收藏
下载资源

计算机病2PPT

上传人:汽*** 文档编号:567674368 上传时间:2024-07-22 格式:PPT 页数:38 大小:501KB
返回 下载 相关 举报
计算机病2PPT_第1页
第1页 / 共38页
计算机病2PPT_第2页
第2页 / 共38页
计算机病2PPT_第3页
第3页 / 共38页
计算机病2PPT_第4页
第4页 / 共38页
计算机病2PPT_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《计算机病2PPT》由会员分享,可在线阅读,更多相关《计算机病2PPT(38页珍藏版)》请在金锄头文库上搜索。

1、第第 2 章章 计算机病毒计算机病毒1第2章 计算机病毒 病毒基本概念病毒基本概念 引导型病毒引导型病毒 文件型病毒文件型病毒 混合型病毒混合型病毒 宏病毒宏病毒 网络病毒与防护网络病毒与防护 典型病毒原理及防治方法典型病毒原理及防治方法第第 2 章章 计算机病毒计算机病毒2第第 2 章章 计算机病毒计算机病毒3第第 2 章章 计算机病毒计算机病毒4第第 2 章章 计算机病毒计算机病毒52.1 病毒基本概念病毒基本概念 2.1.1 病毒的起源病毒的起源 2.1.2 病毒的本质病毒的本质计计算算机机病病毒毒定定义义:是是指指编编制制或或者者在在计计算算机机程程序序中中插插入入的的破破坏坏计计算算

2、机机功功能能或或者者毁毁坏坏数数据据、影影响响计计算算机机使使用用且且能能自自我我复复制制的的一组一组计算机指令或者程序代码计算机指令或者程序代码。 病毒传播载体:网络、电磁性介质和光学介质病毒传播载体:网络、电磁性介质和光学介质病病毒毒传传染染的的基基本本条条件件:计计算算机机系系统统的的运运行行、读读写写介介质质(磁磁盘盘)上的数据和程序上的数据和程序病毒的传播步骤:驻留内存、寻找传染的机会、进行传染。病毒的传播步骤:驻留内存、寻找传染的机会、进行传染。病病毒毒传传染染方方式式:引引导导扇扇区区(包包括括硬硬盘盘的的主主引引导导扇扇区区)传传染染类类、文件型病毒文件型病毒第第 2 章章 计

3、算机病毒计算机病毒62.1.3 病毒的特点病毒的特点隐隐蔽蔽性性:隐隐藏藏在在操操作作系系统统的的引引导导扇扇区区、可可执执行行文文件件、数据文件、标记的坏扇区。数据文件、标记的坏扇区。传染性传染性:自我复制:自我复制潜伏性潜伏性:定期发作:定期发作可触发性可触发性:控制条件,日期、时间、标识、计数器:控制条件,日期、时间、标识、计数器表现性或破坏性表现性或破坏性:干扰系统、破坏数据、占用资源:干扰系统、破坏数据、占用资源第第 2 章章 计算机病毒计算机病毒72.1.4 病毒的种类病毒的种类按破坏性分类按破坏性分类良良性性病病毒毒:是是指指那那些些只只是是为为了了表表现现自自己己而而并并不不破

4、破坏坏系系统统数数据据,只只占占用用系统系统CPU资源或干扰系统工作的一类计算机病毒。资源或干扰系统工作的一类计算机病毒。恶恶性性病病毒毒:是是指指病病毒毒制制造造者者在在主主观观上上故故意意要要对对被被感感染染的的计计算算机机实实施施破破坏坏,这这类类病病毒毒一一旦旦发发作作就就破破坏坏系系统统的的数数据据、删删除除文文件件、加加密密磁磁盘盘或或格格式化操作系统盘,使系统处于瘫痪状态。式化操作系统盘,使系统处于瘫痪状态。按寄生方式分类按寄生方式分类系系统统引引导导型型:系系统统引引导导时时病病毒毒装装入入内内存存,同同时时获获得得对对系系统统的的控控制制权权,对外传播病毒,并且在一定条件下发

