计算机网络安全-3.ppt

第三章计算机病毒的概念、特征与防范 计算机病毒的产生 计算机病毒的定义和特征 计算机病毒的构成及状态 计算机病毒的工作原理 计算机病毒分类 计算机病毒的产生 著名的数学家、计算机的创始人冯.诺依曼早在50多年前就指出，一部实际上足够复杂的机器具有复制自身的能力。 在1977年夏天，托马斯.捷瑞安的科幻小说“P-1的春天”描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7000台计算机，造成了异常灾难 计算机病毒的产生 1983年，程序自我复制机制秘密被公开，同年11月，美国计算机安全专家Fred Cohen在美国一次“计算机安全每周会议”上，将具有自我复制能力且寄生于其它程序之上的“活的”计算机程序编码实现的可能性问题提出来之后，伦.艾德勒曼将其取名为计算机病毒 Fred Cohen经过在VAX／750机上连续8个小时的实验之后，将一种攻击VAX／750机的计算机病毒制造出来，从而成为世界上第一例在公开场合下进行病毒实验的事件 计算机病毒的定义 “计算机病毒”一词是人们借用了生物学“病毒”这一术语，来描述那些具有明显生物病毒特征并对计算机信息系统进行破坏的“病原体” 计算机病毒是隐藏在计算机系统的数据资源中，利用系统资源进行繁殖并生存，影响计算机系统正常运行并通过系统数据资源共享的途径进行传染的程序。 计算机病毒的特征 “计算机病毒”不是天然存在的，而是人故意编制的一种特殊的计算机程序。这种程序具有如下特征： 感染性 流行性 繁殖性 变种性 潜伏性 针对性 表现性 感染性 计算机病毒可以从一个程序传染到另一个程序，从一台计算机到另一台计算机，从一个计算机网络到另一个计算机网络或在网络内各个系统上传染、蔓延，同时使被感染的程序、计算机、网络成为计算机病毒的生存环境及新的传染源 流行性 一种计算机病毒出现之后，可以影响一类计算机程序、计算机系统、计算机网络，并且这种影响在一定的地域内或者一定的应用领域内是广泛的 繁殖性 计算机病毒在传染系统之后，可以利用系统环境进行繁殖或称之为自我复制，使得自身数量增多 变种性 计算机病毒在发展、演化过程中可以产生变种 潜伏性 计算机病毒在感染计算机系统后，感染条件满足前，病毒可能在系统中没有表现症状，不影响系统的正常使用 针对性 一种计算机病毒并不是能感染所有的计算机系统或程序，如：有的感染IBM PC及兼容机的，有感染APPLEII微机的，有感染 COMMAND.COM或 EXE。 表现性 计算机病毒感染系统后，被传染的系统在病毒表现及破坏部分被触发时，表现出一定的症状，如：显示屏异常、系统速度慢、文件被删除、死机等。 计算机病毒的构成 计算机病毒代码的结构一般来说包括3大功能模块： 引导模块 传染模块 破坏模块 引导模块 引导模块将病毒由外存引入内存，使后两个模块处于活动状态。 传染模块 传染模块显然用来将病毒传染到其它对象上去 破坏模块 破坏模块实施病毒的破坏作用，如删除文件，格式化磁盘等 由于有些病毒的该模块并没有明显的恶意破坏作用，而只是进行一些视屏或声方面的自我表现作用，故该模块有时又称表现模块 计算机病毒的状态 计算机病毒有两种状态，即静态病毒和动态病毒。 静态病毒没有处于加载状态，不能执行病毒的传染或破坏作用。 病毒的传染和破坏主要是由动态病毒进行的。内存中处于活动状态的病毒时将监视系统的运行，一旦传染条件或破坏条件被触发，即调用其传染代码段或破坏代码段，使病毒得以扩散，系统将蒙受损失 计算机病毒的工作原理 计算机病毒传染的过程：病毒从带毒载体进入内存，一般利用操作系统的加载机制或引导机制。当系统运行一个带毒文件或用一带毒系统盘启动时，病毒就进入内存。而从RAM侵入无毒介质则利用了操作系统的读写磁盘中断或加载机制。 内存中的病毒时刻监视着操作系统的每一个操作，一旦该操作满足病毒设定的传染条件(通常为访问一无毒盘或加载一无毒文件等)，病毒程序便将自身代码拷贝到受攻击目标上去，使之受传染 计算机病毒的工作原理 病毒传染都是利用其自身的传染机制实现的，是病毒的主动传染； 通常见到的还有另一种传染，例如，把一个带毒的文件拷贝到一新盘上去或对一个带毒盘作全盘拷贝都会使新盘受到传染，这种传染是一种被动传染，这期间病毒的传染机制并没起作用。 主动传染和被动传染在效果上是等效的，但后者的成功取决于用户对病毒的存在不知不觉。 计算机病毒的传染过程 驻入内存。病毒停留在内存中，监视系统的运行，选择机会进行传染。这一步通常由引导模块实现，如没引导模块，则这一步也不会有 判断传染条件。传染模块被激活后，会马上对攻击目标进行判断，以决定是否传染之。 传染。通过适当的方式把病毒写入磁盘，同时保证被攻击的对象（引导记录、原执行文件）仍可正常运行，即进行的是传染而非破坏，因为