計算機病毒詳細介紹計算機病毒第一頁，共三十六頁，編輯于2023年，星期一VonNeumann（馮·諾依曼）EDVAC(ElectronicDiscreteVariableComputer)（離散變量自動電子計算機）方案 采用二進制 存儲程序

這種體系把存儲的程序當(dāng)作數(shù)據(jù)處理，可以動態(tài)地進行修改，以滿足變化多端的需求。操作系統(tǒng)和應(yīng)用程序都被如此看待。病毒利用了系統(tǒng)中可執(zhí)行程序可被修改的屬性，以達到病毒自身的不同于系統(tǒng)或用戶的特殊目的。5.1.1計算機病毒存在的原因第二頁，共三十六頁，編輯于2023年，星期一世界：20世紀40年代，VonNeumann：程序可以被編寫成能自我復(fù)制并增加自身大小的形式。50年代，Bell實驗室：CoreWar（核心大戰(zhàn)）60年代，JohnConway（約翰·康威）:Living（生存）軟件70年代，取得進展，真正攻擊少80年代，RichSkrenta（里奇·斯克倫塔）：ElkCloner（克隆麋鹿） 感染PCPakistaniBrain：首個感染微軟公司操作系統(tǒng)的病毒5.1.2計算機病毒由來第三頁，共三十六頁，編輯于2023年，星期一中國：1989年初：大連市統(tǒng)計局的計算機上發(fā)現(xiàn)有小球計算機病毒。1989年3、4月間：重慶西南鋁加工廠也有了關(guān)于計算機病毒的報道。從此以后，計算機病毒以極其迅猛之勢在中國大陸蔓延。5.1.2計算機病毒的由來第四頁，共三十六頁，編輯于2023年，星期一

指在編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼（《中華人民共和國計算機信息系統(tǒng)安全保護條例》1994年）

5.1.3計算機病毒的定義破壞計算機功能數(shù)據(jù)影響計算機使用自我復(fù)制一組計算機指令程序代碼編制在計算機程序中插入第五頁，共三十六頁，編輯于2023年，星期一1.計算機病毒的傳染性與生物病毒一致：傳染性是生物病毒的一個重要特征。通過傳染，生物病毒從一個生物體擴散到另一個生物體。計算機病毒一旦進入計算機病得以執(zhí)行，它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身插入其中，達到自我繁殖的目的。是否具傳染性:判別一個程序是否為病毒的最重要條件。

5.1.4計算機病毒的特性第六頁，共三十六頁，編輯于2023年，星期一圖5-1直接傳染方式5.1.4計算機病毒的特性第七頁，共三十六頁，編輯于2023年，星期一圖5-2間接傳染方式第八頁，共三十六頁，編輯于2023年，星期一圖5-3縱橫交錯傳染方式第九頁，共三十六頁，編輯于2023年，星期一

2.計算機病毒的隱蔽性計算機病毒通常附在正常程序中或磁盤較隱蔽的地方，目的是不讓用戶發(fā)現(xiàn)它的存在。不經(jīng)過程序代碼分析或計算機病毒代碼掃描，計算機病毒程序與正常程序是不容易區(qū)別開來的。一是傳染的隱蔽性。二是計算機病毒程序存在的隱蔽性。5.1.4計算機病毒的特性第十頁，共三十六頁，編輯于2023年，星期一

3.計算機病毒的潛伏性大部分的計算機病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊，在此期間，它就可以對系統(tǒng)和文件進行大肆傳染。潛伏性愈好，其在系統(tǒng)中的存在時間就會愈久，計算機病毒的傳染范圍就會愈大。5.1.4計算機病毒的特性第十一頁，共三十六頁，編輯于2023年，星期一4.可觸發(fā)性：一種條件的控制計算機病毒使用的觸發(fā)條件主要有以下三種。

(1)利用計算機內(nèi)的時鐘提供的時間作為觸發(fā)器，這種觸發(fā)條件被許多計算機病毒采用，觸發(fā)的時間有的精確到百分之幾秒，有的則只區(qū)分年份。 例：CIH病毒陳盈豪每年4月26日

5.1.4計算機病毒的特性第十二頁，共三十六頁，編輯于2023年，星期一(2)利用計算機病毒體內(nèi)自帶的計數(shù)器作為觸發(fā)器，計算機病毒利用計數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計數(shù)器達到某一設(shè)定的值，就執(zhí)行破壞操作。例：ElkCloner第50次啟動感染病毒的軟盤時

(3)利用計算機內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器，特定操作可以是用戶按下某種特定的組合鍵，可以是執(zhí)行格式化命令，也可以是讀寫磁盤的某些扇區(qū)等。5.1.4計算機病毒的特性第十三頁，共三十六頁，編輯于2023年，星期一

5.計算機病毒的破壞性任何計算機病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。輕者會降低計算機的工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。這些都取決于計算機病毒編制者的意愿。

