85反病毒技术 8.5.1病毒概述 8.52宏病毒 8.53CH病毒 8.54常用反病毒技术 ●四南大字画字
8.5 反病毒技术 8.5.1 病毒概述 8.5.2 宏病毒 8.5.3 CIH病毒 8.5.4 常用反病毒技术
8.51病毒概述 1病毒定义 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或 者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或 者程序代码。 一般地,我们所讲的病毒包括特洛伊木马、病毒、细菌和蠕虫等 等。特洛伊木马和病毒,它们不能脱离某些特定的的应用程序、应 用工具或系统而独立存在;而细菌和蠕虫是完整的程序,操作系统 可以调度和运行它们。而且除特洛伊木马外,其他三种形式的病毒 都有能够复制。 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 1. 病毒定义 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或 者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或 者程序代码。 一般地,我们所讲的病毒包括特洛伊木马、病毒、细菌和蠕虫等 等。特洛伊木马和病毒,它们不能脱离某些特定的的应用程序、应 用工具或系统而独立存在;而细菌和蠕虫是完整的程序,操作系统 可以调度和运行它们。而且除特洛伊木马外,其他三种形式的病毒 都有能够复制
8.51病毒概述 2.病毒传染方式 病毒的传染途径有电磁波、有线电路、军用或民用设备或直接放 毒等。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过 程中病毒是否被激活,病毒传染分为静态传染和动态传染 静态传染是指由于用户使用了coPY、 DISKCOPY等拷贝 命令或类似操作,一个病毒连同其载体文件一起从一处被复制 到另一处。而被复制后的病毒不会引起其他文件感染 动态传染是指一个静态病毒被加载进入内存变为动态病毒 后,当其传染模块被激活所发生的传染操作,这是一种主动传 染方式。与动态传染相伴随的常常是病毒的发作。 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 2. 病毒传染方式 病毒的传染途径有电磁波、有线电路、军用或民用设备或直接放 毒等。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过 程中病毒是否被激活,病毒传染分为静态传染和动态传染。 ➢ 静态传染是指由于用户使用了COPY、DISKCOPY等拷贝 命令或类似操作,一个病毒连同其载体文件一起从一处被复制 到另一处。而被复制后的病毒不会引起其他文件感染。 ➢ 动态传染是指一个静态病毒被加载进入内存变为动态病毒 后,当其传染模块被激活所发生的传染操作,这是一种主动传 染方式。与动态传染相伴随的常常是病毒的发作
8.51病毒概述 3.病毒的分类 按病毒感染的途径,病毒分为三类: 引导型病毒。它是是藏匿在磁盘片或哽盘的第一个扇区 每次启动计算机时,在操作系统还没被加载之前就被加载到内 存中,这个特性使得病毒完全控制DoS的各类中断,并且拥有 更大的能力进行传染与破坏。 文件型病毒。文件型病毒通常寄生在可执行文件中当这些 文件被执行时,病毒的程序就跟着被执行。根据病毒依传染方 式的不同,它分成排非常驻型和常驻型 复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的 特性。它们可以传染*COM和*EXE文件,也可以传染磁盘的 引导区。 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 3. 病毒的分类 按病毒感染的途径,病毒分为三类: ➢ 引导型病毒。它是是藏匿在磁盘片或硬盘的第一个扇区。 每次启动计算机时,在操作系统还没被加载之前就被加载到内 存中,这个特性使得病毒完全控制DOS的各类中断,并且拥有 更大的能力进行传染与破坏。 ➢ 文件型病毒。文件型病毒通常寄生在可执行文件中当这些 文件被执行时,病毒的程序就跟着被执行。根据病毒依传染方 式的不同,它分成非常驻型和常驻型 。 ➢ 复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的 特性。它们可以传染 *.COM和*.EXE 文件,也可以传染磁盘的 引导区
