計算機病毒ppt

1、計算機病毒的分類與傳播原理,以及著名的病毒分析,小組成員: 王建 曹長波 李思航 甄卓然 方迪愷,,計算機病毒是什么？,1994年2月18日頒布實施的《中華人民共和國計算機信息系統(tǒng)安全保護條例》中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！?計算機病毒有哪些特征?,1.傳染性指病毒具有把自身復制到其它程序中的特性 2. 取得系統(tǒng)

2、控制權(quán)3. 隱蔽性通過隱蔽技術(shù)使宿主程序的大小沒有改變，以至于很難被發(fā)現(xiàn)。 4. 破壞性 計算機所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計算機病毒的破壞5. 潛伏性潛伏性 長期隱藏在系統(tǒng)中，只有在滿足特定條件時，才啟動其破壞模塊。 6. 不可預見性,2、計算機病毒的結(jié)構(gòu)與分類,按入侵方式分：源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒。按照計算機病毒的寄生部位或傳染對象分：引導扇區(qū)型病毒

3、、文件型病毒、混合型病毒,計算機病毒的結(jié)構(gòu)：計算機病毒的結(jié)構(gòu)包括三大功能模塊，即傳染模塊、表現(xiàn)或破壞模塊、觸發(fā)或引導模塊。,計算機病毒的分類：,計算機病毒的分類,,病毒攻擊的操作系統(tǒng),,（1） 攻擊DOS 系統(tǒng)的病毒（2） 攻擊Windows 系統(tǒng)的病毒用戶使用多，主要的攻擊對象（3） 攻擊UNIX 系統(tǒng)的病毒（4） 攻擊OS/2 系統(tǒng)的病毒（5） 攻擊NetWare 系統(tǒng)的病毒,病毒的鏈接方式,,（1） 源碼型病毒,（3）

4、外殼型病毒,（4） 操作系統(tǒng)型病毒,（2） 嵌入型病毒,病毒的載體,,（1）引導型病毒,（2）文件型病毒： .com .exe,（4）混合型病毒,,計算機病毒的破壞能力,,.............................,病毒特有的算法不同,（3） 網(wǎng)絡(luò)病毒,（1）伴隨型病毒,（2）“蠕蟲”型病毒,（3）寄生型病毒,,練習型病毒,詭秘型病毒,變型病毒,病毒的攻擊機型,.........,,,病毒的工作步驟與機制,,,,,,

5、,,休眠狀態(tài),,特定的程序被執(zhí)行,,將自身程序復制給其他程序或磁盤區(qū)域,,病毒激活,,執(zhí)行特定功能達到既定目標,,破環(huán)文件感染程序,,潛伏階段,傳染階段,觸發(fā)階段,發(fā)作階段,,▲ 引導機制,病毒作為一種特殊的程序，就必須從存儲體進入內(nèi)存才能實現(xiàn)其預定功能。,所以其寄生對象主要分為?寄生在計算機硬盤的主引導扇區(qū)；?寄生在計算機磁盤邏輯分析引導扇區(qū)；?寄生在可執(zhí)行程序中。,其寄生方式為：,,替代法,鏈接法,（用自身的指令代碼替代原有的內(nèi)容

6、）,（將自身代碼作為正常程序的一部分鏈接在程 序的首部、尾部或中間）,,引導過程： 1：駐留內(nèi)存（網(wǎng)絡(luò)病毒不需要）,2：獲取系統(tǒng)控制權(quán),3：恢復系統(tǒng)功能（為了隱藏自己，系統(tǒng)不會出現(xiàn)死機等異常狀況，使用戶無法發(fā)現(xiàn)病毒的存在。）,,指計算機病毒由一個宿主傳播到另一個宿主程序，由一個系統(tǒng)進入另一個系統(tǒng)的過程。,傳染方式,,被動傳播,主動傳播,（用戶在復制磁盤或文件時，把一個計算機病毒由一個信息載體復制到另一個信息載體

7、，也可以通過網(wǎng)絡(luò)把程序從一方傳到另一方。）,（在計算機病毒處于激活的狀態(tài)下，只要傳染條件滿足，計算機病毒程序能主動地把計算機病毒自身傳染給另一個載體或另一個系統(tǒng)。）,傳染過程,,對于被動傳播的病毒而言：其傳染過程是隨著復制磁盤或文件工作的進行而進行的。,對于主動傳播的病毒而言：其傳染過程是在系統(tǒng)運行時，計算機病毒通過計算機病毒載體即系統(tǒng)的外存儲器進入系統(tǒng)的內(nèi)存儲器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運作。在計算機病毒引導模塊將計算機病毒

8、傳染模塊駐留內(nèi)存的過程中，通常要修改系統(tǒng)中斷向量入口地址（如INT 13H或INT 21H)，使該中斷向量指向計算機病毒程序傳染模塊。一旦系統(tǒng)執(zhí)行磁盤讀寫操作或系統(tǒng)功能調(diào)用，計算機病毒傳染模塊激活，在條件滿足的條件下，利用INT 13H讀寫磁盤中斷把計算機病毒自身傳染給讀寫的磁盤或加載程序，也就是實施計算機病毒的傳染，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。,,▲ 觸發(fā)機制,可觸發(fā)性是計算機病毒的攻擊性與潛伏性之間的調(diào)整杠桿，可以控

