大学计算机病毒原理及防范技术-王路群-课件PPT
收藏
资源目录
压缩包内文档预览:(预览前20页/共55页)
编号:21836107
类型:共享资源
大小:14.56MB
格式:ZIP
上传时间:2019-09-06
上传人:QQ24****1780
认证信息
个人认证
王**(实名认证)
浙江
IP属地:浙江
25
积分
- 关 键 词:
-
大学
计算机病毒
原理
防范
技术
王路群
课件
ppt
- 资源描述:
-
大学计算机病毒原理及防范技术-王路群-课件PPT,大学,计算机病毒,原理,防范,技术,王路群,课件,ppt
- 内容简介:
-
计算机病毒原理及防范技术,中国水利水电出版社,第1章 计算机病毒概述,1.4 计算机病毒的传播途径,1.3 计算机病毒分类,1.2 生物病毒和计算机病毒的比较,1.1 计算机病毒概述,1.5 计算机病毒的危害与症状,1.6 计算机病毒及其他破坏性程序演化历史,1.7 计算机病毒的基本防治,教学要求:,理解:计算机病毒和生物病毒的联系与区别,计算机病毒的分类和基本防治,计算机病毒的危害 掌握:计算机病毒的定义、特征、基本构造,计算机病毒的传播途径,计算机病毒的生命周期,1.1 计算机病毒概述,计算机病毒就是最不安全的因素之一,各种计算机病毒的产生和全球性蔓延已经给计算机系统的安全造成了巨大的威胁和损害。 随着计算机网络的发展,计算机病毒对信息安全的威胁日益严重,鉴于此,人们开始了反计算机病毒的研究,一方面要掌握对当前计算机病毒的防范措施,另一方面要加强对病毒未来发展趋势的研究,真正做到防患于未然。,1.1 计算机病毒概述(续),计算机病毒的定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。 从广义上讲,一切危害用户计算机数据、偷盗用户隐私、损害他人利益及影响用户正常操作的程序或代码都可被定义为计算机病毒。,1.1 计算机病毒概述 (续),计算机病毒的特征 非法性 病毒的动作、目的对用户是未知的,是未经用户允许的。 传染性 计算机病毒把自身复制到其他程序中的特性。 隐藏性 隐藏性是计算机病毒最基本的特征。,1.1 计算机病毒概述 (续),计算机病毒的特征 潜伏性 计算机病毒侵入系统后,一般不立即发作,而是有一定的潜伏期。 可触发性 计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性,称为可触发性。 破坏性 计算机病毒造成的最显著的后果是破坏计算机系统。,1.1 计算机病毒概述 (续),计算机病毒的特征 衍生性 病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(也称为变种),这就是计算机病毒的衍生性。 不可预见性 从对病毒的检测方面来看,病毒还有不可预见性。,1.1 计算机病毒概述 (续),计算机机病毒的基本构造 计算机病毒的逻辑程序结构一般来讲包含三个部分:引导部分、传染部分、表现或破坏部分。 引导部分的作用是将病毒主体加载到内存,为传染部分做准备(如驻留内存、修改中断、修改高端内存、保存原中断向量、修改注册表等操作)。 传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式、传染条件以及传播所借助的媒体上各有不同。 表现部分的作用是在病毒发作条件(表现、破坏条件)满足时,实施对系统的干扰和破坏活动。,1.1 计算机病毒概述 (续),计算机病毒的生命周期 开发期 今天有一点计算机编程知识的人都可以制造一个病毒。 传染期 在一个病毒制造出来后,病毒的编写者将其拷贝分发出去并确认其已被传播出去。 潜伏期 一个设计良好的病毒可以在它活化前的很长时期里被复制。这就给了它充裕的传播时间。,1.1 计算机病毒概述 (续),计算机病毒的生命周期 发作期 带有破坏机制的病毒会在满足某一特定条件时发作。 发现期 通常情况下,一个病毒被检测到并被隔离出来后,它会被送到计算机安全协会或反病毒厂家,在那里病毒被通报和描述给反病毒研究工作者。,1.1 计算机病毒概述 (续),计算机病毒的生命周期 消化期 在这一阶段,反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。 消亡期 有一些病毒在消失之前有一个很长的消亡期。,1.2 生物病毒和计算机病毒的比较,生物病毒概述 二十多年前,病毒还是纯粹的生物学概念。一般认为,病毒是具有一定生物学结构的、最小的生命单位。病毒本身不能复制,但通过感染其他细胞,在相应的细胞内,利用宿主细胞的某些功能实现自身复制和传播。虽然病毒是目前发现的最小微生物,但它一旦进入宿主细胞,就会给宿主造成极大的伤害,不管是动物还是植物都难逃病毒的攻击。