《计算机病毒的基本机制.ppt》由会员分享,可在线阅读,更多相关《计算机病毒的基本机制.ppt(27页珍藏版)》请在三一办公上搜索。
1、2010年,第三章 计算机病毒的基本机制,P38页,一个简单的计算机病毒从这个简单的批处理命令程序可以看出,一个病毒应包括以下几种机制、触发机制、传播机制、表现/破坏机制,2010年,一、计算机病毒状态,、静态病毒、动态病毒病毒的启动,2010年,二、计算机病毒的三种机制,、计算机病毒的弱点()()()(),2010年,二、计算机病毒的三种机制,、计算机病毒的基本模块)感染模块)触发模块)破坏模块)主控模块)病毒程序的一般框架,2010年,三、计算机病毒的传播机制,、病毒感染的目标和过程)感染目标100)病毒感染的过程操作系统程序作宿主程序(引导型病毒)COMMAND程序作宿主程序应用程序作宿
2、主程序,2010年,3)病毒常驻内存 4)修改中断向量 INT 9H;读取键盘输入 INT 8H;计时中断 INT 13H;读写磁盘 INT 25H;读磁盘逻辑扇区 INT 26H;写磁盘逻辑扇区 INT 21H的4BH子功能:在可执行程序中调用另一程序,三、计算机病毒的传播机制,2010年,三、计算机病毒的传播机制,2、病毒感染长度和感染次数)感染长度 长度不变 增长的长度为恒定值 增长的长度在一个固定范围内变化 每次感染,宿主程序长度都在变化,2010年,三、计算机病毒的传播机制,2)单次感染 3)重复感染 a、简单的重复感染 b、有限次数重复感染 c、变长度重复感染 d、变位重复感染,2
3、010年,3、引导型病毒的感染4、寄生感染5、插入感染和逆插入感染6、链式感染7、破坏性感染,三、计算机病毒的传播机制,2010年,三、计算机病毒的传播机制,8、滋生感染9、没有入口点的感染10、OBJ、LIB和源码感染11、混合感染和交叉感染12、零长度感染13、计算机病毒的网络感染,2010年,13、计算机病毒的网络感染 1)通过E_mail感染 2)通过BBS感染 3)通过网络服务感染 4)电话线路上的病毒 5)病毒发射枪,三、计算机病毒的传播机制,2010年,四、计算机病毒的触发机制,可触发性:是指病毒因为某个事件或某个数值的出现,诱使病毒实施感染或进行攻击的特性。可触发性是病毒的攻击
4、性和潜伏性之间的调节杠杆,可以控制病毒感染和破坏的频度,兼顾杀伤力和潜伏性。,2010年,四、计算机病毒的触发机制,(一)、日期和时间触发 许多病毒采用日期作为触发条件,常见的有特定日期触发,月份触发,上半年或下半年触发等。1、日期触发 1)、特定日期触发 a、每月某日触发 b、某月某日定期触发 c、以某日为界,分时段继续感染 和破坏,2010年,四、计算机病毒的触发机制,2、月份触发 3、前半年、后半年触发 4、时间触发 a、特定的时间触发 b、染毒后累积工作时间触发 c、文件最后写入时间触发,2010年,(二)、键盘触发 有些病毒会监视键盘,当操作人员按某个键或某组合键时,病毒发作。这类触
5、发条件可能是按键的次数,也可能是某组合键,或者是热启动。1、按键次数触发 2、组合键触发 3、热启动触发,四、计算机病毒的触发机制,2010年,四、计算机病毒的触发机制,(三)、感染触发 感染触发的主要方式有:运行感染文件个数的触发、感染序数触发、感染磁盘数触发和感染失败触发等。1、运行感染文件个数触发 2、感染序数触发 3、感染磁盘数触发 4、感染失败触发,2010年,四、计算机病毒的触发机制,(四)、启动触发 启动触发是预设一个计算机的启动次数,并以此作为病毒的触发条件,激活病毒。Anti-Tel病毒 TelCOM病毒 屏幕保护变种病毒 Trojan/Beway病毒,2010年,四、计算机
6、病毒的触发机制,(五)、磁盘访问触发和中断访问触发 1、访问磁盘次数触发 2、调用中断功能触发,2010年,四、计算机病毒的触发机制,(六)、其它触发 1、CPU型号触发 2、打开邮件触发 3、利用系统或工具软件的漏洞触发 4、多条件触发病毒,2010年,五、计算机病毒的破坏机制,破坏机制在设计原则,工作原理上与传染机制基本相同。它也是通过修改某一中断向量入口地址(一般为时钟中断INT 08H,或与时钟中断有关的其它中断,如INT 1CH)使该中断向量指向病毒程序的破坏模块。这样,当系统或被加载的程序访问该中断向量时,病毒破坏模块被激活,在判定设定条件满足后,对系统或磁盘上的文件进行破坏活动。
7、,2010年,五、计算机病毒的破坏机制,病毒攻击的目标主要有:系统数据区,文件,内存,系统运行,运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。,2010年,五、计算机病毒的破坏机制,1、攻击系统数据区 2、攻击文件和硬盘,2010年,五、计算机病毒的破坏机制,3、攻击内存 a、病毒运行占用大量内存 b、改变内存总量 c、禁止分配内存 d、蚕食内存,2010年,五、计算机病毒的破坏机制,4、干扰系统运行 1)不执行命令 2)干扰内部命令的执行 3)虚假报警 4)打不开文件 5)内部栈溢出 6)占用特殊数据区 7)换现行盘(当前盘),2010年,五、计算机病毒的破坏机制,8)时钟逆转 9)重启动 10)死机 11)强制游戏 12)速度下降,2010年,5、扰乱输出设备 病毒程序在执行过程中,可能 不破坏计算机内的数据,仅对输出 设备进行一些扰乱 1)扰乱屏幕 2)干扰喇叭 3)干扰打印机,五、计算机病毒的破坏机制,2010年,6、扰乱键盘 病毒干扰键盘操作,有如下方 式:1)响铃 2)封锁键盘 3)换字 4)抹掉缓冲区字符 5)重复 6)输入紊乱,五、计算机病毒的破坏机制,