计算机病毒与恶意代码的防治.pptVIP

第10章 计算机病毒与恶意代码的防治 4.计算机病毒的产生及危害 计算机病毒的发展简史 1983年11月，国际计算机安全学术研讨会，美国专家在一台VAX/750上进行实验，世界上第一个计算机病毒诞生在实验室中。 80年代末期，巴基斯坦的一对兄弟，为打击盗版软件，编写一个“巴基斯坦智囊”的病毒，只传染软盘引导区，成为最早在全球范围流行的病毒。 计算机病毒的发展简史 计算机病毒的大肆传播： 1988年11月2日 美国康奈尔大学一年级研究生罗伯特.莫里斯(R.morris)制作了一个蠕虫计算机病毒(Tap Worm),并将其投入美国Internet计算机网络，许多联网机被迫停机，直接损失达9600万美元。莫里斯也因此受到法律制裁。 计算机病毒的发展简史 1988年我国发现首例计算机病毒Pingpang(乒乓病毒)。 1998年台湾大同工学院学生陈盈豪编制了CIH病毒，6月份首先在台湾流行，此后通过网络，相继在澳大利亚、瑞士、荷兰、俄罗斯等国流行，同年8月此病毒传入我国内地，很多计算机用户的机器受到破坏，影响了计算机信息系统的安全运行。 CIH病毒 CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS芯片中的系统程序，导致主板损坏。目前该病毒已有三个版本，即1.2、1.3、1.4， 发作日期是4月26日，6月26日和每月26日。 计算机病毒的发展简史 爱虫病毒 2000年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过MicrosoftOutook电子邮件系统传播的，邮件的主题为“ILOVEYOU”，并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 计算机病毒的发展简史 SQL蠕虫病毒  一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口。 它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。 计算机病毒的发展简史 震荡波 2004年5月1号 莫名其妙地死机或重新启动计算机； 任务管理器里有一个叫“avserve.exe”、“avserve2.exe”或者“skynetave.exe”的进程在运行； 系统速度极慢，CPU占用100%  计算机病毒的发展简史 熊猫烧香 2006~2007年 经过多次变种的蠕虫病毒。 .exe的文件无法执行，并且文件图标会变成熊猫烧香。 大多数知名的网络安全公司的杀毒软件以及防火墙会被病毒强制结束进程，甚至会出现蓝屏、频繁重启的情况。 在各盘释放autorun.inf以及病毒体自身，造成中毒者硬盘磁盘分区以及U盘、移动硬盘等可移动磁盘均无法正常打开。 计算机病毒的危害 具体表现 作为程序，病毒需要获得被运行的机会。 因此，病毒的运行过程一般是隐藏自身并偷偷地获取被运行的机会。 被运行后不断复制自身并广泛传播，条件成熟后发作，进行破坏活动。 计算机病毒的工作原理 2.计算机病毒的引导机制 计算机病毒的引导机制主要分为两种类型： 主动型（也称为隐蔽型或技术型） 被动型（也称为公开型或欺骗型） 2.计算机病毒的引导机制 计算机病毒的引导过程一般包括以下三方面。 1、驻留内存： 病毒若要发挥其破坏作用，一般要驻留内存。必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。 2、窃取系统控制权：病毒驻留内存后，必须取代或扩充系统的原有功能，并窃取系统的 控制权。此后病毒隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。 3、恢复系统功能 ：病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时 机成熟后，进行感染和破坏的目的。? 计算机病毒为了能够引导，必须寄生在一定的对象上 计算机病毒的寄生对象有两种： 磁盘的引导扇区和特定文件（EXE、COM等可执行程序 DLL、DOC、HTML等经常使用的文件中。 常用的寄生方式 替代法 病毒程序用自己的部分或全部代码指令直接替换掉磁盘引导扇区或者文件中的原有内容。 链接法 病毒程序将自身插入到原有内容的首部、尾部或者中间，和原有内容链接为一个整体。 例子1：寄生在磁盘引导扇区的病毒 病毒引导程序占有原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。 系统一启动： 病毒引导模块装入内存并获得执行权， 然后将病毒程序的传染模块和发作模块装入内存的适当位置 采取常驻内存技术以保证这两个模块不会被覆盖 对该两个模块设定某种激