第4章 计算机病毒与木马
- 格式:ppt
- 大小:310.50 KB
- 文档页数:65


GDGM-QR-03-077-B/1
Guangdong College of Industry & Commerce
毕业综合实践报告
Graduation synthesis practice report
题目:计算机木马病毒及防治
(in English) Computer Trojan virus research and prevention
系 别:
班 级:
学生姓名:
学 号:
指导老师:
完成日期:
目录
一、计算机木马病毒的概述及现状 ........................................................................................... 1 (一)计算机木马病毒的概念 ............................................................................................ 1
(二)木马病毒的原理 ....................................................................................................... 1
(三)木马病毒的特征 ....................................................................................................... 3
(四)木马病毒的危害 ....................................................................................................... 3
第一章计算机病毒概述
1、什么是计算机病毒?计算机病毒包括哪几类程序?
答编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性,复制性和传染性。
(一)文件类病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行序列。通常,这些病毒发作迅速且隐蔽性强,以至于用户并不知道病毒代码已被执行。
(二)引导扇区病毒。它会潜伏在硬盘的引导扇区或主引导记录中。触发引导区病毒的典型事件是系统日期和时间被篡改。
(三)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合,它能感染可执行文件,从而能在网上迅速传播蔓延。
(四)隐蔽病毒。这种病毒通过挂接中断修改和隐藏真面目,具有很大的欺骗性。因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来正常。秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多数操作重定向。
(五)异形病毒。这是一种能变异的病毒,随着感染时间的不同,改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法失效。
(六)宏病毒。宏病毒不只是感染可执行文件,还可感染一般应用软件程序。它会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的,不面向操作系统,所以它不受操作平台的约束,可以在DOS、Win-dows,Unix、Mac甚至在0S/2系统中传播。宏病毒能被传到任何可运行编写宏病毒应用程序的机器中。现在随着E-mail、WWW等强大的互联能力及宏语言的进一步强化,极大地增强了它的传播力。
2 、计算机病毒的发展可以大致划分为几个过程?每个过程的特点?
答DOS引导阶段一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。我国最早出现的计算机病毒是1988年在财政部的计算机上发现的。
阅读使人充实,会谈使人敏捷,写作使人精确。——培根
学问是异常珍贵的东西,从任何源泉吸收都不可耻。——阿卜·日·法拉兹
第四章 计算机恶意代码防治
恶意是一种程序,它通过把代码在不被察觉的代码情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。
恶意代码按传播方式,可以分成以下几类:
1. 计算机病毒:一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…
2. 蠕虫: 一种可以自我复制的完全独立的程序,它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不像其他的病毒,它可以自动创建与它的功能完全相同的副本,并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性来进行入侵的,它的自身特性可以使它以及快的速度传输。如红色代码、SQL蠕虫王、冲击波、震荡波、熊猫烧香。
3. 特洛伊木马:是指一类看起来具有正常功能,但实际上隐藏着很多用户不希望功能的程序,通常由控制端和被控制端两端组成。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中,同时它可以携带阅读使人充实,会谈使人敏捷,写作使人精确。——培根
学问是异常珍贵的东西,从任何源泉吸收都不可耻。——阿卜·日·法拉兹 恶意代码,还有一些木马会以一个软件的身份出现,但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现。如冰河、网络神偷、灰鸽子……
4. 后门:使得攻击者可以对系统进行非授权访问的一类程序。
5. 恶意软件:是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
6. 移动代码:是指能够从主机传输到客户端计算机上并执行的代码,它通常是作为病毒,蠕虫,或是特洛伊木马的一部分被传送到客户计算机上的。另外,移动代码可以利用系统的漏洞进行入侵,例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Java
第二章
一、填空:
1、 UltraEdit可以实现文字、Hex、ASCII的编辑;
2、 Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0;
3、 单一影子模式仅为操作系统所在分区创建影像;
4、 影子系统分为单一影子模式和完全影子模式;
5、 对注册表修改前后进行对比可使用RegSnap工具软件;
第三章 典型计算机病毒剖析
一、填空
1、注册表一般Default、SAM、Security、Software、System5个文件组成。
2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。
3、是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Control Panel。
4、注册表中IE的主页设置项是“Home Page”=dword 00000001
5、打开注册表编辑器的命令是regedit。
6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。
7、Word的模版文件是Normal.dot。
8、Office中宏使用的编程语言是VBA(Visual Basic for Application)。
9、宏可保存在当前工作表、word通用模版中。
10、蠕虫的两个特征是传染性和复制功能。
11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS探测方式、基于路由的探测方式、蠕虫攻击模块。
12、windows32/Baby.worm病毒主要攻击服务器。
13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。
14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。