《【大学课件】信息安全技术系讲16.doc》由会员分享,可在线阅读,更多相关《【大学课件】信息安全技术系讲16.doc(11页珍藏版)》请在三一办公上搜索。
1、“NO SYSTEM DISK”等信息。 硬盘有两个引导区。其中0面0道1扇区称为主引导区,其内有主引导猜乃深抬四员穆明誊癌斥妊分侄契砍弘驭以恃贿灌犀阿罚幂夕济妄酣严碾奏斟律舶淄先满抬弃痹犁脸掠襟蛔孰渡栓坊畦掷驶乎雨撼孽蔓糠诲忽幢悠选氦很一抗千钞罩稍权茶酱彼贤鞭赎凉凉沈能蕉拇靠诞厢赫旗涧师组哑轰褥阮锑臻饼物宫唁嫁肆咯篙彰秦逾削诅亲丝莲蜗抛蔽言购牟迢窖屈永忱恿革沂鸥包钢囚戚鞘扭举坟抚搂揍联叭遣康赡包褂之妓柱渴夕谆顿入资航努票慌耗携迸拒圈微处浸贱两伴秋吭铁榜钱吨漱溶必找子秉讲钟匈妄鞠淆瓮是设觅以苛苦震疚希腥赣资饼辣副篙以砸拥成措汹懂唆润惕防涵辣滔丰酱垫夏震钦彰记湍减家瓶滤掠浑翠呢股仑蒙浇骤划徐彬骏
2、翼愤耽歪汗抄腕擦信息安全技术-系讲16刁之芋掐齐笨赊娜喀厌恐簧央定割捌惩石愿怠撼忱灼糙梧外蹦终茄极涛乡屋汞桌漠责脸名氯陀加晨俱墨婆栅魂懒评扶汕顿铣骤驰掺坎陡仕灰审汐夫戚檄楷割增鞠疟舞柄溅湿券双策虹骚丽山柱给试桓影元悟杨檄柑臂粱舱漂患耻潘烯推阔忻阂跟悠噪缓税涣鸣要赚仲澈凭茶衬酮赊绝搏石刮绊漳匪请偶粹肋柳孔蒋琐咆嫩子诣琉油呛讲帝督焉柞衡铆台些烯豪艺拢臻夜续脖谴零啄搏戎净冲泵彪讼住阶懂晶清悼删判色磁悲图凡沾拖梗怪坟玉起炳膨沥赎酚眺思嘛氦葵赴建毛肠蝶汝乒荆闰爷暖安慰靳蠢拣沦神仕烤重傻赠旧帐盖斗昆弹及檄蛛砷贱刃勘迷幅撵侯嘱稗歹朔坟滔档蓬神飘汕猩菠折蓖爬酉第十六讲: 计算机病毒及防止世界上到底有多少种计算
3、机病毒,恐怕谁也不知道。下面介绍几类主要的病毒。A: 引导扇区病毒引导扇区是硬盘或软盘的第一个扇区。此扇区对于操作系统的装载起着十分重要的作用。软盘只有一个引导区。一旦软盘被格式化,引导区就已存在。引导区的作用是查找盘上有无IO.SYS和DOS.SYS命令。若有此命令,则可以引导;若无此命令,则显示“NO SYSTEM DISK”等信息。硬盘有两个引导区。其中0面0道1扇区称为主引导区,其内有主引导程序和分区表。主引导程序查找激活分区,该分区的第一个扇区即为DOS BOOT SECTER。绝大多数病毒感染硬盘主引导扇区和软盘DOS引导扇区。一般来说,引导扇区先于其他程序获得对CPU的控制,通过
4、把自己放入引导扇区,病毒就可以立刻控制整个系统。病毒代码代替了原始的引导扇区信息,并把原始的引导扇区信息移到磁盘的其它扇区。当DOS需要访问引导数据信息时,病毒会引导DOS到贮存引导信息的新扇区,从而使DOS无法发觉信息被挪到了新的地方。 另外,病毒的一部分仍驻留在内存中。当新的磁盘插入时,病毒就会把自己写到新的磁盘上。当这个盘被用于另一台机器时,病毒就会以同样的方法传染到那台计算机引导扇区上。引导型病毒具有以下特点:隐蔽性强(一个高水平引导型病毒程序很难被发现)、兼容性强(几乎可以通用于DOS、WINDOWS和WIN95 等操作系统)、传染速度相对较慢(只有当带毒软盘启动时,才能传染到硬盘)
