




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
計(jì)算機(jī)病毒與木馬第1頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒的概念起源非常早,在第一部商用計(jì)算機(jī)出現(xiàn)之前好幾年,計(jì)算機(jī)的先驅(qū)者馮·諾依曼(JohnVonNeumann)在他的一篇論文《復(fù)雜自動裝置的理論及組織的進(jìn)行》里,已經(jīng)勾勒出病毒程序的藍(lán)圖。不過在當(dāng)時,絕大部分的計(jì)算機(jī)專家都無法想象會有這種能自我繁殖的程序。第2頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述1975年,美國科普作家約翰·布魯勒爾(JohnBrLiiler)寫了一本名為《震蕩波騎士》的書,該書第一次描寫了在信息社會中,計(jì)算機(jī)作為正義和邪惡雙方斗爭的工具的故事,成為當(dāng)年最佳暢銷書之一。1977年夏天,托馬斯·捷·瑞安的科幻小說《P-1的春天》成為美國的暢銷書,作者在這本書中描寫了一種可以在計(jì)算機(jī)中互相傳染的病毒,病毒最后控制了7
000臺計(jì)算機(jī),造成了一場災(zāi)難。這是世界上第一個幻想出來的計(jì)算機(jī)病毒,僅僅在10年之后,這種幻想的計(jì)算機(jī)病毒在世界各地大規(guī)模泛濫。第3頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述不過,這種具備感染性與破壞性的程序被真正稱為“病毒”,則是在兩年后的一本《科學(xué)美國人》的月刊中。一位叫作杜特尼的專欄作家在討論“磁芯大戰(zhàn)”與蘋果二型計(jì)算機(jī)(當(dāng)時流行的正是蘋果二型計(jì)算機(jī),那時,PC還未誕生)時,開始把這種程序稱為病毒。與《P-1的春天》成為暢銷書差不多同一時間,美國著名的AT&T貝爾實(shí)驗(yàn)室中,3個年輕人在工作之余,很無聊地玩起一種游戲:彼此撰寫出能夠吃掉別人程序的程序來互相作戰(zhàn),這個叫做“磁芯大戰(zhàn)”的游戲,進(jìn)一步將計(jì)算機(jī)病毒“感染性”的概念體現(xiàn)出來。第4頁,共64頁,2023年,2月20日,星期四
1983年11月3日,一位南加州大學(xué)的學(xué)生弗雷德·科恩在UNIX系統(tǒng)下,寫了一個會引起系統(tǒng)死機(jī)的程序,但是這個程序并未引起一些教授的注意與認(rèn)同??贫鳛榱俗C明其理論而將這些程序以論文發(fā)表,在當(dāng)時引起了不小的震撼??贫鞯某绦颍層?jì)算機(jī)病毒具備破壞性的概念具體成形。到了1987年,第一個計(jì)算機(jī)病毒C-BRAIN終于誕生了。一般而言,業(yè)界都公認(rèn)這是真正具備完整特征的計(jì)算機(jī)病毒始祖。第5頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述這個病毒在當(dāng)時并沒有太大的殺傷力,但后來一些有心人士以C-BRAIN為藍(lán)圖,制作出一些變形的病毒。計(jì)算機(jī)病毒的產(chǎn)生是一個歷史問題,是計(jì)算機(jī)科學(xué)技術(shù)高度發(fā)展與計(jì)算機(jī)文明遲遲得不到完善這樣一種不平衡發(fā)展的結(jié)果,它充分暴露了計(jì)算機(jī)信息系統(tǒng)本身的脆弱性和安全管理方面存在的問題。如何防范計(jì)算機(jī)病毒的侵襲已成為國際上亟待解決的重大課題。第6頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述4.1.2計(jì)算機(jī)病毒的定義從廣義上講,凡是人為編制的、干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障,甚至破壞計(jì)算機(jī)數(shù)據(jù)的、可自我復(fù)制的計(jì)算機(jī)程序或指令集合都是計(jì)算機(jī)病毒。在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義,病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。