文档详细内容(约184页)
针对性 网络安全 NETWORK SECURITY ·病毒是针对特定的计算机、操作系统、服务软件、甚至特 定的版本和特定模版而设计的。例如:小球病毒是针对 IBM PC机及其兼容机上的DOS操作系统的。 “CodeBlue(蓝色代码)”专门攻击WINDOWS2000 操作系统。英文Wod中的宏病毒模板在同一版本的中文 Wod中无法打开而自动失效。2002年1月8日出现的感 染SWF文件的SWF.LFM.926病毒由于依赖Macro- media独立运行的Flash播放器,而不是依靠安装在浏览 器中插件,使其传播受到限制。 23
23 针对性 • 病毒是针对特定的计算机、操作系统、服务软件、甚至特 定的版本和特定模版而设计的。例如:小球病毒是针对 IBM PC机及其兼容机上的DOS操作系统的。 “CodeBlue(蓝色代码)”专门攻击WINDOWS 2000 操作系统。英文Word中的宏病毒模板在同一版本的中文 Word中无法打开而自动失效。2002年1月8日出现的感 染SWF文件的SWF.LFM.926病毒由于依赖Macromedia独立运行的Flash播放器,而不是依靠安装在浏览 器中插件,使其传播受到限制
隐蔽性 网络安全 NETWORK SECURITY 大部分病毒都设计得短小精悍,一般只有几百K甚 至几十K字节,并且,病毒通常都附在正常程序中 或磁盘较隐蔽的地方(如引导扇区),或以隐含文 件形式出现,目的是不让用户发现它的存在。如果 不经过代码分析,病毒程序与正常程序是不容易区 别开的。病毒在潜伏期并不恶意破坏系统工作,受 感染的计算机系统通常仍能正常运行,用户不会感 到任何异常,从而隐藏病毒的存在,使病毒可以在 不被察觉的情况下,感染尽可能多的计算机系统。 24
24 隐蔽性 • 大部分病毒都设计得短小精悍,一般只有几百K甚 至几十K字节,并且,病毒通常都附在正常程序中 或磁盘较隐蔽的地方(如引导扇区),或以隐含文 件形式出现,目的是不让用户发现它的存在。如果 不经过代码分析,病毒程序与正常程序是不容易区 别开的。病毒在潜伏期并不恶意破坏系统工作,受 感染的计算机系统通常仍能正常运行,用户不会感 到任何异常,从而隐藏病毒的存在,使病毒可以在 不被察觉的情况下,感染尽可能多的计算机系统
隐蔽性(续) 网络安全 NETWORK SECURITY 。传染的隐蔽性。大多数病毒在进行传染时速度极快,一般 不具有外部表现,不易被发现。PC机对DOS文件的存取 速度可达每秒几百KB以上,几百字节的病毒可在转瞬间附 着在正常的程序之中,不易被人察觉。 ·存在的隐蔽性。病毒一般都附着在正常程序之中,正常程 序被计算机病毒感染后,其原有功能基本上不受影响,使 病毒在正常程序的工作过程中不断得到运行,传染更多的 系统和资源,与正常程序争夺系统的控制权和磁盘空间, 不断地破坏正常的系统。 25
25 隐蔽性(续) • 传染的隐蔽性。大多数病毒在进行传染时速度极快,一般 不具有外部表现,不易被发现。PC机对DOS文件的存取 速度可达每秒几百KB以上,几百字节的病毒可在转瞬间附 着在正常的程序之中,不易被人察觉。 • 存在的隐蔽性。病毒一般都附着在正常程序之中,正常程 序被计算机病毒感染后,其原有功能基本上不受影响,使 病毒在正常程序的工作过程中不断得到运行,传染更多的 系统和资源,与正常程序争夺系统的控制权和磁盘空间, 不断地破坏正常的系统
衍生性 网络安全 NETWORK SECURITY ·很多病毒使用高级语言编写,如“爱虫”是脚本语言病毒, “美丽杀”是宏病毒,通过分析计算机病毒的结构可以了 解设计者的设计思想,从而衍生出各种新的计算机病毒, 称为病毒变种。这就是计算机病毒的衍生性。变种病毒造 成的后果可能比原版病毒更为严重。“爱虫”病毒在十几 天中,出现三十多种变种。“美丽杀”病毒也有多种变种, 并且此后很多宏病毒都使用了“美丽杀”的传染机理。这 些变种的主要传染和破坏的机理与母体病毒基本一致,只 是改变了病毒的外部表象。 26
26 衍生性 • 很多病毒使用高级语言编写,如“爱虫”是脚本语言病毒, “美丽杀”是宏病毒, 通过分析计算机病毒的结构可以了 解设计者的设计思想,从而衍生出各种新的计算机病毒, 称为病毒变种。这就是计算机病毒的衍生性。变种病毒造 成的后果可能比原版病毒更为严重。“爱虫”病毒在十几 天中,出现三十多种变种。“美丽杀”病毒也有多种变种, 并且此后很多宏病毒都使用了“美丽杀”的传染机理。这 些变种的主要传染和破坏的机理与母体病毒基本一致,只 是改变了病毒的外部表象
寄生性 网络安全 NETWORK SECURITY ·病毒的寄生场所 寄生是病毒的重要特征。计算机病毒一般寄生在以下地方: 寄生在可执行程序中。一旦程序执行,病毒就被激活,病毒程序首先被 执行并常驻内存,然后置触发条件。感染的文件被执行后,病毒就会趁 机感染下一个文件。 ·寄生在硬盘的主引导扇区中。这类病毒也称引导型病毒。任何操作系统 都有自举过程,自举依靠引导模块进行,而操作系统的引导模块总是放 在某个固定位置,这样系统每次启动就会在这个固定的地方来将引导模 块读入内存,紧接着就执行它,来把操作系统读入内存,实现控制权的 转接。引导型病毒程序就是利用这一点,它自身占据了引导扇区而将原 来的引导扇区的内容和病毒的其他部分放到磁盘的其他空间,并将这些 扇区标志为坏簇,不可写其他信息。这样,系统的一次初始化,就激活 一次病毒,它首先将自身拷贝到内存,等待触发条件到来。 27
27 寄生性 • 病毒的寄生场所 寄生是病毒的重要特征。计算机病毒一般寄生在以下地方: ▪ 寄生在可执行程序中。一旦程序执行,病毒就被激活,病毒程序首先被 执行并常驻内存,然后置触发条件。感染的文件被执行后,病毒就会趁 机感染下一个文件。 ▪ 寄生在硬盘的主引导扇区中。这类病毒也称引导型病毒。任何操作系统 都有自举过程,自举依靠引导模块进行,而操作系统的引导模块总是放 在某个固定位置,这样系统每次启动就会在这个固定的地方来将引导模 块读入内存,紧接着就执行它,来把操作系统读入内存,实现控制权的 转接。引导型病毒程序就是利用这一点,它自身占据了引导扇区而将原 来的引导扇区的内容和病毒的其他部分放到磁盘的其他空间,并将这些 扇区标志为坏簇,不可写其他信息。这样,系统的一次初始化,就激活 一次病毒,它首先将自身拷贝到内存,等待触发条件到来
