计算机病毒的基本机制.ppt-得力文库

资源描述

《计算机病毒的基本机制.ppt》由会员分享，可在线阅读，更多相关《计算机病毒的基本机制.ppt（27页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、南开大学信息技术科学学院古力计算机病毒分析与对抗 2010 2010年年第三章计算机病毒的基本机制 P38页,一个简单的计算机病毒从这个简单的批处理命令程序可以看出,一个病毒应包括以下几种机制、触发机制、传播机制、表现/破坏机制南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年一、计算机病毒状态、静态病毒、动态病毒病毒的启动南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年二、计算机病毒的三种机制、计算机病毒的弱点（）（）（）（）南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年二、计算机病毒的三种机制、计算机病毒的基本模块

2、）感染模块）触发模块）破坏模块）主控模块）病毒程序的一般框架南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年三、计算机病毒的传播机制、病毒感染的目标和过程）感染目标100）病毒感染的过程操作系统程序作宿主程序（引导型病毒）COMMAND程序作宿主程序应用程序作宿主程序南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年 3）病毒常驻内存 4）修改中断向量 INT 9H；读取键盘输入 INT 8H；计时中断 INT 13H；读写磁盘 INT 25H；读磁盘逻辑扇区 INT 26H；写磁盘逻辑扇区 INT 21H的4BH子功能：在可执行程序中调用另一程序三

3、、计算机病毒的传播机制南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年三、计算机病毒的传播机制2、病毒感染长度和感染次数）感染长度长度不变增长的长度为恒定值增长的长度在一个固定范围内变化每次感染，宿主程序长度都在变化南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年三、计算机病毒的传播机制 2）单次感染 3）重复感染 a、简单的重复感染 b、有限次数重复感染 c、变长度重复感染 d、变位重复感染南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年3、引导型病毒的感染4、寄生感染5、插入感染和逆插入感染6、链式感染7、破坏性感

4、染三、计算机病毒的传播机制南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年三、计算机病毒的传播机制8、滋生感染9、没有入口点的感染10、OBJ、LIB和源码感染11、混合感染和交叉感染12、零长度感染13、计算机病毒的网络感染南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年13、计算机病毒的网络感染 1）通过E_mail感染 2）通过BBS感染 3）通过网络服务感染 4）电话线路上的病毒 5）病毒发射枪三、计算机病毒的传播机制南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年四、计算机病毒的触发机制可触发性：是指病毒因为某

5、个事件或某个数值的出现，诱使病毒实施感染或进行攻击的特性。可触发性是病毒的攻击性和潜伏性之间的调节杠杆，可以控制病毒感染和破坏的频度，兼顾杀伤力和潜伏性。南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年四、计算机病毒的触发机制（一）、日期和时间触发许多病毒采用日期作为触发条件，常见的有特定日期触发，月份触发，上半年或下半年触发等。1、日期触发 1）、特定日期触发 a、每月某日触发 b、某月某日定期触发 c、以某日为界，分时段继续感染和破坏南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年四、计算机病毒的触发机制 2、月份触发 3、前半年、后半年

6、触发 4、时间触发 a、特定的时间触发 b、染毒后累积工作时间触发 c、文件最后写入时间触发南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年（二）、键盘触发有些病毒会监视键盘，当操作人员按某个键或某组合键时，病毒发作。这类触发条件可能是按键的次数，也可能是某组合键，或者是热启动。1、按键次数触发 2、组合键触发 3、热启动触发四、计算机病毒的触发机制南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年四、计算机病毒的触发机制（三）、感染触发感染触发的主要方式有：运行感染文件个数的触发、感染序数触发、感染磁盘数触发和感染失败触发等。1、运行感染

7、文件个数触发 2、感染序数触发 3、感染磁盘数触发 4、感染失败触发南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年四、计算机病毒的触发机制（四）、启动触发启动触发是预设一个计算机的启动次数，并以此作为病毒的触发条件，激活病毒。Anti-Tel病毒 TelCOM病毒屏幕保护变种病毒 Trojan/Beway病毒南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年四、计算机病毒的触发机制（五）、磁盘访问触发和中断访问触发 1、访问磁盘次数触发 2、调用中断功能触发南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年四、计算机病毒

8、的触发机制（六）、其它触发 1、CPU型号触发 2、打开邮件触发 3、利用系统或工具软件的漏洞触发 4、多条件触发病毒南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年五、计算机病毒的破坏机制破坏机制在设计原则，工作原理上与传染机制基本相同。它也是通过修改某一中断向量入口地址（一般为时钟中断INT 08H，或与时钟中断有关的其它中断，如INT 1CH）使该中断向量指向病毒程序的破坏模块。这样，当系统或被加载的程序访问该中断向量时，病毒破坏模块被激活，在判定设定条件满足后，对系统或磁盘上的文件进行破坏活动。南开大学信息技术科学学院古力计算机病毒分析与对抗20102010

9、年年五、计算机病毒的破坏机制病毒攻击的目标主要有：系统数据区，文件，内存，系统运行，运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年五、计算机病毒的破坏机制 1、攻击系统数据区 2、攻击文件和硬盘南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年五、计算机病毒的破坏机制 3、攻击内存 a、病毒运行占用大量内存 b、改变内存总量 c、禁止分配内存 d、蚕食内存南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年五、计算机病毒的破坏机制 4、干扰系统运行 1）不执行命令

10、 2）干扰内部命令的执行 3）虚假报警 4）打不开文件 5）内部栈溢出 6）占用特殊数据区 7）换现行盘（当前盘）南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年五、计算机病毒的破坏机制 8）时钟逆转 9）重启动 10）死机 11）强制游戏 12）速度下降南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年 5、扰乱输出设备病毒程序在执行过程中，可能不破坏计算机内的数据，仅对输出设备进行一些扰乱 1）扰乱屏幕 2）干扰喇叭 3）干扰打印机五、计算机病毒的破坏机制南开大学信息技术科学学院古力计算机病毒分析与对抗20102010年年 6、扰乱键盘病毒干扰键盘操作，有如下方式：1）响铃 2）封锁键盘 3）换字 4）抹掉缓冲区字符 5）重复 6）输入紊乱五、计算机病毒的破坏机制

展开阅读全文