新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)及特點(diǎn)和技術(shù)ppt課件
《新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)及特點(diǎn)和技術(shù)ppt課件》由會(huì)員分享,可在線閱讀,更多相關(guān)《新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì)及特點(diǎn)和技術(shù)ppt課件(43頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
計(jì)算機(jī)病毒原理與防范,第4章 新型計(jì)算機(jī)病毒的發(fā)展 趨勢(shì)及特點(diǎn)和技術(shù),,2,4.1 新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì),網(wǎng)絡(luò)化 利用基于Internet的編程語(yǔ)言與編程技術(shù)實(shí)現(xiàn),易于修改以產(chǎn)生新的變種,從而逃避反計(jì)算機(jī)病毒軟件的搜索。如利用Java、ActiveX和VBScript等技術(shù),使病毒潛伏在HTML頁(yè)面中。 例如:“愛蟲”病毒、“Kakworm”病毒 人性化 充分利用了心理學(xué)知識(shí),針對(duì)人類的心理制造計(jì)算機(jī)病毒,其主題、文件名更具人性化和極具誘惑性。 例如:“My-babypic”病毒 多樣化 新計(jì)算機(jī)病毒可以是可執(zhí)行文件、腳本語(yǔ)言和HTML網(wǎng)頁(yè)等多種形式,并向電子郵件、網(wǎng)上賀卡、卡通圖片、ICQ和OICQ等發(fā)展。,4.1 新型計(jì)算機(jī)病毒的發(fā)展趨勢(shì),隱蔽化 新一代計(jì)算機(jī)病毒更善于隱蔽自己、偽裝自己,其主題會(huì)在傳播中改變,或具有誘惑性的主題、附件名。 如:主頁(yè)計(jì)算機(jī)病毒、“維羅納”病毒、“Matrix”病毒 平民化 由于腳本語(yǔ)言的廣泛使用,專用計(jì)算機(jī)病毒生成工具的流行,計(jì)算機(jī)病毒的制造不再是計(jì)算機(jī)專家表現(xiàn)自己的高超技術(shù)。 智能化 可對(duì)外設(shè)、硬件設(shè)施物理性破壞,也可對(duì)人體實(shí)施攻擊。,4.2 新型計(jì)算機(jī)病毒發(fā)展的主要特點(diǎn),4.2.1 新型計(jì)算機(jī)病毒的主要特點(diǎn),利用系統(tǒng)漏洞將成為計(jì)算機(jī)病毒有力的傳播方式 局域網(wǎng)內(nèi)快速傳播 以多種方式快速傳播 欺騙性增強(qiáng) 大量消耗系統(tǒng)與網(wǎng)絡(luò)資源 更廣泛的混合性特征 計(jì)算機(jī)病毒與黑客技術(shù)的融合 計(jì)算機(jī)病毒出現(xiàn)頻度高,計(jì)算機(jī)病毒生成工具多,計(jì)算機(jī)病毒的變種多 難于控制和徹底根治,容易引起多次疫情,4.2.2 基于Windows的計(jì)算機(jī)病毒,1.什么是Windows計(jì)算機(jī)病毒? Windows計(jì)算機(jī)病毒: 指能感染W(wǎng)indows可執(zhí)行程序并可在Windows系統(tǒng)下運(yùn)行的計(jì)算機(jī)病毒。 Windows計(jì)算機(jī)病毒分類: 感染NE格式(Windows3.X)可執(zhí)行程序的計(jì)算機(jī)病毒 感染PE格式(Windows95以上)可執(zhí)行程序的計(jì)算機(jī)病毒,4.2.2 基于Windows的計(jì)算機(jī)病毒,2.為什么Windows計(jì)算機(jī)病毒這么多? 一方面,隨著人們對(duì)Windows操作系統(tǒng)認(rèn)識(shí)的深入,系統(tǒng)功能的強(qiáng)大而使系統(tǒng)龐大,不可避免地出現(xiàn)錯(cuò)誤和漏洞;另一方面,Windows系統(tǒng)源碼保密。 