《计算机网络安全技术课件 第九章 计算机病毒》由会员分享,可在线阅读,更多相关《计算机网络安全技术课件 第九章 计算机病毒(48页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全技术 第九章计算机病毒 9 1计算机病毒概述 9 2病毒的结构与作用机理 9 3计算机病毒的防范 第九章计算机病毒 9 1 1病毒的概念与特征 9 1 2病毒的起源与分类 9 1计算机病毒概述 什么是计算机病毒 从广义上讲 凡能够引起计算机故障 破坏计算机数据的程序统称为计算机病毒 Cohen博士对计算机病毒的定义计算机病毒是一种能够通过修改程序 并把自己的复制品包括在内去感染其他程序的程序 或者说 计算机病毒是一种在计算机系统运行过程中能把自己精确拷贝或有修改地拷贝到其他程序体中的程序 9 1 1病毒的概念与特征 1994年2月18日 我国正式颁布实施了 中华人民共和国计算机信
2、息系统安全保护条例 在 条例 第二十八条中明确指出 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 此定义具有法律性和权威性 9 1 1病毒的概念与特征 计算机病毒与正常计算机程序的差异病毒能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上 未经授权而执行 一般正常的程序是由用户调用 再由系统分配资源 完成用户交给的任务 其目的对用户是可见的 病毒隐藏在正常程序中 当用户调用正常程序时窃取到系统的控制权 先于正常程序执行 病毒的动作 目的对用户是未知的 是未经用户允许的 9 1 1病毒的概念与特征
3、计算机病毒的基本特征传染性这是病毒的基本特征 是否具有传染性是判别一个程序是否为计算机病毒的最重要条件 计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机 在某些情况下造成被感染的计算机工作失常甚至瘫痪 计算机病毒是一段人为编制的计算机程序代码 一旦进入计算机并得以执行 它会搜寻其他符合其传染条件的程序或存储介质 确定目标后再将自身代码插入其中 达到自我繁殖的目的 9 1 1病毒的概念与特征 隐蔽性病毒为了保护自己 一般采用以下方法隐藏自己 短小精悍病毒一般只有几百或1K字节 附着在正常程序中或磁盘较隐蔽的地方以隐含文件形式出现 分散和多处隐藏当有病毒程序潜伏的程序体被合法调用时
4、 病毒程序也合法进入 并可将分散的程序部分在所非法占用的存储空间进行重新装配 构成一个完整的病毒体投入运行 加密变体 9 1 1病毒的概念与特征 潜伏性大部分的病毒感染系统之后一般不会马上发作 它可长期隐藏在系统中 悄悄地繁殖和扩散而不被发觉 使得许多数据资源成为病毒的携带者而迅速向外传播 只有在满足其特定条件时才启动其表现 破坏 模块 潜伏的目的是为了赢得足够的时间 充分扩散 最后造成尽可能大的破坏 9 1 1病毒的概念与特征 破坏性 表现性 任何病毒只要侵入系统 都会对系统及应用程序产生程度不同的影响 由此特性可将病毒分为良性病毒与恶性病毒 良性病毒可能只显示些画面或出点音乐 无聊的语句
5、或者根本没有任何破坏动作 但会占用系统资源 这类病毒表现较为温和 恶性病毒则有明确的目的 或破坏数据 删除文件或加密磁盘 格式化磁盘 有的对数据造成不可挽回的破坏 表现和破坏是病毒的最终目的 9 1 1病毒的概念与特征 不可预见性从对病毒的检测方面来看 病毒有不可预见性 病毒的代码千差万别 传染条件 传染方式 传染对象不同 破坏条件 破坏方式 破坏对象不同 以上情况处于变化之中 病毒的制作技术在不断的提高 病毒对反病毒软件永远是超前的 某些正常程序使用了类似病毒的操作甚至借鉴了某些病毒的技术 9 1 1病毒的概念与特征 触发性满足传染触发条件时 病毒的传染模块会被激活 实施传染操作 满足表现触
