计算机网络安全3.ppt

计算机网络安全3.ppt

《计算机网络安全3.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全3.ppt（32页珍藏版）》请在冰豆网上搜索。

第3章计算机病毒及防治3.13.1计算机病毒概述计算机病毒概述3.23.2计算机病毒的工作机理计算机病毒的工作机理3.33.3计算机病毒实例计算机病毒实例3.43.4计算机病毒的检测和清除计算机病毒的检测和清除3.13.1计算机病毒概述计算机病毒概述1983年年11月月3日，美国计算机安全学家弗雷日，美国计算机安全学家弗雷德德科恩（科恩（FredCohen）博士研制出一种在运）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦行过程中可以复制自身的破坏性程序，伦艾艾德勒曼（德勒曼（LenAdleman）将它正式命名为计算机）将它正式命名为计算机病毒，并在每周一次的计算机安全学术研究会病毒，并在每周一次的计算机安全学术研究会上正式提出。

上正式提出。

1998年年6月，月，CIH病毒出现，病毒出现，CIH病毒是有史病毒是有史以来影响最大的病毒之一。

该病毒是第一个直接以来影响最大的病毒之一。

该病毒是第一个直接攻击和破坏硬件的计算机病毒。

它主要感染攻击和破坏硬件的计算机病毒。

它主要感染Windows95/98的可执行程序，发作时可能会破的可执行程序，发作时可能会破坏计算机坏计算机FlashBIOS芯片中的系统程序，导致主芯片中的系统程序，导致主板损坏，同时破坏硬盘中的数据。

板损坏，同时破坏硬盘中的数据。

CIH病毒是迄病毒是迄今为止破坏最为严重的病毒。

今为止破坏最为严重的病毒。

2002年年4月月16日，一种新的恶意病毒日，一种新的恶意病毒“求职信求职信”病毒在亚洲地区倾刻爆发，它利用电子病毒在亚洲地区倾刻爆发，它利用电子邮件方式，迅速向外传播，扩散势头十分凶猛，邮件方式，迅速向外传播，扩散势头十分凶猛，一股新的病毒风暴就此在全球展开。

一股新的病毒风暴就此在全球展开。

3.1.2计算机病毒的特征计算机病毒的特征1传染性传染性2非授权性非授权性3隐蔽性隐蔽性4潜伏性潜伏性5破坏性破坏性6不可预见性不可预见性3.1.3计算机病毒的种类计算机病毒的种类1按病毒的寄生方式分类按病毒的寄生方式分类

（1）文件型病毒）文件型病毒

（2）引导型病毒）引导型病毒（3）混合型病毒）混合型病毒

（1）文件型病毒）文件型病毒文件型病毒主要以感染文件扩展名为文件型病毒主要以感染文件扩展名为.COM，.EXE和和.OVL等等可执行文件为主。

它的安装必须借助于病毒的载体程序，即要可执行文件为主。

它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，才能把文件型病毒引入内存。

运行病毒的载体程序，才能把文件型病毒引入内存。

（2）引导型病毒）引导型病毒引导型病毒感染软盘的引导扇区，以及硬盘的主引导记录引导型病毒感染软盘的引导扇区，以及硬盘的主引导记录或者引导扇区。

它是在或者引导扇区。

它是在BIOS启动之后，系统引导时出现的病启动之后，系统引导时出现的病毒，其先于操作系统，依托的环境是毒，其先于操作系统，依托的环境是BIOS中断服务程序。

中断服务程序。

（3）混合型病毒）混合型病毒混合型病毒兼具引导型病毒和文件型病毒的特性，可以传混合型病毒兼具引导型病毒和文件型病毒的特性，可以传染染.COM，.EXE等可执行文件，也可以传染磁盘的引导区。

等可执行文件，也可以传染磁盘的引导区。

2按病毒的传染方法分类按病毒的传染方法分类

（1）驻留型病毒）驻留型病毒

（2）非驻留型病毒）非驻留型病毒3按病毒的破坏能力分类按病毒的破坏能力分类

（1）无害性）无害性

（2）无危害性）无危害性（3）危险性）危险性（4）非常危险性）非常危险性4按病毒特有的算法分类

（1）伴随型病毒）伴随型病毒

（2）“蠕虫蠕虫”病毒病毒（3）寄生型病毒）寄生型病毒5按病毒的链接方式分类按病毒的链接方式分类

（1）源码型病毒）源码型病毒

（2）嵌入型病毒）嵌入型病毒（3）外壳病毒）外壳病毒（4）操作系统型病毒）操作系统型病毒3.23.2计算机病毒的工作机理计算机病毒的工作机理目目前前的的计计算算机机病病毒毒几几乎乎都都是是由由三三部部分分组组成成的的，即即引引导导模模块块、传传染染模模块块与与表表现现模模块块。