危害系統(tǒng)主機(jī)的非授權(quán)主機(jī)進(jìn)程的表現(xiàn)形式: 病毒程序 蠕蟲 木馬 后門 漏洞,4.2.2 基于Windows的計(jì)算機(jī)病毒,危害系統(tǒng)主機(jī)的非授權(quán)主機(jī)進(jìn)程的表現(xiàn)形式: 病毒程序 病毒程序一般比較小巧,表現(xiàn)為強(qiáng)傳染性,會(huì)傳染它所能訪問的文件系統(tǒng)中的文件。 蠕蟲 蠕蟲是利用網(wǎng)絡(luò)進(jìn)行傳播的程序。利用主機(jī)提供的服務(wù)缺陷攻擊目標(biāo)機(jī)。目標(biāo)機(jī)感染后,一般會(huì)隨機(jī)選擇一段IP地址進(jìn)行掃描,尋找下一個(gè)有缺陷的目標(biāo)進(jìn)行攻擊。 如:“Lion”——針對(duì)DNS解析的服務(wù)程序BIND; “沖擊波”、“震蕩波”——針對(duì)Windows系統(tǒng)。,4.2.2 基于Windows的計(jì)算機(jī)病毒,危害系統(tǒng)主機(jī)的非授權(quán)主機(jī)進(jìn)程的表現(xiàn)形式: 木馬 木馬是網(wǎng)絡(luò)攻擊成功后有意放置的程序,用于與外界的攻擊程序接口,以非法訪問被攻擊主機(jī)為目的。絕大多數(shù)針對(duì)Windows系統(tǒng)。 后門 后門是寫系統(tǒng)或網(wǎng)絡(luò)服務(wù)程序的公司或個(gè)人放置在系統(tǒng)上,以進(jìn)行非法訪問為目的的代碼。只存在于不開放源碼的操作系統(tǒng)中。 漏洞 漏洞是指由于程序編寫過程中的失誤,導(dǎo)致系統(tǒng)被非法訪問,4.2.2 基于Windows的計(jì)算機(jī)病毒,3.Windows系統(tǒng)與計(jì)算機(jī)病毒的斗爭(zhēng) Windows系統(tǒng)只有通過不斷升級(jí)、完善,才可以減少受計(jì)算機(jī)病毒騷擾的機(jī)會(huì)。,4.2.3 新型計(jì)算機(jī)病毒的傳播途徑,1.傳播途徑 軟盤 光盤 硬盤 BBS 網(wǎng)絡(luò),4.2.3 新型計(jì)算機(jī)病毒的傳播途徑,2.計(jì)算機(jī)病毒傳播呈現(xiàn)多樣性 (1)隱藏在即時(shí)通信軟件中的計(jì)算機(jī)病毒 即時(shí)通信IM軟件:ICQ、QQ、MSN Messenger 例如: “求職信”病毒:第一個(gè)通過ICQ進(jìn)行傳播的惡性蠕蟲 “愛情森林”系列病毒、“QQ尾巴”病毒:通過騰訊QQ進(jìn)行傳播 “MSN射手”病毒、“W32.HLLW.Henpeck”病毒:通過騰訊MSN Messenger進(jìn)行傳播 通過即時(shí)通信軟件傳播病毒的原因: 用戶數(shù)量龐大,有利于病毒的迅速傳播; 軟件內(nèi)建有聯(lián)系人清單,可方便地獲取傳播目標(biāo)。,4.2.3 新型計(jì)算機(jī)病毒的傳播途徑,2.計(jì)算機(jī)病毒傳播呈現(xiàn)多樣性 隱藏在即時(shí)通信軟件中的計(jì)算機(jī)病毒 在IRC中的計(jì)算機(jī)病毒 點(diǎn)對(duì)點(diǎn)計(jì)算機(jī)病毒,4.2.4 新型計(jì)算機(jī)病毒的危害,1.計(jì)算機(jī)病毒肆虐:以“震蕩波”病毒為例 2.計(jì)算機(jī)病毒與IT共存 據(jù)海外有關(guān)數(shù)據(jù)顯示:全球每月產(chǎn)生新計(jì)算機(jī)病毒300種,一年就達(dá)4000~5000種。全球每年造成巨大的經(jīng)濟(jì)損失。 典型案例:“尼姆達(dá)”、“美麗莎”、“CIH”、“Sircam”病毒 網(wǎng)絡(luò)攻擊手段:密碼攻擊、分組竊聽和IP地址欺騙,以及拒絕服務(wù)(Ddos)、未授權(quán)訪問和特洛伊木馬(Trojan) 專家針對(duì)計(jì)算機(jī)病毒推薦的防范措施: 1.