介質(zhì),確
4、定目標(biāo)后再將自身代碼其中,達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒,如不及時(shí)處理,那么會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散,其中的大量文件(一般是可執(zhí)行文件)會(huì)被。而被的文件又成了新的傳染源,再與其他機(jī)器進(jìn)行或通過網(wǎng)絡(luò)接觸,會(huì)繼續(xù)進(jìn)行傳染。 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其他程序之上的。而傳染到一切符合其傳染條件的未受到傳染的程序之上。計(jì)算機(jī)卻能使自身的代碼強(qiáng)行可通過各種可能的,如軟盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。當(dāng)您在一臺(tái)機(jī)器上發(fā)現(xiàn)了時(shí),往往曾在這臺(tái)計(jì)算機(jī)上用過的軟盤已上了,而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)也許也被該染上了。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)的最重要條件。程序通過修改
5、磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到序叫做宿主程序;的傳染和擴(kuò)散。被嵌入的程(3) 潛伏性 有些像定時(shí)一樣,讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五,不到預(yù)定時(shí)間一點(diǎn)都覺察不出來,等到條件具備的時(shí)候一下子就開來,對(duì)系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)程序,進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作,可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中,對(duì)其他系統(tǒng)進(jìn)行傳染,而不發(fā)現(xiàn),潛伏性愈好,其在系統(tǒng)中的存在時(shí)間就會(huì)愈長(zhǎng),的傳染范圍就會(huì)愈大。 潛伏性的第一種表現(xiàn)是指,程序不用檢測(cè)程序是檢查不出來的,因此可以靜靜地躲在磁盤或磁帶里呆上幾天,甚至幾年,一旦時(shí)機(jī)成熟,得到運(yùn)行機(jī)會(huì),就又要四處繁殖、擴(kuò)
6、散,繼續(xù)為害。潛伏性的第二種表現(xiàn)是指,計(jì)算機(jī)的往往有一種觸發(fā)機(jī)制,不滿足觸發(fā)條件時(shí),計(jì)算機(jī)除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí),有的則執(zhí)行破壞系統(tǒng)的操作,如格式化磁盤、刪除磁盤文件、對(duì)數(shù)據(jù)文件做加密、鍵盤以及使系統(tǒng)死鎖等;(4) 隱蔽性 計(jì)算機(jī)具有很強(qiáng)的隱蔽性,有的可以通過檢查出來,有的根本。就查不出來,有的時(shí)隱時(shí)現(xiàn)、變化無常,這類處理起來通常很(5)破壞性 計(jì)算機(jī)到不同程度的損壞 ;后,可能會(huì)導(dǎo)致正常的程序無法運(yùn)行,把計(jì)算機(jī)內(nèi)的文件刪除或受(6)計(jì)算機(jī)的可觸發(fā)毒因某個(gè)事件或數(shù)值的出現(xiàn),誘使實(shí)施或進(jìn)行的特性稱為可觸發(fā)性。為了隱蔽自己,必須潛伏,少做
7、動(dòng)作。如果完全不動(dòng),一直潛伏的話,既不能也不能進(jìn)行破壞,便失去了毒的觸發(fā)機(jī)制就是用來控制力。既要隱蔽又要維持力,它必須具有可觸發(fā)和破壞動(dòng)作的頻率的。具有預(yù)定的觸發(fā)條件,這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。運(yùn)行時(shí),觸發(fā)機(jī)制檢查預(yù)定條件是否滿足,如果滿足,啟動(dòng)或破壞動(dòng)作,使進(jìn)行或;如果不滿足,使五、計(jì)算機(jī)繼續(xù)潛伏。分類,根據(jù)多年對(duì)計(jì)算機(jī)的研究,按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法,計(jì)算機(jī)可分類如下:按照計(jì)算機(jī)屬性的方法進(jìn)行分類,計(jì)算機(jī)可以根據(jù)下面的屬性進(jìn)行分類:按照計(jì)算機(jī)存在的進(jìn)行分類根據(jù)通過計(jì)算機(jī)網(wǎng)絡(luò)存在的,可以劃分為網(wǎng)絡(luò),文件,引導(dǎo)型。網(wǎng)絡(luò)網(wǎng)絡(luò)中的可執(zhí)行文件,文件啟動(dòng)扇區(qū)(Boot)
8、和硬盤的系計(jì)算機(jī)中的文件(如:COM,EXE,DOC 等),引導(dǎo)型統(tǒng)引導(dǎo)扇區(qū)(MBR),還有這三種情況的混合型,例如:多型(文件和引導(dǎo)型)文件和引導(dǎo)扇區(qū)兩種目標(biāo),這樣的統(tǒng),同時(shí)使用了加密和變形算法。通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系按照計(jì)算機(jī),駐留型傳染的方法進(jìn)行分類根據(jù)傳染的方法可分為駐留型和非駐留型計(jì)算機(jī)后,把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中,這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng).非駐留型在得到機(jī)會(huì)激活時(shí)并不計(jì)算機(jī)內(nèi)存,一些在內(nèi)存中留有小部分,但是并不通過這一部分進(jìn)行傳染,這類毒破壞的能力可劃分為以下幾種:無害型也被劃分為非