5、作,实施破坏。对外传播病毒,并且在一定条件下发作,实施破坏。文文件件型型(外外壳壳型型):将将自自身身包包围围在在系系统统可可执执行行文文件件的的周周围围、对对原原文文件件不不作作修修改改、运运行行可可执执行行文文件件时时,病病毒毒程程序序首首先先被被执执行行,进进入入到到系系统统中中,获得对系统的控制权。获得对系统的控制权。源源码码型型:在在源源被被编编译译之之前前,插插入入到到源源程程序序中中,经经编编译译之之后后,成成为为合合法法程序的一部分。程序的一部分。入侵型:入侵型:将自身入侵到现有程序之中,使其变成合法程序的一部分。将自身入侵到现有程序之中,使其变成合法程序的一部分。第第 2 章

6、章 计算机病毒计算机病毒82.1.4 病毒的种类病毒的种类按广义病毒概念分类按广义病毒概念分类蠕虫(蠕虫(worm):):监测监测IP地址,网络传播地址,网络传播逻辑炸弹(逻辑炸弹(logic bomb):):条件触发,定时器条件触发,定时器特特洛洛伊伊木木马马(Trojan Horse):隐隐含含在在应应用用程程序序上上的的一一段段程程序,当它被执行时,会破坏用户的安全性。序,当它被执行时,会破坏用户的安全性。陷陷门门:在在某某个个系系统统或或者者某某个个文文件件中中设设置置机机关关,使使得得当当提提供供特特定的输入数据时,允许违反安全策略。定的输入数据时,允许违反安全策略。细菌(细菌(Ge

7、rm):不断繁殖,直至添满整个网络的存储系统不断繁殖,直至添满整个网络的存储系统第第 2 章章 计算机病毒计算机病毒92.1.5 病毒的基本结构病毒的基本结构表现部分表现部分引引导导部部分分传播部分传播部分计算机病毒程序结构计算机病毒程序结构第第 2 章章 计算机病毒计算机病毒10引导部分:把病毒程序加载到内存。引导部分:把病毒程序加载到内存。 功功能能:驻驻留留内内存存、修修改改中中断断、修修改改高高端端内内存存、保保存存原原中断向量中断向量传染部分:把病毒代码复制到传染目标上。传染部分:把病毒代码复制到传染目标上。 功能:条件判断、与主程序连接、设置标志。功能:条件判断、与主程序连接、设置

8、标志。表现部分:运行、实施破坏表现部分:运行、实施破坏 功能:条件判断、显示、文件读写功能:条件判断、显示、文件读写2.1.5 病毒的基本结构病毒的基本结构第第 2 章章 计算机病毒计算机病毒112.1.6 计算机病毒与存储结构磁磁盘盘空空间间的的总总体体划划分分:主主引引导导记记录录区区(只只有有硬硬盘盘有有)、引导记录区、文件分配表引导记录区、文件分配表 (FAT)、)、目录区和数据区。目录区和数据区。软软盘盘空空间间的的总总体体划划分分:引引导导记记 录录区区、文文件件分分配配表表1、文件分配表文件分配表2、根目录区以及数据区、根目录区以及数据区硬盘空间的总体划分:硬盘空间的总体划分:主

9、引导记录区:主引导程序、分区信息表主引导记录区:主引导程序、分区信息表多个系统分区:多个系统分区:系系统统型型病病毒毒的的磁磁盘盘存存储储结结构构:磁磁盘盘引引导导扇扇区区(引引导导部部分)、磁盘其他的扇区(传染、表现部分分)、磁盘其他的扇区(传染、表现部分)病毒程序定位病毒程序定位文件型病毒的磁盘存储结构文件型病毒的磁盘存储结构外壳病毒外壳病毒第第 2 章章 计算机病毒计算机病毒122.1.7 计算机病毒与中断中中断断的的定定义义:CPU在在运运行行过过程程中中对对外外部部事事件件发发出出的的中中断断请请求求及及时时地地进进行行处处理理,处处理理完完成成后后又又立立即即返返回回断断点点,继续

