计算机病毒和反病毒史课件.pptx

计算机病毒和 反病毒史 2010.12.10 自从计算机病毒诞生的那天开 始， 对于计算机病毒的防御就开始 了一场持久战，特别是在网络日益 发达的今天，计算机病毒的蔓延、 威胁和破坏能力更是与日俱增，所 以了解进而防范计算机病毒尤为重 要。 一、计算机病毒的特点 2.计算机病毒的特点 当前流行的计算机病毒主要由 三个模块组成：即病毒安装模 块 (提供潜伏机制)、 病毒传 染模块 (提供再生机制)和病 毒激发模块 (提供激发机制)。 计算机病毒的特点主要有： 计算机病毒是人为特制的 程序。编制者熟悉计算机系统 的软硬件结构并具有相当高的 编程技术。但必须指出，有意 制作和施放计算机病毒是一种 犯罪行为，这种行为已成为当 今计算机犯罪的重要形式之一， 受到了国际社会的普遍谴责。 (1) 非授权可执行性 用户通常调用 执行一个程序时,把系统控制交给这个程序, 并分配给他相应系统资源,如内存,从而使之 能够运行完成用户的需求。因此程序执行 的过程对用户是透明的。而计算机病毒是 非法程序,正常用户是不会明知是病毒程序, 而故意调用执行。但由于计算机病毒具有 正常程序的一切特性:可存储性、可执行性。 它隐藏在合法的程序或数据中,当用户运行 正常程序时,病毒伺机窃取到系统的控制权, 得以抢先运行,然而此时用户还认为在执行 正常程序。 (2) 隐蔽性 计算机病毒是一种具有很高 编程技巧、短小精悍的可执行程序。它通 常粘附在正常程序之中或磁盘引导扇区中, 或者磁盘上标为坏簇的扇区中, 以及一些空 闲概率较大的扇区中,这是它的非法可存储 性。病毒想方设法隐藏自身,就是为了防止 用户察觉。 (4) 潜伏性 计算机病毒具有依附于其他 媒体而寄生的能力,这种媒体我们称之为计 算机病毒的宿主。依靠病毒的寄生能力,病 毒传染合法的程序和系统后,不立即发作,而 是悄悄隐藏起来,然后在用户不察觉的情况 下进行传染。这样,病毒的潜伏性越好,它在 系统中存在的时间也就越长,病毒传染的范 围也越广,其危害性也越大。 (6) 可触发性 计算机病毒一般都有一个 或者几个触发条件。满足其触发条件或者 激活病毒的传染机制,使之进行传染;或者激 活病毒的表现部分或破坏部分。触发的实 质是一种条件的控制,病毒程序可以依据设 计者的要求,在一定条件下实施攻击。这个 条件可以是敲入特定字符,使用特定文件,某 个特定日期或特定时刻,或者是病毒内置的 计数器达到一定次数等。 1.按破坏性划分 • 良性病毒：此类病毒不直接破坏计算机的 软硬件，对源程序不做修改，一般只是进 入内存，侵占一部分空间。病毒除了传染 时减少磁盘的可用空间和消耗CPU资源之 外，对系统的危害较小。 • 恶性病毒：这类病毒可以封锁、干扰和中 断输入输出，甚至中止计算机运行。这类 病毒给计算机系统操作造成严重的错误。 • 极恶性病毒：可以造成系统死机、崩溃， 可以删除普通程序或系统文件并且破坏系 统配置导致系统无法重启。这类病毒对计 系统造成的危害，并不是本身的算法中存 在危险的调用，而是当它们传染时会引起 无法预料的和灾难性的破坏。 • 灾难性病毒：这类病毒破坏分区表信息和 主引导信息，删除数据文件，甚至破坏 CMOS、格式化硬盘等。 2.按传染方式划分 • 引导型病毒：此类病毒攻击目标首先 是引导扇区，它将引导代码链接或隐 藏在正常的代码中。每次启动时，病 毒代码首先执行，获得系统的控制权。 由于引导扇区的空间太小，病毒的其 余部分常驻留在其他扇区，并将这些 空间标识为坏扇区。待初始引导完成 后，跳到另外的驻留区继续执行。 • 文件型病毒：此类病毒一般只传染磁盘上 的可执行文件( .COM和.EXE)。在用户调 用染毒的可执行文件时，病毒首先被运行， 然后病毒体驻留内存并伺机传染其他文件 或直接传染其他文件。其特点是附着于正 常程序文件，成为程序文件的一个外壳或 部件。这是较为常见的传染方式。 • 混合型病毒：这类病毒兼有以上两种病毒 的特点，既感染引导区又感染文件。 3.按计算机病毒入侵系统的途径划分 • 源码性病毒：此类病毒较为少见，也难以 编写。 • 入侵型病毒：这类病毒可用自身代替正常 程序中的部分模块或堆栈区。 操作系统型 病毒：这类病毒可用其自身部分加入活替 代操作系统的部分功能。 • 外壳型病毒：这类病毒将自身依附在正常 程序的开头或结尾，相当于给正常程序加 了个外壳。大部分的文件型病毒都属于这 一类。 三.计算机病毒的防治 • (1)通过软盘、光盘和U盘传染 这是最普 通的传染途径。 • (2)通过机器传染 这实际上是通过硬盘传 染。 • (3)通过网络传染 一方面是单机用户将 病毒带到网上运行，使网络上染上病毒， 并传染