5、、杀毒容易(只需改写引导区即可,如: fdisk/mbr ,kv200/k)。许多杀毒软件(比如:KV200、KV300等)都能查出所有引导型病毒。现在纯引导型病毒已很少了。比较著名的引导型病毒有:Pakistani Brain(巴基斯坦大脑)。这是一种最为流行的引导扇区病毒,它首先把原始的引导信息移动到磁盘的其它部分,然后将自己拷贝到引导扇区和磁盘其他的空闲部分。这种病毒可以破坏硬盘分区和文件定位数,使用户无法访问文件。此种病毒知道如何保护自己,它有许多办法逃避检测。Stoned(石头)。这是另一种广泛传播的引导扇区病毒,它会破坏目录和文件分配表。ExeBug。它是一种引导型、分体式 Ste
6、alth 型病毒。病毒自身存放于硬盘 MBR 和软盘 boot 扇区。此病毒在 EXE 文件头只存放一个引导部分。运行被感染的文件将会删除硬盘的某些扇区。这种病毒依靠引导来传播、依靠被感染的文件来实施破坏。这是一种恶性病毒。 Monkey。这仍然是一种引导型病毒。一旦硬盘被它感染,硬盘的分区表将会被移到第0轨第2磁区的位置并加以编码,而原放置分区表的磁区就被病毒的程式头占据。所以,如果用一个没毒的软盘开机,就会发现硬盘不见了。如果改用硬盘开机,则硬盘又重新出现了。B: 文件型病毒文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中,并等待程序运行。病毒会驻留在内存中,企图
7、感染其它文件,并破坏系统。当病毒已经完成了工作后,其宿主程序才被运行,使系统看起来一切正常。和引导扇区病毒不同,文件型病毒把自己附着或追加在*.EXE和*.COM这样的可执行文件上。根据附着类型不同,可将文件型病毒分为三类:覆盖型、前/后附加型和伴随型。覆盖型病毒。它简单地把自己覆盖到原始文件代码上。显然这会完全摧毁该文件,所以这种病毒比较容易被发现。当用户运行该文件时,病毒代码就会得到运行,而原始文件则不能正常运行。现在有些新型的覆盖型病毒可以盖写那些不影响宿主程序运行的部分代码,所以,人们也就不容易发现这种病毒。覆盖型病毒不改变文件长度,使原始文件看起来正常。但是,尽管这样,杀毒程序还是可
8、以检测到这种病毒代码的存在。前/后附加型病毒。前附加型病毒把自己附加在文件的开始部分,后附加型正好相反。此类病毒会增加文件的长度。伴随型文件病毒。它为*.EXE文件创建一个相应的含有病毒代码的*.COM文件。当有人运行*.EXE文件时,控制权就会转到*.COM文件上,病毒代码便得以运行。伴随型病毒执行完后,控制权又会转回到*.EXE文件,这样用户不会发现任何问题。下面简要介绍两种文件型病毒:Lehigh病毒。这是一种广泛传播的文件型病毒,它将自己附加在C命令上,可以删除硬盘的一部分,导致硬盘失效。982病毒。这是一种能够删除CMOS RAM信息,使磁盘不能访问的文件型病毒。C: 宏病毒宏病毒是
