計(jì)算機(jī)病毒ppt

1、計(jì)算機(jī)病毒的分類(lèi)與傳播原理,以及著名的病毒分析,小組成員: 王建 曹長(zhǎng)波 李思航 甄卓然 方迪愷,,計(jì)算機(jī)病毒是什么？,1994年2月18日頒布實(shí)施的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”,計(jì)算機(jī)病毒有哪些特征?,1.傳染性指病毒具有把自身復(fù)制到其它程序中的特性 2. 取得系統(tǒng)

2、控制權(quán)3. 隱蔽性通過(guò)隱蔽技術(shù)使宿主程序的大小沒(méi)有改變，以至于很難被發(fā)現(xiàn)。 4. 破壞性 計(jì)算機(jī)所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計(jì)算機(jī)病毒的破壞5. 潛伏性潛伏性 長(zhǎng)期隱藏在系統(tǒng)中，只有在滿(mǎn)足特定條件時(shí)，才啟動(dòng)其破壞模塊。 6. 不可預(yù)見(jiàn)性,2、計(jì)算機(jī)病毒的結(jié)構(gòu)與分類(lèi),按入侵方式分：源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒。按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分：引導(dǎo)扇區(qū)型病毒

3、、文件型病毒、混合型病毒,計(jì)算機(jī)病毒的結(jié)構(gòu)：計(jì)算機(jī)病毒的結(jié)構(gòu)包括三大功能模塊，即傳染模塊、表現(xiàn)或破壞模塊、觸發(fā)或引導(dǎo)模塊。,計(jì)算機(jī)病毒的分類(lèi)：,計(jì)算機(jī)病毒的分類(lèi),,病毒攻擊的操作系統(tǒng),,（1） 攻擊DOS 系統(tǒng)的病毒（2） 攻擊Windows 系統(tǒng)的病毒用戶(hù)使用多，主要的攻擊對(duì)象（3） 攻擊UNIX 系統(tǒng)的病毒（4） 攻擊OS/2 系統(tǒng)的病毒（5） 攻擊NetWare 系統(tǒng)的病毒,病毒的鏈接方式,,（1） 源碼型病毒,（3）

4、外殼型病毒,（4） 操作系統(tǒng)型病毒,（2） 嵌入型病毒,病毒的載體,,（1）引導(dǎo)型病毒,（2）文件型病毒： .com .exe,（4）混合型病毒,,計(jì)算機(jī)病毒的破壞能力,,.............................,病毒特有的算法不同,（3） 網(wǎng)絡(luò)病毒,（1）伴隨型病毒,（2）“蠕蟲(chóng)”型病毒,（3）寄生型病毒,,練習(xí)型病毒,詭秘型病毒,變型病毒,病毒的攻擊機(jī)型,.........,,,病毒的工作步驟與機(jī)制,,,,,,

5、,,休眠狀態(tài),,特定的程序被執(zhí)行,,將自身程序復(fù)制給其他程序或磁盤(pán)區(qū)域,,病毒激活,,執(zhí)行特定功能達(dá)到既定目標(biāo),,破環(huán)文件感染程序,,潛伏階段,傳染階段,觸發(fā)階段,發(fā)作階段,,▲ 引導(dǎo)機(jī)制,病毒作為一種特殊的程序，就必須從存儲(chǔ)體進(jìn)入內(nèi)存才能實(shí)現(xiàn)其預(yù)定功能。,所以其寄生對(duì)象主要分為?寄生在計(jì)算機(jī)硬盤(pán)的主引導(dǎo)扇區(qū)；?寄生在計(jì)算機(jī)磁盤(pán)邏輯分析引導(dǎo)扇區(qū)；?寄生在可執(zhí)行程序中。,其寄生方式為：,,替代法,鏈接法,（用自身的指令代碼替代原有的內(nèi)容