第7頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒具有非法性、隱蔽性、潛伏性、觸發(fā)性、表現(xiàn)性、破壞性、傳染性、針對性、變異性和不可預(yù)見性。單獨(dú)根據(jù)某一個特性是不能判斷某個程序是否是病毒的,必須對病毒的特性有一個全面的了解,下面對病毒的主要特性進(jìn)行簡單的介紹。第8頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述1.非法性病毒的非法性是指病毒所做的操作都是在未獲得計(jì)算機(jī)用戶的允許下“悄悄地”進(jìn)行的,它們絕大多數(shù)的操作是違背用戶意愿和利益的。在正常情況下,計(jì)算機(jī)用戶調(diào)用執(zhí)行一個合法的程序時,把系統(tǒng)的控制權(quán)交給這個程序,并給其分配相應(yīng)的系統(tǒng)資源。第9頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述2.隱藏性隱藏性是病毒的一個最基本的特性。因?yàn)椴《径际恰胺欠ā钡某绦?,不可能在用戶的監(jiān)視和意愿下光明正大地存在和運(yùn)行。因此,病毒必須具備隱藏性,才能夠達(dá)到傳播和破壞的目的。第10頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述3.潛伏性病毒感染了其他的合法程序、文件或系統(tǒng)后,不會立即發(fā)作,而是隱藏起來。當(dāng)病毒的發(fā)作條件滿足的時候,才進(jìn)行破壞操作。4.可觸發(fā)性計(jì)算機(jī)病毒一般都有各自的觸發(fā)條件。當(dāng)這些觸發(fā)條件滿足的時候,病毒開始進(jìn)行傳播或者破壞。觸發(fā)的實(shí)質(zhì)是病毒的設(shè)計(jì)者設(shè)計(jì)的一種條件的控制,按照設(shè)計(jì)者的設(shè)計(jì)要求,病毒在條件滿足的情況下進(jìn)行攻擊。第11頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述5.破壞性破壞性是計(jì)算機(jī)病毒的另一主要特性。計(jì)算機(jī)病毒造成的最顯著后果就是破壞計(jì)算機(jī)系統(tǒng)的正常運(yùn)行使之無法正常工作。病毒的破壞方式是多種多樣的。第12頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述6.傳染性傳染性是計(jì)算機(jī)病毒的一個重要特征,是判斷一段程序代碼是否是計(jì)算機(jī)病毒的一個重要依據(jù)。病毒的傳染可以通過各種渠道,比如可以通過軟盤、光盤、電子郵件、計(jì)算機(jī)網(wǎng)絡(luò)等迅速地傳染給其他計(jì)算機(jī)。隨著人們在工作和生活上對網(wǎng)絡(luò)越來越依賴,E-mail的廣泛使用甚至代替了大量的傳統(tǒng)通信方式,計(jì)算機(jī)病毒的傳播能力以驚人的速度發(fā)展。第13頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述除了上述的幾種特性,病毒還具有表現(xiàn)性、針對性、變異性等其他特性。要想對病毒進(jìn)行全面的了解,首先就要對這些特性進(jìn)行認(rèn)識和分析,從總體上掌握病毒的特點(diǎn)。第14頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述4.1.3計(jì)算機(jī)病毒的分類從計(jì)算機(jī)病毒問世以來,病毒的發(fā)展非常迅速。由于病毒的多樣化發(fā)展,無法使用單一的分類方法進(jìn)行區(qū)別,因此下面從不同的角度對病毒進(jìn)行劃分。第15頁,共64頁,2023年,2月20日,星期四(1)按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的病毒——這類病毒出現(xiàn)最早、數(shù)量最多,變種也最多。攻擊Windows系統(tǒng)的病毒——由于Windows系統(tǒng)是多用戶、多任務(wù)的圖形界面操作系統(tǒng),深受用戶的歡迎,Windows系統(tǒng)正逐漸成為病毒攻擊的主要對象。攻擊UNIX系統(tǒng)的病毒——當(dāng)前,UNIX系統(tǒng)應(yīng)用非常廣泛,并且許多大型的網(wǎng)絡(luò)設(shè)備均采用UNIX作為其主要的操作系統(tǒng),所以UNIX病毒的出現(xiàn),對人類的信息安全是一個嚴(yán)重的威脅。第16頁,共64頁,2023年,2月20日,星期四(2)按照計(jì)算機(jī)病毒的鏈接方式分類