及時(shí)關(guān)注微軟公司官方網(wǎng)站公布的系統(tǒng)漏洞,下載正式補(bǔ)?。?2.購(gòu)買專業(yè)殺毒軟件廠商的軟件及其后臺(tái)服務(wù),及時(shí)升級(jí); 3.定期備份計(jì)算機(jī)上的重要文件。,4.2.5 電子郵件成為計(jì)算機(jī)病毒傳播的主要媒介,“BubbleBoy”病毒: 無(wú)需用戶打開附件就能感染用戶的計(jì)算機(jī)系統(tǒng)。 通過E-mail進(jìn)行傳播的計(jì)算機(jī)病毒的主要特點(diǎn): (1)傳播速度快、傳播范圍廣; (2)破壞力大、破壞性強(qiáng)。 典型案例: 2000年5月4日“愛蟲”計(jì)算機(jī)病毒的爆發(fā),4.2.6 新型計(jì)算機(jī)病毒的最主要載體,目前,計(jì)算機(jī)網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳播的最主要載體。 1.網(wǎng)絡(luò)蠕蟲成為最主要和破壞力量最大的計(jì)算機(jī)病毒類型 “蠕蟲”病毒主要利用系統(tǒng)漏洞進(jìn)行傳播,在控制系統(tǒng)的同時(shí),為系統(tǒng)打開后門,成為一種黑客攻擊工具。 “蠕蟲”病毒編寫簡(jiǎn)單,往往直接利用VBS來編寫。如“歡樂時(shí)光”病毒。 2.惡意網(wǎng)頁(yè)、木馬和計(jì)算機(jī)病毒,4.2.6 新型計(jì)算機(jī)病毒的最主要載體,蠕蟲(Worm): 雖然蠕蟲可以在計(jì)算機(jī)系統(tǒng)中繁殖,有的蠕蟲甚至還可以在內(nèi)存、磁盤、網(wǎng)絡(luò)中移動(dòng)、爬行,但它們不依附于其他程序,即不需要宿主對(duì)象。 嚴(yán)格地說,蠕蟲與計(jì)算機(jī)病毒的一個(gè)最大區(qū)別在于:蠕蟲程序本身并不具備傳染性。 在其他方面,蠕蟲與計(jì)算機(jī)病毒又極為類似,它是計(jì)算機(jī)病毒的“近親”,而被視為是另一種類型的計(jì)算機(jī)病毒,4.2.6 新型計(jì)算機(jī)病毒的最主要載體,目前,計(jì)算機(jī)網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳播的最主要載體。 1.網(wǎng)絡(luò)蠕蟲成為最主要和破壞力量最大的計(jì)算機(jī)病毒類型 2.惡意網(wǎng)頁(yè)、木馬和計(jì)算機(jī)病毒 惡意網(wǎng)頁(yè)的特點(diǎn): 在用戶不知道情況下,修改用戶瀏覽器選項(xiàng); 修改用戶注冊(cè)表選項(xiàng),鎖定注冊(cè)表,修改系統(tǒng)啟動(dòng)選項(xiàng),以及在用戶桌面生成網(wǎng)頁(yè)快捷訪問方式。 格式化用戶硬盤(很少出現(xiàn))。 注意:在當(dāng)前計(jì)算機(jī)病毒定義下,不能稱惡意網(wǎng)頁(yè)為計(jì)算機(jī)病毒,因?yàn)樗荒茏晕覐?fù)制;也不能稱為木馬,因?yàn)樗鼪]有遠(yuǎn)程控制。 木馬的最主要特點(diǎn):遠(yuǎn)程控制,4.2.6 新型計(jì)算機(jī)病毒的最主要載體,特洛伊木馬(Trojan Horse): ——借古羅馬戰(zhàn)爭(zhēng)中的“木馬”戰(zhàn)術(shù)而得名 原理:木馬實(shí)際上是一種在遠(yuǎn)程計(jì)算機(jī)之間建立起連接,使遠(yuǎn)程計(jì)算機(jī)能通過網(wǎng)絡(luò)控制本地計(jì)算機(jī)上的程序。 傳播:木馬以合法而正常的程序(如計(jì)算機(jī)游戲、壓縮工具乃至防治計(jì)算機(jī)病毒軟件等)面目出現(xiàn),來達(dá)到欺騙并在用戶計(jì)算機(jī)上運(yùn)行、產(chǎn)生用戶所料不及的破壞后果之目的。 組成:一般情況下,木馬程序由服務(wù)器端程序和客戶端程序組成。其中服務(wù)器端程序安裝在被控制對(duì)象的計(jì)算機(jī)上,客戶端程序是控制者所使用的。