版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
计算机病毒的分析与防范
1.计算机病毒的引入
1983年11月3日,弗雷德•科恩(FredCohen)博士研制出一种在运行过
程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机)
伦•艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在
每周一次的计算机安全讨论会上正式提出。
2.计算机病毒发展史
1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如
大麻、IBM圣诞树•、黑色星期五等等。
1989年全世界的计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多
计算机用户造成极大损失。
1991年在“海湾战争”中,美军第一次将计算机病毒用于实战。
1992年出现针对杀毒软件的“幽灵”病毒,如One-half。
1997年1997年被公认为计算机反病毒界的“宏病毒''年。
1998年出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计
算机反病毒界的CIH病毒年)。
1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒
将成为病毒新的增长点。
2000年出现了拒绝服务(DenialofService)和恋爱邮件(LoveLetter)
这次拒绝服务袭击规模巨大,致使雅虎,亚马逊书店等主要网站服务瘫痪。
2002年多变的混合式病毒求职信(Klez)及FunLove病毒席卷全球。
2003年,冲击波(Blaster)病毒于8月开始爆发。
2004年,MyDoom、网络天空(NetSky)及震荡波(Sasser)病毒出现。
3.基础知识——计算机病毒的本质
计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界,病毒
(Virus)是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传
物质两部分组成的比细菌还要小的病原体生物,如大肠杆菌、口蹄疫、狂犬病毒、
天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看
到,而且不能独立生存,必须寄生在其他生物的活细胞里才能生存。由于病毒利
用寄主细胞的营养生长和繁殖后代,因此给寄主生物造成极大的危害。计算机病
毒之所以被称为病毒,是因为它们与生物医学上的病毒也有着很多的相同点。例
如,它们都具有寄生性、传染性和破坏性。
《中华人民共和国计算机信息系统安全保护条例》第二十八条中将计算机病
毒定义为:"指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,
影响计算机使用并能自我复制的一组计算机指令或者程序代码。”
病毒传播载体:网络、电磁性介质和光学介质。
病毒传染的基本条件:计算机系统的运行、读写介质(磁盘)上的数据和程序。
病毒的传播步骤:驻留内存、寻找传染的机会、进行传染。
病毒传染方式:引导扇区(包括硬盘的主引导扇区)传染类、文件型病毒
4.基础知识——计算机病毒的特点
1)传染性:自我复制。
2)破坏性:干扰系统、破坏数据、占用资源。
3)潜伏性:定期发作。
4)隐蔽性:计算机病毒式一种短小精悍的可执行程序,•般只有儿百字节
或几千字节,而且隐藏在不同的位置上。
5)寄生性
6)针对性
7)可触发性:控制条件,日期、时间、标识、计数器。
5.基础知识——计算机病毒的分类
5.1按破坏性分类
良性病毒:是指那些只是为了表现自己而并不破坏系统数据,只占用系统
CPU资源或干扰系统工作的一类计算机病毒。
恶性病毒:是指病毒制造者在主观上故意要对被感染的计算机实施破坏,
这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘,
使系统处于瘫痪状态。
5.2按照计算机病毒的寄生部位或传染对象分
磁盘引导区传染的计算机病毒
操作系统传染的计算机病毒
可执行程序传染的计算机病毒
5.3按寄生方式分类
系统引导型:系统引导时病毒装入内存,同时获得对系统的控制权,对外
传播病毒,并且在一定条件下发作,实施破坏。
文件型(外壳型):将自身包围在系统可执行文件的周围、对原文件不作修
改、运行可执行文件时,病毒程序首先被执行,进入到系统中,获得对系统的控
制权。
源码型:在源被编译之前,插入到源程序中,经编译之后,成为合法程序
的一部分。
入侵型:将自身入侵到现有程序之中,使其变成合法程序的一部分。
5.4按广义病毒概念分类
蠕虫(worm):监测IP地址,网络传播
逻辑炸弹(logicbomb):条件触发,定时器
特洛伊木马(TrojanHorse):隐含在应用程序上的一段程序,当它被执行
时,会破坏用户的安全性。
陷门:在某个系统或者某个文件中设置机关,使得当提供特定的输入数据
时,允许违反安全策略。
细菌(Germ):不断繁殖,直至添满整个网络的存储系统
5.5按照计算机病毒攻击的系统分类
攻击DOS系统的病毒
攻击Windows系统的病毒
攻击UNIX/Linux系统的病毒
攻击OS/2系统的病毒
攻击Macintosh系统的病毒
其他操作系统上的病毒
5.6按照计算机病毒的链接方式分类
源码型病毒
嵌入型病毒
外壳型病毒
操作系统型病毒
5.7按照计算机病毒激活的时间分类
定时病毒
随机病毒
按照计算机病毒传播的媒介分类
单机病毒
网络病毒
5.8按照计算机病毒寄生方式和传染途径分类
引导型病毒
文件型病毒