計(jì)算機(jī)病毒所攻擊的對象是計(jì)算機(jī)系統(tǒng)可執(zhí)行的部分,因此按照計(jì)算機(jī)病毒的鏈接方式可以將病毒分成以下幾類。源碼型病毒——該病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序編譯前插入到源程序中,經(jīng)編譯成為合法程序的一部分。嵌入型病毒——這種病毒是將自身嵌入到現(xiàn)有程序中,把計(jì)算機(jī)病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計(jì)算機(jī)病毒是難以編寫的,一旦侵入程序體后也較難消除。第17頁,共64頁,2023年,2月20日,星期四(2)按照計(jì)算機(jī)病毒的鏈接方式分類外殼型病毒——將其自身包圍在主程序的四周,對原來的程序不作修改。操作系統(tǒng)型病毒——這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)的程序模塊進(jìn)行工作,具有很強(qiáng)的破壞力,可以導(dǎo)致整個系統(tǒng)的癱瘓。第18頁,共64頁,2023年,2月20日,星期四(3)按照計(jì)算機(jī)病毒的破壞情況分類良性計(jì)算機(jī)病毒—指其不包含有立即對計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在,只是不停地進(jìn)行擴(kuò)散,從一臺計(jì)算機(jī)傳染到另一臺,并不破壞計(jì)算機(jī)內(nèi)的數(shù)據(jù)。惡性計(jì)算機(jī)病毒——指在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作,在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。這些操作代碼都是刻意編寫進(jìn)病毒的,這是其本性之一。第19頁,共64頁,2023年,2月20日,星期四(4)根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒——磁盤引導(dǎo)區(qū)傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄,而將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。由于引導(dǎo)區(qū)是磁盤能正常使用的先決條件,因此,這種病毒在運(yùn)行的一開始(如系統(tǒng)啟動)就能獲得控制權(quán),其傳染性較大。第20頁,共64頁,2023年,2月20日,星期四(4)根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類操作系統(tǒng)傳染的計(jì)算機(jī)病毒——操作系統(tǒng)是使一個計(jì)算機(jī)系統(tǒng)得以運(yùn)行的支持環(huán)境,它包括COM、EXE等許多可執(zhí)行程序及程序模塊。操作系統(tǒng)傳染的計(jì)算機(jī)病毒就是利用操作系統(tǒng)中所提供的一些程序及程序模塊寄生并傳染的。第21頁,共64頁,2023年,2月20日,星期四(4)根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類可執(zhí)行程序傳染的計(jì)算機(jī)病毒??蓤?zhí)行程序傳染的病毒通常寄生在可執(zhí)行程序中,一旦程序被執(zhí)行,病毒就會被激活,病毒程序首先被執(zhí)行,并將自身駐留內(nèi)存,然后設(shè)置觸發(fā)條件,進(jìn)行傳染。對于以上后3種病毒的分類,實(shí)際上可以歸納為兩大類:一類是引導(dǎo)扇區(qū)型傳染的計(jì)算機(jī)病毒;另一類是可執(zhí)行文件型傳染的計(jì)算機(jī)病毒。