病毒基礎(chǔ)知識分解

1、病毒基礎(chǔ)知識,目錄,病毒的定義 病毒的發(fā)展史病毒的特征與分類病毒的組成病毒的傳播方式病毒的影響病毒的防治 提問、總結(jié),一、病毒的定義,定義1（國外狹義）：計(jì)算機(jī)病毒是一種程序，它可以感染其它程序，感染的方式為在被感染程序中加入計(jì)算機(jī)病毒的一個(gè)副本這個(gè)副本可能是在原病毒基礎(chǔ)上演變來的。 定義2（國內(nèi)狹義）：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我

2、復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 定義3（廣義）：能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的所有程序都可以統(tǒng)稱為計(jì)算機(jī)病毒。,二、病毒的發(fā)展史,.病毒理論的提出70年代.DOS時(shí)代的病毒80年代.Windows時(shí)代的病毒90年代.互聯(lián)網(wǎng)時(shí)代的病毒現(xiàn)在,三、病毒的特征與分類,1）病毒的特征傳染性：是病毒的基本特征，是判別程序是否為計(jì)算機(jī)病毒的最重要特征。破壞性與危害性：任何計(jì)算機(jī)病毒感染了系統(tǒng)后，都會

3、對系統(tǒng)產(chǎn)生不同程度 的影響。 寄生性與衍生性：一般情況下，計(jì)算機(jī)病毒都不是獨(dú)立存在的，而是寄生于 其它的程序，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒代碼就會被執(zhí)行。 隱蔽性與潛伏性：計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，它通常附在正常的程序之 中或藏在磁盤的隱密地方?？捎|發(fā)性與奪取控制權(quán)：大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它 隱藏在系統(tǒng)中，就像定時(shí)炸彈一樣，只有在滿足特 定條件時(shí)才被觸發(fā)。,

4、三、病毒的特征與分類,2）病毒的分類 a.按破壞性分為 良性：指那些只是為了表現(xiàn)自身,并不徹底破壞系統(tǒng)和數(shù)據(jù),但會大量占用CPU 時(shí)間,增加系統(tǒng)開銷,降低系統(tǒng)工作效率的一類計(jì)算機(jī)病毒。 惡性：指那些一旦發(fā)作后,就會破壞系統(tǒng)或數(shù)據(jù),造成計(jì)算機(jī)系統(tǒng)癱瘓的一類計(jì) 算機(jī)病毒。 b.按激活時(shí)間分為 定時(shí)：指那些到指定觸發(fā)時(shí)間才會被激活的病毒。隨機(jī)：指那些隨時(shí)都會被激活（只要滿足觸發(fā)條件）的病毒。,三、病毒的

5、特征與分類,c.按傳染方式分為 引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存，控制系統(tǒng) 文件型：病毒一般附著在可執(zhí)行文件上 混合型：既可感染引導(dǎo)區(qū)，又可感染文件 d.按連接方式分為 OS型：替換OS的部分功能，危害較大 源碼型：要在源程序編譯之前插入病毒代碼；較少；外殼型：附在正常程序的開頭或末尾；最常見；入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。,三、病毒的特征、分類,e.按照病毒特有的算法分為 伴隨型病毒：產(chǎn)生E

6、XE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 “蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。 f.按

7、攻擊的系統(tǒng)分為DOS病毒：指針對DOS操作系統(tǒng)開發(fā)的病毒。 Windows病毒：主要指針對Win9x操作系統(tǒng)的病毒。 其他系統(tǒng)病毒：主要攻擊Linux, Unix, OS2, 嵌入式系統(tǒng)的病毒。,四、病毒的組成,計(jì)算機(jī)病毒一般由感染模塊、觸發(fā)模塊、破壞模塊（表現(xiàn)模塊）和引導(dǎo)模塊（主控模塊）四大部分組成。根據(jù)是否被加載到內(nèi)存，計(jì)算機(jī)病毒分為兩種狀態(tài)，即靜態(tài)和動態(tài)。處于靜態(tài)中的病毒存于存儲介質(zhì)中，一般不能執(zhí)行病毒的破壞或表現(xiàn)