9、駐留型。根據(jù)病除了傳染時(shí)減少磁盤的可用空間外,對(duì)系統(tǒng)沒有其它影響。無型這類僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。型,這類在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常這類型刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些對(duì)系統(tǒng)造成的危害,并不是本身的算法中存在的調(diào)用,而是當(dāng)它們傳染時(shí)會(huì)引起無法預(yù)料的和性的破壞。由引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū),這些也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型也可能會(huì)對(duì)新版的 DOS、Windows 和其它操作系統(tǒng)造成破壞。例如:在早期的中,有一個(gè)“Denzuk”在 360K 磁盤上很好的工作,不會(huì)造成任何破壞,但是在后來的高密度軟盤
10、上卻能引起大量的數(shù)據(jù)丟失。根據(jù)特有的算法,可以劃分為:伴隨型,這一類并不改變文件本身,它們根據(jù)算法產(chǎn)生 EXE 文件的伴隨體,具有同樣的名字和不同的擴(kuò)展名(COM),例如:XCOPY.EXE 的伴隨體是。把自身寫入COM 文件并不改變EXE 文件,當(dāng) DOS 加載文件時(shí),伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來的EXE 文件?!叭湎x”型,通過計(jì)算機(jī)網(wǎng)絡(luò),不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存到其它機(jī)器的內(nèi)存,計(jì)算網(wǎng)絡(luò)地址,將自身的通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在,一般除了內(nèi)存不占用其它資源。寄生型除了伴隨和“蠕蟲”型,其它均可稱為寄生型,它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中,通過系統(tǒng)的功
11、能進(jìn)行,按其算法不同可分為:練習(xí)型,自身包含錯(cuò)誤,不能進(jìn)行很好的,例如一些在調(diào)試階段。詭秘型DOS變型它們一般不直接修改 DOS 中斷和扇區(qū)數(shù)據(jù),而是通過設(shè)備技術(shù)和文件緩沖區(qū)等修改,不易看到資源,使用比較高級(jí)的技術(shù)。利用 DOS 空閑的數(shù)據(jù)區(qū)進(jìn)行工作。(又稱) 這一類使用一個(gè)復(fù)雜的算法,使自己每一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無關(guān)指令的成。算法和被變化過的體組六、計(jì)算機(jī)的發(fā)展,在的發(fā)展史上,的出現(xiàn)是有規(guī)律的,一般情況下一種新的技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)升級(jí)后,技術(shù)出現(xiàn)后,迅速發(fā)展,接著反也會(huì)調(diào)整為新的方式,產(chǎn)生新的DOS 引導(dǎo)階段技術(shù)。它可劃分為:1987 年,計(jì)算機(jī)
12、主要是引導(dǎo)型,具有代表性的是“小球”和“石頭”。當(dāng)時(shí)的計(jì)算機(jī)硬件較少,功能簡(jiǎn)單,一般需要通過軟盤啟動(dòng)后使用.引導(dǎo)型利用軟盤的啟動(dòng)原理工作,它們修改系統(tǒng)啟動(dòng)扇區(qū),在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時(shí)進(jìn)行;,引導(dǎo)型 DOS 可執(zhí)行階段發(fā)展為可以硬盤,典型的代表有“石頭 2”;,可執(zhí)行文件型出現(xiàn),它們利用 DOS 系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為“,代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán),修改 DOS 中斷,在系統(tǒng)調(diào)用撒冷”,“天”時(shí)進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長(zhǎng)度增加。1990 年 發(fā)展為復(fù)合型伴隨、批次型階段可和 EXE 文件
13、。1992 年,伴隨型出現(xiàn),它們利用 DOS 加載文件的優(yōu)先順序進(jìn)行工作,具有代表性的是“金蟬”,它EXE 文件時(shí)生成一個(gè)和EXE 同名但擴(kuò)展名為COM 的伴隨體;它文件時(shí),,這樣,改原來的COM 文件為同名的EXE 文件 再產(chǎn)生一個(gè)原名的伴隨體文件擴(kuò)展名為在 DOS 加載文件時(shí),就取得控制權(quán).這類的特點(diǎn)是不改變?cè)瓉淼奈募?nèi)容,日期及屬性,解除時(shí)只要將其伴隨體刪除即可。在非 DOS 操作系統(tǒng)中,一些伴隨型利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作,具有典型代表的是“海盜旗”口令,然后返回一個(gè)出錯(cuò)信息,將自身刪除。批次型,它在得到執(zhí)行時(shí),詢問用戶名稱和是工作在 DOS 下的和“海盜旗”類似的一類、多形階段。
14、1994 年,隨著匯編語(yǔ)言的發(fā)展,實(shí)現(xiàn)同能可以用不同的方式進(jìn)行完成,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。就是利用這個(gè)特點(diǎn),每一次就產(chǎn)生不同的代碼。例如“一半”在前的數(shù)據(jù)中,查解這類就是產(chǎn)生一段有上億種可能的就必須能對(duì)這段數(shù)據(jù)進(jìn)行運(yùn)算程序,體被隱藏,加大了查毒的難度。多形型是一種綜合毒,它既能引導(dǎo)區(qū)又能程序區(qū),多數(shù)具有算法,一種往往要兩段以上的子程序方能解除。,變體機(jī)階段1995 年,在匯編語(yǔ)言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的成,當(dāng)加一些空操作和無關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段算法就可以由生的生成結(jié)果為時(shí),就產(chǎn)生了這種復(fù)雜的“” ,而
