計算機病毒解析與防范.doc
《計算機病毒解析與防范.doc》由會員分享,可在線閱讀,更多相關《計算機病毒解析與防范.doc(15頁珍藏版)》請在裝配圖網(wǎng)上搜索。
. 題 目: 計算機病毒解析與防范 精選word范本! . 摘 要 計算機病毒被喻為21世紀計算機犯罪的五大手段之一,并排序為第二。計算機病毒的攻擊性,在于它能夠破壞各種程序并蔓延于應用領域。目前世界上上億用戶受著計算機病毒的困擾,有些還陷入極度的恐慌之中。事實上人們產生上述不安的原因,在與對計算機病毒的誤解,廣大計算機用戶有必要對計算機病毒的一些知識有一個比較明確的認識和全面的科學態(tài)度。 關鍵詞: 計算機病毒 病毒的困擾 病毒的誤解 病毒的認識 目 錄 1 緒論 1 2 計算機病毒的概述 2 2.1 計算機病毒的定義 2 2.2 計算機病毒的特性 2 3 計算機病毒的分類 4 3.1 計算機病毒的基本分類 4 4 計算機病毒防范和清除的基本原則和技術 6 4.1 計算機病毒防范的概念和原則 6 4.2 計算機病毒防范基本技術 6 4.3 清除計算機病毒的基本方法 6 4.4 典型計算機病毒的原理、防范和清除 6 5 “熊貓燒香”病毒剖析 10 總 結 11 致 謝 12 參考文獻 13 1 緒論 入了信息社會,創(chuàng)造了計算機,計算機雖然給人們的工作和生活帶來了便利和效率,然而計算機系統(tǒng)并不安全,計算機病毒就是最不安全的因素之一,它會造成資源和財富的巨大浪費,人們稱計算機病毒為“21世紀最大的隱患”,目前由于計算機軟件的脆弱性與互聯(lián)網(wǎng)的開放性,我們將與病毒長期共存。因此,研究計算機病毒及防范措施技術具有重要的意義。 2 計算機病毒的概述 隨著社會的不斷進步,科學的不斷發(fā)展,計算機病毒的種類也越來越多,但終究萬變不離其宗! 2.1 計算機病毒的定義 一般來講,只要能夠引起計算機故障,或者能夠破壞計算機中的資源的代碼,統(tǒng)稱為計算機病毒。而在我國也通過條例的形式給計算機病毒下了一個具有法律性、權威性的定義:“計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。” 這就是計算機病毒。 2.2 計算機病毒的特性 2.2.1 隱藏性與潛伏性 計算機病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。它通常內附在正常的程序中,用戶啟動程序同時也打開了病毒程序。計算機病毒程序經運行取得系統(tǒng)控制權, 可以在不到1秒鐘的時間里傳染幾百個程序。而且在傳染操作成后,計算機系統(tǒng)仍能運行,被感染的程序仍能執(zhí)行,這就是計機病毒傳染的隱蔽性……計算機病毒的潛伏性則是指,某些編制巧的計算機病毒程序,進入系統(tǒng)之后可以在幾周或者幾個月甚至年內隱藏在合法文件中,對其它系統(tǒng)文件進行傳染,而不被人發(fā)現(xiàn)。 2.2.2 傳染性 計算機病毒可通過各種渠道(磁盤、共享目錄、郵件)從已被感染的計算機擴散到其他機器上,感染其它用戶.在某情況下導致計算機工作失常。 2.2.3 表現(xiàn)性和破壞性 任何計算機病毒都會對機器產生一定程的影響,輕者占用系統(tǒng)資源,導致系統(tǒng)運行速度大幅降低.重者除文件和數(shù)據(jù),導致系統(tǒng)崩潰。 2.2.4 可觸發(fā)性病毒 具有預定的觸發(fā)條件,可能是時間、日期、文類型或某些特定數(shù)據(jù)等。一旦滿足觸發(fā)條件,便啟動感染或破壞作,使病毒進行感染或攻擊;如不滿足,繼續(xù)潛伏。有些病毒針對特定的操作系統(tǒng)或特定的計算機。 2.2.5 欺騙性和持久性 計算機病毒行動詭秘,計算機對其反應遲,往往把病毒造成的錯誤當成事實接受下來。病毒程序即使被發(fā),已被破壞的數(shù)據(jù)和程序以及操作系統(tǒng)都難以恢復。在網(wǎng)絡操作情況下,由于病毒程序由一個受感染的拷貝通過網(wǎng)絡系統(tǒng)反復傳,病毒程序的清除愈加復雜。 