《计算机病毒原理与防范基础课件》由会员分享,可在线阅读,更多相关《计算机病毒原理与防范基础课件(22页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒原理与防范基础,1,计算机病毒原理与防范,胡继荣制作,计算机病毒原理与防范基础,2,病毒起因 计算机病毒的起因多种多 样,有的是计算机工作人员或 业余爱好者为了纯粹寻开心而制 造出来, 有的则是为防止自己的 产品被非法拷贝而制造的报复性 惩罚。一般可分为这样几种情况:,1.恶作剧:美国康奈尔大学的莫里斯,编写蠕虫程序肇事后,被称为电脑奇才,一些公司出高薪争相聘用他。,2.加密陷阱论:巴基斯坦病毒是世界上唯一给出病毒作者姓名、地址的病毒。由该国一家电脑商店的两兄弟编写,目的是追踪软件产品的非法用户。,3.游戏程序起源:1960年美国人约翰康维在编写生命游戏程序时,萌发了程序自我自制技术
2、。其程序运行时屏幕上有许多生命元素图案在运动变化,元素在过于拥挤和稀疏时都会因缺少生存条件而死亡,只有处于合适环境中的元素才能自我复制并进行传播。,4.政治、经济和军事:一些组织和个人也会编制一些程序胜于进攻对方电脑,给对方造成灾难或直接经济损失。,计算机病毒原理与防范基础,3,病毒与计算机犯罪,莫里斯事件:1988年11月2日,康奈尔大学计算机科学系研究生罗但特.莫里斯制造的蠕虫案件。 震荡波事件:2004年德国18岁的技校生为显示自己的才能,用自己组装的电脑编写了一个名为“震荡波”的程序。该病毒不是通常意义上的病毒,而是一种以某种程序语言编写的程序文本。造成了全球巨大经济损失。美国德尔塔航
3、空公司取消周末全部航班、欧萌委员会1200台计算机失灵、芬兰一家银行关闭全部营业处。 混客绝情炸弹:2001年由黑龙江17岁的高中学生池某制造。,计算机病毒原理与防范基础,4,什么是计算机病毒,计算机病毒原理与防范基础,5,感染标记:即病毒签名。常以ASC 方式放在程序里。 破坏模块:实现病毒编写者预定的 破坏动作代码。 触发模块:根据预定条件是否满足, 控制病毒的感染或破坏。 主控模块:包括调用感染模块,进行 感染;调用触发模块,接受其返回 值;根据返回值决定是否执行破坏。,分类方法有很多。 根据攻击系统分类:攻击DOS型、 攻击WINDOWS型、攻击UNIX型、 攻击OS/2型。 根据攻击
4、机型分:微型计算机病毒、 小型计算机病毒、工作站病毒。 根据病毒链接方式分:源码型、嵌 入型、外壳性、操作系统型。 按破坏情况分:良性病毒、恶性病毒 按传播媒介分:单机病毒、网络病毒,计算机病毒的特点,可执行性 传染性 潜伏性 可触发性 破坏性 攻击主动性 针对性 非授权性 隐蔽性 衍生性 寄生性 不可预见性 欺骗性 持久性,计算机病毒的结构,计算机病毒的分类,计算机病毒原理与防范基础,6,计算机病毒技术基础,文件系统,冯.诺依曼 体系结构,WINDOWS 程序工作原理,磁盘结构,计算机病毒的制造、传染和发作,依赖于具体的计算机硬件与软件,必须符合这些硬件和软件系统的规范要求,而这些规范要求实
5、际就是计算机病毒的技术基础。不同的计算机硬件环境、不同的软件环境,都会制造出不同的病毒。 了解和掌握计算机硬件与软件的基础知识,对我们分析了解计算机病毒技术的特点、工作原理是十分必要的。,计算机病毒原理与防范基础,7,冯.诺依曼机体系结构,冯.诺依曼是是20世纪最杰出的数学家之一,于1945年提出 了“程序内存式”计算机的设计思想。这一卓越的思想为电子计 算机的逻辑结构设计奠定了基础,已成为计算机设计的基本原则。 冯.诺依曼式计算机的硬件由五大部件构成:,计算机病毒原理与防范基础,8,磁盘结构,了解磁盘的结构及其数据组织的特点,对于检测和预防计 算机病毒具有十分重要的意义。,硬盘盘面以转轴中心
