第八章 计算机病毒防范技术.ppt

第8章 计算机病毒防范技术 内容提要： 概述 计算机病毒的工作原理和分类 计算机病毒的检测与防范 计算机病毒的发展方向和趋势 常见的计算机病毒 8.1 概 述 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 美国计算机安全专家Fred Cohen博士认为：计算机病毒是一种能传染其它程序的程序，病毒是靠修改其它程序，并把自身的拷贝嵌入其它程序而实现的。 计算机病毒的特性 计算机病毒是一个程序； 计算机病毒具有传染性，可以传染其它程序； 计算机病毒的传染方式是修改其它程序，把自身拷贝嵌入到其它程序中而实现的； 计算机病毒的定义在很多方面借用了生物学病毒的概念，因为它们有着诸多相似的特征，比如能够自我复制，能够快速“传染”，且都能够危害“病原体”，当然计算机病毒危害的“病原体”是正常工作的计算机系统和网络。 计算机病毒的特征 非授权可执行性 隐蔽性 传染性 潜伏性 表现性或破坏性 可触发性 计算机病毒的主要危害 直接破坏计算机数据信息 占用磁盘空间和对信息的破坏 抢占系统资源 影响计算机运行速度 计算机病毒错误与不可预见的危害 计算机病毒的兼容性对系统运行的影响 给用户造成严重的心理压力 8.2 计算机病毒的工作原理和分类 8.2.1计算机病毒的工作原理 1．计算机病毒的结构 （1） 病毒的逻辑结构 （2）病毒的磁盘存储结构 （3）病毒的内存驻留结构 （1） 病毒的逻辑结构 病毒的引导模块； 病毒的传染模块； 病毒的发作（表现和破坏）模块。 （2）病毒的磁盘存储结构 ①磁盘空间结构 经过格式化后的磁盘应包括： 主引导记录区（硬盘） 引导记录区 文件分配表（FAT） 目录区 数据区 （2）病毒的磁盘存储结构 ②系统型病毒的磁盘存储结构 病毒的一部分存放在磁盘的引导扇区中 另一部分则存放在磁盘其它扇区中 引导型病毒没有对应的文件名字 （2）病毒的磁盘存储结构 ③文件型病毒的磁盘存储结构 文件型病毒专门感染系统中可执行文件； 其程序依附在被感染文件的首部、尾部、中部或空闲部位； 绝大多数文件型病毒都属于外壳型病毒。 （3）病毒的内存驻留结构 ①系统型病毒的内存驻留结构 系统型病毒是在系统启动时被装入的 病毒程序将自身移动到适当的内存高端 采用修改内存向量描述字的方法隐藏自己 有些病毒也利用小块没有使用的低端内存系统 （3）病毒的内存驻留结构 ②文件型病毒的内存驻留结构 病毒程序是在运行其宿主程序时被装入内存的，文件型病毒按其驻留内存方式可分为： 高端驻留型，典型的病毒有Yankee。 常规驻留型，典型的病毒有黑色星期五。 内存控制链驻留型：典型的病毒有1701。 设备程序补丁驻留型：典型的病毒有DIR2。 不驻留内存型：典型的病毒有Vienna/648。 2．计算机病毒的作用机制 （1）引导机制 （2）传染机制 （3）破坏机制 （1）中断与计算机病毒 中断是CPU处理外部突发事件的一个重要技术。中断类型可划分为： 病毒有关的重要中断 INT 08H和INT 1CH的定时中断，有些病毒用来判断激发条件； INT 09H键盘输入中断，病毒用于监视用户击键情况； INT 10H屏幕输入输出，一些病毒用于在屏幕上显示信息来表现自己； INT 13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘； INT 21H DOS功能调用，绝大多数文件型病毒修改该中断。 病毒利用中断 图 8-2 病毒盗用中断示意图 （2）计算机病毒的传染机制 传染是指计算机病毒由一个载体传播到另一载体，由一个系统进入另一个系统的过程。计算机病毒的传染方式主要有： 病毒程序利用操作系统的引导机制或加载机制进入内存； 从内存的病毒传染新的存储介质或程序文件是利用操作系统的读写磁盘的中断或加载机制来实现的。 （3）计算机病毒的破坏机制 破坏机制在设计原则、工作原理上与传染机制基体相同。它也是通过修改某一中断向量入口地址，使该中断向量指向病毒程序的破坏模块。 8.2.2 计算机病毒的分类 1．按照病毒攻击的系统分类 （1）攻击DOS系统的病毒。 （2）攻击Windows系统的病毒。 （3）攻击UNIX系统的病毒。 （4）攻击OS/2系统的病毒。 2．按照病毒的攻击机型分类 （1）攻击微型计算机的病毒。 （2）攻击小型机的计算机病毒。