计算机病毒的解析与防范措施
学号:
计算机病毒的解析与防范措施
分 院 计算机科学与技术
专 业 网络工程
班 级 网本
姓 名
指 导 教 师
2012 年 月 日
商丘学院
毕业设计(论文)
摘要
随着计算机在社会生活各个领域的广泛应用,以及电脑的普及和网络的迅猛发展,计算机病毒呈现愈演愈烈的趋势,严重影响了正常人类社会生活,给计算机系统带来了巨大的潜在威胁和破坏。目前,计算机病毒已成为困扰计算机系统安全和计算机应用的重大问题。为了确保信息的安全和畅通,从计算机的病毒概念入手,分析计算机的病毒的内涵及类型,并对计算机病毒来源进行分析,最后介绍计算机病毒的主要防护措施。本文的一个主要目的是提醒每个计算机工作者和计算机用户都必须时刻注意防范计算机病毒的侵袭和其它不安全因素,并教给他们一些基本防护知识,以确保用户不受计算机病毒的困扰。
关键词:计算机病毒,潜在威胁,来源,防护
Abstract
Summary of the analysis and prevention of computer viruses with the wider use of computers in various fields of social life, development and the rapid spread of computers and networks, computer viruses growing trend, seriously affected the normal human social life, brought huge potential threat and damage to the computer system. At present, the computer virus has become the major problems besetting the security in computer systems and computer applications. In order to keep information secure and free from compute r virus concept, connotation and types of analyses of computer viruses, and to analyze the source of computer viruses, and finally describes the main computer virus protection measures. Keywords: virus threat source protection one of the paper's major purpose is to remind each computer scientists and computer user must always pay attention to guard against computer viruses and other unsafe factors, and to teach them some basic knowledge of prevention, to ensure that users from computer virus problems.
Key words:c omputer viruses,potential threat,source,prevention
目录
绪论 (1)
1、计算机病毒的概念及特征 (1)
1.1、计算机病毒的定义及特征 (1)
1.1.1、计算机病毒的定义 (1)
1.1.2、计算机病毒具有的特点 (1)
1.2、计算机病毒的分类 (3)
1.3、计算机病毒的症状及类型 (5)
1.3.1、计算机病毒的症状 (5)
1.3.2、计算机病毒类型: (5)
1.4、计算机病毒的来源及传播方式 (6)
1.4.1、计算机病毒的来源 (6)
1.4.2、计算机病毒的传播方式 (6)
1.5、计算机病毒的危害 (7)
2、计算机病毒的预防、检测 (8)
2.1、计算机病毒防范的概述和基本原则 (8)
2.2、计算机病毒防范基本技术 (8)
2.3、计算机病毒的检测 (9)
3、计算机病毒的清理 (11)
3.1、清除计算机病毒的基本方法 (11)
3.2、典型计算机病毒的原理、防范和清除 (11)
3.2.1、引导区计算机病毒 (11)
3.2.2、文件型计算机病毒 (12)
3.2.3、脚本型计算机病毒 (12)
4结论 (13)
致谢 (14)
参考文献 (15)
绪论
入了信息社会,创造了计算机,计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全,计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨大浪费,人们称计算机病毒为“21世纪最大的隐患”,目前由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。因此,研究计算机病毒及防范措施技术具有重要意义。
1、计算机病毒的概念及特征
1.1、计算机病毒的定义及特征
1.1.1、计算机病毒的定义
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
1.1.2、计算机病毒具有的特点
(1)寄生性
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2)可执行性
计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。在病毒运行时,与合法程序争夺系统的控制权。计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性等活性,也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。
(3)传染性
传染性是病毒的基本特征。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会
