- 1、本文档共94页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第10章 计算机病毒与恶意代码的防治 4.计算机病毒的产生及危害 计算机病毒的发展简史 1983年11月,国际计算机安全学术研讨会,美国专家在一台VAX/750上进行实验,世界上第一个计算机病毒诞生在实验室中。 80年代末期,巴基斯坦的一对兄弟,为打击盗版软件,编写一个“巴基斯坦智囊”的病毒,只传染软盘引导区,成为最早在全球范围流行的病毒。 计算机病毒的发展简史 计算机病毒的大肆传播: 1988年11月2日 美国康奈尔大学一年级研究生罗伯特.莫里斯(R.morris)制作了一个蠕虫计算机病毒(Tap Worm),并将其投入美国Internet计算机网络,许多联网机被迫停机,直接损失达9600万美元。莫里斯也因此受到法律制裁。 计算机病毒的发展简史 1988年我国发现首例计算机病毒Pingpang(乒乓病毒)。 1998年台湾大同工学院学生陈盈豪编制了CIH病毒,6月份首先在台湾流行,此后通过网络,相继在澳大利亚、瑞士、荷兰、俄罗斯等国流行,同年8月此病毒传入我国内地,很多计算机用户的机器受到破坏,影响了计算机信息系统的安全运行。 CIH病毒 CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS芯片中的系统程序,导致主板损坏。目前该病毒已有三个版本,即1.2、1.3、1.4, 发作日期是4月26日,6月26日和每月26日。 计算机病毒的发展简史 爱虫病毒 2000年5月4日,一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒是通过MicrosoftOutook电子邮件系统传播的,邮件的主题为“ILOVEYOU”,并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 计算机病毒的发展简史 SQL蠕虫病毒 一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口。 它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。 计算机病毒的发展简史 震荡波 2004年5月1号 莫名其妙地死机或重新启动计算机; 任务管理器里有一个叫“avserve.exe”、“avserve2.exe”或者“skynetave.exe”的进程在运行; 系统速度极慢,CPU占用100% 计算机病毒的发展简史 熊猫烧香 2006~2007年 经过多次变种的蠕虫病毒。 .exe的文件无法执行,并且文件图标会变成熊猫烧香。 大多数知名的网络安全公司的杀毒软件以及防火墙会被病毒强制结束进程,甚至会出现蓝屏、频繁重启的情况。 在各盘释放autorun.inf以及病毒体自身,造成中毒者硬盘磁盘分区以及U盘、移动硬盘等可移动磁盘均无法正常打开。 计算机病毒的危害 具体表现 作为程序,病毒需要获得被运行的机会。 因此,病毒的运行过程一般是隐藏自身并偷偷地获取被运行的机会。 被运行后不断复制自身并广泛传播,条件成熟后发作,进行破坏活动。 计算机病毒的工作原理 2.计算机病毒的引导机制 计算机病毒的引导机制主要分为两种类型: 主动型(也称为隐蔽型或技术型) 被动型(也称为公开型或欺骗型) 2.计算机病毒的引导机制 计算机病毒的引导过程一般包括以下三方面。 1、驻留内存: 病毒若要发挥其破坏作用,一般要驻留内存。必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。 2、窃取系统控制权:病毒驻留内存后,必须取代或扩充系统的原有功能,并窃取系统的 控制权。此后病毒隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。 3、恢复系统功能 :病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时 机成熟后,进行感染和破坏的目的。? 计算机病毒为了能够引导,必须寄生在一定的对象上 计算机病毒的寄生对象有两种: 磁盘的引导扇区和特定文件(EXE、COM等可执行程序 DLL、DOC、HTML等经常使用的文件中。 常用的寄生方式 替代法 病毒程序用自己的部分或全部代码指令直接替换掉磁盘引导扇区或者文件中的原有内容。 链接法 病毒程序将自身插入到原有内容的首部、尾部或者中间,和原有内容链接为一个整体。 例子1:寄生在磁盘引导扇区的病毒 病毒引导程序占有原系统引导程序的位置,并把原系统引导程序搬移到一个特定的地方。 系统一启动: 病毒引导模块装入内存并获得执行权, 然后将病毒程序的传染模块和发作模块装入内存的适当位置 采取常驻内存技术以保证这两个模块不会被覆盖 对该两个模块设定某种激
文档评论(0)