8.51病毒概述 4.病毒结构 计算机病毒是一种特殊的程序,它寄生在正常的、合法的程序中, 并以各种方式潜伏下来,伺机进行感染和破坏。在这种情况下,称原 先的那个正常的、合法的程序为病毒的宿主或宿主程序。病毒程序 般由以下部份组成 初始化部分。它指随着病毒宿主程序的执行而进入内存并 使病毒相对独立于宿主程序的部分。 传染部分。它指能使病毒代码连接于宿主程序之上的部分, 由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体 部分组成。 》破坏部分或表现部分。主要指破坏被传染系统或者在被传 染系统设备上表现特定的现象。它是病毒程序的主体,在一定 程度上反映了病毒设计者的意图。 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 4. 病毒结构 计算机病毒是一种特殊的程序,它寄生在正常的、合法的程序中, 并以各种方式潜伏下来,伺机进行感染和破坏。在这种情况下,称原 先的那个正常的、合法的程序为病毒的宿主或宿主程序。病毒程序一 般由以下部份组成: ➢ 初始化部分。它指随着病毒宿主程序的执行而进入内存并 使病毒相对独立于宿主程序的部分。 ➢ 传染部分。它指能使病毒代码连接于宿主程序之上的部分, 由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体 部分组成。 ➢ 破坏部分或表现部分。主要指破坏被传染系统或者在被传 染系统设备上表现特定的现象。它是病毒程序的主体,在一定 程度上反映了病毒设计者的意图
8.51病毒概述 5病毒感染原理 引导型病毒感染原理 引导型病毒通过执行启动计算机的动作作为感染的途径。一般正 常软盘启动动作为:开机、执行B0S、读入B00T程序执行和加载D0S。 一假定某张启动软盘已经了感染病毒,那么该软盘上的B00T扇区将 存放着病毒程序,而不是B00T程序。所以,“读入B00T程序并执行” 将变成“读入病毒程序并执行”,等到病毒入侵内存后,等到病毒入 侵内存后,再由病毒程序读入原始B0T程序,既然病毒D0S先一步进 入内存中,自然在D0S下的所有读写动作将受到病毒控制。所以,当 使用者只要对另一张干净的软盘进行读写,驻在内存中的病毒可以感 染这张软盘 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 5. 病毒感染原理 ➢ 引导型病毒感染原理 引导型病毒通过执行启动计算机的动作作为感染的途径。一般正 常软盘启动动作为:开机、执行BIOS、读入BOOT程序执行和加载DOS。 假定某张启动软盘已经了感染病毒,那么该软盘上的BOOT扇区将 存放着病毒程序,而不是BOOT 程序。所以,“读入BOOT程序并执行” 将变成“读入病毒程序并执行”,等到病毒入侵内存后,等到病毒入 侵内存后,再由病毒程序读入原始BOOT程序,既然病毒DOS先一步进 入内存中,自然在DOS下的所有读写动作将受到病毒控制。所以,当 使用者只要对另一张干净的软盘进行读写,驻在内存中的病毒可以感 染这张软盘
8.51病毒概述 若启动盘是硬盘。因硬盘多了一个分区表,分区表位于硬盘的 第0面第0道第1扇区。当在“读入B00T程序并执行”之前是“读入分 区表并执行”,比软盘启动多了一道手续。所以和感染软盘不同的地 方是病毒不但可以感染硬盘的B00T扇区还可以感染硬盘的分区表。 感染B00T扇区是在“读入分区表并执行”之后,“读入B00T 程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入 病毒程序并执行”之后,“读入分区表并执行”之前“读入B0OT程序 并执行”。 不管是软盘还是硬盘,引导型病毒一定比D0S早一步进入内存 中,并控制读写动作,伺机感染其他未感染病毒的磁盘。 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 若启动盘是硬盘。因硬盘多了一个分区表,分区表位于硬盘的 第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是“读入分 区表并执行” ,比软盘启动多了一道手续。所以和感染软盘不同的地 方是病毒不但可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。 感染BOOT扇区是在“读入分区表并执行”之后, “读入BOOT 程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入 病毒程序并执行”之后, “读入分区表并执行”之前“读入BOOT程序 并执行”。 不管是软盘还是硬盘,引导型病毒一定比DOS早一步进入内存 中,并控制读写动作,伺机感染其他未感染病毒的磁盘