15、變體機(jī)就是增制造機(jī)” VCL,它可以在瞬復(fù)雜程度的指令生成機(jī)制。這一階段的典型代表是“間制造出成千上萬種不同的,查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法,需要在宏觀上分析指令,后查解。網(wǎng)絡(luò),蠕蟲階段1995 年,隨著網(wǎng)絡(luò)的普及,開始利用網(wǎng)絡(luò)進(jìn)行,它們只是以上幾代的改進(jìn).在非DOS 操作系統(tǒng)中,“蠕蟲”是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行中存在。視窗階段,有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件1996 年,隨著 Windows 和 Windows95 的日益普及,利用 Windows 進(jìn)行工作的開始發(fā)展,它們修改(NE,PE)文件,典型的代表是
16、 DS.3873,這類的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API 調(diào)用接口工作,解除方法也比較復(fù)雜。宏階段 1996 年,隨著 Windows Word 功能的增強(qiáng),使用 Word 宏語(yǔ)言也可以編制,這種使用類 Basic 語(yǔ)言、編寫容易、Word 文檔等文件,在 Excel 和 AmiPro 出現(xiàn)的相同工作機(jī)制的也歸為此類,由于 Word 文檔格式?jīng)]有公開,這類互連網(wǎng)階段查解比較;1997 年,隨著因特網(wǎng)的發(fā)展,各種也開始利用因特網(wǎng)進(jìn)行,一些攜帶的數(shù)據(jù)包和郵件越來越多,如果不打開了這些郵件,機(jī)器就有可能爪哇(Java),郵件階段;1997 年,隨著網(wǎng)(Wold Wide Web)上 Java
17、的普及,利用 Java 語(yǔ)言進(jìn)行和資料獲取的和破壞的病開始出現(xiàn),典型的代表是 JavaSnake,還有一些利用郵件服務(wù)器進(jìn)行毒,例如-Bomb,它會(huì)嚴(yán)重影響因特網(wǎng)的效率。七、其他的破壞行為,計(jì)算機(jī)的破壞行為體現(xiàn)了的能力。破壞行為的激烈程度取決于作者的愿望和他所具有的技術(shù)能量。數(shù)以萬計(jì)不斷發(fā)展擴(kuò)張的,其資料破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據(jù)現(xiàn)有的可以把的破壞目標(biāo)和部位歸納如下:系統(tǒng)數(shù)據(jù)區(qū),部位包括:硬盤主引尋扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄等。一般來說,系統(tǒng)數(shù)據(jù)區(qū)的是惡毒,受損的數(shù)據(jù)不易恢復(fù)。文件,對(duì)文件的方式很多,可列舉如下:刪除、改名、替換內(nèi)容、丟失
18、部分程序代碼、內(nèi)容顛倒、寫入時(shí)間空白、變碎片、文件、丟失文件簇、的主要目標(biāo)之一,病丟失數(shù)據(jù)文件等。內(nèi)存,內(nèi)存是計(jì)算機(jī)的重要資源,也是毒額外地占用和消耗系統(tǒng)的內(nèi)存資源,可以導(dǎo)致一些較的大程序難以運(yùn)行。內(nèi)存的方式如下:占用大量?jī)?nèi)存、改變內(nèi)存總量、分配內(nèi)存、蠶食內(nèi)存等。干擾系統(tǒng)運(yùn)行,此類型會(huì)干擾系統(tǒng)的正常運(yùn)行,以此作為自己的破壞行為,此類行為也是花樣繁多,可以列舉下述諸方式:不執(zhí)行命令、干擾命令的執(zhí)行、虛假、使文件打不開、使棧溢出、占用特殊數(shù)據(jù)區(qū)、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制、擾亂串行口、并行口等。 速度下降,激活時(shí),其的時(shí)間延遲程序啟動(dòng),在時(shí)鐘中納入了時(shí)間的循環(huán)計(jì)數(shù),迫使計(jì)算機(jī)空轉(zhuǎn),計(jì)算機(jī)速度明顯
19、下降。磁盤,磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時(shí)丟字節(jié)等。 擾亂屏幕顯示擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環(huán)繞、倒置、顯示前一屏、光標(biāo)下跌、滾屏、抖寫、吃字符等。 鍵盤,干擾鍵盤操作,已發(fā)現(xiàn)有下述方式:響鈴、鍵盤、換字、抹掉緩存區(qū)字符、重復(fù)、輸入紊亂等。喇叭,許多運(yùn)行時(shí),會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。有的作者通過喇叭發(fā)出種種聲音,有的作者讓演奏旋律優(yōu)美的世界名曲,在高雅的曲調(diào)中去殺戮人們的信息財(cái)富,已發(fā)現(xiàn)的喇叭有以下方式:演奏曲子、警笛聲、噪聲、鳴叫、咔咔聲、嘀嗒聲等。CMOS , 在機(jī)器的 CMOS 區(qū)中,保存著系統(tǒng)的重要數(shù)據(jù),例如系統(tǒng)時(shí)鐘、磁盤類型、內(nèi)存容量等,并具有校驗(yàn)和。有
20、的激活時(shí),能夠?qū)MOS 區(qū)進(jìn)行寫入動(dòng)作,破壞系統(tǒng) CMOS 中的數(shù)據(jù)。 干擾,典型現(xiàn)象為:假、間斷性打印、更換字符等。八、計(jì)算機(jī)的危害性,計(jì)算機(jī)資源的損失和破壞,不但會(huì)造成資源和的巨大浪費(fèi),而且有可能造成社會(huì)性的毒的任務(wù)也更加艱巨了。,隨著信息化社會(huì)的發(fā)展,計(jì)算機(jī)的日益嚴(yán)重,反病年月 日下午 時(shí) 分秒,康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系有數(shù),23 歲的(Morris)將其編寫的蠕蟲程序輸入計(jì)算機(jī)網(wǎng)絡(luò),致使這個(gè)擁計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次,引起了巨大反響,震重視和致力于計(jì)算機(jī)病,它對(duì)統(tǒng)計(jì)系統(tǒng)影響驚全世界,引起了人們對(duì)計(jì)算機(jī)毒研究。1988 年下半年,我國(guó)在的,也使的計(jì)算機(jī)系統(tǒng)首次發(fā)現(xiàn)