10、进行继续进行CPU原来的工作。原来的工作。中中断断源源:引引起起中中断断的的原原因因或或者者说说发发出出中中断断请请求求的的来来源源。根据中断源的不同,可以把中断分为:根据中断源的不同,可以把中断分为:硬件中断可以分为外部中断和内部中断两类:硬件中断可以分为外部中断和内部中断两类:外部中断:一般是指由计算机外设发出的中断请求。外部中断:一般是指由计算机外设发出的中断请求。内部中断:是指因硬件出错或运算出错所引起的中断。内部中断:是指因硬件出错或运算出错所引起的中断。软软件件中中断断:其其实实并并不不是是真真正正的的中中断断,它它们们只只是是可可被被调调用用执执行行的一般程序。的一般程序。第第

11、2 章章 计算机病毒计算机病毒132.1.8 病毒的危害病毒的危害1、攻击系统数据区、攻击系统数据区2、攻击文件、攻击文件 3、攻击内存、攻击内存4、干扰系统运行、干扰系统运行5、干扰外部设备、干扰外部设备 6、攻击、攻击CMOS7、破坏网络系统破坏网络系统8、破坏计算机控制系统、破坏计算机控制系统第第 2 章章 计算机病毒计算机病毒142.1.9 病毒的防治病毒的防治预防措施预防措施访访问问控控制制、进进程程监监视视、校校验验信信息息的的验验证证、病病毒毒扫扫描描程程序序、启启发式扫描程序、应用程序级扫描程序发式扫描程序、应用程序级扫描程序 病毒检查病毒检查比比较较法法、搜搜索索法法、特特征

12、征字字识识别别法法、分分析析法法、通通用用解解密密法法、人人工智能技术、数字免疫工智能技术、数字免疫病毒的消除病毒的消除引引导导型型病病毒毒消消除除、文文件件型型病病毒毒消消除除、宏宏病病毒毒清清除除、病病毒毒交交叉叉感染的消除感染的消除第第 2 章章 计算机病毒计算机病毒152.2 引导型病毒引导型病毒第第 2 章章 计算机病毒计算机病毒162.2 引导型病毒引导型病毒2.2.1 引导型病毒特点引导型病毒特点引导部分占据磁盘引导区。引导部分占据磁盘引导区。只有在计算机启动过程中,磁盘被引导时,只有在计算机启动过程中,磁盘被引导时,“引导型引导型”病毒才被激活。病毒才被激活。具有磁盘引导扇区内

13、容具有磁盘引导扇区内容“复原复原”功能。功能。修改内存容量,病毒驻留内存。修改内存容量,病毒驻留内存。修改磁盘访问中断,在进行磁盘写操作的时候进行传播。修改磁盘访问中断,在进行磁盘写操作的时候进行传播。2.2.2 引导型病毒传播方式引导型病毒传播方式正常的操作系统启动过程正常的操作系统启动过程感染引导型病毒的操作系统启动感染引导型病毒的操作系统启动第第 2 章章 计算机病毒计算机病毒172.2.3 引导型病毒的清除方法引导型病毒的清除方法1、病毒诊断、病毒诊断 1)用)用DEBUG诊断诊断 2)用)用CHKDSK命令诊断命令诊断 3)用)用PCTOOLS实用工具软件诊断实用工具软件诊断2、手工

14、清除病毒办法、手工清除病毒办法 1)硬盘主引导扇区病毒清除)硬盘主引导扇区病毒清除 2)硬盘操作系统引导扇病毒清除)硬盘操作系统引导扇病毒清除 3)软盘引导扇区病毒清除)软盘引导扇区病毒清除第第 2 章章 计算机病毒计算机病毒182.3.1文件型病毒特点文件型病毒特点文件型病毒的主要特点是:文件型病毒的主要特点是:系统执行病毒所寄生的文件时,其病毒才被激活。系统执行病毒所寄生的文件时,其病毒才被激活。有有可可能能直直接接攻攻击击目目标标对对象象,主主要要是是EXE、COM等等可可执执行行文文件件,如如果果是是混混合合型型病病毒毒,则则还还要要攻攻击击硬硬盘盘的的主主引导扇区或操作系统引导扇区。

