首页
/
每日頭條
/
健康
/
計算機注冊安全工程師含金量
計算機注冊安全工程師含金量
更新时间:2024-11-11 17:56:25
計算機病毒概念與特性

計算機注冊安全工程師含金量(軟考-信息安全工程師學習筆記53)1

計算機病毒是一組具有自我複制、傳播能力的程序代碼。

高級的計算機病毒具有變種和進化能力,可以對付反病毒程序

編寫計算機病毒目的:破壞計算機功能、毀壞數據,從而影響計算機使用

計算機病毒傳染和發作表現的症狀:

  • 計算機屏幕顯示異常
  • 機器不能引導啟動
  • 磁盤存儲容量異常減少
  • 磁盤操作異常的讀寫
  • 出現異常的聲音
  • 執行程序文件無法執行
  • 文件長度和日期發生變化
  • 系統死機頻繁
  • 系統不承認硬盤
  • 中斷向量表發生異常變化
  • 内存可用空間異常變化或減少
  • 系統運行速度性能下降
  • 系統配置文件改變
  • 系統參數改變

計算機病毒都具有以下四個基本特點:

1)隐蔽性:計算機病毒附加在正常軟件或文檔中,例如可執行程序、電子郵件、Word文檔等,一旦用戶未察覺,病毒就觸發執行,潛入到受害用戶的計算機中.病毒的隐蔽性使得受害用戶在不知不覺中感染病毒,對受害計算機造成系列危害操作。正因如此,計算機病毒才擴散傳播。

2)傳染性:計算機病毒的傳染性是指計算機病毒可以進行自我複制,并把複制的病毒附加到無病毒的程序中,或者去替換磁盤引導區的記錄,使得附加了病毒的程序或者磁盤變成了新的病毒源,又能進行病毒複制,重複原先的傳染過程。計算機病毒與其他程序最本質的區别在于計算機病毒能傳染,而其他的程序則不能。沒有傳染性的程序就不是計算機病毒。

3)潛伏性:計算機病毒感染正常的計算機之後,一般不會立即發作,而是等到觸發條件滿足時,才執行病毒的惡意功能,從而産生破壞作用。計算機病毒常見的觸發條件是特定日期。

4)破壞性:計算機病毒對系統的危害性程度,取決于病毒設計者的設計意圖。有的僅僅是惡作劇,有的破壞系統數據。簡而言之,病毒的破壞後果是不可知的。由于計算機病毒是惡意的一段程序,故凡是由常規程序操作使用的計算機資源,計算機病毒均有可能對其進行破壞。據統計,病毒發作後,造成的破壞主要有數據部分丢失、系統無法使用、測覽器配置被修改、網絡無法使用、使用受限、受到遠程控制、數據全部丢失等。據統計分析,浏覽器配置被修改、數據丢失、網絡無法使用最為常見,如圖 所示。

計算機注冊安全工程師含金量(軟考-信息安全工程師學習筆記53)2


計算機病毒組成與運行機制

計算機病毒由三部分組成:

  • 複制傳染部件(replicator):控制病毒向其他文件的傳染
  • 隐藏部件(concealer):是防止病毒被檢測到
  • 破壞部件(bomb):當病毒符合激活條件後,執行破壞操作

計算機病毒的生命周期主要有兩個階段:

  • 第一階段,計算機病毒的複制傳播階段 這一階段有可能持續一個星期到幾年。計算機病毒在這個階段盡可能地隐蔽其行為,不幹擾正常系統的功能。計算機病毒主動搜尋新的主機進行感染,如将病毒附在其他的軟件程序中,或者滲透操作系統。同時,可執行程序中的計算機病毒獲取程序控制權。在這一階段,發現計算機病毒特别困難,這主要是因為計算機病毒隻感染少量的文件,難以引起用戶警覺。
  • 第二階段,計算機病毒的激活階段 計算機病毒在該階段開始逐漸或突然破壞系統。計算機病毒的主要工作是根據數學公式判斷激活條件是否滿足,用作計算機病毒的激活條件常有日期、時間、感染文件數或其他。

計算機注冊安全工程師含金量(軟考-信息安全工程師學習筆記53)3


計算機病毒常見類型與技術

1. 引導型病毒

引導型病毒通過感染計算機系統的引導區而控制系統,病毒将真實的引導區内容修改或替換,當病毒程序執行後,才啟動操作系統。因此,感染引導型病毒的計算機系統看似正常運轉,而實際上病毒已在系統中隐藏,等待時機傳染和發作。引導型房毒通常都是内存駐留的,典型的引導型病毒如磁盤殺手病毒、AntiExe 病毒等。

2. 宏病毒(Macro Viruses)

宏是 1995 年出現的應用程序編程語言,它使得文檔處理中繁複的敲鍵操作自動化。所謂宏病毒就是指利用宏語言來實現的計算機病毒。宏病毒的出現改變了病毒的載體模式,以前病毒的載體主要是可執行文件,而現在文檔或數據也可作為宏病毒的載體。

計算機注冊安全工程師含金量(軟考-信息安全工程師學習筆記53)4

3. 多态病毒(Polymorphic Viruses)

多态病毒每次感染新的對象後,通過更換加密算法,改變其存在形式。一些多态病毒具有超過二十億種呈現形式,這就意味着反病毒軟件常常難以檢測到它,一般需要采用啟發式分析方法來發現。

多态病毒有三個主要組成部分;雜亂的病毒體、解密例程(decryptionroutine)、變化引擎(mutation engine)。

在一個多态病毒中,變化引擎和病毒體都被加密。一旦用戶執行被多态病毒感染過的程序,則解密例程首先獲取計算機的控制權,然後将病毒體和變化引擎進行解密。接下來,解密例程把控制權轉讓給病毒,重新開始感染新的程序。此時,病毒進行自我複制以及變化引擎随機訪問内存(RAM)。病毒調用變化引擎,随機産生能夠解開新病毒的解密例程。病毒加密産生新的病毒體和變化引擎,病毒将解密例程連同新加密的病毒和變化引擎一起放到程序中。這樣一來,不僅病毒體被加密過,而且病毒的解密例程也随着感染不同而變化。因此,多态病毒沒有固定的特征、沒有固定的加密例程,從而就能逃避基于靜态特征的病毒掃描器的檢測。

4. 隐蔽病毒(Stealth Viruses)

隐蔽病毒試圖将自身的存在形式進行隐藏,使得操作系統和反病毒軟件不能發現。隐蔽病毒使用的技術有許多,主要包括:

  • 隐藏文件的日期、時間的變化;
  • 隐藏文件大小的變化;
  • 病毒加密。

計算機注冊安全工程師含金量(軟考-信息安全工程師學習筆記53)5


學習參考資料:

信息安全工程師教程(第二版)

建群網培信息安全工程師系列視頻教程

信息安全工程師5天修煉

,
Comments
Welcome to tft每日頭條 comments! Please keep conversations courteous and on-topic. To fosterproductive and respectful conversations, you may see comments from our Community Managers.
Sign up to post
Sort by
Show More Comments
Copyright 2023-2024 - www.tftnews.com All Rights Reserved