21、了“小球”極大,此后由計(jì)算機(jī)發(fā)作而引起的“事件”接連不斷,前一段時(shí)間發(fā)現(xiàn)的CIH、美麗殺等更是給社會(huì)造成了很大損失。預(yù)防 首先,上重視,加強(qiáng)管理,止的。凡是從外來的軟盤往機(jī)器中拷信息,都應(yīng)該先對(duì)軟盤進(jìn)行查毒,若有必須清除,這樣可以保證計(jì)算機(jī)不被新的傳染。此外,由于具有潛伏性,可能機(jī)器中還隱蔽著某些舊,一旦時(shí)機(jī)成熟還將發(fā)作,重視是基礎(chǔ),采取有效的查毒所以,要經(jīng)常對(duì)磁盤進(jìn)行檢查,若發(fā)現(xiàn)就及時(shí)殺除。與方法是技術(shù)保證。檢查與消除目前通常有兩種,一種是在計(jì)算機(jī)中加一塊防卡,另一種是使用防工作原理基本一樣,一般用防的用戶一些。切記要注意一點(diǎn),預(yù)防與消除懈。是一項(xiàng)長(zhǎng)期的工作任務(wù),不是一勞永逸的,應(yīng)堅(jiān)持不計(jì)算
22、機(jī)計(jì)算機(jī)是在什么情況下出現(xiàn)的?的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是:(1)計(jì)算機(jī)是計(jì)算機(jī)的一種新的衍化形式計(jì)算機(jī)刺激了是高技術(shù)意識(shí)和, 具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證, 風(fēng)險(xiǎn)小破壞大, 從而活動(dòng)。是某些人惡作劇和心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn);(2)計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因計(jì)算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、處理、輸出等環(huán)節(jié), 易誤入、篡改、丟失、和破壞;程序易被刪除、改寫;計(jì)算機(jī)設(shè)計(jì)工方式, 效率低下且生產(chǎn)周期長(zhǎng);人們至今沒有辦法事先了解一個(gè)程序有沒有錯(cuò)誤, 只能在運(yùn)行中發(fā)現(xiàn)、修改錯(cuò)誤, 并不知道還有多少錯(cuò)誤和缺陷隱藏在其中。這些
23、脆弱性就為的侵入提供了方便;(3)微機(jī)的普及應(yīng)用是計(jì)算機(jī)產(chǎn)生的必要環(huán)境。首次提出了計(jì)算機(jī)1983 年 11 月 3 日計(jì)算機(jī)的概念并進(jìn)行了驗(yàn)證。幾年前計(jì)算機(jī)就迅速蔓延,到我國(guó)才是近年來的事。而這幾年正是我國(guó)微型計(jì)算機(jī)普及應(yīng)用熱潮。微機(jī)的廣泛普及,操作系統(tǒng)簡(jiǎn)單明了,軟、硬件高,基本上沒安全措施, 能夠透徹了解它結(jié)構(gòu)的用戶日益增多,對(duì)其存在的缺點(diǎn)和易處也了解的越來越清楚,不同的目的可以做出截然不同的選擇。目前,在 IBM PC 系統(tǒng)及其兼容機(jī)上廣泛流行著各種病毒就很說明這個(gè)問題。預(yù)防的八點(diǎn)注意事項(xiàng)1、備好啟動(dòng)軟盤,并貼上寫保護(hù)。 檢查電腦,最好應(yīng)在沒有干擾的環(huán)境下進(jìn)行,才能測(cè)出真正的原因,或解決的
24、侵入。因此,在安裝系統(tǒng)之后,應(yīng)該及時(shí)做一張啟動(dòng)盤,以備不時(shí)之需。2、重要資料,必須備份。資料是最重要的,程序損壞了可重新拷貝或再買一份,但是自己鍵入的資料,可能是三年的會(huì)計(jì)資料或畫了三個(gè)月的圖紙,結(jié)果某一天,硬盤壞了或者因?yàn)槎鴵p壞了資料,會(huì)讓人欲哭無淚,所以對(duì)于重要資料經(jīng)常備份是絕對(duì)必要的。3、盡量避免在無防毒的機(jī)器上使用可移動(dòng)介質(zhì)。一般人都以為不要使用別人的磁盤,即可防毒,但是不要隨便用別人的電腦也是非常重要的,否則有可能帶一大堆回家。4、使用新時(shí),先用掃毒程序檢查,可減少機(jī)會(huì)。5、準(zhǔn)備一份具有殺毒及保護(hù)功能的,將有助于杜絕。6、重建硬盤是有可能的,救回的機(jī)率相當(dāng)高。若硬盤資料已遭破壞,不必
25、急著格式化,因不可能在短時(shí)間內(nèi)將全部硬盤資料破壞,故可利用殺毒加以分析,恢復(fù)至受損前狀態(tài)。7、不要在互聯(lián)網(wǎng)上隨意。的一大途徑,就是ernet。潛伏在網(wǎng)絡(luò)上的各種可程序中,如果你隨意、隨意打開,對(duì)于制造者來說,可真是再好不過了。因此,不要免費(fèi),如果實(shí)在需要,請(qǐng)?jiān)诤髨?zhí)行殺毒徹底檢查。,都是通過電子郵件8、不要輕易打開電子郵件的附件。近年來造成大規(guī)模破壞的許多的。不要以為只打開熟人發(fā)送的附件就一定保險(xiǎn),有的會(huì)自動(dòng)檢查受害人電腦上的并向其中的所有地址自動(dòng)發(fā)送帶毒文件。最妥當(dāng)?shù)淖龇?,是先將附件保存下來,不要打開,先用查毒問答計(jì)算機(jī)徹底檢查。寄生方式有哪幾種?(1)寄生在磁盤引導(dǎo)扇區(qū)中:任何操作系統(tǒng)都有個(gè)
26、自舉過程, 例如 DOS 在啟動(dòng)時(shí), 首先由系統(tǒng)讀入引導(dǎo)扇區(qū)并執(zhí)行它, 將 DOS 讀入內(nèi)存。程序就是利用了這一點(diǎn), 自身占據(jù)了引導(dǎo)扇區(qū)而將原來的引導(dǎo)扇區(qū)內(nèi)容及其扇區(qū)標(biāo)志為壞簇。這樣, 系統(tǒng)的一次初始化,的其他部分放到磁盤的其他空間, 并給這些就被激活了。它首先將自身拷貝到內(nèi)存的高端并占據(jù)該范圍, 然后置觸發(fā)條件如13H 中斷(磁盤讀寫中斷)向量的修改, 置時(shí)鐘的某一值為條件等, 最后引入正常的操作系統(tǒng)。以后一旦觸發(fā)條件成熟, 如一個(gè)磁盤讀或?qū)懙恼?qǐng)求,就被觸發(fā)。如果磁盤沒有被(通過識(shí)別標(biāo)志)則進(jìn)行傳染。(2)寄生在可執(zhí)行程序中:這種寄生在正常的可執(zhí)行程序中, 一旦程序執(zhí)行就被激活, 于是程序首
27、先被執(zhí)行, 它將自身常駐內(nèi)存, 然后置觸發(fā)條件, 也可能立即進(jìn)行傳染, 但一般不作表現(xiàn)。做完這些工作后, 開始執(zhí)行正常的程序,程序也可能在執(zhí)行正常程序之后再置觸發(fā)條件等工作??梢约纳谠闯绦虻氖撞恳部梢约纳谖膊? 但都要修改源程序的長(zhǎng)度和一些控制信息, 以保證成為源程序的一部分, 并在執(zhí)行時(shí)首先執(zhí)行它。這種傳染性比較強(qiáng)。(3)寄生在硬盤的主引導(dǎo)扇區(qū)中:例如關(guān)。是怎么命名的?硬盤的主引導(dǎo)扇區(qū), 該扇區(qū)與 DOS 無很多時(shí)候大家已經(jīng)用殺毒查出了自己的機(jī)子中了例如 Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數(shù)字的名,這時(shí)有些人就蒙了