15、引导扇区或操作系统引导扇区。修改系统内存分配,病毒驻留内存。修改系统内存分配,病毒驻留内存。修修改改系系统统中中断断,等等待待时时机机进进行行病病毒毒的的发发作作或或再再次次传传播。播。第第 2 章章 计算机病毒计算机病毒192.3.2 文件型病毒传播方式文件型病毒传播方式前置感染前置感染后置感染后置感染覆盖感染覆盖感染扩展覆盖感染扩展覆盖感染第第 2 章章 计算机病毒计算机病毒202.3.3 文件型病毒的清除方法文件型病毒的清除方法1、病毒诊断、病毒诊断(1)比较文件内容)比较文件内容(2)系统的内存变化)系统的内存变化(3)检查中断向量)检查中断向量2、 文件型病毒的清除文件型病毒的清除第

16、第 2 章章 计算机病毒计算机病毒212.4 混合型病毒混合型病毒 定义:定义:一些病毒即能感染文件也能感染引导扇区。一些病毒即能感染文件也能感染引导扇区。 混混合合型型病病毒毒有有文文件件型型和和引引导导型型两两类类病病毒毒的的某某些些共共同同特性特性混混合合型型病病毒毒的的诊诊断断、清清除除方方法法可可以以结结合合诊诊断断、清清除除文文件型和引导型病毒使用的方法进行。件型和引导型病毒使用的方法进行。第第 2 章章 计算机病毒计算机病毒222.5 宏病毒宏病毒宏病毒的产生宏病毒的产生宏宏病病毒毒是是一一种种特特殊殊的的文文件件型型病病毒毒,它它的的产产生生是是利利用用了了一一些些数数据据处处

17、理理系系统统。这这种种特特性性可可以以把把特特定定的的宏宏命命令令代代码码附附加加在在指指定定文文件件上上,在在未未经经使使用用者者许许可可的的情情况况下下获获取取某某种种控控制制权权,实实现现宏宏命命令令在在不不同同文文件件之之间间的的共共享和传递。享和传递。病病毒毒通通过过文文件件的的打打开开或或关关闭闭来来获获取取控控制制权权,然然后后进进一一步步捕捕获获一一个个或或多多个系统事件,并通过这些调用完成对文件的感染。个系统事件,并通过这些调用完成对文件的感染。宏宏病病毒毒与与传传统统的的病病毒毒有有很很大大不不同同,它它不不感感染染.EXE和和.COM等等可可执执行行文文件件,而而是是将将

18、病病毒毒代代码码以以“宏宏”的的形形式式潜潜伏伏在在Office文文件件中中,主主要要感感染染Word和和Excel等等文文件件,当当采采用用Office软软件件打打开开这这些些染染毒毒文文件件时时,这这些些代代码码就就会被执行并产生破坏作用。会被执行并产生破坏作用。宏病毒与宏病毒与VBA 宏宏病病毒毒与与正正常常的的宏宏采采用用相相同同的的语语言言编编写写,只只是是这这些些宏宏的的执执行行效效果果有有害害。宏宏病病毒毒也也应应用用了了定定自自动动执执行行这这一一特特点点,使使用用户户在在打打开开文文件件时时不不知知不不觉觉地就运行了这些病毒程序。地就运行了这些病毒程序。第第 2 章章 计算机

19、病毒计算机病毒232.5.1 宏病毒特点宏病毒的表现宏病毒的表现自身的传播无破坏性自身的传播无破坏性干扰打印和显示干扰打印和显示删除文件删除文件宏病毒的特点宏病毒的特点容易制造容易制造交叉硬件平台交叉硬件平台传播速度极快传播速度极快具有很好的隐蔽性具有很好的隐蔽性破坏性强破坏性强第第 2 章章 计算机病毒计算机病毒242.5.2 宏病毒传播方式 实实际际上上,宏宏病病毒毒感感染染通通用用模模板板的的目目的的,仅仅仅仅相相当当于于普普通通病病毒毒要要感感染染引引导导扇扇区区和和驻驻留留内内存存功功能能,附附加加在在公公用用模模板板上上才才有有“公公用用”的的作作用用,感感染染Word或或Exce

20、l系系统统是是为为了了进进一一步步获获得得对对系系统统,特特别别是是对对Office系系统统的的控控制制权权。其其最最终终目目的的是是要要传传染染其其他他Office文文件件,即即传传染染用用户户自自己己的的文文档档文文件件或或个个人人模模板板。可可以以说说,在在同同一一台台计计算算机机上上宏宏病病毒毒的的传传染染主主要要靠靠通通用用模模板板的的机机制制,在在不不同同的的计计算算机机之之间间宏宏病病毒毒的的传传播播,就就要要靠靠具具体体的的Office文文件件,通通过过磁磁介介质质或或网网络络来来进进行行。其其中中也也包包括括Office系统中系统中“HTML模板模板”发布到网上的传染机制。发

