计算机病毒的技术预防探讨.docx
《计算机病毒的技术预防探讨.docx》由会员分享,可在线阅读,更多相关《计算机病毒的技术预防探讨.docx(7页珍藏版)》请在冰豆网上搜索。
计算机病毒的技术预防探讨
论文目录
第一章 计算机病毒历史……………………………………
1.1电脑病毒的出现
1.2[病毒]一词的正式出现
第二章计算机病毒原理………………………………………
第一节计算机病毒定义
2.11计算机病毒原理
2.12病毒分类
第二节计算机病毒的攻击技术分析
2.21无线电方式。
2.22固化”式方法
2.23 后门攻击方式
2.24数据控制链侵入方式
第三节电脑病毒的新趋势
第四节计算机病毒防范
简介:
计算机病毒对大多数的计算机使用者而言应该是再耳熟能详不过的名词,有些人也许从来不曾真正碰到过计算机病毒,而吃过计算机病毒亏的人却又闻毒色变,其实在个人计算机这么普遍的今天,即使您不是一个计算机高手,也应该对计算机病毒有些基本的认识,就好比我们每天都会关心周围所发生的人事物一样,毕竟计算机病毒已经不再像过是遥不可及的东西,在当今科技迅速发展的时代,计算机和网络技术不仅给人们带来了便利与惊喜,同时也在遭受着计算病毒带来的烦恼和无奈,自从Internet潮流席卷全球以来,计算机信息以每秒千里的速度在传送,我们每天可以透过Internet收到来自全球各地不同的消息,。
因为计算机病毒不仅破坏文件,删除有用的数据,还可导致整个计算机系统瘫痪,给计算机用户造成巨大的损失。
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。
据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。
与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。
可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。
但在享受信息便利的同时,计算机安全问题也就显得格外重要了。
那么计算机病毒的预防也就更显得重要了。
为此本文就是计算机病毒的预防技术进行探讨,让大家清楚地认识到计算机病毒的发展和危害,并按相应的具体问题实施相应的保护措施。
1.1 电脑病毒的出现
一九八三年,科恩•汤普逊(KenThompson)是当年一项杰出电脑奖得主。
在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程序。
1983年11月3日,弗雷德•科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦•艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
一九八四年,[科学美国人]月刊(ScientificAmerican)的专栏作家杜特尼(A.K.Dewdney)在五月号写了第一篇讨论[CoreWar]的文章,并且只要寄上两块美金,任何读者都可以收到有关程序的纲领,在自己家中的电脑中开辟战场。
1.2[病毒]一词的正式出现
在一九八五年三月份的[科学美国人]里,杜特尼再次讨论[CoreWar]和病毒。
在文章的开头他便说:
“当去年五月有关[CoreWar]的文章印出来时,我并没有想过我所谈论的是那么严重的题目”文中还第一次提到[病毒]这个名称。
他提到说:
“意大利的罗勃吐•歇鲁帝(RobertoCerruti)和马高•莫鲁顾帝(MarcoMorocutti)发明了一种破坏软件的方法。
他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染。
歇鲁弟写了一封信给杜特尼,信内说:
“马高想写一个像[病毒]一样的程式,可以从一部苹果电脑传染到另一部苹果电脑,使其受到感染。
可是我们没法这样做,直到我想到这个病毒要先使软盘受到感染,而电脑只是媒介。
这样,病毒就可以从张软盘传染到另一软盘了。
”
1988年11月2日,美国六千多台计算机被病毒感染,造成Internet不能正常运行。
这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即作出反应,国防部成立了计算机应急行动小组。
这次事件中遭受攻击的包括5个计算机中心和12个地区结点,连接着政府、大学、研究所和拥有政府合同的250,000台计算机。
这次病毒事件,计算机系统直接经济损失达9600万美元。
这个病毒程序设计者是罗伯特•莫里斯(RobertT.Morris),当年23岁,是在康乃尔(Cornell)大学攻读学位的研究生。
罗伯特•莫里斯设计的病毒程序利用了系统存在的弱点。
由于罗伯特•莫里斯成了入侵ARPANET网的最大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学Aiken中心超级用户的特权。
他也因此被判3年缓刑,罚款1万美元,他还被命令进行400小时的社区服务。
目录病毒的分类:
一.传统开机型病毒
二.隐形开机型病毒
三.档案感染型兼开机型病毒
四.目录型病毒
五.传统档案型病毒
