计算机病毒原理和防范基础
预防电脑病毒主要方法是什么
预防电脑病毒主要方法是什么预防电脑病毒方法有很多!那么主要的方法有哪些呢?下面由店铺给你做出详细的预防电脑病毒主要方法介绍!希望对你有帮助!预防电脑病毒主要方法一:1. 一般计算机病毒的防范对于计算机病毒最好的处理方法是“预防为主”,查杀病毒不如做好防范。
通过采取各种有效的防范措施,加强法制、管理和技术手段,就会更有效地避免病毒的侵害,所以,计算机病毒的防范,应该采取预防为主的策略。
首先要在思想上继续重视,具有反病毒的警惕性,依靠使用反病毒技术和管理措施,这些病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。
个人用户要及时升级可靠的反病毒产品适应病毒变异和新情况的发展变化,不断更新升级,才能识别和杀灭新病毒,为系统提供真正安全环境。
所有计算机用户都要遵守病毒防治的法律和制度,做到不制造病毒,不传播病毒。
养成良好的上机习惯,如定期备份系统数据文件;外部存储设备连接前先查杀毒再使用;不访问违法或不明网站,不下载传播不良文件等。
2. 木马病毒的防范由于木马病毒的特殊性,需要及时有效地进行预防,做到防范于未然。
①不点击来历不明的邮件。
当前很多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除。
同时,要将邮箱设置为拒收垃圾邮件状态。
②不下载不明软件。
最好找一些知名的网站下载,而且不要下载和运行来历不明的软件。
而且,在安装软件前最好用杀毒软件查看是否携带病毒,再进行安装。
③及时漏洞修复和都住可疑端口。
一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,在把漏洞修复上的同时,需要对端口进行检查,把可疑的端口封堵住,不留后患。
④使用实时监控程序。
在网上浏览时,最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。
还要经常升级系统和更新病毒库,注意关注关于木马病毒的新闻公告等,提前做好防木马准备。
预防电脑病毒主要方法二:使用安装内存小,功能全,杀毒准的腾讯电脑管家,而且新版的管家是采用16层安全防护,是“ 4+1 ”核“芯”杀毒引擎的专业杀毒软件,对电脑的保护大有提高。
浅析计算机病毒原理及一般防治
杂 的计 算机 算法使 自己具有 不同 的 内容 和 长 度 。它们 的一般的作法是 :通过变化过 的病毒
体和一段混有无关指令的解码算法组成的。
题 是计 算机 病毒 的产生 和迅 速 蔓
延 使计 算机 系统 的安全 受到 极 大 的威胁 。随 着计 算机 病 毒采 用 的 新技 术 不断 出现 , 计算机 的 防护 手 段也 不 断 更新 和发展 。从 计 算 机 病毒 的 定 义入 手 , 浅 谈计 算机 病毒 的特点及其 防护措施 。
病毒软件 ;杀毒软件 是防范病毒 的有效手段 。 注意计算机 的异常情况及定期扫描系统是否有
【 关键词 】互联 网 安全 病毒
毒在操作系统 中存 在的时 间越 长 , 病 毒的隐蔽 性 越好 , 计算机 病毒传染 范围也就 越广 , 危害
中毒 。定期更新防毒 引擎及病毒库 。不任意下
载I n t e me t 上 的文档。定期 注意病毒 通报。并 做好定期资料备份。
t h e A p p l i c a t i o n o f C o mp u t e r T e c h n o l o g y・ 计算机技 术应 用
浅析计算机病毒原理及一般防治
文/ 刘 守艾 于倩 倩 王 健 鹏
的非法 性 , 它想方设法 隐蔽 自身。
