第4章-计算机病毒与木马.ppt

第 4 章 计算机病毒与木马 4.1 计算机病毒概述 4.1.1 计算机病毒的起源 1975年，1977年夏天， 1983年11月3日，到了1987年， 4.1.2 计算机病毒的定义 从广义上讲，凡是人为编制的、干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的、可自我复制的计算机程序或指令集合都是计算机病毒。 在《中华人民共和国计算机信息系统安全保护条例》中明确定义，病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 1．非法性 2．隐藏性 3．潜伏性 4．可触发性 5．破坏性 6．传染性 4.1.3 计算机病毒的分类 （1）按照计算机病毒攻击的系统分类。 ? 攻击DOS系统的病毒 ? 攻击Windows系统的病毒 ? 攻击UNIX系统的病毒 （2）按照计算机病毒的链接方式分类 ? 源码型病毒 ? 嵌入型病毒 ? 外壳型病毒 ? 操作系统型病毒 （3）按照计算机病毒的破坏情况分类。 ? 良性计算机病毒 ? 恶性计算机病毒 （4） 即根据计算机病毒传染方式进行分类，有以下几种。 ? 磁盘引导区传染的计算机病毒 ?操作系统传染的计算机病毒 可执行程序传染的计算机病毒。 （5）按照计算机病毒激活的时间分类。 ? 定时型病毒 ? 随机型病毒 （6）按照传播媒介分类。 ? 单机病毒 ? 网络病毒 4.1.4 计算机病毒的结构 1．计算机病毒的程序结构 2．计算机病毒的存储结构 （1）病毒的磁盘存储结构 系统型病毒是指专门传染操作系统的启动扇区，主要是硬盘主引导区和DOS引导扇区的病毒。 文件型病毒主要是指感染系统中的可执行文件或者依赖于可执行文件发作的病毒。 （2）病毒的内存驻留结构 病毒的内存驻留结构可以划分为系统病毒的内存驻留结构和文件病毒的内存驻留结构，其中文件病毒的内存驻留结构又可以分为高端驻留型、常规驻留型、内存控制链驻留型和设备程序补丁驻留型等。 4.2 计算机病毒的危害 4.2.1 计算机病毒的表现 发作现象 ? 计算机运行速度的变化 ? 计算机磁盘的变化 ? 计算机内存的变化 ? 计算机文件系统的变化 ? 异常的提示信息和现象 4.2.2 计算机故障与病毒特征区别 一些硬件故障导致 : ? 计算机硬件的配置 ? 硬件的正常使用 ? CMOS的设置 ? 丢失文件 ? 文件版本不匹配 ? 资源耗尽 ? 非法操作 4.2.3 常见的计算机病毒 1．早期的DOS病毒 DOS病毒是指针对DOS操作系统开发的病毒，它们是最早出现、数量最多、变种也最多的计算机病毒。 2．引导型病毒 引导型病毒是指改写磁盘上的引导扇区信息的病毒。引导型病毒主要感染软盘和硬盘的引导扇区或者主引导区，在系统启动时，由于先行执行引导扇区上的引导程序，使得病毒加载到系统内存上。引导型病毒一般使用汇编语言编写，因此病毒程序很短，执行速度很快。 3．文件型病毒 文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病毒主要感染可执行文件或者数据文件。 CIH病毒，Word文档杀手病毒 4．蠕虫病毒 蠕虫（Worm）病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病毒、宏病毒等传统病毒较晚，但是无论是传播速度、传播范围还是破坏程度上都要比以往传统的病毒严重得多。 冲击波病毒是一种利用系统RPC漏洞进行传播和破坏的蠕虫病毒。四维（Swen）病毒是另一种类型的蠕虫病毒