第7章计算机病毒及其防治.ppt

第7章 计算机病毒及其防治 7.1 计算机病毒概述 7.1.1 计算机病毒的定义 计算机病毒（computer virus）其实是一个程序或一段可执行代码，可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当染毒文件被复制或从一个用户传送到另一个用户时，它们就随同该文件一起蔓延开来。除复制能力外，某些计算机病毒还有其他一些共同特性：一个被感染的程序是能够传播病毒的载体；若病毒并不寄生于一个感染程序，它仍然能通过占据存储空间给计算机的使用带来麻烦，并降低计算机的性能。 7.1.2 计算机病毒发展简史 在病毒的发展史上，病毒的出现是有规律的。一般情况下，一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。 7.1.2 计算机病毒发展简史 1．DOS引导阶段 1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。 2．DOS可执行阶段 1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为“耶路撒冷”，也叫“黑色13号星期五”病毒。 7.1.2计算机病毒发展简史 3．伴随型阶段 1992年，伴随型病毒出现。它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，感染EXE文件时生成一个和EXE同名的扩展名为COM的伴随体；感染COM文件时，修改原来的COM文件为同名的EXE文件并产生一个原名的伴随体，文件扩展名为COM。 4．多形型阶段 1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行，这些方式的组合使一段看似随机的代码产生相同的运算结果。具有代表性的“幽灵”病毒就是利用这个特点，每感染一次就产生不同的代码。 7.1.2计算机病毒发展简史 5．生成器和变体机阶段 1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机插入一些空操作和无关指令，也不影响运算的结果。这样，一段解码算法就可以由生成器生成。当生成的是病毒时，病毒生成器和变体机就产生了。 6．网络化阶段 1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在非DOS操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能有哪些信誉好的足球投注网站网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。 7.1.2计算机病毒发展简史 7．宏病毒阶段 1996年，随着Windows Word功能的增强，使用Word宏语言也可以编制病毒。这种病毒使用类Basic语言，编写容易。1997年被公认为计算机反病毒界的“宏病毒”年。 8．视窗化阶段 随着Windows和Windows 95的日益普及，利用Windows进行工作的病毒开始发展。1998年，出现针对Windows 95/98系统的病毒，例如，CIH病毒（1999年被公认为计算机反病毒界的CIH病毒年）。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。 7.1.2计算机病毒发展简史 9．互联网阶段 7.1.3 计算机病毒的特点 计算机病毒有一些与生物界中的病毒极为相似的特征，主要有以下特点。 1．传染性 病毒也是一种程序，它与其他程序的显著不同之处，就是它的传染性。例如，“大麻”病毒、“黑色13号星期五”病毒等。 2．衍生性 “病毒制造机”的出现，使病毒的传播不再是简单的自我复制，而是可以自动地、方便地生产出大量的“同族”新病毒。 7.1.3 计算机病毒的特点 3．隐蔽性 计算机病毒通常是由技术高超者编写的比较完美的、精巧严谨、短小精悍的程序。通常附在正常程序或磁盘等较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不被发现。 4．潜伏性 潜伏性是指计算机病毒的发作一般都有一个激发条件，即一个控制条件。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等。 7.1.3 计算机病毒的特点 5．破坏性 计算机病毒的设计者制造病毒就是为了攻击破坏。任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。计算机病毒的破坏性多种多样，一般表现在占用CPU资源、干扰系统运行、攻击CMOS、攻击系统数据区、攻击文件、干扰外部设备运行等。 7.1.4 计算机病毒的分类 1．按病毒传播媒体 根据病毒传播的媒体，病毒可以划分为网络病毒、文件病毒、引导型病毒和混合型病毒。 （1）网络病毒：通过计算机网络传播感染网络中的可执行文件。 （2）文件病毒：感染计算机中的文件（如COM，EXE，DOC等）。 （3）引导型病毒：感染启动扇区