现 代经 济和社 会 的发 展 , 计 算机 已逐渐 渗 透到人 们 社会 生 活 的 各 个 领 域 ,与 此 同 时 出 现 的 问 3 )传染性 。计 算机病 毒 具有 传染性 。病 毒程序一旦侵入计算机系统就 自动搜索可 以传
坏计算机 。
注意到下列几点 :
媒 体而的能力 , 这种 被病毒寄生 的媒 体被称为 计算机病毒的宿主 。计算 机在感染病毒后 , 计 算机病毒不会立 即发作 , 悄悄 隐藏起来 ,在用
计算机病毒的感染原理及其危害与防范
计算机病毒的感染原理及其危害与防范【摘要】本文首先进行了对计算机病毒概述,其次,对计算机病毒感染原理及感染病毒后的计算机的症状做了介绍,最后探讨了病毒对计算机的危害,并提出了相应的防范措施。
【关键词】计算机;病毒;感染原理;危害;防范一、前言我国信息技术的发展推动互联网行业的迅猛发展,计算机已经深入了千家万户的生活当中,与人们的生活息息相关。
但是,近年来在计算机发展的同时,病毒的发展也是迅速的,病毒对电脑的危害是巨大的,因此,我们很有必要了解计算机病毒的感染原理,防范病毒对计算机的危害。
二、计算机病毒概述1、计算机病毒的定义计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
2、计算机病毒的由来计算机病毒从1983年被美国计算机专家伦艾德勒曼(LenAdleman)首次命名至今,新的病毒种类不断出现,并随着网络的发展而不断蔓延。
所有病毒都是掌握计算机程序设计技巧的人制造的,根据对现有已了解的毒源分析,计算机病毒可能的来源有:(1)来源于计算机专业人员或业余爱好者的恶作剧而制造出的病毒。
(2)公司或用户为保护自己的软件不被复制而采取的不正当的惩罚措施。
(3)恶意攻击或有意摧毁计算机系统而制造的病毒。
(4)在研究或开发设计某些程序时,由于未估计到的原因而对它失去了控制所产生的破坏性程序。
三、计算机病毒感染原理及感染病毒后的计算机的症状1、计算机病毒感染原理病毒的感染原理不同感染途径的病毒, 其感染机制也不相同。
(1)、引导型病毒感染原理系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS 引导扇区,其传染方式主要是通过使用被病毒感染的软盘启动计算机而传染。
一旦使用存在系统引导型病毒的软件启动计算机, 系统引导型病毒则会自动装入内存, 并且比操作系统抢先进入内存, 控制读写动作, 伺机感染其它未被感染的磁盘。
最新计算机病毒原理与防范基础
制
性 况:
1.恶作剧:美国康奈尔大学的莫里斯,编写蠕虫程序肇 事后,被称为电脑奇才,一些公司出高薪争相聘用他。
2.加密陷阱论:巴基斯坦病毒是世界上唯一给出 病毒作者姓名、地址的病毒。由该国一家电脑商 店的两兄弟编写,目的是追踪软件产品的非法用 户。
3.游戏程序起源:1960年美国人约翰康维在编写 生命游戏程序时,萌发了程序自我自制技术。其 程序运行时屏幕上有许多生命元素图案在运动变 化,元素在过于拥挤和稀疏时都会因缺少生存条 件而死亡,只有处于合适环境中的元素才能自我 复制并进行传播。
CIH病毒的表现形式、危害及传播途径
受感染的EXE文件的文件长度未改变。 DOS及Win3.1格式的或执行文件不受感染,且在WinNT中无效 查找包含EXE特征 “CIHv”过程中显示一大堆符合查找特征的可执行文件 4月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动
CIH病毒的运行机制 碎洞攻击,将病毒化整为零插入到宿主文件中,利用BIOS芯片可重写特点, 发作时向主板BIOS中写入乱码,开创了病毒直接进攻硬件的行先例。
