计算机病毒的基本机制.ppt

南开大学信息技术科学学院古力 计算机病毒分析与对抗 2010 2010年年 第三章第三章 计算机病毒的基本机制计算机病毒的基本机制 P38页,一个简单的计算机病毒 从这个简单的批处理命令程序可以看出,一个病毒应包 括以下几种机制 、触发机制 、传播机制 、表现/破坏机制 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 一、计算机病毒状态一、计算机病毒状态 、静态病毒 、动态病毒 病毒的启动 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 二、计算机病毒的三种机制二、计算机病毒的三种机制 、计算机病毒的弱点 （） （） （） （） 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 二、计算机病毒的三种机制二、计算机病毒的三种机制 、计算机病毒的基本模块 ）感染模块 ）触发模块 ）破坏模块 ）主控模块 ）病毒程序的一般框架 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 三、计算机病毒的传播机制三、计算机病毒的传播机制 、病毒感染的目标和过程 ）感染目标100 ）病毒感染的过程 操作系统程序作宿主程序（引导型 病毒） COMMAND程序作宿主程序 应用程序作宿主程序 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 3） 病毒常驻内存 4）修改中断向量 INT 9H；读取键盘输入 INT 8H；计时中断 INT 13H ；读写磁盘 INT 25H；读磁盘逻辑扇区 INT 26H ；写磁盘逻辑扇区 INT 21H的4BH子功能：在可执行程序中调用另一程序 三、计算机病毒的传播机制三、计算机病毒的传播机制 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 三、计算机病毒的传播机制三、计算机病毒的传播机制 2、病毒感染长度和感染次数 ）感染长度 长度不变 增长的长度为恒定值 增长的长度在一个固定范围内变化 每次感染，宿主程序长度都在变化 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 三、计算机病毒的传播机制三、计算机病毒的传播机制 2）单次感染 3）重复感染 a、简单的重复感染 b、有限次数重复感染 c、变长度重复感染 d、变位重复感染 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 3、引导型病毒的感染 4、寄生感染 5、插入感染和逆插入感染 6、链式感染 7、破坏性感染 三、计算机病毒的传播机制三、计算机病毒的传播机制 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 三、计算机病毒的传播机制三、计算机病毒的传播机制 8、滋生感染 9、没有入口点的感染 10、OBJ、LIB和源码感染 11、混合感染和交叉感染 12、零长度感染 13、计算机病毒的网络感染 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 13、计算机病毒的网络感染 1）通过E_mail感染 2）通过BBS感染 3）通过网络服务感染 4）电话线路上的病毒 5）病毒发射枪 三、计算机病毒的传播机制三、计算机病毒的传播机制 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 四、计算机病毒的触发机制四、计算机病毒的触发机制 可触发性：是指病毒因为某个事件或 某个数值的出现，诱使病毒实施感染或进 行攻击的特性。 可触发性是病毒的攻击性和潜伏性之 间的调节杠杆，可以控制病毒感染和破坏 的频度，兼顾杀伤力和潜伏性。 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 四、计算机病毒的触发机制四、计算机病毒的触发机制 （一）、日期和时间触发 许多病毒采用日期作为触发条件， 常见的有特定日期触发，月份触发，上半 年或下半年触发等。 1、日期触发 1）、特定日期触发 a、每月某日触发 b、某月某日定期触发 c、以某日为界，分时段继续感染 和破坏 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 四、计算机病毒的触发机制四、计算机病毒的触发机制 2、月份触发 3、前半年、后半年触发 4、时间触发 a、特定的时间触发 b、染毒后累积工作时间触发 c、文件最后写入时间触发 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 （二）、键盘触发 有些病毒会监视键盘，当操作人员 按某个键或某组合键时，病毒发作。这类 触发条件可能是按键的次数，也可能是某 组合键，或者是热启动。 1、按键次数触发 2、组合键触发 3、热启动触发 四、计算机病毒的触发机制四、计算机病毒的触发机制 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 四、计算机病毒的触发机制四、计算机病毒的触发机制 （三）、感染触发 感染触发的主要方式有：运行感染 文件个数的触发、感染序数触发、感染磁 盘数触发和感染失败触发等。 1、运行感染文件个数触发 2、感染序数触发 3、感染磁盘数触发 4、感染失败触发 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 四、计算机病毒的触发机制四、计算机病毒的触发机制 （四）、启动触发 启动触发是预设一个计算机的启动 次数，并以此作为病毒的触发条件，激活 病毒。 Anti-Tel病毒 TelCOM病毒 屏幕保护变种病毒 Trojan/Beway病毒 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 四、计算机病毒的触发机制四、计算机病毒的触发机制 （五）、磁盘访问触发和中断访问触发 1、访问磁盘次数触发 2、调用中断功能触发 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 四、计算机病毒的触发机制四、计算机病毒的触发机制 （六）、其它触发 1、CPU型号触发 2、打开邮件触发 3、利用系统或工具软件的漏洞触发 4、多条件触发病毒 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 五、计算机病毒的破坏机制五、计算机病毒的破坏机制 破坏机制在设计原则，工作原理上 与传染机制基本相同。它也是通过修改某 一中断向量入口地址（一般为时钟中断 INT 08H，或与时钟中断有关的其它中断 ，如INT 1CH）使该中断向量指向病毒程 序的破坏模块。这样，当系统或被加载的 程序访问该中断向量时，病毒破坏模块被 激活，在判定设定条件满足后，对系统或 磁盘上的文件进行破坏活动。 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 五、计算机病毒的破坏机制五、计算机病毒的破坏机制 病毒攻击的目标主要有：系统数据 区，文件，内存，系统运行，运行速度、 磁盘、屏幕显示、键盘、喇叭、打印机、 CMOS、主板等。 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 五、计算机病毒的破坏机制五、计算机病毒的破坏机制 1、攻击系统数据区 2、攻击文件和硬盘 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 五、计算机病毒的破坏机制五、计算机病毒的破坏机制 3、攻击内存 a、病毒运行占用大量内存 b、改变内存总量 c、禁止分配内存 d、蚕食内存 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 五、计算机病毒的破坏机制五、计算机病毒的破坏机制 4、干扰系统运行 1）不执行命令 2）干扰内部命令的执行 3）虚假报警 4）打不开文件 5）内部栈溢出 6）占用特殊数据区 7）换现行盘（当前盘） 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 五、计算机病毒的破坏机制五、计算机病毒的破坏机制 8）时钟逆转 9）重启动 10）死机 11）强制游戏 12）速度下降 南开大学信息技术科学学院古力 计算机病毒分析与对抗 20102010年年 5、扰乱输出设备 病毒程序在执行过程中，可能 不破坏计算机内的数据，仅对输出 设备进行