8、功能，其傳播只能借助第三方活動（例如，拷貝、下載和郵件傳輸?shù)龋?shí)現(xiàn)。當(dāng)病毒經(jīng)過引導(dǎo)功能進(jìn)入內(nèi)存后，便處于活動狀態(tài)（動態(tài)），滿足一定觸發(fā)條件后就進(jìn)行傳染和破壞，從而構(gòu)成對計(jì)算機(jī)系統(tǒng)和資源的威脅和毀壞。計(jì)算機(jī)病毒的工作流程如圖4-1所示。計(jì)算機(jī)靜態(tài)病毒通過第一次非授權(quán)加載，其引導(dǎo)模塊被執(zhí)行轉(zhuǎn)為動態(tài)。動態(tài)病毒通過某種觸發(fā)手段不斷檢查是否滿足條件，一旦滿足則執(zhí)行感染和破壞功能。病毒的破壞力取決于破壞模塊，有些病毒只干擾性顯示，占用系統(tǒng)資源或發(fā)出

9、怪音等奇怪現(xiàn)象，而另一些惡性病毒不僅表現(xiàn)出上述外觀特性，還會破壞數(shù)據(jù)、摧毀系統(tǒng)。,,五、病毒的傳播方式,,五、病毒的傳播方式,1. 通過不可移動的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播(即利用專用ASIC芯片和硬盤進(jìn)行傳播)。 2. 通過移動存儲設(shè)備來傳播（包括軟盤、U盤等）。其中U盤是使用最廣泛移動最頻繁的存儲介質(zhì)，因此也成了計(jì)算機(jī)病毒寄生的"溫床"。 3. 通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。隨著Internet的高速發(fā)展，計(jì)算機(jī)病

10、毒也走上了高速傳播之路，現(xiàn)在通過網(wǎng)絡(luò)傳播已經(jīng)成為計(jì)算機(jī)病毒的第一傳播途徑。如網(wǎng)頁、MSN、QQ、Email等。4. 通過點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道傳播。,六、病毒的影響,破壞文件丟失重要數(shù)據(jù)影響系統(tǒng)正常使用破壞硬件設(shè)備經(jīng)濟(jì)損失個(gè)人精神損失,七、病毒的防治,1. 網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略 防重于治，防重在管：制度；注冊、權(quán)限、屬性、服務(wù)器安全；集中管理、報(bào)警。綜合防護(hù)：木桶原理；防火墻與防毒軟件結(jié)合最佳均衡原

11、則：占用較小的網(wǎng)絡(luò)資源管理與技術(shù)并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測、數(shù)據(jù)保護(hù)、實(shí)時(shí)監(jiān)控注意病毒檢測的可靠性：經(jīng)常升級。2. 實(shí)施過程防毒：預(yù)防入侵； 病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒； 統(tǒng)計(jì)、報(bào)警 解毒：從感染對象中清除病毒；恢復(fù)功能,七、病毒的防治,3. 反病毒軟件的工作原理病毒掃描程序 串掃描算法:與已知病毒特征匹配 入口掃描算法：模擬跟蹤目標(biāo)程序的執(zhí)行 類屬解

12、密法：對付多態(tài)、加密病毒內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染的系統(tǒng)使用此方法，可能會受到欺騙。行為監(jiān)測器：是內(nèi)存駐留程序，監(jiān)視病毒對可執(zhí)行文件的修改。防止未知的病毒。,七、病毒的防治,4. 反病毒軟件的選擇1）功能側(cè)重點(diǎn)主動防御性能（防未知病毒）防護(hù)模塊齊全病毒庫更新速度殺毒引擎性能2）產(chǎn)品介紹單機(jī)用戶NOD32、卡巴基斯網(wǎng)絡(luò)用戶卡巴斯基