内容 主引导程序代码
分区表1 分区表2 分区表3 分区表4 55AAH主引导记录有效标志
用户可用DEBUG来查看主引导记录。
文件系统是操作系统中借以组织、存储和命名文件的结构。 磁盘或分区和它所包括的文件系统的不同是很重要的,大部分应 用程序都基于文件系统进行操作,在不同种文件系统上是不能工 作的。
4.政治、经济和军事:一些组织和个人也会编制 一些程序胜于进攻对方电脑,给对方造成灾难或 直接经济损失。
硬盘的数据组织
磁盘的扇区定位有两种方法:物理扇区与逻辑扇区。硬盘的
物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数 组成。
浅谈计算机病毒的解析与防范
浅谈计算机病毒的解析与防范摘要:全球信息网络的建设和发展,对整个社会的科学与技术、经济与文化、军事带来了巨大的推动和冲击,同时也给网络的安全运行带来更多的挑战。
资源共享和信息安全是一对孪生矛盾。
一般认为,计算机网络系统的安全运行来自计算机病毒的攻击.因此,研究计算机病毒与防治就显得很有现实意义.本文将从计算机病毒的研究背景、计算机病毒的定义、特征、类型以及防治方面进行简单的分析和探讨。
关键词:计算机病毒防范目录一、计算机病毒的内涵、类型...。
..。
......。
.。
..。
.。
.。
.。
1(一)系统病毒.。
.。
.。
..。
..。
..。
.。
..。
....。
..。
.。
.。
1(二)蠕虫病毒..。
...。
..。
...。
.。
..。
...。
...。
........。
.1 (三)木马病毒、黑客病毒....。
..。
.。
.。
.。
.。
..。
.。
.。
...。
..。
.2 (四)脚本病毒.。
...。
..。
.。
..。
..。
..。
.。
..。
...。
.。
2(五)宏病毒。
.。
..。
.。
.。
.。
.。
.....。
..。
.。
.。
..。
..。
..。
2(六)后门病毒病。
.。
...。
.。
...。
....。
.。
....。
....。
.。
.。
..2 (七)毒种植程序病毒.....。
.。
.。
.。
.。
.。
.。
..。
.。
.。
.。
.。
2(八)破坏性程序病毒。
..。
..。
..。
.。
..。
.。
.。
.。
..。
..。
.。
..。
..。
2(九)玩笑病毒.。
.....。
.。
..。
...。
...。
.。
.。
..。
.。
..。
.。
.。
2(十)捆绑机病毒.。
.。
.......。
.。
..。
.。
...。
.。
..。
3二、计算机病毒的主要来源.。
.。
...。
.。
.。
.。
.......。
..。
....。
3三、计算机病毒防范措施.....。
..。
...。
.。
.。
...。
.。
.3四、计算机病毒的特征。
.。
......。
....。
....。
.....。
.。
.。
4五、结语。
..。
.。
.。
.。
..。
..。
计算机病毒原理与防范-计算机病毒检测技术
校验和法
• 特点 • 方法 • 优缺点
行为监测法(实时监控法)
• 监测病毒的行为特征 • 病毒防火墙 • 优缺点
软件模拟法
• 变形病毒类型
– 第一类变形计算机病毒的特性:具备普通计算机病毒所具有的基本特性 – 第二类变形计算机病毒的特性:除了具备一维变形计算机病毒的特性外,
病毒分析法
• (1)确认被观察的磁盘引导区和程序中是 否含有计算机病毒。
• (2)确认计算机病毒的类型和种类,判定 其是否是一种新计算机病毒。
• (3)搞清楚计算机病毒体的大致结构,提 取特征识别用的字符串或特征字,用于增 添到计算机病毒代码库以供计算机病毒扫 描和识别程序用。