6、发条件时 病毒的表现模块会被激活 实施表现或破坏操作 针对性有一定的环境要求 并不一定对任何系统都能感染 依附性病毒依附在合法的可执行程序上 9 1 1病毒的概念与特征 计算机病毒的起源电脑病毒的历史 磁蕊大战早在1949年 电脑的先驱者JohnVonNeumann在他所提出的一篇论文 复杂自动装置的理论及组织的进行 里 已经把病毒程序的蓝图勾勒出来 直到十年之后 在美国电话电报公司 AT T 的贝尔实验室中 这些概念在一种很奇怪的电子游戏中成形了 这种电子游戏叫做 磁蕊大战 corewar 磁蕊大战的玩法是双方各写一个程序 输入到电脑中 这两个程序在电脑的存储系统内互相追杀 有时会放下一些关
7、卡 有时会停下来修复 重新写 被对方破坏的指令 当其被困时 也可以把自己复制一次 逃离险境 游戏直到一方的程序被另一方的程序 吃掉 为止 9 1 2病毒的起源与分类 计算机病毒赖以生存的基础现代计算机具有相同的工作原理 操作系统的公开性与脆弱性 网络协议中的安全漏洞 一些计算机专业人员出于开玩笑 炫耀技术水平和惩罚拷贝等原因 研制了一些病毒程序 从而使病毒程序不断蔓延 所造成的后果是这些人事先无法估计到的 随着计算机病毒的危害性与病毒研制技术的不断提高 计算机病毒已被越来越多地应用于特殊目的 破坏 实际的计算机病毒出现在20世纪80年代的初期 随着个人计算机的飞速发展和普及 20世纪90年代计
8、算机病毒开始大范围流行 随着Internet的迅猛发展 计算机病毒的危害才被人们真正认识 9 1 2病毒的起源与分类 计算机病毒的分类计算机病毒可以按照以下不同的方式进行分类 按破坏性分类按传染方式分类按连接方式分类 9 1 2病毒的起源与分类 按破坏性分类良性病毒仅是为了表现自己的存在 如显示信息 奏乐 发出声响 对源程序不做修改 也不直接破坏计算机的软硬件 对系统危害较小 但由于要进行自我复制和传染 所以会消耗系统的资源 恶性病毒会对计算机的软硬件进行恶意攻击 使系统遭到不同程度的破坏甚至瘫痪 如破坏数据 删除文件 破坏主板导致死机或网络瘫痪等 9 1 2病毒的起源与分类 按传染方式分类引
9、导型病毒攻击用于引导计算机的程序 在软盘上 一个引导记录病毒可以感染软引导记录程序 在硬盘上 一个引导记录病毒可以感染活动分区引导记录或主引导记录的自举程序 文件型病毒一般只传染磁盘上的可执行文件 COM EXE 在用户调用染毒的可执行文件时 病毒首先被运行 然后病毒驻留内存伺机传染其他文件或直接传染其他文件 其特点是附着于正常程序文件 成为程序文件的一个外壳或部件 这是较为常见的传染方式 混合型病毒兼有以上两种病毒的特点 既染引导区又染文件 因此扩大了这种病毒的传染途径 按连接方式分类源码型病毒较为少见 亦难以编写 因为它要攻击高级语言编写的源程序 在源程序编译之前插入其中 并随源程序一起编
10、译 连接成可执行文件 此时刚刚生成的可执行文件便已经带毒了 入侵型病毒可用自身代替正常程序中的部分模块或堆栈区 因此这类病毒只攻击某些特定程序 针对性强 一般情况下也难以被发现 清除起来也较困难 9 1 2病毒的起源与分类 操作系统型病毒可用其自身部分加入或替代操作系统的部分功能 因其直接感染操作系统 这类病毒的危害性也较大 外壳型病毒将自身附在正常程序的开头或结尾 相当于给正常程序加了个外壳 大部份的文件型病毒都属于这一类 9 1 2病毒的起源与分类 9 2 1计算机病毒的一般结构 9 2 2计算机病毒的作用机理 9 2病毒的结构与作用机理 计算机病毒有两种状态 静态和动态 静态病毒是指存储
11、介质 如磁盘 磁带等 上的计算机病毒 它没有处于加载状态 不能执行病毒的传染和破坏功能 动态病毒是指已进入内存 正处于运行状态 或通过某些中断能立即获得运行权的病毒 它时刻监视系统的运行状态 一旦传染条件满足 即调用传染代码和破坏代码 使病毒得以扩散 动态病毒在RAM中存在的时间 称为动态病毒的生命期 它可长可短 9 2 1计算机病毒的一般结构 计算机病毒代码的结构一般来说包括三大功能模块引导模块传染模块破坏 表现 模块 9 2 1计算机病毒的一般结构 引导模块病毒程序运行时 首先运行的是病毒引导模块 引导模块首先对运行环境进行调查 然后向系统申请病毒运行所需的资源 接着将传染模块和破坏 表现
