第4章_计算机病毒解析.ppt

第四章 计算机病毒 4.1 概述 4.2 计算机病毒的特征及分类 4.3常见的病毒类型 4.4计算机病毒制作与反病毒技术 4.1 概述 带有恶意目的的破坏程序,称为恶意代码。 计算机病毒属于恶意代码的一种; 在广义上，计算机病毒就是各种恶意代码的统称。 4.1 概述 计算机病毒最早是由美国南加州大学的Fred Cohen提出的。 在1983年编写，小程序，自我复制，并能在计算机中传播。无害，潜伏，传染。 Fred Cohen博士对计算机病毒的定义：“病毒是一种靠修改其他程序来插入或进行自身拷贝，从而感染其他程序的一段程序。” 4.1 概述 在《中华人民共和国计算机信息系统安全保护条例》中计算机病毒被定义为： “编制或在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 计算机病毒是一个程序，一段可执行代码。 4.1 概述 计算机病毒的发展 1949年冯·诺伊曼，在论文《复杂自动装置的理论及组织的进行》里给出了计算机病毒的雏形。 1983年第一个病毒产生 1986年Pakistan 病毒 1988年蠕虫病毒 1991年病毒用于海湾战争实战 4.1 概述 1996年 宏病毒 1998年 CIH病毒 2007年 熊猫烧香病毒 2009年“死牛”病毒 2010年 “鬼影”病毒 4.1 概述 计算机病毒的危害 （1）占用磁盘空间，破坏数据信息 （2）干扰系统的正常运行 （3）心理方面的影响 4.2 计算机病毒的特征及分类 计算机病毒特征 传染性 破坏性 隐蔽性 寄生性 可触发性 4.3.1 引导型与文件型病毒 按病毒按寄生方式分类 网络病毒 文件病毒 引导型病毒 混合型病毒 按传播媒介分类 单机病毒 网络病毒 按病毒破坏性分类 按计算机病毒的链接方式分类 按病毒攻击的操作系统分类 按病毒的攻击类型分类 4.3.1 引导型与文件型病毒 引导型病毒 专门感染磁盘引导扇区或硬盘主引导区。 按其寄生对象可分为： MBR（主引导区）病毒 BR（引导区）病毒。 引导型病毒一般通过修改int 13h中断向量将病毒传染给软盘，而新的int 13h中断向量地址指向内存高端的病毒程序。 引导型病毒的寄生对象相对固定。 4.3.1 引导型与文件型病毒 文件型病毒 通过文件系统进行感染的病毒统称文件型病毒。 EXE文件病毒。 将自身代码添加在宿主程序中，通过修改指令指针的方式，指向病毒起始位置来获取控制权。 PE病毒 当前产生重大影响的病毒类型，如“CIH”、“尼姆达”、“求职信”、“中国黑客”等。这类病毒主要感染Windows系统中的PE文件格式文件(如EXE, SCR, DLL等) 。 4.3.2 蠕虫与木马 蠕虫 通过网络传播的恶意代码。与文件型病毒和引导性病毒不同，蠕虫不利用文件寄生，也不感染引导区，蠕虫的感染目标是网络中的所有计算机。 4.3.2 蠕虫与木马 蠕虫的主要特点： (1) 主动攻击。蠕虫在本质上已变为黑客入侵的工具，从漏洞扫描到攻击系统，再到复制副本，整个过程全部由蠕虫自身主动完成。 (2) 传播方式多样。包括文件、电子邮件、Web服务器、网页和网络共享等。 (3) 制作技术不同于传统的病毒。许多蠕虫病毒是利用当前必威体育精装版的编程语言和编程技术来实现的，容易修改以产生新的变种。 (4) 行踪隐蔽。蠕虫在传播过程中不需要像传统病毒那样要用户的辅助工作，所以在蠕虫传播的过程中，用户很难察觉。 (5) 反复性。如果没有修复系统漏洞，重新接入到网络的计算机仍然有被重新感染的危险。 4.3.2 蠕虫与木马 木马 一种典型的黑客程序，它是一种基于远程控制的黑客工具。 通过木马，攻击者可以远程窃取用户计算机上的所有文件、查看系统消息、窃取用户口令、篡改文件和数据、接收执行非授权者的指令、删除文件甚至格式化硬盘。 4.3.2 蠕虫与木马 木马实际上是一个C/S结构的程序： 服务端程序+客户端程序。 以冰河程序为例，被控制端可视为一台服务器运行G_Server.exe服务程序，而控制端是一台客户机安装了G_Client.exe控制程序。客户端向服务端的端口提出连接请求，服务段的相应程序就会自动运行，响应客户端的请求。 4.3.2 蠕虫与木马 木马的传播方式： （1）以邮件附件的形式传播。控制端将木马程序伪装后，捆绑在小游戏上，或者将木马程序的图标直接修改为html,txt,jpg等文件的图标，然后将该木马程序添加到附件中，发送给收件人。 （2）通过聊天软件的文件发送功能。利用聊天对话的过程中，利用文件传送功能发送伪装后的木马程序给对方。 （3）通过软件下载网站传播。有些网站可能会被攻击者利用，将木马捆绑在软件上，用户下载软件后如果没有进行