• (4)详细分析计算机病毒代码,为制定相 应的反计算机病毒措施制定方案。
感染实验法
• 检测未知引导型计算机病毒的感染实验法 • 检测未知文件型计算机病毒的感染实验法
算法扫描法
• 针对多形态的计算机病毒的算法部分进行 扫描
语义分析法
• 恶意代码的语义分析 • 语义反洗方法
虚拟机分析法
• 虚拟机的类型 • 虚拟执行 • 反计算机病毒的虚拟机运行流程 • 反虚拟机技拟技术又称为解密引擎、虚拟机技术、虚拟执行技术或软件仿真
技术 – 新型病毒检测工具
启发式代码扫描技术
• 启发式扫描通常应设立的标志 • 误报/漏报 • 如何处理虚警谎报 • 传统扫描技术与启发式代码分析扫描技术
的结合运用 • 其他扫描技术 • 启发式反毒技术的未来展望
4.4 计算机网络病毒的检测
• 计算机病毒入侵检测 • 智能引导技术 • 嵌入式杀毒技术 • 未知病毒查杀技术
4.5 计算机病毒检测的作用
计算机病毒原理与防范技术教学设计
计算机病毒原理与防范技术教学设计1. 引言随着计算机和网络技术的快速发展,计算机安全问题越来越受到重视。
计算机病毒作为一种常见的计算机安全威胁,已经成为影响计算机系统和网络安全的主要因素之一。
为了提高学生对计算机病毒的理解和防范能力,本文将设计一节计算机病毒原理与防范技术的教学课程。
2. 教学目标通过本节课程的学习,学生应该掌握以下知识和技能。
知识:1.掌握计算机病毒的基本概念和分类。
2.了解计算机病毒的传播方式和危害。
3.掌握计算机病毒的防范技术和方法。
技能:1.能够识别常见的计算机病毒。
2.能够采取有效的防范和处理措施。
3. 教学内容3.1 计算机病毒基础知识1.什么是计算机病毒?2.计算机病毒有哪些分类?3.计算机病毒的传播方式和危害。
3.2 计算机病毒的防范技术1.计算机病毒防范的基本原则。
2.计算机病毒的防范措施:杀毒软件、防火墙、定期备份。
3.采取有效的防范和处理措施应对感染。
3.3 案例分析1.案例分析:通过一个计算机病毒的案例,让学生了解计算机病毒的危害和防范方法。
2.分组讨论:让学生在小组中讨论如何有效地防范计算机病毒。
4. 教学方法1.讲授法:通过PPT等多媒体展示,讲解计算机病毒的基础知识和防范技术。
2.讨论法:在教师引导下,开展案例分析和分组讨论等活动,让学生主动思考和交流。
3.练习法:分发杀毒软件等工具,让学生进行实际操作,锻炼实际操作能力。
5. 教学评价1.能够识别不同类型的计算机病毒。
2.能够了解计算机病毒的传播方式和危害。
3.能够采取有效的防范和处理措施。
6. 总结本节课程旨在让学生掌握计算机病毒的基础知识和防范技术,通过案例分析和分组讨论等活动,让学生主动思考和交流,提高其实际操作能力和解决问题的能力,以更好地保障计算机和网络的安全。
计算机病毒的原理和防范 毕业论文
计算机病毒的原理和防范毕业论文计算机病毒的原理和防范摘要:计算机病毒是指能够自我复制的程序,能够感染和破坏计算机系统和文件的恶意程序。
计算机病毒的存在使得计算机用户和企业面临着巨大的安全威胁。
本文主要通过分析计算机病毒的原理和分类,以及防范计算机病毒的有效方法,探讨如何保障计算机系统和网络的安全。
关键词:计算机病毒、原理、分类、防范一、介绍计算机病毒是指能够自我复制的程序,能够感染和破坏计算机系统和文件的恶意程序。
计算机病毒的存在使得计算机用户和企业面临着巨大的安全威胁。
近年来,随着计算机技术的不断更新和发展,病毒攻击的手段和方式也在不断变化和升级,给计算机系统和网络的安全带来了严重威胁。
因此,有效防范计算机病毒的攻击是每一位计算机用户和企业必须要关注的问题。