继续进行传染。
(4)破坏性
所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统的正常运行的话,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。但并非所有的病毒都对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果[1]。
(5)潜伏性
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
(6)隐蔽性
病毒一般是具有很高编程技巧,短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾在计算机内发生过什么。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1K字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉[2]。
(7)针对性
计算机病毒一般都是针对于特定的操作系统,比如说微软的Windows98、2000和XP。
还有针对特定的应用程序,现在比较典型的微软的Outlook、IE、服务器,叫CQ 蠕虫,通过感染数据库服务器进行传播的,具有非常强的针对性,针对一个特定的应用程序或者就是针对操作系统进行攻击,一旦攻击成功,它会发作。这种针对性有两个特点,一个是如果对方就是他要攻击的机器,他能完全对操作系统获得对方的管理权限,就可以肆意妄为。还有如果对方不是他针对的操作系统,比如对方用的不是微软的Windows,用的可能是Unix,这种病毒就会失效。
(8)可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
(9)不可预见性
从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的
1.2、计算机病毒的分类
根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类为如下:
(1)根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
(2)根据病毒特有的算法,病毒可以划分为:
①伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是https://www.360docs.net/doc/cf12977712.html,。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件[3]。
②“蠕虫”型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
③寄生型病毒:除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
④诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
⑤变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成
(3)按寄生方式分为引导型病毒、文件型病毒和混合型病毒
①引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。
②文件型病毒是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。如1575/1591病毒、848病毒感染.COM和.EXE等可执行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。
③复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。这种病毒有Flip病毒、新世际病毒、One-half病毒等[4]。
1.3、计算机病毒的症状及类型
1.3.1、计算机病毒的症状
(1)计算机系统运行速度减慢。
(2)计算机系统经常无故发生死机。
(3)计算机系统中的文件长度发生变化。
(4)计算机存储的容量异常减少。
(5)系统引导速度减慢。
(6)丢失文件或文件损坏。
(7)计算机屏幕上出现异常显示。
(8)计算机系统的蜂鸣器出现异常声响。
(9)磁盘卷标发生变化。
(10)系统不识别硬盘。
1.3.2、计算机病毒类型:
(1)系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特征是可以传染windows操作系统的*.exe 和*.dll 文件,并经由过程这些文件进行传布。如CIH病毒。
(2)蠕虫病毒。蠕虫病毒的前缀是:Worm。这种病毒的公有特征是经由过程收集或者舷 裂痕进行传布,很大部门的蠕虫病毒都有向外发送带毒邮件,梗阻收集的特征。好比冲击波(梗阻收集),细雨差(发带毒邮件)等。
(3)木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特征是经由过程收集或者舷 裂痕进入用户的系统并潜匿,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程节制。木马、黑客病毒往往是核对呈现的此刻这两种类型都越来越趋向于整合了。一般的木马如QQ动静尾巴木马Trojan.QQ3344,还有巨匠可能碰见斗劲多的针对收集游戏的木马病毒如Trojan.LMir.PSW.60。
(4)剧本病毒。剧本病毒的前缀是:Script。剧本病毒的公有特征是使用剧本说话编写,经由过程网页进行的传布的病毒,如红色代码(Script.Redlof)。剧本病毒还会有如下前缀:VBS、JS(剖明是何种剧本编写的),如欢喜年光(VBS.Happytime)等。
(5)宏病毒。其实宏病毒是也是剧本病毒的一种,因为它的非凡性,是以在这里零丁
算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有此外)其中之一。如:驰誉的斑斓莎(Macro.Melissa)[5]。
