3计算机病毒的综合解决方案和预防.ppt

* *第3章计算机病毒和预防本章的主要内容: 3.1计算机病毒概述3.2计算机病毒的工作机制3.3计算机病毒示例3.4计算机病毒的检测和清除3.1计算机病毒概述1983年11月3日，美国计算机安全科学家Fred Cohen博士开发了一种破坏性程序，该程序可以在操作过程中自我复制. 伦·阿德曼（Len Adleman）正式将其命名为计算机病毒，并且在每个计算机安全学术会议中正式提出. 1998年6月，CIH病毒出现了. CIH病毒是历史上最具影响力的病毒之一. 该病毒是第一种直接攻击和破坏硬件的计算机病毒. 它主要感染Windows 95/98的可执行程序，并且在攻击过程中可能损坏计算机的Flash BIOS芯片中的系统程序，从而损坏主板并破坏硬盘中的数据. CIH病毒是迄今为止最具破坏性的病毒. 2002年4月16日，亚洲地区爆发了一种新型的恶意病毒，即“求职信”病毒. 它使用电子邮件迅速传播，传播势头非常猛烈. 新的病毒风暴来了. 全球扩张. 3.1.2计算机病毒的特征传染性2.未经授权3.隐瞒4. 潜在性5.破坏性6.不可预测性3.1.3计算机病毒的类型根据病毒的寄生方式进行分类（1）文件类型病毒文件类型病毒主要基于扩展名为.COM，.EXE和.OVL的可执行文件. 受感染的文件.

其安装必须依赖病毒的载体程序，即，必须运行病毒的载体程序才能将文件病毒引入内存. （2）引导病毒引导病毒会感染软盘的引导扇区以及硬盘的主引导记录或引导扇区. 这是一种病毒，在BIOS启动后引导系统时会出现. 它早于操作系统，它所依赖的环境是BIOS中断服务程序. （3）混合病毒混合病毒既具有引导病毒又具有文件病毒的特征，可以感染.COM，.EXE等可执行文件，还可以感染磁盘的引导区域. 2.按病毒感染方法分类（1）驻留病毒（2）非居民病毒3.按病毒的破坏能力分类（1）无危险（2）无危险（3）危险（4） ）非常危险根据病毒特定的算法分类（1）伴随病毒（2）“蠕虫”病毒（3）寄生病毒5. 按照病毒链接方法分类（1）源代码病毒（2）嵌入式病毒（3）外壳病毒（4）操作系统病毒3.​​2计算机病毒的工作机制几乎所有当前的计算机病毒都由三个部分组成电脑病毒与危害ppt，即引导模块，感染模块和性能模块. 引导模块使用主机程序将病毒体从外部内存加载到内存中，以使感染模块和性能模块进入活动状态. 感染模块负责将病毒代码复制到感染目标. 性能模块是病毒之间差异最大的部分. 它可以判断病毒的触发条件并实现病毒的破坏功能.

3.2.1引导病毒1. 引导区的结构2. 电脑的启动过程3. 引导病毒的基本原理引导病毒感染的对象主要是软盘的引导扇区，主引导扇区和硬盘的引导扇区. 因此，当系统启动时，此类病毒将优先于正常系统将自身加载到系统中并获得对系统的控制权. 病毒程序完成其自己的安装后，它将把系统的控制权移交给真实的系统程序以完成系统的启动，但是系统现在处于病毒程序的控制之下. 引导型病毒也可以分为两种类型: 根据其存储方式进行覆盖和传播. 当覆盖的启动病毒感染磁盘的启动区域时电脑病毒与危害ppt，病毒代码将直接覆盖正常的启动记录. 如果病毒初始化模块从磁盘中的原始启动记录完成了系统的正常启动，则转移启动病毒会在感染磁盘的启动区域之前保留原始启动记录，并将其转移到磁盘的其他扇区. 未来. 绝大多数引导病毒是转移性引导病毒. 3.2.2文件类型病毒文件类型病毒可分为三类: 寄生病毒，覆盖病毒和伴随病毒. 当寄生病毒感染后，病毒代码将添加到正常程序中，并且某些或全部原始程序的功能将保留. 寄生病毒可以通过多种方式将其添加到正常程序中. 根据添加病毒代码的方式不同，它可以分为四种类型: “头部寄生”，“尾部寄生”，“插入寄生”和“漏洞使用”. 覆盖病毒会直接用病毒程序替换受感染的程序.