,4.2.6 新型計(jì)算機(jī)病毒的最主要載體,特洛伊木馬(Trojan Horse): 危害:通過遠(yuǎn)程控制對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行危險(xiǎn)的文件管理,包括可從受害者的計(jì)算機(jī)查看、刪除、移動(dòng)、上傳、下載、執(zhí)行任何文件;進(jìn)行警告信息發(fā)送、鍵盤記錄、記錄機(jī)內(nèi)保密信息、關(guān)閉窗口、鼠標(biāo)控制、計(jì)算機(jī)基本設(shè)置等非法操作 木馬和遠(yuǎn)程控制軟件的區(qū)別:木馬具有隱蔽性。例如國(guó)內(nèi)的血蜘蛛、國(guó)外的PCAnyWhere等遠(yuǎn)程控制軟件,其服務(wù)器端在目標(biāo)計(jì)算機(jī)上運(yùn)行時(shí),目標(biāo)計(jì)算機(jī)上會(huì)出現(xiàn)很醒目的標(biāo)志;而木馬類軟件的服務(wù)器在運(yùn)行時(shí)則應(yīng)用多種手段來隱藏自己。 類型: 遠(yuǎn)程訪問木馬 密碼發(fā)送型木馬 FTP型木馬 鍵盤記錄型木馬 毀壞型木馬,4.3 新型計(jì)算機(jī)病毒發(fā)展的主要技術(shù),4.3.1 ActiveX與Java,傳統(tǒng)計(jì)算機(jī)病毒與新型計(jì)算機(jī)病毒: 1.宿主程序: 傳統(tǒng)計(jì)算機(jī)病毒:一定有一個(gè)“宿主”程序,如.EXE文件、.COM文件以及.DOC文件 宏病毒:感染W(wǎng)ord,如:“Taiwan No.1”病毒 新型計(jì)算機(jī)病毒:完全不需要宿主程序 2.寄生方式 傳統(tǒng)計(jì)算機(jī)病毒:寄生在可執(zhí)行程序代碼中,伺機(jī)對(duì)系統(tǒng)進(jìn)行破壞 新型計(jì)算機(jī)病毒:利用網(wǎng)頁(yè)編寫所用的Java或ActiveX語(yǔ)言編寫的可執(zhí)行程序,當(dāng)瀏覽網(wǎng)頁(yè)時(shí)就會(huì)下載并在系統(tǒng)中執(zhí)行。,4.3.1 ActiveX與Java,Java或ActiveX語(yǔ)言:用來編寫具有動(dòng)感十足的網(wǎng)頁(yè) Java或ActiveX語(yǔ)言的執(zhí)行方式: 將程序代碼寫在網(wǎng)頁(yè)上,當(dāng)訪問網(wǎng)站時(shí),用戶瀏覽器將這些程序代碼下載,然后用用戶的系統(tǒng)資源去執(zhí)行。 例如: ActiveX控件病毒——“Exploder”:能關(guān)閉Windows95系統(tǒng),可見其控制能力之強(qiáng)。 利用Java編寫的包含惡意代碼的程序: Application macros、Navigator plug-ins、Macintosh等應(yīng)用程序 現(xiàn)在有些計(jì)算機(jī)病毒是在用戶未知情況下所執(zhí)行的一些操作而感染傳播的。,4.3.2 計(jì)算機(jī)病毒的駐留內(nèi)存技術(shù),1.引導(dǎo)型病毒的駐留內(nèi)存技術(shù) 引導(dǎo)型病毒是在計(jì)算機(jī)啟動(dòng)時(shí)從磁盤的引導(dǎo)扇區(qū)被ROM BIOS中的引導(dǎo)程序讀入內(nèi)存的。在將控制權(quán)轉(zhuǎn)交給正常引導(dǎo)程序去做進(jìn)一步的系統(tǒng)啟動(dòng)工作之前,將自身搬移到內(nèi)存的高端,即RAM的最高端,同時(shí)修改可用內(nèi)存空間。 例如:“小球”、“大麻”、“米開朗琪羅”等病毒 引導(dǎo)型病毒總是以駐留內(nèi)存的形式進(jìn)行感染的。利用DOS的Chkdsk或Pctools程序可發(fā)現(xiàn)內(nèi)存總數(shù)的減少;利用Debug不僅可發(fā)現(xiàn)內(nèi)存的減少,而且可發(fā)現(xiàn)病毒在內(nèi)存的具體位置。,4.3.2 計(jì)算機(jī)病毒的駐留內(nèi)存技術(shù),2.文件型病毒的不駐留內(nèi)存技術(shù) 感染方法是只要被運(yùn)行一次,就在磁盤中尋找一個(gè)未被該病毒感染的文件進(jìn)行感染。