1.4、计算机病毒的来源及传播方式
1.4.1、计算机病毒的来源
(1)搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒, 例如象圆点一类的良性病毒。
(2)软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁, 不如在其中藏有病毒对非法拷贝的打击大, 这更加助长了各种病毒的传播。
(3)旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒, 就是雇员在工作中受挫或被辞退时故意制造的。它针对性强, 破坏性大, 产生于内部, 防不胜防。
(4)用于研究或有益目的而设计的程序, 由于某种原因失去控制或产生了意想不到的效果。
1.4.2、计算机病毒的传播方式
(1)通过电子邮件进行传播。病毒附着在电子邮件中,一旦用户打开邮件,病毒就会被激活并感染电脑,对本地进行一些有危害性的操作。常见的电子邮件病毒一般由合作单位或个人通过E-mail 上报、FTP上传、Web提交而导致病毒在网络中传播。
(2)利用系统漏洞进行传播,由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,这就是系统漏洞。病毒往往利用系统漏洞进入系统,达到传播的目的。
(3)通过MSN、QQ等即时通信软件进行传播。有时候频繁的打开即时通讯工具传来的网址、来历不明的邮件及附件、到不安全的网站下载可执行程序等,都会导致网络病毒进入计算机。现在很多木马病毒可以通过MSN、QQ等即时通信软件进行传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。
(4)通过网页进行传播。网页病毒主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序,JavaScript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,给用户系统带来不同程度的破坏。
(5)通过移动存储设备进行传播。移动存储设备包括我们常见的软盘、磁带、光盘、
移动硬盘、U盘(含数码相机、MP3等),病毒通过这些移动存储设备在计算机间进行传播[6]。
1.5、计算机病毒的危害
病毒对计算机的危害非常大,其主要表现在下面几个方面:
(1)使磁盘空间减少和对信息进行破坏。病毒虽然都是短小精悍韵程序,一般只几十个字节到几百K,但由于它有很强的繁殖性,寄生在磁盘上的病毒总要非法占用一部分磁盘空间。如:引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区,被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS功能进行传染,这些DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去,使得每个文件不同程度的加长,占用更多的磁盘空间,造成磁盘空间的严重浪费。
(2)使计算机的运行速度变慢。计算机病毒是一组计算机指令或者程序代码,它要实行传播和破坏就必须要运行,在进行传播时会插入非法的操作,特别是传染存储设备时,计算机速度会明显变慢。同时由于病毒为了判断传染激发条件,要对计算机的工作状态进行监视,这必然也会使计算机的运行速度变慢。还有一些病毒为了保护自己,对自身进行了加密,CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU 指令再执行,执行完成后又要运行一段加密程序以达到保护病毒本身的目的,这样CPU就需要额外执行数千条甚至上万条的指令,这也会使计算机运行速度变慢。
(3)占用系统资源。计算机病毒一般都是随系统同时加载到内存的,肯定要占用计算机的内存空间,有些大的病毒还在计算机内部自我复制,导致计算机内存大幅度减少。病毒运行时还抢占中断、修改中断地址,在中断过程中加入病毒的“私货”,必然也会占用大量的CPU时间,干扰系统的正常运行。
(4)死机。兼容性是计算机软件的一项重要指标,兼、容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件“挑肥拣瘦”,对机型和操作系统版本等都有一定的要求。病毒一般都是编制者在特定的计算机环境下编制的,不会在各种计算机环境下进行测试,因此病毒的兼容性较差,常常会导致死机。
(5)计算机病毒错误与不可预见的危害。一个完善的计算机软件需要耗费大量的人力、物力,经过长时间多环境的调试和完善,软件才能推出。但计算机病毒一般是个别人在一台计算机上匆匆编制调试后快速向外放送的,这就难免会造成病毒本身存在不同程度的错误。还有就是有些初学计算机者尚不具备独立编制软件的能力,出于好奇或其他原因
修改别人的病毒,造成错误,生成变种病毒。而计算机病毒错误所产生的后果往往是不可预见的,大量含有未知错误的病毒扩散传播,其后果更是难以预料的[7]。
(6)给用户造成心理压力。据有关计算机销售部门统计,计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60%以上。经检测确实存在病毒的约占70%,另有30%情况只是刚户怀疑,而实际上计算机并没有病毒。用户怀疑计算机感染病毒的理由多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的,但又不全是。大多数用户对病毒采取宁可信其有的态度,这对于保护计算机安全元疑是十分必要的,然而往往要付出时间、金钱等方面的代价。不仅是个人用户,在一些大型网络系统中也会为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力,极大地影响了现代计算机的使用效率,由此带来的各类损失是难以估量的。
2、计算机病毒的预防、检测
2.1、计算机病毒防范的概述和基本原则
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,即使发现计算机病毒入侵,并采取有效的手段组织计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。原则上以防御计算机病毒为主动,主要表现在检测行为的动态性和防范方法的广谱性。
