09第九章 计算机病毒.ppt

第九章计算机病毒;§9.1计算机病毒概述;9.1.1病毒的概念与特征;;2、计算机病毒的根本特征

1)传染性。这是病毒的根本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机(软盘、光盘、计算机网络等)。病毒程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，将自身代码插入其中，到达自我繁殖的目的。;2)隐蔽性。

病毒为了保护自己，一般采用以下方法隐藏自己：

短小精悍(病毒一般只有几百或1k字节)

附在正常程序中或磁盘较隐蔽的地方(以隐含文件形式出现)

分散和多处隐藏(而当有病毒程序潜伏的程序体被合法调用时，病毒程序也合法进入，并可将分散的程序局部在所非法占用的存储空间进行重新装配，构成一个完整的病毒体投入运行。)

加密

变体;3)潜伏性。大局部的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，悄悄地繁殖和扩散而不被觉察，使得许多数据资源成为病毒的携带者而迅速向外传播。只有在满足其特定条件时才启动其表现(破坏)模块。潜伏的目的是为了赢得足够的时间，充分扩散，最后造成尽可能大的破坏。

4)破坏性(表现性)。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。由此特性可将病毒分为良性病毒与恶性病毒。良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒表现较为温和。恶性病毒那么有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。表现和破坏是病毒的最终目的。;;9.1.2病毒的起源与分类;;2、计算机病毒的分类

1)?按破坏性可分为：

良性病毒：仅是为了表现自己的存在，不直接破坏计算机的软硬件，对系统危害较小，但会消耗系统的资源。

恶性病毒：会对计算机的软硬件进行恶意攻击，如破坏数据、删除文件、破坏主板导致死机或网络瘫痪等。

2)按传染方式分为：

引导型病毒：攻击用于引导计算机的程序。一个引导记录病毒可以感染软引导记录程序，活动分区引导记录或主引导记录的自举程序。

文件型病毒：一般只传染磁盘上的可执行文件(COM，EXE)。

混合型病毒：兼有以上两种病毒的特点，既染引导区又染文件。;3)按连接方式分为：

源码型病毒：较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。

入侵型病毒：可用自身代替正常程序中的局部模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，去除起来也较困难。

操作系统型病毒：可用其自身局部参加或替代操作系统的局部功能。因其直接感染操作系统，这类病毒的危害性也较大。

外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。;§9.2病毒的结构与作用机理;9.2.1计算机病毒的一般结构;2、传染模块

传染模块是病毒程序的核心，是判断某个程序是否为病毒的首要条件。传染模块由两局部组成：传染条件判断和传染局部。

传染条件判断：根据预定的传染条件是否满足，控制病毒的感染动作。传染条件有多种，如日期、时间、特定程序、动作等，当然也可以是其他逻辑条件。

传染局部：它是使病毒代码链接于宿主程序之上的局部，即使病毒进行传染动作的局部。传染局部首先寻找要传染的文件(如可执行文件)，接着检查该文件是否已被感染(一般病毒都会在已感染过的程序中留下一些标志，防止重复感染)，假设设有被本病毒感染过．那么进行感染，将病毒放入宿主程序。;3、破坏(表现)模块

破坏(表现)模块也由两局部构成：病毒触发条件判断和病毒具体表现局部。表现分为良性表现和恶性表现。

病毒触发条件判断与传染模块的传染条件判断类似，判断是否破坏以及何时破坏。

病毒的破坏或表现局部是病毒程序的主体，在一定程度上反映了病毒设计者的意图。它负责实施病毒的破坏动作，其内部是实施病毒预定动作的代码。这些破坏活动可能是破坏文件、数据，格式化磁盘，破坏或强占计算机存储空间、时间，降低系统效率，或使系统崩溃之类的动作。有的病毒不执行破坏动作，只做特定的表现，如显示特定的信息或画面、发出特殊的声音等，因此没有破坏模块，而只有表现模块。;9.2.2计算机病毒的作用机理;2、病毒的引导

计算机病毒只有处在动态方式下，才具有传染和破坏的能力。

病毒的引导模块具有三个功能：

把病毒程序代码引入内存。病毒一旦被激活．首先想方设法窃取局部内存．使自身代码藏匿于此。

对内存中的病毒代码采取保护措施，使之不会被覆盖。病毒将自身的程序代码保存在内存中的手段主要有两种：

通过程序驻留；

将病毒代码移到内存高端，然后修改内存大小指