计算机网络安全与技术 病毒防护论文.docx
《计算机网络安全与技术 病毒防护论文.docx》由会员分享,可在线阅读,更多相关《计算机网络安全与技术 病毒防护论文.docx(12页珍藏版)》请在冰豆网上搜索。
计算机网络安全与技术病毒防护论文
计算机网络安全与防护论文
——网络病毒与防范
学院:
信息电子技术学院
专业:
计算机科学与技术
学号:
**********
*****************
摘要
计算机技术和网络技术的飞速发展与广泛应用,将人类社会推入信息化时代,网络应用涉及到国家政治、经济、军事、文化及人们生活、工作的方方面面,如何提高计算机网络系统的安全性和可靠性成为世界各国共同关注的话题,在对常见病毒攻击类型进行分析的基础上,就计算机网络应用病毒防护技术进行探讨。
网络应用涉及到国家政治、经济、军事、文化及人们生活、工作的方方面面,大量私密信息和重要文件存储在用户计算机中,并在网上流通,尤其是企业、政府重要文件一旦泄露,都将造成巨大的损失,困此如何提高计算机网络系统的安全性和可靠性成为世界各国共同关注的话题。
其中,加强计算机网络应用病毒防护,是提高计算机网络系统安全性和可靠性重要途径。
1.计算机病毒基本概念
很多人,尤其是计算机初学者对什么是计算机病毒的了解都不够正确。
其实,计算机病毒与我们工作用的WORD、娱乐用的影音播放器、上网用的IE一样,都是程序,是一段可在计算机中执行的代码。
但与我们所使用的软件不同,组成病毒的程序代码执行后的结果是对计算机的正常运行进行破坏,轻则影响计算机运行速度,重破坏操作系统、应用软件、各类文件使计算机完全瘫痪,给用户造成巨大的损失。
在计算机病毒的传播、触发、执行过程中,计算机病毒具有隐蔽性、寄生性、传染性、触发性、破坏性、不可预见性等特征。
2.计算机病毒的历史
电脑病毒最初的历史,可以追溯至一九八二年。
当时,电脑病毒这个名词还未正式被定义。
该年,RichSkerta撰写了一个名为"ElkCloner"的电脑程式,使其成为了电脑病毒史上第一种感染个人电脑(AppleII)的电脑病毒,它以软磁碟作传播媒介,破坏程度可说是相当轻微,受感染电脑只会在萤光幕上显示一段小小的诗句:
"Itwillgetonallyourdisks
Itwillinfiltrateyourchips
Yesit'sCloner!
Itwillsticktoyoulikeglue
Itwillmodifyramtoo
SendintheCloner!
"
1984―电脑病毒正式被定义
FredCohen于一九八四发表了一篇名为"电脑病毒―理论与实验(ComputerViruses―TheoryandExperiments)"的文章,当中除了为"电脑病毒"一词下了明确的定义外,也描述了他与其他专家对电脑病毒研究的实验成果。
1986―首种广泛传播于MS-DOS个人电脑系统的电脑病毒
首宗恶意并广泛传播的电脑病毒始于一九八六年,该种电脑病毒名为"脑(Brain)",由两位巴基斯坦籍的兄弟所编写,能破坏电脑的起动区(boot-sector),亦被视为第一只能透过自我隐藏来逃避侦测的病毒。
1987―档案感染型病毒(Lehigh和圣诞虫ChristmasWorm)
一九八七年,Lehigh病毒于美国Lehigh大学被发现,是首只档案感染型病毒(Fileinfectors)。
档案感染型病毒主要通过感染.COM档案和.EXE档案,来破坏资料、损毁档案配置表(FAT)或在染毒档案执行的过程中感染其它程式。
1988―首种Macintosh电脑病毒的出现以及CERT组织的成立
第一种袭击麦金塔(Macintosh)电脑的病毒MacMag在这年出现,而"互联网虫"(InternetWorm)亦引起了第一波的互联网危机。
同年,世界第一队电脑保安事故应变队伍(ComputerSecurityResponseTeam)成立并不断发展,也就演变成为今天著名的电脑保安事故应变队伍协调中心(CERTRCoordinationCenter,简称CERTR/CC)。
1990―首个病毒交流布告栏上线和防毒产品的出现
首个病毒交流布告栏(VirusExchangeBulletinBoardService,简称VXBBS)于保加利亚上线,藉以给病毒编程者交换病毒程式码及心得。
同年,防毒产品如McAfeeScan等开始粉墨登场。
1995―巨集病毒的出现
在windows95作业平台初出现时,运行于DOS作业系统的电脑病毒仍然是电脑病毒的主流,而这些以DOS为本的病毒往往未能复制到windows95作业平台上运行。
不过,正当电脑用家以为可以松一口气的时候,于一九九五年年底,首种运行于MS-Word工作环境的巨集病毒(MacroVirus),也正式面世。