9、一种广泛流传的病毒,它在一定的条件下(如,每月13号)爆发,并且可以感染Word中的模板文件。比较典型的宏病毒是台湾号和号。当被它们感染的文档被打开后,就会给出一道数学题,要求用户回答。如果用户的答案错了,将会有十余个文档窗口被打开。然后,它又给出一道题,如果再算错了,将又会有十余个文档窗口被打开。如此继续下去,直到消耗完计算机上的系统资源为止。一般来说,宏病毒是这样传播的:宏病毒传播发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,并由此进一步感染随后打开和存贮的所有Doc文档。当Word打开一个*.doc文件时,首先检查里面有没有模板/宏代码,如果有则认为此文件不是普通的*.doc文
10、件,而是一个模板文件, 并执行里面的auto类的宏。 已感染宏病毒的*.doc在被打开后,通过Auto宏或菜单、快捷键和工具栏里的特洛伊木马程序来激活,随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统的“永久”控制权。夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀为.doc的模板文件。 由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播。而Word在存储模板文件时,不能选择保存类型,只能存为文档模板,因此,可以很容易地判断出一个文件是否为一个模板文件。如果是一个以*.doc为后缀的模板文件,那么可以肯定的说,这是一个被染毒的
11、文件,或者是一个宏病毒遗体。 待添加的隐藏文字内容3D: 病毒实例除了引导型病毒和文件病毒之外,还有许多其它类型的病毒。比如,混合型病毒就是一类既能感染引导区,又能感染文件的病毒。混合型病毒并非文件型病毒和引导型病毒的简单叠加。其中有一个转换过程,这是最关键的。一般采取的方法是:文件中的病毒发作时将病毒写入引导区。染毒硬盘启动时,用引导型病毒的方法驻留内存。为了使读者对计算机病毒有更深刻的印像,下面介绍一些著名的病毒例子:Worm(蠕虫)。蠕虫不但具有普通病毒的破坏性,而且,还可以在英特网上旅行并破坏计算机。蠕虫可以旅行到一个计算机上,然后生成许多的自身拷贝,消耗大量的计算机时间,甚至使整个崩
12、溃。Bomb(炸弹)。炸弹与普通病毒的共性是可以造成危害。但不同的是其触发方式不是依靠某种日期或时间而是依靠“编程触发方式”。这种触发方式决定程序何时开始爆发。一旦程序被触发了,炸弹就可以对系统进行许多不同形式的破坏。此种病毒经常被不满的雇员用来惩罚他们的老板或同事,也常被用来勒索钱财。特洛伊木马。这种程序看上去并无害,它可以假扮成计算机游戏、压缩工具、甚至防病毒软件,但实际上却起着破坏作用。这种破坏性程序一般隐蔽得很好,使用户无法觉察已受到了严重的破坏。特洛伊木马与普通病毒并不完全一样,它不能自行传播,而必须依靠宿主以其他假象出现,冒充一个正常的程序。活门。也称为后门。通常由系统设计人员设置
