计算机病毒防治课件PPT
合集下载
计算机病毒防治 课件PPT
(2)攻击。攻击模块按步骤自动攻击前面扫描中找到的对象, 取得该主机的权限(一般为管理员权限),获得一个Shell。
(3)复制。复制模块通过原主机和新主机的交互将蠕虫程序 复制到新主机中并启动。
4 计算机病毒的介绍
4.5 宏病毒
为了减少用户的重复劳作,例如进行相似的操作,Office提 供了一种所谓宏的功能。利用这个功能,用户可以把一系列的 操作记录下来,作为一个宏。之后只要运行这个宏,计算机就 能自动地重复执行那些定义在宏中的所有操作。这种宏操作一 方面方便了普通的计算机用户,另一方面却也给病毒制造者提 供了可乘之机。
计算机病毒的特点
2.1 破坏性 2.2 隐蔽性 2.3 潜伏性 2.4 传染性 2.5 不可预见性
2.计算机病毒的特点
2.1 破坏性
任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。 轻则显示一些画面,发出音乐,弹出一些无聊的窗口。重则破坏数据,删 除文件,格式化磁盘,有的甚至对计算机硬件也有损坏。
4 计算机病毒的介绍
引导型病毒的工作机理
引导扇区是硬盘或软盘的第一个扇区,是存放引导指令的地方,这些引 导指令对于操作系统的装载起着十分重要的作用。一般来说,引导扇区在 CPU的运行过程中最先获得对CPU的控制权,病毒一旦控制了引导扇区,也 就意味着病毒控制了整个计算机系统。
引导型病毒程序会用自己的代码替换原始的引导扇区信息,并把这些
4 计算机病毒的介绍
文件型病毒的种类 覆盖型文件病毒
ABC.EXE
依附性文件病毒
伪ABC.EXE
后
病毒
依
附
捆绑型文件病毒
Virus.exe
伴随型文件病毒
伪ABC.EXE 前 依 附
(3)复制。复制模块通过原主机和新主机的交互将蠕虫程序 复制到新主机中并启动。
4 计算机病毒的介绍
4.5 宏病毒
为了减少用户的重复劳作,例如进行相似的操作,Office提 供了一种所谓宏的功能。利用这个功能,用户可以把一系列的 操作记录下来,作为一个宏。之后只要运行这个宏,计算机就 能自动地重复执行那些定义在宏中的所有操作。这种宏操作一 方面方便了普通的计算机用户,另一方面却也给病毒制造者提 供了可乘之机。
计算机病毒的特点
2.1 破坏性 2.2 隐蔽性 2.3 潜伏性 2.4 传染性 2.5 不可预见性
2.计算机病毒的特点
2.1 破坏性
任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。 轻则显示一些画面,发出音乐,弹出一些无聊的窗口。重则破坏数据,删 除文件,格式化磁盘,有的甚至对计算机硬件也有损坏。
4 计算机病毒的介绍
引导型病毒的工作机理
引导扇区是硬盘或软盘的第一个扇区,是存放引导指令的地方,这些引 导指令对于操作系统的装载起着十分重要的作用。一般来说,引导扇区在 CPU的运行过程中最先获得对CPU的控制权,病毒一旦控制了引导扇区,也 就意味着病毒控制了整个计算机系统。
引导型病毒程序会用自己的代码替换原始的引导扇区信息,并把这些
4 计算机病毒的介绍
文件型病毒的种类 覆盖型文件病毒
ABC.EXE
依附性文件病毒
伪ABC.EXE
后
病毒
依
附
捆绑型文件病毒
Virus.exe
伴随型文件病毒
伪ABC.EXE 前 依 附
《计算机病毒及防范》课件
这些文件无法正常运行或变成恶意程序。
启动区病毒
启动区病毒是一种感染计算机硬盘启动区的计算机病毒,
它通常将自身嵌入到启动扇区中,一旦计算机启动,启动
区病毒就会首先运行并感染计算机系统。
