毕业设计论文计算机网络病毒的分析与防范.docx
《毕业设计论文计算机网络病毒的分析与防范.docx》由会员分享,可在线阅读,更多相关《毕业设计论文计算机网络病毒的分析与防范.docx(20页珍藏版)》请在冰豆网上搜索。
毕业设计论文计算机网络病毒的分析与防范
毕业设计论文
题目:
计算机网络病毒的分析与防范
系/专业计算机系06系统集成
年级三年级
学生姓名
指导教师
2009年5月1日
摘要
计算机病毒(ComputerViruses)是一种人为编制的具有破坏性的计算机程序,它具有自我复制能力,通过非授权入侵隐藏在可执行文件或数据文件中。
是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。
与生物医学上的“病毒”同样有传染和破坏的特性。
从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
在信息社会高度发展的今天,计算机网络系统得到长足的发展,而网络安全性问题也凸现出来。
如何防范计算机系统不受外界因素干扰,保持强劲的工作状态,是微机管理者亟待解决的问题。
本课题以影响计算机网络安全的主要因素为突破口,重点分析防范各种计算机网络病毒,从不同角度全面分析了影响计算机网络安全的情况,做到心中有数,将不利因素解决在萌芽状态,确保计算机网络的安全管理与有效运行。
计算机病毒主要通过电子邮件病毒传播;网页病毒传播;利用系统漏洞,破解密码字典,攻击系统;木马病毒通过MSN、QQ等即时通信软件或电子邮件传播等。
关键字:
计算机病毒安全防范传播
ABSTRACTS
Computerviruses(ComputerViruses)arepreparedbyaman-madedestructivecomputerprogram,ithasself-reproductioncapability,throughnon-authorizedinvasionhiddeninexecutablefilesordatafile.Somepeopleareusingcomputersoftwareandhardwarevulnerabilityinherentinthepreparationofaspecialfunctionprocedures.AndBiomedicineofthe"virus"hasthesamecharacteristicsoftransmissionanddestruction.Broadlydefined,wherethecomputercancausefailure,damagetocomputerdataprocedurescollectivelyknownascomputerviruses.
Inhighlydevelopedinformationsocietyoftoday,computernetworksystemdevelopedbyleapsandbounds,andnetworksecurityproblemhasalsoemerged.Howtopreventcomputersystemsfromoutsideinterference,andmaintainstrongworkingcondition,computermanagersareissuesrequiringurgentsolution.Thetopicofcomputernetworksecurityinordertoinfluenceamajorfactorasabreakthroughpoint,thefocusofanalysisofavarietyofcomputernetworkstopreventthevirusfromdifferentangles,acomprehensiveanalysisoftheimpactofcomputernetworksecuritysituation,beawareof,willresolvetheunfavorablefactorsinthebudtoensurethatthecomputernetworksecuritymanagementandeffectiveoperation.
Computervirusesspreadprimarilythroughe-mailviruses;pagespreadofthevirus;theuseofthesystemloopholes,crackpassworddictionaryattacksystem;TrojanvirusthroughMSN,QQ,suchasinstantmessagingore-mailcommunicationsoftware.
