资源描述
题目: 计算机病毒解析与防
8 / 10
摘 要
计算机病毒被喻为21世纪计算机犯罪的五大手段之一,并排序为第二。计算机病毒的攻击性,在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰,有些还陷入极度的恐慌之中。事实上人们产生上述不安的原因,在与对计算机病毒的误解,广阔计算机用户有必要对计算机病毒的一些知识有一个比拟明确的认识和全面的科学态度。
关键词: 计算机病毒 病毒的困扰 病毒的误解 病毒的认识
目 录
1 绪论1
2 计算机病毒的概述2
2.1 计算机病毒的定义2
2.2 计算机病毒的特性2
3 计算机病毒的分类4
3.1 计算机病毒的根本分类4
4 计算机病毒防和去除的根本原那么和技术6
4.1 计算机病毒防的概念和原那么6
4.2 计算机病毒防根本技术6
4.3 去除计算机病毒的根本方法6
4.4 典型计算机病毒的原理、防和去除6
5 “熊猫烧香〞病毒剖析10
总结11
致12
参考文献13
1 绪论
入了信息社会,创造了计算机,计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全,计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨大浪费,人们称计算机病毒为“21世纪最大的隐患〞,目前由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。因此,研究计算机病毒与防措施技术具有重要的意义。
2 计算机病毒的概述
随着社会的不断进步,科学的不断开展,计算机病毒的种类也越来越多,但终究万变不离其宗!
2.1 计算机病毒的定义
一般来讲,只要能够引起计算机故障,或者能够破坏计算机中的资源的代码,统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。〞 这就是计算机病毒。
2.2 计算机病毒的特性
2.2.1 隐藏性与潜伏性
计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。它通常附在正常的程序中,用户启动程序同时也打开了病毒程序。计算机病毒程序经运行取得系统控制权,可以在不到1秒钟的时间里传染几百个程序。而且在传染操作成后,计算机系统仍能运行,被感染的程序仍能执行,这就是计机病毒传染的隐蔽性……计算机病毒的潜伏性那么是指,某些编制巧的计算机病毒程序,进入系统之后可以在几周或者几个月甚至年隐藏在合法文件中,对其它系统文件进展传染,而不被人发现。
2.2.2 传染性
计算机病毒可通过各种渠道(磁盘、共享目录、)从已被感染的计算机扩散到其他机器上,感染其它用户.在某情况下导致计算机工作失常。
2.2.3 表现性和破坏性
任何计算机病毒都会对机器产生一定程的影响,轻者占用系统资源,导致系统运行速度大幅降低.重者除文件和数据,导致系统崩溃。
2.2.4 可触发性病毒
具有预定的触发条件,可能是时间、日期、文类型或某些特定数据等。一旦满足触发条件,便启动感染或破坏作,使病毒进展感染或攻击;如不满足,继续潜伏。有些病毒针对特定的操作系统或特定的计算机。
2.2.5 欺骗性和持久性
计算机病毒行动诡秘,计算机对其反响迟,往往把病毒造成的错误当成事实承受下来。病毒程序即使被发,已被破坏的数据和程序以与操作系统都难以恢复。在网络操作情况下,由于病毒程序由一个受感染的拷贝通过网络系统反复传,病毒程序的去除愈加复杂。
除了上述五点外,计算机病毒还具有不可预见性、衍生性、针对性、等特点。正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与去除工作带来了很大的难度。
3 计算机病毒的分类
3.1 计算机病毒的根本分类
3.1.1 传统开机型计算机病毒
纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统,然后再伺机感染其他的软盘或者硬盘,例如:“Stoned 3〞〔米开朗基罗〕。
3.1.2 隐形开机型计算机病毒
此类计算机病毒感染的系统,再行检查开机区,得到的将是正常的磁区资料,就好似没有中毒一样,此类计算机病毒不容易被杀毒软件所查杀,而防毒软件对于未知的此类型计算机病毒,必须具有识别磁区资料真伪的能力。此类计算机病毒已出现的尚有“Fish〞.