启动区病毒通常会破坏系统启动程序、干扰系统正常运行
,导致计算机无法正常启动或运行缓慢。
脚本病毒
脚本病毒是一种利用脚本语言编写的
措施
安装杀毒软件与防火墙
安装可靠的杀毒软件和防火墙,以预防
和检测病毒入侵。
定期进行全盘扫描,清理病毒和恶意程
序。
定期更新杀毒软件和防火墙,以确保其
具备最新的病毒库和防护机制。
开启实时监控功能,对系统进行实时保
护。
定期备份重要数据
定期备份重要数据,如文档
、图片、视频等,以防数据
选择可靠的备份方式,如外
全构成威胁。
技术。
量子加密技术
发展量子加密技术,利用量子力学的
特性实现不可破解的加密通信,保障
信息安全。
THANKS
者程序代码。
特点
寄生性、破坏性、传染性、潜伏性、隐蔽性。
历史与现状
计算机病毒的历史可追溯至上世纪80年代,随着计算机技术的飞
速发展,病毒的种类和传播方式也日益多样化,对网络安全和数
据安全构成了严重威胁。
02
计算机病毒的类型与传播
途径
蠕虫病毒
01
02
蠕虫病毒是一种常见的计算机病毒,它通过计算机网络进行传播,能
蠕虫病毒通常隐藏在电子邮件附件、恶意网站、恶意软件中,一旦用
够在计算机之间自动复制,利用计算机系统中的漏洞进行攻击。
户打开这些附件或访问这些网站,蠕虫病毒就会在计算机系统中迅速
启动区病毒
启动区病毒是一种感染计算机硬盘启动区的计算机病毒,
它通常将自身嵌入到启动扇区中,一旦计算机启动,启动
区病毒就会首先运行并感染计算机系统。
启动区病毒通常会破坏系统启动程序、干扰系统正常运行
,导致计算机无法正常启动或运行缓慢。
脚本病毒
脚本病毒是一种利用脚本语言编写的
措施
安装杀毒软件与防火墙
安装可靠的杀毒软件和防火墙,以预防
和检测病毒入侵。
定期进行全盘扫描,清理病毒和恶意程
序。
定期更新杀毒软件和防火墙,以确保其
具备最新的病毒库和防护机制。
开启实时监控功能,对系统进行实时保
护。
定期备份重要数据
定期备份重要数据,如文档
、图片、视频等,以防数据
选择可靠的备份方式,如外
全构成威胁。
技术。
量子加密技术
发展量子加密技术,利用量子力学的
特性实现不可破解的加密通信,保障
信息安全。
THANKS
者程序代码。
特点
寄生性、破坏性、传染性、潜伏性、隐蔽性。
历史与现状
计算机病毒的历史可追溯至上世纪80年代,随着计算机技术的飞
速发展,病毒的种类和传播方式也日益多样化,对网络安全和数
据安全构成了严重威胁。
02
计算机病毒的类型与传播
途径
蠕虫病毒
01
02
蠕虫病毒是一种常见的计算机病毒,它通过计算机网络进行传播,能
蠕虫病毒通常隐藏在电子邮件附件、恶意网站、恶意软件中,一旦用
够在计算机之间自动复制,利用计算机系统中的漏洞进行攻击。
户打开这些附件或访问这些网站,蠕虫病毒就会在计算机系统中迅速
计算机病毒与防治(共34张PPT)
CurrentVersion\Run • 及RunService
• 杀掉不必要的进程
– 开始运行: ntsd –c q –p xxxx
• 其中xxxx为进程号(PID), • 可通过Ctrl+Alt+Del任务管理器进程 来查看PID
口令安全(密码)
– 口令
• 原则:自己易记、他人难猜、经常更改 • 技巧:不与自己直接相关,而是间接相关
编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒的编制者往往有特殊的破坏目的,因此不同的病毒攻击的对象也会不同
特别注意相似硬网址件,如防1cbc火, myq墙q等产品:锐捷、华为、中兴、思科、
你的计算机上正运行着什么程序?它们都是安全的吗?
