《计算机病毒防治第一章》由会员分享,可在线阅读,更多相关《计算机病毒防治第一章(54页珍藏版)》请在金锄头文库上搜索。
1、播放计算机病毒原理 及防治2007年9月教师:张少敏 教材1 计算机病毒的概念2 计算机病毒的相关DOS基本系统知识1 计算机病毒的概念2 计算机病毒的相关DOS基本系统知识3 3 计算机病毒的结构及作用机制4 检测计算机病毒的基本方法5 清除计算机病毒的基本技术计算机病毒的结构及作用机制4 检测计算机病毒的基本方法5 清除计算机病毒的基本技术目录1.1计算机病毒的定义中华人民共和国计算机信息系 统安全保护条例中定义为:中华人民共和国计算机信息系 统安全保护条例中定义为:“计算机病毒,是指编制或者在计算 机程序中插入的破坏计算机功能 或者毁坏数据,影响计算机使用, 并且能够自我复制的一组计算机
2、 指令或者程序代码。计算机病毒,是指编制或者在计算 机程序中插入的破坏计算机功能 或者毁坏数据,影响计算机使用, 并且能够自我复制的一组计算机 指令或者程序代码。”1 计算机病毒的概念随着计算机应用的普及,计算机在工业、农业和社会生活各个领域中已开始发 挥重要作用,早期便有一些科普作家意识 到可能有人会利用计算机进行破坏,提出 了随着计算机应用的普及,计算机在工业、农业和社会生活各个领域中已开始发 挥重要作用,早期便有一些科普作家意识 到可能有人会利用计算机进行破坏,提出 了“计算机病毒计算机病毒”这种概念,不久计算机病毒便在理论、程序上都得到了证实。这种概念,不久计算机病毒便在理论、程序上都
3、得到了证实。1.2计算机病毒的产生和发展1949年,计算机的创始人冯1949年,计算机的创始人冯诺依曼(John Von Neumann)发表了复杂自动机器的理论和 结构的论文,提出计算机程序可以在内存中 进行自我复制和变异的理论。在此之后,许多 的计算机人员在自己的研究工作中应用和发展 了程序自我复制的理论。诺依曼(John Von Neumann)发表了复杂自动机器的理论和 结构的论文,提出计算机程序可以在内存中 进行自我复制和变异的理论。在此之后,许多 的计算机人员在自己的研究工作中应用和发展 了程序自我复制的理论。1959年,AT&T Bell实验室的3位成员设计出具有自我复制能力、并
4、能探测到别的程序在运行 时能将其销毁的程序。 1983年,Fred Cohen博士研制出一种在运行 过程中可以复制自身的破坏性程序。并在全美计 算机安全会议上提出,在VAXll150机上演示, 从而证实计算机病毒的存在,这也是公认的第一 个计算机病毒程序的出现。1959年,AT&T Bell实验室的3位成员设计出具有自我复制能力、并能探测到别的程序在运行 时能将其销毁的程序。 1983年,Fred Cohen博士研制出一种在运行 过程中可以复制自身的破坏性程序。并在全美计 算机安全会议上提出,在VAXll150机上演示, 从而证实计算机病毒的存在,这也是公认的第一 个计算机病毒程序的出现。随着
5、计算机技术的发展,出现了一些具有恶 意的程序。最初是些计算机爱好者恶作剧 性的游戏, 后来一些软件公司为防止盗版在自己的软件 中加入了病毒程序。1988年,罗伯特随着计算机技术的发展,出现了一些具有恶 意的程序。最初是些计算机爱好者恶作剧 性的游戏, 后来一些软件公司为防止盗版在自己的软件 中加入了病毒程序。1988年,罗伯特莫里斯(Rober Moms)制造的蠕虫病毒是首次通过网络传播的病毒, 是一起震撼世界的莫里斯(Rober Moms)制造的蠕虫病毒是首次通过网络传播的病毒, 是一起震撼世界的“计算机病毒侵入网络的案 件计算机病毒侵入网络的案 件”。后来,又出现了许多恶性计算机病毒,这些