引引导导模模块块借借助助宿宿主主程程序序将将病病毒毒主主体体从从外外存存加加载载到到内内存存，以以便便传传染染模模块块和和表表现现模模块块进进入入活活动动状状态态。

传传染染模模块块负负责责将将病病毒毒代代码码复复制制到到传传染染目目标标上上去去。

表表现现模模块块是是病病毒毒间间差差异异最最大大的的部部分分，它它判判断断病病毒毒的的触触发发条条件件，实实施施病病毒毒的的破坏功能。

破坏功能。

3.2.1引导型病毒引导型病毒1引导区的结构引导区的结构2计算机的引导过程计算机的引导过程3引导型病毒的基本原理引导型病毒的基本原理引导型病毒传染的对象主要是软盘的引导扇引导型病毒传染的对象主要是软盘的引导扇区，硬盘的主引导扇区和引导扇区。

所以，在系统区，硬盘的主引导扇区和引导扇区。

所以，在系统启动时，这类病毒会优先于正常系统的引导将其自启动时，这类病毒会优先于正常系统的引导将其自身装入到系统中，获得对系统的控制权。

病毒程序身装入到系统中，获得对系统的控制权。

病毒程序在完成自身的安装后，再将系统的控制权交给真正在完成自身的安装后，再将系统的控制权交给真正的系统程序，完成系统的引导，但此时系统已处在的系统程序，完成系统的引导，但此时系统已处在病毒程序的控制之下。

病毒程序的控制之下。

引引导导型型病病毒毒还还可可以以根根据据其其存存储储方方式式分分为为覆覆盖盖型型和和转转移移型型两两种种。

覆覆盖盖型型引引导导病病毒毒在在传传染染磁磁盘盘引引导导区区时时，病病毒毒代代码码将将直直接接覆覆盖盖正正常常引引导导记记录录。

转转移移型型引引导导病病毒毒在在传传染染磁磁盘盘引引导导区区之之前前保保留留了了原原引引导导记记录录，并并转转移移到到磁磁盘盘的的其其他他扇扇区区，以以备备将将来来病病毒毒初初始始化化模模块块完完成成后后仍仍然然由由原原引引导导记记录录完完成成系系统统正正常常引引导导。

绝绝大大多多数数引引导导型型病病毒毒都都是是转转移移型型的的引引导病毒。

导病毒。

3.2.2文件型病毒文件型病毒文文件件型型病病毒毒主主要要可可分分为为三三类类：

寄寄生生病病毒毒、覆覆盖盖病毒和伴随病毒。

病毒和伴随病毒。

寄生病毒在感染的时候，将病毒代码加入正常寄生病毒在感染的时候，将病毒代码加入正常程序中，原来程序的功能部分或者全部被保留。

寄程序中，原来程序的功能部分或者全部被保留。

寄生病毒把自己加入正常程序的方法有很多种。

根据生病毒把自己加入正常程序的方法有很多种。

根据病毒代码加入的方式不同，可分为病毒代码加入的方式不同，可分为“头寄生头寄生”、“尾寄生尾寄生”、“插入寄生插入寄生”和和“空洞利用空洞利用”4种。

种。

覆盖病毒直接用病毒程序替换被感染的程序。

覆盖病毒直接用病毒程序替换被感染的程序。

伴随病毒不改变被感染的文件，而是为被感染伴随病毒不改变被感染的文件，而是为被感染的文件创建一个伴随文件（病毒文件）。

的文件创建一个伴随文件（病毒文件）。

文件型病毒的基本原理如下文件型病毒的基本原理如下:

当被感染程序执行之后，病毒事先获得控制权，当被感染程序执行之后，病毒事先获得控制权，然后执行以下操作。

然后执行以下操作。

（1）内存驻留的病毒首先检查系统内存，查看内存）内存驻留的病毒首先检查系统内存，查看内存是否已有此病毒存在，如果没有则将病毒代码装入内是否已有此病毒存在，如果没有则将病毒代码装入内存进行感染。

存进行感染。

（2）对于内存驻留病毒来说，驻留时还会把一些）对于内存驻留病毒来说，驻留时还会把一些DOS或者基本输入输出系统（或者基本输入输出系统（BIOS）的中断指向病毒）的中断指向病毒代码代码。

（3）执行病毒的一些其他功能，如破坏功能，显示）执行病毒的一些其他功能，如破坏功能，显示信息或者病毒精心制作的动画等。

信息或者病毒精心制作的动画等。

（4）这些工作后，病毒将控制权返回被感染程序，）这些工作后，病毒将控制权返回被感染程序，使正常程序执行。

使正常程序执行。

3.2.4宏病毒宏病毒宏病毒是一类使用宏语言编写的程序，依赖于微宏病毒是一类使用宏语言编写的程序，依赖于微软软Office办公套件办公套件Word、Excel和和PowerPoint等应用程等应用程序传播。