3.1.3 档案感染型兼开机型计算机病毒
档案感染型兼开机型计算机病毒时利用档案感染时司机感染开机区,因而具有双中的行动能力,此类型较著名的计算机病毒有“Cancer〞。
3.1.4 目录型计算机病毒
本类型计算机病毒的感染方式非常独特,“Dir2〞即其代表,此类计算机病毒仅修改目录区〔Root〕,便可达到其感染目的。
3.1.5 传统档案型计算机病毒
传统档案型计算机病毒最大的特征,便是将计算机病毒本身植入档案,使档案膨胀,以达到散播传染的目的。代表有“13 Firday〞。
3.1.6 千面人计算机病毒
千面人计算机病毒是指具有自我编码能力的计算机病毒,“1701 下雨〞等,为这种类型主要代表,此种计算机病毒编码的目的,是使其感染的每一个档案,看起来皆不一样,干扰杀毒软件的侦测,不过千面人计算机病毒仍会留下的这个“小辫子〞,将其绳之以法。
3.1.7 突变引擎病毒
有鉴于前面人计算机病毒一个接一个被截获,边有人编写出一种突变式计算机病毒,使原本千面人计算机病毒无法解决的程序开头一样的问题得到克制,并编写成OBJ副程序,供他人植草此类计算机病毒,即 Mctation engine。尽管如此,这类计算机病毒仅干扰了扫毒式软件,对其他方式的防毒软件并没有太大的影响。
3.1.8 隐形档案型计算机病毒
此类病毒可以避开去多防毒软件,因为隐形计算机病毒能直接植入DOS系统的作业环境中,当外部程序呼叫DOS中断服务时,便同时执行到计算机病毒本身,使得计算机病毒能从容地将受其感染的档案,粉饰成正常无毒的样子。此类计算机病毒有“4096” 等。
3.1.9 终结型计算机病毒
终结性计算机病毒能追踪磁盘操作终端的原始进入点,当计算机病毒取得磁盘原始中断时,便可任意再磁盘上修改资料或普哦坏资料,而不会惊动防毒程序,这就是说,装有防毒程序和美妆防毒程序的情况是一样的危险。这类计算机病毒有的采用INT 1单步执行的方式,逐步追踪磁盘中断的过程,找出BIOS磁盘中断的局部,供计算机病毒部使用;有的采用死机的方式,记录几个BIOS版本的磁盘中断原始进入点,当计算机病毒遭到熟悉的BIOS版本,便可直接呼叫磁盘中断,对磁盘予取予求;有的那么分析磁盘中断的程序片段,找出BIOS中的相似局部便可直接呼叫磁盘中断。其代表有“Hammer 6”等。
3.1.10 Word巨集计算机病毒
Word 巨集计算机病毒可以说时目前最新的计算机病毒种类了,它是文件型计算机病毒,异于以往以感染磁盘区或可执行的档案为主的计算机病毒,此类病毒时利用Word 提供的巨集功能来感染文件。目前已经在Internet与BBS网络中发现不少Word巨集计算机病毒,而且此类计算机病毒是用类似Basic程序编写出来的,易学,其反战速度一定很快。
4 计算机病毒防和去除的根本原那么和技术
4.1 计算机病毒防的概念和原那么
计算机病毒防,是指通过建立合理的计算机病毒防体系和制度,即使发现计算机病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,回复受影响的计算机系统和数据。
原那么以防御计算机病毒为主动,主要表现在检测行为的动态性和防方法的广谱性。
4.2 计算机病毒防根本技术
计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵,就拦截、阻击计算机病毒的入侵或立即警报。
4.3 去除计算机病毒的根本方法
4.3.1 简单的工具治疗
简单工具治疗是指使用Debug等简单的工具,借助检测者对某种计算机病毒的具体知识,从感染计算机病毒的软件中摘除计算机代码。但是,这种方法同样对检测者自身的专业素质要求较高,而且治疗效率也较低。
4.3.2 专用工具治疗
使用专用工具治疗被感染的程序时通常使用的治疗方法。专用计算机治疗工具,根据对计算机病毒特征的记录,自动去除感染程序中的计算机病毒代码,使之得以恢复。使用专用工具治疗计算机病毒时,治疗操作简单、高效。从探索与计算机病毒对刚的全过程来看,专用工具的开发商也是先从使用简单工具进展治疗开始,当治疗获得成功后,再研制相应的软件产品,使计算机自动地完成全部治疗操作。
4.4 典型计算机病毒的原理、防和去除
4.4.1 引导区计算机病毒
系统引导区时在系统引导的时候,进入到系统中,获得对系统的控制权,在完成其自身的安装后才去引导系统的。称其为引导区计算机病毒时因为这类计算机病毒一般是都侵占系统硬盘的主引导扇区I/O分区的引导扇区,对于软盘那么侵占了软盘的引导扇区。
它会感染在该系统中进展读写操作的所有软盘,然后再由这些软盘以复制的方式和引导进入到其他计算机系统,感染其他计算机的操作系统。
如何检测呢?
