Download
1 / 90
900 likes | 1.02k Vues
第十五章 计算机病毒. 计算机病毒. 病毒概述 计算机病毒概述 计算机病毒的表现 病毒的起源与发展 病毒产生的背景 病毒发展 病毒分类 病毒分析 病毒特征 病毒程序结构及机制. 计算机病毒. 网络蠕虫病毒技术 蠕虫病毒与一般病毒的异同 蠕虫的破坏和发展趋势 网络蠕虫病毒分析 企业防范蠕虫病毒措施 对个人用户产生直接威胁的蠕虫病毒 个人用户对蠕虫病毒的防范措施 小结. 计算机病毒. CIH 病毒的表现形式、危害及传染途径 病毒的运行机制 病毒的清除 exe 型病毒 MyVirus Word 宏病毒 宏的概念 宏病毒分析
E N D
计算机病毒 • 病毒概述 • 计算机病毒概述 • 计算机病毒的表现 • 病毒的起源与发展 • 病毒产生的背景 • 病毒发展 • 病毒分类 • 病毒分析 • 病毒特征 • 病毒程序结构及机制
计算机病毒 • 网络蠕虫病毒技术 • 蠕虫病毒与一般病毒的异同 • 蠕虫的破坏和发展趋势 • 网络蠕虫病毒分析 • 企业防范蠕虫病毒措施 • 对个人用户产生直接威胁的蠕虫病毒 • 个人用户对蠕虫病毒的防范措施 • 小结
计算机病毒 • CIH • 病毒的表现形式、危害及传染途径 • 病毒的运行机制 • 病毒的清除 • exe型病毒MyVirus • Word宏病毒 • 宏的概念 • 宏病毒分析 • CtoL宏病毒代码及流程 • 宏病毒的判断方法 • 宏病毒的防治和清除
计算机病毒 • 脚本病毒 • 邮件型病毒 • 病毒的检测和防治 • 病毒检测 • 病毒防治 • 计算机系统的修复
计算机病毒概述 • 与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。 • 能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。 • 1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”
计算机病毒的表现 • 根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类:发作前、发作时和发作后的表现现象。 • 计算机病毒发作前的表现现象 • 计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。 • 在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己,在不被发现的同时,又自我复制,以各种手段进行传播。
计算机病毒发作前的表现现象 • 现象: • 平时运行正常的计算机突然经常性无缘无故地死机;病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生。 • 操作系统无法正常启动;关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导。 • 运行速度明显变慢;可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。 • 以前能正常运行的软件经常发生内存不足的错误。可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减小。 • 打印和通讯发生异常。可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序,使之不能正常工作。
计算机病毒发作前的表现现象 • 无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作,操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。 • 以前能正常运行的应用程序经常发生死机或者非法错误。可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。 • 系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成感染时的时间。 • 运行Word,打开Word文档后,该文件另存时只能以模板方式保存。无法另存为一个DOC文档,只能保存成模板文档(DOT)。这往往是打开的Word文档中感染了Word宏病毒的缘故。
计算机病毒发作前的表现现象 • 磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。 • 网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。 • 基本内存发生变化。在DOS下用mem /c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小,一般少1Kb~2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。 • 陌生人发来的电子函件。收到陌生人发来的电子函件,尤其是那些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附件的电子函件。 • 自动链接到一些陌生的网站。没有在上网,计算机会自动拨号并连接到因特网上一个陌生的站点,或者在上网的时候发现网络特别慢,存在陌生的网络链接。这种联接大多是黑客程序将收集到的计算机系统的信息“悄悄地”发回某个特定的网址
计算机病毒发作时的表现现象 • 计算机病毒发作时是指满足计算机病毒发作的条件,计算机病毒程序开始破坏行为的阶段。 • 一些计算机病毒发作时常见的表现现象: • 提示一些不相干的话。最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word文档,如果满足了发作条件的话,它就会弹出对话框显示“这个世界太黑暗了!”,并且要求你输入“太正确了”后按确定按钮。 • 发出一段的音乐。恶作剧式的计算机病毒,最著名的是外国的“杨基”计算机病毒(Yangkee)和中国的“浏阳河”计算机病毒。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,而“浏阳河”计算机病毒更绝,当系统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于“良性”计算机病毒,只是在发作时发出音乐和占用处理器资源。