混合型病毒
5.9按照计算机病毒特有的算法分类
伴随型病毒
“蠕虫”型病毒
寄生型病毒
练习型病毒
诡秘型病毒
变型病毒(又称幽灵病毒)
6.基础知识——计算机病毒基本结构
计算机病毒程序结构
引导部分:把病毒程序加载到内存。
功能:驻留内存、修改中断、修改高端内存、保存原中断向量。
传染部分:把病毒代码复制到传染目标上。
功能:条件判断、与主程序连接、设置标志。
表现部分:运行、实施破坏。
功能:条件判断、显示、文件读写
7.基础知识——计算机病毒存储结构
磁盘空间的总体划分:主引导记录区(只有硬盘有)、引导记录区、文件分
配表(FAT)、目录区和数据区。
软盘空间的总体划分:引导记录区、文件分配表1、文件分配表2、根目录
区以及数据区
硬盘空间的总体划分:
主引导记录区:主引导程序、分区信息表
多个系统分区。
系统型病毒的磁盘存储结构:磁盘引导扇区(引导部分)、磁盘其他的扇区
(传染、表现部分)
病毒程序定位
文件型病毒的磁盘存储结构
外壳病毒
8.基础知识——计算机病毒破坏行为
(1)攻击系统数据区
(2)干扰系统运行,使运行速度下降。
(3)攻击文件
(4)抢占系统资源
(5)干扰I/O设备,篡改预定设置以及扰乱运行
(6)导致系统性能下降
(7)攻击存储器
(8)破坏CMOS中的数据
(9)破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,
占用网络带宽等。
9.典型病毒举例
9.1蠕虫病毒——莫里斯
1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑
病毒送进了美国最大的电脑网络——互联网。
1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。
当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。
冲击波病毒是一种利用系统RPC漏洞进行传播和破坏的蠕虫病毒。当感染
了冲击波病毒的计算机中的冲击波病毒发作的时候,蠕虫病毒会给
Windows2000、WindowsXP系统带来非常不稳定、重新启动、死机等后果。
中了冲击波病毒,系统会出现•个提示框,指出由于远程过程调用(RPC)
服务意外终止,Windows必须立即关闭。同时,消息框给出了一个倒计时,当倒
计时完成时,计算机就将重新启动或者关闭
蠕虫(Worm)病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病
毒、宏病毒等传统病毒较晚,但是无论是传播的速度、传播范围还是破坏程度上
都要比以往传统的病毒严重的多。
蠕虫病毒一般由两部分组成:一个主程序和一个引导程序。主程序的功能是
搜索和扫描。它可以读取系统的公共配置文件,获得网络中的联网用户的信息,
从而通过系统漏洞,将引导程序建立到远程计算机上。引导程序实际是蠕虫病毒
主程序的一个副本,主程序和引导程序都具有自动重新定位的能力。
9.2蠕虫病毒的传播
利用微软的系统漏洞攻击计算机网络
利用电子邮件进行传播
蠕虫程序的工作流程
蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。
蠕虫程序进入被感染的系统,对目标主机进行现场处理。现场处理部分的工
作包括:隐藏、信息搜集等
蠕虫程序生成多个副本,重复上述流程。
9.3蠕虫病毒的行为特征
自我繁殖:蠕虫在本质上已经演变为黑客入侵的自动化工具,当蠕虫被释
放(release)后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流
程全由蠕虫自身主动完成。就自主性而言,这一点有别于通常的病毒。
利用软件漏洞:任何计算机系统都存在漏洞,这些就蠕虫利用系统的漏洞获
得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能。
造成网络拥塞:在扫描漏洞主机的过程中,蠕虫需要:判断其它计算机是否
存在;判断特定应用服务是否存在;判断漏洞是否存在等等,这不可避免的会产
生附加的网络数据流量。
消耗系统资源:蠕虫入侵到计算机系统之后,会在被感染的计算机上产生自
己的多个副本,每个副本启动搜索程序寻找新的攻击目标。
留下安全隐患:大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息
等),并在系统中留下后门。
9.4DOS病毒
DOS病毒是指针对DOS操作系统开发的病毒,它们是最早出现、数量最多、
变种也最多的计算机病毒。由于Windows系统的普及,DOS病毒几乎绝迹
一部分DOS病毒可以在Win9x中进行传播和破坏,甚至在Windows的DOS
窗口下运行。
毛毛虫病毒发作时在DOS系统的界面上。有一只毛毛虫不停的走动。毛毛
虫经过的区域,屏幕上原来正常显示的内容被遮住了,同时DOS系统无法进行
正常工作。
9.5引导型病毒
引导型病毒是指改写磁盘上的引导扇区信息的病毒。
引导型病毒主要感染软盘和硬盘的引导扇区或者主引导区,在系统启动时,
由于先行执行引导扇区上的引导程序,使得病毒加载到系统内存上。引导型病毒
一般使用汇编语言编写,因此病毒程序很短,执行速度很快。
例如Stone、Brain、Pingpang,Monkey等
小球病毒在系统启动后进入系统内存,执行过程中在屏幕上一直有一个小球
不停的跳动,呈近似正弦曲线状。
9.6文件病毒
文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病
毒主要感染可执行文件或者数据文件。
文件型病毒是数量最为庞大的一种病毒,它主要分为伴随型病毒、“蠕虫”
型病毒和寄生型病毒几种。
例如CIH病毒、红色代码、蓝色代码。
