信息安全技术 第11章 传统计算机病毒
四年级上册信息技术教案-11.计算机病毒与网络安全|冀教版
《计算机病毒与网络安全》教学设计一、教材分析本课是冀教版《小学信息技术》的第十一课,主要内容是计算机病毒与网络安全,安排为两课时,第一课时为教师讲解,第二课时为学生上机操作。
本节课主要是让学生了解计算机病毒的概念、分类和防治以及信息安全,使学生能够预防计算机病毒,维护信息安全,从而培养学生的网络道德。
二、学生分析四年级的学生初步掌握了计算机的基础操作,但对计算机病毒的特性和带来的危害知之甚少,缺乏网络安全意识,如何防范计算机病毒,如何正确使用计算机网络,就显得尤为重要,通过这节课的学习,让学生初步了解计算机病毒和网络安全知识,和掌握简单安全软件的使用,这突出了信息技术教学的实用性。
第一课时三、教学目标知识与技能:让学生初步理解什么是计算机病毒;了解计算机病毒的特点;并掌握预防和查杀病毒的基本方法。
过程与方法:通过小组讨论,自主学习,让学生学会有条理地表达;让学生尝试搜集典型病毒案例、整理病毒资料的方法来理解新概念。
情感态度与价值观:使学生了解编制、传播计算机病毒是犯罪行为;养成良好的信息安全意识。
四、教学重点(1)知道什么是计算机病毒,掌握计算机病毒的特点。
(2)会使用安全软件。
五、教学难点(1)增强计算机网络安全意识。
(2养成良好的网络习惯。
六、教学准备《世界最强电脑病毒》视频,《蓝猫淘气三千问之电脑病毒》视频,多媒体课件。
七、教学过程(一)创设情境,激发兴趣。
师:随着计算机技术的发展和网络技术的普及,网络丰富的信息资源给用户带来了极大的方便。
同学们想一想,那么计算机究竟给我们的生活带来了哪些便利呢?(运用多媒体课件)学生回答教师总结师:但是突然有一天……(请大家看大屏幕)通过电脑发生的各种状况引导学生说出计算机病毒。
师:没错就是计算机病毒造成的影响,除了计算机病毒,黑客入侵、木马控制、垃圾邮件等也给因特网运行与应用系统和广大用户,带来了越来越多的侵害。
(二)师生共同研究,适当示范。
师:同学们,你们了解计算机病毒么?学生回答师:看来同学对病毒还是有一点点的了解的,那么要想更深入的了解,就先和蓝猫一起去学习一下吧!(播放《蓝猫淘气三千问之电脑病毒视频》)请同学们观看完视频后结合课本回答以下这几个问题:1、什么叫计算机病毒?计算机病毒是利用计算机软件或硬件固有的脆弱性,人为编制的具有特殊功能的程序。
计算机信息安全技术课后习题答案
专业资料第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。
(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA 指的是什么 ?Confidenciality隐私性 , 也可称为机密性, 是指只有授权的用户才能获取信息 Integrity 完整性 , 是指信息在传输过程中 , 不被非法授权和破坏 , 保证数据的一致性Availability可用性 , 是指信息的可靠度4、简述 PPDR安全模型的构成要素及运作方式PPDR由安全策略 , 防护 , 检测和响应构成运作方式 :PPDR 模型在整体的安全策略的控制和指导下, 综合运用防护工具的同时, 利用检测工具了解和评估系统的安全状态 , 通过适当的安全响应将系统调整在一个相对安全的状态。
防护 , 检测和响应构成一个完整的、动态的安全循环。
5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下, 依据特定的安全策略 , 对信息及信息系统实施防护, 检测和恢复的科学7、信息安全系统中, 人、制度和技术之间的关系如何?在信息安全系统中, 人是核心。
任何安全系统的核心都是人。
而技术是信息安全系统发展的动力, 技术的发展推动着信息安全系统的不断完善。
信息安全系统不仅要靠人和技术, 还应该建立相应的制度以起到规范的作用。
只有三者的完美结合 , 才有安全的信息安全系统第二章密码技术一、选择题1.下列( RSA算法)算法属于公开密钥算法。
2. 下列(天书密码)算法属于置换密码。
3.DES 加密过程中,需要进行(16 )轮交换。
二、填空题1. 给定密钥K=10010011,若明文为P=11001100,则采用异或加密的方法得到的密文为01011111。
(完整版)信息安全系统在线作业