第22頁,共64頁,2023年,2月20日,星期四(5)按照計(jì)算機(jī)病毒激活的時間分類定時型病毒——定時病毒是在某一特定時間發(fā)作的病毒,它是以時間為發(fā)作的觸發(fā)條件。隨機(jī)型病毒—與定時型病毒不同的是隨機(jī)型病毒,此類病毒不是通過時鐘進(jìn)行觸發(fā)的。第23頁,共64頁,2023年,2月20日,星期四(6)按照傳播媒介分類單機(jī)病毒——單機(jī)病毒的載體是磁盤,常見的是病毒從軟盤傳入硬盤,感染系統(tǒng),然后再傳染給其他軟盤,軟盤又傳染給其他系統(tǒng)。網(wǎng)絡(luò)病毒——網(wǎng)絡(luò)病毒的傳播媒介不再是移動式載體,而是網(wǎng)絡(luò)通道,這種病毒的傳染能力更強(qiáng),破壞力更大。第24頁,共64頁,2023年,2月20日,星期四4.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒按其寄生方式大致可分為兩類,一是引導(dǎo)型病毒,二是文件型病毒;它們再按其傳染途徑又可分為駐留內(nèi)存型和不駐留內(nèi)存型,駐留內(nèi)存型按其駐留內(nèi)存方式又可細(xì)分?;旌闲筒《炯龑?dǎo)型和文件型病毒特性于一體。以上所描述的是比較常見的幾種計(jì)算機(jī)病毒的分類方式。另外,還應(yīng)該了解更多的病毒分類方法,以便更好地認(rèn)識各種計(jì)算機(jī)病毒。也需要花大力氣了解一些非常有代表性的病毒。第25頁,共64頁,2023年,2月20日,星期四4.1.4計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒與其他客觀存在的事物一樣,都有一定的結(jié)構(gòu)。如果沒有這些結(jié)構(gòu)的支撐,它就無法體現(xiàn)計(jì)算機(jī)病毒的諸多特性,無法實(shí)現(xiàn)病毒的各種功能。因此,了解計(jì)算機(jī)病毒的結(jié)構(gòu),主要是了解計(jì)算機(jī)病毒的程序結(jié)構(gòu)和計(jì)算機(jī)病毒的存儲結(jié)構(gòu)。第26頁,共64頁,2023年,2月20日,星期四1.計(jì)算機(jī)病毒的程序結(jié)構(gòu)各種計(jì)算機(jī)病毒程序大小不同、長短各異,但是它們一般都包含3個部分:引導(dǎo)模塊、傳染模塊、表現(xiàn)或破壞模塊,如下圖所示。
計(jì)算機(jī)
病毒
引導(dǎo)模塊
傳染模塊
表現(xiàn)、破壞模塊
第27頁,共64頁,2023年,2月20日,星期四2.計(jì)算機(jī)病毒的存儲結(jié)構(gòu)從磁盤存儲結(jié)構(gòu)和內(nèi)存駐留結(jié)構(gòu)兩方面介紹計(jì)算機(jī)病毒的存儲結(jié)構(gòu)。(1)病毒的磁盤存儲結(jié)構(gòu)
要了解病毒的磁盤存儲結(jié)構(gòu),首先必須了解磁盤的空間劃分。根據(jù)病毒磁盤的存儲結(jié)構(gòu)不同,病毒主要分成系統(tǒng)型病毒和文件型病毒。第28頁,共64頁,2023年,2月20日,星期四2.計(jì)算機(jī)病毒的存儲結(jié)構(gòu)系統(tǒng)型病毒是指專門傳染操作系統(tǒng)的啟動扇區(qū),主要是硬盤主引導(dǎo)區(qū)和DOS引導(dǎo)扇區(qū)的病毒。一般分作兩部分,第一部分存放在磁盤引導(dǎo)扇區(qū)中,第二部分則存放在磁盤的其他扇區(qū)。文件型病毒主要是指感染系統(tǒng)中的可執(zhí)行文件或者依賴于可執(zhí)行文件發(fā)作的病毒。一般附著在被感染的文件的首部、尾部,或者中間的空閑部分。第29頁,共64頁,2023年,2月20日,星期四2.計(jì)算機(jī)病毒的存儲結(jié)構(gòu)(2)病毒的內(nèi)存駐留結(jié)構(gòu)病毒一般都駐留在常規(guī)內(nèi)存中,相對來講,檢測這些計(jì)算機(jī)病毒比較方便。文件病毒的內(nèi)存駐留結(jié)構(gòu)又可以分為高端駐留型、常規(guī)駐留型、內(nèi)存控制鏈駐留型和設(shè)備程序補(bǔ)丁駐留型等。系統(tǒng)型病毒是在系統(tǒng)啟動時被裝入的。此時,系統(tǒng)中斷“INT21H”還沒有設(shè)定,病毒程序要使自身駐留內(nèi)存,不能采用系統(tǒng)功能調(diào)用的方法。