6、为圆心,被均匀地划分成若干个半径不 等的称为磁道的同心圆,不同盘面上的相同直径的磁道,在垂直 方向构成一个叫做柱面的圆柱。显然柱面数等于磁道数。,磁道由首部、18个扇区和尾部构成。扇区由标识区(ID区)、 间隙、数据区和间隙组成。每个扇区为512B。,首部,尾部,扇区1,扇区N,ID区,间隙,间隙,间隙,ID区,数据区,扇区2,索引信号,容量=碰头数磁道数/面扇区数/磁道512B/扇区,标识扇区的开始与记录目标地址的信息,计算机病毒原理与防范基础,9,硬盘的数据组织,磁盘的扇区定位有两种方法:物理扇区与逻辑扇区。硬盘的物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数组成。,每一种操作
7、系统要想在硬盘上建立自己的分区,必须由一个自己特有的实用程序来进行操作。硬盘初始化时,经过分区后建立一个主引导分区和其他几个分区。见下图:,主引导扇区,保留,FAT区,DOS引导扇区,目录区,数据区,系统隐藏分区,DOS分区1,DOS分区2,位于硬盘的0磁头0柱面1扇区,是硬盘的第1物理扇区,包括硬盘主引导程序代码、四个分区表信息和主引导记录有效标志等内容。该区受损时可用 FDISK/MBR的DOS命令来重建主引导程序和主引导记录有效标志,分区信息不会被修改。,计算机病毒原理与防范基础,10,主引导扇区结构与文件系统,用户可用DEBUG来查看主引导记录。,文件系统是操作系统中借以组织、存储和命
8、名文件的结构。磁盘或分区和它所包括的文件系统的不同是很重要的,大部分应用程序都基于文件系统进行操作,在不同种文件系统上是不能工作的。,计算机病毒原理与防范基础,11,磁盘文件系统,DOS/WINDOWS系统操作系统中共使用了6种不同的文件系统: FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系统使用的 主要是Ext2、Ext3,也能识别FAT16分区。,FAT12:文件名只能是8.3格式;磁盘容量最大8M;文件磁片严重 HAT16:大容量磁盘利用率低;分区创建的越大,造成的浪费越大。 FAT32:文件分配表扩大后,速度减慢;不能向下兼容;当分区 小于512
9、M时,该格式不起作用,单个文件不能超过4G。 NTFS:有出色的安全性和稳定性,且不易产生故善人碎片,对用户权限有非常严格的限制。但兼容性不好 NTFS5.0:可支持2T的分区,是可恢复的文件系统;支持对分区、 文件夹和文件的压缩以及动态分区。 WinFS:建立在NTFS文件系统之上。请上微软官方网站查看。 Ext2:是LINUX/GUN系统中的标准文件系统。存取文件性能好。 Ext3:是上述系统的下一代,目前离实用阶段还的一段距离。是一个日志式文件系统。,计算机病毒原理与防范基础,12,在Windows9x、NT、2000下,所有的Win32可执行文件(除VxD与DLL)都是基于Micros
10、oft设计的一种新的文件格式:可移植的执行体,即PE格式。该格式的一些特性源自UNIX的COFF(命令目标文件)文件格式。Windows下感染可执行文件的病毒,就必须对PE格式的可执行文件进行修改。PE文件结构格式如下:,Home Page,Game Directions,PE文件格式,计算机病毒原理与防范基础,13,1.调用API函数进行 文件搜索 2.采用递归与非递归 算法进行搜索 3.内存映射文件,1.利用程序的返回 地址,在其附近搜 索Kernel32模块 基地址 2.对相应操作系统 分别给出固定的 Kernel32模块基 地址,我们在编程用常量和变量 时,一般直接用名字访问, 编译后
11、通过偏移地址访问, 而计算机病毒在感染宿主 程序时,要插入到宿主程序 的代码空间,肯定要用到变 量和常量.当病毒感染host 程序后,由于依附到host程 序中的位置不同,病毒随 host载入内存后,病毒的各 变量常量在内存中的位置 自然也随之变化.病毒必须 采用重定位技术才能使自己 正常运行,WIN32病毒分析,计算机病毒原理与防范基础,14,概 念,组 成,分 类,特 征,植入方法,特 洛 伊 木马,一种能够在受害者毫无察觉的情况下渗透到系统的代码,硬件部分,软件部分,具体连接部分,远程控制型,密码发送型,键盘记录型,毁坏型,FTP型,多媒体型,隐蔽性,自动运行性,欺骗性,自动恢复性,功能
