资源预览内容
第1页 / 共22页
第2页 / 共22页
第3页 / 共22页
第4页 / 共22页
第5页 / 共22页
第6页 / 共22页
第7页 / 共22页
第8页 / 共22页
第9页 / 共22页
第10页 / 共22页
亲,该文档总共22页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
计算机病毒技术基础2011年3月28实验说明一、计算机病毒概述与分类 二、宏病毒 三、脚本病毒 四、蠕虫病毒 五、防毒原则 六、碰到病毒后的解决办法 七、著名网站一、计算机病毒概述与分类l1、计算机病毒的定义l 计算机病毒是能够具有潜伏性、传染性、 破坏性等特征的程序。l2、计算机病毒的危害l 如果病毒的实施模块被激发时,可以进行 删除文件、破坏系统和格式化磁盘、破坏网络 系统与计算机系统、堵塞网络流通、毁坏计算 机与网络硬件资源等严重的破坏活动。l具体如下:l攻击文件:包括可执行文件、数据文件、删除 文件和数据。l l l使使系统操作和运行速度下降。系统操作和运行速度下降。l l扰乱键盘操作。扰乱键盘操作。l l浪费系统资源。浪费系统资源。l l干扰打印机的正常工作。干扰打印机的正常工作。l l攻击攻击BootBoot、系统中断向量、系统中断向量、FATFAT、硬盘的主引导区和目硬盘的主引导区和目 录区。录区。l l侵占和删除空间。侵占和删除空间。l l修改系统配置,攻击修改系统配置,攻击CMOSCMOS。l l格式化磁盘。格式化磁盘。l l干扰和修改屏幕的正常显示。干扰和修改屏幕的正常显示。l l大面积清除数据文件、更改文件内容、文件名称,对大面积清除数据文件、更改文件内容、文件名称,对 文件加密。文件加密。l l修改系统文件和数据结构。修改系统文件和数据结构。l攻击内存:大量占用和消耗内存空间,占用 CPU时间,阻扰内存中常驻程序正常运行。l攻击邮件。l阻塞网络。l3、计算机病毒的特征l程序性:计算机病毒是一段具有特定功能的、 严谨精巧的计算机程序。l传染性:能自我复制、自我繁殖、感染或再生 等重要属性。l潜伏性:一般潜伏一定时期,等待条件成熟才 会激活。l干扰与破坏:能够对计算机资源进行破坏。l可触发性:一般有触发条件。l l4 4、计算机病毒分类、计算机病毒分类l l(1 1)按操作系统分类)按操作系统分类l l攻击攻击DOSDOS系统、攻击系统、攻击WindowsWindows系统、攻击系统、攻击UNIXUNIX系统系统 、攻击、攻击OS/2OS/2系统。系统。l l(2 2)按计算机病毒链接方式分类)按计算机病毒链接方式分类l l操作系统型病毒、外壳型病毒、嵌入式病毒、源操作系统型病毒、外壳型病毒、嵌入式病毒、源 码型病毒。码型病毒。l l(3 3)按传染方式分类)按传染方式分类l l引导型病毒、文件型病毒、混合型病毒。引导型病毒、文件型病毒、混合型病毒。l l(4 4)按计算机病毒的寄生方式分类)按计算机病毒的寄生方式分类l l覆盖式寄生病毒、链接式寄生病毒、填充式寄生覆盖式寄生病毒、链接式寄生病毒、填充式寄生 病毒、转储式寄生病毒。病毒、转储式寄生病毒。l l(5 5)按功能方式分类)按功能方式分类l l文件型病毒、引导型病毒、宏病毒、木马病毒、文件型病毒、引导型病毒、宏病毒、木马病毒、 脚本病毒、邮件病毒、蠕虫病毒。脚本病毒、邮件病毒、蠕虫病毒。二、宏病毒 l l宏是某些应用程序中的重要指宏是某些应用程序中的重要指 令集,起着重要的作用,宏的编程令集,起着重要的作用,宏的编程 简单易学,导致宏病毒的大量传播简单易学,导致宏病毒的大量传播 。 l l1 1、常见宏病毒、常见宏病毒(1)(1) 只进行自身的传播,并不具有破坏性只进行自身的传播,并不具有破坏性 的类型。如较常见的有一种的类型。如较常见的有一种AutoOpenAutoOpen宏病毒宏病毒 ,这种病毒只是将文档保存为模板,并进行自,这种病毒只是将文档保存为模板,并进行自 身复制,当打开带病毒的文档时,病毒就将自身复制,当打开带病毒的文档时,病毒就将自 身传染到身传染到WordWord的的NormalNormaldotdot模板,然后再传模板,然后再传 染给干净的文档。