第4章 新型计算机病毒的发展趋势及特点和技术幻灯片.pptVIP

计算机病毒原理与防范 第4章 新型计算机病毒的发展趋势及特点和技术 4.1 新型计算机病毒的发展趋势 4.1 新型计算机病毒的发展趋势 4.2 新型计算机病毒发展的主要特点 4.2.1 新型计算机病毒的主要特点 4.2.2 基于Windows的计算机病毒 4.2.2 基于Windows的计算机病毒 4.2.2 基于Windows的计算机病毒 4.2.2 基于Windows的计算机病毒 4.2.2 基于Windows的计算机病毒 4.2.3 新型计算机病毒的传播途径 4.2.3 新型计算机病毒的传播途径 4.2.3 新型计算机病毒的传播途径 4.2.4 新型计算机病毒的危害 4.2.5 电子邮件成为计算机病毒传播的主要媒介 4.2.6 新型计算机病毒的最主要载体 4.2.6 新型计算机病毒的最主要载体 4.2.6 新型计算机病毒的最主要载体 4.2.6 新型计算机病毒的最主要载体 4.2.6 新型计算机病毒的最主要载体 4.3 新型计算机病毒发展的主要技术 4.3.1 ActiveX与Java 4.3.1 ActiveX与Java 4.3.2 计算机病毒的驻留内存技术 4.3.2 计算机病毒的驻留内存技术 4.3.2 计算机病毒的驻留内存技术 4.3.2 计算机病毒的驻留内存技术 4.3.3 修改中断向量表技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.4 计算机病毒隐藏技术 4.3.5 对抗计算机病毒防范系统技术 4.3.6 技术的遗传与结合 第4章 新型计算机病毒的发展趋势及特点和技术 本章课后作业 采用“隐藏”技术的计算机病毒表现形式： 计算机病毒在内存中时，若查看被该计算机病毒感染的文件，则看不到计算机病毒的程序代码，只看到原正常文件的程序代码。 计算机病毒在内存中时，若查看被计算机病毒感染的引导扇区，则只会看到正常的引导扇区，而看不到实际上处于引导扇区位置的计算机病毒程序。 计算机病毒在内存中时，计算机病毒防范程序和其他工具程序检查不出中断向量被计算机病毒接管，但实际上计算机病毒代码已链接到系统的中断服务程序中 1．静态隐藏技术 静态隐藏技术：指计算机病毒代码依附在宿主程序上时所拥有的固有的隐蔽性 一般由父病毒在感染目标程序时，依照目标程序的特性，产生特定的子病毒，使其能隐蔽在宿主程序中而不被发现 秘密行动法 秘密行动法：通过清除感染程序所留下的痕迹，恢复宿主文件的特征，向查询者返回虚假信息，而达到隐藏病毒的目的 碎片技术：利用Windows环境PE可执行文件分段存储，而各段有一些未使用的剩余空间这一特征，将自身分割成小块，隐藏在内存空隙中，从而消除病毒改变文件长度的缺陷 秘密行动法：引导型病毒的隐藏方法一 感染时，修改中断服务程序 使用时，截获INT 13调用 读请求 读请求 返回数据 返回数据 返回数据 DOS应用程序 原来的INT13H服务程序 DOS下的杀毒软件 病毒感染后的INT13H服务程序 普通扇区 普通扇区 被病毒感染的扇区 被病毒感染的扇区的原始扇区 读扇区调用 秘密行动法：引导型病毒的隐藏方法二 针对杀毒软件对磁盘直接读写的特点，截获 INT 21H，然后恢复感染区，最后，再进行感染。 感染后的INT 21H功能40H（加载一个程序执行） 执行反病毒程序 恢复被病毒感染的扇区为原来的内容 原来的INT21H功能 重新感染扇区 返回DOS命令解释程序（COMMAND..COM） DOS命令解释程序（COMMAND..COM） 秘密行动法：文件型病毒的隐藏方法 拦截（API, INT调用）访问 —— 恢复 —— 再感染 DOS INT21H调用 隐藏病毒扇区 列目录时显示感染前的文件大小 读写文件看到正常的文件内容 执行或者有哪些信誉好的足球投注网站时隐藏病毒 在支持长文件名的系统隐藏自身 INT13H（直接磁盘访问） 列目录功能 读写功能(Read、Write) 执行功能（EXEC） 其他功能（rename等） 视窗操作系统下，支持长文件名的扩展DOS调用 自加密技术 计算机病毒可以对静态计算机病毒加密，同时也可以对进驻内存的动态计算机病毒进行加密 Mutation Engine多态技术 采用特殊的加密技术，每感染一个对象，放入宿主程序的代码都不相同，几乎没有任何特征代码串，从而能有效对抗采用特征串有哪些信誉好的足球投注网站法类杀毒软件的查杀 插入性病毒技术 插入性病毒在不了解宿主程序的功能和结构的前提下，能将宿主程序在适当处截断，在宿