计算机病毒、蠕虫和特洛伊木马介绍

计算机病毒、蠕虫和特洛伊木马介绍

ID:37580054

大小:4.76 MB

页数:44页

时间:2019-05-12

计算机病毒、蠕虫和特洛伊木马介绍_第1页
计算机病毒、蠕虫和特洛伊木马介绍_第2页
计算机病毒、蠕虫和特洛伊木马介绍_第3页
计算机病毒、蠕虫和特洛伊木马介绍_第4页
计算机病毒、蠕虫和特洛伊木马介绍_第5页
资源描述:

《计算机病毒、蠕虫和特洛伊木马介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机病毒、蠕虫和特洛伊木马提纲计算机病毒网络蠕虫特洛伊木马计算机病毒病毒结构模型病毒的分类引导型病毒文件型病毒宏病毒病毒举例病毒防范计算机病毒的结构传染条件判断传染代码表现及破坏条件判断破坏代码传染模块表现模块计算机病毒的分类按攻击平台分类:DOS,Win32,MAC,Unix按危害分类:良性、恶性按代码形式:源码、中间代码、目标码按宿主分类:引导型主引导区操作系统引导区文件型操作系统应用程序宏病毒引导型病毒—引导记录主引导记录(MBR)55AA主引导程序(446字节)分区1(16字节)主分区表(

2、64字节)分区2(16字节)分区3(16字节)分区4(16字节)结束标记(2字节)引导代码及出错信息A引导型病毒——系统引导过程PowerOnCPU&ROMBIOSInitializesPOSTTestsLookforbootdeviceMBRbootPartitionTableLoadDOSBootSectorRunsLoadsIO.SYSMSDOS.SYSDOSLoaded引导型病毒—感染与执行过程系统引导区引导正常执行病毒病毒执行病毒驻留带毒执行。。。。。病毒引导系统病毒体。。。病毒的激活过程

3、空闲区。内存空间病毒进入int8int21int2Fint4A时钟中断处理DOS中断处理外设处理中断实时时种警报中断空闲区带病毒程序空闲区空闲区正常程序病毒int8int8。int8。int8int8int8int8int8int8int8int8int8int8。int8int8空闲区正常程序正常程序。正常程序正常程序int8是26日?是,破坏!int8……举例—小球病毒(BouncingBall)在磁盘上的存储位置文件分配表病毒的第二部分……000号扇区001号扇区第一个空簇FF7正常的引导扇区

4、正常的引导扇区病毒的第一部分感染后的系统启动过程启动将病毒程序的第一部分送入内存高端将第二部分装入内存,与第一部分拼接在一起读入真正的Boot区代码,送到0000:TC00处修改INT13中断向量,指向病毒转移到0000:TC00处,开始真正的系统引导触发条件--修改后的INT13进入INT13中断是否为读盘?执行正常的INT13程序执行正常的INT13程序N所读盘是否是自身?Y修改INT8开始发作Y是否整点或半点Y执行正常的INT13程序Y是否带病毒?N调用传染过程感染磁盘N不发作执行正常的INT

5、13程序N病毒检测原理特征匹配例如,在香港病毒:1F58EA1AAF00F09C:POPAXJMPF000∶AF1APUSHF行为监控对中断向量表的修改对引导记录的修改对.exe,.com文件的写操作驻留内存软件模拟防范与检测数据备份不要用移动介质启动(设置CMOS选项)设置CMOS的引导记录保护选项安装补丁,并及时更新安装防病毒软件,及时更新病毒定义码限制文件共享不轻易打开电子邮件的附件没有病毒处理前不要使用其他移动介质不要运行不可信的程序移动介质写保护文件型病毒—文件结构.COM文件.EXE文件

6、PSPHeader(256bytes)Code,Data,StackSegment(s)(64KBytes)代码、数据、堆栈在通一段中在内存中的.COM是磁盘文件的镜像PSPHeader(512bytes)CodeSegment(s)(64K)DataSegment(s)(64K)StackSegment(s)(64K)其他可执行的文件类型.BAT.PIF.SYS.DRV.OVR.OVL.DLL.VxD正常程序正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程

7、序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头正常程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序头病毒程序头程序

8、头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序程序头病毒程序病毒程序病毒程序病毒程序正常程序程序头程序头文件型病毒感染机理文件型病毒举例最简单的病毒Tiny-32(32bytes)寻找宿主文件打开文件把自己写入文件关闭文件MOVAH,4E;setuptofindafileINT21;findthehostfileMOVAX,3D02;setuptoopenthehostfileINT21;openhostfileMOVAH,40;setuptowr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。