计算机病毒课件

计算机病毒的分类与传播原理以及著名的病毒分析计算机病毒走进病毒世界实例分析传播原理分类本质virus计算机病毒计算机病毒是什么？

1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”计算机病毒有哪些特征?1.传染性指病毒具有把自身复制到其它程序中的特性2.取得系统控制权3.隐蔽性通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。

4.破坏性

计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏5.潜伏性潜伏性长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。6.不可预见性计算机病毒计算机病毒的分类病毒攻击的操作系统（1）攻击DOS系统的病毒（2）攻击Windows系统的病毒用户使用多，主要的攻击对象（3）攻击UNIX系统的病毒（4）攻击OS/2系统的病毒（5）攻击NetWare系统的病毒病毒的链接方式（1）源码型病毒（3）外壳型病毒（4）操作系统型病毒（2）嵌入型病毒病毒的载体（1）引导型病毒（2）文件型病毒：.com.exe（4）混合型病毒计算机病毒的破坏能力.............................病毒特有的算法不同（3）网络病毒（1）伴随型病毒（2）“蠕虫”型病毒（3）寄生型病毒练习型病毒诡秘型病毒变型病毒病毒的攻击机型.........计算机病毒病毒的工作步骤与机制休眠状态特定的程序被执行将自身程序复制给其他程序或磁盘区域病毒激活执行特定功能达到既定目标破环文件感染程序潜伏阶段传染阶段触发阶段发作阶段触发机制破坏机制传播机制引导机制传染机制五大机制计算机病毒

▲引导机制病毒作为一种特殊的程序，就必须从存储体进入内存才能实现其预定功能。所以其寄生对象主要分为寄生在计算机硬盘的主引导扇区；寄生在计算机磁盘逻辑分析引导扇区；寄生在可执行程序中。其寄生方式为：替代法链接法（用自身的指令代码替代原有的内容）（将自身代码作为正常程序的一部分链接在程序的首部、尾部或中间）引导过程：

1：驻留内存（网络病毒不需要）

2：获取系统控制权

3：恢复系统功能（为了隐藏自己，系统不会出现死机等异常状况，使用户无法发现病毒的存在。）计算机病毒指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。

传染方式被动传播主动传播（用户在复制磁盘或文件时，把一个计算机病毒由一个信息载体复制到另一个信息载体，也可以通过网络把程序从一方传到另一方。）（在计算机病毒处于激活的状态下，只要传染条件满足，计算机病毒程序能主动地把计算机病毒自身传染给另一个载体或另一个系统。）传染过程对于被动传播的病毒而言：其传染过程是随着复制磁盘或文件工作的进行而进行的。对于主动传播的病毒而言：其传染过程是在系统运行时，计算机病毒通过计算机病毒载体即系统的外存储器进入系统的内存储器，常驻内存，并在系统内存中监视系统的运作。在计算机病毒引导模块将计算机病毒传染模块驻留内存的过程中，通常要修改系统中断向量入口地址（如INT13H或INT21H)，使该中断向量指向计算机病毒程序传染模块。一旦系统执行磁盘读写操作或系统功能调用，计算机病毒传染模块激活，在条件满足的条件下，利用INT13H读写磁盘中断把计算机病毒自身传染给读写的磁盘或加载程序，也就是实施计算机病毒的传染，然后再转移到原中断服务程序执行原有的操作。▲传染机制计算机病毒

▲触发机制可触发性是计算机病毒的攻击性与潜伏性之间的调整杠杆，可以控制计算机病毒感染和破坏的频度，兼顾杀伤性和潜伏性。一般触发条件越苛刻，病毒就具有越好的潜伏性，但不易传播，所以杀伤力就减弱。目前采用的触发条件一般有：1.日期触发

（"CIH"病毒4月26号发作）2.时间触发3.键盘触发4.感染触发5.启动触发6.访问磁盘触发...........例如：火炬病毒发作时，屏幕上显示5把燃烧的火炬，同时该病毒用内存的随机数从硬盘的物理第一扇区开始覆盖，造成硬盘中的数据丢失。