目录•(右击不) 共要享 将权限密码设置为有顺序的数字或字母
无害型、无危险型、危险型、非常危险型
不原要理•使 :用包不本过人滤要的和生代将日理、服网身务证上件银号码行、银“行账登户中录的密前几码位、”后几和位或“姓交名的易拼音密作为码密码”。设置成相同的密码 D瑞O星S•注、册W在表ind修o任复ws工、何具Un情ihxt、tp况L:/i/un下x等 不能将密码透漏给他人,包括银行工作人员
隐藏性:
计算机病毒通常是隐蔽在其他合法的可执行程序和数据文件中的 一段程序,不易被人们察觉,对病毒的传染扩散十分有利。
计算机病毒的特点(续)
潜伏性:
在破坏之前属于潜伏状态,潜伏期越长,其传染范 围也会越大。
可触发性:
在一定的条件下(如特定的日期)才会发作,开始破 坏活动。
针对性:
病毒的编制者往往有特殊的破坏目的,因此不同的病 毒攻击的对象也会不同
• 杀掉不必要的进程
– 开始运行: ntsd –c q –p xxxx
• 其中xxxx为进程号(PID), • 可通过Ctrl+Alt+Del任务管理器进程 来查看PID
口令安全(密码)
– 口令
• 原则:自己易记、他人难猜、经常更改 • 技巧:不与自己直接相关,而是间接相关
编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒的编制者往往有特殊的破坏目的,因此不同的病毒攻击的对象也会不同
特别注意相似硬网址件,如防1cbc火, myq墙q等产品:锐捷、华为、中兴、思科、
你的计算机上正运行着什么程序?它们都是安全的吗?
目录•(右击不) 共要享 将权限密码设置为有顺序的数字或字母
无害型、无危险型、危险型、非常危险型
不原要理•使 :用包不本过人滤要的和生代将日理、服网身务证上件银号码行、银“行账登户中录的密前几码位、”后几和位或“姓交名的易拼音密作为码密码”。设置成相同的密码 D瑞O星S•注、册W在表ind修o任复ws工、何具Un情ihxt、tp况L:/i/un下x等 不能将密码透漏给他人,包括银行工作人员
隐藏性:
计算机病毒通常是隐蔽在其他合法的可执行程序和数据文件中的 一段程序,不易被人们察觉,对病毒的传染扩散十分有利。
计算机病毒的特点(续)
潜伏性:
在破坏之前属于潜伏状态,潜伏期越长,其传染范 围也会越大。
可触发性:
在一定的条件下(如特定的日期)才会发作,开始破 坏活动。
针对性:
病毒的编制者往往有特殊的破坏目的,因此不同的病 毒攻击的对象也会不同
《计算机病毒与防治》PPT课件
《计算机病毒与防治》PPT课件目录CONTENCT •计算机病毒概述•计算机病毒分类及原理•传播途径与感染方式•预防措施与策略部署•检测方法与技术手段•清除方法与工具介绍•总结回顾与未来展望01计算机病毒概述定义与特点定义计算机病毒是一种恶意软件,通过复制自身并在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
特点具有隐蔽性、传染性、潜伏性、可触发性、破坏性等。
01020304早期病毒蠕虫病毒宏病毒恶意软件与勒索软件发展历程及现状利用宏语言编写的病毒,通过办公软件的宏功能进行传播。
90年代,随着互联网的发展,蠕虫病毒开始流行,通过网络漏洞进行传播。
20世纪80年代,计算机病毒开始出现,以恶作剧和炫耀技术为主。
近年来,恶意软件和勒索软件大量涌现,以窃取个人信息和勒索钱财为目的。
数据破坏系统崩溃网络传播经济损失危害程度与影响范围病毒可以删除、修改或加密用户数据,导致数据丢失或无法访问。
病毒会占用系统资源,导致系统性能下降、崩溃或无法启动。
病毒可以通过网络传播到其他计算机,造成大规模感染。
病毒会给个人和企业带来巨大的经济损失,包括数据恢复成本、系统修复成本和业务中断成本等。
02计算机病毒分类及原理010203寄生在可执行文件上,通过感染文件来传播。
修改文件内容,插入病毒代码,使文件执行时先执行病毒代码。
