病毒基礎(chǔ)知識分解

1、病毒基礎(chǔ)知識,目錄,病毒的定義 病毒的發(fā)展史病毒的特征與分類病毒的組成病毒的傳播方式病毒的影響病毒的防治 提問、總結(jié),一、病毒的定義,定義1（國外狹義）：計算機病毒是一種程序，它可以感染其它程序，感染的方式為在被感染程序中加入計算機病毒的一個副本這個副本可能是在原病毒基礎(chǔ)上演變來的。 定義2（國內(nèi)狹義）：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我

2、復制的一組計算機指令或者程序代碼。 定義3（廣義）：能夠引起計算機故障，破壞計算機數(shù)據(jù)的所有程序都可以統(tǒng)稱為計算機病毒。,二、病毒的發(fā)展史,.病毒理論的提出70年代.DOS時代的病毒80年代.Windows時代的病毒90年代.互聯(lián)網(wǎng)時代的病毒現(xiàn)在,三、病毒的特征與分類,1）病毒的特征傳染性：是病毒的基本特征，是判別程序是否為計算機病毒的最重要特征。破壞性與危害性：任何計算機病毒感染了系統(tǒng)后，都會

3、對系統(tǒng)產(chǎn)生不同程度 的影響。 寄生性與衍生性：一般情況下，計算機病毒都不是獨立存在的，而是寄生于 其它的程序，當執(zhí)行這個程序時，病毒代碼就會被執(zhí)行。 隱蔽性與潛伏性：計算機病毒具有很強的隱蔽性，它通常附在正常的程序之 中或藏在磁盤的隱密地方。可觸發(fā)性與奪取控制權(quán)：大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它 隱藏在系統(tǒng)中，就像定時炸彈一樣，只有在滿足特 定條件時才被觸發(fā)。,

4、三、病毒的特征與分類,2）病毒的分類 a.按破壞性分為 良性：指那些只是為了表現(xiàn)自身,并不徹底破壞系統(tǒng)和數(shù)據(jù),但會大量占用CPU 時間,增加系統(tǒng)開銷,降低系統(tǒng)工作效率的一類計算機病毒。 惡性：指那些一旦發(fā)作后,就會破壞系統(tǒng)或數(shù)據(jù),造成計算機系統(tǒng)癱瘓的一類計 算機病毒。 b.按激活時間分為 定時：指那些到指定觸發(fā)時間才會被激活的病毒。隨機：指那些隨時都會被激活（只要滿足觸發(fā)條件）的病毒。,三、病毒的

5、特征與分類,c.按傳染方式分為 引導型：當系統(tǒng)引導時進入內(nèi)存，控制系統(tǒng) 文件型：病毒一般附著在可執(zhí)行文件上 混合型：既可感染引導區(qū)，又可感染文件 d.按連接方式分為 OS型：替換OS的部分功能，危害較大 源碼型：要在源程序編譯之前插入病毒代碼；較少；外殼型：附在正常程序的開頭或末尾；最常見；入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。,三、病毒的特征、分類,e.按照病毒特有的算法分為 伴隨型病毒：產(chǎn)生E

6、XE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 “蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。 f.按

7、攻擊的系統(tǒng)分為DOS病毒：指針對DOS操作系統(tǒng)開發(fā)的病毒。 Windows病毒：主要指針對Win9x操作系統(tǒng)的病毒。 其他系統(tǒng)病毒：主要攻擊Linux, Unix, OS2, 嵌入式系統(tǒng)的病毒。,四、病毒的組成,計算機病毒一般由感染模塊、觸發(fā)模塊、破壞模塊（表現(xiàn)模塊）和引導模塊（主控模塊）四大部分組成。根據(jù)是否被加載到內(nèi)存，計算機病毒分為兩種狀態(tài)，即靜態(tài)和動態(tài)。處于靜態(tài)中的病毒存于存儲介質(zhì)中，一般不能執(zhí)行病毒的破壞或表現(xiàn)

8、功能，其傳播只能借助第三方活動（例如，拷貝、下載和郵件傳輸?shù)龋崿F(xiàn)。當病毒經(jīng)過引導功能進入內(nèi)存后，便處于活動狀態(tài)（動態(tài)），滿足一定觸發(fā)條件后就進行傳染和破壞，從而構(gòu)成對計算機系統(tǒng)和資源的威脅和毀壞。計算機病毒的工作流程如圖4-1所示。計算機靜態(tài)病毒通過第一次非授權(quán)加載，其引導模塊被執(zhí)行轉(zhuǎn)為動態(tài)。動態(tài)病毒通過某種觸發(fā)手段不斷檢查是否滿足條件，一旦滿足則執(zhí)行感染和破壞功能。病毒的破壞力取決于破壞模塊，有些病毒只干擾性顯示，占用系統(tǒng)資源或發(fā)出

9、怪音等奇怪現(xiàn)象，而另一些惡性病毒不僅表現(xiàn)出上述外觀特性，還會破壞數(shù)據(jù)、摧毀系統(tǒng)。,,五、病毒的傳播方式,,五、病毒的傳播方式,1. 通過不可移動的計算機硬件設(shè)備進行傳播(即利用專用ASIC芯片和硬盤進行傳播)。 2. 通過移動存儲設(shè)備來傳播（包括軟盤、U盤等）。其中U盤是使用最廣泛移動最頻繁的存儲介質(zhì)，因此也成了計算機病毒寄生的"溫床"。 3. 通過計算機網(wǎng)絡(luò)進行傳播。隨著Internet的高速發(fā)展，計算機病

10、毒也走上了高速傳播之路，現(xiàn)在通過網(wǎng)絡(luò)傳播已經(jīng)成為計算機病毒的第一傳播途徑。如網(wǎng)頁、MSN、QQ、Email等。4. 通過點對點通信系統(tǒng)和無線通道傳播。,六、病毒的影響,破壞文件丟失重要數(shù)據(jù)影響系統(tǒng)正常使用破壞硬件設(shè)備經(jīng)濟損失個人精神損失,七、病毒的防治,1. 網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略 防重于治，防重在管：制度；注冊、權(quán)限、屬性、服務(wù)器安全；集中管理、報警。綜合防護：木桶原理；防火墻與防毒軟件結(jié)合最佳均衡原

11、則：占用較小的網(wǎng)絡(luò)資源管理與技術(shù)并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測、數(shù)據(jù)保護、實時監(jiān)控注意病毒檢測的可靠性：經(jīng)常升級。2. 實施過程防毒：預(yù)防入侵； 病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒； 統(tǒng)計、報警 解毒：從感染對象中清除病毒；恢復功能,七、病毒的防治,3. 反病毒軟件的工作原理病毒掃描程序 串掃描算法:與已知病毒特征匹配 入口掃描算法：模擬跟蹤目標程序的執(zhí)行 類屬解

12、密法：對付多態(tài)、加密病毒內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導記錄病毒完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染的系統(tǒng)使用此方法，可能會受到欺騙。行為監(jiān)測器：是內(nèi)存駐留程序，監(jiān)視病毒對可執(zhí)行文件的修改。防止未知的病毒。,七、病毒的防治,4. 反病毒軟件的選擇1）功能側(cè)重點主動防御性能（防未知病毒）防護模塊齊全病毒庫更新速度殺毒引擎性能2）產(chǎn)品介紹單機用戶NOD32、卡巴基斯網(wǎng)絡(luò)用戶卡巴斯基