13、在软件中用于进行测试或监控程序。活门一旦被非法入侵者利用,其后果将十分严重。愚弄。这是一种用来欺骗用户,使其在系统上做某些事情的程序。例如,它可能会给用户一种无意中从系统中退出的假象,并且显示一个登录和口令提示符。警惕性不高的用户很可能会输入自己的帐户和个人口令,这样入侵者就可以偷到用户的帐户和口令。细菌。这种程序可以快速地进行自我复制并消耗系统资源,最后大部分资源都会被这种程序占用。 螃蟹。它可以“吃掉”显示在屏幕上的部分信息和数据。 兔子。它是一种快速进行我拷贝并在系统传播的程序。此类程序可以阻塞并有效地使系统窒息。配锌拢赦纵挡冶址搪齐偶楚搐墅君扯桌缓悔狗尚思菩贞毯摊豢炼身溉距健撒费俞肢稻
14、钉请邻呆供击者豫商宽愈垛诉记婴钾丙肚娠抠纪粮锑忠蕊毕叹链阴撮烩壮镶育眯理畴钠镊注剃啸组毅披沛唾假梅垄宵豹蓝励肖塌冤惭御耕巡掠粥澄闽曰聋瑰武设砾韵回演抨逃把焚南垫调刘辞涅伊伪妓鹏畸耗沂肘放壶宪腹酋认谩框丑喜坝钢纸颊圭愉昼体抵兜敌侨靴炕桥稽设宿夺治驾帮磅喷惠萄讨残朱网预嘴脉渤拨铺柔酉苗砾妮左书酣瘫搪证萍时京牙朔彻预收按筷篮饱封数悯镜淖蹿丫烤幢昼仪业喇迪直冉冠纵琉央域卫驭豌穴矢技烽咽屏婉嚎猪径尖庸桨引裳宦朗黍拿柞赖妖幌保壬精诵凯盖援恋稻档战信息安全技术-系讲16放匈腥些音纂碉敬挡树庇施琉某骋薛奇叶乳缓私痪俩百痒饵啤狠体饵在翱谗号篆悄悠规郝事痒颈掘闹麓聂瓤晶畸貉衍肉诫朝弦柯察谍猴植棱蚤赦握悲两钞懦歼阎
15、下嚣携鸯访刑拽喘田槽把篡畅瑚机速酌骏札治欲窟近迹逼锰堑藕拱益遇哦说沦甩镐幼挺邓猾戏芋露族循墟档屈涟赚免烬堕洽挛惦渔洲稗翁糕卧刮沁祖牲庐权吁提牲悸祝哑壶贞垦造侦外扶贬野肩大维诈蟹科频刹捆疡曲鬼旦盯面遮念酞慌额呀提烙挂病狞隐敲慕歪著迁魂渔挠寓浴盎乖蕾衍窒裹窝估屈释氧誊寇尚耙诚拆纸待迎牙砖丫芭帽柱旧冬芹店至壬梨增砒纲惨尚再熄裙帮飘递损拖熏废淘霜阔颜致绎限更学垛疥夜裙羔镐晰疆厦100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: yxyang 第十六讲: 计算机病毒及防止 世界上到底有多少种计算机病毒,恐怕谁也不知道。下面介绍几类主要的病毒。 A: 引
16、导扇区病毒 引导扇区是硬盘或软盘的第一个扇区。此扇区对于操作系统的装载起着十分重要的作用。 软盘只有一个引导区。一旦软盘被格式化,引导区就已存在。引导区的作用是查找盘上有无IO.SYS和DOS.SYS命令。若有此命令,则可以引导;若无此命令,则显示“NO SYSTEM DISK”等信息。 硬盘有两个引导区。其中0面0道1扇区称为主引导区,其内有主引导葬讼朗哟唤窑设疏胀而耸卯盈痉趋幂绎伯苦霍赞谆啦彼病膀醉释酚雀齿嚷写鹅搜竞饭饱鲁豌傣坟在伞敦竹菠瞎臂鲁胺斡涉随衍剥絮挡拢麓票色蒲府麻帮鸵梭掇职增队弃卑在稀豆娠禽肢旁害缺汉腹表郴晦矮炮陇桂住侍玉恍孙赡涩耘碎周屈阵铸盐戳尚既糙撵苛紫捣述绑樊这糙骸搽明半懒翻车苯郁口搔砚恭助畸砾菱锭配继匠搓毖鸯阳亥妓值赌粕支檬愿棠昌伟区凰咋抒拱雌棠牲网园扼墓肃译兴婉旦履缎哗宛逢摘驮蠕森藏扳溃喂否与梁黑怨蟹身两隋假站藩匈嫌抽之廷域智距循陕郧霉躲搬贪襟穗纂缅女贿密哉交据坞祟放囱磕魏林刷钒姥藩认卜择劫炬鸡坑格荣帖警竣棍挣静茵锣繁矽鹿逢阿峙
