1、计算机病毒原理及防治卓新建 博士北京邮电大学 信息工程学院 信息安全中心Email: or: 电话: ( 010) 62282264目录v第 1章 计算机病毒的基础知识及发展简史v第 2章 计算机病毒的相关 DOS基本系统知识v第 3章 计算机病毒的结构及作用机制v第 4章 检测计算机病毒的基本方法v第 5章 清除计算机病毒的基本技术v第 6章 计算机病毒的预防及计算机系统的修复v第 7章 典型计算机病毒的机理分析v补充 常见反病毒产品的介绍第 1章 计算机病毒的基础知识 1.1 计算机病毒的定义 1.2 病毒的基本特征 1.3 计算机病毒的分类 1.4 计算机病毒的发展简史 1.5 计算机病
2、毒在我国的发展简况 1.6 计算机病毒的产生及相关社会问题 1.7 计算机病毒防治的基本方法1.1 计算机病毒的定义v在生物学中,病毒是指侵入动植物体等有机生命体中的具有感染性、潜伏性、破坏性的微生物,而且不同的病毒具有不同的诱发因素。v“计算机病毒 ”一词是人们联系到破坏计算机系统的 “病原体 ”具有与生物病毒相似的特征,借用生物学病毒而使用的计算机术语。v美国计算机安全专家 Frederick Cohen博士是这样定义计 算机病毒的: ”病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中,从而感染它们 ”。1.1 计算机病毒的定义 1994年 中华人们共和国计算机
3、安全保护条例 定义: “计算机病毒是指编制、或者在计算机程序中插入的,破坏计算机功能或数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码 ”。广义定义能够引起计算机故障 ,破坏计算机数据的程序都统称为计算机病毒。1.2 病毒的基本特征v 计算机病毒是一段特殊的程序,它与生物学病毒有着十分相似的特性。除了与其他程序一样,可以存储和运行外,计算机病毒(简称病毒)还有感染性、潜伏性、可触发性、破坏性、衍生性 等特征。它一般都隐蔽在合法程序(被感染的合法程序称作宿主程序)中,当计算机运行时,它与合法的程序争夺系统的控制权,从而对计算机系统实施干扰和破坏作用。v 感染性 计算机病毒的感染性是
4、指计算机病毒具有把自身复制到其他程序中的特性。感染性是计算机病毒的根本属性,是判断一个程序是否为病毒程序的主要依据。病毒可以感染文件、磁盘、个人计算机、局部网络、互联网,病毒的感染是指从一个网络侵入另一个网络,由一个系统扩散到另一个系统,由一个系统传入到另一个磁盘,由一个磁盘进入到另一个磁盘,或者由一个文件传播到另一个文件的过程。软盘、光盘、网络(主要包括电子邮件、 BBS、 WWW浏览、 FTP文件下载等等)是计算机病毒的主要感染载体 ,点对点的通信系统和无线通信系统则是最新出现的病毒的感染载体。 感染性是病毒的再生机制,病毒通过修改磁盘扇区信息或文件内容,并与系统中的宿主程序链接在一起达到
5、感染的目的,继而它就会在运行这一被感染的程序之后开始感染其他程序,这样一来,病毒就会很快地感染到整个系统。 病毒的感染性与计算机系统的兼容性有关。v 潜伏性(或隐藏性 ) 病毒的潜伏性是指其具有依附于其他媒体而寄生的能力,即通过修改其他程序而把自身的复制品嵌入到其他程序或磁盘的引导区(包括硬盘的主引导区)中寄生。这种繁殖的能力是隐蔽的,病毒的感染过程一般都不带有外部表现,大多数病毒的感染速度极快。而且大多数病毒都采用特殊的隐藏技术,例如有些病毒感染正常程序时将程序文件压缩,留出空间嵌入病毒程序,这样使被感染病毒的程序文件的长度的变化很小,很难被发现;有些病毒修改文件的属性等;还有些病毒可以加密
6、、变型(多态病毒)或防止反汇编、防跟踪等等都是为了不让被感染的计算机用户发现。当计算机病毒侵入系统后,一般并不立即发作,而是具有一定的潜伏期。在潜伏期,只要条件许可,病毒就会不断地进行感染。一个编制巧妙的计算机病毒程序,可以在一段很长的时间内隐藏在合法程序中,对其他系统进行感染而不被人们发现。病毒的潜伏性与感染性相辅相成,潜伏性越好,其在系统中存在的时间就会越长,病毒的感染范围也就越大。 v 可触发性 病毒一般都有一个触发条件:或者触发其感染,即在一定的条件下激活一个病毒的感染机制使之进行感染;或者触发其发作,即在一定条件下激活病毒的表现(破坏)部分。条件判断是病毒自身特有的功能,一种病毒一般设置一定的触发条件。病毒程序在运行时,每次都要检测控制条件,一旦条件成熟,病毒就开始感染或发作。触发条件可能是指定的某个时间或日期、特定的用户识别符的出现、特定文件的出现或使用次数、用户的安全保密等级、某些特定的数据等等