6、）,（將自身代碼作為正常程序的一部分鏈接在程 序的首部、尾部或中間）,,引導(dǎo)過(guò)程： 1：駐留內(nèi)存（網(wǎng)絡(luò)病毒不需要）,2：獲取系統(tǒng)控制權(quán),3：恢復(fù)系統(tǒng)功能（為了隱藏自己，系統(tǒng)不會(huì)出現(xiàn)死機(jī)等異常狀況，使用戶(hù)無(wú)法發(fā)現(xiàn)病毒的存在。）,,指計(jì)算機(jī)病毒由一個(gè)宿主傳播到另一個(gè)宿主程序，由一個(gè)系統(tǒng)進(jìn)入另一個(gè)系統(tǒng)的過(guò)程。,傳染方式,,被動(dòng)傳播,主動(dòng)傳播,（用戶(hù)在復(fù)制磁盤(pán)或文件時(shí)，把一個(gè)計(jì)算機(jī)病毒由一個(gè)信息載體復(fù)制到另一個(gè)信息載體

7、，也可以通過(guò)網(wǎng)絡(luò)把程序從一方傳到另一方。）,（在計(jì)算機(jī)病毒處于激活的狀態(tài)下，只要傳染條件滿(mǎn)足，計(jì)算機(jī)病毒程序能主動(dòng)地把計(jì)算機(jī)病毒自身傳染給另一個(gè)載體或另一個(gè)系統(tǒng)。）,傳染過(guò)程,,對(duì)于被動(dòng)傳播的病毒而言：其傳染過(guò)程是隨著復(fù)制磁盤(pán)或文件工作的進(jìn)行而進(jìn)行的。,對(duì)于主動(dòng)傳播的病毒而言：其傳染過(guò)程是在系統(tǒng)運(yùn)行時(shí)，計(jì)算機(jī)病毒通過(guò)計(jì)算機(jī)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器，常駐內(nèi)存，并在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)作。在計(jì)算機(jī)病毒引導(dǎo)模塊將計(jì)算機(jī)病毒

8、傳染模塊駐留內(nèi)存的過(guò)程中，通常要修改系統(tǒng)中斷向量入口地址（如INT 13H或INT 21H)，使該中斷向量指向計(jì)算機(jī)病毒程序傳染模塊。一旦系統(tǒng)執(zhí)行磁盤(pán)讀寫(xiě)操作或系統(tǒng)功能調(diào)用，計(jì)算機(jī)病毒傳染模塊激活，在條件滿(mǎn)足的條件下，利用INT 13H讀寫(xiě)磁盤(pán)中斷把計(jì)算機(jī)病毒自身傳染給讀寫(xiě)的磁盤(pán)或加載程序，也就是實(shí)施計(jì)算機(jī)病毒的傳染，然后再轉(zhuǎn)移到原中斷服務(wù)程序執(zhí)行原有的操作。,,▲ 觸發(fā)機(jī)制,可觸發(fā)性是計(jì)算機(jī)病毒的攻擊性與潛伏性之間的調(diào)整杠桿，可以控

9、制計(jì)算機(jī)病毒感染和破壞的頻度，兼顧殺傷性和潛伏性。一般觸發(fā)條件越苛刻，病毒就具有越好的潛伏性，但不易傳播，所以殺傷力就減弱。目前采用的觸發(fā)條件一般有：,1.日期觸發(fā) （"CIH"病毒4月26號(hào)發(fā)作）2.時(shí)間觸發(fā) 3.鍵盤(pán)觸發(fā) 4.感染觸發(fā) 5.啟動(dòng)觸發(fā) 6.訪問(wèn)磁盤(pán)觸發(fā) ...........,例如：火炬病毒發(fā)作時(shí)，