您的本次作业分数为:89分单选题1.【第11、12章】通常为保证信息处理对象的认证性采用的手段是(____)。
• A 信息加密和解密• B 信息隐匿• C 数字签名和身份认证技术• D 数字水印•单选题2.【第11、12章】计算机病毒最重要的特征是(____)。
• A 隐蔽性• B 传染性• C 潜伏性• D 表现性•单选题3.【第11、12章】不能防止计算机感染病毒的措施是(____)。
• A 定时备份重要文件• B 经常更新操作系统• C 除非确切知道附件内容,否则不要打开电子邮件附件• D 重要部门的计算机尽量专机专用,与外界隔绝•单选题4.【第11、12章】某病毒利用RPCDCOM缓冲区溢出漏洞进行传播,病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4、exe,添加注册表项,使得自身能够在系统启动时自动运行。
通过以上描述可以判断这种病毒的类型为(____)。
• A 文件型病毒• B 宏病毒• C 网络蠕虫病毒• D 特洛伊木马病毒•单选题5.【第11、12章】计算机病毒的实时监控属于(____)类的技术措施。
• A 保护• B 检测• C 响应• D 恢复•单选题6.【第11、12章】安全扫描可以(____)。
• A 弥补由于认证机制薄弱带来的问题• B 弥补由于协议本身而产生的问题• C 弥补防火墙对内网安全威胁检测不足的问题• D 扫描检测所有的数据包攻击,分析所有的数据流•单选题7.【第11、12章】在目前的信息网络中,(____)病毒是最主要的病毒类型。
• A 引导型• B 文件型• C 网络蠕虫• D 木马型•单选题8.【第11、12章】传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了(____)等重要网络资源。
• A 网络带宽• B 数据包• C 防火墙• D LINUX•单选题9.【第11、12章】相对于现有杀毒软件在终端系统中提供保护不同,(____)在内外网络边界处提供更加主动和积极的病毒保护。
第十一章 信息安全与法律法规
D. 数据压缩
4:以下关于信息安全的叙述汇总,( )并不正确。 A. 信息安全已经上开到国家战略层面 B. 海陆空天网五大疆域体现国家主权 C. 信息安全体系要确保百分之百安全 D. 信息安全措施需三分技术七分管理
练习题
1:在使用计算机的过程中应增强的安全意识中不包括()。 A. 密码最好用随机的六位数字 B. 不要点击打开来历不明的链接 C. 重要的数据文件要及时备份 D. 不要访问吸引人的非法网站
练习题
4:以下设备中最可能成为传播计算机病毒的载体是()。 A. 显示器 B. 键盘 C. U盘 D. 扫描仪
5:面向社会服务的信息系统突发安全事件时所采取的技术措施中一般不包括( )。 A. 尽快定位安全风险点,努力进行系统修复 B. 将问题控制在局部范围内,不再向全系统扩散 C. 关闭系统,切断与外界的信息联系,逐人盘查 D. 全力挽回用户处理的信息,尽量减少损失
解析: A 计算机网络的主要功能就是数据通信和资源共享。还有提高计算机的可靠性和可用 性,分布式处理等。 2:信息系统的安全环节很多,其中最薄弱的环节是( ),最需要在这方面加强安全措施。 A.硬件 B. 软件 C. 数据 D. 人
3:( )不属于保护数据安全的技术措施。 A.数据加密 B. 数据备份 C. 数据隔离
(1)GB:强制性国家标准;(2)GB/T:推荐性国家标准;(3)CB/Z:指南类标
2:我国的信息安全法律法规包括国家法律、行政法规和部门规章及规范性文件等。( ) 属于部门规章及规范性文件。
A. 全国人民代表大会常务委员会通过的维护互联网安全的决定 B. 国务院发布的中华人民共和国计算机信息系统安全保护条例 C. 国务院发布的中华人民共和国计算机信息网络国际联网管理暂行规定 D. 公安部发布的计算机病毒防治管理办法 3:某机构准备发布中国互联网发展年度报告。报告分四个方面:全网概况、访问特征、渠道分析和行业视 角。用户24小时上网时间分布应属于( )方面的内容 A. 全网概况 B. 访问特征 C. 渠道分析 D. 行业视角
2024冀教版小学信息技术四年级上册《第11课计算机病毒与网络安全》教学设计