21、布到网上的传染机制。第第 2 章章 计算机病毒计算机病毒252.5.3 宏病毒的清除方法宏病毒的清除方法1、宏病毒的预防、宏病毒的预防2、宏病毒的检测与清除、宏病毒的检测与清除(1)用操作系统的)用操作系统的“查找查找”功能功能(2)用)用Office系统的检查系统的检查(3)其他手工方法)其他手工方法(4)使用专业杀毒软件)使用专业杀毒软件第第 2 章章 计算机病毒计算机病毒262.6 网络病毒与防护 网网络络病病毒毒并并不不是是指指某某种种特特定定病病毒毒,它它是是能能够够在在网络上进行传播的计算机病毒的总称。网络上进行传播的计算机病毒的总称。 2.6.1 网络病毒的特点网络病毒的特点 2

22、.6.2 网络防毒措施网络防毒措施 2.6.3 常见网络病毒常见网络病毒第第 2 章章 计算机病毒计算机病毒272.6.1 网络病毒的特点网络病毒的特点:网络病毒的特点:1、破坏性强、破坏性强2、传播性强、传播性强3、具有潜伏性和可激发性、具有潜伏性和可激发性4、针对性强、针对性强5、扩散面广、扩散面广第第 2 章章 计算机病毒计算机病毒282.6.2 网络防毒措施网络防毒措施服务器服务器工作站工作站网络管理网络管理第第 2 章章 计算机病毒计算机病毒292.6.3 常见网络病毒常见网络病毒 蠕虫蠕虫 多态病毒多态病毒 伙伴病毒伙伴病毒 BO病毒病毒 隐藏病毒隐藏病毒隐藏读写操作隐藏读写操作隐

23、藏长度隐藏长度同时隐藏读写操作和长度。同时隐藏读写操作和长度。 Java病毒病毒第第 2 章章 计算机病毒计算机病毒302.7 典型病毒原理及防治方法 小小球球病病毒毒是是典典型型的的引引导导型型病病毒毒,它它具具备备了了引引导导型型病毒的一些明显特性。病毒的一些明显特性。 黑黑色色星星期期五五病病毒毒是是典典型型的的文文件件型型病病毒毒,它它具具有有很很大的破坏性。大的破坏性。 宏宏病病毒毒是是一一种种新新形形态态的的计计算算机机病病毒毒,也也是是一一种种跨跨平台式计算机病毒。平台式计算机病毒。 CIH病病毒毒是是典典型型的的Windows平平台台下下的的文文件件型型病病毒毒,它它感感染染E

24、XE文文件件,驻驻留留内内存存,感感染染Windows环环境境下下的的PE格格式式文文件件,攻攻击击计计算算机机的的BIOS,它它具具有有很很大大的破坏性。的破坏性。第第 2 章章 计算机病毒计算机病毒312.7.1 小球病毒小小球球病病毒毒攻攻击击的的对对象象主主要要是是PC机机及及其其兼兼容容机机,这这种种病病毒毒是是在在世世界界各各地地出出现现比比较较早早的的病病毒毒,它它的的破破坏坏性性不不是是很很强强,主主要是对系统的信息显示产生干扰。要是对系统的信息显示产生干扰。小球病毒的表现形式:小球病毒的表现形式:屏幕上显示按近似正弦轨迹跳动的小球,到达屏幕边缘反弹屏幕上显示按近似正弦轨迹跳动

25、的小球,到达屏幕边缘反弹系统运行速度显著减慢系统运行速度显著减慢小球病毒的传染途径:小球病毒的传染途径:带有病毒的软盘启动计算机带有病毒的软盘启动计算机磁盘复制,磁盘复制,copy diskcopy动态(主动)传染条件:动态(主动)传染条件:磁盘读写操作磁盘读写操作引导扇区是否有标识引导扇区是否有标识“1357”,磁盘是否有剩余空间磁盘是否有剩余空间第第 2 章章 计算机病毒计算机病毒32 黑黑色色星星期期五五病病毒毒的的名名称称来来源源于于该该病病毒毒的的发发作作条条件件,即即除除了了1987年年之之外外,凡凡是是十十三三号号并并且且是是星星期期五五这这一一天天,病病毒毒程程序序发发作作,删

