智能 计算机病毒论文文档格式.docx
《智能 计算机病毒论文文档格式.docx》由会员分享,可在线阅读,更多相关《智能 计算机病毒论文文档格式.docx(21页珍藏版)》请在冰豆网上搜索。
3典型计算机病毒……………………………………………………………(22)
3.1引导区计算机病毒…………………………………………………………(22)
3.2文件型的计算机病毒………………………………………………………(23)
3.3脚本型计算机病毒…………………………………………………………(23)
3.4特洛伊木马病毒……………………………………………………………(24)
3.5蠕虫病毒……………………………………………………………………(24)
4计算机病毒的发展趋势………………………………………………………(25)
1计算机病毒的概述
有计算机的地方就会伴随着计算机病毒。
说起计算机病毒,想必计算机的使用者都不会陌生了,因为我们时刻都在与它斗争着。
很多人对计算机病毒憎恶但又充满了好奇,对病毒的制造者既痛恨又敬畏。
计算机病毒当然不值得崇拜,它给个人和国家带来了太多的损失了,每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元,而且还以逐年递增的趋势增长。
但与此同时,它也促进了信息安全产业的发展,比如反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术等等……这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程度上缓解了计算机病毒造成的巨大破坏力,同时,越来越多的个人和企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。
但稻草毕竟是稻草,救得了一时不一定救得了一世。
目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发,无论从产品线还是从技术角度来讲,都已经达到了相当完善的程度。
但是,再好的产品,如果不懂得如何去使用,发挥不了产品真正的优势,又与稻草有什么区别呢?
很多用户在被病毒感染以后才想起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新月异的病毒攻击呢?
那么,如何将手中的稻草变成强大的武器,当危险临近时,能够主动出击,防患于未然呢?
笔者认为,关键的问题在于对“对手”的了解。
我们要能未雨绸缪,配合手中的工具,防患于未然。
1.1计算机病毒的定义
计算机病毒与医学上的“病毒”不同,它不是天然存在的,而是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。
由于它与医学上的“病毒”同样具有传染和破坏的特性,例如,具有自我复制能力、很强的感染力、一定的潜伏性、特定的触发性和很大的破坏性等等,因此由生物医学上的“病毒”概念引申出“计算机病毒”这一名词。
从广义上来说,凡是能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
依据此定义,诸如逻辑炸弹,蠕虫等都可称为计算机病毒。
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在条例第二十八条明确指出:
“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
1.2计算机病毒的产生与发展
人类创造了电子计算机之后,也制造了计算机病毒。
自从1983年发现了全世界首例计算机病毒以来,病毒的数量已达三十多万种,并且这个数字还在高速增长。
计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。
也许有人会问:
“计算机病毒是哪位先生发明的?
”这个问题至今还没有一个确切的说法,下面是其中有代表性的几种:
(1)科学幻想起源说
1977年,美国科普作家托马斯.丁.雷恩推出轰动一时的《P-1的青春》一书。
作者构思了一种能自我复制,利用信息通道传播的计算机程序,并称之为计算机病毒。
这是世界上第一个幻想出来的计算机病毒。
我们的很多科学技术都是先幻想之后才产生的,因此,这种科学幻想起源说也是有理有据的。
(2)恶作剧起源说
这种说法是认为计算机病毒是那些对计算机知识和技术均有兴趣的人,他们或是要显示自己在计算机方面的天赋,或是报复他人或单位从而编制一些程序来显示自己的才能且满足自己的虚荣心,他们的出发点多少有些恶意的成分在内,世界上流行的许多计算机病毒都是恶作剧者的产物。
(3)游戏程序起源说
据说20世纪70年代,美国贝尔实验室的计算机程序员为了娱乐,在自己的实验室的计算机上编制吃掉对方程序的程序,看谁先把对方的程序吃光,有人猜测这是世界上第一个计算机病毒。
(4)软件商保护软件起源说
计算机软件是一种知识密集型的高科技产品,由于对软件资源的保护不尽合理,使得许多合法的软件被非法复制,从而使得软件制造商的利益受到了严重的侵害,因此,软件制造商为了处罚那些非法复制者并保护自己的商业利益,在软件产品之中加入计算机病毒程序并由一定条件触发并感染。
IT行业普遍认为,从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒,计算机病毒主要经历了如下发展阶段:
(1)DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。
