《计算机病毒及恶意代码.ppt

第五章 计算机病毒及恶意代码 本章学习重点掌握内容： 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络 流氓软件 第五章 计算机病毒及恶意代码 5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8流氓软件 5.9浏览器劫持 5.1计算机病毒概述 5.1.1 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 5.1.2计算机病毒发展历史 计算机病毒的 计算机病毒伴随计算机、网络信息技术的快速发展而日趋复杂多变，其破坏性和传播能力也不断增强。计算机病毒发展主要经历了五个重要的阶段。 （1）原始病毒阶段（第一阶段） 攻击目标和破坏性比较单一。病毒程序不具有自我保护功能，较容易被人们分析、识别和清除。 （2）混合型病毒阶段（第二阶段） 1989-1991，随着计算机局域网的应用与普及，给计算机病毒带来了第一次流行高峰。主要特点：攻击目标趋于综合，以更隐蔽的方法驻留在内在和传染目标中，系统感染病毒后没有明显的特征，病毒程序具有自我保护功能，出现众多病毒的变种 （3）多态性病毒阶段（第三阶段） 在每次传染目标时，放入宿主程序中的病毒程序大部分是可变的。防病毒软件难以查杀，如94年“幽灵“病毒。 （4）网络病毒阶段（第四阶段） 随国际互联网广泛发展，依赖互联网传播的邮件病毒和宏病毒等泛滥，呈现出病毒传播快、隐蔽性强、破坏性大特点。 基于Windows运行环境的病毒，随着微软Office软件的普及，出现了宏病毒，各种脚本病毒也日益增多著名病毒如 CIH病毒等 （5）主动攻击型病毒阶段（第五阶段） 典型代表：冲击波、震荡波病毒和木马等。 5.1.2计算机病毒发展历史 计算机病毒的产生原因 计算机病毒的产生原因主要有4个方面： 1） 恶作剧型 2） 报复心理型 3） 版权保护型 4） 特殊目的型 5.1.3计算机病毒的命名方式 病毒的命名并无统一的规定，基本都是采用前后缀法来进行命名。 一般格式为：[前缀].[病毒名].[后缀]。 以振荡波蠕虫病毒的变种c“Worm. Sasser. c”为例，Worm指病毒的种类为蠕虫，Sasser是病毒名，c指该病毒的变种。 （1）病毒前缀 （2）病毒名 （3）病毒后缀 5.1.4 计算机病毒的分类（1） 1. 以病毒攻击的操作系统分类 （1） 攻击DOS 系统的病毒 （2） 攻击Windows 系统的病毒 用户使用多，主要的攻击对象 （3） 攻击UNIX 系统的病毒 （4） 攻击OS/2 系统的病毒 （5） 攻击NetWare 系统的病毒 2．以病毒的攻击机型分类 （1） 攻击微型计算机的病毒 （2） 攻击小型机的计算机病毒 （3） 攻击服务器的计算机病毒 5.1.4 计算机病毒的分类（2） 3．按照计算机病毒的链接方式分类 （1） 源码型病毒 （2） 嵌入型病毒 将计算机病毒的主体程序与其攻击对象以插入方式进行链接，一旦进入程序中就难以清除。 （3） 外壳型病毒 将自身包围在合法的主程序的周围，对原来的程序并不作任何修改。常见、易于编写、易发现。 （4） 操作系统型病毒 4．按照计算机病毒的破坏能力分类 根据病毒破坏的能力可划分为4种：（1） 无害型（2） 无危险型（3） 危险型 （4） 非常危险型 5.1.4 计算机病毒的分类（3） 5．按照传播媒介不同分类 （1）单机病毒 （2）网络病毒 6．按传播方式不同分类 （1）引导型病毒 （2）文件型病毒： .com .exe （3）混合型病毒 7．根据病毒特有的算法不同分类 （1） 伴随型病毒 （2） 蠕虫型病毒 （3） 寄生型病毒 （4） 练习型病毒 （5） 诡秘型病毒 （6） 变型病毒（又称幽灵病毒） 5.1.4 计算机病毒的分类（4） 8. 按照病毒的寄生部位或传染对象分类 （1）磁盘引导区传染的计算机病毒 （2）操作系统传染的计算机病毒 （3）可执行程序传染的计算机病毒 以上三种病毒的分类，实际上可以归纳为两大类： 一类是引导区型传染的计算机病毒； 另一类是可执行文件型传染的计算机病毒。 5.1.5 计算机病毒特征 根据对计算机病毒的产生、传播和破坏行为的分析，可以将计算机病毒概括为以下6 个主要特点。 1.传染性 指病毒具有把自身复制到其它程序中的特性 2. 取得系统控制权 3. 隐蔽性 隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。 4. 破坏性 破坏性 计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏 5. 潜伏性 潜伏性