爱华网计算机病毒及防范病毒的概念特点与分类[原文地址]
计算机病毒及防范病毒的概念特点与分类|计算机网络安全技术|电脑安全|计算机安全 病毒|计算机网络安全教程http://www.lwfree.cn/Article/anquan/200710/170.html冲击波病毒介绍
代码特征
? I just want to say I love SAN!
? Bill Gates why do you make this possible? Stop
making money and fix your software!
现象
? Svshost 错误
? Remote Procedure Call(RPC) 错误
? 重启
? Office, IE 等无法使用
? 链接打不开
行为和传播方式
? 建立 MSBlast 进程
? 自身复制到 %systemdir% MSBlast.exe
? 注册表中添加自动启动项
? 每
1.8 秒随机对
20 个地址进行连接
? 在
135 端口向那些 IP 地址发送 “ 缓冲区溢出” 请求(即攻击代码),之后在被攻击的计算机上的command shell
TCP4444 端口开启一个
监听发送
UDP69 端口,在接受到允许使用MSBlast.exe 文件,并使被攻击者运行,之后感染DCOM RPC 指令消息后,? 当月是DOS 攻击
8 月或日期是15 日以后发起
对病毒概述
病毒的概念
? 计算机病毒是一种在计算机系统运行过程中能把自
身精确或有修改地复制到其他程序体中并具有破坏
性的程序或代码
? 另一定义:指编制或在计算机程序中插入的破坏计
算机功能或毁坏数据,影响计算机使用,并能自我
复制的一组计算机指令或程序代码
? 1949 ,冯.诺依曼《复杂自动机组织论》,程序复
制概念, 1983 年出现 病毒、木马、恶意[url=javascript:void(0)]软件[/url]、间谍软件、广告软件?DOS病毒,
Windows 病毒,邮件病毒,宏病毒,蠕
虫病毒? 爱虫, Nimda , CIH 病毒,冲击波,震荡波
爱情后门
病毒的特点
1 、人为编制
2 、自我复制能力(传染性)
3 、夺取系统的控制权
? 病毒在运行时,首先做初始化工作,取得系
统的控制权。系统每执行一次操作,病毒就
有机会执行它预先[url=javascript:void(0)]设计[/url]的操作,完成传播或
进行破坏
4 、隐蔽性
? 不易区分病毒和正常程序
? 受传染后,一般计算机系统仍能运行,被感染的程
序也能执行,用户不会感到明显异常,这就是隐蔽
性
? 病毒很短小,可加密和变形
5 、潜伏性
? 触发条件:系统时钟提供的时间,自带的计数器,
计算机内执行的某些特定操作
6 、不可预见性
? 种类繁多,不断更新
病毒破坏的目标和攻击部位
攻击系统数据区:如主引导扇区、
攻击文件:删除、改名、替换内容、丢失簇、加密文
件等
攻击内存:大量占用,改变内存总量,禁止分配
干扰系统运行,使运行速度下降:不能执行命令、虚
假报警、打不开文件、占用特殊数据区、重启、死
机、扰乱串并口等等
干扰键盘、喇叭、屏幕
攻击 CMOS :系统时钟、磁盘参数、内存容量等
干扰外围设备:如打印机
破坏网络系统:非法使用网络资源,垃圾邮件等FAT 等
病毒的分类
按破坏性划分
? 良性病毒
?
不包括立即破坏的代码,只是为了表现其存在或
为说明某些事件而存在
? 恶性病毒
?
代码中包含有损伤、破坏计算机系统的操作,在
其传染或发作时会对系统造成直接的严重损害,
如破坏数据、删除文件、格式化磁盘,破坏主板
等,含恶性病毒、极恶性病毒和灾难性病毒
?
恶性、极恶性、灾难性
按传染方式分
? 引导型病毒,?
引导扇区
: 硬盘或软盘上系统启动或引导命令保存的地方
?
引导型病毒攻击的目标就是引导扇区,它将病毒代码链接
或隐藏在正常的引导代码中
? 文件型病毒
?
文件型病毒的主要攻击目标是文件,这些病毒依附在可执行文件(
?
前后附加型.com, .exe )上或与可执行文件链接
?
覆盖型:只覆盖不影响程序运行的部分,不易察觉,文件长度不变
?
伴随性:在可执行文件中插入跳转指令
? 混合型病毒
按连接方式分
? 源码型
?
攻击源程序
? 入侵型
?
替代正常程序部分模块或堆栈
? 操作系统型
?
直接感染操作系统
? 外壳型
? 依附于正常程序开头或结尾
返回顶部
分享到:
