网络安全-病毒及防范.pptVIP

病毒及防范 恶意代码和计算机病毒 严格地从概念上讲，计算机病毒是恶意代码的一种，即可感染的依附性恶意代码。实际上，目前发现的恶意代码几乎都是混合型的计算机病毒，即除了具有纯粹意义上的病毒特征外，还带有其他类型恶意代码的特征。 恶意代码的分类实例 2000年5月，在欧美又爆发了“爱虫（Love bug） ”网络蠕虫病毒，利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒属于vbs脚本病毒，可以通过html，irc，email进行大量的传播。 红色代码（2001年） 、“冲击波”（2003年）、“震荡波”2004）。。。 网络时代计算机病毒的新特点 病毒与其他技术相融合：某些病毒及普通病毒、蠕虫、木马和黑客等技术于一身，具有混合型特征，破坏性极强； 传播途径多，扩散速度快，主动通过网络和邮件系统传播：很多病毒与internet和intranet紧密结合，通过系统漏洞、局域网、网页、邮件等方式进行传播，扩散速度快。目前此类病毒已有2000多种； 欺骗性强：很多病毒具有很强的诱惑性和欺骗性，使得它更容易传染，如“库尔尼科娃”病毒； 大量消耗系统与网络资源：计算机感染病毒后，病毒会不断分配内存，导致系统资源很快被消耗，最终使得计算机速度越来越慢或网络阻塞； 病毒出现频度高，病毒生成工具多，如病毒生成机 变种多：目前，很多病毒使用高级语言编写，如“爱虫” ，“美丽杀”等病毒具有多个变种。 难于控制：利用网络传播、蔓延，很难控制。 难于根治、容易引起多次疫情 增强隐蔽性：如避开修改中断向量值 、请求在内存中的合法身份 、维持宿主程序的外部特性 、不使用明显的感染标志 使用加密技术处理 ：如对程序段动态加密 、对显示信息加密、对宿主程序段加密 病毒的逻辑结构 病毒程序一般包括3个基本功能模块：病毒的引导模块、传染模块和破坏（或表现）模块。 病毒的引导模块：引导模块的作用是当病毒的宿主程序开始工作将病毒程序从外存引入内存，使其与宿主程序独立，并且使病毒的传染模块和破坏模块处于活动状态，以监视系统的运行； 病毒的传染模块：传染模块负责将病毒传染给其它计算机程序，使病毒向外扩散。病毒的传染模块由两部分组成：病毒传染的条件判断部分和病毒传染程序主体部分。 病毒破坏模块：该模块是病毒的核心部分，它体现了病毒制造者的意图，病毒的破坏模块也是由两部分组成：病毒破坏的条件判断部分和破坏程序主体部分。 引导型病毒工作流程 文件型病毒工作流程 宏病毒工作流程 病毒结构 计算机病毒可以预先搁置或事后搁置在可执行程序中，也可以以其他方式嵌入到一些其他可执行程序之中，病毒起作用的关键是被感染的程序调用时将先执行病毒代码，之后再执行原来的程序代码。 病毒通用结构如下： program V: = {goto main; 1234567; subroutine infect-executable := { loop: file := get-random-executable-file; if (first-line-of-file = 1234567) then goto loop else prepend V to file;} subroutine do-damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if some condition holds} main: main-program := { infect-executable; if trigger-pulled then do-damage; goto next;} next: } 病毒结构