常见的文件型病毒有CIH、熊猫烧香等。
寄生在硬盘或软盘的引导区,通过感染引导区来传播。
修改引导区内容,插入病毒代码,使系统启动时先执行病毒代码。
常见的引导型病毒有大麻、小球等。
宏病毒寄生在Word、Excel等文档的宏中,通过文档传播。
脚本病毒寄生在网页脚本或邮件脚本中,通过网络传播。
利用宏或脚本语言的编程功能,实现病毒的自我复制和传播。
常见的宏病毒有TaiwanNo.1、Concept等,常见的脚本病毒有红色代码、爱虫等。
宏病毒和脚本病毒01020304网络蠕虫通过扫描网络漏洞,利用漏洞进行传播。
《计算机病毒的防治》课件
文件病毒能够感染可执行文件、图片 文件、音频文件等多种类型文件,导 致文件无法正常运行或被篡改。
03 计算机病毒的防治方法
安装防病毒软件
安装知名的防病毒软 件,如Norton、 McAfee、ESET等, 并保持更新。
设置软件自动更新功 能,以便及时获取最 新的病毒库和安全补 丁。
定期进行全盘扫描, 清除潜在的病毒和恶 意软件。
《计算机病毒的防治 》ppt课件
目录
• 计算机病毒概述 • 计算机病毒的类型与传播途径 • 计算机病毒的防治方法 • 计算机病毒的预防措施 • 计算机病毒的应急处理措施
01 计算机病毒概述
计算机 在计算机运行时插入的、对计算 机资源进行破坏或影响其正常运 行的程序。
如果无法清除病毒,则进行格式化或重装系统
备份重要数据
在格式化或重装系统之前,务必 备份计算机中的重要数据,如文 档、图片、视频等。
格式化或重装系统
如果杀毒软件无法清除病毒,可 以考虑格式化硬盘或重装操作系 统。在格式化或重装系统后,重 新安装必要的软件和应用。
对受影响的文件和数据进行备份和恢复
确认受影响的数据
不随意下载和安装未知来源的软件和程序
谨慎下载和安装来自不可信来源的软件和程序,避免感染恶意软件或病毒。
使用可信赖的软件来源,并确保软件经过安全审查。
05 计算机病毒的应急处理措施
发现病毒后立即断开网络连接
防止病毒进一步传播
一旦发现计算机感染病毒,应立即断开网络连接,以切断病毒传播途径。
保护网络安全
在打开邮件或链接之前,先进行安全扫描或使用杀毒软件进行检查。
04 计算机病毒的预防措施
建立完善的网络安全制度
制定严格的网络安全管理制度,包括 数据备份、访问控制、病毒防范等。
计算机病毒防治ppt课件
不操作
不反应
23
宏病毒的识别方法(cont.)
打开Word文件不进行操作,退出却提示保 存 打开Word文档进行另存操作,却只能以模 板方式进行保存 在启动Word时出现内存不足现象 在使用过程中出现打印不正常现象
24
宏病毒的预防方法
修改Normal.dot文件属性为只读 提示保存Normal模板 使用防病毒软件,启动该软件的实时扫描的 功能 尽量不打开提示有“是否启用宏”的文档 清理模板和加载项
4
什么是计算机病毒
<中华人民共和国计算机信息系统安全保护 条例>中明确定义: “编制或者在计算机程序中插入的破坏计算 机功能或者破坏数据,影响计算机使用并且 能够自我复制的一组计算机指令或者程序代 码”。
5
计算机病毒的特点
传染性 隐蔽性 潜伏性 破坏性 不可预见性
6
特别的计算机病毒
查杀
18
计算机病毒防治的评价方法
防毒能力
预防病毒侵入计算机系统的能力 准确地、实时地监测预警,清除 、隔离 发现和追踪病毒来源的能力 查毒率和误报率来评价 解毒能力是指从感染对象中清除病毒,恢复被 病毒感染前的原始信息的能力 解毒率来评价
查毒能力
解毒能力
19
引导型病毒识别方法
恶性病毒
极恶性病毒
灾难性病毒
12
按病毒的算法分类
伴随型病毒
不改变文件本身,产生EXE文件的伴随体 通过计算机网络传播,占用系统内存 练习型病毒 诡秘型病毒 变型病毒
计算机病毒的防治PPT课件
2021
50
网络文化
网络用语
“7456,TMD!怎么大虾、菜鸟一块儿到我的烘焙机 上乱灌水?94酱紫,呆会儿再打铁。886!”