2.2、计算机病毒防范基本技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏,实际上它是一种特征判定技术,也可能是一种行为规则的判定技术。也就是说,计算机病毒的预防是根据计算机病毒程序的特征对计算机病毒进行分类处理,而后在程序运行中凡有类似的特征点出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作,以达到保护系统的目的。计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。计算机病毒的预防应该包括两个部分:对已知计算机病毒的预防和对未来计算机病毒的预防。目前,对已知计算机病毒预防可以采用特征判定技术或静态判定技术,对未知计算机病毒的预防则是一种行为规则的判定技术即动态判定技术。
计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵,就拦截、阻止计算机病毒的入侵或立即警报。目前在预防计算机病毒工具中主要采用的主要技术如下:
(1)将大量的消毒/杀毒软件汇集一体,检查是否存在已知计算机病毒,如在开机时或在执行每一个可执行文件前执行扫描程序。这种工具的缺点是:对变种或未知计算机病毒无效,系统开销大,常驻内存,每次扫描都要花费一定时间,已知计算机病毒越多、扫描时间越长等[8]。
(2)检测一些计算机病毒经常要改变的系统信息,如引导区、中断向量表、可用内存空间等,以确定是否存在计算机病毒行为。其缺点是:无法准确识别正常程序与计算机病毒程序的行为,常常报警,而频频误报警的结果是使用户失去对计算机病毒的戒心。
(3)监测写盘操作,对引导区(BR)或主引导区(MBR)的写操作报警。若有一个程序对可执行文件进行写操作,就认为该程序可能是计算机病毒,阻击其写操作并报警。其缺点是:一些正常程序与计算机病毒程序同样有写操作,因而被误报警。
(4)对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。其优点是:易于早发现计算机病毒,对已知和未知计算机病毒都有防止和抑制能力。
(5)智能判断型:设计计算机病毒行为过程判定知识库,应用人工智能技术,有效区分正常程序与计算机病毒程序行为,是否误报警取决于知识库选取的合理性。其缺点是:单一的知识库无法覆盖所有的计算机病毒行为,如对不驻留内存的新计算机病毒就会漏报。
(6)智能监察型:设计计算机病毒特征库(静态)、计算机病毒行为知识库(动态)、受保护程序存取行为知识库(动态)等多个知识库及相应的可变推理机制。通过调整推理机制,能够对付新类型计算机病毒,误报和漏报较少。这是未来预防计算机病毒技术发展的方向。
2.3、计算机病毒的检测
早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
(1)特征代码法
特征代码法是检测已知病毒的最简单、开销最小的方法。它的实现是采集已知病毒样本。病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒[9]。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。
其缺点是
①速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000种病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
②不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。
③不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的"好文件",而不能报警,被隐蔽性病毒所蒙骗。
(2)校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
(3)行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的优点:可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的缺点:可能误报警、不能识别病毒名称、实现时有一定难度。
(4)软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态
性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
3、计算机病毒的清理
3.1、清除计算机病毒的基本方法
清除计算机病毒烦人方法需按照病毒的性质入手,根据其特点不同选用不同的处理办法,或者使用。
(1)简单的工具治疗
简单工具治疗是指使用Debug等简单的工具,借助检测者对某种计算机病毒的具体知识,从感染计算机病毒病毒的软件中摘除计算机代码。但是,这种方法同样对检测者自身的专业素质要就较高,而且治疗效率也较低。
(2)专用的工具治疗
使用专用工具治疗被感染的程序是通常使用的治疗方法。专用计算机病毒治疗工具,根据对计算机病毒特征的记录,自动清除感染程序中的计算机病毒代码,使之得以恢复。使用专用工具治疗计算机病毒时,治疗操作简单、高效。从探索与计算机病毒对抗的全过程来看,专用工具的开发商也是先从使用简单工具进行治疗开始,当治疗获得成功后,再研制相应的软件产品,使计算机自动地完成全部治疗操作。
3.2、典型计算机病毒的原理、防范和清除
3.2.1、引导区计算机病毒
系统引导区在引导系统的时候,进入到系统中,获得对系统的控制权,在完成其自身的安装后才去引导系统的。称其为引导区计算机病毒时因为这类计算机病毒一般是都入侵系统硬盘的主引导扇区I/O分区的引导扇区,对于软盘则侵占了软盘的引导扇区。
它会感染在该系统中进行读写操作的所有软盘,然后再有这些软盘以复制的方式和引导进入到其他计算机系统,感染其他计算机的操作系统。
如何检测呢?