除了上述五點外,計算機病毒還具有不可預見性、衍生性、針對性、等特點。正是由于計算機病毒具有這些特點,給計算機病毒的預防、檢測與清除工作帶來了很大的難度。 3 計算機病毒的分類 3.1 計算機病毒的基本分類 3.1.1 傳統(tǒng)開機型計算機病毒 純粹的開機型計算機病毒多利用軟盤開機時侵入計算機系統(tǒng),然后再伺機感染其他的軟盤或者硬盤,例如:“Stoned 3”(米開朗基羅)。 3.1.2 隱形開機型計算機病毒 此類計算機病毒感染的系統(tǒng),再行檢查開機區(qū),得到的將是正常的磁區(qū)資料,就好像沒有中毒一樣,此類計算機病毒不容易被殺毒軟件所查殺,而防毒軟件對于未知的此類型計算機病毒,必須具有辨認磁區(qū)資料真?zhèn)蔚哪芰?。此類計算機病毒已出現(xiàn)的尚有“Fish”. 3.1.3 檔案感染型兼開機型計算機病毒 檔案感染型兼開機型計算機病毒時利用檔案感染時司機感染開機區(qū),因而具有雙中的行動能力,此類型較著名的計算機病毒有“Cancer”。 3.1.4 目錄型計算機病毒 本類型計算機病毒的感染方式非常獨特,“Dir2”即其代表,此類計算機病毒僅修改目錄區(qū)(Root),便可達到其感染目的。 3.1.5 傳統(tǒng)檔案型計算機病毒 傳統(tǒng)檔案型計算機病毒最大的特征,便是將計算機病毒本身植入檔案,使檔案膨脹,以達到散播傳染的目的。代表有“13 Firday”。 3.1.6 千面人計算機病毒 千面人計算機病毒是指具有自我編碼能力的計算機病毒,“1701 下雨”等,為這種類型主要代表,此種計算機病毒編碼的目的,是使其感染的每一個檔案,看起來皆不一樣,干擾殺毒軟件的偵測,不過千面人計算機病毒仍會留下的這個“小辮子”,將其繩之以法。 3.1.7 突變引擎病毒 有鑒于前面人計算機病毒一個接一個被截獲,邊有人編寫出一種突變式計算機病毒,使原本千面人計算機病毒無法解決的程序開頭相同的問題得到克服,并編寫成OBJ副程序,供他人植草此類計算機病毒,即 Mctation engine。盡管如此,這類計算機病毒僅干擾了掃毒式軟件,對其他方式的防毒軟件并沒有太大的影響。 3.1.8 隱形檔案型計算機病毒 此類病毒可以避開去多防毒軟件,因為隱形計算機病毒能直接植入DOS系統(tǒng)的作業(yè)環(huán)境中,當外部程序呼叫DOS中斷服務時,便同時執(zhí)行到計算機病毒本身,使得計算機病毒能從容地將受其感染的檔案,粉飾成正常無毒的樣子。此類計算機病毒有“4096” 等。 3.1.9 終結型計算機病毒 終結性計算機病毒能追蹤磁盤操作終端的原始進入點,當計算機病毒取得磁盤原始中斷時,便可任意再磁盤上修改資料或普哦壞資料,而不會驚動防毒程序,這就是說,裝有防毒程序和美妝防毒程序的情況是一樣的危險。這類計算機病毒有的采用INT 1單步執(zhí)行的方式,逐步追蹤磁盤中斷的過程,找出BIOS磁盤中斷的部分,供計算機病毒內部使用;有的采用死機的方式,記錄幾個BIOS版本的磁盤中斷原始進入點,當計算機病毒遭到熟悉的BIOS版本,便可直接呼叫磁盤中斷,對磁盤予取予求;有的則分析磁盤中斷的程序片段,找出BIOS中的相似部分便可直接呼叫磁盤中斷。其代表有“Hammer 6”等。 3.1.10 Word巨集計算機病毒 Word 巨集計算機病毒可以說時目前最新的計算機病毒種類了,它是文件型計算機病毒,異于以往以感染磁盤區(qū)或可執(zhí)行的檔案為主的計算機病毒,此類病毒時利用Word 提供的巨集功能來感染文件。目前已經在Internet及BBS網(wǎng)絡中發(fā)現(xiàn)不少Word巨集計算機病毒,而且此類計算機病毒是用類似Basic程序編寫出來的,易學,其反戰(zhàn)速度一定很快。 4 計算機病毒防范和清除的基本原則和技術 4.1 計算機病毒防范的概念和原則 計算機病毒防范,是指通過建立合理的計算機病毒防范體系和制度,即使發(fā)現(xiàn)計算機病毒入侵,并采取有效的手段阻止計算機病毒的傳播和破壞,回復受影響的計算機系統(tǒng)和數(shù)據(jù)。 