本文主要通过分析计算机病毒的原理和分类,以及防范计算机病毒的有效方法,探讨如何保障计算机系统和网络的安全。
二、计算机病毒的原理和分类1. 计算机病毒的原理计算机病毒通常是一个程序,由计算机病毒制造者利用程序漏洞或者网络脆弱性制造出来的。
一旦感染了主机,病毒就会自己复制并将自己的代码插入到其他程序或者操作系统中,从而进一步感染更多的计算机。
计算机病毒可以通过多种方式进行繁殖和传播,例如通过电子邮件、文件共享、网络聊天或者软件安装等途径。
一旦感染,计算机病毒就可以破坏计算机系统,窃取用户隐私信息,或者用计算机作为网络攻击的跳板,给计算机用户和企业带来巨大损失。
2. 计算机病毒的分类计算机病毒的种类繁多,按照不同的分类标准,可以将计算机病毒分为以下几种:(1) 按照病毒传播方式分类:病毒可以通过多种方式进行传播,例如蠕虫病毒可以通过网络脆弱性来传播,而磁盘病毒则需要通过磁盘和移动介质来传播。
(2) 按照病毒影响范围分类:病毒可以影响计算机系统、文件、程序等不同的范围,例如脚本病毒通常只影响脚本文件,而文件病毒可以感染多种不同类型的文件。
(3) 按照病毒功能分类:病毒的功能也各不相同,例如木马病毒可以偷取用户隐私信息,而勒索病毒则可以加密用户文件并索要赎金。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
磁盘文件系统
DOS/WINDOWS系统操作系统中共使用了6种不同的文件系统: FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系统使用的 主要是Ext2、Ext3,也能识别FAT16分区。
FAT12:文件名只能是8.3格式;磁盘容量最大8M;文件磁片严重 HAT16:大容量磁盘利用率低;分区创建的越大,造成的浪费越大。 FAT32:文件分配表扩大后,速度减慢;不能向下兼容;当分区 小于512M时,该格式不起作用,单个文件不能超过4G。 NTFS:有出色的安全性和稳定性,且不易产生故善人碎片,对用 户权限有非常严格的限制。但兼容性不好 NTFS5.0:可支持2T的分区,是可恢复的文件系统;支持对分区、 文件夹和文件的压缩以及动态分区。 WinFS:建立在NTFS文件系统之上。请上微软官方网站查看。 Ext2:是LINUX/GUN系统中的标准文件系统。存取文件性能好。 Ext3:是上述系统的下一代,目前离实用阶段还的一段距离。是 一个日志式文件系统。
混客绝情炸弹:2001年由黑龙江17岁的高中学生池某
制造。
什么是计算机病毒
计算机病毒的特点
可执行性 传染性 潜伏性 可触发性 破坏性 攻击主动性 针对性 非授权性 隐蔽性 衍生性 寄生性 不可预见性 欺骗性 持久性
计算机病毒的结构
感染标记:即病毒签名。常以ASCⅡ 方式放在程序里。 破坏模块:实现病毒编写者预定的 破坏动作代码。 触发模块:根据预定条件是否满足, 控制病毒的感染或破坏。 主控模块:包括调用感染模块,进行 感染;调用触发模块,接受其返回 值;根据返回值决定是否执行破坏。
内容 主引导程序代码
分区表1 分区表2 分区表3 分区表4 55AAH主引导记录有效标志
用户可用DEBUG来查看主引导记录。
文件系统是操作系统中借以组织、存储和命名文件的结构。 磁盘或分区和它所包括的文件系统的不同是很重要的,大部分应 用程序都基于文件系统进行操作,在不同种文件系统上是不能工 作的。
计算机病毒原理与防范
胡继荣制作
制
性 况:
1.恶作剧:美国康奈尔大学的莫里斯,编写蠕虫程序肇 事后,被称为电脑奇才,一些公司出高薪争相聘用他。