當(dāng)程序運(yùn)行結(jié)束,病毒連同其宿主程序一起離開內(nèi)存,不留任何痕跡。 其傳染和擴(kuò)散速度相對(duì)于內(nèi)存駐留型病毒稍差些。 如:“維也納DOS648”、“Taiwan”、“Syslock”、“W13”等病毒,4.3.2 計(jì)算機(jī)病毒的駐留內(nèi)存技術(shù),3.文件型病毒的駐留內(nèi)存技術(shù) 文件型病毒可以駐留在內(nèi)存高端,也可駐留在內(nèi)存低端 如:“1575”、“DIR2”、“4096”、“新世紀(jì)”、“中國(guó)炸彈”、“旅行者1202”等病毒 采用DOS的中斷調(diào)用27H和系統(tǒng)功能調(diào)用31H。 文件型病毒可駐留在它被系統(tǒng)調(diào)入內(nèi)存時(shí)所在的位置(往往是內(nèi)存低端)??杀籇OS的MEM和Pctools的MI查看到。 如:“1808”病毒 很多病毒采用了直接修改MCB的方法。 可以駐留在內(nèi)存的低端,也可搬移到內(nèi)存高端,可以躲避監(jiān)視。 如:“1575”、“4096”等病毒,4.3.2 計(jì)算機(jī)病毒的駐留內(nèi)存技術(shù),Windows環(huán)境下病毒的內(nèi)存駐留(補(bǔ)充) 方法一:病毒作為一個(gè)應(yīng)用程序 由于Windows操作系統(tǒng)本身就是多任務(wù)的,所以最簡(jiǎn)單的內(nèi)存駐留方法是將病毒作為一個(gè)應(yīng)用程序,病毒擁有自己的窗口(可能是隱藏的)、擁有自己的消息處理函數(shù) 方法二:病毒獨(dú)立占用系統(tǒng)內(nèi)存塊 使用DPMI申請(qǐng)一塊系統(tǒng)內(nèi)存,將病毒代碼放置其中 方法三:病毒作為一個(gè)設(shè)備驅(qū)動(dòng)程序 將病毒作為一個(gè)VXD(Win3.x或者Win9x環(huán)境下的設(shè)備驅(qū)動(dòng)程序)或者在Win NT/Win2000下的設(shè)備驅(qū)動(dòng)程序WDM加載到內(nèi)存中運(yùn)行,4.3.3 修改中斷向量表技術(shù),引導(dǎo)型病毒和駐留內(nèi)存的文件型病毒大都要修改中斷向量表,以達(dá)到將計(jì)算機(jī)病毒代碼掛接入系統(tǒng)的目的。 對(duì)于引導(dǎo)型病毒,磁盤輸入輸出中斷13H是其傳染磁盤的唯一通道。通過將病毒的傳染模塊鏈入13H磁盤讀寫中斷服務(wù)程序,就可在用戶利用正常系統(tǒng)服務(wù)時(shí)感染軟硬盤。,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),采用“隱藏”技術(shù)的計(jì)算機(jī)病毒表現(xiàn)形式: 計(jì)算機(jī)病毒進(jìn)入內(nèi)存后,若計(jì)算機(jī)用戶不用專用軟件或?qū)iT手段去檢查,則幾乎感覺不到因計(jì)算機(jī)病毒駐留內(nèi)存而引起的內(nèi)存可用容量的減少。 計(jì)算機(jī)病毒感染了正常文件后,該文件的日期和時(shí)間不發(fā)生變化。因此用DIR命令查看目錄時(shí),看不到某個(gè)文件因被計(jì)算機(jī)病毒改寫過造成的日期、時(shí)間有變化。 計(jì)算機(jī)病毒在內(nèi)存中時(shí),用DIR命令看不見因計(jì)算機(jī)病毒的感染而引起的文件長(zhǎng)度的增加。,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),采用“隱藏”技術(shù)的計(jì)算機(jī)病毒表現(xiàn)形式: 計(jì)算機(jī)病毒在內(nèi)存中時(shí),若查看被該計(jì)算機(jī)病毒感染的文件,則看不到計(jì)算機(jī)病毒的程序代碼,只看到原正常文件的程序代碼。 