原則以防御計算機病毒為主動,主要表現(xiàn)在檢測行為的動態(tài)性和防范方法的廣譜性。 4.2 計算機病毒防范基本技術 計算機病毒預防是在計算機病毒尚未入侵或剛剛入侵,就攔截、阻擊計算機病毒的入侵或立即警報。 4.3 清除計算機病毒的基本方法 4.3.1 簡單的工具治療 簡單工具治療是指使用Debug等簡單的工具,借助檢測者對某種計算機病毒的具體知識,從感染計算機病毒的軟件中摘除計算機代碼。但是,這種方法同樣對檢測者自身的專業(yè)素質要求較高,而且治療效率也較低。 4.3.2 專用工具治療 使用專用工具治療被感染的程序時通常使用的治療方法。專用計算機治療工具,根據(jù)對計算機病毒特征的記錄,自動清除感染程序中的計算機病毒代碼,使之得以恢復。使用專用工具治療計算機病毒時,治療操作簡單、高效。從探索與計算機病毒對剛的全過程來看,專用工具的開發(fā)商也是先從使用簡單工具進行治療開始,當治療獲得成功后,再研制相應的軟件產品,使計算機自動地完成全部治療操作。 4.4 典型計算機病毒的原理、防范和清除 4.4.1 引導區(qū)計算機病毒 系統(tǒng)引導區(qū)時在系統(tǒng)引導的時候,進入到系統(tǒng)中,獲得對系統(tǒng)的控制權,在完成其自身的安裝后才去引導系統(tǒng)的。稱其為引導區(qū)計算機病毒時因為這類計算機病毒一般是都侵占系統(tǒng)硬盤的主引導扇區(qū)I/O分區(qū)的引導扇區(qū),對于軟盤則侵占了軟盤的引導扇區(qū)。 它會感染在該系統(tǒng)中進行讀寫操作的所有軟盤,然后再由這些軟盤以復制的方式和引導進入到其他計算機系統(tǒng),感染其他計算機的操作系統(tǒng)。 如何檢測呢? (1)查看系統(tǒng)內存的總量與正常情況進行比較 (2)檢查系統(tǒng)內存高端的內容 (3)檢查系統(tǒng)的INT 13H中斷向量 (4)檢查硬盤的主引導扇區(qū)、DOS分區(qū)引導扇區(qū)以及軟盤的引導扇區(qū) 用原來正常的分區(qū)表信息或引導扇區(qū)信息,覆蓋掉計算機病毒程序。此時,如果用戶事先提取并保存了自己硬盤中分區(qū)表的信息和DOS分區(qū)引導扇區(qū)信息,那么,恢復工作變得非常簡單。可以直接用Debug將這兩種引導扇區(qū)的內容分別調入內存,然后分別回它的原來位置,這樣就消除了計算機病毒。 4.4.2 文件型計算機病毒 文件型計算機病毒程序都是依附在系統(tǒng)可執(zhí)行文件或覆蓋文件上,當文件裝入系統(tǒng)執(zhí)行的時候,引導計算機病毒程序也進入到系統(tǒng)中。只有極少計算機病毒程序感染數(shù)據(jù)文件。 此類病毒感染對象大多是系統(tǒng)的可執(zhí)行文件,也有一些還要對覆蓋文件進行傳染,而對數(shù)據(jù)進行傳染的則少見。 (1)確定計算機病毒程序的位置,是駐留在文件尾部還是在文件首部。 (2)找到計算機病毒程序的首部位置(對應于在文件尾部駐留方式),或者尾部位置(對應于在文件首部駐留方式)。 (3)恢復原文件頭部的參數(shù)。 (4)修改文件長度,將源文件寫回。 4.4.3 腳本型計算機病毒 主要采用腳本語言設計的病毒稱其為腳本病毒。實際上在早期的系統(tǒng)中,計算機病毒就已經開始利用腳本進行傳播和破壞,不過專門的腳本病毒并不常見。但是在腳本應用無所不在的今天,腳本病毒卻成為危害最大,最為廣泛的病毒,特別是當他和一些傳統(tǒng)的惡性病毒相結合時,其危害就更為嚴重了。 其主要有兩種類型,純腳本型,混合型。