10、屏幕上顯示5把燃燒的火炬，同時(shí)該病毒用內(nèi)存的隨機(jī)數(shù)從硬盤(pán)的物理第一扇區(qū)開(kāi)始覆蓋，造成硬盤(pán)中的數(shù)據(jù)丟失。,,,▲ 傳播機(jī)制,計(jì)算機(jī)病毒的傳播途徑：（1） 通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，即利用專(zhuān)用ASIC 芯片和硬盤(pán)進(jìn)行傳播；（2） 通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播，其中U盤(pán)和移動(dòng)硬盤(pán)是使用最廣泛、移動(dòng)最頻繁的存儲(chǔ)介質(zhì)；（3） 通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播；（4） 通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線(xiàn)通道傳播。,,著名的計(jì)算機(jī)病毒分析,蠕蟲(chóng)病毒與一般病

11、毒的區(qū)別   普通病毒 蠕蟲(chóng)病毒 存在形式 寄存文件 獨(dú)立程序 傳染機(jī)制 宿主程序運(yùn)行 主動(dòng)攻擊 傳染目標(biāo) 本地文件 網(wǎng)絡(luò)計(jì)算機(jī),█ 蠕蟲(chóng)型病毒,網(wǎng)絡(luò)蠕蟲(chóng)成為最主要和破壞力最大的計(jì)算機(jī)病毒類(lèi)型。,,【代號(hào)： Stuxnet 蠕蟲(chóng) 超級(jí)工廠病毒】,

12、感染系統(tǒng)：windows CE系統(tǒng),發(fā)現(xiàn)時(shí)間：2010年6月,傳播方式：U盤(pán),殺傷力：導(dǎo)致伊朗布什爾核電站癱瘓,具體情況：stuxnet的獨(dú)特之處在于它并不攻擊傳統(tǒng)的Windows系統(tǒng)，而是將目標(biāo)放在了極小眾、極專(zhuān)業(yè)的西門(mén)子wincc工控系統(tǒng)上，這個(gè)系統(tǒng)的原型就是廣為人知的Windows CE。并且這個(gè)病毒的目標(biāo)非常具體，它會(huì)通過(guò)U盤(pán)感染將自己擺渡到目標(biāo)工控件中，然后發(fā)作。 吊詭的是，第一批發(fā)作的病毒60%將目標(biāo)定在了伊朗布什爾核電站的

13、西門(mén)子工控系統(tǒng)上，這個(gè)核電站正是美國(guó)懷疑伊朗制造核武器的基地。專(zhuān)家指出：一旦stuxnet找到西門(mén)子WinCC裝置，就能接管西門(mén)子設(shè)施的關(guān)鍵操作系統(tǒng)，并在十分之一秒內(nèi)封住設(shè)備的操作。,代號(hào)： 熊 貓 燒 香,熊貓燒香感染機(jī)理：,“熊貓燒香”，是一個(gè)感染型的蠕蟲(chóng)病毒，它能感染系統(tǒng)中的exe,com,pif,scr,html,asp等文件，它能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，使用戶(hù)的系統(tǒng)備份文件丟失。被感染的用戶(hù)

14、系統(tǒng)中所有.exe可執(zhí)行文件全部被改為熊貓舉著三根香的模樣。,為什么熊貓燒香如此猖獗？,最絕的是，病毒作者李俊將這個(gè)病毒賣(mài)給了120個(gè)黑客，鼓勵(lì)教導(dǎo)他們廣撒網(wǎng)多抓雞。李俊自己也購(gòu)買(mǎi)了服務(wù)器，專(zhuān)門(mén)用作病毒更新，創(chuàng)下了一天更新8次的病毒升級(jí)記錄，可以堪稱(chēng)史上最勤奮的病毒作者。,該病毒除了通過(guò)網(wǎng)站感染用戶(hù)外，還會(huì)在局域網(wǎng)中傳播，在極端時(shí)間內(nèi)就可以感染幾千臺(tái)計(jì)算機(jī)，嚴(yán)重時(shí)出現(xiàn)網(wǎng)絡(luò)癱瘓。中毒電腦也會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及數(shù)據(jù)文件被破壞等現(xiàn)象。,