引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。
1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。
(2)DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,该类型的典型代表为“耶路撒冷”、“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。
1990年,发展为复合型病毒,可感染.COM和.EXE文件。
(3)伴随、批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。
具有代表性的有“金蝉”计算机病毒,它感染.EXE文件时生成一个和.EXE同名的扩展名为.COM伴随体,它感染.COM文件时,改原来的.COM文件为同名的.EXE文件,这样,在DOS加载文件时,病毒就取得控制权。
这类计算机病毒的特点是不改变原来的文件内容、日期及属性,接触计算机病毒时只要将其伴随体删除即可。
(4)幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一些看似随机的代码产生相同的运算结果。
幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。
例如,“一半”计算机病毒就是产生一段有上亿种可能的解码运算程序,计算机病毒体被隐藏在解码前的数据中,查解这类计算机病毒就必须要对这段数据进行解码,这就加大了查毒的难度。
(5)生成器、变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。
当生成的是计算机病毒时,这种复杂的称之为病毒生成器和变体机的病毒就产生了。
具有典型代表的是“计算机病毒制造机VCL”,它可以在瞬间制造出成千上万种不同的计算机病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解计算机病毒。
(6)网络、蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。
在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
(7)Windows病毒阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是“DS.3873”,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。
(8)宏病毒阶段
1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。
在Excel和AmiPro出现的相同工作机制的病毒也归为此类。
(9)Internet阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。
1.3计算机病毒的特性
寄生性。
计算机病毒和生物病毒一样,需要宿主。
计算机病毒会寄生在其他程序之中,当执行这个程序时,病毒就会发挥作用,而在未启动这个程序之前,它是不易被人发觉的。
隐蔽性。
计算机病毒要想不容易被发现的话,就需要隐藏起来。
它是一种隐藏性很高的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。
潜伏性。
并不是所有的病毒都能马上发作的,有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。
比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。
可触发性。
病毒因满足特定的时间或日期,期待特定用户识别符出现,特定文件的出现或使用,一个文件使用的次数超过设定数等,诱使病毒实施感染或进行攻击的特性称为可触发性。
为了隐蔽自己,病毒必须潜伏,少做动作。
如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。
病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。
传染性。
病毒也会传染,一台计算机如果感染了病毒,那么曾在这台计算机上使用过的移动硬盘或U盘往往已经感染上了病毒,而与这台计算机联网的其他计算机也会被感染的。
由于目前计算机网络飞速发展,所以它能在短时间内进行快速传染。
流行性。
计算机病毒传染表现大都与时间相关,就像生物领域的流行病一样,一定的时间内爆发、流行,等相应的杀毒软件开发出来后,就趋向减少,甚至消失为止。
除了上述特点以外,计算机病毒还具有不可预见性、衍生性、针对性、欺骗性、持久性等特点。
正是由于计算机病毒具有这些特点,所以给计算机病毒的预防、检测与清除工作带来了很大的难度。
随着计算机应用的不断发展,计算机病毒又出现一些新的特性如:
利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动等。
1.4计算机病毒的分类
根据计算机病毒破坏的能力分类:
无害型:
除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:
这类病毒仅仅是减少内存、显示图像、发出声音等。
危险型:
这类病毒在计算机系统操作中造成严重的错误。
非常危险型:
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