KEYWORDS:
computervirus,safe,prevent,spread
第一章计算机病毒
1.1计算机病毒概述
计算机病毒”有很多种定义,从广义上讲,凡是能引起计算机故障,破坏计算机中数据的程序统称为计算机病毒。
现今国外流行的定义为:
计算机病毒是一段附着在其他程序上的,可以实现自我繁殖的程序代码。
在国内,《中华人民共和国计算机信息系统安全保护条例》的定义为:
“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码”。
此定义具有法律性和权威性。
1983年11月3日,弗雷德·科恩(Fred.Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(Len.Adleman)将它命名为计算机病毒(ComputerViruses)。
随着计算机技术的发展,有越来越多的病毒出现。
1995年在北美地区流行着一种“宏”病毒,它不感染.exe和文件,只感染文档文件。
与传统病毒相比,宏病毒编写更为简单。
1996年12月,宏病毒正式在我国出现,病毒名是“TaiwanNo.1”。
它是在文件型和引导型病毒的基础上发展出来的,它不仅可由磁盘传播,还可由Internet上E-mail和下载文件传播,传播速度快,可以在多平台上交叉感染,危害极大。
据专家估计,宏病毒的感染率高达40%以上,即每发现100个病毒就有40个是宏病毒。
在国内,最初让人关注的病毒是1982年出现的“黑色星期五”病毒、“米氏病毒”和“小球病毒”等。
由于当时网络没有普及,因此没有造成病毒的广泛流行。
1998年6月出现了CIH病毒,CIH病毒是目前破坏性最大的病毒之一。
其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH。
它感染Windows95/98下的PE(PortableExecutableFormat)可执行文件,但是不感染DOS文件。
它是世界上首例也是目前惟一能攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。
CIH病毒产于台湾,是台湾大学生陈盈豪编写的。
目前发现至少有五个版本,发作时间一般是每月26日。
最近,“红辣椒”、“恶邮差”、“冲击波”、Win32.Cydog等一系列病毒的出现,给计算机用户造成了很大的损失。
现在,由于网络的普及,计算机成为开放网络的一个结点,使得病毒可以长驱直入。
计算机病毒非但没有得到抑制,数量反而与日俱增,所造成的危害也越来越大,甚至会造成网络的一时瘫痪。
目前出现的计算机病毒种类繁多,同时,一种病毒也可能发生多种变形。
根据计算机病毒的特征和表现的不同,计算机病毒有多种分类方法。
1.按传染方式分类
传染是计算机病毒的一个主要特征。
计算机病毒按其传染方式可分为三种类型,分别是引导型、文件型和混合型病毒。
(1)引导型病毒指传染计算机系统磁盘引导程序的计算机病毒。
它是一种开机即可启动的病毒,先于操作系统而存在。
这类病毒将自身的部分或全部代码寄生在引导扇区,即修改系统的引导扇区,在计算机启动时这些病毒首先取得控制权,减少系统内存,修改磁盘读写中断,在系统存取操作磁盘时进行传播,影响系统工作效率。
这类病毒的典型例子有大麻病毒、小球病毒等。
(2)文件型病毒指传染可执行文件的计算机病毒。
这类计算机病毒传染计算机的可执行文件(通常为或.exe、.ovl文件等)以及这些文件在执行过程中所使用的数据文件。
在用户调用染毒的执行文件时,病毒被激活。
病毒首先运行,然后病毒常驻内存,伺机传染给其他文件或直接传染其他文件。
其特点是依靠正常的可执行文件的掩护而潜伏下来,成为程序文件的一个外壳或部件。
这是较为常见的传染方式。
这类病毒的典型例子有黑色星期五病毒、维也纳病毒和宏病毒等。
(3)混合型病毒指传染可执行文件又传染引导程序的计算机病毒。
它兼有文件型和引导型病毒的特点。
因此,混合型病毒的破坏性更大,传染的机会多,查杀病毒更困难。
2.按寄生方式分类
寄生是计算机病毒赖以存在的方式。
计算机病毒按其寄生方式可分为四种类型,分别是代替型、链接型、转储型和源码病毒。
(1)代替型计算机病毒是指计算机病毒在传染病毒宿主之后,计算机病毒用自身代码的部分或全部代替正常程序的部分或全部,从而使宿主程序不能正常运行。
有些攻击操作系统的病毒在发作时用自己的逻辑运行模块取代操作系统原来的逻辑运行模块,使操作系统不能正常行使自己的功能。