28、,那么長(zhǎng)一串的名字,我怎么知道是什么其實(shí)只要掌握一些啊?名規(guī)則,就能通過殺毒的中出現(xiàn)的名來判斷該的一些共有的特性了:一般格式為:.前綴是指一個(gè)其前綴也是不同的。比如等還有其他的。名是指一個(gè)的種類,他是用來區(qū)別的種族分類的。不同的種類的,Trojan ,蠕蟲的前綴是 Worm 等常見的木馬的前綴的特征,是用來區(qū)別和標(biāo)識(shí)的,如以前著名的 CIH的名都是的“CIH ”,振蕩波蠕蟲的名是“Sasser ”。的某個(gè)變種的。一后綴是指一個(gè)的變種特征,是用來區(qū)別具體某個(gè)般都采用英文中的 26 個(gè)字母來表示,如 Worm.Sasser.b 就是指 振蕩波蠕蟲的變種 B,因此一般稱為 “振蕩波B 變種”或者“振
29、蕩波變種B”。如果該數(shù)字與字母混合表示變種標(biāo)識(shí)。變種非常多,可以采用下面附帶一些常見的(1)系統(tǒng)前綴的解釋(針對(duì)用得最多的 Windows 操作系統(tǒng)):系統(tǒng)是可以毒。(2)蠕蟲蠕蟲的前綴為:Win32、PE、Win95、W32、W95 等。這些的一般共有的特性windows 操作系統(tǒng)的 *.exe 和*.dll 文件,并通過這些文件進(jìn)行。如 CIH 病的前綴是:Worm。這種的共有特性是通過網(wǎng)絡(luò)或者系統(tǒng)進(jìn)行,很大部分的蠕蟲都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。比如沖擊波(阻塞網(wǎng)絡(luò)),小郵差(發(fā)帶毒郵件) 等。(3)木馬、木馬其前綴是:Trojan,前綴名一般為 Hack 。木馬的共有特性是通過
30、網(wǎng)絡(luò)或者系統(tǒng)進(jìn)入用戶的系統(tǒng)并隱藏,然后向外界用戶的信息,而則有一個(gè)可視的界面,能對(duì)用戶的電腦進(jìn)行控制。木馬、則會(huì)通過該木馬消息尾巴木馬往往是成對(duì)出現(xiàn)的,即木來進(jìn)行控制?,F(xiàn)在這兩種類型馬負(fù)責(zé)侵入用戶的電腦,而都越來越趨向于整合了。一般的木馬如3344 ,還有大家可能遇Trojan.見比較多的針對(duì)的木馬如Trojan.LMir.PSW.60 。這里補(bǔ)充一點(diǎn),名中有PSW 或者什么 PWD 之類的一般都表示這個(gè)碼”的英文“password”的縮寫)一些(4)的前綴是:Script。有盜取的功能(這些字母一般都為“密程序如:網(wǎng)絡(luò)梟雄(Hack.Nether.C nt)等。的共有特性是使用語(yǔ)言編寫,通過
31、網(wǎng)頁(yè)進(jìn)行的的,如紅色代碼(Script.Redlof)。還會(huì)有如下前綴:VBS、JS(表明是何種編寫的),如歡樂時(shí)光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。(5)宏其實(shí)宏是也是的一種,由于它的特殊性,因此在這里單獨(dú)算成一類。宏的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只WORD97 及以前版本 WORD 文檔的采用 Word97 做為第二前綴,格式是:Macro.Word97;凡是只WORD97 以后版本 WORD 文檔的采用 Word 做為第二前綴,格式是:Macro.Word;凡是
32、只EXCEL97 及以前版本 EXCEL 文檔的采用Excel97 做為第二前綴,格式是:Macro.Excel97;凡是只EXCEL97 以后版本 EXCEL 文檔的能采用 Excel 做為第二前綴,格式是:Macro.Excel,以此類推。該類的共有特性是OFFICE 系列文檔,然后通過 OFFICE 通用模板進(jìn)行, 如: 著名的美麗莎(Macro.Melissa)。(6)后門后門的前綴是:Backdoor。該類的共有特性是通過網(wǎng)絡(luò),給系統(tǒng)開后門,給用戶電腦帶來安全隱患。(7)種植程序這類的共有特性是運(yùn)行時(shí)會(huì)從體內(nèi)出一個(gè)或幾個(gè)新的到系統(tǒng)目錄下,由出來的新產(chǎn)生破壞。 如:冰河播種者( Dro
33、pper.BingHe2.2C )、MSN 射手(Dropper.Worm.Smibag)等。(8)破壞性程序破壞性程序的前綴是:Harm。這類的共有特性是本身具有好看的圖標(biāo)來用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類時(shí),便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。如:格式化 C mand.Killer)等。盤(Harm.formatC.f)、(9)玩笑命令(玩笑的前綴是:Joke。也稱惡作劇。這類的共有特性是本身具有好看的圖標(biāo)來用戶點(diǎn)擊,當(dāng)用戶點(diǎn)擊這類時(shí),會(huì)做出各種破壞操作來嚇唬用戶,其實(shí)并沒有對(duì)用戶電腦進(jìn)行任何破壞。如:女鬼(Joke.Girl ghost)機(jī)。(10)機(jī)的前綴是:Binder。這類的共有特性是作者會(huì)使用
34、特定的程序?qū)⑿┡c一些應(yīng)用程序如、IE起來,表面上看是一個(gè)正常的文件,當(dāng)用戶運(yùn)行這時(shí),會(huì)表面上運(yùn)行這些應(yīng)用程序,然后隱藏運(yùn)行在一起的,從而給用戶造成危害。如:以上為比較常見的單提一下:(Binder.Pass.Bin)、系統(tǒng)(Binder.killsys)等。前綴,有時(shí)候還會(huì)看到一些其他的,但比較少見,這里簡(jiǎn)DoS:會(huì)針對(duì)某臺(tái)主機(jī)或者服務(wù)器進(jìn)行 DoS;Exploit:會(huì)自動(dòng)通過溢出對(duì)方或者自己的系統(tǒng)用于 Hacking 的溢出工具;來自身,或者他本身就是一個(gè)HackTool:替身去破壞別人。工具,也許本身并不破壞你的機(jī)子,但是會(huì)被別人加以利用來用你做你可以在查出某個(gè)以后通過以上所說的方法來初步
