引导区病毒的传染机理
含病毒的Boot
启动 病 毒 关 闭 病毒+程序 Boot程序 执行 条件具备
内 存
发 作
系 统
程序或命令
运 行
文件型病毒的传染原理
原程序+病毒
含病毒的程序
执行 程序 条件具备 关 闭 病毒+程序 执行 程序
内 存
发 作
其它程序
文件型病毒的附着方式
覆盖型
文件体
文件体
前后附加型
文件体
伴随型
文件体
混合型病毒的传染原理
原程序+病毒
含病毒的程序
执行 程序 条件具备 关 闭
内 存
病 毒
发 作
引导区
计算机病毒编制的目的
出于玩笑或恶作剧，编制的“病毒性” 出于玩笑或恶作剧，编制的“病毒性”程序。 这类病毒一般都是良性的，不会有破坏操作。 出于报复心理， 出于报复心理，一些编程高手编制一些危险的 程序。 程序。 出于版权保护， 出于版权保护，有些软件开发商在自己的产品 中制作了一些特殊程序。 中制作了一些特殊程序。 出于特殊目的，某组织或个人，对政府机构、 单位的特殊系统进行宣传或破坏。
电子政务安全 技术保障
褚峻 苏震 编 中国人民大学出版社
主 要 内 容
1. 电子政务系统安全 2. 数据加密技术 3. 信息隐藏技术 4. 安全认证技术 5. 病毒防范系统 6. 防火墙系统 7. 入侵检测系统 8. 物理隔离系统 9. 虚拟专用网 10.电子政务安全解决方案 10.电子政务安全解决方案
病毒检测技术——特征代码法 特征代码法 病毒检测技术
采集已知病毒样本
病毒 特征
病 毒 抽取特征代码 数据库
被检测 文件
优点： 检测准确快速 可识别病毒的名称 误报警率 依据检测结果，可做 解毒处理。
• 缺点： – 不能检测未知病毒 – 必须不断更新版本 – 搜集已知病毒的特征代 码，费用开销大 – 在网络上效率低 – 不可能检测多态性病毒 – 不能对付隐蔽性病毒。
感染 病毒
运用校验和法的三种方式：置于检测病毒工具、应用程序或常驻内存。
病毒检测技术——行为监测法 行为监测法 病毒检测技术
利用病毒的特有行为特征性来监测病毒的方法。 利用病毒的特有行为特征性来监测病毒的方法。 常见病毒的行为特征如下：
引导型病毒占据INT 13H功能， 引导型病毒占据INT 13H功能，在其中放置病毒所需的 代码 病毒常驻内存后，为了防止DOS系统将其覆盖， 病毒常驻内存后，为了防止DOS系统将其覆盖，必须修 改系统内存总量。 改系统内存总量。 对COM、EXE文件做写入动作。 COM、EXE文件做写入动作。
病毒防范技术的发展
第一代防病毒技术是采取单纯的病毒特征代码 分析，将病毒从带毒文件中清除掉。 第二代防病毒技术是采用静态广谱特征扫描方 法检测病毒。 第三代防病毒技术将静态扫描技术和动态仿真 跟踪技术结合起来，将查找病毒和清除病毒合 二为一，形成一个整体解决方案。 第四代反病毒技术是基于多位CRC校验和扫描 第四代反病毒技术是基于多位CRC校验和扫描 机理，启发式智能代码分析模块、动态数据还 原模块、内存解毒模块、自身免疫模块等技术 的综合。
优点：可发现未知病毒、 优点：可发现未知病毒、可相当准确地预报未知 的多数病毒。短处：可能误报警、 的多数病毒。短处：可能误报警、不能识别病毒 名称、实现时有一定难度。 名称、实现时有一定难度。
病毒检测技术——软件模拟法 软件模拟法 病毒检测技术
该方法采用一种软件分析器， 该方法采用一种软件分析器 ， 用软件方法来 模拟和分析程序的运行。 模拟和分析程序的运行。 一些新型检测工具纳入了软件模拟法， 一些新型检测工具纳入了软件模拟法 ， 该类 工具开始运行时， 使用特征代码法检测病毒， 工具开始运行时 ， 使用特征代码法检测病毒 ， 如果发现隐蔽病毒或多态性病毒嫌疑时， 如果发现隐蔽病毒或多态性病毒嫌疑时 ， 启 动软件模拟模块， 监视病毒的运行， 动软件模拟模块 ， 监视病毒的运行 ， 待病毒 自身的密码译码以后， 自身的密码译码以后 ， 再运用特征代码法来 识别病毒的种类。 识别病毒的种类。
计算机病毒的编制技术与方法
加密技术 变形技术 反跟踪技术 对毒防范系统 5.病毒防范系统
5.1 计算机病毒的基本原理 5.2 计算机病毒防范技术
病毒防范技术的发展 计算机病毒的检测技术 反计算机病毒技术 计算机病毒的预防
5.3 计算机病毒防范系统 计算机病毒防范系统
病毒检测技术——校验和法 校验和法 病毒检测技术
计算校验和 使用时 的文件
结果 校验和 结果文件
正常的 文件
OR
计算校验和
保存
结果
比较
文件 正常
Yes 一致？ No
既能发现已知病毒，也能发现未知病毒 不能识别病毒类型和名称 文件内容的改变有可能是正常程序引起的， 所以常常误报警。 已有软件版更新、变更口令、修改运行参 数，都可能误报警。
计算机病毒的破坏行为
攻击系统数据区 攻击文件 攻击内存 干扰系统运行 速度下降 攻击磁盘 扰乱屏幕显示 干扰键盘操作 攻击CMOS 攻击CMOS 干扰打印机
计算机病毒的触发条件
日期触发 时间触发 键盘触发 感染触发 启动触发 磁盘访问次数触发 调用中断功能触发 CPU/主板型号触发 CPU/主板型号触发 组合条件触发
——《中华人民共和国计算机信息系统安全保护条例》 1994年2月1 8日颁布实施
计算机病毒的特点
传染性 破坏性 隐蔽性 潜伏性 非授权性 不可预见性
计算机病毒的类型
根据病毒存在的媒体， 根据病毒存在的媒体，病毒可以划分为网络病 毒，文件病毒，引导型病毒。 文件病毒，引导型病毒。 根据病毒传染的方法可分为驻留型病毒和非驻 留型病毒。 留型病毒。 根据病毒破坏的能力可划分为以下：无害型、 根据病毒破坏的能力可划分为以下：无害型、 无危险型、危险型、非常危险型。 无危险型、危险型、非常危险型。 根据病毒的算法，可以划分为：伴随型病毒、 根据病毒的算法，可以划分为：伴随型病毒、 “蠕虫”型病毒、寄生型病毒、变型病毒。 蠕虫”型病毒、寄生型病毒、变型病毒。
5.病毒防范系统 5.病毒防范系统
5.1 计算机病毒的基本原理
计算机病毒及其特征 计算机病毒的种类 计算机病毒的破坏行为 计算机病毒的触发条件 计算机病毒的工作机理 计算机病毒的编制
5.2 计算机病毒防范技术 5.3 计算机病毒防范系统 计算机病毒防范系统
什么是计算机病毒
计算机病毒，是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据，影响 计算机使用，并能自我复制的一组计算机指 令或者程序代码。
反病毒技术
实时反病毒技术 主动内核技术 数字免疫系统 监控病毒源技术 分布式处理技术
计算机病毒的预防
使用杀毒软件 检测系统信息 监测写盘操作 文件密码校验 利用病毒知识库 有关操作和管理措施