6、病 毒会抢占系统资源、删除和破坏文件,最具破坏性 如CIH能对硬件造成毁坏。 网络的使用使得计算机病毒传播得更加广泛、 迅速。随着计算机技术的提高,病毒的制造技术也 在不断提高。最近几年,病毒的种类和表现模式不 断变化、改进,如宏病毒和变形病毒。变形病毒每 感染新文件都会发生变化,极具隐蔽性。有的病毒 利用操作系统、计算机硬件管理的缺陷对系统进行 破坏。后来,又出现了许多恶性计算机病毒,这些病 毒会抢占系统资源、删除和破坏文件,最具破坏性 如CIH能对硬件造成毁坏。 网络的使用使得计算机病毒传播得更加广泛、 迅速。随着计算机技术的提高,病毒的制造技术也 在不断提高。最近几年,病毒的种类和表现模
7、式不 断变化、改进,如宏病毒和变形病毒。变形病毒每 感染新文件都会发生变化,极具隐蔽性。有的病毒 利用操作系统、计算机硬件管理的缺陷对系统进行 破坏。所谓恶意程序是指一类特殊的程序,它们通常 在用户不知晓也未授权的 情况下潜入进来,具有用 户不知道(一般也不许可) 的特性,激活后将影响系 统或应用的正常功能,甚 至危害或破坏系统。所谓恶意程序是指一类特殊的程序,它们通常 在用户不知晓也未授权的 情况下潜入进来,具有用 户不知道(一般也不许可) 的特性,激活后将影响系 统或应用的正常功能,甚 至危害或破坏系统。1.3 恶意程序恶意程序的表现形式多种多样。有的是将合法程序进行改动,让它含有并 执行
8、某种破坏功能,如程序自毁或磁盘 自毁。有的是利用合法程序的功能和权 限,非法获取或篡改系统资源和敏感数 据,进行系统入侵。恶意程序的表现形式多种多样。有的是将合法程序进行改动,让它含有并 执行某种破坏功能,如程序自毁或磁盘 自毁。有的是利用合法程序的功能和权 限,非法获取或篡改系统资源和敏感数 据,进行系统入侵。根据恶意程序威胁的存在形式不同,将其分 为需要宿主程序和不需要宿主的 可独立存在的威胁两大类,如图所示。 前者基本上是不能独立于某个实际的应用程序、 实用程序或系统程序的程序片段,后者是可以被 操作系统调度和运行的自包含程序。另外,也可 以将这些恶意程序威胁分成不进行复制工作的和 进行
9、复制工作的。前者是一些当宿主程序根据恶意程序威胁的存在形式不同,将其分 为需要宿主程序和不需要宿主的 可独立存在的威胁两大类,如图所示。 前者基本上是不能独立于某个实际的应用程序、 实用程序或系统程序的程序片段,后者是可以被 操作系统调度和运行的自包含程序。另外,也可 以将这些恶意程序威胁分成不进行复制工作的和 进行复制工作的。前者是一些当宿主程序恶意程序的分类被调用时被激活起来完成一个特定功能的程序片段;后者由程序片段(病毒)或由独立程序(蠕虫、细菌)组成,在执行时可以在同一个系统或某个其他系统中产生自身的一个或多个以后将被激活的副本。被调用时被激活起来完成一个特定功能的程序片段;后者由程序
10、片段(病毒)或由独立程序(蠕虫、细菌)组成,在执行时可以在同一个系统或某个其他系统中产生自身的一个或多个以后将被激活的副本。图图1-1 恶意程序分类恶意程序分类恶意程序恶意程序需要宿主 程序需要宿主 程序独立存在独立存在陷门陷门逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马细菌细菌蠕虫蠕虫事实上,恶意程序的分类已 随着恶意程序彼此间的交叉和互 相渗透(变异)变得模糊。如 逻辑炸弹或特洛伊木马可能只是 一个病毒或蠕虫的一部分。事实上,恶意程序的分类已 随着恶意程序彼此间的交叉和互 相渗透(变异)变得模糊。如 逻辑炸弹或特洛伊木马可能只是 一个病毒或蠕虫的一部分。是进入程序的秘密入口,知道陷门的人可以不经过
11、通常的安全访问过程而获得访问 权力。 陷门被无所顾忌的程序员用来获得非授权访问时,陷门就变成了威胁。是进入程序的秘密入口,知道陷门的人可以不经过通常的安全访问过程而获得访问 权力。 陷门被无所顾忌的程序员用来获得非授权访问时,陷门就变成了威胁。1.陷门(Trap Doors)逻辑炸弹是嵌入在某个合法程序里面的一段代码,被设置成当满足特定条件时就会逻辑炸弹是嵌入在某个合法程序里面的一段代码,被设置成当满足特定条件时就会 “爆炸爆炸”:执行一个有害行为的程序。:执行一个有害行为的程序。2逻辑炸弹特洛伊木马是指一个有用的,或者表面上有用的程序或命令过程,但其中包含了一段隐 藏的、激活时将执行某种有害
