返回
信息安全导论 印润远 第10章 病毒的防范

信息安全导论 印润远 第10章 病毒的防范

ID:40239824

大小:578.00 KB

页数:72页

时间:2019-07-28

信息安全导论 印润远 第10章 病毒的防范_第1页
信息安全导论 印润远 第10章 病毒的防范_第2页
信息安全导论 印润远 第10章 病毒的防范_第3页
信息安全导论 印润远 第10章 病毒的防范_第4页
信息安全导论 印润远 第10章 病毒的防范_第5页
资源描述:

《信息安全导论 印润远 第10章 病毒的防范》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第10章病毒的防范10.1病毒的发展史10.2病毒的原理与检测技术10.3病毒防范技术措施10.4病毒防范产品介绍思考题返回目录10.1病毒的发展史1.计算机病毒发展简史世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序。返回本节1988年11月2日晚,美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经

2、济损失近亿美元。2.计算机病毒在中国的发展情况1982年“黑色星期五”病毒侵入我国;1985年在国内发现更为危险的“病毒生产机”,生存能力和破坏能力极强。这类病毒有1537、CLME等。90年代,计算机病毒在国内的泛滥更为严重。CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。3.计算机病毒发展的10个阶段(1)DOS引导阶段(2)DOS可执行文件阶段(3)混合型阶段(4)伴随型阶段(5)多形型阶段(6)生成器,变体机阶段(7)网络,蠕虫阶段(8)Windows阶段(9)宏病毒阶段(10)Inte

3、rnet阶段返回本节10.2病毒的原理与检测技术10.2.1计算机病毒的定义10.2.2计算机病毒的特性10.2.3计算机病毒的命名10.2.4计算机病毒的分类10.2.5关于宏病毒10.2.6计算机病毒的传播途径10.2.7计算机病毒的检测方法返回本章首页10.2.1计算机病毒的定义“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。《中华人民共和国计算机信息系统安全保护条例》中的定义为:“计算机病毒是指编制或者在计算机程序

4、中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。返回本节10.2.2计算机病毒的特性1.主动传染性;2.破坏性;3.寄生性;4.隐蔽性;5.不可预见性。返回本节10.2.3计算机病毒的命名一般常见的计算机病毒命名方法有:(1)采用病毒体字节数,如1050病毒、4099病毒等。(2)病毒体内或传染过程中的特征字符串,如CIH、爱虫病毒等。(3)发作的现象,如小球病毒等。返回本节(4)发作的时间以及相关的事件,如黑色星期五病毒等。(5)病毒的发源地,如合肥2号等。(6)特定的传染目标,

5、如DIRII病毒等。通常还会加上某些指明病毒属性的前后缀,如W32/xxx、mmm.W97M等。返回本节10.2.4计算机病毒的分类通常所采用的是根据计算机病毒的感染途径以及所采用的技术来划分的,传统上对计算机病毒的分类包括引导型病毒(BootVirus)、文件型病毒(FileVirus)和混合型病毒(MixedVirus)等三大类。返回本节1.特洛伊木马(1)特洛伊木马藏身在非可执行文件的代码中(例如,压缩文件和文档文件),为了不被众多的检测程序发现,有藏身在一个可执行文件中。(2)特洛伊木马是一个满怀敌意的破坏安全性的程序

6、。它佯装为某种形式,例如,路径列表、备份、游戏或者查找并破坏病毒的程序。返回本节(3)著名的特洛伊木马之一是C.rackeriack共享软件的一个早期版本。Crackeriack检测口令文件中相关口令的长度。当用户运行Crackeriack破解口令时,它列出破解的所有口令,并要用户删除该文件。这个软件的最初版本的功能不仅是破解口令,而且秘密地把口令文件的内容报告给企图把特洛伊木马插入该软件的人。返回本节2.多态病毒多态病毒能够自身加密,加密的病毒经常隐藏它的特征,避开反病毒软件。为了传播多态病毒(或其他加密病毒),病毒首先用一

7、种专门的解密程序为加密端口解密。一个解密程序把一个加密文件转换成最初的状态。多态病毒的解密程序取得计算机控制权时病毒自身解密。解密后,解密程序把计算机控制权传给病毒,病毒因此而传播。返回本节3.行骗病毒行骗病毒隐藏它对你的文件或引导扇区的修改。Stealth病毒通过监控操作系统从存储介质中读文件或扇区的系统函数,并消除它们调用系统函数产生的后果,从此达到隐藏修改的目的。这样当程序读这些被感染文件或扇区时,他们看到的是原始的、未被感染的形式,而不是被感染的形式。返回本节行骗病毒的感染过程如下:(1)用户请求读硬盘驱动器引导区。(

8、2)病毒服务设施请求。(3)ROM服务器提供该用户一个正常的引导记录。返回本节4.慢效病毒(1)慢效病毒是很难被检测到的,因为它们仅感染操作系统正在修改和拷贝的文件(如DOS、Windows中COM文件),也就是说,慢效病毒仅在用户操作文件时感染该文件。例如,慢效病毒在FOR

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。