(2)链接型计算机病毒是将计算机病毒程序代码链接到被传染的宿主程序代码的首部、中部或尾部,对原来的程序不做修改。
这种病毒较为常见,大部分文件型病毒都属于这一类。
(3)转储型计算机病毒是指计算机病毒将原合法程序的代码转移到存储介质的其他部位,而病毒代码占据原合法程序的位置。
一旦这种病毒感染了一个文件,就很难被发现,隐蔽性较好。
(4)源码病毒主要是利用JAVA、VBS、ActiveX等网络编程语言编写的,放在电子邮件的附件HTML主页中,进入被感染的计算机中执行。
3.按危害程度分类
严格地说,只要是计算机病毒,就会对系统造成一定的危害性,只是不同的计算机病毒造成的危害程度不同。
计算机病毒按其危害程度可分为三种类型,分别为良性病毒、恶性病毒和中性病毒。
(1)良性病毒又称表现型病毒。
它只是为了以一种特殊的方式表现其存在,如只显示某项信息、发出蜂鸣声,或播放一段音乐,对源程序不做修改,不删除硬盘上的文件,不格式化硬盘,也不直接破坏计算机的硬件设备,相对而言对系统的危害较小。
但是这类病毒还是具有潜在的破坏性,它使内存空间减少,占用磁盘空间,与操作系统和应用程序争抢CPU的控制权,降低系统运行效率等。
(2)恶性病毒又称破坏型病毒。
它的目的就是对计算机的软件和硬件进行恶意的攻击,使系统遭到严重的破坏,如破坏数据、彻底删除硬盘上的文件或格式化磁盘,使用户用任何软件都无法恢复被删除的文件,它们甚至可能攻击硬盘,破坏主板,导致系统死机而无法工作,在网络上高速传播,致使网络瘫痪等。
因此恶性病毒非常危险,造成的危害十分严重。
(3)中性病毒是指那些既不对计算机系统造成直接破坏,又没有表现症状,只是疯狂地复制自身的计算机病毒,也就是常说的蠕虫型病毒。
蠕虫型计算机病毒比较特殊,它不会攻击其他程序,不附着其他程序,不需要寄主。
部分蠕虫病毒能在内存和磁盘上移动,以防被其他程序覆盖。
从总体上来说,它的危害程度介于良性计算机病毒与恶性计算机病毒之间。
说其危害程度轻,是指有的蠕虫型计算机病毒不做其他的破环,只是在硬盘上疯狂地复制自身,挤占硬盘的大量存储空间,只影响一些文件的存储,但不对文件造成直接破坏;说其危害程度重,是指有的蠕虫型计算机病毒大量复制自身,耗尽了系统资源,使系统不堪重负而崩溃,造成严重的危害。
典型的蠕虫有、Melissa、红色代码等。
所以,对于蠕虫型计算机病毒的危害程度,不能一概而论,只能用“中性病毒”这个概念来对其加以界定。
4.按攻击对象划分
1)攻击DOS的病毒
IBMPC及其兼容机在我国使用得非常广泛,它们都可以运行DOS操作系统。
在已发现的病毒中,攻击DOS的病毒种类最多、数量最多,且每种病毒都有变种,所以这种病毒传播得非常广泛。
小球病毒是国内发现的第一个DOS病毒。
2)攻击Windows的病毒
攻击Windows的病毒多种多样,其中的宏病毒变形很多,有感染Word的宏病毒,有感染Excel的宏病毒,还有感染Access的宏病毒,其中感染Word的宏病毒最多。
Concept病毒是世界上首例攻击Windows的宏病毒。
3)攻击网络的病毒
近几年来,因特网在全世界迅速发展,上网已成为计算机使用者的时尚。
随着网上用户的增加,网络病毒的传播速度更快,范围更广,病毒造成的危害更大。
如GPI病毒是世界上第一个专门攻击计算机网络的病毒。
1.2计算机病毒的特征
1.传染性
计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。
传染性是病毒的基本属性,是判断一个可疑程序是否是病毒的主要依据。
病毒一旦入侵系统,它就会寻找符合传染条件的程序或存储介质,确定目标后将自身代码插入其中,达到自我繁殖的目的。
只要一台计算机感染病毒,如果没有得到及时的控制,那么病毒会很快在这台计算机上扩散,被感染的文件又成了新的传染源,通过与其他计算机进行信息交换,进行更大范围的传染。
如果是联网的计算机感染了病毒,那么病毒的传播速度将更快。
计算机病毒一般有自己的标志。
当染毒程序被运行时,病毒被激活,它监视着计算机系统的运行,一旦发现某个程序没有自己的标志,就立刻发起攻击,传染无毒程序。
2.潜伏性
计算机病毒的潜伏性是指病毒具有依附其他媒体而寄生的能力,也称隐蔽性。
病毒程序为了达到不断传播并破坏系统的目的,一般不会在传染某一程序后立即发作,否则就暴露了自身。
因此,它通常附着在正常程序或磁盘较隐蔽的地方,也有个别的病毒以隐含文件的方式出现。
一般情况下,系统被感染病毒后用户是感觉不到它的存在的,只有病毒发作后或者系统出现什么不正常的反应时,用户才能察觉。
