第8章 计算机病毒及防范技术.ppt

《第8章 计算机病毒及防范技术.ppt》由会员分享，可在线阅读，更多相关《第8章 计算机病毒及防范技术.ppt（45页珍藏版）》请在金锄头文库上搜索。

1、2018/9/18,1,第八章 计算机病毒及防范技术,信息安全,2018/9/18,2,本章主要内容,8.1 计算机病毒概念 8.2 计算机病毒原理8.3 反病毒技术,2018/9/18,3,本章学习目标,本章介绍计算机病毒的定义、由来、特征、分类、传播及工作方式、破坏行为、作用机制；分析一些病毒的原理，介绍病毒检测、清除、预防等原理，最后介绍一些防病毒软件的使用。通过本章的学习，学生应该掌握以下内容：（1）了解计算机病毒的定义、由来、特征、分类传播及工作方式、破坏行为、作用机制；（2）理解病毒预防、检测、清除、等原理。 （3）掌握KV3000杀毒软件的使用。,2018/9/18,4,8.1

2、计算机病毒概念,在中华人民共和国计算机信息系统安全保护条例 中定义为：“计算机病毒，是指编制或者在计算机程序中插 入的破坏计算机功能或者毁坏数据，影响计算机使用，并 且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是一种“计算机程序”，它不仅能破坏计算 机系统，而且还能传播、感染到其他系统。它通常隐藏在 其他看起来无害的程序中，能生成自身的拷贝并且插入其 他的程序中，执行恶意的行动。,8.1.1计算机病毒定义,2018/9/18,5,8.1 计算机病毒概念,1949年计算机的创始人冯诺依曼的复杂自动机器的理论和结构论文，提出计算机程序可以在内存中进行自我复制和变异的理论。 1959年A

3、T&TBell实验室的3位成员设计出具有自我复制能力、并能探测到别的程序在运行时能将其销毁的程序。 1983年Fred Cohen博士研制出一种在运行过程中可以复制自身破坏性程序。并在全美计算机安全会议上提出，在VAXll150机上演示，从而证实计算机病毒的存在，这也是公认的第一个计算机病毒程序的出现。 1988年罗伯特莫里斯（Rober Moms）制造的蠕虫病毒首次通过网络传播病毒，是一起震撼世界的“计算机病毒侵入网络的案件”。,8.1.2 计算机病毒产生和发展,2018/9/18,6,8.1 计算机病毒概念,恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：计算机病毒(computer

4、 virus)计算机蠕虫(computer worm)特洛伊木马(Trojan horse)逻辑炸弹(logic bomb),2018/9/18,7,8.1 计算机病毒概念,恶意程序是指一类特殊的程序，它们通常在用户不知晓 也未授权的情况下潜入进来，具有用户不知道（一般也不 许可）的特性，激活后将影响系统或应用的正常功能，甚 至危害或破坏系统。恶意程序的表现形式多种多样。有的 是将合法程序进行改动，让它含有并执行某种破坏功能， 如程序自毁或磁盘自毁。有的是利用合法程序的功能和权 限，非法获取或篡改系统资源和敏感数据，进行系统入侵。,8.1.3 恶意程序,2018/9/18,8,8.1 计算机病

5、毒概念,1.逻辑炸弹在病毒和蠕虫之前，最古老的软件威胁之一就是逻辑 炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码， 被设置成当满足特定条件时就会“爆炸”：执行一个有害行 为的程序，如改变、删除数据或整个文件，引起机器关机， 甚至破坏整个系统等破坏活动。,8.1.3 恶意程序,2018/9/18,9,8.1 计算机病毒概念,2.特洛伊木马特洛伊木马是指一个有用的，或者表面上有用的程序 或命令过程，但其中包含了一段隐藏的、激活时将执行某 种有害功能的代码，可以控制用户计算机系统的程序，并 可能造成用户的系统被破坏甚至瘫痪。特洛伊木马程序可以用来非直接地完成一些非授权用 户不能直接完成的功能。,

6、8.1.3 恶意程序,2018/9/18,10,8.1 计算机病毒概念,3.蠕虫计算机蠕虫是一种可以通过网络（永久性网络连接 或拨号网络）进行自身复制的病毒程序。一旦在系统中激 活，蠕虫可以表现得像计算机病毒或细菌。可以向系统注 入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。 普通计算机病毒需要在计算机的硬盘或文件系统中繁殖， 而典型的蠕虫程序则不同，只会在内存中维持一个活动副 本，甚至根本不向硬盘中写入任何信息。此外，蠕虫是一 个独立运行的程序，自身不改变其他的程序，但可携带一 个具有改变其他程序功能的病毒。,8.1.3 恶意程序,2018/9/18,11,8.1 计算机病毒概念,4.