計(jì)算機(jī)病毒在內(nèi)存中時(shí),若查看被計(jì)算機(jī)病毒感染的引導(dǎo)扇區(qū),則只會(huì)看到正常的引導(dǎo)扇區(qū),而看不到實(shí)際上處于引導(dǎo)扇區(qū)位置的計(jì)算機(jī)病毒程序。 計(jì)算機(jī)病毒在內(nèi)存中時(shí),計(jì)算機(jī)病毒防范程序和其他工具程序檢查不出中斷向量被計(jì)算機(jī)病毒接管,但實(shí)際上計(jì)算機(jī)病毒代碼已鏈接到系統(tǒng)的中斷服務(wù)程序中,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),1.靜態(tài)隱藏技術(shù) 靜態(tài)隱藏技術(shù):指計(jì)算機(jī)病毒代碼依附在宿主程序上時(shí)所擁有的固有的隱蔽性 一般由父病毒在感染目標(biāo)程序時(shí),依照目標(biāo)程序的特性,產(chǎn)生特定的子病毒,使其能隱蔽在宿主程序中而不被發(fā)現(xiàn) 秘密行動(dòng)法 秘密行動(dòng)法:通過清除感染程序所留下的痕跡,恢復(fù)宿主文件的特征,向查詢者返回虛假信息,而達(dá)到隱藏病毒的目的 碎片技術(shù):利用Windows環(huán)境PE可執(zhí)行文件分段存儲(chǔ),而各段有一些未使用的剩余空間這一特征,將自身分割成小塊,隱藏在內(nèi)存空隙中,從而消除病毒改變文件長(zhǎng)度的缺陷,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),秘密行動(dòng)法:引導(dǎo)型病毒的隱藏方法一 感染時(shí),修改中斷服務(wù)程序 使用時(shí),截獲INT 13調(diào)用,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),秘密行動(dòng)法:引導(dǎo)型病毒的隱藏方法二 針對(duì)殺毒軟件對(duì)磁盤直接讀寫的特點(diǎn),截獲 INT 21H,然后恢復(fù)感染區(qū),最后,再進(jìn)行感染。,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),秘密行動(dòng)法:文件型病毒的隱藏方法 攔截(API, INT調(diào)用)訪問 —— 恢復(fù) —— 再感染,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),自加密技術(shù) 計(jì)算機(jī)病毒可以對(duì)靜態(tài)計(jì)算機(jī)病毒加密,同時(shí)也可以對(duì)進(jìn)駐內(nèi)存的動(dòng)態(tài)計(jì)算機(jī)病毒進(jìn)行加密 Mutation Engine多態(tài)技術(shù) 采用特殊的加密技術(shù),每感染一個(gè)對(duì)象,放入宿主程序的代碼都不相同,幾乎沒有任何特征代碼串,從而能有效對(duì)抗采用特征串搜索法類殺毒軟件的查殺 插入性病毒技術(shù) 插入性病毒在不了解宿主程序的功能和結(jié)構(gòu)的前提下,能將宿主程序在適當(dāng)處截?cái)?,在宿主程序的中部插入病毒程序,并做到使病毒能獲得運(yùn)行權(quán),達(dá)到與宿主程序融為一體,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),2.動(dòng)態(tài)隱藏技術(shù) 動(dòng)態(tài)隱藏技術(shù):指計(jì)算機(jī)病毒代碼在駐留、運(yùn)行和發(fā)作期間所擁有的隱蔽性 計(jì)算機(jī)病毒利用操作系統(tǒng)的功能和漏洞,后臺(tái)執(zhí)行監(jiān)視和感染的功能,防止被一般的內(nèi)存或進(jìn)程管理程序發(fā)現(xiàn) 反Debug跟蹤技術(shù) Debug主要利用系統(tǒng)中斷INT 1和INT 3進(jìn)行動(dòng)態(tài)跟蹤。