9、制計算機病毒感染和破壞的頻度，兼顧殺傷性和潛伏性。一般觸發(fā)條件越苛刻，病毒就具有越好的潛伏性，但不易傳播，所以殺傷力就減弱。目前采用的觸發(fā)條件一般有：,1.日期觸發(fā) （"CIH"病毒4月26號發(fā)作）2.時間觸發(fā) 3.鍵盤觸發(fā) 4.感染觸發(fā) 5.啟動觸發(fā) 6.訪問磁盤觸發(fā) ...........,例如：火炬病毒發(fā)作時，

10、屏幕上顯示5把燃燒的火炬，同時該病毒用內(nèi)存的隨機數(shù)從硬盤的物理第一扇區(qū)開始覆蓋，造成硬盤中的數(shù)據(jù)丟失。,,,▲ 傳播機制,計算機病毒的傳播途徑：（1） 通過不可移動的計算機硬件設(shè)備進行傳播，即利用專用ASIC 芯片和硬盤進行傳播；（2） 通過移動存儲設(shè)備來傳播，其中U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì)；（3） 通過計算機網(wǎng)絡(luò)進行傳播；（4） 通過點對點通信系統(tǒng)和無線通道傳播。,,著名的計算機病毒分析,蠕蟲病毒與一般病

11、毒的區(qū)別   普通病毒 蠕蟲病毒 存在形式 寄存文件 獨立程序 傳染機制 宿主程序運行 主動攻擊 傳染目標 本地文件 網(wǎng)絡(luò)計算機,█ 蠕蟲型病毒,網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的計算機病毒類型。,,【代號： Stuxnet 蠕蟲 超級工廠病毒】,

12、感染系統(tǒng)：windows CE系統(tǒng),發(fā)現(xiàn)時間：2010年6月,傳播方式：U盤,殺傷力：導致伊朗布什爾核電站癱瘓,具體情況：stuxnet的獨特之處在于它并不攻擊傳統(tǒng)的Windows系統(tǒng)，而是將目標放在了極小眾、極專業(yè)的西門子wincc工控系統(tǒng)上，這個系統(tǒng)的原型就是廣為人知的Windows CE。并且這個病毒的目標非常具體，它會通過U盤感染將自己擺渡到目標工控件中，然后發(fā)作。 吊詭的是，第一批發(fā)作的病毒60%將目標定在了伊朗布什爾核電站的

13、西門子工控系統(tǒng)上，這個核電站正是美國懷疑伊朗制造核武器的基地。專家指出：一旦stuxnet找到西門子WinCC裝置，就能接管西門子設(shè)施的關(guān)鍵操作系統(tǒng)，并在十分之一秒內(nèi)封住設(shè)備的操作。,代號： 熊 貓 燒 香,熊貓燒香感染機理：,“熊貓燒香”，是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中的exe,com,pif,scr,html,asp等文件，它能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶

14、系統(tǒng)中所有.exe可執(zhí)行文件全部被改為熊貓舉著三根香的模樣。,為什么熊貓燒香如此猖獗？,最絕的是，病毒作者李俊將這個病毒賣給了120個黑客，鼓勵教導他們廣撒網(wǎng)多抓雞。李俊自己也購買了服務(wù)器，專門用作病毒更新，創(chuàng)下了一天更新8次的病毒升級記錄，可以堪稱史上最勤奮的病毒作者。,該病毒除了通過網(wǎng)站感染用戶外，還會在局域網(wǎng)中傳播，在極端時間內(nèi)就可以感染幾千臺計算機，嚴重時出現(xiàn)網(wǎng)絡(luò)癱瘓。中毒電腦也會出現(xiàn)藍屏、頻繁重啟以及數(shù)據(jù)文件被破壞等現(xiàn)象。,

15、,█ 特洛伊木馬病毒,談到木馬，人們就想到病毒，木馬也算是一種病毒，但與傳統(tǒng)的計算機病毒不同。木馬是一種惡意代碼，它通常并不像病毒程序那樣感染文件。木馬一般是以尋找后門、竊取密碼和重要文件為主，還能對計算機進行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強的隱蔽性、突發(fā)性和攻擊性。,木馬的運行模式屬于客戶/服務(wù)模式，它包括兩大部分，即客戶端和服務(wù)端。其原理是一臺主機提供服務(wù)(服務(wù)器)，另一臺主機接受服務(wù)(客戶機)，作為服務(wù)器的主機一般

