计算机病毒与反病毒技术.pptVIP

第9章计算机病毒与反病毒技术;导读;;病毒的产生

它的产生是计算机技术和社会信息化开展到一定阶段的必然产物.

1、计算机病毒产生的背景

〔1〕是计算机犯罪的新形式：计算机病毒是高技术

犯罪，具有瞬时性、动态性和随机性。不易取

证，风险小破坏大。

〔2〕计算机软硬件产品的脆弱性是根本的技术原因。

〔3〕微机的普及应用是计算机病毒产生的必要环境。;2、计算机病毒产生的原因

搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒,例如象圆点一类的良性病毒。

个别人的报复心理。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒,就是雇员在工作中受挫或被辞退时成心制造的。

用于版权保护的目的而采取的报复性惩罚措施。

用于研究或有益目的而设计的程序,由于某种原因失去控制或产生了意想不到的效果。;9.1.2病毒的本质;病毒的定义借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。

与生物病毒不同的是几乎所有的计算机病毒都是人为地成心制造出来的,有时一旦扩散出来后连编者自己也无法控制。它已经不是一个简单的纯计算机学术问题,而是一个严重的社会问题了。;病毒的生命周期

〔1〕隐藏阶段：这个阶段的病毒不进行操作，而是等待事件触发。

〔2〕传播阶段：病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去。

〔3〕触发阶段：病毒将被激活去执行病毒设计者预先设计好的功能。

〔4〕执行阶段：这一阶段病毒将执行预先设计的功能直至执行完毕。;病毒的生存周期:

1.判断局部

判断是否满足发作条件

2.执行局部

执行恶意代码

3.伪装、复制局部

1)伪装成正常程序，或者隐藏自身。〔木马常用〕

2)复制自身代码依附到其他正常程序上〔传染〕，这是传统病毒的特征。;病毒的特征：

〔1〕传染性；

传染性是病毒的根本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，使被感染的计算机工作失常甚至瘫痪。

病毒程序一般通过修改磁盘扇区信息或文件内容并把自身嵌入到其中，利用这种方法到达病毒的传染和扩散。〔被嵌入的程序叫做宿主程序〕;〔2〕破坏性

对系统来讲，所有的计算机病毒都存在一个共同的危害，即占用系统资源，降低计算机系统的工作效率。

计算机病毒可能会彻底破坏系统的正常运行它可以毁掉系统的局部数据，也可以破坏全部数据并使之无法恢复。并非所有的病毒都有恶劣的破坏作用，有些病毒除了占用磁盘和内存外，没有别的危害。但有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃。;〔3〕潜伏性：

计算机病毒程序进入系统之后一般不会马上发作，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性越好，它的危害就越大

潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的。

潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。;〔4〕可执行性

计算机病毒与其他合法程序一样，是一段可执行的程序，但它不是一个完整的程序，而是寄生在其他可执行程序中。只有在执行时，才具有传染性、破坏性。

未经授权而执行：

病毒通过悄悄地篡夺合法程序的系统控制权而得到运行的时机。一般正常的程序是由用户启动，完成用户交给的任务，其目的对用户是可见的。而病毒隐藏在合法程序中，当用户启动合法程序时窃取到系统的控制权，先于正常程序执行。病毒的动作、目的对用户是未知的，是未经用户允许的。;〔5〕可触发性：

病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。

病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。

如CIH，触发条件：26日;〔6〕隐蔽性：

病毒一般不经过代码分析，很难与正常程序是区分出来。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。

一是传染的隐蔽性，大多数病毒在传染时速度是极快的，不易被人发现。

二是病毒程序存在的隐蔽性，一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。;〔7〕衍生性：

分析计算机病毒的结构可知，传染和破坏局部反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理