35、判斷所中的基本情況,達(dá)到知己知彼的效果。在殺毒無法自動(dòng)查殺,打算采用手工方式的時(shí)候這些信息會(huì)給你很大的幫助計(jì)算機(jī)計(jì)算機(jī)的工作過程應(yīng)包括哪些環(huán)節(jié)?的完整工作過程應(yīng)包括以下幾個(gè)環(huán)節(jié):傳染源:傳染媒介:總是依附于某些介質(zhì), 例如軟盤、 硬盤等傳染源。傳染的媒介由工作的環(huán)境來定, 可能是計(jì)算機(jī)網(wǎng), 也可能是可移動(dòng)的存儲(chǔ)介質(zhì), 例如軟磁盤等。(3)激活:是指將裝入內(nèi)存, 并設(shè)置觸發(fā)條件, 一旦觸發(fā)條件成熟,就開始作用自我到傳染對(duì)象中, 進(jìn)行各種破壞活動(dòng)等。(4)觸發(fā):計(jì)算機(jī)一旦被激活, 立刻就發(fā)生作用, 觸發(fā)的條件是多樣化的, 可以是時(shí)鐘, 系統(tǒng)的日期, 用戶標(biāo)識(shí)符,也可能是系次通信等等。(5)表現(xiàn):表
36、現(xiàn)是的主要目的之一, 有時(shí)在屏幕顯示出來, 有時(shí)則表現(xiàn)為破壞系統(tǒng)技術(shù)能夠觸發(fā)到的地方, 都在其表現(xiàn)范圍內(nèi)。數(shù)據(jù)??梢赃@樣說, 凡是(6)傳染:的傳染是性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中,一個(gè)自身副本到傳染對(duì)象中去。不同種類的計(jì)算機(jī)的傳染方法有何不同?從的傳染方式上來講, 所有到目前為止可以歸結(jié)于三類:用戶程序的計(jì)算機(jī)病毒;操作系統(tǒng)文件的計(jì)算機(jī);磁盤引導(dǎo)扇區(qū)的計(jì)算機(jī)。這三類的傳染方式均不相同。用戶應(yīng)用程序的計(jì)算機(jī)的傳染方式是以的方式對(duì)應(yīng)用程序進(jìn)行傳染。這種在一個(gè)受傳染的應(yīng)用程序執(zhí)行時(shí)獲得控制權(quán), 同時(shí)掃描計(jì)算機(jī)系統(tǒng)在硬盤或軟盤上的另外的應(yīng)用程序, 若發(fā)現(xiàn)這些程序時(shí), 就在應(yīng)用程序中, 完成傳染,
37、返回正常的應(yīng)用程序并繼續(xù)執(zhí)行。操作系統(tǒng)文件的計(jì)算機(jī)的傳染方式,是通過與操作系統(tǒng)中所有的模塊或程序來進(jìn)行傳染。由于操作系統(tǒng)的某些程序是在系統(tǒng)啟動(dòng)過程中調(diào)入內(nèi)存的, 所以傳染操作系統(tǒng)的是通過某個(gè)操作系統(tǒng)中的程序或模塊并隨著它們的運(yùn)行進(jìn)入內(nèi)存的進(jìn)入內(nèi)存后就判斷是否滿足條件時(shí)則進(jìn)行傳染。磁盤引導(dǎo)扇區(qū)的的傳染方式, 從實(shí)質(zhì)上講 Boot 區(qū)傳染的是將其自身附加到軟盤或硬盤的Boot 扇區(qū)的引導(dǎo)程序中, 并將的全部或部分存入引導(dǎo)扇區(qū) 512B 之中。這種是在系統(tǒng)啟動(dòng)的時(shí)候進(jìn)入內(nèi)存中, 并取得控制權(quán), 在系統(tǒng)運(yùn)行的任何時(shí)刻都會(huì)保持對(duì)系統(tǒng)的控制, 時(shí)刻監(jiān)視著系統(tǒng)中使用的新軟盤。當(dāng)一片新的軟盤系統(tǒng)進(jìn)行第一次讀寫
38、時(shí),就將其傳輸出該軟盤的 0 扇區(qū)中, 而后將傳染下一個(gè)使用該軟盤的系統(tǒng)。通過的軟盤對(duì)系統(tǒng)進(jìn)行引導(dǎo)是這種傳染的主要途徑。計(jì)算機(jī)計(jì)算機(jī)傳染的先決條件是什么?的傳染是以計(jì)算機(jī)系統(tǒng)的運(yùn)行及讀寫磁盤為基礎(chǔ)的。沒有這樣的條件計(jì)算機(jī)是不會(huì)傳染的, 因?yàn)橛?jì)算機(jī)不啟動(dòng)不運(yùn)行時(shí)就談不上對(duì)磁盤的讀寫操作或數(shù)據(jù)共享, 沒有磁盤的讀寫,就不到磁盤上或網(wǎng)絡(luò)里。所以只要計(jì)算機(jī)運(yùn)行就會(huì)有磁盤讀寫動(dòng)作, 病毒傳染的兩個(gè)先條件就很容易得到滿足。系統(tǒng)運(yùn)行為駐留內(nèi)存創(chuàng)造了條件,傳染的第一步是駐留內(nèi)存;一旦進(jìn)入內(nèi)存之后, 尋找傳染機(jī)會(huì), 尋找可的對(duì)象, 判斷條件是否滿足, 決定是否可傳染;當(dāng)條件滿足時(shí)進(jìn)行傳染, 將寫入磁盤系統(tǒng)。計(jì)算
39、機(jī)計(jì)算機(jī)的傳染通過哪些途徑?之所以稱之為是因?yàn)槠渚哂袀魅拘缘谋举|(zhì)。傳統(tǒng)通常有以下幾種:(1)通過軟盤:通過使用外界被的軟盤, 例如, 不同來的系統(tǒng)盤、來歷不明的、盤等是最普遍的傳染途徑。由于使用帶有的軟盤,使機(jī)器發(fā)病, 并傳染給未被的“干凈”的軟盤。大量的軟盤交換, 合法或的程序拷貝, 不加控制地隨便在機(jī)器上使用各種造成了、泛濫蔓延的溫床。(2)通過硬盤:通過硬盤傳染也是重要的修等, 將干凈的軟盤傳染并再擴(kuò)散。, 由于帶有機(jī)器移到其它地方使用、維(3)通過光盤:因?yàn)楣獗P容量大,了海量的可執(zhí)行文件,大量的就有可能藏身于光盤,對(duì)只讀式光盤,不能進(jìn)行寫操作,因此光盤上的不能清除。以謀利為目的盜版的制
40、作過程中,不可能為防護(hù)擔(dān)負(fù)專門責(zé)任,也決不會(huì)有真正可靠可行的技術(shù)保障避免便利。的傳入、傳染、流行和擴(kuò)散。當(dāng)前,盜版光盤的泛濫給的帶來了極大的(4)通過網(wǎng)絡(luò):這種傳染擴(kuò)散極快, 能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。隨著 毒的 自文件多數(shù)ernet 的風(fēng)靡,給更迅速,反的又增加了新的途徑,它的發(fā)展使可能成為,病的任務(wù)更加艱巨。 ernet 帶來兩種不同的安全,一種來,這些被瀏覽的或是被的文件可能存在。另一種來自電子郵件。大ernet 郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能,因此,的文檔或文件就可能通過網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。網(wǎng)絡(luò)使用的簡(jiǎn)易性和開放性使得這種越來越嚴(yán)重。計(jì)算機(jī)的傳染是否