染给干净的文档。(2 2)只对用户进行骚扰,但不破坏系统的)只对用户进行骚扰,但不破坏系统的 类型。如类型。如“台湾台湾NoNo1 1”宏病毒、宏病毒、HelperHelper病毒病毒 、AlianceAliance病毒、病毒、PharderaPhardera病毒等。病毒等。(3 3)使打印中途中断或打印出混乱信息的使打印中途中断或打印出混乱信息的 类型。如类型。如NuclearNuclear、KompuKompu等属此类。有些宏等属此类。有些宏 病毒将文档中的部分字符、文本进行替换,如病毒将文档中的部分字符、文本进行替换,如 ConceptConcept发作时,用发作时,用“ “,” ”、“ “e e” ”、“ “notnot” ”替换所有替换所有 “ “” ”、“ “a a” ”、“ “andand” ”等。等。(4 4)极具破坏性的类型。)极具破坏性的类型。MDMAMDMAA(A(无政无政 府者一号府者一号) ),这种病毒既感染中文版,这种病毒既感染中文版WordWord,又又 感染英文版感染英文版WordWord,发作时间是每月的发作时间是每月的1 1日。破日。破 坏性表现为在机器的批处理文件:坏性表现为在机器的批处理文件: AutoexecAutoexecbatbat中加入中加入“deltree/ydeltree/y c c:”一句,一句, 机器在下一次启动后就将自动删除机器在下一次启动后就将自动删除C C盘上的所盘上的所 有文件。有文件。2、宏病毒的特征l l由于宏病毒利用了由于宏病毒利用了wordword的文档机制进行传的文档机制进行传 播,寄生于播,寄生于WordWord的文档中,它不感染的文档中,它不感染EXEEXE和和 COMCOM文件,只感染文档文件。文件,只感染文档文件。l l在在WordWord启动时,自动加载启动时,自动加载StartupStartup下模板下模板 及及Normal.dotNormal.dot模板,以及它们所包含的宏。你模板,以及它们所包含的宏。你 可以为宏指定特殊的名称,使其变为自动宏,可以为宏指定特殊的名称,使其变为自动宏, 以便在执行某一操作时,如:启动以便在执行某一操作时,如:启动WordWord或打或打 开文档,就自动执行具有特殊命令的宏。开文档,就自动执行具有特殊命令的宏。 l l(1 1)宏病毒的特点宏病毒的特点l l(a)(a) 传播极快。传播极快。WordWord宏病毒通过宏病毒通过DOCDOC文档文档 及及DOTDOT模板进行自我复制及传播,而计算机文模板进行自我复制及传播,而计算机文 档是交流最广的文件类型,这给档是交流最广的文件类型,这给WordWord宏病毒宏病毒 传播带来很多便利。传播带来很多便利。l l(b)(b) 制作、变种方便。制作、变种方便。WordWord使用宏语言使用宏语言 Word BasicWord Basic来编写宏指令。宏病毒同样用来编写宏指令。宏病毒同样用 WordBasicWordBasic来编写。来编写。l l(c)(c) 破坏可能性极大。破坏可能性极大。Word BasicWord Basic语言提供语言提供 了许多系统级底层调用,如直接使用了许多系统级底层调用,如直接使用DOSDOS系统系统 命令,调用命令,调用Windows APIWindows API,调用调用DDEDDE、DLIDLI等等 。这些操作均可能对系统直接构成威胁,而。这些操作均可能对系统直接构成威胁,而 WordWord在指令安全性、完整性上检测能力很弱在指令安全性、完整性上检测能力很弱 ,破坏系统的指令很容易被执行。,破坏系统的指令很容易被执行。l l(2 2)宏病毒的驱动方式宏病毒的驱动方式l l当当WordWord处理文档时,需要同时进行各种处理文档时,需要同时进行各种 不同的动作,如打开文件、关闭文件、读取数不同的动作,如打开文件、关闭文件、读取数 据材料以及储存和打印等。