它的特點有以下幾方面: l 編寫簡單 l 破壞力大 l 感染力強 l 傳播范圍大(多通過E-mail,局域網(wǎng)共享,感染網(wǎng)頁文件的方式傳播) l 計算機病毒源碼容易被獲取,變種多 l 欺騙性強 l 使得計算機病毒生產機事先起來非常容易 l 禁用文件系統(tǒng)對象FileSystemObject l 卸載Windows Scripting Host l 刪除vbs,vbe,js,jse文件后綴與應用程序映射 l 在Windows目錄中,找到WScript.exe,更改名稱或者刪除 l 要徹底防止vbs網(wǎng)絡蠕蟲病毒,還需要設置一下瀏覽器 l 禁止OE的自動收發(fā)電子郵件功能 l 顯示所有文件類型的擴展名稱 l 將系統(tǒng)的網(wǎng)絡連接的安全級別設置至少為“中等” 4.4.4特洛伊木馬計算機病毒 特洛伊木馬也叫黑客程序或后門病毒,是指吟唱在正常程序中的一段具有特殊功能的程序,其隱蔽性及好,不易察覺,是一種極為危險的網(wǎng)絡攻擊手段。 其第一代:偽裝性病毒,第二代:AIDS型木馬,第三代:網(wǎng)絡傳播性木馬 如何檢查? l 稽查注冊表 l 檢查你的系統(tǒng)配置文件 l 備份重要數(shù)據(jù) l 立即關閉身背電源 l 備份木馬入侵現(xiàn)場 l 修復木馬危害 4.4.5 蠕蟲計算機病毒 蠕蟲是一種通過網(wǎng)絡傳播的惡性計算機病毒,它具有計算機病毒的一些共性,如傳播性、隱蔽性、破壞性等。同時自己有自己一些特征,如利用文件寄生,對網(wǎng)絡造成拒絕服務以及和黑客技術相結合等。 簡單點說,蠕蟲就是使用危害的代碼來攻擊網(wǎng)絡上的受害主機,并在受害主機上自我復制,再攻擊其他的受害主機的計算機病毒。 其特征: l 自我繁殖 l 利用軟件漏洞 l 造成網(wǎng)絡擁堵 l 消耗系統(tǒng)資源 l 留下安全隱患 l 與防火墻互動 l 交換機聯(lián)動 l 通知HIDS(基于主機的入侵檢測) l 報警 5 “熊貓燒香”病毒剖析 “熊貓燒香”病毒感染機理:“熊貓燒香”,是一個感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件,使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。 病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部,并在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址,用戶一但打開了該文件,IE就會不斷的在后臺點擊寫入的網(wǎng)址,達到增加點擊量的目的。 總 結 計算機病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。計算機病毒可通過各種渠道感染其它用戶。在某情況下導致計算機工作失常。所以在我們的日常生活中,對計算機的日常使用要格外小心,不但要掌握一些簡單的病毒處理方法,還要掌握一些專業(yè)的殺毒知識,這樣才能在日常生活中做到輕松的使用計算機而不會被病毒困擾。 參 考 文 獻 1 郝文化.防黑反毒技術指南[M].機械工業(yè)出版社,2004 2 吳萬釗,吳萬鐸.計算機病毒分析與防治大全[M].學苑出版社,1993 3 譚瑛.計算機網(wǎng)絡的安全威脅及防御機制研究[J].電腦知識與技術,2009 4 齊赫.計算機網(wǎng)絡病毒的預防[D].北京:科技創(chuàng)新導版,2008 5 張仁斌,李鋼,侯整風.計算機病毒與反病毒技術[M].清華大學出版社,2006 6 卓新建,鄭康鋒,辛陽.計算機病毒原理與防治[M].北京郵電大學出版社,2007 7 Mark A. Sportsk. 計算機聯(lián)網(wǎng)技術大全,袁兆山,等譯,北京:機械工業(yè)出版社,1998 8 陳寧、陳博麗.計算機病毒的特點與防范措施[D],哈爾濱:經濟技術協(xié)作信息.2010 精選word范本!- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- 計算機病毒 解析 防范
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經上傳用戶書面授權,請勿作他用。
鏈接地址:http://www.hcyjhs8.com/p-5439077.html