第十一章_计算机病毒.ppt

目录 1. 概述 2. 计算机病毒的传染途径 3. 计算机病毒实例分析 4. 计算机反病毒技术 1983年11月3日，美国计算机安全学家弗雷德·科恩（Fred Cohen）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼（Len Adleman）将它正式命名为计算机病毒，并在每周一次的计算机安全学术研究会上正式提出。 1998年6月，CIH病毒出现，CIH病毒是有史以来影响最大的病毒之一。该病毒是第一个直接攻击和破坏硬件的计算机病毒。它主要感染Windows 95/98的可执行程序，发作时可能会破坏计算机Flash BIOS芯片中的系统程序，导致主板损坏，同时破坏硬盘中的数据。CIH病毒是迄今为止破坏最为严重的病毒。 2002年4月16日，一种新的恶意病毒—“求职信”病毒在亚洲地区倾刻爆发，它利用电子邮件方式，迅速向外传播，扩散势头十分凶猛，一股新的病毒风暴就此在全球展开。 “特洛依木马”(Trojan Horse) 一种故意隐藏在正常程序代码中的异常特殊代码，在条件成熟时进行特殊任务的执行。 “逻辑炸弹”(Logic Bomb)：基于逻辑条件的满足而触发 “时间炸弹” (Time Bomb)：基于时间条件的满足而激活。 不自身复制、不传染、任务完成后自毁或隐藏。 “计算机病毒”(Computer Virus) 一种人为编制的特殊程序代码，可将自己附着在其他程序代码上以便传播，可自我复制、隐藏和潜伏，并带有破坏数据、文件或系统的特殊功能。 “细菌”(Bacteria) 一种简单的可自身复制的程序，一旦进入系统，该程序就连续不停地运行，尽可能地占据处理器时间和存储空间，造成系统因缺乏可用资源而不能工作。 无宿主。 “蠕虫”(Worm) 一种独立运行的程序代码，在网络环境下主动传播和复制，利用系统资源侵入网络，从而阻塞和拒绝网络服务。无宿主、不驻留、仅存在于内存，可经网络传播。 目前的威胁：复合类病毒！病毒制造者将各类病毒机理相互借鉴，形成各类改进型、混合型、交叉型和多形型的病毒。 在1994年我国颁布实施的《中华人民共和国计算机系统安全保护条例》中，对计算机病毒有如下定义：“计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。 计算机病毒的工作机理 目前的计算机病毒几乎都是由三部分组成的，即引导模块、传染模块与表现模块。引导模块借助宿主程序将病毒主体从外存加载到内存，以便传染模块和表现模块进入活动状态。传染模块负责将病毒代码复制到传染目标上去。表现模块是病毒间差异最大的部分，它判断病毒的触发条件，实施病毒的破坏功能。 计算机病毒的特性 ①传染性(propagation)。 感染病毒的程序一旦运行，就会感染其他的程序，并且一直保持这种传染性，进行再传染。特洛依木马型特殊程序以预施方式发布。 ②持久性(persistence)。带毒程序可以再传染，带毒程序的检测和清除、带毒环境的清洗、系统和数据的恢复是十分困难和费时的，甚至是不可能的。尤其在网络环境下，病毒的跟踪检测是很困难的。反病毒软件及硬件本身所具有的副作用, 使系统恢复不稳定和困难。 ③多能性(versatility)。计算机病毒具有各种类型，变化各异, 攻击目标不同, 可以针对和攻击各个应用领域，甚至无需任何预先信息。 ④潜伏性(conceality)。绝大多数病毒代码量少、体积小，附加于其他程序之上,隐藏于系统之中而不易查觉，以便长期潜伏。程序固化和病毒码的微电子化, 也从另一途径使得病毒具有长期存在性和潜伏性。潜伏期的病毒由专门事件触发，受害者很难早期发现。部分病毒具有伪装性，难以识别。 ⑤影响性(effectiveness)。计算机病毒既可以对数据、程序、以及整个系统带来灾难性和深远的影响，也可以对操作员、程序员、以及决策者的心理产生极大影响，造成平时和战时, 军事与民事的双重压力。 计算机病毒的干扰方式: ①潜伏待机。即特洛依木马，是一种具有特殊任务的潜伏程序，它注入目标系统后不立即发作，而处于潜伏期。在潜伏期无任何影响，直到预先设置的事件或者条件满足，才自激触发或外激触发，产生干扰和破坏。等病毒现象表现出来，已为时过晚。它具有硬件型(预置器件)和软件型(逻辑炸弹)。 ②欺骗干扰。即强迫检疫(Forced Quarantine)。一种欺骗手段，病毒进入目标系统后即表现自己，公开宣告病毒存在。此时，系统操作员被强迫进行系统检疫，做病毒检测、诊断。对网络用户则不得不退出网络，以免传染给其他站点，而其他网络用户也提心吊胆，担心被传染。这样，使整个系统和网络处于一种自疑状态、一种不稳定、不可信状态。 ③性能恶化。使系统超载(Ov