病毒的潜伏性与病毒的传染性相辅相成,病毒可以在潜伏阶段传播,潜伏性越大,传播的范围越广。
3.破坏性计算机病毒的破坏性是指病毒破坏文件或数据,甚至损坏主板,干扰系统的正常运行。
任何病毒只要入侵系统就会对系统及应用程序产生不同程度的影响。
病毒的破坏性只有在病毒发作时才能体现出来。
病毒破坏的严重程度取决于病毒制造者的目的和技术水平。
轻者只是影响系统的工作效率,占用系统资源,造成系统运行不稳定。
重者则可以破坏或删除系统的重要数据和文件,或者加密文件、格式化磁盘,甚至攻击计算机硬件,导致整个系统瘫痪。
4.可触发性计算机病毒的可触发性是指病毒因某个事件或某个数值的出现,诱发病毒发作。
为了不让用户发现,病毒必须隐藏起来,少做动作。
但如果完全不动,又失去了作用。
因此,病毒为了又隐蔽自己,又保持杀伤力,就必须设置合理的触发条件。
每种计算机病毒都有自己预先设计好的触发条件,这些条件可能是时间、日期、文件类型或使用文件的次数这样特定的数据等。
满足触发条件的时候,病毒发作,对系统或文件进行感染或破坏。
条件不满足的时候,病毒继续潜伏。
5.针对性计算机病毒的针对性是指病毒的运行需要特定的软、硬件环境,只能在特定的操作系统和硬件平台上运行,并不能传染所有的计算机系统或所有的计算机程序。
如一些病毒只传染给计算机中的或.exe文件,一些病毒只破坏引导扇区,或者针对某一类型机器,如IBMPC机的病毒就不能传染到Macintosh机上。
同样,攻击DOS的病毒也不能在UNIX操作系统下运行等。
6.衍生性计算机病毒可以演变,在演变过程中形成多种形态,即计算机病毒具有衍生性。
计算机病毒是一段特殊的程序或代码,只要了解病毒程序的人就可以将程序随意改动,只要原程序有所变化,也许只是将发作日期,或者是攻击对象发生简单变化,表现出不同的症状,便衍生出另一种不同于原版病毒的新病毒,这种衍生出的病毒被称为病毒的变种。
由于病毒的变种,对于病毒的检测来说,病毒变得更加不可预测,加大了反病毒的难度。
1.3计算机网络病毒
(1)入侵计算机网络的病毒形式多样。
既有单用户微型机上常见的某些计算机病毒,如感染磁盘系统区的引导型病毒和感染可执行文件的文件型病毒,也有专门攻击计算机网络的网络型病毒,如特洛伊木马病毒及蠕虫病毒。
(2)不需要寄主。
传统型病毒的一个特点就是一定有一个“寄主”程序,病毒就隐藏在这些程序里。
最常见的就是一些可执行文件,像扩展名为.exe及的文件,以及.doc文件为“寄主”的宏病毒。
现在,在网络上不需要寄主的病毒也出现了。
例如Java和ActiveX的执行方式,是把程序码写在网页上。
当与这个网站连接时,浏览器就把这些程序码读下来。
这样,使用者就会在神不知鬼不觉的状态下,执行了一些来路不明的程序。
(3)电子邮件成为新的载体。
随着因特网技术的发展,电子邮件已经成为广大用户进行信息交流的重要工具。
但是,计算机病毒也得到了迅速的发展,电子邮件作为媒介使计算机病毒传播得尤为迅速,引起各界广泛关注。
(4)利用操作系统安全漏洞主动攻击。
目前一些网络病毒能够通过网络扫描操作系统漏洞,一旦发现漏洞后自主传播其病毒,甚至能在几个小时就传遍全球。
计算机应用的普及使信息交换日益频繁,信息共享也成为一种发展趋势,所以病毒入侵计算机系统的途径也成倍增长。
通常把病毒入侵途径划分为两大类:
传统方式和Internet方式,如下图所示
1)传统方式
图1-1的防守对方
病毒通过软盘、硬盘、CD -ROM及局域网络感染可以归为病毒入侵的传统方式。
在计算机进行文件交换、执行程序或启动过程中,病毒可能入侵计算机。
因此,计算机上所有接受信息的方式都使病毒入侵成为可能。
2)Internet方式
Internet正在逐步成为病毒入侵的主要途径。
病毒可以通过Internet上的电子邮件、网页和文件下载入侵联网计算机。
此外还有利用操作系统的漏洞主动入侵联网计算机系统的病毒。
如果在互联网中网页只是单纯用HTML写成的话,那么要传播病毒的机会可以说是非常小的。
但是,为了让网页看起来更生动、更丰富,许多语言被开发出来,其中最有名的就数Java和ActiveX了。
Java和ActiveX的执行方式,是把程序码写在网页上,使该网页成为新一代病毒的寄生场所。
另外,被宏病毒感染的文档可以很容易地通过Internet以几种不同的方式发送,如电子邮件、FTP或Web浏览器。
同样,在打开莫名其妙的邮件或者下载一些有毒程序的时候,计算机已经通过互联网中毒了。
(1)破坏磁盘文件分配表(FAT表),使磁盘上的信息丢失,这时使用DIR命令查看文件,会发现文件还在,但文件名与文件的主体已失去联系,文件已无法使用了。