第30頁,共64頁,2023年,2月20日,星期四2.計(jì)算機(jī)病毒的存儲結(jié)構(gòu)文件型病毒是在其宿主程序的運(yùn)行時被裝入的,這時,系統(tǒng)的中斷功能調(diào)用已經(jīng)設(shè)定。因此,病毒一般將自身指令與宿主程序相分離,并將病毒程序移動到內(nèi)存高端或者是當(dāng)前用戶內(nèi)存區(qū)的最低端地址處,然后調(diào)用系統(tǒng)功能,使病毒程序常駐內(nèi)存。還有一些病毒是不用駐留內(nèi)存的,每執(zhí)行一次,就主動在當(dāng)前路徑中查找滿足要求的可執(zhí)行文件進(jìn)行傳染,它不修改中斷向量,也不需要改動系統(tǒng)的任何狀態(tài),因而用戶很難區(qū)分當(dāng)前運(yùn)行的程序是一個病毒還是一個正常運(yùn)行的程序。第31頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害4.2.1計(jì)算機(jī)病毒的表現(xiàn)
只有根據(jù)計(jì)算機(jī)病毒的發(fā)作現(xiàn)象,才可能及時發(fā)現(xiàn)并清除病毒。這些常見的發(fā)作現(xiàn)象包括以下幾個方面。計(jì)算機(jī)運(yùn)行速度的變化——主要現(xiàn)象包括:計(jì)算機(jī)的反應(yīng)速度比平時遲鈍很多;應(yīng)用程序的載入比平時要多花費(fèi)很長的時間;開機(jī)時間過長。計(jì)算機(jī)磁盤的變化——主要現(xiàn)象包括:對一個簡單的磁盤存儲操作比預(yù)期時間長很多;當(dāng)沒有存取數(shù)據(jù)時,硬盤指示燈無緣無故地亮了;磁盤的可用空間大量地減少;磁盤的扇區(qū)壞道增加;磁盤或者磁盤驅(qū)動器不能訪問。第32頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害計(jì)算機(jī)內(nèi)存的變化——主要現(xiàn)象包括:系統(tǒng)內(nèi)存的容量突然間大量地減少;內(nèi)存中出現(xiàn)了不明的常駐程序。計(jì)算機(jī)文件系統(tǒng)的變化——主要現(xiàn)象包括:可執(zhí)行程序的大小被改變了;重要的文件奇怪地消失;文件被加入了一些奇怪的內(nèi)容;文件的名稱、日期、擴(kuò)展名等屬性被更改;系統(tǒng)出現(xiàn)一些特殊的文件;驅(qū)動程序被修改導(dǎo)致很多外部設(shè)備無法正常工作。異常的提示信息和現(xiàn)象——主要現(xiàn)象包括:出現(xiàn)不尋常的錯誤提示信息。第33頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害
4.2.2計(jì)算機(jī)故障與病毒特征區(qū)別
如果計(jì)算機(jī)出現(xiàn)了某些特別現(xiàn)象,可能計(jì)算機(jī)就是中了病毒,也可能是一些硬件或者軟件的故障。計(jì)算機(jī)硬件的配置——在選購一臺兼容機(jī)時,需要考慮系統(tǒng)的兼容性。硬件的正常使用——計(jì)算機(jī)作為一種電子設(shè)備,在使用時如果電源的電壓不穩(wěn)定,容易造成用戶文件在讀寫時出現(xiàn)丟失或者損壞的現(xiàn)象,更嚴(yán)重時會造成系統(tǒng)的自啟動。第34頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害CMOS的設(shè)置——CMOS中存儲的信息對于計(jì)算機(jī)來說是十分重要的,因?yàn)樵陂_機(jī)啟動過程中,計(jì)算機(jī)是按照CMOS中的信息進(jìn)行檢測和初始化的。因此,CMOS的設(shè)置不正確將導(dǎo)致很多計(jì)算機(jī)工作不正常的現(xiàn)象。第35頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害
