欢迎来到天天文库
浏览记录
ID:40106788
大小:469.50 KB
页数:121页
时间:2019-07-21
《《计算机病毒及防治》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、计算机病毒及防治计算机病毒从它诞生之日起到现在,已成为了当今信息社会的一个癌症,它随着计算机网络的发展,已经传播到信息社会的每一个角落,并大肆破坏计算机数据、改变操作程序、摧毁计算机硬件,给人们造成了重大损失。为了更好地防范计算机及网络病毒,必须了解计算机病毒的机制,同时掌握计算机病毒的预防和清除办法。16.1计算机病毒概述返回本章首页16.1.1计算机病毒的定义“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统
2、安全保护条例》中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。返回本节16.1.2计算机病毒的发展历史1.计算机病毒发展简史世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序。1988年11月2日晚,美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近
3、亿美元。2.计算机病毒在中国的发展情况在我国,80年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。1982年“黑色星期五”病毒侵入我国;1985年在国内发现更为危险的“病毒生产机”,生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代,计算机病毒在国内的泛滥更为严重。CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。3.计算机病毒发展的10个阶段(1)DOS引导阶段(2)DOS可执行文件阶段(3)混合型阶段(4)伴随型阶段(5)多形型阶段(6)生成器,变体机阶段(7)网络,蠕虫阶段(8)Windows阶段(
4、9)宏病毒阶段(10)Internet阶段返回本节计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。其产生的过程可分为:程序设计→传播→潜伏→触发、运行→实行攻击。究其产生的原因不外乎以下几种:(1)一些计算机爱好者出于好奇或兴趣(2)产生于个别人的报复心理(3)来源于软件加密(4)产生于游戏(5)用于研究或实验而设计的“有用”程序(6)由于政治经济和军事等特殊目的16.1.3计算机病毒的分类病毒种类众多,分类如下:1.按传染方式分为引导型、文件型和混合型病毒2.按连接方式分为源码型、入侵型、操作系统型和外壳型病毒3.按破坏性可分为良性病
5、毒和恶性病毒4.网络病毒返回本节16.1.4计算机病毒的特点(1)传染性(自我复制能力)(2)非授权性(夺取系统控制权)(3)隐蔽性(4)潜伏性(5)刻意编写,人为破坏(6)不可预见性返回本节16.1.5计算机病毒的隐藏之处和入侵途径1.病毒的隐藏之处(1)可执行文件。(2)引导扇区。(3)表格和文档。(4)Java小程序和ActiveX控件。2.病毒的入侵途径(1)传统方法(磁盘、光盘等)(2)Internet返回本节16.1.6现代计算机病毒的流行特征1.攻击对象趋于混合型2.反跟踪技术3.增强隐蔽性4.加密技术处理5.病毒繁衍不同变种增强隐蔽性:(1)避开修改中断向量
6、值(2)请求在内存中的合法身份(3)维持宿主程序的外部特性(4)不使用明显的感染标志加密技术处理:(1)对程序段动态加密(2)对显示信息加密(3)对宿主程序段加密返回本节16.1.7计算机病毒的破坏行为(1)攻击系统数据区(2)攻击文件(3)攻击内存(4)干扰系统运行,使运行速度下降(5)干扰键盘、喇叭或屏幕(6)攻击CMOS(7)干扰打印机(8)网络病毒破坏网络系统返回本节16.1.8计算机病毒的作用机制一个引导病毒传染的实例假定用硬盘启动,且该硬盘已染上了小球病毒,那么加电自举以后,小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段,即97C0:7C00
7、处;然后修改INT13H的中断向量,使之指向病毒的传染模块。以后,一旦读写软磁盘的操作通过INT13H的作用,计算机病毒的传染块便率先取得控制权,它就进行如下操作:1)读入目标软磁盘的自举扇区(BOOT扇区)。2)判断是否满足传染条件。3)如果满足传染条件(即目标盘BOOT区的01FCH偏移位置为5713H标志),则将病毒代码的前512字节写入BOOT引导程序,将其后512字节写入该簇,随后将该簇标以坏簇标志,以保护该簇不被重写。4)跳转到原INT13H的入口执行正常的磁盘系统操作。一个文件病毒传染的实例假如VVV
此文档下载收益归作者所有