,1.2 生物病毒和计算机病毒的比较(续),病毒的特点 个体极小 大多数病毒都比细菌小得多,需借助电子显微镜才能看见。 寄生性 病毒没有独立的代谢活动,它们只能在特定的、活的宿主细胞中繁殖,脱离宿主细胞便不能进行任何形式的代谢,在活体外不具有任何生命特征。 没有细胞结构,化学组成与繁殖方式较简单 病毒没有细胞结构,不具备其繁殖所需的组织,它必须依赖于宿主细胞进行复制。,1.2 生物病毒和计算机病毒的比较(续),生物病毒的繁殖过程 病毒感染宿主细胞进行繁殖的过程可分为吸附、侵入、复制与聚集。 吸附:吸附是病毒感染细胞的第一步。 侵入:病毒侵入的方式决定于宿主细胞的性质。 病毒复制与聚集,1.2 生物病毒和计算机病毒的比较 (续),生物病毒和计算机病毒的联系与区别 计算机病毒与生物病毒有很多相似之处,如病毒体都很微小、能够寄生、感染、传播、潜伏、发作等。 计算机病毒与生物病毒的类似性提示人们,二者之间在其原理方面亦应存在本质的共性,其在被清除或被控制方面亦应存在共同之处。把计算机病毒清除技术移植到对生物病毒的防治,将可能为人们从机制上控制病毒性疾病的流行提供全新的探索性途径。同时,也可以把生物病毒的防治技术引入计算机病毒的防治,如研究各种计算机病毒的疫苗和基于免疫的计算机安全策略等。,1.2 生物病毒和计算机病毒的比较 (续),生物病毒和计算机病毒的联系与区别 当然,计算机病毒与生物病毒也有着本质的不同,它们的寄生环境不同、感染对象不同、传播途径不同、破坏活动也不同。,1.3 计算机病毒分类,按计算机病毒寄生方式和感染途径分类 引导型病毒 引导型病毒感染软盘中的引导区,蔓延到用户硬盘,并能感染到用户盘中的“主引导记录”。 引导型病毒几乎都会常驻内存,差别仅在于内存中的位置不同。引导型病毒按其寄生对象的不同又可分为两类:MBR(主引导区)病毒和BR(引导区)病毒。 MBR病毒也称分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的有“大麻”病毒。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区,典型的有“Brain”、“小球”病毒。,1.3 计算机病毒分类 (续),按计算机病毒寄生方式和感染途径分类 文件型病毒 文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。 文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。 源码型病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。 嵌入型病毒是嵌入在程序中的,它只针对某种具体程序起作用,如“DBASE”病毒。 文件型病毒按其驻留内存方式的不同可分为驻留型和不驻留内存型。,1.3 计算机病毒分类 (续),按计算机病毒寄生方式和感染途径分类 混合型病毒 混合型病毒,也称综合型、复合型病毒,同时具备引导型和文件型病毒的特征,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件。这类病毒有极强的传染性,危害性大,清除难度也更大。,1.3 计算机病毒分类 (续),按计算机病毒攻击的操作系统分类 攻击DOS系统的病毒 攻击Windows系统的病毒 攻击Unix系统的病毒 攻击OS/2系统的病毒 其他操作系统上的病毒,1.3 计算机病毒分类 (续),按计算机病毒攻击的计算机类型分类 攻击微型机的病毒 攻击小型计算机的病毒 攻击工作站的病毒,1.3 计算机病毒分类 (续),按计算机病毒的链接方式分类 计算机病毒需要进入系统,从而进行感染和破坏,因此,病毒必须与计算机系统内可能被执行的文件建立链接。这些被链接的文件可能是操作系统文件,可能是以各种程序设计语言编写的应用程序,也可能是应用程序所用到的数据文件(如Word文档)。,1.3 计算机病毒分类 (续),按计算机病毒的链接方式分类 源码型病毒 这类病毒攻击高级语言编写的程序,该病毒在高级语言编写的程序被编译之前插入到源程序之中,经编译成为合法程序的一部分。 嵌入型病毒 这种病毒将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击对象以插入方式链接。一旦病毒侵入宿主程序,对其杀毒是十分困难的,清除这类病毒时往往会破坏合法程序。,1.3 计算机病毒分类 (续),按计算机病毒的链接方式分类 外壳型病毒 外壳型病毒包围在主程序的周围,对原来的程序不作修改。当宿主程序执行时首先执行并激活病毒程序,使病毒得以感染、繁衍和发作。 操作系统型病毒 这种病毒意图用自己的程序加入或部分取代部分操作系统功能进行工作。