攻擊系統(tǒng)數(shù)據(jù)區(qū)，攻擊部位包括引導(dǎo)扇區(qū)、FAT表、文件目錄；攻擊文件；攻擊內(nèi)存；干擾系統(tǒng)運行，如無法操作文件、重啟動、死機等；導(dǎo)致系統(tǒng)性能下降；攻擊磁盤，造成不能訪問磁盤、無法寫入等；擾亂屏幕顯示；干擾鍵盤操作；喇叭發(fā)聲；攻擊CMOS；干擾外設(shè)，如無法訪問打印機等。5.1.4計算機病毒的特性第十四頁，共三十六頁，編輯于2023年，星期一

6.計算機病毒的針對性計算機病毒都是針對某一種或幾種計算機和特定的操作系統(tǒng)的。例如，有針對PC及其兼容機的，有針對Macintosh的，還有針對Unix和Linux操作系統(tǒng)的。只有一種計算機病毒幾乎是與操作系統(tǒng)無關(guān)的，那就是宏病毒，所有能夠運行Office文檔的地方都有宏病毒的存在。5.1.4計算機病毒的特性第十五頁，共三十六頁，編輯于2023年，星期一

7.計算機病毒的衍生性計算機病毒的衍生性是指計算機病毒編制者或者其他人將某個計算機病毒進行一定的修改后，使其衍生為一種與原先版本不同的計算機病毒。后者可能與原先的計算機病毒有很相似的特征，這時我們稱其為原先計算機病毒的一個變種/變體（ComputerVirus-Variance）。5.1.4計算機病毒的特性第十六頁，共三十六頁，編輯于2023年，星期一

8.計算機病毒的寄生性計算機病毒的寄生性是指一般的計算機病毒程序都是依附于某個宿主程序中，依賴于宿主程序而生存，并且通過宿主程序的執(zhí)行而傳播的。蠕蟲和特洛伊木馬程序則是例外，它們并不是依附于某個程序或文件中，其本身就完全包含有惡意的計算機代碼，這也是二者與一般計算機病毒的區(qū)別。5.1.4計算機病毒的特性第十七頁，共三十六頁，編輯于2023年，星期一

9.計算機病毒的不可預(yù)見性計算機病毒的不可預(yù)見性體現(xiàn)在以下兩個方面：首先是計算機病毒的侵入、傳播和發(fā)作是不可預(yù)見的，有時即使安裝了實時計算機病毒防火墻，也會由于各種原因而不能完全阻隔某些計算機病毒的侵入。其次不同種類的代碼千差萬別，病毒的制作技術(shù)也不斷提高，對未來病毒的預(yù)測很困難。

5.1.4計算機病毒的特性第十八頁，共三十六頁，編輯于2023年，星期一

1.不可移動的計算機硬件設(shè)備這種傳播途徑是指利用專用集成電路芯片（ASIC）進行傳播。這種計算機病毒雖然極少，但破壞力卻極強，目前尚沒有較好的檢測手段對付它。

2.移動存儲設(shè)備：光盤、移動硬盤等。

3.網(wǎng)絡(luò)：電子郵件、BBS、WWW瀏覽、FTP文件下載、新聞組。

4.通過點對點通信系統(tǒng)和無線通信系統(tǒng)傳播5.1.5計算機病毒的傳播途徑第十九頁，共三十六頁，編輯于2023年，星期一（1）攻擊系統(tǒng)數(shù)據(jù)區(qū)。（2）對于文件的攻擊。（3）影響系統(tǒng)運行速度，使系統(tǒng)的運行明顯變慢。（4）破壞磁盤。（5）擾亂屏幕顯示。（6）鍵盤和鼠標工作不正常。（7）攻擊CMOS。（8）干擾外設(shè)的工作，尤其是打印機。5.1.6計算機病毒的危害和由此產(chǎn)生的癥狀第二十頁，共三十六頁，編輯于2023年，星期一5.1VirusOverview計算機病毒概述5.2VirusMechanisms計算機病毒的機制5.3VirusPreventionandDetection計算機病毒的防范、檢測5.4TrojanHouse特洛伊木馬Outline第二十一頁，共三十六頁，編輯于2023年，星期一圖5-4計算機病毒的結(jié)構(gòu)模式5.2.1計算機病毒的結(jié)構(gòu)模式第二十二頁，共三十六頁，編輯于2023年，星期一5.2.2病毒的引導(dǎo)機制計算機病毒的寄生對象寄生在可以獲取執(zhí)行權(quán)的寄生對象上磁盤引導(dǎo)扇區(qū)可執(zhí)行文件進行自身的主動傳播和破壞寄生方式替代法鏈接法前后依附伴隨第二十三頁，共三十六頁，編輯于2023年，星期一圖5-5寄生方式5.2.2病毒的引導(dǎo)機制第二十四頁，共三十六頁，編輯于2023年，星期一圖5-6采用加密技術(shù)的病毒程序第二十五頁，共三十六頁，編輯于2023年，星期一5.2.2病毒的引導(dǎo)機制3.計算機病毒的引導(dǎo)過程一般：駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能