除了硬件故障,計(jì)算機(jī)的軟件故障也會導(dǎo)致計(jì)算機(jī)無法正常使用。這里給出幾種常見的導(dǎo)致軟件故障的原因。丟失文件——每次啟動計(jì)算機(jī)和運(yùn)行程序的時候,都會牽扯到上百個文件,其中絕大多數(shù)文件是一些虛擬驅(qū)動程序(VxD)和動態(tài)鏈接(DLL)。文件版本不匹配——絕大多數(shù)的Windows用戶都會不時地向系統(tǒng)中安裝各種不同的軟件,其中的大多數(shù)操作都需要向系統(tǒng)中復(fù)制新文件或者更換現(xiàn)存的文件。每當(dāng)這個時候,就可能出現(xiàn)新軟件不能與現(xiàn)存軟件版本兼容的問題。第36頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害資源耗盡——一些Windows程序需要消耗各種不同的資源組合,程序在運(yùn)行時可能導(dǎo)致GDI和USER資源喪失。非法操作——非法操作會讓很多用戶覺得不知所措。如果仔細(xì)研究,就會發(fā)現(xiàn)每當(dāng)有非法操作信息出現(xiàn),相關(guān)的程序、文件都會和錯誤類型顯示在一起。用戶可以通過錯誤信息列出的程序和文件來研究錯誤起因,因?yàn)橛袝r候錯誤信息并不能直接指出實(shí)際原因。第37頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害
4.2.3常見的計(jì)算機(jī)病毒
由于計(jì)算機(jī)病毒種類多種多樣,基本可分5部分:
1.早期的DOS病毒:DOS病毒是指針對DOS操作系統(tǒng)開發(fā)的病毒,它們是最早出現(xiàn)、數(shù)量最多、變種也最多的計(jì)算機(jī)病毒。2.引導(dǎo)型病毒:引導(dǎo)型病毒是指改寫磁盤上的引導(dǎo)扇區(qū)信息的病毒。3.文件型病毒:文件型病毒是指能夠寄生在文件中的以文件為主要感染對象的病毒。
第38頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害
4.蠕蟲病毒:蠕蟲(Worm)病毒是一種通過網(wǎng)絡(luò)傳播的惡意病毒。它的出現(xiàn)相對于文件病毒、宏病毒等傳統(tǒng)病毒較晚,但是無論是傳播速度、傳播范圍還是破壞程度上都要比以往傳統(tǒng)的病毒嚴(yán)重得多。蠕蟲病毒一般由兩部分組成:一個主程序和一個引導(dǎo)程序。主程序的功能是搜索和掃描。引導(dǎo)程序?qū)嶋H是蠕蟲病毒主程序的一個副本,主程序和引導(dǎo)程序都具有自動重新定位的能力。第39頁,共64頁,2023年,2月20日,星期四4.2計(jì)算機(jī)病毒的危害
5.木馬病毒:木馬又稱作特洛伊木馬,將在后面進(jìn)行詳細(xì)的介紹。木馬運(yùn)行時會尋找一些含有著名證券商名稱的窗口標(biāo)題,如果發(fā)現(xiàn),就開始啟動鍵盤鉤子對用戶的登錄信息進(jìn)行記錄,在記錄鍵盤信息的同時,木馬病毒還會通過屏幕快照將用戶登錄時的畫面保存為圖片,存放在C盤根目錄下。當(dāng)滿足記錄次數(shù)的條件后,病毒將通過郵件將信息和圖片發(fā)送出去,同時病毒將自身刪除。第40頁,共64頁,2023年,2月20日,星期四4.3計(jì)算機(jī)病毒的檢測與防范
4.3.1文件型病毒
對文件型病毒的防范,一般采用以下一些方法。安裝最新版本、有實(shí)時監(jiān)控文件系統(tǒng)功能的防病毒軟件。及時更新病毒引擎,并在有病毒突發(fā)事件時立即更新。經(jīng)常使用防毒軟件對系統(tǒng)進(jìn)行病毒檢查。對關(guān)鍵文件,在無毒環(huán)境下經(jīng)常備份。在不影響系統(tǒng)正常工作的情況下,對系統(tǒng)文件設(shè)置最低的訪問權(quán)限。第41頁,共64頁,2023年,2月20日,星期四4.3計(jì)算機(jī)病毒的檢測與防范
4.3.2引導(dǎo)型病毒:
引導(dǎo)型病毒的防范措施盡量避免使用軟盤等移動設(shè)備保存和傳遞資料,如果需要使用,則應(yīng)該先對軟盤中的文件進(jìn)行病毒的查殺。軟盤用完后應(yīng)該從軟驅(qū)中取出。避免在軟驅(qū)中存有軟盤的情況下開機(jī)或者啟動操作系統(tǒng)。第42頁,共64頁,2023年,2月20日,星期四4.3計(jì)算機(jī)病毒的檢測與防范
