04 郑州市 2015 网络安全员培训考试资料 技术 第四章 下载本文

内容发布更新时间 : 2024/12/23 8:42:56星期一 下面是文章的全部内容请认真阅读。

隐藏在正常程序中,在不经过特殊代码分析的情况下,病毒程序与正常程序是不容易区别开来的。

(5)触发性:计算机病毒因某个事件的出现,诱发病毒进行感染或进行破坏,称为病毒的触发。每个病毒都有自己的触发条件,这些条件可能是时间、日期、文件类型或某些特定的数据。如果满足了这些条件,病毒就进行感染和破坏,如果没有满足条件,则继续潜伏。 (6)衍生性:衍生性表现在两个方面,有些计算机病毒本身在传染过程中会通过一套变换机制,产生出许多与源代码不同的病毒;另一方面,有些攻击者人为地修改病毒源代码,这两种方式都有可能产生不同于原病毒代码的病毒——变种病毒,使人们防不胜防。 (7)寄生性:寄生性是指病毒对其他文件或系统进行一系列的非法操作,使其带有这种病毒,并成为该病毒的一个新传染源。

(8)不可预见性:病毒相对于防毒软件永远是超前的,理论上讲,没有任何杀毒软件能将所有的病毒清除。 6. 引导区病毒

引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权其转交方式是以物理位

置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。 7.文件病毒

文件型病毒通常感染带有.com、.exe、

.drv、.ovl、.sys等扩展名的可执行文件。它们在每次激活时,感染文件把自身复制到其他可执行的文件中,并能在内存中保存很长时间,直至病毒被激活。

当用户调用感染了病毒的可执行文件时,病毒首先会运行,然后病毒驻留在内存中感染其他文件。这种病毒的特点是依附于正常文件,成为程序文件的一个外壳。

8.复合型病毒

这类病毒既感染文件、又感染磁盘引导区与主引导区。能破坏计算机主板芯片的CIH毁灭者病毒属于该类病毒。CIH是一个台湾大学生编写的一个病毒,当时把它放置在大学的BBS站上,1998年传入大陆,发作日期是每个月的26日

该病毒是第一个直接攻击计算机硬件的病毒,破坏性极强,发作时破坏计算机Flash BIOS芯片中的系统程序,

导致主板与硬盘数据的损坏。1999年4月26日,CIH病毒在中国、俄罗斯、韩国等地大规模发作,仅大陆就造成数十万计算机瘫痪,大量硬盘数据被破坏。 9.宏病毒

宏译自英文单词Macro宏是微软公司为其office软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具它利用简单的语法,把常用的动作写成宏,当工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。

office中的word和Excel都有宏。word便为大众事先定义一个共用的通用模板(Normal.dot),里面包含了基本的宏。只要启动Word,就会自动运行Normal.dot文件。如果在word中重复进行某项工作,可用宏使其自动执行。

word提供了两种创建宏的方法:宏录制器和Visual Basic编织器。宏将一系列的word命令和指令组合在一起,形成一个命令,以实现任务执行的自动化。在默认情况下,word特定存贮在Normal模板中,以便所有的word文档均能使用,这一特点几乎为所有的宏病毒所利用。

如果撰写了有问题的宏,感染了通用模板

(Normal.dot),那么只要执行word,这个受感染的通用模板便会传播到之后所编织的文档中去,如果其他用户打开了感染病毒的文档,宏病毒又会转移到其他的计算机上。

目前,人们所说的宏病毒主要指word和Excel宏病毒。

10.脚本病毒

脚本是指从一个数据文档中进行一个任务的一组指令,这一点与宏相似。与宏相同脚本也是嵌入到一个静态文件中,它们的指令是由一个应用程序而不是计算机处理运行,目前大多数是使用web浏览器,如Netscape和IE都具有脚本功能,能够运行嵌入在网页中的脚本。

脚本病毒是使用应用程序和操作系统中的自动脚本功能复制和传播的,例如,当在一个具有脚本功能的浏览器中打开一个HTML文件时,一个嵌入在HTMI、文件中的脚本病毒就会自动执行。脚本病毒主要通过电子邮件和网页传播。

三、网络蠕虫 1. 网络蠕虫概述

网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术,不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机,通过网络从一个节点传播到另外一个节点。

网络蠕虫具有以下特征:

(1)主动攻击:从搜索漏洞,到利用搜索结果攻击系统,到攻击成功后复制副本,整个流程全由蠕虫自身主动完成。

(2)利用软件漏洞:蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能。

(3)造成网络拥塞:在传播的过程中,蠕虫需要判断其它计算机是否存活;判断特定应用服务是否存在;判断漏洞是否存在等等,这将产生大量的网络数据流量。同时出于攻击网络的需要,蠕虫也可以产生大量恶意流量,当大量的机器感染蠕虫时,就会产生巨大的网络流量,导致整个网络瘫痪。

(4)留下安全隐患:大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等),并在系统中留下后门。