信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 作者 彭新光 王峥 第7章 计算机病毒防治.pptVIP

按照计算机病毒的寄生方式分类 源码型病毒是用高级语言编写的，攻击用高级语言编写的程序。这种病毒若不进行汇编、链接，就无法传染扩散。 嵌入型病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。技术难度较大，一旦侵入后也较难消除。 外壳型病毒寄生在宿主程序的前面或后面，并修改程序的第一条执行指令，使病毒先于宿主程序执行。易于编写，易于发现，通过文件的大小判别。 信息安全技术与应用 其他分类方式 按照攻击的操作系统可分为：攻击DOS操作系统的、攻击Windows系统的、攻击UNIX系统的、攻击OS/2系统的病毒。 按照计算机病毒激活的时间可分为：定时发作的病毒和不由时钟来激活的随机病毒。 按照传播媒介可分为：以磁盘为载体的单机病毒和以网络为载体的网络病毒。 按攻击的机型还可将病毒分为：攻击微型机的病毒、攻击小型机的病毒和攻击工作站的病毒。 信息安全技术与应用 7.1.4 计算机病毒的传播 第一种途径:通过不可移动的计算机硬件设备进行传播。设备中有计算机的专用ASIC（Application Specific Integrated Circuit，特定用途集成电路）芯片和硬盘等。这种病毒极少，破坏力极强。 第二种途径：通过移动存储设备传染。如软盘、U盘、可擦写光盘、MP3、存储卡、记忆棒等。 第三种途径：通过计算机网络传播，是传播的主流途径，也是危害最大的传播途径。 第四种途径：通过点对点通信系统和无线通道传播。 信息安全技术与应用 7.1.5 计算机病毒机理 下面通过例 1 介绍计算机病毒的结构。文件名为：autoexec.bat，其内容如下： @echo off #关闭回显功能 echo This is a virus demonstration program. #病毒示例程序 if exist b:\autoexec.bat goto virus #检查时机 goto no-virus #时机不成熟则继续潜伏 :virus #时机成熟 b: #到b:盘 rename autoexec.bat auto.bat #修改原文件名字 copy a:\autoexec.bat b: #复制自身 echo You have a virus! #表现症状 :no-virus #正常程序入口 a: \auto.bat #执行正常程序 信息安全技术与应用 7.1.5 计算机病毒机理 病毒一般包含3个模块： 引导模块将病毒程序引入内存并使其后面的两个模块处于激活状态； 感染模块在感染条件满足时把病毒感染到所攻击的对象上； 表现模块（破坏模块）在病毒发作条件满足时，实施对系统的干扰和破坏活动。 并不是所有计算机病毒都由这3大模块组成，病毒在3个模块之间可能没有明显的界限。 信息安全技术与应用 7.1.5计算机病毒机理 1. 引导型病毒 2. 外壳型病毒 3. 宏病毒 信息安全技术与应用 引导型病毒 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，先于操作系统，依托的环境是BIOS中断服务程序 引导型病毒利用操作系统的引导模块放在固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据 因而，引导型病毒改写磁盘上的引导扇区（BOOT SECTOR）的内容或改写硬盘上的分区表（FAT），占据该物理位置即可获得控制权 病毒将引导区内容搬家转移或替换，待病毒程序被执行后，再将控制权交给引导区内容，使得带病毒的系统看似运转正常，从而隐藏病毒的存在 信息安全技术与应用 外壳型病毒 作为典型的文件型病毒，外壳型病毒需要寄生的宿主程序，并修改宿主程序的第一条执行指令，使病毒先于宿主程序执行，随着宿主程序的使用而传染扩散。 信息安全技术与应用 宏病毒 Word载入文档时，先执行起始的宏，再载入资料内容，目的是使Word能够根据资料的不同需要，使用不同的宏工作。 Word为普通用户事先定义一个共用的范本文档Normal.dot，里面包含了基本的宏。只要一启动Word，就会自动运行Normal.dot文件。 感染了Word宏病毒的文档运行时，实现了病毒的自动运行，病毒把带病毒的宏移植到通用宏的代码段，实现对其它文件的感染。 信息安全技术与应用 7.2 计算机病毒检查与清除 计算机病毒在感染健康程序后，会引起各种变化。每种计算机病毒所引起的症状都有一定的特点。计算机病毒的检测原理就是根据这些特征，来判断病毒的种类，进而确定清除办法。 将感染