2024冀教版小学信息技术四年级上册《第11课计算机病毒与网络安全》教学设计一、教材分析《第10课快速下载》主要介绍了互联网中文件的下载方法和工具,以及下载过程中的安全和版权问题。
教材通过实例,让学生在实践中掌握下载技巧,同时培养他们的网络素养。
二、教学目标1.知识与技能:学生能掌握使用浏览器、下载工具进行文件下载的基本操作,了解下载速度与网络环境的关系。
2.过程与方法:通过实际操作,学生能理解下载过程,学会检查下载进度和管理下载文件。
3.情感态度与价值观:培养学生尊重网络版权,注意网络安全的意识,养成良好的网络使用习惯。
三、教学重难点教学重点:掌握文件下载的基本操作,理解下载速度与网络环境的关系。
教学难点:引导学生理解并实践下载过程中的安全和版权问题。
四、教学过程环节一、导入新课1.情境引入:展示一个电脑屏幕被病毒侵袭的图片,询问学生是否见过类似的情况,引起学生的好奇心和学习兴趣。
2.定义讲解:简单解释什么是计算机病毒,比如"计算机病毒就像感冒病毒一样,可以无孔不入地侵入我们的电脑,破坏数据,影响电脑的正常工作。
”环节二、主体教学1.病毒的类型与传播方式:介绍常见的计算机病毒类型(如木马病毒、蠕虫病毒等)和传播方式(如通过互联网、U盘等)。
2.实例分析:展示一些真实的计算机病毒案例,让学生了解病毒的危害,如文件丢失、系统崩溃等。
3.防范措施:教授学生如何防范计算机病毒,如安装防病毒软件、不随便点击未知链接、不随意下载未知软件等。
4.网络安全知识:讲解网络安全的基本概念,如网络安全意识、保护个人信息、不泄露密码等。
5.实践操作:让学生在老师的指导下,进行一次简单的防病毒软件安装和病毒扫描操作,增强实践能力。
环节三、巩固练习1.案例讨论:给出一些计算机病毒和网络安全的场景,让学生讨论并提出解决方案,检验学生对知识的理解和应用。
2.知识问答:设计一些关于计算机病毒和网络安全的选择题或填空题,进行小测验,巩固所学知识。
信息安全工程师综合知识真题考点:常见的计算机病毒类型
信息安全工程师综合知识真题考点:常见的计算机病毒类型常见的计算机病毒类型有:引导区病毒、宏病毒、多态病毒、隐藏病毒等。
1、引导区病毒:通过感染磁盘引起扇区进行传播的病毒,常见的有磁盘杀手、AntiExe
2、宏病毒:感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件
3、多态病毒:是一种具有变异能力的计算机病毒,每次感染新的对象后,通过更换加密算法,改变其存在形式,使其很难被反病毒软件检测出来,一般需要采用启发式分析方法来发现。
多态病毒有三个主要组成部分:杂乱的病毒体、解密例程(decryption routine)、变化引擎(mutation engine)。
4、隐藏病毒:将自身的存在形式进行隐藏,使得操作系统和反病毒软件不能发现。
隐蔽病毒使用的技术主要包括:隐藏文件的日期、时间的变化;隐藏文件大小的变化;病毒加密。
注:详见《信息安全工程师教程》(第2版)272-274页。
考点相关真题
计算机病毒是一组具有自我复制及传播能力的程序代码。
常见的计算机病毒类型包括引导型病毒、病毒、多态病毒、隐蔽病毒等。
磁盘杀手病毒属于()。
A.引导型病毒
B.宏病毒
C.多态病毒
D.隐蔽病毒
参考答案:A。
信息安全技术的研究与发展智慧树知到答案章节测试2023年哈尔滨工程大学
第一章测试1.信息安全问题产生的内因不包括()A:系统结构复杂B:人为威胁与破坏C:系统应用复杂D:系统过程复杂答案:B2.下列哪个是与信息安全三元组CIA对立的A:篡改B:破坏C:其它都是D:泄露答案:C3.在下列哪个时代,信息安全的思想是通过密码技术解决通信保密,保证数据的保密性和完整性,同时主要关注传输过程中的数据保护A:通信安全时代B:网络空间安全时代C:信息系统安全时代D:计算机安全时代答案:A4.计算机安全阶段的主要威胁是搭线窃听和密码学分析。
