计算机病毒详细介绍计算机病毒

计算机病毒详细介绍计算机病毒第一页，共三十六页，编辑于2023年，星期一VonNeumann（冯·诺依曼）EDVAC(ElectronicDiscreteVariableComputer)（离散变量自动电子计算机）方案 采用二进制 存储程序

这种体系把存储的程序当作数据处理，可以动态地进行修改，以满足变化多端的需求。操作系统和应用程序都被如此看待。病毒利用了系统中可执行程序可被修改的属性，以达到病毒自身的不同于系统或用户的特殊目的。5.1.1计算机病毒存在的原因第二页，共三十六页，编辑于2023年，星期一世界：20世纪40年代，VonNeumann：程序可以被编写成能自我复制并增加自身大小的形式。50年代，Bell实验室：CoreWar（核心大战）60年代，JohnConway（约翰·康威）:Living（生存）软件70年代，取得进展，真正攻击少80年代，RichSkrenta（里奇·斯克伦塔）：ElkCloner（克隆麋鹿） 感染PCPakistaniBrain：首个感染微软公司操作系统的病毒5.1.2计算机病毒由来第三页，共三十六页，编辑于2023年，星期一中国：1989年初：大连市统计局的计算机上发现有小球计算机病毒。1989年3、4月间：重庆西南铝加工厂也有了关于计算机病毒的报道。从此以后，计算机病毒以极其迅猛之势在中国大陆蔓延。5.1.2计算机病毒的由来第四页，共三十六页，编辑于2023年，星期一

指在编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码（《中华人民共和国计算机信息系统安全保护条例》1994年）

5.1.3计算机病毒的定义破坏计算机功能数据影响计算机使用自我复制一组计算机指令程序代码编制在计算机程序中插入第五页，共三十六页，编辑于2023年，星期一1.计算机病毒的传染性与生物病毒一致：传染性是生物病毒的一个重要特征。通过传染，生物病毒从一个生物体扩散到另一个生物体。计算机病毒一旦进入计算机病得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身插入其中，达到自我繁殖的目的。是否具传染性:判别一个程序是否为病毒的最重要条件。

5.1.4计算机病毒的特性第六页，共三十六页，编辑于2023年，星期一图5-1直接传染方式5.1.4计算机病毒的特性第七页，共三十六页，编辑于2023年，星期一图5-2间接传染方式第八页，共三十六页，编辑于2023年，星期一图5-3纵横交错传染方式第九页，共三十六页，编辑于2023年，星期一

2.计算机病毒的隐蔽性计算机病毒通常附在正常程序中或磁盘较隐蔽的地方，目的是不让用户发现它的存在。不经过程序代码分析或计算机病毒代码扫描，计算机病毒程序与正常程序是不容易区别开来的。一是传染的隐蔽性。二是计算机病毒程序存在的隐蔽性。5.1.4计算机病毒的特性第十页，共三十六页，编辑于2023年，星期一

3.计算机病毒的潜伏性大部分的计算机病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，在此期间，它就可以对系统和文件进行大肆传染。潜伏性愈好，其在系统中的存在时间就会愈久，计算机病毒的传染范围就会愈大。5.1.4计算机病毒的特性第十一页，共三十六页，编辑于2023年，星期一4.可触发性：一种条件的控制计算机病毒使用的触发条件主要有以下三种。

(1)利用计算机内的时钟提供的时间作为触发器，这种触发条件被许多计算机病毒采用，触发的时间有的精确到百分之几秒，有的则只区分年份。 例：CIH病毒陈盈豪每年4月26日

5.1.4计算机病毒的特性第十二页，共三十六页，编辑于2023年，星期一(2)利用计算机病毒体内自带的计数器作为触发器，计算机病毒利用计数器记录某种事件发生的次数，一旦计数器达到某一设定的值，就执行破坏操作。例：ElkCloner第50次启动感染病毒的软盘时