26、删除除磁磁盘盘上上和和系系统统中中所所有有被执行的文件。被执行的文件。 该该病病毒毒又又称称之之为为希希伯伯莱莱病病毒毒、耶耶路路撒撒冷冷病病毒毒或或以色列病毒(犹太人病毒)。以色列病毒(犹太人病毒)。2.7.2 黑色星期五病毒(长方块)黑色星期五病毒(长方块)第第 2 章章 计算机病毒计算机病毒331、黑色星期五病毒的表现形式、黑色星期五病毒的表现形式 黑色星期五病毒是一种典型的文件型病毒。黑色星期五病毒是一种典型的文件型病毒。驻留在驻留在.COM和和.EXE文件中文件中屏幕左下方出现一个小量块屏幕左下方出现一个小量块感染不成功时,系统被死锁感染不成功时,系统被死锁系统运行速度显著减慢系统运

27、行速度显著减慢删除所执行的程序删除所执行的程序文件长度增加(文件长度增加(COM +1813一次,一次,EXE+1808无数次)无数次)2.7.2 黑色星期五病毒(长方块)黑色星期五病毒(长方块)第第 2 章章 计算机病毒计算机病毒342、黑色星期五病毒程序的结构、黑色星期五病毒程序的结构 黑色星期五病毒程序由三部分组成:黑色星期五病毒程序由三部分组成:(1)引导驻留部分)引导驻留部分(2)传播部分)传播部分(3)破坏部分)破坏部分3、黑色星期五病毒的传染机制、黑色星期五病毒的传染机制 黑黑色色星星期期五五病病毒毒的的传传染染过过程程是是将将其其自自身身复复制制到到在在其控制下的系统中运行的所

28、有执行文件中。其控制下的系统中运行的所有执行文件中。执行带有病毒的程序执行带有病毒的程序动态(主动)传染条件动态(主动)传染条件2.7.2 黑色星期五病毒(长方块)黑色星期五病毒(长方块)第第 2 章章 计算机病毒计算机病毒354、黑色星期五病毒程序原理分析、黑色星期五病毒程序原理分析(1)引导驻留部分)引导驻留部分(2)传播部分)传播部分5、黑色星期五病毒的诊断方法、黑色星期五病毒的诊断方法(1)检查系统中是否感染有病毒)检查系统中是否感染有病毒(2)检查文件上是否感染了病毒)检查文件上是否感染了病毒 6、黑色星期五病毒的清除与免疫:、黑色星期五病毒的清除与免疫:免疫:在特定位置上放置病毒标

29、识(特征值)免疫:在特定位置上放置病毒标识(特征值)病毒的清除:有系统中病毒和文件中病毒两种。病毒的清除:有系统中病毒和文件中病毒两种。(1)消除系统中的病毒)消除系统中的病毒2)消除文件上的病毒)消除文件上的病毒2.7.2 黑色星期五病毒(长方块)黑色星期五病毒(长方块)第第 2 章章 计算机病毒计算机病毒36美丽莎宏病毒的表现形式美丽莎宏病毒的表现形式HKEY_CURRENT_USER Software Microsoft Office “Melissa? ”=“ by KWyjibo”美丽莎宏病毒的传染机制美丽莎宏病毒的传染机制HKEY_CURRENT_USERSoftware MicrosoftOffice9.0WordSecurity“level”2.7.3 美丽莎宏病毒美丽莎宏病毒第第 2 章章 计算机病毒计算机病毒372.7.4 CIH病毒病毒第第 2 章章 计算机病毒计算机病毒38小小 结结作业作业 P79 1、3、61、什么是计算机病毒?它由哪几部分构成?什么是计算机病毒?它由哪几部分构成?3、计算机病毒的基本特征是什么?、计算机病毒的基本特征是什么?6、说明计算机病毒与计算机存储结构之间的关系、说明计算机病毒与计算机存储结构之间的关系

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号