文档介绍:第11讲反病毒技术
一、病毒概念
1、病毒的威胁
2、病毒的定义
3、病毒的特征
4、病毒的防治
5、病毒的分类
1、病毒的威胁
直接破坏计算机上的重要信息
抢占系统资源,降低系统性能
窃取主机上的重要信息
破坏计算机硬件
导致网络阻塞,甚至瘫痪
使邮件服务器、Web服务器不能提供正常服务
2、病毒的定义
一个程序、一段可执行码、具有自我复制能力
计算机病毒是一个能感染其他程序的的程序,它靠修改其他程序,并把自身的拷贝嵌入其他程序而实现病毒的感染
1994年颁布的《中华人民共和国计算机信息系统安全保护条例》第二十八条中指出: 计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。
3、病毒的特征
可执行性:
传染性:
破坏性:
寄生性:通常附加在其它程序中
欺骗性:引诱用户执行病毒
隐蔽性:使用户难以觉察
衍生性:病毒变种
4、病毒的防治
各种查杀病毒技术
特征码扫描
启发式检测
虚拟机技术
实时监控技术
人工智能
陷阱
网络杀毒/个人防火墙/邮件杀毒
数据备份拯救系统
5、病毒分类
1、传播媒介:
单机病毒
网络病毒:普通病毒、蠕虫、木马、脚本病毒
2、链接方式
源码型病毒:插入到源程序、寄生在编译处理程序,不多见
入侵型病毒:嵌入型病毒,数量不多
外壳型病毒:宿主程序的首尾,数量最多
操作系统型病毒:用自己的逻辑部分取代一部分操作系统中的合法程序模块,破坏力最大
3、破坏情况
良性:表现作者
恶性:破坏系统中的信息资源
4、寄生方式
引导型病毒:把自己的病毒程序放在软盘引导区及硬盘主引导记录区或引导扇区,当作正常引导程序,而将真正的引导程序搬到其他位置
文件型病毒:通过操作系统的文件系统进行感染的病毒
混合型病毒:既具有引导型病毒的特点,又具有文件型病毒的特点
二、传统病毒原理
1、引导区感染机制
2、可执行文件感染机制
3、内存驻留技术
4、加密变形
5、隐藏技术
1、引导区感染机制(1)
电脑的启动过程:
CPU接到一个复位指令
跳转到一个特定的地址开始执行,在IBM PC兼容机上这个地址是FFFF0,这个地址落到BIOS的地址范围内
BIOS在完成一些基本的硬件检测之后,根据用户的设置,确定将哪一个扇区加载到内存中开始进行下一步的引导工作
如果是从A盘或者光盘引导,则将A盘(软盘)或者可引导光盘的引导扇区(第一个扇区)加载到内存中开始执行,如果是从C:(硬盘)引导,则将硬盘的主引导记录加载到内存中开始执行。
1、引导区感染机制(2)
引导扇区和主引导记录:
引导扇区对于软盘或者光盘是第一个扇区,对于硬盘是每一个分区的第一个扇区,如果一个分区在分区表中被标记为可引导的,则这个分区的第一个扇区就是该分区的引导扇区。引导扇区包含有引导记录程序,用于加载操作系统。
MBR(主引导记录)位于整个硬盘的0磁道0柱面1扇区。MBR中包含了硬盘的一系列参数和一段主引导程序。主引导程序用来找出系统当前的活动分区,负责把对应的一个操作系统的引导记录即当前活动分区的引导记录,装入内存,然后把控制权转给该分区的引导记录。引导扇区和主引导记录是引导型病毒的天然栖息地。