例如CIH病毒。
根据计算机病毒的破坏情况分类:
良性病毒:
是指包含立即对计算机系统产生直接破坏作用的代码。
这类病毒为了表现其存在,只是不停地进行传播,从一台计算机传染到另一台,并不破坏计算机系统和数据,但它会使系统资源急剧减少,可用空间越来越少,最终导致系统崩溃。
如国内出现的小球病毒。
恶性病毒:
是指在代码中包含损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接破坏作用的计算机病毒。
它们往往封锁、干扰、中断输入输出、破坏分区表信息、删除数据文件,甚至格式化硬盘等。
如米开朗基罗病毒,当其发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据丢失。
需要指出的是,良性和恶性是相对比较而言的。
按计算机病毒特有的算法分类:
伴随型病毒:
这一类病毒并不改变文件本身,它们根据算法产生.EXE文件的伴随体,具有同样的名字和不同的扩展名(.COM),例如:
XCOPY.EXE的伴随体是XCOPY.COM。
计算机病毒把自身写入.COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒:
这类病毒将计算机网络地址作为感染目标,利用网络从一台计算机的内存传播到其他计算机的内存,将自身通过网络发送。
蠕虫通过计算机网络传播,不改变文件和资料信息,除了内存,一般不占用其他资源。
寄生型病毒:
除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
诡秘型病毒:
它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术,利用DOS空闲的数据区进行工作。
变型病毒:
这一类病毒使用一个复杂的算法,使自己每传播一份都具有不
同的内容和长度。
它们一般的作法是由一段混有无关指令的解码算法和被变化过的病毒体组成。
按计算机病毒的工作方式分类:
引导型病毒的工作方式如图所示:
文件型病毒的工作方式:
在目前已知的病毒中,大多数属于文件型病毒。
文件型病毒一般只传染磁盘上的可执行文件(.COM、.EXE)。
在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。
其常见的传染方式是附着于正常程序文件中,成为程序文件的一个外壳或部件。
文件型病毒的工作方式如图所示:
图文件型病毒的工作方式
混和型病毒工作方式:
混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。
这种病毒的原始状态是依附在可执行文件上,以该文件为载体进行传播。
当被感染文件执行时,会感染硬盘的主引导记录。
以后用硬盘启动系统时,就会实现从文件型病毒转变为引导型病毒。
例如BloodBound.A,该病毒也称为Tchechen.3420,主要感染.COM、.EXE和.MBR文件。
它将自己附着在可执行文件的尾部,将破坏性的代码放入MBR中,然后清除硬盘中的文件。
宏病毒的工作方式:
宏病毒是利用宏语句编写的。
它们通常利用宏的自动化功能进行感染,当一个感染的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。
Office中的Word、Excel和PowerPoint都有宏。
Java病毒工作方式:
Java是由Sun公司创建的一种用于互联网环境中的编程语言。
Java应用程序不会直接运行在操作系统中,而是运行在Java虚拟机(JVM)上。
因此用Java编写的应用程序的移植性非常强,包括现在的手机中的一些程序也是用Java编写的。
JavaApplet是一种内嵌在HTML网页中的可携式Java小程序。
具有Java功能的浏览器可以运行这个小程序。
JavaApplet可供Web开发人员建立含有功能更丰富的交互式动态Web网页。
它们会在使用者访问网页时被执行。
黑客、病毒作者或其他恶意人士可能会用Java恶意程序代码当作武器攻击使用者的系统。
网络病毒工作方式:
随着互联网的高速发展,计算机病毒从原来的磁盘进行传播发展到现在的通过网络的漏洞进行传播。
到如今,网络病毒已经成为计算机网络安全的最大威胁之一。
网络病毒中又以蠕虫病毒出现最早,传播最为广泛,例如“冲击波”、“红色代码”病毒等。
脚本病毒工作方式:
脚本病毒也是一种特殊的网络病毒。
脚本是指从一个数据文档中执行一个任务的一组指令,它也是嵌入到一个文件中,常见的是嵌入到网页文件中。
脚本病毒依赖于一些特殊的脚本语言(例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等)。
有些脚本语言,例如VBScript(VisualBasicScript)以及JavaScript病毒,必须通过Microsoft的WindowsScriptingHost(WSH)才能够激活执行以及感染其他文件。
PE病毒工作方式:
PE病毒,是指感染WindowsPE格式文件的病毒。
PE病毒是目前影响力极大的一类病毒。
PE病毒同时也是所有病毒中数量极多、破坏性极大、技巧性最强的一类病毒。
如FunLove、“中国黑客”等病毒都属于这个范畴。
1.5计算机病毒的主要传播途径
计算机病毒要实现传播,有三个关键环节:
(1)带病毒文件的迁移。
即感染病毒的文件从一台计算机复制、迁移到另一台计算机,感染其他计算机。
(2)计算机操作者的触发。
计算机病毒是寄生在受感染文件上的,只有计算机操作者执行或者打开受感染的文件,计算机病毒才有执行的机会,才能取得主机的控制权。