表情符
:)笑 :-p 吐出舌头的样子 T_T 流眼泪的样子 ^o^ 开口大笑的样子 ^_~俏皮地向对方眨眼睛 :)~~
2021
51
网络道德
2021
52
网络道德的特点
偿; (8) 你不应该剽窃他人的智力成果; (9) 你应该注意你正在写入的程序和你正在设计的系统的社会后果; (10) 你应该以深思熟虑和慎重的方式来使用计算机。
2021
54
软件知识产权
知识产权
著作权(版权) 《中华人民共和国商标权法》
包括软件知识产权
《中华人民共和国知识产权海关保护条例》 《计算机软件保护条例》
“密码软键盘”输入密码
2021
38
常见的安全措施—正确使用网银
常见方式“钓鱼”
“钓鱼”之一:电子邮件 “钓鱼”之二:盗号木马 “钓鱼”之三:网址欺骗
防钓鱼
直接输入域名 用密码软键盘 加密交易信息
使用加密控件,使用密码U盘,使用https协议
同样,防止短信诈骗
2021
39
2021
2021
58
2021
5
计算机病毒的特征
传染性 破坏性 潜伏性/可触发性 隐蔽性
2021
6
计算机病毒的特征(详)
可执行性 寄生性 传染性 破坏性 欺骗性 隐蔽性、潜伏性 衍生性
2021
7
计算机病毒的分类
按攻击的操作系统分
DOS、Windows、Unix
按传播媒介
单机、网络
《计算机病毒及防治》PPT课件
3 . 表现部分
是病毒间差异最大的部分,前两部分是 为这部分服务的。它破坏被传染系统或者 在被传染系统的设备上表现出特定的现象。 大部分病毒都是在一定条件下才会触发其 表现部分的。
计算机病毒的传染过程
计算机病毒的传染过程 1)驻入内存。 2)判断传染条件。 3)传染。
返回本节
计算机病毒的触发机制
INT 09H键盘输入中断,病毒用于监视用 户击键情况。
INT 10H屏幕输入输出中断,一些病毒用 于在屏幕上显示字符图形表现自己。
INT 13H磁盘输入输出中断,引导型病毒 用于传染病毒和格式化磁盘。
INT 21H DOS功能调用,包含了DOS的大部 分功能,已发现的绝大多数文件型病毒修改 INT 21H中断, 因此也成为防 病毒的重点监 视部位。
加密技术处理 : (1)对程序段动态加密 (2)对显示信息加密 (3)对宿主程序段加密
返回本节
16.1.7 计算机病毒的破坏行为
(1)攻击系统数据区 (2)攻击文件 (3)攻击内存 (4)干扰系统运行,使运行速度下降 (5)干扰键盘、喇叭或屏幕 (6)攻击CMOS (7)干扰打印机 (8)网络病毒破坏网络系统
5.启动触发:病毒对机器的启动次数计数, 并将此值作为触发条件称为启动触发。
6.访问磁盘次数触发:病毒对磁盘I/O访 问的次数进行计数,以预定次数做触发条 件叫访问磁盘次数触发。
7.调用中断功能触发:病毒对中断调用次数 计数,以预定次数做触发条件。
8.CPU型号/主板型号触发:病毒能识别运 行环境的CPU型号/主板型号,以预定CPU型 号/主板型号做触发条件, 这 种病毒的触发 方式奇特罕见。
返回本节
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4 计算机病毒的介绍
普通病毒 存在形式 寄存文件 传染机制 宿主程序运行 传染目标 本地文件
蠕虫病毒 独立程序 主动攻击 网络计算机
蠕虫病毒与一般病毒的区别
4 计算机病毒的介绍
(2)蠕虫的分类
① 根据使用者情况的不同,可将蠕虫病毒分为两类,即面向企业用户的蠕虫病毒 和面向个人用户的蠕虫病毒。 面向企业用户的蠕虫病毒利用系统漏洞,主动进行攻击,可以对整个网络造成瘫痪 性的后果,以“红色代码”、“尼姆达”、“SQL蠕虫王”为代表;面向个人用户 的蠕虫病毒通过网络(主要是电子邮件、恶意网页形式等)迅速传播,以“爱虫”、 “求职信”蠕虫为代表。
5 计算机病毒的对抗技术
(2)病毒文件的花指令
一个没有任何防护措施的程序,很容易被完整地静态反汇编出来。为了达到 迷惑破解者的目的,病毒作者往往在程序中加入花指令。这不仅仅用在计算机病 毒中以防止被轻易分析出其病毒结构和原理,它也常常用在很多正常的软件中, 以防止遭到非法破解。
计算机病毒与对抗
主要内容
1 计算机病毒的定义 2 计算机病毒的特点 3 计算机病毒的分类 4 计算机病毒的介绍 5 计算机病毒的对抗技术
1.计算机病毒的定义
