- 1、本文档共36页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
计算机病毒与防范(讲义)
第15章 计算机病毒与防范 随着计算机在各行各业的大量应用,计算机病毒也随之渗透到计算机世界的每个角落,常以人们意想不到的方式侵入计算机系统。计算机病毒的流行引起了人们的普遍关注,成为影响计算机安全运行的一个重要因素。随着网络的普及,计算机病毒的传播速度大大提高了,传播形式也有了新的变化。 15.1 计算机病毒简介 15.1.1 恶意代码 在讨论计算机病毒之前,我们先看恶意代码的分类情况。这些威胁可以分成两类:需要宿主的程序和可以独立运行的程序。前者实际上是程序片段,它们不能脱离某些特定的应用程序、应用工具或系统程序而独立存在;后者是完整的程序,操作系统可以调度和运行它们。 恶意代码的分类 15.1.2 计算机病毒的概念 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中的定义为:“编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 另外,从广义上讲,逻辑炸弹、特洛伊木马、蠕虫都可称为病毒。 15.1.3 计算机病毒的发展史 DOS时代 Windows时代 3. Internet时代 由于网络的快速和便捷,网络病毒的传播是以几何级数进 行的,其危害比以前的任何一种病毒都要大。 现在,计算机病毒有一个新的发展趋势。利用漏洞进行破坏性攻击的病毒已经逐渐不再唱主角了,电脑用户安全的最大威胁已经让位于以经济利益为目的,以欺骗用户为手段,严重干扰人们日常工作、数据安全和个人隐私的各类间谍、木马、钓鱼软件。有报告显示,这类软件的危害已经超越传统病毒,成为互联网安全最大的威胁。 15.1.4 计算机病毒的分类 1.系统引导病毒 系统引导病毒又称引导区型病毒。直到20世纪90年代中期,引导区型病毒是最流行的病毒类型,主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区,蔓延到用户硬盘,并能侵染到用户硬盘中的主引导记录(也称为主引导扇区)。一旦硬盘中的引导区被病毒感染,病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。 2.文件型病毒 文件型病毒是文件侵染者,也被称为寄生病毒。它运作在计算机存储器里,通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等的文件。每一次它们激活时,被感染文件把自身复制到其他文件中,并能在存储器里保存很长时间,直到病毒又被激活。 3.复合型病毒 复合型病毒有引导区型病毒和文件型病毒两者的特征。 4.宏病毒 宏病毒一般是指寄存在Microsoft Office文档上的病毒宏代码。它影响对文档的各种操作,如打开、存储、关闭或清除等。当打开Office文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。 5.网络病毒 网络病毒大体上可分为两类:一类是局域网上的病毒;另一类就是随着互联网的兴起产生的新的网络病毒。这类新的病毒又可以根据提供的服务来细分。 互联网提供了众多的服务,如WWW服务、电子邮件服务、文件传输服务等。病毒可以利用这些服务来传播,因而可以把网络病毒分为邮件病毒、网页病毒、FTP病毒等。其中,邮件病毒在网络病毒中占绝大多数。 15.1.5 计算机病毒的特点 计算机病毒一般具有以下八个特点: 破坏性、隐蔽性、 潜伏性、传染性、 未经授权而执行、 依附性、针对性、 不可预见性。 15.2 计算机病毒的工作机理 15.2.1 计算机病毒的结构 计算机病毒在结构上有着共同性,一般由引导部分、传染部分、表现部分三部分组成。 1.引导部分:也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备。 2.传染部分:作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统。 3.表现部分:这是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。 15.2.2 引导区型病毒的工作机理 在病毒的分类中已经提到过,引导区型病毒感染的是硬盘的主引导区或软盘的引导扇区,它是BIOS从磁盘调入内存的第一个程序。这样的话,病毒就常驻内存,一旦满足条件(调用了被病毒修改后的某个中断服务程序),病毒就会兴风作浪。病毒感染软盘引导扇区的隐蔽性比硬盘差得多。 因为软盘和硬盘不同,它没有隐含的扇区,所以病毒要么把正常的引导扇区内容放到软盘的最后一个扇区,要么放到根目录区,所以当用户显示软盘目录时就会得到乱七八糟的文件名,引起用户的警觉。有的病毒干脆就不保存正常的引导程序,这样用这种软盘启动时就不能正常引导系统,这也很快会被
文档评论(0)