,1.3 计算机病毒分类 (续),按计算机病毒的表现(破坏)情况分类 良性病毒 良性病毒是指不包含对计算机系统产生直接破坏作用代码的计算机病毒。 恶性病毒 恶性病毒是指在代码中包含损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。,1.3 计算机病毒分类 (续),按计算机病毒的传播媒介分类 单机病毒 单机病毒的载体是磁盘、光盘和U盘等可移动存储介质。常见的是病毒从软盘、U盘、光盘传入硬盘,感染系统,然后再感染其它可移动存储介质,进而再感染其他系统。 网络病毒 网络病毒利用计算机网络的协议、命令、E-Mail、FTP、Web、QQ等进行传播,已经成为病毒中危害最为严重的种类,如今的病毒大多都是网络病毒。,1.4 计算机病毒的传播途径,计算机病毒具有自我复制的特点,传染性是计算机病毒的基本特征之一,因此,研究计算机病毒的传播途径极为重要。 从计算机病毒的传播机理分析可知,只要是能够进行数据交换的介质,都有可能成为计算机病毒的传播途径。,1.4 计算机病毒的传播途径 (续),计算机病毒的传播途径 通过移动存储设备进行传播 移动存储设备包括磁带、软盘、光盘、U盘、移动硬盘等。 通过不可移动的计算机硬件设备进行传播 通过计算机的专用ASIC芯片等传播。这种病毒虽然极少,但破坏力极强,目前尚没有较好的检测对付手段。,1.4 计算机病毒的传播途径 (续),计算机病毒的传播途径 通过有线网络系统进行传播 电子邮件 WWW浏览 FTP文件传输 BBS 网络聊天工具,1.4 计算机病毒的传播途径 (续),计算机病毒的传播途径 通过无线通信系统进行传播 无线网络已经越来越普及,但无线装置拥有防毒程序的却不多。由于未来有更多手机通过无线通信系统和互联网连接,手机已成为病毒的新的攻击目标。,1.5 计算机病毒的危害与症状,计算机病毒的危害 对计算机数据信息的直接破坏 大部分病毒在发作的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMOS设置等。 占用磁盘空间 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 抢占系统资源 大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒抢占内存,导致内存减少,致使一部分软件因内存不足而不能运行。,1.5 计算机病毒的危害与症状(续),计算机病毒的危害 影响计算机运行速度 病毒为了判断传染激发条件,总要对计算机的工作状态进行监视,这相对于计算机的正常运行状态既多余又有害。 有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态。 病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢, 而且打乱软盘正常的读写顺序并发出刺耳的噪声。 特洛伊木马不断自动升级更新、执行远程指令、向远程计算机发送本地信息,严重影响用户网络访问速度。,1.5 计算机病毒的危害与症状(续),计算机病毒的危害 计算机病毒错误与不可预见的危害 大量含有未知错误的病毒扩散传播其后果是难以预料的。 计算机病毒的兼容性对系统运行的影响 病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机。 计算机病毒造成心理的和社会的危害 发现系统感染病毒,会产生潜在的恐惧,极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量的。,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 屏幕显示异常 系统声音异常 系统工作异常 不承认硬盘或系统引导失败。 开机出现黑屏。 内存空间减小,系统运行速度下降。 系统自动重启、异常死机、用户没有访问的设备出现工作信号。,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 键盘工作异常 响铃 重复字符。 文件系统异常 文件长度变化 时间日期变化 文件数目变化 文件后缀变化,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 打印机异常 假报警 更换字符 间接性打印,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 其他异常形式 坏轨增加 发出虚假报警 修改磁盘卷标 打开Word文档后,该文件无法另存为一个.DOC文档,只能保存成模板文档( .DOT);Word菜单有关宏的选项丢失。 Windows桌面图标发生变化 网络瘫痪,1.6 计算机病毒及其他破坏性程序演化历史,病毒的发展过程 计算机刚刚诞生时就有了计算机病毒的概念。 