第九章计算机病毒概论ppt.ppt

* Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware * Chapter 1: Introduction to Computer Viruses and Malware 病毒命名的方法各家安全厂商各有不同。但通常都遵循相同或者相似的原则。 * 趋势科技对于病毒命名的规则 形式：病毒类型_病毒名称.变种 * 病毒类型 病毒（家族）名 病毒变种名 + + 例： TSPY_ONLINEG.QID BKDR_HUPIGON.WKZ TSPY_ONLINEG.QID TSPY——木马间谍软件的缩写 ONLINEG——网络游戏的缩写 QID——变种名称 BKDR_HUIPIGON.WKZ BKDR——后门程序 HUIPIGON——灰鸽子的缩写 WKZ——WKZ变种 9.7 计算机病毒研究准则 研究病毒必须的设备 一台个人计算机或工作平台，有网络地址并提供电子邮箱及网络接入功能（网络系统） 一个独立的不连接、并且不会因疏忽而能连接网络系统的计算机系统（隔离的独立系统） 一个已经建立的隔离的并且不会因疏忽而能连接外部网络系统的网络环境（病毒实验室系统） 有关安全条例与管理办法 《中华人民共和国计算机信息系统安全保护条例》 《计算机病毒防治管理办法》 9.8 磁盘引导区结构 磁盘 一种磁介质的外部存储设备 在其盘片的每一面上，以转动轴为轴心、以一定的磁密度为间隔的若干同心圆被划分成磁道(Track)，每个磁道又被划分为若干个扇区(Sector)，数据就按扇区存放在硬盘上。 磁盘引导区 记录着磁盘的一些最基本的信息，磁盘的第一个扇区被保留为主引导扇区，它位于整个硬盘的0磁道0柱面1扇区，包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)以及磁盘的有效标志。 其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区，并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。 主引导扇区——512字节 MBR——占446个字节(偏移0—偏移1BDH) DPT——占64个字节(偏移1BEH —偏移 1FDH) 最后两个字节“55AA”——(偏移1FEH—偏移1FFH)是硬盘有效标志。 以下表格注明了标准的主引导扇区的结构： 分区表DPT(Disk Partition Table)，总共64个字节，每个分区占16个字节，可以表示四个分区，所以说一个磁盘的主分区和扩展分区之和总共只能有四个。 以下表格表明了分区的具体含义： 主引导区记录被破坏后，往往会出现 “Non-System disk or disk error,replace disk and press a key to reboot”(非系统盘或盘出错)、 “Error Loading Operating System”(装入 DOS引导记录错误) “No ROM Basic,System Halted”(不能进入ROM Basic，系统停止响应)等提示信息。 在较为严重的情况下，则不会出现任何信息。 主引导记录或者引导扇区都有可能被感染。 当感染后，正常的主引导记录或引导扇区的代码被病毒代码替换，电脑启动时首先运行的是病毒代码，正常情况下，病毒代码会一直驻留在内存中等待感染时机。 引导病毒感染硬盘后，一般会把原来的主引导记录保存在硬盘上的其他扇区中，若代码超过一个扇区大小，则会分布在几个扇区中。 比较完善的引导型病毒会将自己放置在比较安全的地方。 9.9 病毒特性 根据对计算机病毒的产生、传播和破坏行为的分析，可以将计算机病毒概括为以下6 个主要特点。 1. 取得系统控制权 2. 自我复制能力 3. 隐蔽性 4. 破坏性 5. 潜伏性 6. 不可预见性 9.10 传播技术 计算机病毒的传播方式 用户在进行复制磁盘或文件时，把病毒由一个载体复制到另一个载体上，或者通过网络把一个病毒程序从一方传递到另一方，这种传播方式叫做计算机病毒的被动传播。 计算机病毒以计