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系 统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒, 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响 计算机使用并能自我复制的一组计算机指令或者程序代码。”此定义具有 法律效力和权威性。
2.2 隐蔽性
病毒一般是短小精悍的一段程序,通常潜入到正常程序或磁盘中,在没有防护的情况下,有 些病毒是在悄无声息的进行着计算机的破坏或者自我复制,有些病毒还嵌入到正常的程序中,因 此很难被发现。
2.3 潜伏性
大部分病毒在感染系统之后不会马上发作,它可以长时间隐藏在系统之中,在满足其特定条 件下才启动其破坏模块。
4 计算机病毒的介绍
常见的恶意代码(广义程序
可以独立运行的程序
后门 逻辑炸弹 特洛伊木马 病毒
蠕虫
恶意代码分类示意图
复制
4 计算机病毒的介绍
4.1 引导型病毒
概述 引导区病毒就是专门感染磁盘引导扇区和硬盘主引导扇区的计算机病毒程序,如果被感染的磁
盘被作为系统启动盘使用,则在启动系统时,病毒程序即被自动装入内存,从而是现行系统感染病 毒。引导区病毒是一种将硬盘重新分区和格式化都不能清除掉的一种顽固病毒。例如,“大麻”病 毒、“小球”病毒、“磁盘杀手”病毒。目前,在windows环境中,主引导区也成为部分病毒 (Bootkit)实施“永驻”的位置之一 ,只是实施起来比DOS系统更加复杂而已。
4 计算机病毒的介绍
文件型病毒的工作机理
当今,绝大多数的文件型病毒都属于Win32 PE病毒,我来介绍一下Win32 PE病毒的原理。 一般来说,病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下: ①用户点击或系统自动运行HOST程序; ②装载HOST程序到内存; ③通过PE文件中的AddressOfEntryPoint+ImageBase,定位第一条语句的位置(程序入口); ④从第一条语句开始执行(这时执行的其实是病毒代码); ⑤病毒主体代码执行完毕,将控制权交给HOST程序原来的入口代码; ⑥HOST程序继续执行。
4 计算机病毒的介绍
(2)木马的特点
木马具有隐蔽性和非授权性的特点。 所谓隐蔽性,是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马。 这样,被控制端即使发现感染了木马,也不能确定其准确的位置。 所谓非授权性,是指一旦控制端与被控制端连接后,控制端将享有被控制端的大 部分操作权限,包括修改文件、修改注册表、控制鼠标、键盘等,这些权力并不是被 控制端赋予的,而是通过木马程序窃取的。
4 计算机病毒的介绍
计算机病毒的工作机理
1.计算机病毒的结构 计算机病毒在结构上有着共同性,一般由引导模块、传染模块、表现 (破坏)模块3部分组成。 必须指出的是,不是任何病毒都必须包含这3个模块。 2.计算机病毒的工作机理 因为计算机病毒的传染和发作需要使用一些系统函数及硬件,而后者 往往在不同的平台上是各不相同的,因此大多数计算机病毒都是针对某种 处理器和操作系统编写的。 我根据病毒的寄生方式分类介绍病毒。
(2)攻击。攻击模块按步骤自动攻击前面扫描中找到的对象,取得该主机的权 限(一般为管理员权限),获得一个Shell。
(3)复制。复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并 启动。
4 计算机病毒的介绍
4.5 宏病毒
为了减少用户的重复劳作,例如进行相似的操作,Office提供了一种所谓宏的 功能。利用这个功能,用户可以把一系列的操作记录下来,作为一个宏。之后只 要运行这个宏,计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏 操作一方面方便了普通的计算机用户,另一方面却也给病毒制造者提供了可乘之 机。
宏病毒是一种专门感染 Office系列文档的恶性病毒。1995年,世界上发现了 第一个宏病毒Concept。由于宏的编程语言VBA简单易学,因此大量的宏病毒层 出不穷,短短两年时间其数量就上升至20000多种!