序传播。

1宏病毒的特征宏病毒的特征

（1）宏宏病病毒毒与与传传统统的的文文件件型型病病毒毒有有很很大大的的不不同同。

它它不不感感染染.EXE和和.COM等等可可执执行行文文件件，而而是是将将病病毒毒代代码码以以“宏宏”的的形形式式潜潜伏伏在在Office文文件件中中，主主要要感感染染Word和和Excel等文件。

等文件。

（2）宏宏病病毒毒的的感感染染必必须须通通过过宏宏语语言言的的执执行行环环境境的的功功能能，不不能能直直接接在在二二进进制制的数据文件中加入宏病毒代码。

的数据文件中加入宏病毒代码。

（3）宏宏病病毒毒是是一一种种与与平平台台无无关关的的病病毒毒，任任何何可可以以正正确确打打开开和和理理解解Word文文件宏代码的平台都可能感染宏病毒。

件宏代码的平台都可能感染宏病毒。

（4）此外宏病毒编写容易，破坏性强。

）此外宏病毒编写容易，破坏性强。

（5）宏病毒的传播速度极快。

）宏病毒的传播速度极快。

3宏病毒的表现

（1）有些宏病毒只进行自身的传播，并不具破坏性。

）有些宏病毒只进行自身的传播，并不具破坏性。

（2）这些宏病毒只对用户进行骚扰，但不破坏系统。

）这些宏病毒只对用户进行骚扰，但不破坏系统。

（3）有些宏病毒极具破坏性。

）有些宏病毒极具破坏性。

3.2.5网络病毒网络病毒随着网络的发展，网络病毒已经成为计算机网随着网络的发展，网络病毒已经成为计算机网络安全的最大威胁之一。

而网络病毒中又以蠕虫病络安全的最大威胁之一。

而网络病毒中又以蠕虫病毒出现最早，传播最为广泛。

毒出现最早，传播最为广泛。

1蠕虫病毒的传播过程蠕虫病毒的传播过程蠕蠕虫虫病病毒毒的的传传播播可可以以分分为为3个个基基本本模模块块：

扫扫描描模模块块、攻攻击击模模块块和和复复制制模模块块，因因此此，它它的的传传播播过过程程也也由扫描、攻击和复制三部分组成。

由扫描、攻击和复制三部分组成。

（1）扫描）扫描由由蠕蠕虫虫病病毒毒的的扫扫描描功功能能模模块块负负责责探探测测存存在在漏漏洞洞的的主主机机。

当当程程序序向向某某个个主主机机发发送送探探测测漏漏洞洞的的信信息息并并收收到到成成功功的的反反馈馈信信息后，就得到一个可传播的对象。

息后，就得到一个可传播的对象。

（2）攻击）攻击攻攻击击模模块块按按漏漏洞洞攻攻击击步步骤骤自自动动攻攻击击步步骤骤

（1）中中找找到到的的对对象象，取取得得该该主主机机的的权权限限（一一般般为为管管理理员员权权限限），获获得得一一个个shell。

（3）复制）复制复复制制模模块块通通过过原原主主机机和和新新主主机机的的交交互互将将蠕蠕虫虫病病毒毒程程序序复复制到新主机并启动。

制到新主机并启动。

通通过过上上面面的的传传播播过过程程可可以以看看到到，蠕蠕虫虫病病毒毒的的传传播播过过程程实实际际上上是是病病毒毒自自动动入入侵侵的的过过程程，所所以以蠕蠕虫虫病病毒毒的的传传播播是是同同病病毒毒的的入入侵分不开的。

侵分不开的。

2蠕虫病毒的入侵过程蠕虫病毒的入侵过程蠕虫病毒采用的自动入侵技术，由于程蠕虫病毒采用的自动入侵技术，由于程序大小的限制，自动入侵程序不可能有太强序大小的限制，自动入侵程序不可能有太强的智能性，所以自动入侵一般都采用某种特的智能性，所以自动入侵一般都采用某种特定的模式，这种模式是由普通入侵技术中提定的模式，这种模式是由普通入侵技术中提取出来的。

取出来的。

（1）“扫描攻击复制扫描攻击复制”模式模式随机选取某一段随机选取某一段IP地址，然后对这一地址段上的主机地址，然后对这一地址段上的主机扫描。

扫描。

扫描发送的探测包是根据不同的漏洞进行设计的。

扫描发送的探测包是根据不同的漏洞进行设计的。

攻击成功后，一般是获得一个远程主机的攻击成功后，一般是获得一个远程主机的shel