计算机病毒的基本机制.ppt
27页
单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2010,年,*,南开大学信息技术科学学院古力 计算机病毒分析与对抗,南开大学信息技术科学学院古力 计算机病毒分析与对抗,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2010,年,*,2010,年,第三章 计算机病毒的基本机制,P38,页,一个简单的计算机病毒,从这个简单的批处理命令程序可以看出,一个病毒应包括以下几种机制,、触发机制,、传播机制,、表现,/,破坏机制,2010,年,一、计算机病毒状态,、静态病毒,、动态病毒,病毒的启动,2010,年,二、计算机病毒的三种机制,、计算机病毒的弱点,(),(),(),(),2010,年,二、计算机病毒的三种机制,、计算机病毒的基本模块,)感染模块,)触发模块,)破坏模块,)主控模块,)病毒程序的一般框架,2010,年,三、计算机病毒的传播机制,、病毒感染的目标和过程,)感染目标,100,)病毒感染的过程,操作系统程序作宿主程序(引导型,病毒),COMMAND,程序作宿主程序,应用程序作宿主程序,2010,年,3,)病毒常驻内存,4,)修改中断向量,INT 9H,;读取键盘输入,INT 8H,;计时中断,INT 13H,;读写磁盘,INT 25H,;读磁盘逻辑扇区,INT 26H,;写磁盘逻辑扇区,INT 21H,的,4BH,子功能:在可执行程序中调用另一程序,三、计算机病毒的传播机制,2010,年,三、计算机病毒的传播机制,2,、病毒感染长度和感染次数,)感染长度,长度不变,增长的长度为恒定值,增长的长度在一个固定范围内变化,每次感染,宿主程序长度都在变化,2010,年,三、计算机病毒的传播机制,2,)单次感染,3,)重复感染,a,、简单的重复感染,b,、有限次数重复感染,c,、变长度重复感染,d,、变位重复感染,2010,年,3,、引导型病毒的感染,4,、寄生感染,5,、插入感染和逆插入感染,6,、链式感染,7,、破坏性感染,三、计算机病毒的传播机制,2010,年,三、计算机病毒的传播机制,8,、滋生感染,9,、没有入口点的感染,10,、,OBJ,、,LIB,和源码感染,11,、混合感染和交叉感染,12,、零长度感染,13,、计算机病毒的网络感染,2010,年,13,、计算机病毒的网络感染,1,)通过,E_mail,感染,2,)通过,BBS,感染,3,)通过网络服务感染,4,)线路上的病毒,5,)病毒发射枪,三、计算机病毒的传播机制,2010,年,四、计算机病毒的触发机制,可触发性:是指病毒因为某个事件或某个数值的出现,诱使病毒实施感染或进行攻击的特性。
可触发性是病毒的攻击性和潜伏性之间的调节杠杆,可以控制病毒感染和破坏的频度,兼顾杀伤力和潜伏性2010,年,四、计算机病毒的触发机制,(一)、日期和时间触发,许多病毒采用日期作为触发条件,常见的有特定日期触发,月份触发,上半年或下半年触发等1,、日期触发,1,)、特定日期触发,a,、每月某日触发,b,、某月某日定期触发,c,、以某日为界,分时段继续感染,和破坏,2010,年,四、计算机病毒的触发机制,2,、月份触发,3,、前半年、后半年触发,4,、时间触发,a,、特定的时间触发,b,、染毒后累积工作时间触发,c,、文件最后写入时间触发,2010,年,(二)、键盘触发,有些病毒会监视键盘,当操作人员按某个键或某组合键时,病毒发作这类触发条件可能是按键的次数,也可能是某组合键,或者是热启动1,、按键次数触发,2,、组合键触发,3,、热启动触发,四、计算机病毒的触发机制,2010,年,四、计算机病毒的触发机制,(三)、感染触发,感染触发的主要方式有:运行感染文件个数的触发、感染序数触发、感染磁盘数触发和感染失败触发等1,、运行感染文件个数触发,2,、感染序数触发,3,、感染磁盘数触发,4,、感染失败触发,2010,年,四、计算机病毒的触发机制,(四)、启动触发,启动触发是预设一个计算机的启动次数,并以此作为病毒的触发条件,激活病毒。
Anti-Tel,病毒,TelCOM,病毒,屏幕保护变种病毒,Trojan/Beway,病毒,2010,年,四、计算机病毒的触发机制,(五)、磁盘访问触发和中断访问触发,1,、访问磁盘次数触发,2,、调用中断功能触发,2010,年,四、计算机病毒的触发机制,(六)、其它触发,1,、,CPU,型号触发,2,、打开邮件触发,3,、利用系统或工具软件的漏洞触发,4,、多条件触发病毒,2010,年,五、计算机病毒的破坏机制,破坏机制在设计原则,工作原理上与传染机制基本相同它也是通过修改某一中断向量入口地址(一般为时钟中断,INT 08H,,或与时钟中断有关的其它中断,如,INT 1CH,)使该中断向量指向病毒程序的破坏模块这样,当系统或被加载的程序访问该中断向量时,病毒破坏模块被激活,在判定设定条件满足后,对系统或磁盘上的文件进行破坏活动2010,年,五、计算机病毒的破坏机制,病毒攻击的目标主要有:系统数据区,文件,内存,系统运行,运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、,CMOS,、主板等2010,年,五、计算机病毒的破坏机制,1,、攻击系统数据区,2,、攻击文件和硬盘,2010,年,五、计算机病毒的破坏机制,3,、攻击内存,a,、病毒运行占用大量内存,b,、改变内存总量,c,、禁止分配内存,d,、蚕食内存,2010,年,五、计算机病毒的破坏机制,4,、干扰系统运行,1,)不执行命令,2,)干扰内部命令的执行,3,)虚假报警,4,)打不开文件,5,)内部栈溢出,6,)占用特殊数据区,7,)换现行盘(当前盘),2010,年,五、计算机病毒的破坏机制,8,)时钟逆转,9,)重启动,10,)死机,11,)强制游戏,12,)速度下降,2010,年,5,、扰乱输出设备,病毒程序在执行过程中,可能,不破坏计算机内的数据,仅对输出,设备进行一些扰乱,1,)扰乱屏幕,2,)干扰喇叭,3,)干扰打印机,五、计算机病毒的破坏机制,2010,年,6,、扰乱键盘,病毒干扰键盘操作,有如下方,式:,1,)响铃,2,)封锁键盘,3,)换字,4,)抹掉缓冲区字符,5,)重复,6,)输入紊乱,五、计算机病毒的破坏机制,。