(1)查看系统内存的总量与正常情况进行比较。
(2)检查系统内存高端的内容。
(3)检查系统的INT 13H中断向量。
(4)检查硬盘的主引导扇区、DOS分区引导扇区以及软盘的引导区。
清除:
用原来正常的分区信息或引导扇区信息,覆盖掉计算机病毒程序。此时,如果用户事件先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息,那么,恢复工作变得非常简单。可以直接用Debug将这两种引导扇区的内容分别调入内存,然后分别回它的原来位置,这样就消除了计算机。
3.2.2、文件型计算机病毒
文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上,当文件装入系统执行的时候,引导计算机病毒程序也进入到系统中。只有极少计算机病毒程序感染数据文件。
此类病毒感染对象大多是系统的可执行文件,也有一些还要对覆盖文件进行传染,而对数据进行传染的则少见。
清除:
(1)确定计算机病毒程序的位置,是驻留在文件尾部还是文件首部。
(2)找到计算机病毒程序的首部位置(对应于在文件尾部驻留方式),或者尾部位置(对应于文件首部驻留方式)。
(3)恢复原文件头部的参数。
(4)修改文件长度,将源文件写回。
3.2.3、脚本型计算机病毒
主要采用脚本语言设计的病毒称其为脚本病毒。实际上在早期的系统中,计算机病毒就已经开始利用脚本进行传播和破坏,不过专门的脚本病毒并不常见。但是在脚本应用无所不在的今天,脚本病毒却成为危害最大,最为广泛的病毒,特别是当他和一些传统的恶性病毒相结合时,其危害就更为严重了。其主要有两种类型,纯脚本型,混合型它的主要特点:
编写简单;破坏力大;感染力强;传播范围大(多通过E-mail,局域网共享,感染网页文件的方式传播);计算机病毒源码容易被获取,变种多;欺骗性强;使用计算机病毒生产机事先起来非常容易。
清除方法:
(1)禁用文件系统对象FileSystemObject。
(2)写在Windows Scripting Host。
(3)删除vbs,vbe,js,jse,文件后缀与应用程序映射。
(4)在Windows目录中,找到WScript.exe,更改名称或者删除。
(5)要彻底防止vbs网络蠕虫病毒,还需要设置一下浏览器。
(6)禁止OE的自动收发电子邮件功能。
(7)显示所有文件类型的扩展名称。
(8)将系统的网络连接的安全级别设置至少为“中等”。
4结论
通过三个月的努力,在老师和同学的帮助下我基本上完成了我的论文,这篇论文的主要内容就是围绕计算机病毒的解析与防范措施来写的,其实就是让我们了解计算机病毒的一些基本特征和状况,这篇论文第一章讲了一些计算机病毒的概念和一些基本特征,第二章讲了防火墙的功能,让我们了解防火墙的一些功能,让我们利用防火墙的功能更好地去预防计算机病毒的攻击。第三章讲了一些计算机病毒的预防、检测、清除的基本方法和一些防毒产品介绍,让我们能在第一时间清除病毒,也让我们了解到当今这个病毒发展很快的时代我们应该这样更有效的来预防病毒,来保证我们计算机的安全。
致谢
在本次论文设计过程中,张艳晓老师对该论文从选题,构思到最后定稿的各个环节给予细心指引与教导,使我得以最终完成毕业论文设计。在学习中,老师严谨的治学态度、丰富渊博的知识、敏锐的学术思维、精益求精的工作态度以及侮人不倦的师者风范是我终生学习的楷模,导师们的高深精湛的造诣与严谨求实的治学精神,将永远激励着我。这四年中还得到众多老师的关心支持和帮助。在此,谨向老师们致以衷心的感谢和崇高的敬意!
其次,感谢身边所有的朋友与同学,谢谢你们四年来的关照与宽容,与你们一起走过的缤纷时代,将会是我一生最珍贵的回忆。
最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢
参考文献
1 秦志光,张凤荔.计算机病毒原理与防范[M].北京:人民邮电出版社.2007:112-254.
2 程胜利.计算机病毒及其防治技术[M].北京:清华大学出版社,2007:223-233.
3 林铁瀛.计算机病毒预防及处理分析[J].民营科技,2011年,124(04):54-54.
4 李炳吉,赵伟霞.如何应对计算机病毒[J],中国信息技术教育,2011年,204 (06):105-105.
5 李望.复杂网络视角下的计算机病毒传播研究进展[D].四川:内江科技,2009年.
6 邓海超.计算机病毒的分析与防御[D]. 重庆:中文科技期刊,2009年.
7 齐赫.计算机网络病毒的预防[D].北京:科技创新导报,2008年.
8 陈宁,陈博丽.计算机病毒的特点与防范措施[D],哈尔滨:经济技术协作信息,2010年.
9 J Lopez Gondar, R. Cipolatti. A Mathematical Model for Virus Infection in a System of
Interacting Computers[J]. Computational and Applied Mathematics, 2003, 22(2): 209~231.