A:对B:错答案:B5.针对信息安全保障阶段,可以采取的安全措施包括A:人员意识培训教育B:加密技术C:技术安全保障体系D:安全管理体系答案:ACD6.信息安全包括哪些方面()A:数据安全B:信息基础设备安全C:物理安全D:网络系统安全答案:ABCD7.网络攻击包括()A:网络扫描B:入侵C:监听D:后门答案:ABCD8.信息安全特征包括()A:信息安全是动态的安全B:信息安全是系统的安全C:信息安全是无边界的安全D:信息安全是非传统的安全答案:ABCD9.信息安全的范畴包括()A:国家安全问题B:社会问题C:组织管理问题D:信息技术问题答案:ABCD10.信息安全已经从单纯的技术性问题变成事关国家安全的全球性问题A:对B:错答案:A第二章测试1.水印嵌入算法不涉及哪些信息()A:用户私钥B:水印信息C:用户密钥D:原始信息答案:A2.数字水印的特征包括()A:安全性B:透明性C:可检测性D:鲁棒性答案:ABD3.不可检测性是指水印作品和普通作品在统计噪音分布上不存在区别,攻击者无法用统计学方法确定水印的位置A:错B:对答案:B4.数字水印技术按特性分为()A:稳健水印B:公开水印C:图像水印D:易碎水印答案:AD5.被隐藏的信息称为秘密信息,包括()A:密码B:其它都是C:文字D:图形图像答案:B6.信息隐藏技术包括()A:其它都是B:数字伪装技术C:数字水印技术D:隐写技术答案:A7.信息加密和信息隐藏式信息安全的两种主要手段。
第11章计算机安全_d
《大学计算机基础教程》
高等教育“十一五”国家级规划教材
第11章 计算机安全
11.1.2 常见危害最大的计算机病毒
3.木马/黑客病毒 随着病毒编写技术的发展,木马程序对用户的威胁越来越 大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己, 使普通用户很难在中毒后发觉。木马病毒的共有特性是通过网 络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户 的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进 行远程控制。木马、黑客病毒一般成对出现,木马病毒负责侵 入用户的电脑,而黑客病毒通过木马病毒来进行控制。现在这 两种类型都越来越趋向于整合了。如QQ消息尾巴木马 Trojan.QQ3344 ,还有针对网络游戏的木马病毒 Trojan.LMir.PSW.60 。木马病毒其前缀是:Trojan,黑客病 毒前缀一般为 Hack 。
《大学计算机基础教程》
高等教育“十一五”国家级规划教材
第11章 计算机安全
11.1.2 常见危害最大的计算机病毒
4.宏病毒 宏病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通 用模板进行传播,如著名的美丽莎(Macro.Melissa)。该类病毒具 有传播极快、制作和变种方便、破坏可能性极大以及兼容性不高等特 点。宏病毒的前缀是:Macro,第二前缀一般是:Word、Word97、 Excel、Excel97其中之一。
《大学计算机基础教程》
高等教育“十一五”国家级规划教材
第11章 计算机安全
11.1.4 常见计算机病毒的解决方案
1. 给系统打补丁 很多计算机病毒都是利用操 作系统的漏洞进行感染和传播的。 用户可以在系统正常状况下,登 录微软的Windows网站进行有选 择的更新。 Windows2000/XP 操作系统 在连接网络的状态下,可以实现 自动更新。设置Windows XP操作 系统的自动更新,可以通过“开 始”→“设置”→“控制面板” 操作后,打开“自动更新”进行 设置,
信息安全技术教程习题及答案(全)
信息安全技术教程习题及答案第一章概述一、判断题1。
信息网络的物理安全要从环境安全和设备安全两个角度来考虑。
√2。
计算机场地可以选择在公共区域人流量比较大的地方。
×3. 计算机场地可以选择在化工厂生产车间附近。
×4。
计算机场地在正常情况下温度保持在18~28 摄氏度.√5。
机房供电线路和动力、照明用电可以用同一线路.×6。
只要手干净就可以直接触摸或者擦拔电路组件,不必有进一步的措施。
×7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内,使用时要远离静电敏感器件.√8。
屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空气中传播。
√9。
屏蔽室的拼接、焊接工艺对电磁防护没有影响。
×10. 由于传输的内容不同,电力线可以与网络线同槽铺设。
×11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管,钢管应与接地线做电气连通.√12. 新添设备时应该先给设备或者部件做上明显标记,最好是明显的无法除去的标记,以防更换和方便查找赃物。