每一个动作其实都据材料以及储存和打印等。每一个动作其实都 是对应着特定的宏命令,如存文件与是对应着特定的宏命令,如存文件与FilwSaveFilwSave 相对应,改名则对应相对应,改名则对应FileSaveASFileSaveAS,打印则对应打印则对应 FilePrintFilePrint;再例如当打开文件时,首先检查是再例如当打开文件时,首先检查是 否有否有AutoOpenAutoOpen宏是否存在,如有才能自动打宏是否存在,如有才能自动打 开开WordWord文档,在关闭文档时则执行文档,在关闭文档时则执行AutoCloseAutoClose 宏,当某个宏,当某个DocDoc文件感染了这类文件感染了这类WordWord宏病毒,宏病毒, 再运行这类自动宏时就是运行了病毒的本身,再运行这类自动宏时就是运行了病毒的本身, 当关闭文档时,它会自动将所有的通用宏(也当关闭文档时,它会自动将所有的通用宏(也 包括病毒在内)保存在模板文件中包括病毒在内)保存在模板文件中 。三、脚本病毒l l脚本程序的执行离不开脚本程序的执行离不开WSHWSH( Windows Windows Script Script HostHost,Windows Windows 脚本宿脚本宿 主)环境,主)环境,WSHWSH为宿主脚本创建环境。为宿主脚本创建环境。 也就是说,当脚本到达你的计算机时,也就是说,当脚本到达你的计算机时, WSHWSH充当主机的部分,它使对象和服务充当主机的部分,它使对象和服务 可用于脚本,并提供一系列脚本执行指可用于脚本,并提供一系列脚本执行指 南南。l l(1 1)脚本病毒的主要特点:)脚本病毒的主要特点:l l(a)(a) 由于脚本是直接解释执行,可以直接由于脚本是直接解释执行,可以直接 通过自我复制的方式感染其他同类文件,并且通过自我复制的方式感染其他同类文件,并且 自我的异常处理变得非常容易。自我的异常处理变得非常容易。l l这类病毒通过这类病毒通过htmhtm文档,文档,EmailEmail附件或其它附件或其它 方式,可以在很短时间内传遍世界各地,其手方式,可以在很短时间内传遍世界各地,其手 段相似,无非是在附件中安置病毒本体,然后段相似,无非是在附件中安置病毒本体,然后 利用人类天生的好奇心,通过邮件主题或邮件利用人类天生的好奇心,通过邮件主题或邮件 内容诱惑人们点击附件中的病毒体而被感染。内容诱惑人们点击附件中的病毒体而被感染。 比如比如I Love YouI Love You,库尔尼科娃病毒、蔡依林裸库尔尼科娃病毒、蔡依林裸 照病毒、照病毒、SircamSircam等。等。l l几乎所有的电子邮件病毒均为附件带毒,收到几乎所有的电子邮件病毒均为附件带毒,收到 邮件后只要不打开附件,一般不会感染病毒。邮件后只要不打开附件,一般不会感染病毒。l l新型的邮件病毒的邮件正文即为病毒,用户新型的邮件病毒的邮件正文即为病毒,用户 接收到带毒邮件后,即使不将邮件打开,只要接收到带毒邮件后,即使不将邮件打开,只要 将鼠标指向邮件,通过预览功能病毒也会被自将鼠标指向邮件,通过预览功能病毒也会被自 动激活,如动激活,如“Romeo & Juliet”(Romeo & Juliet”(罗密欧和朱丽罗密欧和朱丽 叶叶) )、“Happy Time”Happy Time”(欢乐时光)等,也有人欢乐时光)等,也有人 说这才是真正意义上的邮件病毒。说这才是真正意义上的邮件病毒。l l(b)(b) 病毒源码容易被获取,变种多。由于病毒源码容易被获取,变种多。由于 VBSVBS病毒解释执行,其源代码可读性非常强,病毒解释执行,其源代码可读性非常强, 即使病毒源码经过加密处理后,其源代码的获即使病毒源码经过加密处理后,其源代码的获 取还是比较简单。因此,这类病毒稍微改变一取还是比较简单。因此,这类病毒稍微改变一 下病毒的结
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号