计算机病毒与防护课件.pptVIP

1 计算机病毒概述 ;2 计算机的病毒特性 ;　● 隐蔽性 　计算机病毒的隐蔽性表现在两个方面，一是结果的隐蔽性，大多数病毒在进行传染时的速度极快，一般不只有外部表现，不易被人发现，二是病毒程序存在隐蔽性，一般的病毒程序都夹在正常程序中，很难被发现，而一旦病毒发作出来，往往已经给计算机系统造成了不同程序的破坏。 ● 寄生性 　病毒程序嵌入到宿主程序之中，依赖于宿主程序的执行而生存。这就是计算机病毒的寄生性，病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改??宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。 ;　● 潜伏性 　计算机病毒侵入系统后，一般不立即发作，而是具有一定的潜伏期，病毒不同其潜伏期的长短就不同，有的潜伏期为几个星期，又有的潜伏期为几年，在潜伏期中病毒程序只要在可能的条件下就会不断地进行自我复制繁衍和结果，一旦条件成熟，病毒就开始发作，发作的条件随病毒的不同而不同，这一条件是计算机病毒设计人员所设计的，病毒程序在运行时，每次都要检测发作条件。 ;3 计算机病毒存在方式 ;4 计算机病毒的存储方式 ;4.1 内存驻留方式 病毒在内存中驻留的关键是选择存储空间，因而有以下几种内存驻留方式： 　● 减少DOS系统可分配空间 　● 利用系统的间隙 　● 利用功能调用驻能 　● 利用系统程序的使用空间 ;4.2 磁盘存储方式 要防治计算机病毒，就必须了解病毒在磁盘上可能的存储方式，一般情况下，计算机病毒存储在磁盘中的前提条件是病毒能够被系统复制载入内存，并且在条件成熟时，可获得对系统的控制权，目前较为流行的方式有文件驻入式和直接存取两种。 　● 文件驻入式 　● 直接存取扇区 ;5 计算机病毒传染原理 ;如系统绕带有病毒在执行过程中，首先读入是病毒程序的代码： 　（1）将BOOT区中病毒的代码（或部分）读入内存的0000：7C00处； 　（2）病毒将自身完整化，并将自身完整的病毒程序举向内存xxxx：xxxx地址，如：小球病毒将自身举向内存的97C0:7C00处； 　（3）修改中断向量INT 13H 的向量入口，使之指向病毒的控制的摸块从而病毒程序得到控制权； 　（4）读入正常的BOOT区内容列内存的0000：7C00处进行正常的启动过程； 　（5）此时病毒获得控制权并监视系统的运行。 ;如在运行中，有受攻击的对象，病毒进行如下操作： 　（1）读入目标的逻辑第0扇区（对于软盘）； 　（2）判断是否传染； 　（3）如果满足传染条件，则将病毒的全部或部分写入Boot区将病毒的部分代码及正常的Boot引导程序或者仅正常的Boot引导程序写入磁盘的特定位置； 　（4）对于这一特定的存储空间，或以坏簇标志FF7、或不标； 　（5）返回病毒程序、由病毒程序引入正常的INT 13H中断程序，此时这段病毒程序已完成了对目标盘的传染过程，目标盘中就含有了这种病毒的一个自身复制品，上面的1,2两个步骤完成了这种病毒的“繁殖”过程，已经驻入内存中的病毒仍然监视系统的运行。 ;针对可执行文件传染的病毒，其传染原理与对Boot区传染的病毒原理一样，只是病毒是在被传染的文件执行的病毒驻入内存，其驻入内存的过程如下（有一受染文件HZG.com并设其病毒x与其首链接） 　（1）运行HZG.com； 　（2）系统对这一文件进行读操作； 　（3）由于病毒在文件的首部，因而可直接执行病毒程序X； 　（4）X读入内存并完成自身的完整化； 　（5）获得中断向量并使之转向病毒程序； 　（6）病毒获得对系统的控制权，并监视系统运行； 　（7）读入正常的HZG.COM文件并使之获得控制权； ;此时，病毒X驻入系统的内存，开始监视系统的运行、当它发现被传染的目标时，做如下工作： 　（1）读入HZG.COM前的特定地址信息（标识位）进行判断； 　（2）满足条件，则利用中断INT 13H（磁盘读/写）将病毒与HZG.COM文件链接，并存入目标中； 　（3）定成传染，继续监视系统的运行。 对病毒与文件的尾部连接情况而言，则病毒正传染过程中在正常的目标前头设置一条或几条JMP指令，使程序开始运行，即指向病毒程序，使其正常文件运行前首先运行了病毒程序，其传染与其上类似。 ;5.2 计算机病毒传染方式 ;6 计算机病毒来源渠道主要从以下5个方面 ;● 公开软件 无论是完全公开的软件，或是半开放的公享软件，都是容许人们随便拷贝的，跟盗版软件一样，人们根本无法确认该公开软件是否有病毒寄生，但由于是合法的行为，故其带病毒的机率不如盗版软件高。 ● 电子公告栏 在使用电子公告栏（BBS）时要注意，由于任何人都可随便地从公告上拦载或录下文件，所以根本无法保证录下来的程序是否有病毒寄生。 ;● 通讯