9.7CIH
CIH病毒,又名“切尔诺贝利”,是一种可怕的电脑病毒。它是由台湾大学生
陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文
名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使
反病毒软件公司难堪
CIH病毒很多人会闻之色变,因为CIH病毒是有史以来影响最大的病毒之
0
从1998年6月,从台湾出现之后,CIH病毒引起了持续一年的恐慌,因为
它本身具有巨大的破坏性,尤其它是第一个可以破坏某些电脑硬件的病毒。
CIH病毒只在每年的4月26日发作,其主要破坏硬盘上的数据,并且破坏部
分类型主板上的FlashBIOS,是一种既破坏软件又破坏硬件的恶性病毒。
当系统的时钟走到了4月26日这一天,中了CIH病毒的计算机将受到巨大
的打击。病毒开始发作时,出现“蓝屏”现象,并且提示当前应用被终止,系统需
要重新启动
当计算机被重新启动后,用户会发现自己计算机硬盘上的数据被全部删除
了,甚至某些计算机使用者主板上FlashROM中的BIOS数据被清除。
虽然CIH病毒感染的是Windows95、Windows98可执行文件的病毒,其威
胁已经儿乎退出了历史舞台,但是CIH病毒给当时计算机界带来的影响是巨大
的,而且由于其首次实现了对硬件的破坏,对人们的心里造成的危害也是无法估
量的。
红色代码病毒是一种网络传播的文件型病毒。该病毒主要针对微软公司的
MicrosoftIIS和索引服务的WindowsNT4.0以及Windows2000服务器中存在的技
术漏洞进行对网站的攻击。
服务器受到感染的网站将被修改。如果是在英文系统下,红色代码病毒会继
续修改网页;如果是在中文系统下,红色代码病毒会继续进行传播。
9.8宏病毒
宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让
人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工
具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事
先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的
是让用户文档中的一些任务自动化。
可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取
控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情
况下获取某种控制权,达到传染的目的。
以Word为例,一旦病毒宏侵入WORD,它就会替代原有的正常宏,如
FileOpen、FileSave>FileSaveAs和FilePrint等等,并通过这些宏所关联的文件
操作功能获取对文件交换的控制。
宏病毒的表现现象
尝试保存文档时,Word只允许保存为文档模板
Word文档图标的外形类似文档模板图标而不是文档图标
在工具菜单上选择“宏”并单击“宏''后,程序没有反应
宏列表中出现新宏
打开Word文档或模板时显示异常消息
如果打开一个文档后没有进行修改,立即就有存盘操作
9.9Word文档杀手病毒
Word文档杀手病毒通过网络进行传播,大小为53248字节。该病毒运行后
会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档,并试图用
自身覆盖找到的Word文档,达到传播的目的。
病毒将破坏原来文档的数据,而且会在计算机管理员修改用户密码时进行键
盘记录,记录结果也会随病毒传播一起被发送。
Word文档杀手病毒运行后,将在用户计算机中创建图中所示的文件。
当sys文件创建好后,Word文档杀手病毒将在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\
Explorer'Run]"Explorer"="%SystemDir%\sys.exe"。这样,在Windows启动时,
病毒就可以自动执行了。
病毒运行后,当用户试图打开Word文档,则出现下图所示的消息框。
版本冲突区
无法打开高版本的Word文档,
希F吟|
9.10“武汉男生”俗称“熊猫烧香”
2007年李俊制作该病毒。它是个感染型的蠕虫病毒,它能感染系统中exe,
com,pif,src,
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 幼儿园小班社会《奇特的房子》教案
- 橱柜采购安装合同2024年
- 房屋赠与协议模板2024年
- 生产企业租赁合同范本2024年
- 武冈市属事业单位笔试真题
- 环境职业健康施工安全协议书2024年
- 《电力机车乘务作业》课程教案学习情境3-2 电力机车应急故障处理(案例)
- 石英砂购销合同范本2024年
- 2024-2030年中国智慧餐厅行业发展趋势与投资战略研究报告
- 2024-2030年中国智慧城市建设行业发展方向及前景规划研究报告
- 学校励志教育系列资料-打造狼性团队-高中主题班会
- 病理学(吉林大学)智慧树知到答案章节测试2023年
- 康复医学概论(课件)
- 工信素质能力提升年活动开班式讲稿
- 长寿功三校解析
- CNG加气站HSE检查标准
- 烟草工业系统生产安全事故应急预案优化编制范本
- MT/T 198-1996煤矿用液压凿岩机通用技术条件
- GB/T 41330-2022锅炉用水和冷却水分析方法痕量铜、铁、钠、钙、镁含量的测定电感耦合等离子体质谱(ICP-MS)法
- GA 921-2011民用爆炸物品警示标识、登记标识通则
- 艺术设计与美学-课件
评论
0/150
提交评论