2.加密陷阱论:巴基斯坦病毒是世界上唯一给出 病毒作者姓名、地址的病毒。由该国一家电脑商 店的两兄弟编写,目的是追踪软件产品的非法用 户。
3.游戏程序起源:1960年美国人约翰康维在编写 生命游戏程序时,萌发了程序自我自制技术。其 程序运行时屏幕上有许多生命元素图案在运动变 化,元素在过于拥挤和稀疏时都会因缺少生存条 件而死亡,只有处于合适环境中的元素才能自我 复制并进行传播。
每一种操作系统要想在硬盘上建立自己的分区,必须由一个
自己特有的实用程序来进行操作。硬盘初始化时,经过分区后建 立一个主引导分区和其他几个分区。见下图:
主引导扇区 保留 DOS引导扇区 FAT区 目录区数据区
系统隐藏分区
DOS分区1
DOS分区2
主引导扇区结构与文件系统
区域 0000H-01BDH 01BFH-01CDH 01CEH-01DDH 01DEH-01EDH 01EEH-01FDH 01FEH-01FFH
VBS脚本病毒的防范
VBS病毒具有一些弱点:
运行是时需要用到一个对象:FileSystemObject 代码通过Windows Script Host来解释执行 运行时需要其关联程序Wscript.exe的支持 通过网页传播的病毒需要ActiveX的支持 通过E-mail传播的病毒需要OE的自动发送邮件功能支持,但绝
获取API 函数地址
1.利用程序的返回 地址,在其附近搜 索Kernel32模块 基地址
2.对相应操作系统 分别给出固定的 Kernel32模块基 地址
感染目标搜索
1.调用API函数进行 文件搜索
2.采用递归与非递归 算法进行搜索
3.内存映射文件
特 洛 伊 木马
概念
一种能够在受害者毫无察觉的情况下渗透到系统的代码
计算机病毒的分类
分类方法有很多。 根据攻击系统分类:攻击DOS型、 攻击WINDOWS型、攻击UNIX型、 攻击OS/2型。 根据攻击机型分:微型计算机病毒、 小型计算机病毒、工作站病毒。 根据病毒链接方式分:源码型、嵌 入型、外壳性、操作系统型。 按破坏情况分:良性病毒、恶性病毒 按传播媒介分:单机病毒、网络病毒
JavaScript是一种解释型的、基于对象的脚本语言,是一种 宽松类型的语言,不必显式地定义变量的数据类型。大多数情况 下,该语言会根据需要自动进行转换。
VBScript使用ActiverX Script与宿主应用程序对话。
VBS脚本病毒
该病毒是用VBScript编写的,其脚本语言功能非常强大, 利用WINDOWS系统的开放性特点,通过调用一些现成的 WINDOWS对象、组件,可直接对文件系统、注册表等进行控 制,功能非常强大。VBS脚本病毒具有如下特点:
脚本语言的前身实际上就是DOS系统下的批处理文件。脚本 的应用是对应用系统的一个强大的支撑,需要一个运行环境。现 在比较流行的脚本语言的Unix/Linux shell、VBScript、PHP、 JavaScript、JSP等。现在流行的脚本病毒大都是利JavaScript 和VBScript编写。
大多数病毒都是以E-mail为主要传播方式的
预防措施:
✓禁用文件系统对象FileSystemObject ✓卸载Windows Script Host ✓删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 ✓在Windows目录中找到Wscript.exe,更名或删除 ✓在浏览器安全选项中将“ActiveX”控件及插件设为禁用 ✓禁止OE的自动收发邮件功能 ✓不要隐藏系统中书籍文件类型的扩展名 ✓安装防病毒软件
4.政治、经济和军事:一些组织和个人也会编制 一些程序胜于进攻对方电脑,给对方造成灾难或 直接经济损失。
病毒与计算机犯罪