15、,█ 特洛伊木馬病毒,談到木馬，人們就想到病毒，木馬也算是一種病毒，但與傳統(tǒng)的計(jì)算機(jī)病毒不同。木馬是一種惡意代碼，它通常并不像病毒程序那樣感染文件。木馬一般是以尋找后門(mén)、竊取密碼和重要文件為主，還能對(duì)計(jì)算機(jī)進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。,木馬的運(yùn)行模式屬于客戶(hù)/服務(wù)模式，它包括兩大部分，即客戶(hù)端和服務(wù)端。其原理是一臺(tái)主機(jī)提供服務(wù)(服務(wù)器)，另一臺(tái)主機(jī)接受服務(wù)(客戶(hù)機(jī))，作為服務(wù)器的主機(jī)一般

16、會(huì)打開(kāi)一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽(tīng)。如果有客戶(hù)機(jī)向服務(wù)器的這一端口提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶(hù)機(jī)的請(qǐng)求。這個(gè)程序被稱(chēng)為守護(hù)進(jìn)程。木馬通常的攻擊步驟是： Ⅰ ： 設(shè)定好服務(wù)器程序；Ⅱ ： 騙取對(duì)方執(zhí)行服務(wù)器程序；Ⅲ ：尋找對(duì)方的地址IP；Ⅳ ： 用客戶(hù)端程序來(lái)控制對(duì)方的計(jì)算機(jī)。,中了灰鴿子會(huì)出現(xiàn)什么情況？ 事實(shí)是什么情況都會(huì)出現(xiàn)。灰鴿子能夠記錄你的鍵盤(pán)

17、擊鍵記錄，能夠遠(yuǎn)程開(kāi)啟攝像頭，打開(kāi)麥克風(fēng)，能夠下載你電腦里的任何文件。幾乎你能夠想到的電腦基本操作，黑客都可以通過(guò)灰鴿子遠(yuǎn)程控制實(shí)現(xiàn)。從灰鴿子誕生的2001年到銷(xiāo)聲匿跡的2008年之間，正好遭遇了全民皆黑客的年代，灰鴿子因?yàn)椴僮骱?jiǎn)單，上手快，很快的成為當(dāng)時(shí)最泛濫的木馬病毒，近中國(guó)國(guó)內(nèi)至少有上千萬(wàn)臺(tái)電腦感染過(guò)灰鴿子病毒。 有趣的是，灰鴿子的作者并沒(méi)有像熊貓燒香的李俊一樣，一直用灰鴿子賺錢(qián)。在2008年之后該作者轉(zhuǎn)而開(kāi)發(fā)防火墻，

18、專(zhuān)門(mén)用來(lái)防護(hù)自己的灰鴿子。,【代號(hào)： 灰鴿子】,感染系統(tǒng)：windows 系統(tǒng),發(fā)作時(shí)間：2001年,傳播方式：多種網(wǎng)絡(luò)傳播方式,,,,CIH病毒,CIH（英語(yǔ)又稱(chēng)為Chernoby1或Spacefiller）是一種電腦病毒，其名稱(chēng)源自它的作者，當(dāng)時(shí)仍然是臺(tái)灣大同工學(xué)院（現(xiàn)大同大學(xué)）學(xué)生的電腦技術(shù)鬼才陳盈豪的名字的拼音縮寫(xiě)。它被認(rèn)為是最有害的廣泛傳播的病毒之一，會(huì)破壞用戶(hù)系統(tǒng)的全部信息，在某些情況下，會(huì)重寫(xiě)系統(tǒng)的BIOS（BIOS是英