(3)利用计算机内执行的某些特定操作作为触发器，特定操作可以是用户按下某种特定的组合键，可以是执行格式化命令，也可以是读写磁盘的某些扇区等。5.1.4计算机病毒的特性第十三页，共三十六页，编辑于2023年，星期一

5.计算机病毒的破坏性任何计算机病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。轻者会降低计算机的工作效率，占用系统资源，重者可导致系统崩溃。这些都取决于计算机病毒编制者的意愿。

攻击系统数据区，攻击部位包括引导扇区、FAT表、文件目录；攻击文件；攻击内存；干扰系统运行，如无法操作文件、重启动、死机等；导致系统性能下降；攻击磁盘，造成不能访问磁盘、无法写入等；扰乱屏幕显示；干扰键盘操作；喇叭发声；攻击CMOS；干扰外设，如无法访问打印机等。5.1.4计算机病毒的特性第十四页，共三十六页，编辑于2023年，星期一

6.计算机病毒的针对性计算机病毒都是针对某一种或几种计算机和特定的操作系统的。例如，有针对PC及其兼容机的，有针对Macintosh的，还有针对Unix和Linux操作系统的。只有一种计算机病毒几乎是与操作系统无关的，那就是宏病毒，所有能够运行Office文档的地方都有宏病毒的存在。5.1.4计算机病毒的特性第十五页，共三十六页，编辑于2023年，星期一

7.计算机病毒的衍生性计算机病毒的衍生性是指计算机病毒编制者或者其他人将某个计算机病毒进行一定的修改后，使其衍生为一种与原先版本不同的计算机病毒。后者可能与原先的计算机病毒有很相似的特征，这时我们称其为原先计算机病毒的一个变种/变体（ComputerVirus-Variance）。5.1.4计算机病毒的特性第十六页，共三十六页，编辑于2023年，星期一

8.计算机病毒的寄生性计算机病毒的寄生性是指一般的计算机病毒程序都是依附于某个宿主程序中，依赖于宿主程序而生存，并且通过宿主程序的执行而传播的。蠕虫和特洛伊木马程序则是例外，它们并不是依附于某个程序或文件中，其本身就完全包含有恶意的计算机代码，这也是二者与一般计算机病毒的区别。5.1.4计算机病毒的特性第十七页，共三十六页，编辑于2023年，星期一

9.计算机病毒的不可预见性计算机病毒的不可预见性体现在以下两个方面：首先是计算机病毒的侵入、传播和发作是不可预见的，有时即使安装了实时计算机病毒防火墙，也会由于各种原因而不能完全阻隔某些计算机病毒的侵入。其次不同种类的代码千差万别，病毒的制作技术也不断提高，对未来病毒的预测很困难。

5.1.4计算机病毒的特性第十八页，共三十六页，编辑于2023年，星期一

1.不可移动的计算机硬件设备这种传播途径是指利用专用集成电路芯片（ASIC）进行传播。这种计算机病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付它。

2.移动存储设备：光盘、移动硬盘等。

3.网络：电子邮件、BBS、WWW浏览、FTP文件下载、新闻组。

4.通过点对点通信系统和无线通信系统传播5.1.5计算机病毒的传播途径第十九页，共三十六页，编辑于2023年，星期一（1）攻击系统数据区。（2）对于文件的攻击。（3）影响系统运行速度，使系统的运行明显变慢。（4）破坏磁盘。（5）扰乱屏幕显示。（6）键盘和鼠标工作不正常。（7）攻击CMOS。（8）干扰外设的工作，尤其是打印机。5.1.6计算机病毒的危害和由此产生的症状第二十页，共三十六页，编辑于2023年，星期一5.1VirusOverview计算机病毒概述5.2VirusMechanisms计算机病毒的机制5.3VirusPreventionandDetection计算机病毒的防范、检测5.4TrojanHouse特洛伊木马Outline第二十一页，共三十六页，编辑于2023年，星期一图5-4计算机病毒的结构模式5.2.1计算机病毒的结构模式第二十二页，共三十六页，编辑于2023年，星期一5.2.2病毒的引导机制计算机病毒的寄生对象寄生在可以获取执行权的寄生对象上磁盘引导扇区可执行文件进行自身的主动传播和破坏寄生方式替代法链接法前后依附伴随第二十三页，共三十六页，编辑于2023年，星期一图5-5寄生方式5.2.2病毒的引导机制第二十四页，共三十六页，编辑于2023年，星期一图5-6采用加密技术的病毒程序第二十五页，共三十六页，编辑于2023年，星期一5.2.2病毒的引导机制3.计算机病毒的引导过程一般：驻留内存窃取系统控制权恢复系统功能

