病毒入侵微机的途径与防治研究计算机应用论文文档格式.docx
《病毒入侵微机的途径与防治研究计算机应用论文文档格式.docx》由会员分享,可在线阅读,更多相关《病毒入侵微机的途径与防治研究计算机应用论文文档格式.docx(8页珍藏版)》请在冰豆网上搜索。
因此为了确保计算机能够安全工作,计算机病毒的防范工作,已经迫在眉睫。
病毒入侵微机的途径与防治研究
一、计算机病毒的概述
提起计算机病毒,绝大多数计算机的使用者都会深恶痛绝,因为没有“中过招”的人已经是凤毛麟角了。
但在谈虎色变之余,很多人对计算机病毒又充满了好奇,对病毒的制造者既痛恨又敬畏。
但同时,它也催化了一个新兴的产业——信息安全产业。
反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术……这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程度上缓解了计算机病毒造成的巨大破坏,同时,越来越多的企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。
很多用户在被病毒感染以后才想起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新月异的病毒攻击呢?
(一)计算机病毒的定义
一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件)的代码,统称为计算机病毒。
在1994年我国颁布实施的《中华人民共和国计算机系统安全保护条例》中,对计算机病毒有如下定义:
“计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
(二)计算机病毒的产生与发展
自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。
计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。
也许有人会问:
“计算机病毒是哪位先生发明的?
”这个问题至今无法说清楚,但是有一点可以肯定,即计算机病毒的发源地是科学最发达的美国。
虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因,但也没有能够对此作出最后的定论,只能推测电脑病毒缘于以下几种原因:
一、科幻小说的启发;
二、恶作剧的产物;
三、电脑游戏的产物;
四、软件产权保护的结果.
(三)计算机病毒的特性
寄生性:
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
传染性:
传染性是病毒的基本特征。
通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪.
潜伏性:
有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。
隐蔽性:
计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。
破坏性:
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。
通常表现为:
增、删、改、移。
可触发性:
病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。
病毒的触发机制就是用来控制感染和破坏动作的频率的。
病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;
如果不满足,使病毒继续潜伏。
除了上述五点外,计算机病毒还具有不可预见性、衍生性、针对性、欺骗性、持久性等特点。
正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带来了很大的难度。
随着计算机应用的不断发展病毒又出现一些新的特性如:
利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。
(四)计算机病毒的分类计算机病毒的分类
按照科学的、系统的、严密的方法,计算机病毒可分类如下:
按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:
1.按病毒存在的媒体根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:
COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:
多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
2.按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
3.按病毒破坏的能力
无害型:
除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:
这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:
这类病毒在计算机系统操作中造成严重的错误。
非常危险型:
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。
由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。
4.按病毒的算法伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
5.按计算机病毒的工作方式
①引导型病毒的工作方式
②文件型病毒的工作方式在目前已知的病毒中,大多数属于文件型病毒。
文件型病毒一般只传染磁盘上的可执行文件(COM、EXE)。
在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。
其常见的传染方式是附着于正常程序文件,成为程序文件的一个外壳或部件。
③混和型病毒工作方式混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。
这种病毒的原始状态是依附在可执行文件上,以该文件为载体进行传播。
当被感染文件执行时,会感染磁盘的主引导记录。
以后用硬盘启动系统时,就会实现从文件型病毒转变为引导型病毒。
④宏病毒的工作方式宏病毒是利用宏语句编写的。
它们通常利用宏的自动化功能进行感染,当一个感染的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。
Office中的Word、Excel和PowerPoint都有宏。
⑥网络病毒工作方式随着互联网的高速发展,计算机病毒从原来的磁盘进行传播发展到现在的通过网络的漏洞进行传播。
到如今,网络病毒已经成为计算机网络安全的最大威胁之一。
网络病毒中又以蠕虫病毒出现最早,传播最为广泛,例如“冲击波”、“红色代码”病毒等。
⑦脚本病毒工作方式脚本病毒也是一种特殊的网络病毒。
脚本是指从一个数据文档中执行一个任务的一组指令,它也是嵌入到一个文件中,常见的是嵌入到网页文件中。
脚本病毒依赖于一些特殊的脚本语言。
有些脚本语言,必须通过Microsoft的WindowsScriptingHost(WSH)才能够激活执行以及感染其他文件
(五)计算机病毒传播途径关键环节
计算机病毒要实现传播,有三个关键环节:
(1)带毒文件的迁移。
即感染病毒的文件从一台计算机复制、迁移到另一台计算机。
(2)计算机操作者的触发。
计算机病毒是寄生在受感染文件上的,只有计算机操作者执行或者打开受感染的文件,计算机病毒才有执行的机会,才能取得主机的控制权。
(3)感染。
病毒在取得主机的控制权后,就随时可以寻找合适的目标文件进行感染,把病毒副本嵌入到目标文件中。
(六)计算机病毒入侵的途径
随着社会的不断进步科学的不断发展计算机病毒的种类也越来越多,但终究万变不离其宗!