41、一定要滿足條件才進(jìn)行?不一定。計(jì)算機(jī)的傳染分兩種。一種是在一定條件下方可進(jìn)行傳染, 即條件傳染。另一種是對(duì)一種傳染對(duì)象的反復(fù)傳染即無條件傳染。從目前蔓延來看所謂條件傳染, 是指一些在傳染過程中, 在被傳染的系統(tǒng)中的這一系統(tǒng)時(shí), 發(fā)現(xiàn)有自己的標(biāo)志則不特定位置上打上自己特有的示志。這一在再次再進(jìn)行傳染, 如果是一個(gè)新的系統(tǒng)或, 首先讀特定位置的值, 并進(jìn)行判斷, 如果發(fā)現(xiàn)讀出的值與自己標(biāo)識(shí)不一致, 則對(duì)這一系統(tǒng)或應(yīng)用程序, 或數(shù)據(jù)盤進(jìn)行傳染, 這是一種情況;另一種情況, 有的通過對(duì)文件的類型來判斷是否進(jìn)行傳染, 如黑色五只感染.COM 或.EXE 文件等等;還有一種情況有的是以計(jì)算機(jī)系統(tǒng)的某些設(shè)備
42、為判斷條件來決定是否。例如可以也發(fā)現(xiàn)有的硬盤, 又可以軟盤, 但對(duì) B 驅(qū)動(dòng)器的軟盤進(jìn)行讀寫操作時(shí)不傳染。但對(duì)傳染對(duì)象反復(fù)傳染。例如黑色五只要發(fā)現(xiàn).EXE 文件就進(jìn)行一次傳染, 再運(yùn)行再進(jìn)行傳染反復(fù)進(jìn)行下去??梢娪袟l件時(shí)能傳染, 無條件時(shí)也可以進(jìn)行傳染。微型計(jì)算機(jī)對(duì)系統(tǒng)的影響表現(xiàn)在哪些方面?計(jì)算機(jī)對(duì)微型計(jì)算機(jī)而言,它的影響表現(xiàn)在:破壞硬盤的分區(qū)表, 即硬盤的主引導(dǎo)扇區(qū)。破壞或重寫軟盤或硬盤 DOS 系統(tǒng) Boot 區(qū)即引導(dǎo)區(qū)。影響系統(tǒng)運(yùn)行速度, 使系統(tǒng)的運(yùn)行明顯變慢。破壞程序或覆蓋文件。破壞數(shù)據(jù)文件。格式化或者刪除所有或部分磁盤內(nèi)容。直接或間接破壞文件連接。使被程序或覆蓋文件的長(zhǎng)度增大。計(jì)算機(jī)
43、傳染的一般過程是什么?在系統(tǒng)運(yùn)行時(shí),通過載體即系統(tǒng)的外器進(jìn)入系統(tǒng)的內(nèi)器, 常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行, 當(dāng)它發(fā)現(xiàn)有的目標(biāo)存在并滿足條件時(shí), 便從內(nèi)存中將自身存入被的目標(biāo), 從而將進(jìn)行。而利用系統(tǒng)13H 讀寫磁盤的中斷又將其寫入系統(tǒng)的外器軟盤或硬盤中, 再其他系統(tǒng)??蓤?zhí)行文件后又怎樣新的可執(zhí)行文件?可執(zhí)行文件.COM 或.EXE上了, 例如黑色五, 它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時(shí)進(jìn)入內(nèi)存的。一旦進(jìn)入內(nèi)存, 便開始監(jiān)視系統(tǒng)的運(yùn)行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí), 進(jìn)行如下操作:(1)首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已了;(2)當(dāng)條件滿足, 利用中;13H 將到
44、可執(zhí)行文件的首部或尾部或中間, 并存大磁盤(3)完成傳染后, 繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行, 試圖尋找新的目標(biāo)。操作系統(tǒng)型是怎樣進(jìn)行傳染的?正常的 PC DOS 啟動(dòng)過程是:加電開機(jī)后進(jìn)入系統(tǒng)的檢測(cè)程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進(jìn)行檢測(cè);檢測(cè)正常后從系統(tǒng)盤 0 面 0 道 1 扇區(qū)即邏輯 0 扇區(qū)讀入 Boot 引導(dǎo)程序到內(nèi)存的 0000: 7C00 處;轉(zhuǎn)入 Boot 執(zhí)行;Boot 判斷是否為系統(tǒng)盤, 如果不是系統(tǒng)盤則提示;non-system disk or disk errorReplace and strike any key when ready否則, 讀入 IBM(5)執(zhí)行 IBM和 I
45、BM和 IBM兩個(gè)隱含文件;兩個(gè)隱含文件, 將裝入內(nèi)存;(6)系統(tǒng)正常運(yùn)行, DOS 啟動(dòng)成功。如果系統(tǒng)盤已(1)將 Boot 區(qū)中了, PC DOS 的啟動(dòng)將是另一番景象, 其過程為:代碼首先讀入內(nèi)存的 0000: 7C00 處;(2)將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存, 監(jiān)視系統(tǒng)的運(yùn)行;(3)修改13H 中斷服務(wù)處理程序的地址, 使之指向控制模塊并執(zhí)行之。因?yàn)槿魏我环N要軟盤或者硬盤, 都離不開對(duì)磁盤的讀寫操作, 修改13H 中斷服務(wù)程序的地址是一項(xiàng)少不了的操作;(4)程序全部被讀入內(nèi)存后才讀入正常的Boot 內(nèi)容到內(nèi)存的 0000: 7C00 處, 進(jìn)行正常的啟動(dòng)過程;(5)程
46、序伺機(jī)等待隨時(shí)準(zhǔn)備新的系統(tǒng)盤或非系統(tǒng)盤。如果發(fā)現(xiàn)有可的對(duì)象,要進(jìn)行下列的工作:(1)將目標(biāo)盤的引導(dǎo)扇區(qū)讀入內(nèi)存, 對(duì)該盤進(jìn)行判別是否傳染了;(2)當(dāng)滿足傳染條件時(shí), 則將程序?qū)懭氪疟P特寫位置;的全部或者一部分寫入 Boot 區(qū), 把正常的磁盤的引導(dǎo)區(qū)(3)返回正常的13H 中斷服務(wù)處理程序, 完成了對(duì)目標(biāo)盤的傳染。操作系統(tǒng)型操作系統(tǒng)型系統(tǒng),則在什么情況下對(duì)軟、硬盤進(jìn)行?只有在系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存。如果一個(gè)軟盤染有, 但并不從它上面引導(dǎo)不會(huì)進(jìn)入內(nèi)存,也就不能活動(dòng)。例如圓點(diǎn)軟盤、硬盤的引導(dǎo)區(qū), 只要用帶的盤啟動(dòng)系統(tǒng)后,便駐留內(nèi)存, 對(duì)哪個(gè)盤進(jìn)行操作, 就對(duì)哪個(gè)盤進(jìn)行后最簡(jiǎn)單的處理方法是什么?。操作系