与传染机制基本相同，通过修改某一中断量入口地址，使该中断向量指向计算机病毒程序的破坏模块，当系统访问该向量时，破坏模块就被激活，对计算机上的文件产生破坏行为。

▲破坏机制计算机病毒▲

传播方式：

计算机病毒直接从有盘站复制到服务器中。

计算机病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器。

计算机病毒先传染工作站，在工作站内存驻留，在计算机病毒运行时直接通过映像路径传染到服务器中。④

如果远程工作站被计算机病毒侵入，病毒也可以通过通信中数据交换进入网络服务器中。▲传播机制计算机网络的基本构成

网络服务器网络节点站有盘工作站无盘工作站远程工作站计算机病毒的传播途径：（1）通过不可移动的计算机硬件设备进行传播，即利用专用ASIC芯片和硬盘进行传播；（2）通过移动存储设备来传播，其中U盘和移动硬盘是使用最广泛、移动最频繁的存储介质；（3）通过计算机网络进行传播；（4）通过点对点通信系统和无线通道传播。计算机病毒著名的计算机病毒分析C.传统蠕虫(4%)B.邮件蠕虫(27%)A.漏洞蠕虫(69%)蠕虫病毒与一般病毒的区别

普通病毒蠕虫病毒存在形式寄存文件

独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机█蠕虫型病毒网络蠕虫成为最主要和破坏力最大的计算机病毒类型。病毒名称持续时间造成损失爱虫病毒(ILOVEYOU)2000年5月至今众多用户计算机被感染，损失超过100亿美元红色代码(CodeRed)2001年7月100多万台计算机感染，直接经济损失超过26亿美元求职信2001年12月大量病毒邮件堵塞服务器，损失达数百亿美元SQL蠕虫王2003年1月网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元冲击波(Blaster)2003年20亿~100亿美元，受到感染的计算机不计其数霸王虫(Sobig.F)2003年50亿~100亿美元，超过100万台计算机被感染震荡波(Sasser)2004年8月损失估计：数千万美元计算机病毒█特洛伊木马病毒

谈到木马，人们就想到病毒，木马也算是一种病毒，但与传统的计算机病毒不同。木马是一种恶意代码，它通常并不像病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主，还能对计算机进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性。木马的运行模式属于客户/服务模式，它包括两大部分，即客户端和服务端。其原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)，作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。木马通常的攻击步骤是：

Ⅰ：设定好服务器程序；Ⅱ：骗取对方执行服务器程序；Ⅲ：寻找对方的地址IP；Ⅳ：

用客户端程序来控制对方的计算机。

计算机病毒

中了灰鸽子会出现什么情况？

事实是什么情况都会出现。灰鸽子能够记录你的键盘击键记录，能够远程开启摄像头，打开麦克风，能够下载你电脑里的任何文件。几乎你能够想到的电脑基本操作，黑客都可以通过灰鸽子远程控制实现。从灰鸽子诞生的2001年到销声匿迹的2008年之间，正好遭遇了全民皆黑客的年代，灰鸽子因为操作简单，上手快，很快的成为当时最泛滥的木马病毒，近中国国内至少有上千万台电脑感染过灰鸽子病毒。有趣的是，灰鸽子的作者并没有像熊猫烧香的李俊一样，一直用灰鸽子赚钱。在2008年之后该作者转而开发防火墙，专门用来防护自己的灰鸽子。【代号：灰鸽子】感染系统：windows系统发作时间：2001年传播方式：多种网络传播方式计算机病毒CIH病毒CIH（英语又称为Chernoby1或Spacefiller）是一种电脑病毒，其名称源自它的作者，当时仍然是台湾大同工学院（现大同大学）学生的电脑技术鬼才陈盈豪的名字的拼音缩写。它被认为是最有害的广泛传播的病毒之一，会破坏用户系统的全部信息，在某些情况下，会重写系统的BIOS（BIOS是英文“Basic

InputOutputSystem”的缩略语，直译过来后中文名称就是“基本输入输出系统”。其实，它是一组固化到计算机内主板上一个ROM芯片上的程序，它保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。）

CIH的运作原理：

通常，CIH病毒的传染方式是通过修改文件头部的程序入口地址，使其指向病毒的引导代码，在这一点上，CIH病毒和以前DOS环境中的多数病毒是类似的。CIH的载体一个名为“ICQ中文Chat模块”的工具，并以热门盗版光盘游戏如“盗墓奇