寄生在磁盘引导扇区中：任何操作系统都有个自举过程,例如DOS在启动时,首先由系统读入引导扇区记录并执行它,将DOS读入内存。病毒程序就是利用了这一点,自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间,并给这些扇区标志为坏簇。这样,系统的一次初始化,病毒就被激活了。它首先将自身拷贝到内存的高端并占据该范围,然后置触发条件如INT13H中断（磁盘读写中断）向量的修改,置内部时钟的某一值为条件等,最后引入正常的操作系统。以后一旦触发条件成熟,如一个磁盘读或写的请求,病毒就被触发。如果磁盘没有被感染（通过识别标志）则进行传染。第二十六页，共三十六页，编辑于2023年，星期一5.2.2病毒的引导机制3.计算机病毒的引导过程一般：驻留内存窃取系统控制权恢复系统功能

寄生在可执行程序中：这种病毒寄生在正常的可执行程序中,一旦程序执行病毒就被激活,于是病毒程序首先被执行,它将自身常驻内存,然后置触发条件,也可能立即进行传染,但一般不作表现。做完这些工作后,开始执行正常的程序,病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部,但都要修改源程序的长度和一些控制信息,以保证病毒成为源程序的一部分,并在执行时首先执行它。这种病毒传染性比较强。

第二十七页，共三十六页，编辑于2023年，星期一5.2.3病毒的发生机制（1）传染源：存储介质,例如软盘、硬盘等构成传染源。

（2）传染媒介：计算机网,移动的存储介质或硬件。

（3）病毒激活：是指将病毒装入内存,并设置触发条件。（4）病毒触发：内部时钟,系统的日期,用户标识符，也可能是系统一次通信等等。一旦触发条件成熟,病毒就开始作用－－自我复制到传染对象中,进行各种破坏活动等。

（5）病毒表现：屏幕显示，破坏数据等

（6）传染：病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。

第二十八页，共三十六页，编辑于2023年，星期一5.2.4病毒的破坏机制（1）修改某一中断向量人口地址一般为时钟中断INT8H,或与时钟中断有关的其他中断，如INT1CH

（2）使该中断向量指向病毒程序的破坏模块

（3）激活病毒破坏模块（4）判断设定条件是否满足

（5）满足则对系统或磁盘上的文件进行破坏活动第二十九页，共三十六页，编辑于2023年，星期一5.1VirusOverview计算机病毒概述5.2VirusMechanisms计算机病毒的机制5.3VirusPreventionandDetection计算机病毒的防范、检测5.4TrojanHouse特洛伊木马Outline第三十页，共三十六页，编辑于2023年，星期一

1.基本隔离法计算机系统如果存在着共享信息，就有可能传染病毒。信息系统的共享性和传递性以及解释的通用性，是计算机最突出的优点。

2.分割法分割法主要是把用户分割成为不能互相传递信息的封闭的子集。5.3.1病毒的理论防范方法第三十一页，共三十六页，编辑于2023年，星期一

3.流模型法流模型法是对共享信息流流过的距离设立一个阈值，使一定的信息只能在一定的区域中流动，以此建立一个防卫机制。若使用超过某一距离阈值的信息，就可能存在某种危险。

4.限制解释法限制解释法也就是限制兼容，即采用固定的解释模式，就可能不被病毒传染。5.3.1病毒的理论防范方法第三十二页，共三十六页，编辑于2023年，星期一

1.特征代码法已知病毒样本库在被检测文件中匹