欢迎来到天天文库
浏览记录
ID:40344596
大小:608.50 KB
页数:69页
时间:2019-07-31
《计算机网络安全基础 第4版 袁津生 吴砚农 第5章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第5章恶意代码及网络防病毒技术恶意代码是指能够破坏计算机系统功能、未经用户许可非法使用计算机系统,影响计算机系统、网络正常运行,窃取用户信息的计算机程序或代码。按传播方式,恶意代码可以分成五类:病毒,木马,蠕虫,移动代码和复合型病毒。1计算机网络安全基础(第三版)第5章恶意代码及网络防病毒技术本章主要内容:1.计算机病毒2.宏病毒及网络病毒3.特洛伊木马4.蠕虫病毒5.其他恶意代码6.病毒的预防、检测和清除2计算机网络安全基础(第三版)5.1计算机病毒计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统
2、,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。1.计算机病毒的分类(1)文件病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行系列。3计算机网络安全基础(第三版)5.1计算机病毒(2)引导扇区病毒。它会潜伏在软盘的引导扇区,或者是在硬盘的引导扇区,或主引导记录(分区扇区中插入指令)。此时,如果计
3、算机从被感染的软盘引导时,病毒就会感染到引导硬盘,并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。(3)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合种,它能感染可执行文件,从而能在网上迅速传播蔓延。4计算机网络安全基础(第三版)5.1计算机病毒(4)秘密病毒。这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来,具有很大的欺骗性。因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来非常正常。秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多读
4、操作重定向。(5)异形病毒。这是一种能变异的病毒,随着感染时间的不同而改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法对此显得软弱无力。5计算机网络安全基础(第三版)5.1计算机病毒(6)宏病毒。宏病毒不只是感染可执行文件,它可以感染一般软件文件。宏病毒是利用宏语言编写的,不面向操作系统,所以,它不受操作平台的约束,可以在DOS、Windows、Unix、Mac甚至在OS/2系统中散播。这就是说,宏病毒能被传到任何可运行编写宏病毒的应用程序的机器中。6计算机网络安全基础
5、(第三版)5.1计算机病毒2.计算机病毒的传播计算机病毒是由计算机黑客们编写的,这些人想证明它们能编写出不但可以干扰和摧毁计算机,而且能将破坏传播到其它系统的程序。最早被记录在案的病毒之一是1983年由南加州大学学生FredCohen编写的,当该程序安装在硬盘上后,就可以对自己进行复制扩展,使计算机遭到“自我破坏”。1985年病毒程序通过电子公告牌向公众提供。7计算机网络安全基础(第三版)5.1计算机病毒计算机病毒通过某个入侵点进入系统来感染该系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在
6、计算机网络系统中,可能的入侵点还包括服务器、E-mail附加部分、BBS上下载的文件、3W站点、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实验室和其它共享设备。病毒一旦进入系统以后,通常用以下两种方式传播:(1)通过磁盘的关键区域;(2)在可执行的文件中。8计算机网络安全基础(第三版)5.1计算机病毒3.计算机病毒的工作方式病毒能表现出的几种特性或功能有:感染、变异、触发、破坏以及高级功能(如隐身和多态)。●感染任何计算机病毒的一个重要特性或功能是对计算机系统的感染。事实上,感
7、染方法可用来区分两种主要类型的病毒:引导扇区病毒和文件感染病毒。(1)引导扇区病毒引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击。9计算机网络安全基础(第三版)5.1计算机病毒引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。10计算机网络安全基础(第三版)5.1计算机病毒(2)文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它
8、将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。11计算机网络安全基础(第三版)5.1计算机病毒覆盖型文件病毒的一个特点是不改变文件的长度,使原始文件看起来非常正常。即使是这样,一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在。前依附型文件病毒将自己加在可执行文件的开始部分,而后依附型文件病毒将病毒代码附加在可执行文件的末尾。
此文档下载收益归作者所有