(3)感染。
病毒在取得主机的控制权后,就随时可以寻找合适的目标文件进行感染,把病毒副本嵌入到目标文件中。
2计算机病毒的防范和清除
计算机病毒日益严峻,引起人们越来越大的关注。
它的存在和传播对用户造成了很大的危害,为了减少信息资料的丢失和破坏,这就需要在日常使用计算机时,养成良好的习惯,预防计算机病毒。
并且需要用户掌握一些查杀病毒的知识,在发现病毒时,及时保护好资料,并清除病毒。
2.1计算机病毒防范的概念和原则
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒的侵入必将对系统资源构成威胁,即使是良性病毒,也要占有少量的系统空间,影响系统的正常运行。
特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失,因此,防治计算机病毒应以预防为主。
2.2计算机病毒防范基本技术
计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵,就拦截、阻击计算机病毒的入侵或立即警报。
目前在预防计算机病毒工具中采用的主要技术如下[8]:
1、特征代码技术
特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中,目前被认为是用来检测己知病毒的最简单、开销最小的方法。
防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,每当需要扫描该程序是否有毒的时候,启动杀毒软件程序,以扫描的方式与该病毒码资料库内的现有资料一一比对,如果两方资料皆有吻合之处的话,既判定该程序已遭病毒感染。
特征代码法的实现步骤如下:
1)采集已知
病毒样本。
如果病毒既感染.COM文件,又感染.EXE文件,那么要对这种病毒要同时采集.COM型病毒样本和.EXE型病毒样本。
2)在病毒样本中,抽取病毒特征代码。
在既感染.COM文件又感染.EXE文件的病毒样本中,要抽取两种样本共有的代码。
3)将特征代码纳入病毒数据库。
4)检测文件。
打开被检测文件,检查文件中是否含有病毒码,根据数据库中的病毒特征代码。
如果发现病毒特征代码,由特征代码与病毒一一对应,便可以断定,被查文件所感染的是何种病毒。
2、校验和技术
通常,大多数的病毒都不是单独存在的,它们大都依附或寄生于其它的文档程序,所以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。
这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次汇总并加以记录,将正常文件的内容计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现己知病毒又可发现未知病毒。
运用校验和检查病毒采用三种方式:
1)在检测病毒工具中纳入校验和,对被查的对象文件计算其正常状态的校验和,将校验和写入被查文件中或检测工具中,而后进行比较;
2)在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和。
实现应用程序的自检测;
3)将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
3、行为监测法技术
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
在正常程序中,这些行为比较罕见。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
4、软件模拟技术
多态性病毒每次感染都会变化其病毒密码,对付这种病毒,特征代码法失效。
因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也各不相同,无法找出可能的作为特征的稳定代码。
虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做出杀毒处理,由此出现了一种新的软件模拟法。
有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断:
1、反病毒软件的扫描法
这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也给反病毒软件开发商带来挑战。
但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,病毒的开发和传播是越来越容易了,因而反病毒软件开发公司也是越来越多了。
但目前比较有名的还是那么几个系统的反病毒软件,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。
2、观察法
这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。
如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时,我们首先要考虑的是病毒在作怪,但也不能一条胡同走到底,软、硬件出现故障同样也可能出现那些症状。
对于如此病毒引起的我们可以从以下几个方面来观察:
a、内存观察
这一方法一般用在DOS下发现的病毒,我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况,从中发现病毒占用内存的情况(一般不单独占用,而是