那他们是靠什么途径传播的了?
目前比较常见的病毒入侵的途径有几种:
1.木马入侵木马有可能是黑客在已经获取我们操作系统可写权限的前提下,由黑客上传的;
也可能是我们不小心,运行了包含有木马的程序,最多的情况还是我们防范意识不强,随便运行了别人发来的“好玩”的程序。
所以,我们自己要多加注意,不要随意打开来历不明的电子邮件及文件,不要随便运行别人发来的软件,之前要查毒。
安装木马查杀软件并及时更新。
2.共享入侵是为了方便远程管理而开放的共享,这个功能对个人用户来说用处不大,反而给黑客入侵提供了便利。
个人用户应禁止自动打开默认共享,给自己的帐户设置复杂密码,最好是数字、字母以及特殊符号相结合,安装防火墙。
3.漏洞入侵(InternetInformationServer)服务为Web服务器提供了强大的Internet和Intranet服务功能。
主要通过端口80来完成操作,因为作为Web服务器,80端口总要打开,具有很大的威胁性。
长期以来攻击IIS服务是黑客惯用的手段,远程攻击者只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击,这种情况多是由于企业管理者或网管对安全问题关注不够造成的。
我们要时刻关注微软官方站点,及时安装iis的漏洞补丁。
4.网页恶意代码入侵在我们浏览网页的时候不可避免的会遇到一些不正规的网站,当打开一个网页后,就发现注册表和IE设置被修改了,这就是网页恶意代码造成的破坏,但是这种网页恶意代码有着更大的危害,很有可能在我们不知道的情况下下载木马,蠕虫等病毒,同时把我们的私人信息,帐号泄露出去。
5.通过光盘由于光盘的容量大,对于只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。
为了使软件及相关的数字资源的传播而得到广泛应用。
一些不法分子将病毒刻录到光盘中让用户在不知不觉中被隐藏与其上的病毒感染从而入侵你的电脑系统。
6.通过U盘U盘作为当前人们最方便、最常用的存储介质和文件拷贝、携带工具,同时病毒的传播中发挥了重要的作用。
7.通过网络计算机网络特别是Internet的普及,给病毒的传播提供了便捷的途径。
通过Internet传播病毒的方式很多,包括FTP文件下载、访问恶意WWW网站、P2P文件下载、即时通讯等等。
人们使用Internet的频率是如此之高,使得Internet已是计算机病毒的第一传播途径。
(七)计算机病毒的入侵方式
按其入侵的方式来分为以下几种:
a、源代码嵌入攻击型从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。
b、代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
c、系统修改型这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。
d、外壳附加型这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。
目前大多数文件型的病毒属于这一类。
二、计算机病毒防范和清除的基本原则和技术
计算机病毒的存在和传播对用户造成了很大的危害,为了减少信息资料的丢失和破坏,这就需要在日常使用计算机时,养成良好的习惯,预防计算机病毒。
并且需要用户掌握一些查杀病毒的知识,在发现病毒时,及时保护好资料,并清除病毒。
(一)计算机病毒防范的概念和原则计算机病毒防范的概念和原则
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
原则以防御计算机病毒为主动,主要表现在检测行为的动态性和防范方法的广泛性。
(二)计算机病毒防范基本技术
计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵,就拦截、阻击计算机病毒的入侵或立即警报。
目前在预防计算机病毒工具中采用的主要技术如下:
1.特征代码技术
2.特征代码法被早期应用于SCAN,CPAV等著名病毒检测工具中,目前被认为是用来检测己知病毒的最简单、开销最小的方法。
在每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现己知病毒又可发现未知病毒。
运用校验和法检查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和写入被查文件中或检测工具中,而后进行比较;
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和。
实现应用程序的自检测;
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
3.行为监测法技术利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
