科技时代新浪首页 > 科技时代 > 学园 > 病毒与杀毒专区专题 > 正文

病毒基础防治知识-安博士公司提供


http://www.sina.com.cn 2006年06月01日 08:28 新浪科技

  目录

  ----计算机病毒的定义

  ----恶性代码的定义

  ----计算机病毒 vs 恶性代码

  ----恶性代码的种类

  ----引导 型病毒

  ----文件型病毒

  ----宏病毒

  ----蠕虫 病毒

  ----特洛伊木马 程序

  ----Joke, Hoax/Myth 程序

  ----恶意程序陷阱, 脚本 病毒, Spyware 程序

  1.计算机病毒的定义

  它是一个可以进行复制件或自身进行复制的程序(或一批可执行代码),并且能够传播到其它文件

  •LawrenceE.Bassham &W.Timothy Polk,“Treat Assessment of Malicious Code and Human Threats”, 1992.

  -

病毒具备的特征

  •复制

  •需要一个宿主程序作为载体

  •需要外部的行动激活它

  •限于复制到(虚拟)系统中

  2.恶性代码的定义

  •制造者有意图损坏使用者而制造的所有具有恶意目的的 程序,宏 及脚本等,并在计算机中能操作的所有可运行的程序。

  -称为Malicious code或Malcode,Malicious program,Malware

  -

  •组成

  -病毒(Virus)

  -蠕虫(Worm)

  -特洛伊木马(Trojan Horse)

  -假病毒(Hoax)

  -恶作剧(Joke)

  -其它

  3.计算机病毒vs恶性代码

  •计算机病毒也属于恶性代码

  4.引导型病毒

  • 打开计算机时,驻留在磁盘的第一个引导扇区中运行的病毒。

  •

  •感染路径

  -用感染的软盘启动->感染硬盘->读软盘的瞬间感染正常的硬盘。

  •感染症状

  -启动速度缓慢

  -减少常规内存等

  -

  •具有代表性的 病毒

  -Brain病毒,Michelangelo病毒,Monkey病毒,Anti-CMOS病毒,WYX病毒等

  5.文件型病毒

  •通常感染可执行文件的病毒

  • 感染Windows中存在的多种可执行文件,(BIN,OCX,SCR等)

  •感染路径

  -运行感染文件

  •感染症状

  -程序的运行速度缓慢

  -减少常规内存等

  • 具有代表性的病毒

  -DOS型文件病毒,Windows型文件病毒,宏病毒

  6.宏病毒(1)

  •利用包含在应用程序中的宏功能,复制自身的病毒

  •特征(1)

  -不受操作平台的影响

  •宏运行环境时与操作平台无关

  - 变种宏病毒

  •合并(Merge)

  •上位转换(Up conversion)

  •WCS(Wide Character System)

  ->有时通过

杀毒软件也不能诊断

  感染的文档

  •Word:Word文件(doc),Normal.dot

  •Excel:Excel文件(xls),Personal.xls

  7.宏病毒(2)

  •特征(2)

  -容易制作及变种

  •用高级语言编写:VBA(Visual Basic for Application)

  •MS Office以外的多种产品(其它公司)中都适用。

  -AutoCAD,CorelDraw,Lotus1-2-3,Visio等

  -传播速度快

  •文档文件比执行文件更容易频繁交换

  •公司内部公告栏的附加文档

  •电子邮件

  •因感染文档,使商业可信度降低

  -攻击微软公司的S/W安全缺陷

  8.宏病毒(3)

  •具有代表性的病毒

  -Word95/97/2000宏病毒

  -Excel95/97/2000宏病毒

  -Excelfomula宏病毒

  -Excel97/2000宏病毒

  -Powerpoint97/2000宏病毒

  -Office97/2000病毒

  -MS Visio宏病毒

  -MS Project宏病毒

  9.特洛伊木马(1)

  •没有自身复制功能的恶性代码

  -Back door也属于特洛伊木马

  - 潜藏在应用程序内部的功能

  -根据操作平台分DOS/Windows 特洛伊木马

  •主要功能

  -泄露特定信息(跟踪用户的击键,窃取个人信息等)

  -远程控制对方计算机

  - 删除数据

  •扩散方法

  -伪装成大家熟知的应用程序

  -伪装成具有优秀功能的新应用程序

  10.特洛伊木马(2)

  • 存在的问题

  -使用者不知道被感染

  -感染症状不明显,因此长期被害

  -威胁个人信息

  -出现多种变种

  -容易使用,并在很多有关入侵网站中得到

  •具有代表性的种类

  -BackOrifice2000,Win-Trojan/Ecokys,Win-Trojan/Meteor,Win-Trojan/Subseven 等

  11.蠕虫(1)

  •过去指在内存中进行自我复制的程序,当前这种繁殖通常是通过网络连接或电子邮件附件完成。不象病毒,蠕虫不需要将它们自己附着在主程序上。

  -分成(文件)蠕虫,脚本蠕虫,IRC蠕虫等

  -又称为InternetWorm

  -用高级语言(C++,VisualBasic等)制作

  •主要功能

  -与特洛伊木马相似

  •扩散方法

  - 通过引发好奇心的电子邮件的附件

  - 恶意利用改变网络共享文件夹的权限

  12.蠕虫(2)

  • 存在的问题

  -向外部公开被损害事实

  -降低个人及公司的可信度

  -无端泄露个人及公司信息

  - 利用客户端的安全缺陷

  •具有代表性的蠕虫

  -I-Worm/Happy99,I-Worm/Hybris,I-Worm/ExploreZip,I-Worm/Navidad,Win32/Sircam.worm,Win32/Klez.worm.H

  13.Joke&Hoax/Myth

  • 恶作剧(Joke)

  -虽然不会破坏数据,但其症状与病毒相似,吓唬使用者的各种程序

  -Delete_Game,Format_Game,Cokegift,Puzzle等

  • 假病毒(Hoax/Myth)

  -计算机病毒的一种垃圾邮件(Spam)

  -负作用:安全意识降低

  -GoodTimes virus,Join the crew,WOBBLIER,SULFNBK.EXE Warning, JDBGMGR.EXE Warning 等

  14.Dropper&恶性脚本

  •Dropper

  -使用者不知的情况下在系统中设置计算机病毒或恶性程序的程序

  •恶性脚本

  -利用脚本制作的恶性代码

  -分配文件,mIRC脚本,VBS(Visual Basic Script),JS(Java Script)

  •Spyware

  - 为了让SW开发公司了解一部分个人信息而制作/明示的一种正常的程序

发表评论

爱问(iAsk.com)



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有