5 计算机病毒的对抗技术
5.1病毒技巧 (1)病毒文件的隐藏技术(同理病毒进程、注册表、服务端口等) (2)病毒的花指令 (3)病毒的加密 (4)加壳技术 (5)特征码定位 (6)反调试技术
计算机中的木马是一种基于远程控制的黑客工具,采用客户机/服务器(c/s) 工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受 害者的计算机(简称宿主)中,操纵者就可以在控制端实时监视该用户的一切操作, 有的放矢地窃取重要文件和信息,甚至还能远程操控受害计算机对其他计算机发动 攻击。木马的控制端和被控制端通过网络进行交互。
4 计算机病毒的介绍
4.4.2 蠕虫病毒
(1)蠕虫的定义 蠕虫病毒和普通病毒有着很大的区别。普通病毒主要是感染文件和引导区,
而蠕虫则是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性,例如 传播性、隐蔽性、破坏性等;同时也具有一些自己的特征,例如不利用文件寄生、 可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计 算机。在破坏性上,蠕虫病毒也不是普通病毒所能比的,网络的发展使得蠕虫可以 在短短的时间内蔓延到整个网络,造成网络瘫痪。
随着互联网和无线互联网日趋完善,病毒的技术和攻击目的也更加多样,好多 病毒的功能越来越多元化,集成化,智能化。
4 计算机病毒的介绍
4.4.1 特洛伊木马 (1)木马病毒概述
“特洛伊木马”的英文名称为Trojan Horse(其名称取自希腊神话的《特洛伊 木马记》),是指表面看上去对人们有用或有趣,但实际上却有害的东西,并且它 的破坏性是隐蔽的。
计算机病毒的特点
2.1 破坏性 2.2 隐蔽性 2.3 潜伏性 2.4 传染性 2.5 不可预见性
2.计算机病毒的特点
2.1 破坏性
任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。轻则显示一些画面, 发出音乐,弹出一些无聊的窗口。重则破坏数据,删除文件,格式化磁盘,有的甚至对计算机硬 件也有损坏。
3 计算机病毒的分类
1.按其破坏性分类 可分为:良性病毒和恶性病毒。 2.按照病毒的功能进行分类 可分为:感染性病毒、蠕虫、木马、Backdoor、VirusTools工具等。 3.按照病毒链接方式分类 可分为:源码型、嵌入型、操作系统型和外壳型病毒。 4.按寄生方式 可分为:引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病 毒、网络病毒。 5.其他一些分类方式 按照计算机病毒攻击的操作系统;按照计算机病毒激活的时间;按计算机病毒攻击 的机型。
4 计算机病毒的介绍
(3)木马的工作过程 木马对网络主机的入侵过程,可大致分为6个步骤。
① 配置木马(制造者) ② 传播木马(制造者上传,用户下载) ③ 运行木马(用户运行) ④ 信息泄露(病毒程序) ⑤ 连接建立(病毒程序) ⑥ 远程控制(病毒程序)
4 计算机病毒的介绍
(4)木马的种类
① 密码发送型木马 ② 键盘记录型木马 ③ 破坏型木马 ④ DOS型木马(这个而是拒绝服务攻击的DOS) ⑤ FTP型木马
2.计算机病毒的特点
2.4 传染性
对大多数计算机病毒,传染是它的一个重要特点。它用过修改别的程序,并把自身的副本包 括进去,从而达到扩散的目的。病毒能将自身的代码强行传染到一切符合其传染条件的未感染的
文件,而且还可以通过各种可能的渠道感染其他计算机。
2.5 不可预见性
从病毒检测技术来看,病毒还有不可预见性,不同种类病毒,其代码千差万别,有的正常的 程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术,甄别起来更是困难,再加上病毒的制 作技术也在不断的提高,所以病毒对反病毒软件永远是超前的。
引
引导指令
病
导
毒
区
磁盘
感染
硬盘
引 导 区
引导指令
4 计算机病毒的介绍
4.2 文件型病毒 概述
文件型病毒攻击的对象是可执行程序,病毒程序将自己附着或追加在后缀名为.exe或.com等 的可执行文件上。当感染了该类病毒的可执行文件运行时,病毒程序将在系统中进行它的破坏行 动。同时,它将驻留在内存中,试图感染其他文件。当该类病毒完成了它的工作之后,其宿主程 序才得到运行,使一切看起来很正常。
② 按其传播和攻击特征,可将蠕虫病毒分为3类,即漏洞蠕虫、邮件蠕虫和传统蠕 虫病毒。
4 计算机病毒的介绍
(3)蠕虫的传播
蠕虫程序的一般传播过程如下: (1)扫描。由蠕虫的扫描功能模块负责收集目标主机的信息,寻找可利用的漏
洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得 到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机,探测主机的操 作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本 等。