在正常程序中,这些行为比较罕见。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
4.软件模拟技术多态性病毒每次感染都会变化其病毒密码,对付这种病毒,特征代码法失效。
三、典型计算机病毒的原理、防范和清除典型计算机病毒的原理、
(一)引导区计算机病毒
1.引导区病毒概述引导型病毒是一种在ROMBIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。
引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。
它会感染在该系统中进行读写操作的所有软盘,然后再由这些软盘以复制的方式和引导进入到其他计算机系统,感染其他计算机的操作系统。
2.如何防范引导区病毒:
养成良好的习惯是防范这种病毒的关键:
对不明来路的软盘使用前应该先查毒;
不用计算机的时候不要把软盘、光盘留在驱动器里(许多机器感染这个病毒都是由于用了带有病毒的可引导光盘启动计算机所造成的);
另外,最好在主板的设置里把防病毒一项打开。
3.清除原理:
用原来正常的分区表信息或引导扇区信息,覆盖掉计算机病毒程序。
此时,如果用户事先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息,那么,恢复工作变得非常简单。
可以直接用Debug将这两种引导扇区的内容分别调入内存,然后分别恢复到它的原来位置,这样就消除了计算机病毒。
4.wyx引导型病毒清除:
当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌,先要看清楚该文件的感染位置。
如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那么直接删除即可。
其实,这是硬盘引导区先染上了引导区病毒,以后在安装WINDOWS系统时,没有先查杀病毒,直接就安装了WINDOWS系统。
所以,WINDOWS先将引导区做了一个文件形式的备份,文件SUHDLOG.DAT就是其备份,该文件以隐含的形式存放在WINDOWS系统根目录下,由于该引导型病毒存在文件中,没有作用,所以可以直接删除。
如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀,或者干脆把移动存储设备上的文件备份到硬盘上,然后重新格式化掉移动存储设备,再把文件复制回去。
如果病毒确实是在硬盘的引导区上,也不用怕,这类病毒的清除方法很简单,针对不同的操作系统有不同的清除方法,一般可以不依靠杀毒软件。
不过在清除之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows、Linux等。
(二)文件型计算机病毒
1.文件型病毒概述文件型病毒与引导区型病毒工作的方式是完全不同的,在各种PC机病毒中,文件型病毒占的数目最大,传播得广,采用的技巧也多。
文件型病毒是对源文件进行修改,使其成为新的文件。
文件型病毒分两类:
一种是将病毒加在COM前部,一种是加在文件尾部。
文件型病毒传染的对象主要是.COM和.EXE文件。
我们把所有通过操作系统的文件系统
(三)脚本型计算机病毒
主要采用脚本语言设计的病毒称其为脚本病毒。
实际上在早期的系统中,计算机病毒就已经开始利用脚本进行传播和破坏,不过专门的脚本病毒并不常见。
但是在脚本应用无所不在的今天,脚本病毒却成为危害最大,最为广泛的病毒,特别是当他和一些传统的恶性病毒相结合时,其危害就更为严重了。
其主要有两种类型,纯脚本型,混合型。
它的特点:
编写简单,破坏力大感染力强传播范围大(多通过E-mail,局域网共享,感染网页文件的方式传播)计算机病毒源码容易被获取,变种多欺骗性强使得计算机病毒生产机事先起来非常容易脚本型计算机病毒清除。
(四)特洛伊木马计算机病毒
特洛伊木马也叫黑客程序或后门病毒,是指隐藏在正常程序中的一段具有特殊功能的程序,其隐蔽性及好,不易察觉,是一种极为危险的网络攻击手段。
其第一代:
伪装性病毒,第二代:
AIDS型木马,第三代:
网络传播性木马如何检查?
1.稽查注册表2.检查你的系统配置文件特洛伊木马清除:
①备份重要数据②立即关闭身背电源③备份木马入侵现场④修复木马危害
(五)蠕虫计算机病毒
1.蠕虫病毒概述
凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
所以从这个意义上说,蠕虫也是一种病毒!
网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视。
与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象!
升级会员 