网络安全--计算机病毒(PPT45张).ppt

计算机病毒的分类 - 2 ? 良性病毒 ? 只是为了表现自身，并不彻底破坏系统和数据，但会 占用大量 CPU 时间，增加系统开销，降低系统工作效 率的一类计算机病毒 ? 该类病毒多为恶作剧者的产物 ? 恶性病毒 ? 一旦发作，就会破坏系统或数据，造成计算机系统瘫 痪的一类计算机病毒 ? 该类病毒危害极大，有些病毒发作后可能给用户造成 不可挽回的损失 ? 如“黑色星期五” 、木马、蠕虫病毒等 计算机病毒的分类 - 3 ? 文件型病毒 ? 一般只传染磁盘上的可执行文件（如 .com ， .exe ）。在用 户运行染毒的可执行文件时，病毒首先被执行，然后病毒驻 留内存伺机传染其他文件或直接传染其他文件。这类病毒的 特点是附着于正常程序文件中，成为程序文件的一个外壳或 部件。当该病毒完成了它的工作后，其正常程序才被运行， 使人看起来仿佛一切都很正常 ? 引导扇区型病毒 ? 潜伏在软盘或硬盘的引导扇区或主引导记录中。如果计算机 从被感染的软盘引导，病毒就会感染到引导硬盘，并把自己 的代码调入内存。病毒可驻留在内存并感染被访问的软盘。 触发引导扇区型病毒的典型事件是系统日期和时间 ? 混合型病毒 ? 兼有以上两种病毒的特点，既传染引导区，又传染文件，因 此扩大了这种病毒的传染途径。当染有该类病毒的磁盘用于 引导系统或调用执行染毒文件时，病毒都会被激活 计算机病毒的分类 - 4 ? 源码型病毒 ? 较为少见，亦难以编写。它要攻击高级语言编写的源程序， 在源程序编译之前插入其中，并随源程序一起编译、连接成 可执行文件，这样刚刚生成的可执行文件便已经带毒了。 ? 嵌入型病毒 ? 可用自身代替正常程序中的部分模块，因此，它只攻击某些 特定程序，针对性强。一般情况下也难以被发现，清除起来 也较困难 ? 操作系统型病毒 ? 可用其自身部分加入或替代操作系统的部分功能。因其直接 感染操作系统，因此病毒的危害性也较大，可能导致整个系 统瘫痪 ? 外壳型病毒 ? 将自身附着在正常程序的开头或结尾，相当于给正常程序加 了个外壳。大部份的文件型病毒都属于这一类 计算机病毒的传播 ? 网络 ? 带有病毒的文件、邮件被下载或接收后被打开 或运行，病毒就会扩散到系统中相关的计算机 上 ? 可移动的存储设备 ? 如软盘、磁带、光盘、优盘等 ? 通信系统 ? 通过点对点通信系统和无线通信信道也可传播 计算机病毒。如手机病毒 计算机病毒的危害 ? 攻击系统数据区 ? 包括硬盘主引导扇区、 区 boot 扇区、 FAT 表、文件目录等数据 ? 攻击文件 ? 方式很多，如删除、改名、替换内容、丢失簇和对文件加密 等 ? 抢占系统资源 ? 大多数病毒在动态下都常驻内存，这就要抢占部分系统资源 ? 占用磁盘空间和对信息的破坏 ? 干扰系统运行，使运行速度下降 ? 如不执行命令、干扰内部命令的执行、虚假报警、打不开文 件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死 机、强制游戏、扰乱串 / 并接口等 ? 攻击和破坏网络系统 病毒的检查方法 ? 比较法 ? 比较被检测对象与原始备份 ? 扫描法 ? 利用病毒特征代码串 ? 特征字识别法 ? 病毒体内特定位置的特征 ? 分析法和检验和法 ? 运用反汇编技术对被检测对象进行分析和检验 比较法 ? 比较法是用原始备份与被检测的引导扇区 或被检测的文件进行比较。 ? 该方法可能发现异常，如文件长度的变化， 或程序代码的变化等。 ? 优点：简单，方便，不需专用软件 ? 缺点：无法确定病毒类型 扫描法 ? 扫描法是用每一种病毒体含有的特定字符 串对被检测的对象进行扫描 ? 扫描程序由两部分组成 ? 病毒代码库 ? 对该代码进行扫描的程序 ? 病毒扫描程序可识别的病毒数目取决于病 毒代码库中所含病毒的种类 特征字识别法 ? 基于特征串扫描法发展起来的一种新方法 ? 只需从病毒体内抽取很少几个关键的特征 字来组成特征字库 ? 该方法由于要处理的字节很少，所以工作 起来速度更快、误报警更少 分析法 ? 运用相应技术分析被检测对象，确认检测 对象是否为病毒 ? 目的 ? 确认被观察的磁盘引导区和程序中是否含有病 毒 ? 确认病毒的类型和种类，是否新病毒 ? 弄清病毒体的大致结构，提取字节串或特征字， 用于增添到病毒代码库 ? 详细分析病毒代码，为制定相应的反病毒措施 制定方案 校验和法 ? 对正常文件的内容，计算并保存其校验和。在文 件使用过程中或使用之