√13.TEMPEST 技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。
√14。
机房内的环境对粉尘含量没有要求。
×15。
防电磁辐射的干扰技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。
√16。
有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。
√17。
纸介质资料废弃应用碎纸机粉碎或焚毁。
√二、单选题1. 以下不符合防静电要求的是A。
穿合适的防静电衣服和防静电鞋B。
在机房内直接更衣梳理C。
用表面光滑平整的办公家具D。
经常用湿拖布拖地2。
布置电子信息系统信号线缆的路由走向时,以下做法错误的是A. 可以随意弯折B。
信息安全概论试题及答案(2024年继续教育)
信息安全概论一、单选题1.在以下人为的恶意攻击行为中,属于主动攻击的是(A)。
A.数据篡改及破坏B.数据窃听C.数据流分析D.非法访问2.数据完整性指的是(C)。
A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.提供连接实体身份的鉴别C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致D.确保数据数据是由合法实体发出的3.以下算法中属于非对称算法的是(B)。
A.DESB.RSA算法C.IDEAD.三重DES4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是(B)。
A.非对称算法的公钥B.对称算法的密钥C.非对称算法的私钥D.CA中心的公钥5.以下不属于代理服务技术优点的是(D)。
A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据泄密6.包过滤技术与代理服务技术相比较(B)。
A.包过滤技术安全性较弱、但会对网络性能产生明显影响B.包过滤技术对应用和用户是绝对透明的C.代理服务技术安全性较高、但不会对网络性能产生明显影响D.代理服务技术安全性高,对应用和用户透明度也很高7."DES是一种数据分组的加密算法,DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度?”(B)。
A.56位B.64位C.112位D.128位8.黑客利用IP地址进行攻击的方法有:(A)。
A.IP欺骗B.解密C.窃取口令D.发送病毒9.防止用户被冒名所欺骗的方法是:(A)。
A.对信息源发方进行身份验证B.进行数据加密C.对访问网络的流量进行过滤和保护D.采用防火墙10.屏蔽路由器型防火墙采用的技术是基于:(B)。
A.数据包过滤技术B.应用网关技术C.代理服务技术D.三种技术的结合11.SSL指的是:(B)。
A.加密认证协议B.安全套接层协议C.授权认证协议D.安全通道协议12.CA指的是:(A)Certificate AuthorityA.证书授权B.加密认证C.虚拟专用网D.安全套接层13.以下关于计算机病毒的特征说法正确的是:(C)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11.4 文件感染病毒
文件感染或寄生病毒会感染可执行的程序,如带 有.COM、.EXE和.SYS后缀的文件。在宿主程序执行时,文 件感染病毒被激活。它们通过感染其他的可执行程序来传播。 文件感染病毒可以分为以下几类: DOS病毒:感染DOS中的可执行程序; Windows病毒:感染Windows中的可执行程序; 宏病毒:感染带有宏功能的应用文件中的宏; 脚本病毒:当它们进入一个存在着脚本宿主程序的系统时 会激活; Java病毒:嵌入在用Java编程语言编写的应用中; Shockwave病毒:感染.SWF文件。
一些引导扇区病毒在感染了计算机硬盘后不会被立刻激 活,也不一定会感染计算机中安装的所有磁盘。其他的某些 引导区病毒还可以被加密。具有这些特性的病毒很难被检测 和清除。如, 15_Year 便是一个引导扇区病毒,它可以感染 硬盘和软盘的引导扇区,改写硬盘上的部分数据。
12