1996―Windows95继续成为袭击目标,Linux作业平台也不能幸免
这年,巨集病毒Laroux成为首只侵袭MSExcel档案的巨集病毒。
而Staog则是首只袭击Linux作业平台的电脑病毒。
1998-BackOrifice
BackOrifice让骇客透过互联网在未授权的情况下遥距操控另一部电脑,此病毒的命名也开了微软旗下的Microsoft'sBackOffice产品一个玩笑。
1999―梅莉莎(Melissa)及CIH病毒
梅莉莎为首种混合型的巨集病毒—它透过袭击MSWord作台阶,再利用MSOutlook及OutlookExpress内的地址簿,将病毒透过电子邮件广泛传播。
该年四月,CIH病毒爆发,全球超过6000万台电脑被破坏。
2000―拒绝服务(DenialofService)和恋爱邮件(LoveLetters)"ILoveYou"
此次拒绝服务袭击规模很大,致使雅虎、亚马逊书店等主要网站服务瘫痪。
同年,附著"ILoveYou"电邮传播的VisualBasic脚本病毒档更被广泛传播,终令不少电脑用户明白到小心处理可疑电邮的重要性。
该年八月,首只运行于Palm作业系统的木马(Trojan)程式―"自由破解(LibertyCrack)",也终于出现了。
这个木马程式以破解Liberty(一个运行于Palm作业系统的Gameboy模拟器)作诱饵,致使用户在无意中把这病毒透过红外线资料交换或以电邮的形式在无线网中把病毒传播。
2002―强劲多变的混合式病毒:
求职信(Klez)及FunLove
"求职信"是典型的混合式病毒,它除了会像传统病毒般感染电脑档案外,同时亦拥有蠕虫(worm)及木马程式的特徵。
它利用了微软邮件系统自动运行附件的安全漏洞,藉著耗费大量的系统资源,造成电脑运行缓慢直至瘫痪。
该病毒除了以电子邮件作传播途径外,也可透过网络传输和电脑硬碟共享把病毒散播。
自一九九九年开始,Funlove病毒已为伺服器及个人电脑带来很大的烦脑,受害者中不乏著名企业。
一旦被其感染,电脑便处于带毒运行状态,它会在创建一个背景工作线程,搜索所有本地驱动器和可写入的网络资源,继而在网络中完全共享的文件中迅速地传播。
2003―冲击波(Blaster)and大无极(SOBIG)
"冲击波"病毒于八月开始爆发,它利用了微软作业系统Windows2000及WindowsXP的保安漏洞,取得完整的使用者权限在目标电脑上执行任何的程式码,并透过互联网,继续攻击网络上仍存有此漏洞的电脑。
由于防毒软件也不能过滤这种病毒,病毒迅速蔓延至多个国家,造成大批电脑瘫痪和网络连接速度减慢。
继"冲击波"病毒之后,第六代的"大无极"电脑病毒(SOBIG.F)肆虐,并透过电子邮件扩散。
该"大无极"病毒不但会伪造寄件人身分,还会根据电脑通讯录内的资料,发出大量以‘Thankyou!
',‘Re:
Approved'等为主旨的电邮外,此外,它也可以驱使染毒的电脑自动下载某些网页,使编写病毒的作者有机会窃取电脑用户的个人及商业资料。
2004―悲惨命运(MyDoom)、网络天空(NetSky)及震荡波(Sasser)
"悲惨命运"病毒于一月下旬出现,它利用电子邮件作传播媒介,以"MailTransactionFailed"、"MailDeliverySystem"、"ServerReport"等字眼作电邮主旨,诱使用户开启带有病毒的附件档。
受感染的电脑除会自动转寄病毒电邮外,还会令电脑系统开启一道后门,供骇客用作攻击网络的仲介。
它还会对一些著名网站(如SCO及微软)作分散式拒绝服务攻击(DistributedDenialofService,DDoS),其变种更阻止染毒电脑访问一些著名的防毒软件厂商网站。
由于它可在三十秒内寄出高达一百封电子邮件,令许多大型企业的电子邮件服务被迫中断,在电脑病毒史上,其传播速度创下了新纪录。
防毒公司都会以A、B、C等英文字母作为同一只病毒变种的命名。
网络天空(NetSky)这种病毒,被评为史上变种速度最快的病毒,因为它自二月中旬出现以来,在短短的两个月内,其变种的命名已经用尽了26个英文字母,接踵而至的是以双码英文字母名称如NetSky.AB。
它透过电子邮件作大量传播,当收件人运行了带著病毒的附件后,病毒程式会自动扫瞄电脑硬盘及网络磁碟机来搜集电邮地址,透过自身的电邮发送引擎,转发伪冒寄件者的病毒电邮,而且病毒电邮的主旨、内文及附件档案名称都是多变的。
"震荡波"病毒与较早前出现的冲击波病毒雷同,都是针对微软视窗作业系统的保安漏洞,也不需依赖电子邮件作传播媒介。
它利用系统内的缓冲溢位漏洞,导致电脑连续地重新开机并不断感染互联网上其他电脑。
以短短18天的时间,它取代了冲击波,创下了修补程式公布后最短攻击周期纪录
现在人都知道有电脑病毒,不过,你真正地了解它吗?
