第三章 计算机病毒的基本机制课件.ppt

南开大学信息技术科学学院古力 计算机病毒分析与对抗 南开大学信息技术科学学院古力 计算机病毒分析与对抗 2010年 第三章 计算机病毒的基本机制 　　P38页,一个简单的计算机病毒 　从这个简单的批处理命令程序可以看出,一个病毒应包括以下几种机制 　　１、触发机制 　　２、传播机制 　　３、表现/破坏机制 2010年 一、计算机病毒状态 １、静态病毒 ２、动态病毒 　　　病毒的启动 2010年 二、计算机病毒的三种机制 １、计算机病毒的弱点 　　 （１） （２） （３） （４）　　 2010年 二、计算机病毒的三种机制 １、计算机病毒的基本模块 　　 　１）感染模块 　２）触发模块 　３）破坏模块 　４）主控模块 　５）病毒程序的一般框架　　 2010年 三、计算机病毒的传播机制 １、病毒感染的目标和过程 　　 　１）感染目标Ｐ100 　２）病毒感染的过程 　　　操作系统程序作宿主程序（引导型　　 　　　病毒）　　　 　　　COMMAND程序作宿主程序 　　　应用程序作宿主程序 　　　　 2010年 　 3） 病毒常驻内存 　 4）修改中断向量 INT 9H；读取键盘输入 INT 8H；计时中断 INT 13H ；读写磁盘 INT 25H；读磁盘逻辑扇区 INT 26H ；写磁盘逻辑扇区 INT 21H的4BH子功能：在可执行程序中调用另一程序 　　　 　　　　 三、计算机病毒的传播机制 2010年 三、计算机病毒的传播机制 2、病毒感染长度和感染次数 　　 　１）感染长度 长度不变 增长的长度为恒定值 增长的长度在一个固定范围内变化 每次感染，宿主程序长度都在变化 　 　　　　 2010年 三、计算机病毒的传播机制 　2）单次感染 3）重复感染 a、简单的重复感染 b、有限次数重复感染 c、变长度重复感染 d、变位重复感染 　　　　 2010年 3、引导型病毒的感染 4、寄生感染 5、插入感染和逆插入感染 6、链式感染 7、破坏性感染 　 　　　　 三、计算机病毒的传播机制 2010年 三、计算机病毒的传播机制 8、滋生感染 9、没有入口点的感染 10、OBJ、LIB和源码感染 11、混合感染和交叉感染　 12、零长度感染 13、计算机病毒的网络感染 　　　　 2010年 13、计算机病毒的网络感染 　 1）通过E_mail感染 2）通过BBS感染 3）通过网络服务感染 4）电话线路上的病毒 5）病毒发射枪　　 　 三、计算机病毒的传播机制 2010年 四、计算机病毒的触发机制 可触发性：是指病毒因为某个事件或某个数值的出现，诱使病毒实施感染或进行攻击的特性。 可触发性是病毒的攻击性和潜伏性之间的调节杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。 　　 　 2010年 四、计算机病毒的触发机制 （一）、日期和时间触发 许多病毒采用日期作为触发条件，常见的有特定日期触发，月份触发，上半年或下半年触发等。 1、日期触发 1）、特定日期触发 a、每月某日触发 b、某月某日定期触发 c、以某日为界，分时段继续感染 和破坏 2010年 四、计算机病毒的触发机制 2、月份触发 3、前半年、后半年触发 4、时间触发 a、特定的时间触发 b、染毒后累积工作时间触发 c、文件最后写入时间触发 2010年 （二）、键盘触发 有些病毒会监视键盘，当操作人员按某个键或某组合键时，病毒发作。这类触发条件可能是按键的次数，也可能是某组合键，或者是热启动。 1、按键次数触发