（精）计算机病毒原理.ppt

什么是计算机病毒? “传播” 永远是第一位的～ 如同它的生物同类，计算机病毒也是一段可复制的电脑程序 传播的副产品－ 消耗系统资源 (CodeRed.A), 破坏原始数据 (I-Worm.Klez), 泄密 (I-Worm.Sircam) 和 侵蚀flash-BIOS（闪存）, 瘫痪系统. 病毒 – 启蒙期 第一只计算机病毒 – “boot” （引导区）破坏者 Boot/Brain.是一只通过磁盘引导记录感染硬盘MBR记录的病毒 当国际互联网和网络数据存储成为主流，软盘逐渐淡出交互介质时， Boot viruses （引导区病毒）就走向没落。 今天, boot viruses 不再时流行性病毒, 然而还是有一些 boot viruses 存在(eg. Boot/NYB.A, Boot/Ripper.A, Boot/WYX.A) PC Viruses的演化 在boot viruses之后, 病毒传播迎来了一个 以文件为主要介质的时代 (MSDOS 时代, 主要 通过.COM 和 .EXE 格式的文件进行传播) 显然, boot区域 文件感染 是可以同时存在的 (eg. Tequila.2468.A, OneHalf.3544) 在日臻成熟的病毒技术发展中, 引导区改写和文件寄生方式的感染这两种攻击技术也逐渐分离开并分别发展。 攻击程序的进化 Macro viruses – 第一只宏病毒被发现在 1995 (the WM/Concept.A 被编写于 1994) 打破了 “文档不会被病毒感染”这样一个神话 迅速成为计算机病毒的传播途径; 宏病毒的攻击重点一下集中在 Microsoft Office 应用软件上 1999年3月26日 –病毒史上应该记住的一天，一种全新的病毒攻击理念被一个 病毒作者诠释出来，此后的攻击大多借鉴与此 攻击在持续... W97M/Melissa.A@mm 让这个世界在一天内承受的病毒攻击超过之前的任何一天 该项攻击技术被迅速应用到 VBS攻击领域, 从此以后 邮件攻击迅速取代传统Office macro viruses 成为恶意程序制作个攻击的主要手段 更多 VBS viruses 以 电子邮件为载体惊醒传播 – eg. VBS/LoveLetter.A@mm, VBS/VBSWG.J@mm, VBS/Stages.A@mm Win32不再安全 在用户一片要求加固WIN32架构的呼声中我们迎来了 新世纪（2001） 针对Win32的越来越多的攻击使得2000年的世界显得有些不知所措， 电子邮件和WIN32文档不再安宁, － Win32/Ska.A@m, Win32/MyPics.A@mm 、Win32/ExploreZip.A@m 网络蠕虫-Network worms 1988年“Morris” 攻击Sun 和 VAX 主机揭开了这只计算机病毒的重要分支的面纱 事隔13年，沉寂多年的魔鬼再次显露其狰狞的面孔，通过互联网（不是电子邮件）发起冲击－ VBS/Netlog.A worm 局域网蠕虫也成为一只不可忽视的攻击 (eg. Win32/ExploreZip.A@m) Internet Worms – 一个理念的革命 大约在 2001年 7月13日, Win32/CodeRed.A 下网 CodeRed.A 作为第一只以‘a-la-Morris方式进行传播的 现代 Internet worm 它的理念被更多病毒作者所借鉴 (随后不久，以CodeRed.A的理念为蓝本的另几只蠕虫被制作出来，其攻击的方式都是以CodeRed.A为原型来改作，技术原理上相差不远) 以CodeRed.A为原型的蠕虫如： Win32/Nimda@mm or Win32/SqlSpida。 Win32/Slammer.A 成为迄今已知的传播速度最快的 PC worm, 从发起攻击到命中90%的目标前后不超过 15 分钟 。 “Malware” 一个时髦术语诞生了。viruses 和 trojans 过去被称为 “gray” 程序的现在都通称 “malware”（恶意程序） 恶意程序涵盖了几乎所有不受欢迎的程序。 Spam（垃圾信息）, hoaxes（玩笑程序）, dialers（拨号器）, DoS 攻击攻击, exploits and hacking tools（黑客工具） or mail/news flooders 等现在都通称 malware 反病毒软件 也被称为 “AntiMalware” 蠕虫传播 人为因素 (社会工程学) 弱点漏洞 强力传播（前门攻击） Trojans ArchBomb （逻辑炸弹） Backdoor（后门程序） Trojan-PSW（密码小偷） Trojan-Clicker（误导木马/广告木