希望本文能够让你更深刻地认识病毒,提高我们的安全意识。
3.计算机病毒网络传播方式
随着网络应用的不断深入发展,病毒几乎在网络上泛滥,网络成为病毒入侵计算机的重
要途径,在网络上传播的每一个文件,几乎都可能成为病毒攻击的对象,也都有可能是病毒
传播的载体,其常见的网络传播方式有以下几种:
3.1网络文件下载传播。
在计算机网络高速发展和不断普及的今天,无纸化办公、网上娱乐、网上购物、网络交际、资源共享等成为计算机网络应用的主要内容,在为人们工作和学习提供极大方便的同时,也为计算机病毒大范围、高速度传播提供了更为有利的基础。
计算机病毒开发者针对网络用户文件下载浏览的需要,将病毒封装隐藏在文件之中,这些文件可能是软件安装程序、可能是资料文档、可能是影音图片,当用户下载含有计算机病毒的文件,并将这个看似“正常”的文件打开后,计算机病毒程序代码就被执行感染计算机文件,潜伏在计算机中伺机攻击或者直接发起攻击。
3.2电子邮件附件传播。
电子邮件是互联网重要的应用内容之一,政府机关、企业单位、个人用户,每天有大量的电子邮件在互联网上传递,进行信息的交流和资料的传输,这也成为病毒在网络上进行传播的重要途径,病毒在感染受计算机上的文件之后,一旦用户利用感染了病毒的计算机向其他用户发送文件,病毒就跟随发送的文件通过电子邮件,做好了攻击邮件接收者计算机的准备,当用户接收邮件,并打开随邮件传输的文件时,病毒便趁机进入邮件接收者计算机,达到传播的目的。
此外,有相当数量的黑客、病毒传播者也利用电子邮件达到故意传播病毒的目的,其主要手段是将邮件进行安全性伪装,以欺骗接收者打开邮件中的带毒文件感染病毒。
3.3通过网页内嵌源代码传播。
互联网上大量的信息资源都通过网页的形式进行展示,供互联网用户浏览应用,每一个互联网用户,都有过打开浏览网页的经历,病毒制造者利用网页浏览的这种普遍性,将病毒程序代码段内嵌在网页源代码之中,一旦用户打开了带有病毒代码的网页,病毒代码便随网页代码被执行,感染用户计算机上的文件,达到传播自身的目的。
这种传播方式,常见于一些非法网站中,如色情网站、盗版网站等,而部分黑客在攻击正常网站之后,也有在正常网站网页源代码上留下病毒代码以使访问者感染病毒的案例。
4.计算机病毒实例
计算机病毒的种类有很多,例如①广告软件,一般是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序;②木马病毒,指将自己伪装程某中应用程序来吸引用户下载或执行进而破坏用户计算机数据,造成用户不便或窃取重要信息;③蠕虫病毒,是通过网络传播的一种病毒,近年来最猖狂,影响最广泛的依赖病毒;此外还有网页脚本病毒,即时通信病毒等。
下面以“熊猫烧香”具体解说病毒:
熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染。
对计算机程序、系统破坏严重。
病毒描述:
其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
但原病毒只会对EXE图标进行替换,并不会对系统本身进行破坏。
而大多数是中的病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
中毒症状:
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。
中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
病毒危害:
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。
“熊猫烧香”感染系统的.exe.com.f.src.html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。
在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。
一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。
由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。
注:
江苏等地区成为“熊猫烧香”重灾区。
传播途径:
“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。
金山分析:
这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,
asp等文件,它还能中止大量的反病毒软件进程
1拷贝文件
病毒运行后,会把自己拷贝到C:
\WINDOWS\System32\Drivers\spoclsv.exe
2添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Runsvcshare->C:
\WINDOWS\System32\Drivers\spoclsv.exe
3病毒行为
a:
每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序QQKav,QQAV等并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare->C:
\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe,VsTskMgr.exe等
b:
每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享共存在的话就运行netshare命令关闭admin$共享
c:
每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享共享存在的话就运行netshare命令关闭admin$共享