47、統(tǒng)型對(duì)非系統(tǒng)盤因?yàn)椴僮飨到y(tǒng)型只有在系統(tǒng)引導(dǎo)時(shí)才進(jìn)入內(nèi)存, 開始活動(dòng), 對(duì)非系統(tǒng)盤后, 不從它上面引導(dǎo)系統(tǒng), 則不會(huì)進(jìn)入內(nèi)存。這時(shí)對(duì)已的非系統(tǒng)盤最簡(jiǎn)單的方法是將盤上有用的文件拷貝出來, 然后將帶毒盤重新格式化即可。目前發(fā)現(xiàn)的計(jì)算機(jī)主要癥狀有哪些?從目前發(fā)現(xiàn)的由于由于由于由于由于由于來看, 主要癥狀有:程序把自己或操作系統(tǒng)的一部分用壞簇隱起來, 磁盤壞簇莫名其妙地增多。程序附加在可執(zhí)行程序頭尾或插在中間, 使可執(zhí)行程序容量增大。程序把自己的某個(gè)特殊標(biāo)志作為, 使接觸到的磁盤出現(xiàn)特別。使可用系統(tǒng)空間變小。本身或其品不斷系統(tǒng)空間,程序的異常活動(dòng), 造成異常的磁盤程序附加或占用引導(dǎo)部分, 使系統(tǒng)導(dǎo)引變慢
48、。丟失數(shù)據(jù)和程序。中斷向量發(fā)生變化。打印出現(xiàn)問題。死機(jī)現(xiàn)象增多。生成不可見的表格文件或特定文件。系統(tǒng)出現(xiàn)異常動(dòng)作, 例如:突然死機(jī), 又在無任何外界介入下, 自行起動(dòng)。出現(xiàn)一些無意義的畫面問候語(yǔ)等顯示。程序運(yùn)行出現(xiàn)異?,F(xiàn)象或不合理的結(jié)果。磁盤的卷標(biāo)名發(fā)生變化。系統(tǒng)不認(rèn)識(shí)磁盤或硬盤不能引導(dǎo)系統(tǒng)等。在系統(tǒng)內(nèi)裝有漢字庫(kù)且漢字庫(kù)正常的情況下不能調(diào)用漢字庫(kù)或不能打印漢字。在使用寫保護(hù)的軟盤時(shí)屏幕上出現(xiàn)軟盤寫保護(hù)的提示。(19)異常要求用戶輸令相關(guān)常見Backdoor,危害級(jí)別:1,說明: 中文名稱“后門”, 是指在用戶不知道也不允許的情況下,在被的系統(tǒng)上以隱蔽的方式運(yùn)行可以對(duì)被的系統(tǒng)進(jìn)行控制,而且用戶無
49、法通過正常的方法其運(yùn)行。“后門”其實(shí)是木馬的一種特例,它們之間的區(qū)別在于“后門”可以對(duì)被的系統(tǒng)進(jìn)行控制(如:文件管理、進(jìn)程控制等)。Worm,危害級(jí)別:2,說明: 中文名稱“蠕蟲”,是指利用系統(tǒng)的、外發(fā)郵件、共享目錄、可傳輸文件的軟件(如:MSN、OICQ、IRC 等)、可移動(dòng)介質(zhì)(如:U 盤、軟盤),這些方式自己的。這種類型的其子型行為類型用于表示所使用的方式。,危害級(jí)別:1 說明:通過郵件IM,危害級(jí)別:2,說明:通過某個(gè)不明確的載體或多個(gè)明確的載體自己MSN,危害級(jí)別:3,說明:通過MSN,危害級(jí)別:4,說明:通過 OICQ ICQ 危害級(jí)別:5,說明:通過 ICQ P2P,危害級(jí)別:6
50、,說明:通過 P2P IRC,危害級(jí)別:7,說明:通過 ICR其他,說明:不依賴其他介質(zhì)。進(jìn)行的方式,如:利用系統(tǒng)、共享目錄、可移動(dòng)Trojan ,危害級(jí)別:3,說明: 中文名稱“木馬”,是指在用戶不知道也不允許的情況下,在被的系統(tǒng)上以隱蔽的方式運(yùn)行,而且用戶無法通過正常的方法其運(yùn)行。這種通常都有利益目的,它的利益目的也就是這種的子行為。Spy,危害級(jí)別:1,說明:竊取用戶信息(如文件等)PSW,危害級(jí)別:2,說明:具有竊取的行為DL,危害級(jí)別:3,說明:并運(yùn)行,判定條款:沒有可調(diào)出的任何界面,邏輯功能為:從某上文件加載或運(yùn)行.邏輯條件的事件:事件 1、.不能正?;虻奈募荒芘卸?,操作準(zhǔn)則:
51、該文件不能符合正常功能組件標(biāo)識(shí)條款的,確定為:Trojan.DL事件 2.的文件是,操作準(zhǔn)則:的文件是,確定為: Trojan.DLIMMSG,危害級(jí)別:4,說明:通過某個(gè)不明確的載體或多個(gè)明確的載體即時(shí)消息(這一行為與蠕蟲的行為不同,蠕蟲是自己,木馬僅僅是即時(shí)消息即時(shí)消息即時(shí)消息即時(shí)消息消息)MSNMSG,危害級(jí)別:5,說明:通過MSN MSG,危害級(jí)別:6,說明:通過 OICQICQMSG,危害級(jí)別:7,說明:通過 ICQ UCMSG,危害級(jí)別:8,說明:通過 UCProxy ,危害級(jí)別:9,說明:將被的計(jì)算機(jī)作為服務(wù)器Clicker,危害級(jí)別:10,說明:點(diǎn)擊指定的網(wǎng)頁(yè) ,判定條款:沒有可
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 課程設(shè)計(jì)亮點(diǎn)思路
- 二零二五年度衛(wèi)生醫(yī)療工程墊資合作協(xié)議2篇
- 有關(guān)油泵的課程設(shè)計(jì)
- 統(tǒng)計(jì)學(xué)課程設(shè)計(jì)范文
- 智能化測(cè)控系統(tǒng)課程設(shè)計(jì)
- 自制染料課程設(shè)計(jì)圖
- 草編課程設(shè)計(jì)
- 藝術(shù)課程設(shè)計(jì)制作
- 設(shè)備與原理課程設(shè)計(jì)
- 竹筍健康領(lǐng)域課程設(shè)計(jì)
- 礦業(yè)公司規(guī)章制度匯編
- 《高低壓配電室施工工藝標(biāo)準(zhǔn)》
- 2024年太陽(yáng)能光伏組件高空清洗作業(yè)人員安全保障合同3篇
- 大學(xué)學(xué)業(yè)規(guī)劃講座
- 《國(guó)家課程建設(shè)》課件
- 四川省南充市2023-2024學(xué)年高一上學(xué)期期末考試 歷史 含解析
- 2024-2025學(xué)年湖北省武漢市華中師大一附中高三上學(xué)期期中英語(yǔ)試題及答案
- 浙江省衢州市2023-2024學(xué)年高一上學(xué)期1月期末數(shù)學(xué)試題 含解析
- 【課件】Unit+5+Fun+Clubs+Section+B+1a-2b課件人教版(2024)七年級(jí)英語(yǔ)上冊(cè)++
- 江蘇省南通市海門區(qū)2023-2024學(xué)年三年級(jí)上學(xué)期期末語(yǔ)文試題
-
評(píng)論
0/150
提交評(píng)論