计算机病毒发作时的表现现象 • 产生特定的图象。另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图象的计算机病毒大多也是“良性”计算机病毒,只是在发作时破坏用户的显示界面,干扰用户的正常工作。 • 硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时,硬盘的灯就会不断闪烁,比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化,或者写入许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是“恶性”计算机病毒。 • 进行游戏算法。有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作,一定要玩嬴了才让用户继续他的工作。 • Windows桌面图标发生变化。这一般也是恶作剧式的计算机病毒发作时的表现现象。把Windows缺省的图标改成其他样式的图标,或者将其他应用程序、快捷方式的图标改成Windows缺省图标样式,起到迷惑用户的作用。
计算机病毒发作时的表现现象 • 计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题,代码没有严格测试,在发作时会造成意想不到情况;或者是计算机病毒在Autoexec.bat文件中添加了一句Format c:之类的语句,需要系统重启后才能实施破坏的。 • 自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段,也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服务器的正常服务功能 • 鼠标自己在动。没有对计算机进行任何操作,也没有运行任何演示程序、屏幕保护程序等,而屏幕上的鼠标自己在动,应用程序自己在运行,有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制,从广义上说这也是计算机病毒发作的一种现象
计算机病毒发作后的表现现象 • 通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很小一部分。大多数计算机病毒都是属于“恶性”计算机病毒。 • 一些恶性计算机病毒发作后所造成的后果: • 硬盘无法启动,数据丢失 • 系统文件丢失或被破坏 • 文件目录发生混乱 • 部分文档丢失或被破坏 • 部分文档自动加密码 • 修改Autoexec.bat文件,增加Format C:一项,导致计算机重新启动时格式化硬盘。 • 使部分可软件升级主板的BIOS程序混乱,主板被破坏。 • 网络瘫痪,无法提供正常的服务。
计算机病毒 • 病毒概述 • 计算机病毒概述 • 计算机病毒的表现 • 病毒的起源与发展 • 病毒产生的背景 • 病毒发展 • 病毒分类 • 病毒分析 • 病毒特征 • 病毒程序结构及机制
病毒的起源与发展 • 早在1949年,距离第一部商用计算机的出现还有好几年时,计算机的先驱者冯·诺依曼在他的一篇论文《复杂自动机组织论》,提出了计算机程序能够在内存中自我复制,即已把病毒程序的蓝图勾勒出来。 • 十年之后,在美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序员道格拉斯·麦耀莱、维特·维索斯基和罗伯·莫里斯在工作之余想出一种叫做"磁芯大战"的电子游戏。
病毒产生的背景 • 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物 • 计算机病毒是计算机犯罪的一种新的衍化形式 • 计算机软硬件产品的危弱性是根本的技术原因 • 微机的普及应用是计算机病毒产生的必要环境
病毒发展 • 第一代病毒 • 第一代病毒的产生年限可以认为在1986—1989年之间,这一期间出现的病毒可以称之为传统的病毒,是计算机病毒的萌芽和滋生时期 • 具有如下的一些特点 • 病毒攻击的目标比较单一,或者是传染磁盘引导扇区,或者是传染可执行文件 • 病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染 • 病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可执行文件的长度增加、文件建立日期、时间发生变化,等等 • 病毒程序不具有自我保护的措施,容易被人们分析和解剖,从而使得人们容易编制相应的消毒软件
病毒发展 • 第二代病毒 • 第二代病毒又称为混合型病毒(又有人称之为“超级病毒”),其产生的年限可以认为在1989-1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段 • 这一阶段的计算机病毒具有如下特点 • 病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传染可执行文件。 • 病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和传染目标 • 病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被传染文件原来的建立日期和时间,等等 • 病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度 • 出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大