4.3.3宏病毒的表現(xiàn)嘗試保存文檔時,Word只允許保存為文檔模板。Word文檔圖標(biāo)的外形類似于文檔模板圖標(biāo)而不是文檔圖標(biāo)。在工具菜單上選擇“宏”并單擊“宏”后,程序沒有反應(yīng)。宏列表中出現(xiàn)新宏。打開Word文檔或模板時顯示異常消息。如果打開一個文檔后沒有進(jìn)行修改,立即就有存盤操作。第43頁,共64頁,2023年,2月20日,星期四4.3計(jì)算機(jī)病毒的檢測與防范
4.3.3宏病毒:宏病毒的防范措施提高宏的安全級別。目前的高版本的Word軟件可以設(shè)置宏的安全級別,在不影響正常使用的情況下,應(yīng)該選擇較高的安全級別。刪除不知來路的宏定義。將Normal.dot模板進(jìn)行備份,當(dāng)被病毒感染后,使用備份模板進(jìn)行覆蓋。如果懷疑外來文件含有宏病毒,可以使用寫字板打開該文件,然后將文本粘貼到Word中,轉(zhuǎn)換后的文檔是不會含有宏的。第44頁,共64頁,2023年,2月20日,星期四4.3計(jì)算機(jī)病毒的檢測與防范
4.3.4蠕蟲病毒:
蠕蟲病毒的防范措施用戶在網(wǎng)絡(luò)中共享的文件夾一定要將權(quán)限設(shè)置為只讀,而且最好對于重要的文件夾設(shè)置訪問賬號和密碼。要定期檢查自己的系統(tǒng)內(nèi)是否具有可寫權(quán)限的共享文件夾,一旦發(fā)現(xiàn)這種文件夾,需要及時關(guān)閉該共享權(quán)限。第45頁,共64頁,2023年,2月20日,星期四4.3計(jì)算機(jī)病毒的檢測與防范要定期檢查計(jì)算機(jī)中的賬戶,看看是否存在不明賬戶信息。一旦發(fā)現(xiàn),應(yīng)該立即刪除該賬戶,并且禁用Guest賬號,防止被病毒利用。給計(jì)算機(jī)的賬戶設(shè)置比較復(fù)雜的密碼,防止被蠕蟲病毒破譯。購買主流的網(wǎng)絡(luò)安全產(chǎn)品,并隨時更新。提高防殺病毒的意識,不要輕易單擊陌生的站點(diǎn)。不要隨意查看陌生郵件,尤其是帶有附件的郵件。第46頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
4.4.1木馬背景介紹木馬全稱“特洛伊木馬”,英文名稱為TrojanHorse,它來源于《荷馬史詩》中描述的一個古希臘故事。木馬是一段精心編寫的計(jì)算機(jī)程序。木馬設(shè)計(jì)者將這些木馬程序插入到宿主中,網(wǎng)絡(luò)用戶執(zhí)行這些軟件時,在毫不知情的情況下,木馬就進(jìn)入了他們的計(jì)算機(jī),進(jìn)而盜取數(shù)據(jù),甚至控制系統(tǒng)。第47頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
4.4.2木馬的概述特洛伊木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,它具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和用戶操作、破壞用戶系統(tǒng),甚至使系統(tǒng)癱瘓的功能。木馬可以被分成良性木馬和惡性木馬兩種。第48頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
1.特洛伊木馬與病毒的區(qū)別:特洛伊木馬與前面介紹的病毒或蠕蟲有一定的區(qū)別,它不能夠自行傳播,但是病毒或蠕蟲可以用于將特洛伊木馬作為負(fù)載的一部分復(fù)制到目標(biāo)系統(tǒng)上,中斷用戶的工作、影響系統(tǒng)的正常運(yùn)行、在系統(tǒng)中提供后門,使黑客可以竊取數(shù)據(jù)或者控制目標(biāo)系統(tǒng)。第49頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
2.特洛伊木馬的種植:木馬一般兼?zhèn)鋫窝b和傳播這兩種特征,并與TCP/IP網(wǎng)絡(luò)技術(shù)相結(jié)合。木馬病毒一般分成客戶端和服務(wù)端兩個部分,它的客戶端和服務(wù)端的概念與傳統(tǒng)的網(wǎng)絡(luò)環(huán)境的客戶端和服務(wù)端的概念恰恰相反。要想將木馬植入目標(biāo)機(jī)器,首先需要進(jìn)行偽裝。一般木馬的偽裝有兩種手段:其一是將自己偽裝成一般的軟件。第二種是把木馬綁定在正常的程序上面。第50頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析3.特洛伊木馬的行為:當(dāng)被種植了木馬的計(jì)算機(jī)上的木馬程序運(yùn)行后,攻擊者就可以通過自己的“客戶端”對被攻擊者發(fā)出請求,“服務(wù)端”收到請求后就會進(jìn)行相應(yīng)的動作。第51頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
