计算机病毒及防范病毒的概念特点与分类|计算机网络安全技术|电脑安全|计算机安全 病毒|计算机网络安全教程
冲击波病毒介绍
代码特征
I just want to say I love SAN!
Bill Gates why do you make this possible? Stop
making money and fix your software!
现象
Svshost 错误
Remote Procedure Call(RPC) 错误
重启
Office, IE 等无法使用
链接打不开
行为和传播方式
建立 MSBlast 进程
自身复制到 %systemdir% \MSBlast.exe
注册表中添加自动启动项
每 1.8 秒随机对 20 个地址进行连接
在 135 端口向那些 IP 地址发送 “ 缓冲区溢出” 请求(即攻击代码),之后在被攻击的计算机上的command shell
TCP4444 端口开启一个 监听发送
UDP69 端口,在接受到允许使用MSBlast.exe 文件,并使被攻击者运行,之后感染DCOM RPC 指令消息后, 当月是DOS 攻击
8 月或日期是15 日以后发起
对病毒概述
病毒的概念
计算机病毒是一种在计算机系统运行过程中能把自
身精确或有修改地复制到其他程序体中并具有破坏
性的程序或代码
另一定义:指编制或在计算机程序中插入的破坏计
算机功能或毁坏数据,影响计算机使用,并能自我
复制的一组计算机指令或程序代码
1949 ,冯.诺依曼《复杂自动机组织论》,程序复
制概念, 1983 年出现 病毒、木马、恶意软件、间谍软件、广告软件DOS病毒, Windows 病毒,邮件病毒,宏病毒,蠕
虫病毒 爱虫, Nimda , CIH 病毒,冲击波,震荡波
爱情后门
病毒的特点
1 、人为编制
2 、自我复制能力(传染性)
3 、夺取系统的控制权
病毒在运行时,首先做初始化工作,取得系
统的控制权。系统每执行一次操作,病毒就
有机会执行它预先设计的操作,完成传播或
进行破坏
4 、隐蔽性
不易区分病毒和正常程序
受传染后,一般计算机系统仍能运行,被感染的程
序也能执行,用户不会感到明显异常,这就是隐蔽
性
病毒很短小,可加密和变形
5 、潜伏性
触发条件:系统时钟提供的时间,自带的计数器,
计算机内执行的某些特定操作
6 、不可预见性
种类繁多,不断更新
病毒破坏的目标和攻击部位
攻击系统数据区:如主引导扇区、
攻击文件:删除、改名、替换内容、丢失簇、加密文
件等
攻击内存:大量占用,改变内存总量,禁止分配
干扰系统运行,使运行速度下降:不能执行命令、虚
假报警、打不开文件、占用特殊数据区、重启、死
机、扰乱串并口等等
干扰键盘、喇叭、屏幕
攻击 CMOS :系统时钟、磁盘参数、内存容量等
干扰外围设备:如打印机
破坏网络系统:非法使用网络资源,垃圾邮件等FAT 等
病毒的分类
按破坏性划分
良性病毒
不包括立即破坏的代码,只是为了表现其存在或
为说明某些事件而存在
恶性病毒
代码中包含有损伤、破坏计算机系统的操作,在
其传染或发作时会对系统造成直接的严重损害,
如破坏数据、删除文件、格式化磁盘,破坏主板
等,含恶性病毒、极恶性病毒和灾难性病毒
恶性、极恶性、灾难性
按传染方式分
引导型病毒, 引导扇区
: 硬盘或软盘上系统启动或引导命令保存的地方
引导型病毒攻击的目标就是引导扇区,它将病毒代码链接
或隐藏在正常的引导代码中
文件型病毒
文件型病毒的主要攻击目标是文件,这些病毒依附在可执行文件(
前后附加型.com, .exe )上或与可执行文件链接
覆盖型:只覆盖不影响程序运行的部分,不易察觉,文件长度不变
伴随性:在可执行文件中插入跳转指令
混合型病毒
按连接方式分
源码型
攻击源程序
入侵型
替代正常程序部分模块或堆栈
操作系统型
直接感染操作系统
外壳型
依附于正常程序开头或结尾