引导扇区病毒具有以下的特征和特性: 引导扇区病毒通常会将原始的引导扇区以及部分病毒代 码复制到磁盘的另一个地方。对代码的重新部署通常是破坏 数据的原因。重新部署的扇区看起来像是一个坏扇区,操作 系统认为它们是不可用的。如果一个软盘在同一个位置有几 个坏扇区,就有可能是引导病毒造成的。 一些引导扇区病毒有设计缺陷,导致在读取软盘时会产
8
9
11.3 引导扇区病毒
引导扇区病毒感染硬盘的主引导记录 (MBR)。MBR在硬 盘的第一个扇区,是计算机开启后读取的第一个扇区。MBR 上的信息告诉计算机在哪里可以找到操作系统文件。通常, 当一个计算机被打开后,它会读取MBR,发现操作系统,然 后将该操作系统加载到存储器中。
提示:主引导记录(MBR)有时也被称为分区表。
它可以用无意义的代码改写硬盘上的数据扇区。 Tequila 是
另一种隐秘型引导扇区病毒, Bladerunner 是一系列可以感 染COM和EXE文件的加密病毒。
26
11.6 Windows病毒
Windows病毒与DOS病毒在攻击和传播方式上相似。不同 之处在于, Windows 病毒攻击的是 Windows 操作系统而不是 DOS。通过DOS病毒相比,他们攻击不同的可执行文件,同时 所附着的代码也略有不同。 Windows 病毒通常向宿主程序附 着一个以上的拷贝,将其代码隐藏在程序代码的开始、中间 或末尾。 下面以 Windows cavity 为例进行说明:该病毒具有很长
的代码,为避免被检测到,它在可执行的文件中寻找可用的
空间,并将病毒代码拷贝放入这些位置,见下图。
19
11.5 DOS病毒
第一代恶意代码病毒就是以 DOS 病毒的形式出现的。 DOS病毒通过将自己的复制文件附着在宿主程序的末尾来感 染程序,称为appending infection。这通常意味着,该病毒将
自己添加到了文件的末尾。然后,该病毒会将宿主程序的原
来的文件头进行复制,并将其转移到病毒体中。在复制和存 储了文件头后,病毒会将带有一个指向病毒体的错误文件头
c.复合性病毒能够感染硬盘的MBR,软盘的引导扇区,以 及DOS中的exe和com文件。
无论是哪种类型,病毒的基本机制都是相同的。跨平台 病毒可以感染属于不同平台的文件 (如,Windows和Linux)。 然而,这些病毒很少见,也很少能获得100%的功能性。
7
11.2一般病毒术语和概念
下表中的术语和概念将帮助用户了解病毒是如何影响系统的。
保存于绝对的扇区内。由于零道零面二扇区是保留扇区,因
而通常使用它来保存。
15
需要掌握的BIOS磁盘服务功能调用 INT 13H子功能02H读扇区 其调用方法为: 入口为:
AH=02H
AL=读入的扇区数 CH=磁道号 CL=扇区号(从1开始) DH=头号
16
DL=物理驱动器号 ES:BX-->要填充的缓冲区 返回为:当CF置位时表示调用失败 AH=状态
替换原来文件头。这保证了该病毒代码能够在执行该程序时
首先被运行。
20
通常,当一个程序被执行时,计算机会从程序头开始读 取代码。当一个程序被感染后,计算机会读取错误的文件头 而跳过真正的程序进入病毒代码。当计算机读取病毒代码时, 病毒会被加载到内存中。在病毒代码的末尾是程序的真正的 文件头,计算机会跳回到原来程序的开始并执行。在多数情 况下,该程序会正常运行,用户并不知道已经存在病毒。这 是最常见的感染形式,因为它只需要将病毒添加到一个文件
任何提供“ DOS 窗口”或“ DOS 模拟器”来运行 DOS 程序的操 作系统都有可能会感染上DOS病毒。
25
DOS病毒范例 同引导扇区病毒一样,DOS 病毒通常是通过计算机用户 之间共享软盘时进行传播的。今天 DOS 病毒几乎已经“灭 绝”。大多数病毒已经被防毒软件消灭,剩下的拷贝版本都 存在于防毒公司的病毒研究实验室中。 一 些 仍 存 在 的 DOS 病 毒 有 DarkAvenger 、 Tequila 和 Bladerunner 。 Dark Avenger 是一个隐秘型引导扇区病毒,
14
用什么来保存原始主引导记录 众所周知的,文件型病毒用以保存被感染修改的部分是 文件。引导型病毒是否也可以使用文件存储被覆盖的引导记 录呢?答案是否定的。 由于主引导记录病毒先于操作系统执行,因而不能使用 操作系统的功能调用,而只能使用BIOS的功能调用或者使用 直接的 IO 设计。通常,使用 BIOS 的磁盘服务将主引导记录