病毒的发展阶段 在计算机病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。,1.6 计算机病毒及其他破坏性程序演化历史(续),病毒的发展阶段 DOS引导型病毒 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。 DOS可执行阶段病毒 1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒。 伴随、批次型病毒阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。,1.6 计算机病毒及其他破坏性程序演化历史(续),病毒的发展阶段 幽灵、多形型病毒阶段 1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。 生成机病毒阶段 1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机地插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成机生成。当生成的是病毒时,这种复杂的病毒生成器和变体机就产生了。,1.6 计算机病毒及其他破坏性程序演化历史(续),病毒的发展阶段 网络蠕虫病毒阶段 1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。 Windows阶段 1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873。 宏病毒阶段 1996年出现了针对微软公司Office的“宏病毒”。,1.6 计算机病毒及其他破坏性程序演化历史(续),病毒的发展阶段 因特网病毒阶段 1997年,随着因特网的发展,各种病毒开始利用因特网进行快速传播和破坏。 Java、邮件炸弹阶段 1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。,1.6 计算机病毒及其他破坏性程序演化历史(续),当前流行的蠕虫病毒的发展 网络蠕虫利用互联网将自身从一台计算机传播到另一台计算机,在网络中不断复制自己。只要系统中的蠕虫处于活动状态,它就能对系统产生巨大的破坏行为。网络蠕虫利用电子邮件、远程执行、远程登录等进行传播。,1.6 计算机病毒及其他破坏性程序演化历史(续),计算机病毒的发展趋势 在计算机病毒的发展史上,病毒的出现呈现一定的规律性,计算机病毒技术不断提高。研究病毒的发展趋势,能够更好地开发反病毒技术,防治计算机病毒的危害,保障计算机信息产业的健康发展。 智能化 与传统计算机病毒不同的是,许多新病毒(包括蠕虫、黑客工具和木马等恶意程序)是利用当前最新的编程语言与编程技术实现的,它们易于修改以产生新的变种,从而逃避反病毒软件的搜索。,1.6 计算机病毒及其他破坏性程序演化历史(续),计算机病毒的发展趋势 人性化 现在的计算机病毒越来越注重利用人们的心理因素,如好奇、贪婪等。 隐蔽化 相比较而言,新一代病毒更善于隐藏和伪装自己,其邮件主题会在传播中改变。,1.6 计算机病毒及其他破坏性程序演化历史(续),计算机病毒的发展趋势 专用病毒生成工具的出现 正是由于这类工具太容易得到,使得现在新病毒出现的频率超出以往的任何时候。 攻击反病毒软件 病毒发展的另一个趋势表现为专门攻击反病毒软件。,1.6 计算机病毒及其他破坏性程序演化历史(续),计算机病毒的发展趋势 网游病毒大行其道 受经济利益驱使,利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料的病毒目前十分活跃。 。 综合利用多种编程新技术 从Rootkit技术到映象劫持技术,磁盘过滤驱动到还原系统SSDT HOOK和还原其它内核HOOK技术,病毒为达到目的所采取的手段已经无所不用其极。,1.7 计算机病毒的基本防治,计算机病毒的基本防治 不论是良性病毒还是恶性病毒,一旦侵入系统都会给系统的正常运行造成一定的破坏,特别是通过网络传播的计算机病毒,能在很短的时间内使整个网络处于瘫痪状态,从而造成巨大的经济损失。因此,预防病毒的入侵、阻止病毒的传播,及时地消除计算机病毒是一项非常重要的工作。 解决病毒攻击的理想方法是对病毒进行预防,即在第一时间阻止病毒进入系统。因为没有病毒的入侵,也就没有病毒的传播,更不需要消除病毒。,1.7 计算机病毒的基本防治(续),计算机病毒的基本防治 防毒是从病毒的寄生对象、内存驻留方式、传
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号