16、會打開一個默認的端口進行監(jiān)聽。如果有客戶機向服務(wù)器的這一端口提出連接請求，服務(wù)器上的相應程序就會自動運行，來應答客戶機的請求。這個程序被稱為守護進程。木馬通常的攻擊步驟是： Ⅰ ： 設(shè)定好服務(wù)器程序；Ⅱ ： 騙取對方執(zhí)行服務(wù)器程序；Ⅲ ：尋找對方的地址IP；Ⅳ ： 用客戶端程序來控制對方的計算機。,中了灰鴿子會出現(xiàn)什么情況？ 事實是什么情況都會出現(xiàn)。灰鴿子能夠記錄你的鍵盤

17、擊鍵記錄，能夠遠程開啟攝像頭，打開麥克風，能夠下載你電腦里的任何文件。幾乎你能夠想到的電腦基本操作，黑客都可以通過灰鴿子遠程控制實現(xiàn)。從灰鴿子誕生的2001年到銷聲匿跡的2008年之間，正好遭遇了全民皆黑客的年代，灰鴿子因為操作簡單，上手快，很快的成為當時最泛濫的木馬病毒，近中國國內(nèi)至少有上千萬臺電腦感染過灰鴿子病毒。 有趣的是，灰鴿子的作者并沒有像熊貓燒香的李俊一樣，一直用灰鴿子賺錢。在2008年之后該作者轉(zhuǎn)而開發(fā)防火墻，

18、專門用來防護自己的灰鴿子。,【代號： 灰鴿子】,感染系統(tǒng)：windows 系統(tǒng),發(fā)作時間：2001年,傳播方式：多種網(wǎng)絡(luò)傳播方式,,,,CIH病毒,CIH（英語又稱為Chernoby1或Spacefiller）是一種電腦病毒，其名稱源自它的作者，當時仍然是臺灣大同工學院（現(xiàn)大同大學）學生的電腦技術(shù)鬼才陳盈豪的名字的拼音縮寫。它被認為是最有害的廣泛傳播的病毒之一，會破壞用戶系統(tǒng)的全部信息，在某些情況下，會重寫系統(tǒng)的BIOS（BIOS是英

19、文“Basic Input Output System”的縮略語，直譯過來后中文名稱就是“基本輸入輸出系統(tǒng)”。其實，它是一組固化到計算機內(nèi)主板上一個ROM芯片上的程序，它保存著計算機最重要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開機后自檢程序和系統(tǒng)自啟動程序。其主要功能是為計算機提供最底層的、最直接的硬件設(shè)置和控制。） CIH的運作原理： 通常，CIH病毒的傳染方式是通過修改文件頭部的程序入口地址，使其指向病毒的引導代碼，

20、在這一點上，CIH病毒和以前DOS環(huán)境中的多數(shù)病毒是類似的。CIH的載體一個名為“ICQ中文Chat模塊”的工具，并以熱門盜版光盤游戲如“盜墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當然隨著時間推移，其傳播主要仍將通過軟盤或光盤途徑。CIH感染的系統(tǒng)： CIH以可移植可執(zhí)行文件格式在Windows95、Windows98和Windo

21、ws ME上傳播。CIH不會在Windows NT、Windows 2000或者WindowsXP上傳播。,電腦鬼才—陳盈豪,陳盈豪（1975年—)，臺灣的電腦技術(shù)鬼才，CIH病毒之父?，F(xiàn)在是集嘉通訊（技嘉子公司）主任工程師，以研究作業(yè)系統(tǒng)核心為主，試圖開發(fā)更符合人性的智慧的手機系統(tǒng)。據(jù)初步統(tǒng)計，來自臺灣的CIH電腦病毒共造成全球6000萬臺電腦癱瘓，其中韓國損失最為嚴重，共有30萬臺電腦中毒，占全國電腦總數(shù)的15%以上，損失更是高達

22、兩億韓元以上。土耳其、孟加拉、馬來西亞、俄羅斯、中國內(nèi)地的電腦均遭CIH病毒的襲擊。CIH電腦病毒暴發(fā)過后，有的把CIH的始作俑者陳盈豪抬升為“天才”，有的把他貶為“鬼才”。,1998年制造出在臺灣傳播的首例CIH病毒時，陳盈豪年僅23歲。并且CIH病毒完全由他一人設(shè)計。,★ 對于從因特網(wǎng)上下載的可執(zhí)行文件和WORD／EXECEL文件一定要非常小 心，在打開這些東西之前一定要進行非常仔細的檢查。 ★ 設(shè)置始終顯示文件的擴展名

23、。 ★ 不要相信任何人發(fā)來的郵件，即使是來自你的朋友，即使郵件的主題是“我愛你”。 ★ 最好是購買正版的軟件，不要購買盜版軟件。 ★ 在任何時候都不要禁止你的病毒防火墻。 ★ 定期備份你的數(shù)據(jù)，這是最重要的防患于未然的方法。 ★ 將你的電腦的引導順序設(shè)置為“C：A：”，這樣可以防止軟盤中的引導病毒感染你的硬盤。 ★ 發(fā)現(xiàn)機器有異常表現(xiàn)，立即關(guān)機，然后進行殺毒處理。 ★ 及時升級你的殺毒軟件，一