《[院校资料]第3章 计算机病毒及防治》由会员分享,可在线阅读,更多相关《[院校资料]第3章 计算机病毒及防治(57页珍藏版)》请在金锄头文库上搜索。
1、第3章 计算机病毒及防治,3.1 计算机病毒概述 3.2 计算机病毒的工作机理 3.3 计算机病毒实例 3.4 计算机病毒的检测和清除,计算机病毒(Computer Virus)在中华人民共和国计算机网络系统安全保护条例中被明确定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,3.1 计算机病毒概述,3.1.1 计算机病毒的概念和发展史 1萌芽阶段 2DOS平台阶段 3Windows平台阶段 4互联网阶段,萌芽阶段 1983年11月3日,弗雷德科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破
2、坏性程序,伦艾德勒曼(Len Adleman)将它命名为计算机病毒(computer virus),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。,8.1 计算机病毒,DOS平台阶段 1986年初,巴基斯坦的巴锡特(Basit)和阿姆杰德(Amjad)两兄弟编写了Pakistan病毒(即Brain病毒),该病毒在一年内流传到了世界各地。这是第一个在世界上流行的真正的病毒。,Windows平台阶段 1996年1月,第一个Windows病毒“博扎”出现。 CIH、
3、宏病毒等,互联网阶段 最早的互联网病毒是“莫里斯蠕虫”。1988年11月。 梅丽莎、爱虫、红色代码、尼姆达等。,3.1.2 计算机病毒的特征 计算机病毒一般具有以下几个特征。 1传染性 2非授权性 3隐蔽性 4潜伏性 5破坏性 6不可预见性,(1)传染性 传染性是计算机病毒的基本特征。计算机病毒一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。,(2)病毒的非授权性 病毒未经授权而执行。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的。而病毒具有正常程序的一切特性,它隐藏在正常程序中
4、,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。,(3)病毒的隐蔽性 病毒通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾在计算机内发生过什么。,计算机病毒的隐蔽性表现在两个方面: 一是传染的隐蔽性,大多数病毒在进行传染时速度是极快的,一般不具有外部表现,不易被人
5、发现。 二是病毒程序存在的隐蔽性,一般的病毒程序都夹在正常程序之中,很难被发现,而一旦病毒发作出来,往往已经给计算机系统造成了不同程度的破坏。被病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上病毒,整台计算机就不能启动了,或者某个程序一旦被病毒所感染,就被损坏得不能运行了。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。,(4)潜伏性 一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年
6、内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。 潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。 潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足, 则进行破坏活动。,(5)破坏性 所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算
7、机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。 同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统的正常运行的话,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。但并非所有的病毒都对系统产生极其恶劣的破坏作用。,(6)不可预见性 从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。,3.1.3 计算机病毒的种类 1按病毒的寄生方式分类 (1)文件型病毒 (2)引导型病毒 (3)混合型病毒 2按病毒的传染方法分类 (1)驻留型病毒 (2
8、)非驻留型病毒,3按病毒的破坏能力分类 (1)无害性 具有病毒的特征,传染时仅减少磁盘的可用空间,对系统没有其他影响。 (2)无危害性 这类病毒对系统影响较小,仅是减少内存,显示信息、图像或发出声音等。 (3)危险性 这类病毒在计算机系统操作中造成严重的错误。 (4)非常危险性 这类病毒会删除程序,破坏数据,清除系统内存区和操作系统中重要的信息,甚至会破坏计算机硬件,对系统的危害是最大的。,4按病毒特有的算法分类 (1)伴随型病毒 (2)“蠕虫”病毒 (3)寄生型病毒 5按病毒的链接方式分类 (1)源码型病毒 (2)嵌入型病毒 (3)外壳病毒 (4)操作系统型病毒,病毒的命名,病毒前缀.病毒名