病毒发展 • 第三代病毒 • 第三代病毒的产生年限可以认为从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒, 是最近几年来出现的新型的计算机病毒。 • 所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,放入宿主程序中的病毒程序大部分都是可变的,即在搜集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点。正是由于这一特点,传统的利用特征码法检测病毒的产品不能检测出此类病毒
病毒发展 • 第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展,病毒开始向多维化方向发展,即传统病毒传染的过程与病毒自身运行的时间和空间无关,而新型的计算机病毒则将与病毒自身运行的时间、空间和宿主程序紧密相关,这无疑将导致计算机病毒检测和消除的困难。
病毒发展 • 第四代病毒 • 90年代中后期,随着远程网、远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传播至局域网内,再在局域网内传播扩散。 • 1996年下半年随着国内Internet的大量普及,Email的使用,夹杂于Email内的WORD宏病毒已成为当前病毒的主流。 • 一时期的病毒的最大特点是利用Internet作为其主要传播途径,因而,病毒传播快、隐蔽性强、破坏性大。此外,随着Windows95的应用,出现了Windows环境下的病毒。这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。
病毒发展 • 计算机病毒的发展必然会促进计算机反病毒技术的发展,也就是说, 新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战,致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样,势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性,迫使人们在反病毒的技术和产品上进行新的更新和换代。
计算机病毒 • 病毒概述 • 计算机病毒概述 • 计算机病毒的表现 • 病毒的起源与发展 • 病毒产生的背景 • 病毒发展 • 病毒分类 • 病毒分析 • 病毒特征 • 病毒程序结构及机制
病毒分类 • 按照计算机病毒攻击的系统分类 • 攻击DOS系统的病毒。 • 攻击Windows系统的病毒。 • 攻击UNIX系统的病毒。 • 攻击OS/2系统的病毒。 • 按照病毒的攻击机型分类 • 攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒 • 攻击小型机的计算机病毒。 • 攻击工作站的计算机病毒。
病毒分类 • 按照计算机病毒的链结方式分类 • 源码型病毒。该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。 • 嵌入型病毒。这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。 • 外壳型病毒。外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。 • 操作系统型病毒。这种病毒用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
病毒分类 • 按照计算机病毒的破坏情况分类 • 良性计算机病毒。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码 • 恶性计算机病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用
病毒分类 • 按照计算机病毒的寄生部位或传染对象分类 • 感染磁盘引导区的计算机病毒 • 感染操作系统的计算机病毒 • 感染可执行程序的计算机病毒
病毒分类 • 按照计算机病毒激活的时间分类 • 按照计算机病毒激活的时间可分为定时的和随机的。 • 定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
病毒分类 • 按照传播媒介分类 • 单机病毒。单机病毒的载体是磁盘,常见的是病毒从软盘传人硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。 • 网络病毒。网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
病毒分类 • 按照寄生方式和传染途径分类 • 按其寄生方式 • 引导型病毒。引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒, BR(引导区)病毒。 • 文件型病毒 • 按传染途径 • 驻留内存型 • 不驻留内存型 • 混合型病毒集引导型和文件型病毒特性于一体。
计算机病毒 • 病毒概述 • 计算机病毒概述 • 计算机病毒的表现 • 病毒的起源与发展 • 病毒产生的背景 • 病毒发展 • 病毒分类 • 病毒分析 • 病毒特征 • 病毒程序结构及机制
病毒特征 • 传染性 • 传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。 • 同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。 • 正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。
病毒特征 • 隐蔽性 • 病毒一般是具有很高编程技巧、短小精悍的程序。 • 通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。 • 潜伏性 • 大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。