19、文“Basic Input Output System”的縮略語(yǔ)，直譯過(guò)來(lái)后中文名稱(chēng)就是“基本輸入輸出系統(tǒng)”。其實(shí)，它是一組固化到計(jì)算機(jī)內(nèi)主板上一個(gè)ROM芯片上的程序，它保存著計(jì)算機(jī)最重要的基本輸入輸出的程序、系統(tǒng)設(shè)置信息、開(kāi)機(jī)后自檢程序和系統(tǒng)自啟動(dòng)程序。其主要功能是為計(jì)算機(jī)提供最底層的、最直接的硬件設(shè)置和控制。） CIH的運(yùn)作原理： 通常，CIH病毒的傳染方式是通過(guò)修改文件頭部的程序入口地址，使其指向病毒的引導(dǎo)代碼，

20、在這一點(diǎn)上，CIH病毒和以前DOS環(huán)境中的多數(shù)病毒是類(lèi)似的。CIH的載體一個(gè)名為“ICQ中文Chat模塊”的工具，并以熱門(mén)盜版光盤(pán)游戲如“盜墓奇兵”或Windows95/98為媒介，經(jīng)互聯(lián)網(wǎng)各網(wǎng)站互相轉(zhuǎn)載，使其迅速傳播。目前傳播的主要途徑主要通過(guò)Internet和電子郵件，當(dāng)然隨著時(shí)間推移，其傳播主要仍將通過(guò)軟盤(pán)或光盤(pán)途徑。CIH感染的系統(tǒng)： CIH以可移植可執(zhí)行文件格式在Windows95、Windows98和Windo

21、ws ME上傳播。CIH不會(huì)在Windows NT、Windows 2000或者WindowsXP上傳播。,電腦鬼才—陳盈豪,陳盈豪（1975年—)，臺(tái)灣的電腦技術(shù)鬼才，CIH病毒之父。現(xiàn)在是集嘉通訊（技嘉子公司）主任工程師，以研究作業(yè)系統(tǒng)核心為主，試圖開(kāi)發(fā)更符合人性的智慧的手機(jī)系統(tǒng)。據(jù)初步統(tǒng)計(jì)，來(lái)自臺(tái)灣的CIH電腦病毒共造成全球6000萬(wàn)臺(tái)電腦癱瘓，其中韓國(guó)損失最為嚴(yán)重，共有30萬(wàn)臺(tái)電腦中毒，占全國(guó)電腦總數(shù)的15%以上，損失更是高達(dá)

22、兩億韓元以上。土耳其、孟加拉、馬來(lái)西亞、俄羅斯、中國(guó)內(nèi)地的電腦均遭CIH病毒的襲擊。CIH電腦病毒暴發(fā)過(guò)后，有的把CIH的始作俑者陳盈豪抬升為“天才”，有的把他貶為“鬼才”。,1998年制造出在臺(tái)灣傳播的首例CIH病毒時(shí)，陳盈豪年僅23歲。并且CIH病毒完全由他一人設(shè)計(jì)。,★ 對(duì)于從因特網(wǎng)上下載的可執(zhí)行文件和WORD／EXECEL文件一定要非常小 心，在打開(kāi)這些東西之前一定要進(jìn)行非常仔細(xì)的檢查。 ★ 設(shè)置始終顯示文件的擴(kuò)展名

23、。 ★ 不要相信任何人發(fā)來(lái)的郵件，即使是來(lái)自你的朋友，即使郵件的主題是“我愛(ài)你”。 ★ 最好是購(gòu)買(mǎi)正版的軟件，不要購(gòu)買(mǎi)盜版軟件。 ★ 在任何時(shí)候都不要禁止你的病毒防火墻。 ★ 定期備份你的數(shù)據(jù)，這是最重要的防患于未然的方法。 ★ 將你的電腦的引導(dǎo)順序設(shè)置為“C：A：”，這樣可以防止軟盤(pán)中的引導(dǎo)病毒感染你的硬盤(pán)。 ★ 發(fā)現(xiàn)機(jī)器有異常表現(xiàn)，立即關(guān)機(jī)，然后進(jìn)行殺毒處理。 ★ 及時(shí)升級(jí)你的殺毒軟件，一