d:
每隔6秒
删除安全软件在注册表中的键值并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue->0x00
删除以下服务:
navapsvc,wscsvc等
e:
感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW,Winnt等
f:
删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失.瑞星最新病毒分析报告:
“Nimaya(熊猫烧香)”这是一个传染型的DownLoad使用Delphi编写
杀毒方法:
各种版本的熊猫烧香专杀:
瑞星,金山,江民,超级巡警,李俊
虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。
解决办法:
【1】立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:
右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
【2】利用组策略,关闭所有驱动器的自动播放功能。
步骤1:
单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。
最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
【3】修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤2:
打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
【4】时刻保持操作系统获得最新的安全更新,不要随意访问来源不明的网站,特别是微软的MS06-014漏洞,应立即打好该漏洞补丁。
同时,QQ、UC的漏洞也可以被该病毒利用,因此,用户应该去他们的官方网站打好最新补丁。
此外,由于该病毒会利用IE浏览器的漏洞进行攻击,因此用户还应该给IE打好所有的补丁。
如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
【5】启用Windows防火墙保护本地计算机。
同时,局域网用户尽量避免创建可写的共享目录,已经创建共享目录的应立即停止共享。
此外,对于未感染的用户,病毒专家建议,不要登录不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系
5.计算机网络应用病毒防护
互联网的广泛应用在给人们工作和生活带来方便的同时,也给病毒的传播带来了极大的便利,大量病毒滋生、暗藏在网络世界的暗处,随时伺机向网络用户的计算机发起攻击,要在计算机网络应用中作好病毒防护,应从以下几方面入手:
5.1建立有效的病毒防护机制。
在参与网络应用时,用户应给自身所使用的计算机建立起有效的病毒防护机制,如防火墙、杀毒软件等,应当安装完备并使其处于正常运行状态,当防火墙和杀毒软件处于正常工作状态时,如果用户在网络应用中下载到了带有病毒的文件、打开了含有病毒代码的网页、受到了来自黑客的攻击,防火墙和杀毒软件都会立即发生作用,对病毒文件进行查杀,对黑客攻击进行拦截,对病毒代码的执行进行阻止,以保护计算机系统的安全。
虽然杀毒软件和防火墙等为计算机系统提供了有效的保护,但需要注意,应当杜绝盗版杀毒软件和防火墙的使用,而采用正版授权的杀毒软件和防火墙,很多盗版、破解版的杀毒软件本身就是病毒感染者,甚至在破解的过程中被黑客留下了后门漏洞,即便下载之后能够暂时正常使用,也极容易给计算机系统留下安全隐患。
5.2注意来路不明邮件的查收。
对于邮件病毒的防范,需要注意来路不明邮件的查收。
目前,互联网上大量垃圾邮件充斥于各个角落,很多邮件内所带的网络链接或者附件,就是病毒传输的载体,一旦打开了这些网络链接或者附件,就可能感染病毒。
这些邮件往往将自身伪装成安全的形式,欺骗客户打开,也许是看似安全的邮件名,也许是通过伪装的邮件内容,也许是看似无害的一张附件图片,但在其身后隐藏着的是早已经做好攻击准备的病毒。
所以,在打开邮件时,不管是看似安全的邮件,还是垃圾邮件,都应该将防火墙和杀毒软件打开,让计算机系统处于安全保护状态。
5.3及时安装各类补丁。
操作系统、杀毒软件、防火墙软件,这些程序在设计过程中,不管程序设计工程师如何小心谨慎,都有可能会存在缺陷,一旦这些缺陷被病毒制造者所利用,病毒将如入无人之境般畅通无阻的进入用户计算机系统中。
目前,许多新型的病毒都是通过系统漏洞进行传播,比如冲击波病毒、CIH病毒、熊猫烧香等,这些病毒都明利用系统漏洞的迹象,并给用户造成极大的损失。
在使用计算机的时候,一定要随时注意对操作系统、杀毒软件、防火墙以及应用软件进行升级,安装补丁,弥补各种程序漏洞。
不少计算机用户经常会发现在安装补丁之后,计算机系统出现问题甚至崩溃,这种情况一部分与补丁设计上存在缺陷有关,更大的原因是用户所使用的程序并非正版,而是盗版甚至是被病毒制造者进行改装的含毒版。
5.4做好重要数据的备份工作。
不管怎么样对病毒进行防护,都有可能给病毒留下可趁之机,使计算机系统被感染,计算机用户还需要注意做好重要数据的备份和加密工作,这样即便计算机系统感染了病毒,重要数据被泄露或者破坏,也可以将损失降到最低。
参考文献
[1]张明浩,《计算机病毒防范技术探讨》,科技信息(学术报),2007.10.
[2]宗根华,《计算机病毒的产生、特点及其检测防范措施》,世界华商经济年鉴,2009.
[3]王晓刚,《计算机病毒防范的对策与方法》,网络安全技术与应用,2007.4.
[4]孙晓南,《防火墙技术与网络安全》,科技信息,2008.3.