7、细菌细菌是一些并不明显破坏文件的程序，它们的惟一目的就是繁殖自己。一个典型的细菌程序可能不做什么其他的事情。除了在多进程系统中同时执行自己的两个副本，或者可能创建两个新的文件外，每一个都是细菌程序原始源文件的一个复制品。那些程序然后又可能将自己两次复制，依次类推细菌以指数级地再复制，最终耗尽了所有的处理机能力、存储器或磁盘空间，从而拒绝用户访问这些资源。,8.1.3 恶意程序,2018/9/18,12,8.1 计算机病毒概念,8.1.4 计算机病毒的危害,据1998年CSI/FBI计算机犯罪和安全调查报告中对攻击的分类调查显示， 计算机病毒占所有攻击类型的首位.,2018/9/18,13,8.

8、1 计算机病毒概念,1.计算机病毒对独立计算机系统的危害（1）破坏磁盘文件分配表或目录区，使用户磁盘上的 信息丢失。（2）删除软盘或硬盘上的可执行文件或系统文件，使 系统无法启动。（3）修改或破坏文件的数据。（4）病毒程序自身在计算机系统中多次复制，使系统 的存储空间减少，造成正常的文件不能存储。（5）删除或改写磁盘上的特定扇区。（6）对系统中用户存储的特定文件进行非法加密或解 密。（7）感染和破坏压缩文件，使其在解压时失败。（8）改写BIOS中内容，使主板遭到毁灭性的破坏。,8.1.4 计算机病毒的危害,2018/9/18,14,8.1 计算机病毒概念,2.计算机病毒对网络的危害病毒对网络的

9、危害远比对独立计算机系统危害大得多。 据国外有关调查表明，1998年底，90的Internet用户都 遭受过来自Internet网上的病毒的侵扰。病毒对网络的危 害主要有：（1）病毒通过“自我复制”传染正在运行的系统，与正 常的运行程序争夺系统资源，造成系统瘫痪，并通过网络 系统侵害与之联网的其他计算机。（2）病毒会导致计算机控制的失灵。（3）病毒会导致电子邮件传递混乱或Email系统关闭。（4）病毒程序在激活时，能冲毁系统存取器中的大量 数据，使与之相联的计算机用户的程序和数据丢失。,8.1.4 计算机病毒的危害,2018/9/18,15,8.2 计算机病毒原理,1.传染性:计算机病毒也会通

10、过各种媒体从已被感染的计算机扩散到未被感染的计算机。 2.隐蔽性:计算机病毒隐蔽性是指计算机病毒不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。 3.潜伏性:计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。潜伏性的一种表现指的是病毒程序如果不用专门的检测程序是检测，是检查不来的，因此，病毒可以在磁盘、光盘或其他介质上静静的呆上几天，甚至是几年。 4.表现性 :病毒的表现性是指当病毒触发条件满足时，病毒在被计算机病毒感染的计算机上开始发作，表现出一定的症状和破坏性。,8.2.1 计算机病毒特征,2018/9/18,16,8.2 计算机病毒原理,1. 按感染形式

11、分类 文件病毒：通过在执行系列中插入指令把自己依附在可执行文件上，此种病毒感染文件，并寄生在文件中，进而造成文件损坏。 引导区病毒：潜伏在软盘的引导扇区，或在硬盘的引导区，或主引导纪录（分区扇区）中插入指令。如果计算机用被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。 混合型病毒：具有引导型和文件型两种病毒的特性。CIH病毒就是这种混合型病毒。 宏病毒：即感染可执行文件和一般文件。虽无严重的危害，但对系统的性能及用户工作效率有影响，在网络中进行交叉感染。“美丽杀手” 就是一种宏病毒，,8.2.2 计算机病毒的分类,2018/9/18,17,8.2 计算机病毒原理,2. 按寄

