计算机病毒的解析与防范措施Word格式文档下载.docx
《计算机病毒的解析与防范措施Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《计算机病毒的解析与防范措施Word格式文档下载.docx(15页珍藏版)》请在冰豆网上搜索。
关键词:
计算机病毒,潜在威胁,来源,防护
,,,.,.,,,.:
'
s,,.
:
,,,
绪论1
1、计算机病毒的概念及特征1
1.1、计算机病毒的定义及特征1
1.1.1、计算机病毒的定义1
1.1.2、计算机病毒具有的特点1
1.2、计算机病毒的分类3
1.3、计算机病毒的症状及类型5
1.3.1、计算机病毒的症状5
1.3.2、计算机病毒类型:
5
1.4、计算机病毒的来源及传播方式6
1.4.1、计算机病毒的来源6
1.4.2、计算机病毒的传播方式6
1.5、计算机病毒的危害7
2、计算机病毒的预防、检测8
2.1、计算机病毒防范的概述和基本原则8
2.2、计算机病毒防范基本技术8
2.3、计算机病毒的检测9
3、计算机病毒的清理11
3.1、清除计算机病毒的基本方法11
3.2、典型计算机病毒的原理、防范和清除11
3.2.1、引导区计算机病毒11
3.2.2、文件型计算机病毒12
3.2.3、脚本型计算机病毒12
4结论13
致谢14
参考文献15
绪论
入了信息社会,创造了计算机,计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全,计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨大浪费,人们称计算机病毒为“21世纪最大的隐患”,目前由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。
因此,研究计算机病毒及防范措施技术具有重要意义。
1、计算机病毒的概念及特征
1.1、计算机病毒的定义及特征
1.1.1、计算机病毒的定义
计算机病毒()在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
1.1.2、计算机病毒具有的特点
(1)寄生性
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2)可执行性
计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。
在病毒运行时,与合法程序争夺系统的控制权。
计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性等活性,也就是说计算机的控制权是关键问题。
若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。
(3)传染性
传染性是病毒的基本特征。
计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。
而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
(4)破坏性
所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。
同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统的正常运行的话,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。
但并非所有的病毒都对系统产生极其恶劣的破坏作用。
有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果[1]。
(5)潜伏性
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。
潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。
潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。
触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
(6)隐蔽性
病毒一般是具有很高编程技巧,短小精悍的程序。
通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。
目的是不让用户发现它的存在。
如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。
一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。
而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾在计算机内发生过什么。
正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。
病毒一般只有几百或1K字节,而机对文件的存取速度可达每秒几百以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉[2]。
(7)针对性
计算机病毒一般都是针对于特定的操作系统,比如说微软的98、2000和。
还有针对特定的应用程序,现在比较典型的微软的、、服务器,叫蠕虫,通过感染数据库服务器进行传播的,具有非常强的针对性,针对一个特定的应用程序或者就是针对操作系统进行攻击,一旦攻击成功,它会发作。
这种针对性有两个特点,一个是如果对方就是他要攻击的机器,他能完全对操作系统获得对方的管理权限,就可以肆意妄为。
还有如果对方不是他针对的操作系统,比如对方用的不是微软的,用的可能是,这种病毒就会失效。
(8)可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发。
为了隐蔽自己,病毒必须潜伏,少做动作。
如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。
病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。
病毒的触发机制就是用来控制感染和破坏动作的频率的。
病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破动作,使病毒进行感染或攻击;
如果不满足,使病毒继续潜伏。
(9)不可预见性
从对病毒的检测方面来看,病毒还有不可预见性。
不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。
有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。
这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。
使用这种方法对病毒进行检测势必会造成较多的误报情况。
而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的
1.2、计算机病毒的分类
根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类为如下:
(1)根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:
,,等),引导型病毒感染启动扇区()和硬盘的系统引导扇区(),还有这三种情况的混合型,例如:
多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
(2)根据病毒特有的算法,病毒可以划分为:
①伴随型病毒:
这一类病毒并不改变文件本身,它们根据算法产生文件的伴随体,具有同样的名字和不同的扩展名(),例如:
的伴随体是。
病毒把自身写入文件并不改变文件,当加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的文件[3]。
②“蠕虫”型病毒:
通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。
有时它们在系统存在,一般除了内存不占用其它资源。
③寄生型病毒:
除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
④诡秘型病毒:
它们一般不直接修改中断和扇区数据,而是通过设备技术和文件缓冲区等内部修改,不易看到资源,使用比较高级的技术。
利用空闲的数据区进行工作。
⑤变型病毒(又称幽灵病毒):
这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。
它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成
(3)按寄生方式分为引导型病毒、文件型病毒和混合型病毒
①引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。
此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。
②文件型病毒是指能够寄生在文件中的计算机病毒。
这类病毒程序感染可执行文件或数据文件。
如1575/1591病毒、848病毒感染和等可执行文件、等宏病毒感染文件。
③复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。
这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。
当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。
因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。
虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。
这种病毒有病毒、新世际病毒、病毒等[4]。
1.3、计算机病毒的症状及类型
1.3.1、计算机病毒的症状
(1)计算机系统运行速度减慢。
(2)计算机系统经常无故发生死机。
(3)计算机系统中的文件长度发生变化。
(4)计算机存储的容量异常减少。
(5)系统引导速度减慢。
(6)丢失文件或文件损坏。
(7)计算机屏幕上出现异常显示。
(8)计算机系统的蜂鸣器出现异常声响。
(9)磁盘卷标发生变化。
(10)系统不识别硬盘。
(1)系统病毒。
系统病毒的前缀为:
32、、95、W32、W95等。
这些病毒的一般公有的特征是可以传染操作系统的*和*文件,并经由过程这些文件进行传布。
如病毒。
(2)蠕虫病毒。
蠕虫病毒的前缀是:
。
这种病毒的公有特征是经由过程收集或者舷裂痕进行传布,很大部门的蠕虫病毒都有向外发送带毒邮件,梗阻收集的特征。
好比冲击波(梗阻收集),细雨差(发带毒邮件)等。
(3)木马病毒、黑客病毒。
木马病毒其前缀是:
,黑客病毒前缀名一般为。
木马病毒的公有特征是经由过程收集或者舷裂痕进入用户的系统并潜匿,然后向外界泄露用户的信息,而黑客病
升级会员 