5
所有病毒都具有以下一般特征。它们能够: 感染有可执行代码的程序或文件;
通过网络传播; 消耗内存,减缓系统运行速度; 造成引导失败或破坏扇区; 引发硬盘被重新格式化;
影响程序的运行方式;
感染防毒程序。
6
影响程序的运行方式;
感染防毒程序。
病毒不能感染只含有数据的文件,但病毒仍可以破坏或 删除这些文件。病毒大致可以被归为以下三类: a.引导扇区病毒将自己附着在软盘和硬盘的引导扇区上。 b.文件感染病毒或寄生性病毒感染其他程序或文件。
DOS 病 毒 感 染 DOS 可 执 行 程 序 ( 一 般 来 说 , 是 具 有 .COM 和.EXE扩展名的文件 )。大多数DOS病毒会试图通过感染其他 宿主程序来进行复制和传播。在多数情况下,可以将它们从 被感染的文件中成功地删除 ( 除非它们已经改写或破坏了原 来程序的部分代码 ) 。除了感染可执行程序 (.COM 和 .EXE) , 一 些 DOS 病 毒 还 会 感 染 带 有 以 下 扩 展 名 的 文 件:.SYS,.BIN,.BAT,.0VL和.DRV。
的末尾,并对原来主文件的代码进行修改即可。
21
图11.1 病毒的文件头跳转示意图
22
虽然大多数DOS病毒将它们的代码附着在宿主程序的末尾, 但有些病毒会将它们的代码插入在程序的开头,称作 prependinginfection 。这样的病毒会对它们的宿主程序造 成严重的破坏,而且很难清除。 DOS病毒的特征和行为
24
通常,DOS病毒不会感染 Microsoft Windows的可执行程
序。如果Windows 或其他操作系统从一个 DOS磁盘中启动并加
载一个标准的 DOS可执行程序,则DOS病毒也可以感染运行该 Windows或其他操作系统的 PC。运行基于386(或更高)系统的
NetWare或自动装载的操作系统的 PC很容易受到MBR的感染。
引导扇区病毒会用自己的代码代替MBR中的信息,因此,当计 算机读取第一个扇区时,病毒会在操作系统之前被加载到内
存中。当病毒进入内存后,它会将自己复制到计算机的每个
磁盘上。除非被清除,否则该引导扇区病毒在每次计算机被
10
启动时都会加载到存储器中。 大多数软盘只携带数据文件,但如果将一个数据磁盘插 入到一个被感染的计算机中,该病毒会将自己复制在这个磁 盘中。当病毒改写了这个数据磁盘的第一个扇区中的信息使 其成为类似于启动盘的磁盘,于是这个软盘便成为了携带病 毒的载体。如果将这个被感染的数据盘插人到未被感染的计 算机中的软驱中时,该计算机会试图从软驱中引导,并将病
生偶尔的写保护错误。这些设计缺陷还可能会将病毒的部分
放置在磁盘很少被使用的区域。当这些区域被使用时或当该 引导病毒不能够正确安装自己时,就会出现引导错误。
13
虽然引导扇区病毒曾经是最常见的病毒类型,但它们已 不再像以前那样造成严重的威胁。软盘己不再是共享文件和 信息的主要方法,而更多的是通过网络、电子邮件和基于 Web的方法。病毒程序编写者现在利用这些较新的技术更快、 更有效地传播病毒。然而,还不能断言引导扇区病毒已经就 此灭绝。只要软盘还在使用,引导扇区病毒将仍构成威胁。 编写主引导记录病毒需要了解以下几个方面的内容。
第11章 传统计算机病毒
病毒有广义和狭义上的概念,广义上的病毒包含蠕虫、
木马、后门程序等恶意代码,而狭义上的病毒需要依附于宿
主程序,本章将就狭义的病毒进行讨论。
2
课程目标
通过本章的学习,读者应能够: 掌握病毒的定义; 描述计算机病毒的种类和特征;
了解系统可能被病毒感染所表现出的常见的症状或行为;
23
当一个DOS病毒感染了一台计算机后,它通常会造成一 些可以识别的变化。大多数被感染文件的大小会变大,因为 有附加的病毒代码的加入。如果病毒存在于内存,它会减慢 系统的运行速度。当计算机内存无故下降时,或系统开始运 行缓慢,便有可能是感染了病毒(这些症状也可能由于软件原 因引起的)。如果你不能肯定你的计算机为什么出现功能异常, 你应该用病毒扫描程序检测你的计算机。如果病毒改写了宿 主程序的代码,宿主程序不能运行,用户便可以立即知道出 了问题。
现以后,我们已经辨别出成千上万种病毒。大多数病毒不是 有意具有破坏性的,有些创建病毒的人只是出于证明自己的 能力,其他病毒创建者是为了引起人们对己知应用和系统的 安全性的关注。然而,一个编写不佳的“有害”病毒可能会 破坏系统,因为病毒编程中的错误。