12、功能的代码,可 以控制用户计算机系统的程序,并可能造成用 户的系统被破坏甚至瘫痪。特洛伊木马是指一个有用的,或者表面上有用的程序或命令过程,但其中包含了一段隐 藏的、激活时将执行某种有害功能的代码,可 以控制用户计算机系统的程序,并可能造成用 户的系统被破坏甚至瘫痪。3特洛伊木马细菌是一些并不明显破坏文件的程序,它们的惟一目的就是繁殖自己。一个典型的细菌程序可 能不做什么其他的事情。除了在多进程系统中同时 执行自己的两个副本,或者可能创建两个新的文件 外,每一个都是细菌程序原始源文件的一个复制品。 那些程序然后又能将自己两次复制,依此类推,细 菌以指数级地再复制,最终耗尽了所有的处理机能、 存
13、储器或磁盘空间,从而拒绝用户访问这些资源。细菌是一些并不明显破坏文件的程序,它们的惟一目的就是繁殖自己。一个典型的细菌程序可 能不做什么其他的事情。除了在多进程系统中同时 执行自己的两个副本,或者可能创建两个新的文件 外,每一个都是细菌程序原始源文件的一个复制品。 那些程序然后又能将自己两次复制,依此类推,细 菌以指数级地再复制,最终耗尽了所有的处理机能、 存储器或磁盘空间,从而拒绝用户访问这些资源。4 . 细菌计算机蠕虫是一种可以通过网络进行自身复制的病毒程序。一旦在系统中激活,蠕虫可以表现 得像计算机病毒或细菌。可以向系统注入特洛伊木 马程序,或者进行任何次数的破坏或毁灭行动。普 通计算机
14、病毒需要在计算机的硬盘或文件系统中繁 殖,而典型的蠕虫程序则不同,只会在内存中维持 一个活动副本,甚至根本不向硬盘中写入任何信息。计算机蠕虫是一种可以通过网络进行自身复制的病毒程序。一旦在系统中激活,蠕虫可以表现 得像计算机病毒或细菌。可以向系统注入特洛伊木 马程序,或者进行任何次数的破坏或毁灭行动。普 通计算机病毒需要在计算机的硬盘或文件系统中繁 殖,而典型的蠕虫程序则不同,只会在内存中维持 一个活动副本,甚至根本不向硬盘中写入任何信息。5 . 蠕虫蠕虫是一个独立运行的程序,自身不改变其他的程序,但可携带具有改变其他程序 功能的病毒。蠕虫是一个独立运行的程序,自身不改变其他的程序,但可携带具
15、有改变其他程序 功能的病毒。病毒演示病毒演示由于计算机病毒的特殊功能和潜在的威胁,它已成为所有计算机恶意程序的代名词由于计算机病毒的特殊功能和潜在的威胁,它已成为所有计算机恶意程序的代名词据1998年CSIFBI计算机犯罪和安全 调查报告中对攻击的分类调查显示,计算 机病毒占所有攻击类型的首位,如下图所 示。据1998年CSIFBI计算机犯罪和安全 调查报告中对攻击的分类调查显示,计算 机病毒占所有攻击类型的首位,如下图所 示。1.4 计算机病毒的危害1998年CSIFBI计算机犯罪和安 全调查报告中对攻击的分类020406080020406080病毒内部人员对网络的滥用笔记本电脑盗窃未授权的
16、内部访问系统入侵偷窥私人信息电信欺骗金融欺骗破坏被动搭线窃听主动搭线窃听病毒内部人员对网络的滥用笔记本电脑盗窃未授权的内部访问系统入侵偷窥私人信息电信欺骗金融欺骗破坏被动搭线窃听主动搭线窃听占有率占有率(1)破坏磁盘文件分配表或目录区,使用户磁 盘上的信息丢失。 (2)删除软盘或硬盘上的可执行文件或系统文 件,使系统无法启动。 (3)修改或破坏文件的数据。 (4)病毒程序自身在计算机系统中多次复制,使 系统的存储空间减少造成正常的文 件不能存储。(1)破坏磁盘文件分配表或目录区,使用户磁 盘上的信息丢失。 (2)删除软盘或硬盘上的可执行文件或系统文 件,使系统无法启动。 (3)修改或破坏文件的数据。 (4)病毒程序自身在计算机系统中多次复制,使 系统的存储空间减少造成正常的文 件不能存储。1.计算机病毒对独立 计算机系统的危害(5)删除或改写磁盘上的特定扇区。 (6)对系统中用户存储的特定文件进行非法 加密或解密。 (7)感染和破坏压缩文件,使其在解压时失 败。 (8)改写BIOS中的内容,使主板遭到毁灭性 的破坏。(5)删除或改写磁盘上的特定扇