4.4.3木馬的分類
1.遠(yuǎn)程控制木馬:遠(yuǎn)程控制木馬是一種數(shù)量最多、危害最大、知名度也最高的木馬,它可以讓入侵者完全控制被種植了木馬的計(jì)算機(jī)。入侵者可以利用它完成一些甚至連計(jì)算機(jī)主人本身都不能順利進(jìn)行的操作,其危害之大實(shí)在不容小覷。第52頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析2.密碼發(fā)送木馬:密碼發(fā)送型的木馬正是專門為了盜取被感染計(jì)算機(jī)上的密碼而編寫的。木馬一旦被執(zhí)行,就會自動搜索內(nèi)存、cache、臨時文件夾以及各種敏感密碼文件,一旦搜索到有用的密碼,木馬就會利用免費(fèi)的電子郵件服務(wù)將密碼發(fā)送到指定的郵箱,從而達(dá)到獲取密碼的目的。第53頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
3.鍵盤記錄木馬:密這種特洛伊木馬是非常簡單的。它們只做一件事情,就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。第54頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析4.破壞性質(zhì)的木馬:這種木馬唯一的功能就是破壞被感染計(jì)算機(jī)的文件系統(tǒng),使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失的巨大損失。第55頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析5.DoS攻擊木馬:隨著DoS攻擊越來越廣泛的應(yīng)用,被用作DoS攻擊的木馬也越來越流行。當(dāng)入侵了一臺機(jī)器,種上DoS攻擊木馬,那么日后這臺計(jì)算機(jī)就成為DoS攻擊的最得力助手了。第56頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
6.代理木馬:黑客在入侵的同時掩蓋自己的足跡,謹(jǐn)防別人發(fā)現(xiàn)自己的身份是非常重要的。因此,給被控制的“肉雞”種上代理木馬,讓其變成攻擊者發(fā)動攻擊的跳板就是代理木馬最重要的任務(wù)。第57頁,共64頁,2023年,2月20日,星期四4.4木馬攻擊與分析
7.FTP木馬:這種木馬可能是最簡單、最古老的木馬了,它的唯一功能就是打開21號端口,等待用戶連接?,F(xiàn)在新FTP木馬還加上了密碼功能,這樣,只有攻擊者本人才知道
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2023七年級語文下冊 第六單元 22 偉大的悲劇配套教學(xué)設(shè)計(jì) 新人教版
- 二奶合同樣本
- 2000企業(yè)勞動合同樣本
- ktv股入股合同樣本
- 產(chǎn)品供貨合同樣本樣本
- 買賣購車合同范例
- 企業(yè)合作經(jīng)營協(xié)議合同樣本
- 優(yōu)惠購機(jī)合同樣本
- app開發(fā)合同樣本樣本
- 買賣肉合同樣本
- GB/T 35624-2025應(yīng)急避難場所通用技術(shù)要求
- 1688運(yùn)營培訓(xùn)課件
- DeepSeek 15天培訓(xùn)教材從入門到精通
- 箱式變電站遷移施工方案
- 道路運(yùn)輸企業(yè)安全風(fēng)險(xiǎn)辨識分級管控清單
- 北師大版六年級數(shù)學(xué)下冊試題第三單元測試卷(含答案)
- 城市軌道交通橋隧維修與養(yǎng)護(hù) 課件 1.1橋梁設(shè)施基礎(chǔ)知識
- 物理-廣東省大灣區(qū)2025屆高三第一次模擬試卷和答案
- 李清照(課堂課件)
- 工程項(xiàng)目代建管理
- 華南理工大學(xué)自主招生個人陳述自薦信范文
評論
0/150
提交評論