计算机病毒分析与处理
一、 计算机病毒基础
¾计算机病毒的定义、特征、结构及其分类
¾计算机病毒的入侵方式及生命周期
¾计算机病毒的传播途径
¾计算机病毒的命名规则
¾计算机病毒的加载方式
二、 计算机病毒的定义
人为编制的,干扰计算机正常运行并造成计算机软硬件故障,甚至破坏计算机数据的可以自我复制的计算机程序或者指令集合都是计算机病毒。
三、 计算机病毒的特征
四、 计算机病毒的表现性体现:“中国黑客”病毒
五、 计算机病毒的表现性体现:“女鬼”病毒
六、 计算机病毒的表现性体现:“白雪公主”病毒
七、 计算机病毒的表现性体现:“熊猫烧香”病毒
八、 常见病毒分类
¾引导型病毒--MBR病毒、BR病毒 软(U)盘 硬盘 软(U)盘 ¾文件型病毒
¾源码型病毒
¾嵌入型病毒
¾外壳型病毒
¾混合型病毒(又称复合型)
九、 具有代表性的病毒类型
¾宏病毒:感染word、excel文件,驻留Normal模板
¾蠕虫病毒
¾特洛伊木马病毒
¾流氓软件
十、 计算机病毒的入侵方式
¾源代码嵌入攻击
¾代码取代攻击
¾外壳寄生入侵
¾系统修改入侵
十一、 计算机病毒的生命周期
十二、 计算机病毒的传播途径
¾网络
¾移动存储介质
¾硬盘
¾光盘
¾点对点通信系统和无线通道
十三、 计算机病毒的命名、
组成病毒名称的六个字段:
主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号 十四、 病毒的主/子行为类型及其对应关系
¾Backdoor
¾Worm
¾Trojan
¾Virus
¾Harm
¾Dropper
¾Hack
¾Binder
1.病毒现象实例1
病毒名称:Backdoor
病毒中文名称:后门
病毒介绍:指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运
行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。
“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系
统进行远程控制(如:文件管理、进程控制等)。
2.病毒现象实例2
病毒名称:worm
病毒中文名称:蠕虫
病毒介绍:指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
3.病毒现象实例3
病毒名称 :Trojan
病毒中文名称:木马
病毒介绍:特洛伊木马(简称木马)是以盗取用户个人信息,甚至是远程控制用户
计算机为主要目的的恶意代码。由于它像间谍一样潜入用户的电脑,与战争中的“木
马”战术十分相似,因而得名木马。按照功能,木马程序可进一步分为:盗号木马 、网银木马 、窃密木马 、远程控制木马 、流量劫持木马 和其它木马六类。
4.病毒现象实例4
病毒名称:Virus
病毒中文名称:感染性病毒
病毒介绍:指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
5.病毒现象实例5
病毒名称:Harm
病毒中文名称:破坏性程序
病毒介绍:指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
6.病毒现象实例6
病毒名称:Dropper
病毒中文名称:释放病毒的程序
病毒介绍:指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
7.病毒现象实例7
病毒名称:Hack
病毒中文名称:黑客工具
病毒介绍:指可以在本地计算机通过网络攻击其他计算机的工具。
8.病毒现象实例8
病毒名称:Binder
病毒中文名称:捆绑病毒的工具
9.病毒现象实例9
病毒名称:Constructor
病毒中文名称:病毒生成器
病毒介绍:指可以生成不同功能的病毒的程序。
10.病毒现象实例10
病毒名称:Joke
病毒中文名称:玩笑程序
病毒介绍:指运行后不会对系统造成破坏,但是会对用户造成心理恐慌的程序。
11.病毒现象实例11
病毒名称:Rootkit
病毒中文名称:越权执行
病毒介绍:设法让自己达到和内核一样的运行级别,甚至进入内核空间,这样它就拥有了和内核一样的访问权限,因而可以对内核指令进行修改。
12.病毒现象实例12
病毒名称:Packer
病毒介绍:加了某类专门针对杀毒软件免杀的壳的文件。这种壳专门针对杀毒软件作变形免杀,逃避查杀。
13.Worm的子行为类型
14.Trojan 的子行为类型
¾Spy
¾PSW
¾DL
¾IMMSG
¾MSNMSG
¾QQMSG
¾ICQMSG
¾UCMSG
¾Proxy
¾Clicker
¾Dialer
15.Hack 的子行为类
16.宿主文件类型