12、生方式分类 代替式计算机病毒：计算机病毒用自身代码的部分或全部替代常规程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。 连接式计算机病毒：这种方式一般以传染文件为主，即病毒与宿主文件相连接时宿主文件的字节长度增加，但不破坏原合法程序的代码。 转储式计算机病毒：病毒将原合法的程序代码转储到存储介质的其他部位，而用病毒代码占据原合法程序的位置。 充式计算机病毒：这种病毒有的传染引导程序，有的传染文件，病毒一般侵入宿的空闲存储空间，这样就不会改变宿主程序的字节长度。,8.2.2 计算机病毒的分类,2018/9/18,18,8.2 计算机病毒原理,3按攻击方式分类这种方法划分有利于分析病毒

13、的攻击对象和传染范围。 源码病毒 存在的形式为源码。可细分为Shell型和语 言型。Shell（命令解释程序），一般指接收标准输入并将命 令转交给系统的命令解释器或程序，Shell型病毒包括各种 操作系统的Shell程序。如Unix的B Shell、C Shell，DOS ，Windows NT的cmd.exe 等。语言型包括汇编、C、B、Fortran语言和微软的VC、VB， VJ等。 机器码病毒 指各种处理器的机器码构成的病毒，如 Intel86系列病毒、Motorola的68000，系列病毒、Zilog系 列病毒和Macintosh系列病毒等。 混合码病毒 两种形式都有则称为混合码病毒。

14、,8.2.2 计算机病毒的分类,2018/9/18,19,8.2 计算机病毒原理,4根据病毒操作的方式或使用的编程技术分类隐蔽病毒：使用某种技术来隐蔽程序被感染的事实。例如当操作系统发出调用要得到的某些信息时，它记录下必要的信息，以便于以后欺骗操作系统和病毒程序的扫描。变形病毒：变形病毒能变化，使得它们更难被鉴别出来。如有一种使用高级加密技术的多态病毒。其使用了可变化的签名。变化过程称为变异。变异中，病毒改变它的大小和构成。通常，病毒扫描程序通过搜索已知的模式（大小、校验码、日期等）来检测病毒，一个经巧妙设计的变形病毒则可逃脱这些固定模式的检测，是传统的模式匹配法对此显得软弱无力。,8.2.2

15、 计算机病毒的分类,2018/9/18,20,8.2 计算机病毒原理,1、感染 2、变异 3、触发 4、破坏 5、高级功能病毒,8.2.4 病毒的工作方式,2018/9/18,21,8.2 计算机病毒原理,1.感染,8.2.4 病毒的工作方式,内存,病毒,感染 其它磁盘,原始引导扇区信息,引导扇区病毒感染过程,2018/9/18,22,8.2 计算机病毒原理,1.感染,8.2.4 病毒的工作方式,文件型病毒工作方式,.EXE,.COM,2018/9/18,23,8.2 计算机病毒原理,2.变异变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”。,8.2.4

16、 病毒的工作方式,病毒代码AA,病毒的变异,2018/9/18,24,8.2 计算机病毒原理,3.触发计算机病毒为了能在合适的时候发作，需要预先设置 一些触发的条件，并使之先置于触发状态。众所周知的基 于某个特定日期的，如每个月的几号或星期五同时又是13 号或3月6号（Michelangelo的生日）开始它的“工作”。除 了以时间作为触发条件外，也有当程序运行了多次后，或 在文件病毒被拷贝到不同的系统上多次以后，病毒便被启 动而立即“工作”。触发在逻辑炸弹中很流行。,8.2.4 病毒的工作方式,2018/9/18,25,8.2 计算机病毒原理,虽然不同类型的计算机病毒的机制和表现手法不尽相 同，但计算机病毒的结构基相似，一般说来是由以下三个 程序模块组成。1.引导模块2.传染模块3.破坏与表现模块,8.2.5 计算机病毒的结构,2018/9/18,26,8.2 计算机病毒原理,1.引导模块当被感染的软硬盘，应用程序开始工作时，病毒的引 导模块将病毒由外存引入存，并使病毒程序成为相对独立 于宿主程序的部分，从而使病毒的传染模块和破坏模块进 入待机状态。在某些病毒中，尤其是传染引导区的计算机 病毒，其引导模块还承担将分开存储的病毒程序片断链接 的任务。,