8.51病毒概述 文件型病毒感染原理 对非常驻型病毒而言,只要一执行中毒的程序文件,病毒便立 即寻找磁盘中尚未感染病毒的文件,若找到了便加以感染。一般而言, 对于.cOM型文件,病毒替换它的第一条指令;对于.ExE文件,病毒改 变入口指针。 而常驻型病毒必须常驻内存,才能达到感染其他文件的目的。在 每一个程序文件在执行时,都会调用|NT2H中断命令,所以病毒必 须拦截INT21H的调用,使其先通过病毒的程序,再去执行真正的INT 21H服务程序。这样,每个要被执行的程序文件都要先通过病毒“检 查”是否已中毒,若未中毒则病毒感染该文件。 复合型病毒感染原理 就启动动作来说,假设以感染复合型病毒的磁盘启动,那么病毒 便先潜入内存中,伺机感染其他未中毒的磁盘,而当D0S载入内存后, 病毒再拦截|NT21H已达到感染文件的目的。 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 ➢ 文件型病毒感染原理 对非常驻型病毒而言,只要一执行中毒的程序文件,病毒便立 即寻找磁盘中尚未感染病毒的文件,若找到了便加以感染。一般而言, 对于.COM型文件,病毒替换它的第一条指令;对于.ExE文件,病毒改 变入口指针。 而常驻型病毒必须常驻内存,才能达到感染其他文件的目的。在 每一个程序文件在执行时,都会调用INT 21H中断命令,所以病毒必 须拦截INT 21H的调用,使其先通过病毒的程序,再去执行真正的INT 21H服务程序。这样,每个要被执行的程序文件都要先通过病毒“检 查”是否已中毒,若未中毒则病毒感染该文件。 ➢ 复合型病毒感染原理 就启动动作来说,假设以感染复合型病毒的磁盘启动,那么病毒 便先潜入内存中,伺机感染其他未中毒的磁盘,而当DOS载入内存后, 病毒再拦截INT 21H已达到感染文件的目的
8.51病毒概述 6.病毒的网络威胁 工作站受到的威胁。病毒对网络工作站的攻击途径主要包 括:利用软盘读写进行传播、通过网络共享进行攻击、通过电 子邮件系统进行攻击、通过FTP下载进行攻击和通过WWW浏 览进行攻击。 服务器受到的威胁。网络操作系统一般都采用 Windows NT2000 Server和少量 Unix/Linux,而 Unix/Linux本身的计 算机病毒的流行报告几乎很少。但到目前为止感染 Windows NT系统的病毒已有一定数量。 Web站点受到的威胁。-般Web站点,用户访问量很大 目前能通过WEB站点传播的病毒只有脚本蠕虫、一些恶意 Java代码和 ActiveX 第8章网络安全
第8章 网络安全 8.5.1 病毒概述 6. 病毒的网络威胁 ➢ 工作站受到的威胁。病毒对网络工作站的攻击途径主要包 括:利用软盘读写进行传播、通过网络共享进行攻击、通过电 子邮件系统进行攻击、通过FTP下载进行攻击和通过WWW浏 览进行攻击。 ➢ 服务器受到的威胁。网络操作系统一般都采用Windows NT/2000 Server和少量 Unix/Linux,而Unix/Linux本身的计 算机病毒的流行报告几乎很少。但到目前为止感染Windows NT系统的病毒已有一定数量。 ➢ Web站点受到的威胁。一般Web站点,用户访问量很大, 目前能通过WEB站点传播的病毒只有脚本蠕虫、一些恶意 Java代码和ActiveX
852宏病毒 1.宏病毒的传染原理 每个Word文本对应一个模板,而且对文本进行操作时,如打开、 关闭文件等,都执行了相应模板中的宏程序,由此可知 当打开一个带病毒模板后,该模板可以通过执行其中的宏 程序,如 AutoOpen、 Auto Exit等将自身所携带病毒程序拷贝 到Word系统中的通用模板上,如 Normal.dot中。 若使用带病毒模板对文件进行操作时,如存盘 Filesave等, 以将该文本文件重新存盘为带毒模板文件,即由原来不带宏 程序的纯文本文件转换为带病毒的模板文件 上述两步循环就构成了病毒的基本传染原理。 第8章网络安全
第8章 网络安全 8.5.2 宏病毒 1. 宏病毒的传染原理 每个Word文本对应一个模板,而且对文本进行操作时,如打开、 关闭文件等,都执行了相应模板中的宏程序,由此可知: ➢ 当打开一个带病毒模板后,该模板可以通过执行其中的宏 程序,如AutoOpen、AutoExit等将自身所携带病毒程序拷贝 到Word系统中的通用模板上,如Normal.dot中。 ➢ 若使用带病毒模板对文件进行操作时,如存盘FileSave等, 可以将该文本文件重新存盘为带毒模板文件,即由原来不带宏 程序的纯文本文件转换为带病毒的模板文件。 上述两步循环就构成了病毒的基本传染原理