第1章病毒及其防治.ppt

第1章 恶意程序及其防范 1.1 计算机病毒的概念 1.1.2 计算机病毒分类 1. 按照所攻击的操作系统分类 · DOS病毒：攻击DOS系统。 · UNIX/Linux病毒：攻击UNIX或Linux系统。 · Windows病毒：攻击Windows系统，如CIH病毒。 · OS/2病毒：攻击OS/2系统。 · Macintosh病毒：攻击Macintosh系统，如Mac.simpsons病毒。 · 手机病毒。 2. 按照寄生方式和传染途径分类 （1）引导型病毒。引导型病毒在系统初始化时自动装入内存，然后简单地将指令指针（指令计数器的内容）修改到一个存储系统指令的新的位置。 · 主引导区（master boot record，MBR）病毒，寄生在硬盘分区主引导程序所在的硬盘的0柱面0磁道1扇区，也称分区病毒，如大麻病毒、2708病毒等。 · 引导区（boot record，BR）病毒，寄生在硬盘逻辑0扇区或软盘逻辑0扇区，即0面0道1扇区，如Brain病毒和小球病毒等。 （2）文件型病毒。 传播病毒的文件可以分为三类： ·可执行文件，即扩展名为 .COM，.EXE，.PE，.BAT，.SYS，.OVL等的文件。 · 文档文件或数据文件，例如Word文档，Exel文档，Accss数据库文件。宏病毒（Macro）就感染这些文件。 · Web文档，如.html文档和.htm文档。已经发现的Web病毒有HTML/Prepend和HTML/Redirect等。 按照驻留内存的方式，文件型病毒可以分为： · 驻留（Resident）病毒：复制病毒装入内存后，发现另一个系统运行的程序文件后进行传染。驻留病毒又可进一步分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型。 · 非驻留（Nonrresident）病毒：病毒选择磁盘上一个或多个文件，不等它们装入内存，就直接进行感染。 （3）目录型病毒。是文件型病毒的一种特例，它们仅修改目录区，如DIR2病毒。 （4）引导兼文件型病毒。这类病毒在文件感染时还伺机感染引导区，例如CANCER病毒、HAMMER Ⅴ病毒等。 （5）CMOS病毒。CMOS是保存系统参数和配置的重要地方，它也存在一些没有使用的空间。CMOS病毒就隐藏在这一空间中，从而可以躲避磁盘的格式化清除。 3. 按照传播媒介分类 · 单机病毒：以磁盘为传染媒介。 · 网络病毒：以网络中的传输的命令或数据作为媒介。 4. 按照计算机病毒的链接方式分类 （1）源码型病毒。攻击高级语言编写的程序，在被攻击程序编译前插入进来，并在编译后成为合法程序的一部分。 （2）嵌入型病毒。计算机病毒的主体与被攻击对象以插入方式链接，把自己嵌入到攻击对象中。这类病毒程序编写难度大，清除也难。 （3）外壳（shell）病毒。这类病毒程序 这类病毒通常附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。 （4）译码型病毒。隐藏在微软的office、AmiPro文档中，如宏病毒、脚本病毒等（VBS/WSH/JS）等。 （5）操作系统型病毒。这类病毒意图用自己的代码加入或取代操作系统的某些模块，具有很强的破坏性，例如小球病毒、大麻病毒等。 5. 按照破坏能力分类 按照病毒的破坏能力，可将病毒划分为以下几类： · 无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。 · 无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 · 危险型：这类病毒在计算机系统操作中造成严重的错误。 · 非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。 1.2 计算机病毒编制的关键技术 主引导扇区位于硬盘的0柱面0磁道1扇区，存放： 主引导记录（main boot record，MBR） 硬盘主分区表（Disk Partition Table, DPT） 引导扇区标记（boot record ID） （1）主引导记录（MBR）占用引导扇区的前466个字节（0000~01BD），作用是检查分区表是否正确以及确定哪个分区为引导分区（要将控制权交给的操作系统所在分区），并在程序结束时把该分区的启动程序（即操作系统引导程序）调入内存加以执行。 在DOS的启动过程中，中断服务程序INT 19H（自举程序）将引导记录 调入内存的0000H~7C00H处，并把控制权交给它。这时，引导记录将检查启动盘上是否有DOS系统，即根目录中的前两个文件是否为IO.SYS和MSDOS.SYS。若是，则把文件IO.SYS读入到内存的70H~0H处，并把主控制权交给IO.SYS；否则给出非系统盘的错误信息。 （2）磁盘主分