12、特殊性,软件复制,电子邮件,发送超链接,缓冲区溢出攻击,计算机病毒原理与防范基础,15,WINDOWS程序设计是一种事件驱动方式的程序设 计模式。其应用程序最大的特点就是程序无固定 的流程,只是针对某个事件的处理有特定的子流 程,WINDOWS应用程序就是由许多这样的子流程 构成的。 WINDOWS应用程序本质上是面向对象的。程序提供 给用户界面的可视图像在程序内部一般也是一个 对象,用户对可视对象的操作通过事件驱动模式 触发相应对象的可用方法。程序的运行就是用户 外部操作不断产生事件,这些事件又被相应的对 象处理的过程。,计算机病毒原理与防范基础,16,CIH病毒剖析,CIH病毒是一种文件型
13、病毒,是第一例感染WINDOWS环境下的PE格式文件的病毒。目前CIH病毒有多个版本,最流行的是CIH1.2版本。,受感染的EXE文件的文件长度未改变。 DOS及Win3.1格式的或执行文件不受感染,且在WinNT中无效 查找包含EXE特征 “CIHv”过程中显示一大堆符合查找特征的可执行文件 4月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动,CIH病毒的表现形式、危害及传播途径,CIH病毒的运行机制,碎洞攻击,将病毒化整为零插入到宿主文件中,利用BIOS芯片可重写特点,发作时向主板BIOS中写入乱码,开创了病毒直接进攻硬件的行先例。,CIH病毒程序的组成,引导模块:感染了该病毒的EX
14、E文件运行时修改文件程序的入口地址 传染模块:病毒驻留内存过程中调用WINDOWS内核底层 表现模块,计算机病毒原理与防范基础,17,脚本病毒,脚本宿主简称WSH,是一种与语言无关的脚本宿主,可用于与WINDOWS脚本兼容的脚本引擎。WSH是一种WINDOWS管理工具。当脚本到达计算机时,WSH先充当主机的一部分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。 脚本语言的前身实际上就是DOS系统下的批处理文件。脚本的应用是对应用系统的一个强大的支撑,需要一个运行环境。现在比较流行的脚本语言的Unix/Linux shell、VBScript、PHP、 JavaScript、JSP等。现在
15、流行的脚本病毒大都是利JavaScript和VBScript编写。 JavaScript是一种解释型的、基于对象的脚本语言,是一种宽松类型的语言,不必显式地定义变量的数据类型。大多数情况下,该语言会根据需要自动进行转换。 VBScript使用ActiverX Script与宿主应用程序对话。,计算机病毒原理与防范基础,18,VBS脚本病毒,该病毒是用VBScript编写的,其脚本语言功能非常强大,利用WINDOWS系统的开放性特点,通过调用一些现成的WINDOWS对象、组件,可直接对文件系统、注册表等进行控制,功能非常强大。VBS脚本病毒具有如下特点: 编写简单 破坏力大 感染力强 传播范围广
16、 病毒码容易被获取、变种多 欺骗性强 病毒生产机实现起来非常容易,计算机病毒原理与防范基础,19,VBS病毒机理,感染方法:一般直接通过自我复制进行感染,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。如新欢乐时光病毒可将自己的代码附加在htm文件的尾部,并在顶部加入一条调用病毒代码的语句;而爱虫病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,VBS作为后缀。,传播方式:通过E-mail附件传播、通过局域网共享传播、通过感染htm、asp、jsp、php等网页文件传播、通过IRC聊天通道传播。,病毒加载:修改注册表项、通过映射文件执行方式、欺骗用户,让用户自己执行、Desktop.ini和Folder.htt互相配合。,对抗反病毒的方法:自加密、运用Execute函数、改变对象的声明方法、直接关闭反病毒软件。,计算机病毒原理与防范基础,20,VBS脚本病毒的防范,VBS病毒具有一些弱点: 运行是时需要用到一个对象: 代码通过Windows Script Host来解释执行 运行时需要其关联程序Wscript.exe的支持 通过网页传播的病毒