病毒特征 • 破坏性 • 任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。 • 不可预见性 • 从对病毒的检测方面来看,病毒还有不可预见性。 • 不同种类的病毒,它们的代码千差万别,但有些操作是 共有的(如驻内存,改中断)。
病毒特征 • 寄生性 • 指病毒对其他文件或系统进行一系列非法操作,使其带有这种病毒,并成为该病毒的一个新的传染源的过程。这是病毒的最基本特征。 • 触发性 • 指病毒的发作一般都有一个激发条件,即一个条件控制。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等等。
病毒程序结构及机制 • 计算机病毒程序是为了特殊目的而编制的,它通过修改其他程序而把自己复制进去,并且传染该程序。 • 一般来说,计算机病毒程序包括三个功能模块: • 引导模块 • 传染模块 • 破坏模块 • 这些模块功能独立,同时又相互关联,构成病毒程序的整体。
引导模块和引导机制 • 引导模块的功能是借助宿主程序,将病毒程序从外存引进内存,以便使传染模块和破坏模块进入活动状态。 • 引导模块还可以将分别存放的病毒程序链接在一起,重新进行装配,形成新的病毒程序,破坏计算机系统。
引导模块和引导机制 • 计算机病毒的寄生对象 • 一种寄生在磁盘引导扇区; • 另一种是寄生在可执行文件(.EXE或.COM)中。 • 这是由于不论是磁盘引导扇区还是可执行文件,它们都有获取执行权的可能
引导模块和引导机制 • 计算机病毒的寄生方式 • 替代法:病毒程序用自己的部分或全部指令代码,替代磁盘引导扇区或文件中的全部或部分内容。 • 链接法:病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起,病毒链接的位置可能在正常程序的首部、尾部或中间。 • 寄生在磁盘引导扇区的病毒一般采取替代法,而寄生在可执行文件中的病毒一般采用链接法。
引导模块和引导机制 • 计算机病毒的引导过程 • 计算机病毒的引导过程一般包括以下三方面 • 驻留内存。病毒若要发挥其破坏作用,一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存 • 窃取系统控制权。在病毒程序驻留内存后,必须使有关部分取代或扩充系统的原有功能,并窃取系统的控制权。此后病毒程序依据其设计思想,隐蔽自己,等待时机,在条件成熟时,再进行传染和破坏。 • 恢复系统功能。病毒为隐蔽自己,驻留内存后还要恢复系统,使系统不会死机,只有这样才能等待时机成熟后,进行感染和破坏的目的。
传染模块和传染机制 • 传染模块的功能将病毒迅速传染,尽可能扩大染毒范围。 • 病毒的传染模块由两部分组成:条件判断部分和程序主体部分,前者负责判断传染条件是否成立,后者负责将病毒程序与宿主程序链接,完成传染病毒的工作。
传染模块和传染机制 • 计算机病毒的传染方式 • 所谓传染是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程。这种载体一般为磁盘或磁带,它是计算机病毒赖以生存和进行传染的媒介。 • 计算机病毒的传染过程 • 对于病毒的被动传染而言,其传染过程是随着拷贝磁盘或文件工作的进行而进行的, • 对于计算机病毒的主动传染而言,其传染过程是这样的:在系统运行时,病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存,并在系统内存中监视系统的运行。
破坏模块和破坏机制 • 病毒编制者的意图,就是攻击破坏计算机系统,所以破坏模块是病毒程序的核心部分。 • 破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口地址(一般为时钟中断INT 8H,或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程序的破坏模块。 • 病毒破坏目标和攻击部位主要是:系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、CMOS、主板等。
计算机病毒 • 网络蠕虫病毒技术 • 蠕虫病毒与一般病毒的异同 • 蠕虫的破坏和发展趋势 • 网络蠕虫病毒分析 • 企业防范蠕虫病毒措施 • 对个人用户产生直接威胁的蠕虫病毒 • 个人用户对蠕虫病毒的防范措施 • 小结
网络蠕虫病毒技术 • 一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等。 • 同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。 • 在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪。
网络蠕虫病毒技术 • 根据使用者情况将蠕虫病毒分为两类: • 一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果,以“红色代码”,“尼姆达”,以及“sql蠕虫王”为代表。 • 另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例。
蠕虫病毒与一般病毒的异同 • 蠕虫也是一种病毒,因此具有病毒的共同特征。 • 一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主” 。 • 例如,windows下可执行文件的格式为PE格式(Portable Executable),当需要感染PE文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。
蠕虫病毒与一般病毒的异同 • 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。 • 局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球。
