crypto4c-ch19-恶意代码的和软件.ppt

病毒 和病毒斗争好多年，却发现越来越招架不住了。病毒制作者也逮住了很多，却发现做病毒的越来越形成产业了。和病毒抗争的道路还远，重要的不仅是技术，同时要提高用户的技术素养和防范意识，消除病毒的温床。 目前，加大对病毒制作、贩卖、利用行为的打击力度，也是打击病毒的重要环节。 19.1 病毒 定义 威胁 分类 等 病毒定义 技术定义有争论，但是法律(中国)定义如下： 第二十八条　本条例下列用语的含义: 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 计算机信息系统安全专用产品，是指用于保护计算机信息系统安全的专用硬件和软件产品。 中华人民共和国计算机信息系统安全保护条例 罚则 刑法节选 恶意代码 病毒 Virus 蠕虫 Worm 木马 Trojan 后门程序 Trapdoor 广告 Adware/Spyware “霸王”插件 plugins/addons 恶意代码分类 恶意代码 寄生/独立 后门/逻辑炸弹 木马 病毒 细菌/蠕虫 计算机病毒 Computer Virus 电脑病毒是一种具有自我复制能力的计算机程序。 在计算机科学里，电脑病毒是一段象生物病毒一样的程序，它会复制自己并传播到其他宿主，并对宿主造成损害。 宿主也是程序，通常是操作系统，从而进一步传染到其他程序、其他的电脑。 电脑病毒在传播期间一般会隐蔽自己，由特定的出发条件触发开始产生破坏。 蠕虫 Computer Worm A computer worm is a self-replicating computer program, similar to a computer virus. A virus attaches itself to, and becomes part of, another executable program; A worm is self-contained and does not need to be part of another program to propagate itself. They are often designed to exploit the file transmission capabilities found on many computers. 木马 Computer Trojan Horse A Trojan horse or Trojan is a malicious program that is disguised as legitimate software. they may look useful or interesting to an unsuspecting user, but are actually harmful when executed. Trojan horse programs cannot replicate themselves, in contrast to some other types of malware, like viruses or worms. A trojan horse can be deliberately attached to otherwise useful software by a programmer, or it can be spread by tricking users into believing that it is a useful program. 其他恶意代码 后门 Backdoor 逻辑炸弹 Logic bomb 僵尸 Zombie DDOS 病毒的特性 传染 潜伏 触发 发作 病毒的结构 病毒分类 分类举例 MZ/PE文件病毒 引导型病毒（在磁盘的boot扇区） 脚本病毒 宏病毒Word 邮件病毒 IIS病毒 以例子引导，概论、反毒程序和讨论 病毒传播径途 文件交换 软盘、硬盘、光盘、U盘 DOS时代、引导型病毒 网络 文件和目录共享 系统漏洞 邮件及附件 Web + Browser 无线网络 DOS年代病毒 DOS Windows 3.x EXE/MZ文件格式 COM文件格式 汇编语言 EXE/MZ病毒的巅峰之一：DIR II 引导型病毒 例子分析 EXE-DLL/PE文件病毒 PE格式文件 和MZ格式兼容 CIH 针对windows PE格式EXE/DLL文件 导致某些Flash BIOS损坏 VxD，Ring 0 由于需要直接访问硬件，只能在win9x下激发 MZ/PE文件结构 一个HTML网页病毒示例学习 HTML VB Script