莫里斯事件:1988年11月2日,康奈尔大学计算机科学
系研究生罗但特.莫里斯制造的蠕虫案件。
震荡波事件:2004年德国18岁的技校生为显示自己的
才能,用自己组装的电脑编写了一个名为“震荡波”的程 序。该病毒不是通常意义上的病毒,而是一种以某种程 序语言编写的程序文本。造成了全球巨大经济损失。美 国德尔塔航空公司取消周末全部航班、欧萌委员会1200 台计算机失灵、芬兰一家银行关闭全部营业处。
CIH病毒程序的组成
引导模块:感染了该病毒的EXE文件运行时修改文件程序的入口地址 传染模块:病毒驻留内存过程中调用WINDOWS内核底层 表现模块
脚本病毒
脚本宿主简称WSH,是一种与语言无关的脚本宿主,可用于 与WINDOWS脚本兼容的脚本引擎。WSH是一种WINDOWS管理工具。 当脚本到达计算机时,WSH先充当主机的一部分,它使对象和服 务可用于脚本,并提供一系列脚本执行指南。
CIH病毒的表现形式、危害及传播途径
受感染的EXE文件的文件长度未改变。 DOS及Win3.1格式的或执行文件不受感染,且在WinNT中无效 查找包含EXE特征 “CIHv”过程中显示一大堆符合查找特征的可执行文件 4月26日开机会黑屏、硬盘指示灯闪烁、重新开机时无法启动
CIH病毒的运行机制 碎洞攻击,将病毒化整为零插入到宿主文件中,利用BIOS芯片可重写特点, 发作时向主板BIOS中写入乱码,开创了病毒直接进攻硬件的行先例。
MZ MS-DOS头部 MS-DOS实模式残余程序(DOS stub)
PE\0\0 PE文件标志 PE文件头 PE文件可选头部 节表(section table) 节1 节2 节3 ……
节n
WIN32病毒分析
PE病毒的 重定位技术 我们在编程用常量和变量 时,一般直接用名字访问, 编译后通过偏移地址访问, 而计算机病毒在感染宿主 程序时,要插入到宿主程序 的代码空间,肯定要用到变 量和常量.当病毒感染host 程序后,由于依附到host程 序中的位置不同,病毒随 host载入内存后,病毒的各 变量常量在内存中的位置 自然也随之变化.病毒必须 采用重定位技术才能使自己 正常运行
宏病毒
Microsoft Word对宏的定义是:能组织到一起作为一个独立的 命令使用的一系列Word命令,它能使日常工作变得更容易。Word宏 病毒是一些制作病毒的专业人员利用Micript Word的开放性即Word Basic编程接口,专门制作的一个或多个具有病毒特点的宏的集合。 这种病毒影响计算机使用,并能通过DOC文档模块进行自我复制及 传播。该病毒具有如下特点:
组成 分类 特征
硬件部分
软件部分 具体连接部分
远程控制型 密码发送型
毁坏型FTP型Fra bibliotek键盘记录型 多媒体型
隐蔽性 自动运行性 欺骗性 自动恢复性 功能特殊性
植入方法 软件复制 电子邮件 发送超链接 缓冲区溢出攻击
程序设 无固定 的子流 子流程
程序提供 是一个 动模式 是用户 应的对
CIH病毒剖析
CIH病毒是一种文件型病毒,是第一例感染WINDOWS环境下的 PE格式文件的病毒。目前CIH病毒有多个版本,最流行的是 CIH1.2版本。
间隙、数据区和间隙组成。每个扇区为512B。 索引信号
ID区 间隙 数据区 间隙 ID区 间隙
扇区1 首部 尾部
扇区2
扇区N
容量=碰头数×磁道数/面×扇区数/磁道 ×512B/扇区
……
硬盘的数据组织
磁盘的扇区定位有两种方法:物理扇区与逻辑扇区。硬盘的
物理扇区由驱动器号、磁头号(面号)、柱面号与扇区号四个参数 组成。
运算器
存数
设
备 指令
接 口
控制信号
控制器
磁盘结构
了解磁盘的结构及其数据组织的特点,对于检测和预防计 算机病毒具有十分重要的意义。