计算机病毒与防治.docx

资源描述

计算机病毒与防治.docx

《计算机病毒与防治.docx》由会员分享，可在线阅读，更多相关《计算机病毒与防治.docx（24页珍藏版）》请在冰豆网上搜索。

计算机病毒与防治.docx

计算机病毒与防治

北京北大方正软件技术学院

毕业设计（论文）

题目计算机病毒与防治

系别：

软件工程分院

专业：

计算机应用技术

学号：

090210223

姓名：

李立成

指导老师：

毛俊婵

北京北大方正软件技术学院

毕业设计成绩评定表（理科）

系别软件工程分院专业计算机应用技术姓名管波学号090210226

设计题目：

大学生独立主动学习素养的养成指导教师：

毛俊婵

项目

评分标准

优秀

良好

合格

不合格

选题

优秀：

选题有重要理论意义和实际价值；

良好：

选题有较强理论意义和实际价值；

合格：

选题有一定理论意义和实际价值；

不合格：

选题欠妥。

基础知识

优秀：

有坚实的理论基础和系统深入的专业知识；

良好：

有较坚实的理论基础和系统深入的专业知识；

合格：

有一定的理论基础和专业知识；

不合格：

基础理论不够全面，专业知识不系统。

实践能力

优秀：

体现出较强的实践工作能力；

良好：

体现出较好的实践工作能力；

合格：

体现出一定的实践工作能力；

不合格：

体现出工作能力较差。

写作能力

优秀：

条理清楚，层次分明，文笔流畅，学风严谨；

良好：

条理性好，层次分明，文字通顺，工作认真；

合格：

条理较好，层次较分明，文字较通顺；

不合格：

条理不清，写作较差。

论文综合评价

优秀良好合格不合格

指导教师评定意见

签字：

年月日

毕业设计领导小组签字

签字：

年月日

注：

此表附《毕业设计（论文）》后

计算机病毒与防治

第一章：

计算机病毒的概述

1.1计算机病毒的定义

计算机病毒（ComputerVirus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自

我复制的一组计算机指令或者程序代码”。

与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。

它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大！

1.2计算机病毒的历史

●1994年全球计算机反病毒研究中心大厦建成

　　●1995年全球计算机反病毒研究中心成立于美国纽约

　　●1996年第一任主席由比尔·盖茨担任

　　●1997年研究中心有效控制了CIH宏病毒的大规模爆发

　　●1998年积极研究各种计算机病毒

　　●1999年在去年的努力下病毒爆发率明显降低

　　●2000年千年虫病毒迅速占领整个互联网

　　●2001年经过一年的不懈研究研究“千年虫克星”

●2002年AUTO病毒突然在同一时间攻击了世界各国大型公司损失达到上亿美圆

●2003年AUTO病毒经过不断变种、更新、升级有明显扩散的趋势，直到年底被完全克制住

●2004年威金病毒一个新型的儒虫病毒在全球范围爆发，目前没有任何有效的方法可以阻止其爆发

●2005年内部增加了技术人员，同年消灭了灰鸽子、黑蝴蝶及威金病毒

●2006年针对亚洲大规模的爆发名叫“熊猫烧香”专门制作出了专杀工具

●2007年陈风升任全球计算机病毒研究中心首席技术顾问

1.3计算机病毒的起源

最早由冯·诺伊曼提出一种可能性----现在称为病毒，但没引起注意. 1975 年，美国科普作家约翰·布鲁勒尔（JOHN BRUNNER）写了本名为《震荡波骑士》（SHOCK WAVE RIDER）的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一

1977年夏天，托马斯·捷·瑞安（THOMAS.J.RYAN）的科幻小说《P-1的春天》（THE ADOLESCENCE OF P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7，000 台计算机，造成了一场灾难。

1983年11月3日，弗雷德·科恩（FRED COHEN）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼（LEN ADLEMAN）将它命名为计算机病毒（COMPUTER VIRUSES），并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。

1986 年初，在巴基斯坦的拉合尔（LAHORE），巴锡特（BASIT）和阿姆杰德（AMJAD）两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。

他们编写了PAKISTAN 病毒，即BRAIN。

在一年内流传到了世界各地。

1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。

以庆祝苹果机生日。

1988 年 11 月 2 日，美国六千多台计算机被病毒感染，造成 INTERNET不能正常运行。

这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即做出反应，国防部成立了计算机应急行动小组。

这次事件中遭受攻击的包括5个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的 250，000 台计算机。

这次病毒事件，计算机系统直接经济损失达 9600 万美元。

这个病毒程序设计者是罗伯特·莫里斯（ROBERT T.MORRIS），当年 23 岁，是在康乃尔（CORNELL）大学攻读学位的研究生。

罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。

由于罗伯特·莫里斯成了入侵 ARPANET 网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学 AIKEN 中心超级用户的特权。

他也因此被判3年缓刑，罚款1万美元，他还被命令进行400 小时的社区服务。

1988 年底，在我国的国家统计部门发现小球病毒。

1.4计算机病毒的分类

　　根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：

按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：

按病毒存在的媒体

　　根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。

网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：

COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：

多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

按病毒传染的方法

　　根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。

按病毒破坏的能力

　　无害型：

除了传染时减少磁盘的可用空间外，对系统没有其它影响。

　　无危险型：

这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

　　危险型：

这类病毒在计算机系统操作中造成严重的错误。

　　非常危险型：

这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。

由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。

一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。

例如：

在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

按病毒的算法

　　伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：

XCOPY.EXE的伴随体是XCOPY-COM。

病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

　　“蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。

有时它们在系统存在，一般除了内存不占用其它资源。

　　寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：

练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。

　　诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。

利用DOS空闲的数据区进行工作。

　　变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。

它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

1.5计算机病毒的发展

在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。

操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。

它可划分为：

DOS引导阶段

　　1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。

当时的计算机硬件较少，功能简单，一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播；

　　1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”；

DOS可执行阶段

　　1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为“耶路撒冷”，“星期天”病毒，病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。

　　1990年，发展为复合型病毒，可感染COM和EXE文件。

伴随、批次型阶段

　　1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒，它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文件时,改原来的COM文件为同名的EXE文件，再产生一个原名的伴随体，文件扩展名为COM，这样，在DOS加载文件时，病毒就取得控制权.这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。

在非DOS操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。

批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。

幽灵、多形阶段

　　1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。

幽灵病毒就是利用这个特点

展开阅读全文