(1)查看系统存的总量与正常情况进展比拟
(2)检查系统存高端的容
(3)检查系统的INT 13H中断向量
(4)检查硬盘的主引导扇区、DOS分区引导扇区以与软盘的引导扇区
用原来正常的分区表信息或引导扇区信息,覆盖掉计算机病毒程序。此时,如果用户事先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息,那么,恢复工作变得非常简单。可以直接用Debug将这两种引导扇区的容分别调入存,然后分别回它的原来位置,这样就消除了计算机病毒。
4.4.2 文件型计算机病毒
文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上,当文件装入系统执行的时候,引导计算机病毒程序也进入到系统中。只有极少计算机病毒程序感染数据文件。
此类病毒感染对象大多是系统的可执行文件,也有一些还要对覆盖文件进展传染,而对数据进展传染的那么少见。
(1)确定计算机病毒程序的位置,是驻留在文件尾部还是在文件首部。
(2)找到计算机病毒程序的首部位置〔对应于在文件尾部驻留方式〕,或者尾部位置〔对应于在文件首部驻留方式〕。
(3)恢复原文件头部的参数。
(4)修改文件长度,将源文件写回。
4.4.3 脚本型计算机病毒
主要采用脚本语言设计的病毒称其为脚本病毒。实际上在早期的系统中,计算机病毒就已经开始利用脚本进展传播和破坏,不过专门的脚本病毒并不常见。但是在脚本应用无所不在的今天,脚本病毒却成为危害最大,最为广泛的病毒,特别是当他和一些传统的恶性病毒相结合时,其危害就更为严重了。
其主要有两种类型,纯脚本型,混合型。它的特点有以下几方面:
l 编写简单
l 破坏力大
l 感染力强
l 传播围大〔多通过E-mail,局域网共享,感染网页文件的方式传播〕
l 计算机病毒源码容易被获取,变种多
l 欺骗性强
l 使得计算机病毒生产机事先起来非常容易
l 禁用文件系统对象FileSystemObject
l 卸载Windows Scripting Host
l 删除vbs,vbe,js,jse文件后缀与应用程序映射
l 在Windows目录中,找到WScript.exe,更改名称或者删除
l 要彻底防止vbs网络蠕虫病毒,还需要设置一下浏览器
l 禁止OE的自动收发电子功能
l 显示所有文件类型的扩展名称
l 将系统的网络连接的安全级别设置至少为“中等〞
4.4.4特洛伊木马计算机病毒
特洛伊木马也叫黑客程序或后门病毒,是指吟唱在正常程序中的一段具有特殊功能的程序,其隐蔽性与好,不易发觉,是一种极为危险的网络攻击手段。
其第一代:伪装性病毒,第二代:AIDS型木马,第三代:网络传播性木马
如何检查?
l 稽查注册表
l 检查你的系统配置文件
l 备份重要数据
l 立即关闭身背电源
l 备份木马入侵现场
l 修复木马危害
4.4.5 蠕虫计算机病毒
蠕虫是一种通过网络传播的恶性计算机病毒,它具有计算机病毒的一些共性,如传播性、隐蔽性、破坏性等。同时自己有自己一些特征,如利用文件寄生,对网络造成拒绝服务以与和黑客技术相结合等。
简单点说,蠕虫就是使用危害的代码来攻击网络上的受害主机,并在受害主机上自我复制,再攻击其他的受害主机的计算机病毒。
其特征:
l 自我繁殖
l 利用软件漏洞
l 造成网络拥堵
l 消耗系统资源
l 留下安全隐患
l 与防火墙互动
l 交换机联动
l 通知HIDS〔基于主机的入侵检测〕
l 报警
5 “熊猫烧香〞病毒剖析
“熊猫烧香〞病毒感染机理:“熊猫烧香〞,是一个感染型的蠕虫病毒,它能感染系统中exe,,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
病毒会感染扩展名为exe,pif,,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的。
总 结
计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。计算机病毒可通过各种渠道感染其它用户。在某情况下导致计算机工作失常。所以在我们的日常生活中,对计算机的日常使用要格外小心,不但要掌握一些简单的病毒处理方法,还要掌握一些专业的杀毒知识,这样才能在日常生活中做到轻松的使用计算机而不会被病毒困扰。
参 考 文 献
1 郝文化.防黑反毒技术指南[M].机械工业,2004
2 吴万钊,吴万铎.计算机病毒分析与防治大全[M].学苑,1993
3 谭瑛.计算机网络的安全威胁与防御机制研究[J].电脑知识与技术,2009
4 齐赫.计算机网络病毒的预防[D].:科技创新导版,2008
5 仁斌,钢,侯整风.计算机病毒与反病毒技术[M].清华大学,2006
6 卓新建,康锋,辛阳.计算机病毒原理与防治[M].邮电大学,2007
7 Mark A. Sportsk. 计算机联网技术大全,袁兆山,等译,:机械工业,1998
8 宁、博丽.计算机病毒的特点与防措施[D],:经济技术协作信息.2010
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