9、.病毒后缀。 病毒前缀是指一个病毒的种类,不同的种类的病毒,其前缀不相同。比如我们常见的木马的前缀是Trojan,蠕虫的前缀是Worm。 病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如著名的CIH病毒的家族名都是统一的CIH,振荡波蠕虫病毒的家族名是Sasser。 病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如:Worm.Sasser.b就是指振荡波蠕虫病毒的变种b。如果病毒变种非常多,可以采用数字与字母混合表示变种标识。,按病毒发作的时间命名,如:“黑色星期五” 按病毒发作症状命名 ,如:“小球” 按病毒自身包含的
10、标志命名 ,如: “DiskKiller(磁盘杀手)” 按病毒发现地命名 ,如:“ Vienna(维也纳)” 按病毒的字节长度命名 ,如:“1575”,病毒的生命周期,隐藏阶段:处于这个阶段的病毒不进行操作,而是等待事件触发,触发事件包括时间、其它程序或文件的出现、磁盘容量超过某个限度等。但这个周期不是必要的,有的病毒没有隐藏期,而是无条件地传播和感染。,病毒的生命周期,传播阶段:在这一阶段的病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去。每个被感染的程序将包含一个该病毒的副本,并且这些副本也可以向其它未感染的程序继续传播病毒的副本。,病毒的生命周期,触发阶段:这个阶段病
11、毒将被激活去执行病毒设计者预先设计好的功能。病毒进入这一阶段也需要一些系统事件的触发,比如:病毒本身进行复制的副本数达到了某个数量。,病毒的生命周期,执行阶段:这一阶段病毒将执行预先设计的功能直至执行完毕。这些功能可能是无害的,比如:向屏幕发送一条消息;也可能是有害的,比如:删除程序或文件、强行关机等。,病毒的传播途径 1、移动存储设备传播 2、网络传播 3、无线传播,3.2 计算机病毒的工作机理,病毒的一般结构,Program v:= goto main; 1234567; subroutine infect-executable:= loop: file:=get-radom-execut
12、able-file; if (first-line-of-file = 1234567) then goto loop; else prepend V to file; subroutine do-damage:= whatever damage is to be done subroutine trigger-pulled:= return true if some condition holds main: main-program:= infect-executable; if trigger-pulled then do-damage; goto next; next: ,3.2.1
13、引导型病毒 1引导区的结构 2计算机的引导过程 3引导型病毒的基本原理,软盘是在聚酯塑料盘片上涂一层很薄的磁性材料,通过磁性材料的磁化方向来存储数据1和0。常用的软盘都是3.5英寸的,简称3寸盘。,软盘存储器,软盘在使用之前必须要先格式化 软盘格式化后将软盘分为四个区域: 引导扇区:用于存放系统的自引导程序,为系统启动和存放磁盘参数而设置。 文件分配表:用于描述文件在磁盘上的存放位置及整个磁盘扇区的使用情况。 文件目录表:存放软盘根目录下所有文件名和子目录名、文件属性、文件在磁盘上存放的起始位置、文件长度、文件建立或修改的日期和时间等信息。 数据区:用于存放用户文件。,磁道与扇区的划分,磁道:
14、以轴孔为中心的同心圆。磁道中存有引导记录和文件分配表(FAT)等信息,扇区:每一扇区规定存储512字节,磁盘容量 面数磁道数/面扇区数/磁道 字节数/扇区 2 80 18 512(字节) 1474560(Bytes) 1024 1440(KB) 1.44(MB),软盘驱动器 转速为300rpm360rpm,3.2.2 文件型病毒 主要分为三类: 寄生病毒、覆盖病毒、伴随病毒,3.2.2 文件型病毒 (1)内存驻留的病毒首先检查系统内存,查看内存是否已有此病毒存在,如果没有则将病毒代码装入内存进行感染。 (2)对于内存驻留病毒来说,驻留时还会把一些DOS或者基本输入输出系统(BIOS)的中断指向
15、病毒代码 (3)执行病毒的一些其他功能,如破坏功能,显示信息或者病毒精心制作的动画等。 (4)这些工作后,病毒将控制权返回被感染程序,使正常程序执行。,3.2.3 混合型病毒 混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒,它们可以感染可执行文件,也可以感染引导区,并使之相互感染,具有相当强的感染力。,3.2.4 宏病毒 宏病毒是计算机病毒历史上发展最快的病毒,它也是传播最广泛,危害最大的一类病毒。据国际计算机安全协会(International Computer Security Association)的统计报道,在当前流行的病毒中,宏病毒占全部病毒的80%左右。 宏病毒是一类
16、使用宏语言编写的程序,依赖于微软Office办公套件Word、Excel和PowerPoint等应用程序传播。,1宏病毒的特征 (1)宏病毒与传统的文件型病毒有很大的不同。 (2)宏病毒的感染必须通过宏语言的执行环境(如Word和Excel程序)的功能,不能直接在二进制的数据文件中加入宏病毒代码。 (3)宏病毒是一种与平台无关的病毒,任何可以正确打开和理解Word文件宏代码的平台都可能感染宏病毒。,(4)此外宏病毒编写容易,破坏性强。它使用Visual Basic For Applications(VBA)这样的高级语言编写,编写比较简单,功能比较强大,只要掌握一些基本的“宏”编写手段,即可编写出破坏力很大的宏病毒。 (5)宏病毒的传播速度极快。由于网络的普及,Email和FTP服务使人们更加方便快捷地获取信息,但同时也为宏病毒的传播提供了便利条件。而且,随着“无纸办公”方式的使用,微软Office软件已经成为办公人员不可缺