(2)删除软盘或硬盘上的可执行文件或数据文件,使文件丢失。
(3)修改或破坏文件中的数据,这时文件的格式是正常的,但内容已发生了变化。
(4)产生垃圾文件,占据磁盘及内存空间,使磁盘空间逐渐减少或者使一些大程序运行不畅。
(5)破坏硬盘的主引导扇区,使计算机无法启动。
(6)对整个磁盘或磁盘的特定扇区进行格式化,使磁盘中的全部或部分信息丢失使受损的数据难以恢复。
(7)对CMOS进行写入操作,破坏CMOS中的数据,使计算机无法工作。
(8)非法使用及破坏网络中的资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。
(9)占用CPU运行时间,使主机运行效率降低。
(10)破坏外设的正常工作。
如屏幕不能正常显示,干扰用户的操作;破坏键盘输入程序,封锁键盘、换字和震铃等,使用户的正常输入出现错误;干扰打印机,使之出现间歇性打印或假报警。
(11)破坏系统设置或对系统信息加密,使用户系统工作紊乱。
第二章计算机木马及其防范
2.1计算机木马概述
全称“特洛伊木马(TrojanHorse)”,古希腊士兵藏在木马内进入敌城,占领敌城的故事。
计算机木马指:
黑客在可供网络上传下载的应用程序或游戏中,添加可以控制用户计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。
2.2计算机木马的特点
1.隐蔽性
a.命名上采用和系统文件的文件名相似的文件名
b.属性通常是系统文件、隐藏、只读属性
c.存放在不常用或难以发现的系统文件目录中
d.在任务栏里隐藏
e.在任务管理器里隐藏(Ctrl+Alt+Del)
f.占用端口号1024以上的端口(1024~65535)
g.确保正常通信的情况下,隐秘通信
h.隐秘加载,引诱用户运行服务端程序
i.Windows2000及以上版本可以看到所有进程,因此,采取了新的隐身技术,替换正常的动态连接库文件(*.DLL)绑定在进程上进行正常的木马操作
2.非授权性
一旦控制端与服务器端连接后,便大开系统之门,毫无秘密而言在不常用或难以发现的系统文件目录中。
包含在正常程序中(例如,与图片文件绑定或生成exe-binder程序)
a.不产生图标,以免用户注意到任务栏里来历不明的图标,自动隐藏在任务管理器中,以“系统服务”的方式欺骗操作系统
b.自动运行能力:
附着在诸如win.ini、system.ini、winstart.ini或启动组等文件中随系统启动而启动。
c.自动恢复能力:
多文件组合、多重备份,只要触发文件组合中的一个程序,就会启动该木马。
d.自动打开特别端口,提供给黑客,作为入侵的端口。
e.特殊功能:
除普通的文件操作外,还有诸如搜索cache口令、扫描目标主机的IP地址、键盘记录等功能
2.3计算机木马与病毒的区别
木马不具有自我复制性和传染性,不会像病毒那样自我复制、刻意感染其他文件。
木马的主要意图不是为了破坏用户的系统,而是为了监视并窃取系统中的有用信息,如密码、账号。
下面是两大国产杀毒软件公司的网络安全报告
1、瑞星反病毒监测网
图2-1
图2-2
金山反病毒监测网
图2-3
图2-4
2.4计算机木马的分类
a.破坏型:
破坏删除文件(*.ini、*.dll、*.exe)
b.发送密码型:
找到隐藏的密码,发送到指定的邮箱
c.远程访问型:
只要运行了服务端程序,如果客户知道服务端的IP地址,就可以实现远程控制
d.键盘记录型:
记录用户在线或离线时按键情况,统计用户按键的频度,进行密码分析
e.分布式攻击(DoS)型
f.在一台又一台的计算机(“肉机”)上植入DoS攻击木马,形成DoS攻击机群,攻击第三方的计算机
g.邮件炸弹:
机器一旦被挂马,木马就会随机生成各种各样的主题信件,对特定的邮箱不停发送信件,直到对方邮件服务器瘫痪
h.代理(Proxy)型:
黑客隐藏自己的足迹,让肉机沦为“替罪羊”
i.FTP型:
打开端口21,等待用户连接
j.程序杀手型:
关闭受害者计算机上运行的防木马软件,踢开木马执行的“绊脚石”
k.反弹端口型:
防火墙对用户主动向外连接的端口往往疏于防范,木马的受害端使用主动端口,攻击端使用被动端口,当发现被控制的计算机联网后,攻击端立刻弹出主动端口,与受害计算机相连接。
2.5计算机木马的运行原理
由客户端和服务端两个程序组成
客户端是攻击者用来植入被攻击者机器的程序
服务端是木马程序
攻击者要通过木马攻击你的系统,首先木马客户端程序必须植入到被攻击者的计算机里面
主要传播途径:
通过一定方法(电子邮件、下载、交互脚本)把木马执行文件植入被攻击者的计算机
升级会员 