12、 模块导入内存运行 9 2 1计算机病毒的一般结构 传染模块传染模块是病毒程序的核心 是判断某个程序是否为病毒的首要条件 传染模块由两部分组成传染条件判断根据预定的传染条件是否满足 控制病毒的感染动作 传染条件有多种 如日期 时间 特定程序 感染次数等 当然也可以是其他逻辑条件 传染部分是使病毒代码链接于宿主程序之上的部分 即使病毒进行传染动作的部分 传染部分首先寻找要传染的文件 如可执行文件 接着检查该文件是否已被感染 一般病毒都会在已感染过的程序中留下一些标志 避免重复感染 若没有被本病毒感染过 则进行感染 将病毒放人宿主程序 破坏 表现 模块破坏 表现 模块由两部分构成病毒触发条件判断病
13、毒触发条件判断与传染模块的传染条件判断类似 判断是否破坏 表现或何时破坏 病毒具体表现部分表现分为良性表现和恶性表现 病毒的破坏或表现部分是病毒程序的主体 在一定程度上反映了病毒设计者的意图 它负责实施病毒的破坏动作 其内部是实施病毒预定动作的代码 这些破坏活动可能是破坏文件 数据 格式化磁盘 破坏或强占计算机存储空间 时间 降低系统效率 或使系统崩溃之类的动作 有的病毒不执行破坏动作 只做特定的表现 如显示特定的信息或画面 发出特殊的声音等 因此没有破坏模块 而只有表现模块 计算机病毒的工作流程 9 2 2计算机病毒的作用机理 静态病毒 满足传染条件 引导模块 动态病毒 传染 满足破坏条件
14、破坏 Y N N Y 病毒的引导计算机病毒只有处在动态方式下 才具有传染和破坏的能力 病毒的引导模块具有三个功能把病毒程序代码引入内存 病毒一旦被激活 首先想方设法窃取部分内存 使自身代码藏匿于此 对内存中的病毒代码采取保护措施 使之不会被覆盖 病毒程序将自身的一段程序代码保留在内存中的手段主要有两种 通过程序驻留 在DOS中 将病毒代码移到内存最高端 然后修改内存大小指示单元 使系统不能再使用最高端的病毒代码所占用的空间 对内存中的病毒代码设定某种激活方式 使之在适当的时候能取得执行权 病毒的引导模块既可能与其它两个模块一起运行 也可能于两个模块中的一个一起运行 甚至于独立先运行 9 2 2
15、计算机病毒的作用机理 计算机病毒的传染过程计算机病毒的传染途径主要有两种利用存储介质等传染载体进行传染 以网络作为传染载体 网络已成为病毒传染的主要途径 病毒通过网络或存储媒体进入计算机后 随着被感染的文件一起被存储在磁盘上 等待着进一步传播的机会 一旦被感染文件被执行或打开 病毒的引导模块便被激活并驻留在内存中 病毒通过引导模块驻留到内存中后 监视系统的运行 选择机会进行传染 一旦传染条件成立 传染模块被激活并会马上对攻击目标进行判断 以确定是否传染 当确定对某个文件进行传染后 要通过适当的方式把病毒写入磁盘 同时保证被感染对象仍可正常运行 即进行的是传染而非破坏 9 2 2计算机病毒的作用
16、机理 计算机病毒的破坏机制破坏模块有时也称为表现模块 由具体病毒而定 病毒的破坏模块发作时 进行删除文件和格式化磁盘之类的操作 有些病毒的破坏模块发作时只是在屏幕上显示一些内容或放一段音乐 随后又收敛起来 这种情况称其为表现模块 总的来说 病毒对计算机系统的正常运行总会产生一定的影响 破坏模块可以在第一次加载时只把引导模块引入内存 以后受到某些中断机制的触发 小球病毒的破坏模块的一般不会在启动系统时就发作 它必须等整点或半点时 再由INT13H激活发作 9 2 2计算机病毒的作用机理 在结构上 破坏模块分为两个部分判断破坏的条件是否满足执行破坏所要求的条件一般会与时钟和时间有关 因而病毒程序最常修改的中断除了诸如病毒传染利用的INT13H INT21H外 还有诸如破坏模块利用的INT71H 硬时钟中断 INT1CH 软时钟中断 及INT1AH 读取 设立系统时间 日期中断 等 理论上讲 触发方式一般更能反映制造者的意图 更易安排其潜伏性和隐蔽性 执行破坏功能 9 2 2计算机病毒的作用机理 9 3 1反病毒的一般方法 9 3 2先进的反病毒技术 9 3 3防病毒系统介绍 9 3计算机病