寄生在磁盤引導(dǎo)扇區(qū)中：任何操作系統(tǒng)都有個自舉過程,例如DOS在啟動時,首先由系統(tǒng)讀入引導(dǎo)扇區(qū)記錄并執(zhí)行它,將DOS讀入內(nèi)存。病毒程序就是利用了這一點,自身占據(jù)了引導(dǎo)扇區(qū)而將原來的引導(dǎo)扇區(qū)內(nèi)容及其病毒的其他部分放到磁盤的其他空間,并給這些扇區(qū)標志為壞簇。這樣,系統(tǒng)的一次初始化,病毒就被激活了。它首先將自身拷貝到內(nèi)存的高端并占據(jù)該范圍,然后置觸發(fā)條件如INT13H中斷（磁盤讀寫中斷）向量的修改,置內(nèi)部時鐘的某一值為條件等,最后引入正常的操作系統(tǒng)。以后一旦觸發(fā)條件成熟,如一個磁盤讀或?qū)懙恼埱?病毒就被觸發(fā)。如果磁盤沒有被感染（通過識別標志）則進行傳染。第二十六頁，共三十六頁，編輯于2023年，星期一5.2.2病毒的引導(dǎo)機制3.計算機病毒的引導(dǎo)過程一般：駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能

寄生在可執(zhí)行程序中：這種病毒寄生在正常的可執(zhí)行程序中,一旦程序執(zhí)行病毒就被激活,于是病毒程序首先被執(zhí)行,它將自身常駐內(nèi)存,然后置觸發(fā)條件,也可能立即進行傳染,但一般不作表現(xiàn)。做完這些工作后,開始執(zhí)行正常的程序,病毒程序也可能在執(zhí)行正常程序之后再置觸發(fā)條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部,但都要修改源程序的長度和一些控制信息,以保證病毒成為源程序的一部分,并在執(zhí)行時首先執(zhí)行它。這種病毒傳染性比較強。

第二十七頁，共三十六頁，編輯于2023年，星期一5.2.3病毒的發(fā)生機制（1）傳染源：存儲介質(zhì),例如軟盤、硬盤等構(gòu)成傳染源。

（2）傳染媒介：計算機網(wǎng),移動的存儲介質(zhì)或硬件。

（3）病毒激活：是指將病毒裝入內(nèi)存,并設(shè)置觸發(fā)條件。（4）病毒觸發(fā)：內(nèi)部時鐘,系統(tǒng)的日期,用戶標識符，也可能是系統(tǒng)一次通信等等。一旦觸發(fā)條件成熟,病毒就開始作用－－自我復(fù)制到傳染對象中,進行各種破壞活動等。

（5）病毒表現(xiàn)：屏幕顯示，破壞數(shù)據(jù)等

（6）傳染：病毒的傳染是病毒性能的一個重要標志。在傳染環(huán)節(jié)中,病毒復(fù)制一個自身副本到傳染對象中去。

第二十八頁，共三十六頁，編輯于2023年，星期一5.2.4病毒的破壞機制（1）修改某一中斷向量人口地址一般為時鐘中斷INT8H,或與時鐘中斷有關(guān)的其他中斷，如INT1CH

（2）使該中斷向量指向病毒程序的破壞模塊

（3）激活病毒破壞模塊（4）判斷設(shè)定條件是否滿足

（5）滿足則對系統(tǒng)或磁盤上的文件進行破壞活動第二十九頁，共三十六頁，編輯于2023年，星期一5.1VirusOverview計算機病毒概述5.2VirusMechanisms計算機病毒的機制5.3VirusPreventionandDetection計算機病毒的防范、檢測5.4TrojanHouse特洛伊木馬Outline第三十頁，共三十六頁，編輯于2023年，星期一

1.基本隔離法計算機系統(tǒng)如果存在著共享信息，就有可能傳染病毒。信息系統(tǒng)的共享性和傳遞性以及解釋的通用性，是計算機最突出的優(yōu)點。

2.分割法分割法主要是把用戶分割成為不能互相傳遞信息的封閉的子集。5.3.1病毒的理論防范方法第三十一頁，共三十六頁，編輯于2023年，星期一

3.流模型法流模型法是對共享信息流流過的距離設(shè)立一個閾值，使一定的信息只能在一定的區(qū)域中流動，以此建立一個防衛(wèi)機制。若使用超過某一距離閾值的信息，就可能存在某種危險。

4.限制解釋法限制解釋法也就是限制兼容，即采用固定的解釋模式，就可能不被病毒傳染。5.3.1病毒的理論防范方法第三十二頁，共三十六頁，編輯于2023年，星期一

1.特征代碼法已知病毒樣本庫在被檢測文件中匹