計(jì)算機(jī)病毒抑制跟蹤的方法主要是修改INT 1和INT 3中斷服務(wù)程序入口地址的內(nèi)容來破壞跟蹤 此外,常見的其他反跟蹤技術(shù)有:封鎖鍵盤輸入、封鎖屏幕輸出等,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),檢測(cè)系統(tǒng)調(diào)試寄存器,防止計(jì)算機(jī)病毒被動(dòng)態(tài)跟蹤調(diào)試 現(xiàn)在的操作系統(tǒng)中出現(xiàn)了很多功能強(qiáng)大的調(diào)試工具。計(jì)算機(jī)病毒可采取一定的方法來進(jìn)行檢測(cè): 計(jì)算機(jī)病毒通過調(diào)用API函數(shù)IsDebuggerPresent來檢測(cè)是否有用戶級(jí)調(diào)試器存在 檢測(cè)調(diào)試寄存器 設(shè)置SHE進(jìn)行反跟蹤。SEH即結(jié)構(gòu)化異常處理,是操作系統(tǒng)提供給程序設(shè)計(jì)者的強(qiáng)有力的處理程序錯(cuò)誤或異常的武器 計(jì)算機(jī)病毒通過軟件對(duì)調(diào)試器進(jìn)行檢測(cè)操作,很容易進(jìn)行攔截,4.3.4 計(jì)算機(jī)病毒隱藏技術(shù),進(jìn)程注入技術(shù) 進(jìn)程注入技術(shù)將病毒作為一個(gè)線程,注入系統(tǒng)應(yīng)用程序如Explore.exe的地址空間,對(duì)于系統(tǒng)此應(yīng)用程序是絕對(duì)安全的程序,這樣病毒在駐留內(nèi)存的同時(shí)就達(dá)到了隱藏的效果 超級(jí)計(jì)算機(jī)病毒技術(shù) 計(jì)算機(jī)病毒采用VxD技術(shù),如CIH病毒 VxD——虛擬設(shè)備驅(qū)動(dòng),是Microsoft公司專門為Windows系統(tǒng)制定的設(shè)備驅(qū)動(dòng)程序接口規(guī)范。類似于DOS系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序,專門用于管理系統(tǒng)所加載的各種設(shè)備,不僅適用于硬件設(shè)備,也適用于按照VxD規(guī)范所編制的各種軟件設(shè)備,4.3.5 對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù),計(jì)算機(jī)病毒在傳染過程中發(fā)現(xiàn)磁盤上有某些著名的計(jì)算機(jī)病毒防范軟件或在文件中查找到出版這些軟件的公司時(shí),就刪除這些文件或使計(jì)算機(jī)死機(jī)。,4.3.6 技術(shù)的遺傳與結(jié)合,當(dāng)一項(xiàng)最新的技術(shù)或計(jì)算機(jī)系統(tǒng)出現(xiàn)時(shí),計(jì)算機(jī)病毒總會(huì)找到其薄弱點(diǎn)進(jìn)行利用,同時(shí)計(jì)算機(jī)病毒制造者還不斷吸取已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)病毒技術(shù),試圖將這些技術(shù)融合在一起,制造出更具破壞力的新計(jì)算機(jī)病毒 如“尼姆達(dá)”病毒在傳播方式上同時(shí)利用了多種有名計(jì)算機(jī)病毒的傳播方式: “FunLove”的共享傳播方式 利用郵件計(jì)算機(jī)病毒的特點(diǎn)進(jìn)行傳播 利用系統(tǒng)軟件漏洞進(jìn)行傳播,第4章 新型計(jì)算機(jī)病毒的發(fā)展 趨勢(shì)及特點(diǎn)和技術(shù),,42,本章課后作業(yè),教材:P30 第 1、2、4、7、8 題,,- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
20 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 新型 計(jì)算機(jī)病毒 發(fā)展趨勢(shì) 特點(diǎn) 技術(shù) ppt 課件
鏈接地址:http://www.hcyjhs8.com/p-937593.html