伴随病毒不会更改受感染的文件，而是会为受感染文件创建一个伴随文件（病毒文件）. 文件病毒的基本原理如下: 执行被感染程序后，病毒会预先获得控制权，然后执行以下操作. （1）驻留在内存中的病毒首先检查系统内存，以查看病毒是否已存在于内存中. 如果不是，则将病毒代码加载到内存中进行感染. （2）对于驻留内存的病毒，驻留时会将某些DOS或基本输入输出系统（BIOS）中断定向到病毒代码. （3）执行病毒的其他某些功能，例如破坏功能，显示信息或精心制作病毒的. （4）完成这些任务后，病毒将控制权返回给受感染的程序，从而可以正常执行程序. 3.2.4宏病毒宏病毒是一种用宏语言编写的程序，它依赖于Microsoft Office Office Suite Word，Excel，PowerPoint和其他应用程序进行传播. 1.宏病毒的特征（1）宏病毒与传统文件病毒有很大不同. 它不会感染.EXE和.COM等可执行文件，但是会将病毒代码以“宏”形式潜伏在Office文件中，主要是感染Word和Excel等文件. （2）宏病毒的感染必须通过宏语言执行环境的功能，并且宏病毒代码不能直接添加到二进制数据文件中. （3）宏病毒是与平台无关的病毒. 任何可以正确打开并理解Word文件的宏代码的平台都可能感染了宏病毒.

（4）此外，宏病毒易于编写和破坏. （5）宏病毒的传播非常快. 3.宏病毒的性能（1）一些宏病毒只会自我传播，不会造成破坏. （2）这些宏病毒只会骚扰用户，不会损坏系统. （3）一些宏病毒具有极强的破坏性. 3.2.5网络病毒随着网络的发展，网络病毒已成为对计算机网络安全的最大威胁之一. 在网络病毒中，蠕虫是最早且传播最广的蠕虫. 1.蠕虫的传播蠕虫的传播可以分为三个基本模块: 扫描模块，攻击模块和复制模块. 因此，其传播过程也包括三个部分: 扫描，攻击和复制. （1）扫描蠕虫的扫描功能模块负责检测易受攻击的主机. 当程序将信息发送到主机以检测漏洞并接收成功的反馈信息时，它将获得可传播的对象. （2）攻击攻击模块根据漏洞攻击步骤自动攻击步骤（1）中发现的对象，获取主机的权限（通常为管理员权限），获取shell. （3）复制模块通过原始主机和新主机之间的交互将蠕虫程序复制到新主机并启动. 通过以上传播过程，我们可以看到蠕虫病毒的传播过程实际上是病毒自动入侵的过程，因此蠕虫病毒的传播与病毒的入侵密不可分. 2.蠕虫病毒的入侵过程蠕虫病毒采用的自动入侵技术. 由于程序大小的限制，自动入侵程序不能太智能. 因此，自动入侵一般采用某种模式. 此模式是由普通入侵引起的. 摘自技术.

（1）“扫描攻击复制”模式随机选择某个IP地址，然后在该地址段上扫描主机. 扫描发送的探测包是根据不同的漏洞设计的. 攻击成功后，通常会获得远程主机的外壳. 对于Windows 2000，外壳为cmd.exe. 获得此外壳程序之后，您就可以控制整个系统. （2）其他蠕虫传播模式也可以使用邮件自动传播作为一种模式. 3.3计算机病毒示例3.3.1 CIH病毒CIH病毒是一种文件类型病毒，也称为Win95.CIH，Win32.CIH和PE_CIH，其宿主是Windows 95/98系统下的PE格式可执行文件（.EXE文件）. ，该病毒在DOS平台和Windows NT / 2000平台中不起作用. 3.3.2红色代码病毒“红色代码”病毒是一种新型的网络病毒. 用于其传播的技术可以完全反映网络时代网络安全和病毒的巧妙结合. 它将网络蠕虫，计算机病毒和木马程序结合在一起，为网络病毒的传播创造了一条新途径，这种病毒可以称为跨代病毒. 下面简要介绍Red Code II的病毒工作机制. 当本地IIS服务程序由于漏洞而从红色代码II接收到请求数据包时，处理功能堆栈将溢出（溢出）. 当函数返回时，原始返回地址已被病毒数据包覆盖，程序运行行运行到病毒数据包中. 此时，该病毒被激活并在IIS服务程序的堆栈上运行. *

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-244706-1.html