六.千面人病毒
七.突变引擎
八.隐形档案型病毒
九.终结型病毒
计算机病毒的分类
计算机病毒的分类方法有多种,但最为流行且科学的分类方法则是按病毒对计算机破坏的程度和传染方式来分。
按前者分类,主要有良性病毒和恶性两大种,若按后者,即病毒在计算机中的传播方式来分有引导型病毒、文件型病毒及深入型三种。
(1)、良性病毒
与生物学的良性病毒一样,计算机中的良性病毒是指那些只表现自己而不破坏系统数据的病毒。
它多数是恶作剧者的产物,其目的不是为了对系统数据进行破坏,而是为了让使用这种被传染的计算机系统用户通过屏幕显示的表现形式,了解一下病毒程序编写者在计算机编程技术与技巧方面的超群才华。
但这种病毒在一定程度上对系统也有破坏作用(称之为副作用)。
通常来说,良性病毒在发作时,仅占用CPU的时间,进行与当前执行程序无关的事件来干扰系统工作(如小球病毒、巴基斯坦病毒)。
(2)、恶性病毒
恶性病毒的目的在于人为地破坏计算机系统的数据、删除文件或对硬盘进行格式化,甚至有些病毒既不删除计算机系统的数据,也不格式化硬盘,而只是对系统数据进行修改,这样的病毒所造成的危害具有较大破坏性,有的占用系统资源(如大麻病毒等),有的可能删除执行文件(如黑色星期五病毒等),甚至在某种条件下使机器死锁。
(3)、引导扇型病毒(BOOTSectorVirus)
开机启动时,在DOS的引导过程中被引入内存的病毒称之为引导病毒。
它不以文件的形式存在磁盘上,没有文件名,不能用DIR命令显示,也不能用DEL命令删除,十分隐蔽。
常见圆点病毒、大麻病毒、巴基斯坦智囊病毒及BRAIN病毒等均属这类。
由于引导区是磁盘的一部分,它在开机启动时控制计算机系统。
而引导区病毒则用它自身来代替磁盘上原来的引导区代码,并将病毒装入内存。
一旦装入内存,病毒就向其它磁盘或文件扩散。
这类病毒通常将整个病毒或病毒的一部分装入引导扇区,而把原引导记录和病毒的其它部分转移到磁盘的其它扇区保存起来,这类病毒在系统启动时便可获得控制权,进行传播和破坏活动。
引导型病毒通常分为两部分:
第一部分放在磁盘引导扇区中;另一部分和原引导记录放在磁盘上连续几个簇中,其位置一般放在第一部分中。
这些簇在文件分配表FAT中做上坏簇的标记,使其不被覆盖而永久地驻留在磁盘中(磁盘已使用的簇必须在文件分配表FAT中做上簇的标记,否则会因其它文件的使用而被覆盖)。
引导型病毒也可能驻留在硬盘的主引导记录中,其原理和驻留在引导扇区的病毒基本相同,因此这里只介绍驻留在引导扇区的病毒。
引导程序放在磁盘的引导扇区中。
开机启动时,磁盘引导扇区的程序会读到内存中,如果是健康盘,得到控制权的引导程序把两个隐含文件(IBMBIO.COM)和COMMAND.COM引入内存,启动完成。
如果是染上病毒的盘,读到内存的是病毒程序的第一部分,它得到控制权后修改内存可用空间的大小,在内存高端辟出一块区域,并把第一部分移至该区,接着读入放在磁盘”坏簇”中的第二部分,并和第一部分拼起来,使病毒程序全部驻留在内存的高端,然后修改INT13H的中断向量或其它中断向量,使其向高端的病毒程序,这时即可把原引导程序读到内存中,并把控制权交给它以完成系统的启动。
由于修改了中断向量,病毒程序在计算机的运行中经常能得到CPU的控制权。
各类引导型病毒引入存储过程大致相同。
它们都要修改内存可用空间的大小,都植入内存的高端,并在内存高端为病毒传播留出工作空间,否则在运行其它程序时可能被覆盖;都要修改中断向量表,以便将来有机会占领CPU,否则即使在内存也如同冬眠一样,不能进行传播和破坏。
带病毒系统盘启动后,病毒程序就安装到内存的高端,如仅此而已,只耗去部分内存空间,对系统没有什么影响,那么病毒是如何传播的呢?
病毒是一段程序,必须占领CPU,运行时才能传播。
由于在病毒装入内存时,中断向量表已被修改,其入口地址指向内存高端的病毒程序,因此读写盘或产生其它中断时首先运行的是病毒程序,造成了传播机会。
传播前一般要先判断磁盘是否已感染过,若已感染,则不再感染,否则就搜索盘中连续几个未用簇,把第二部分和原引导记录写到这些簇中,把这几簇的位置和病毒标志记载在第一部分,在FAT表中给这几个簇置上坏簇标记,再把在内存高端的病毒程序第一部分写到磁盘的引导扇区,就完成了传播。
由于中断向量表已被修改,因此读写盘或产生其它中断时,病毒程序占领了CPU,就可以发作。
为了尽可能地扩散,一般在感染后一段时间内,病毒只悄悄地传播而不发作,不易察觉。
只有在一定条件下才会发作,条件多半和时间有关,病毒常使用1NT1AH中断读取计算机系统的时间,满足一定条件就会发作。
4)、文件型病毒
文件型病毒也常称之为外壳型病毒。
这种病毒的载体是可执行文件,即文件扩展名为.COM和.EXE等的程序,它们存放在可执行文件的头部或尾部。
将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,同时又会传染给其它文件。
这类病毒主要只传染可执行文件,并且当染有该灯病毒的文件运行时,病毒即可得到控制权,进行传播得控制破坏活动。
这类病毒的载体是可执行程序,只有用户键入该程序名,或用其它方法运行该程序,病毒方能引入内存,并占领CPU,运行病毒程序。
一旦用户键入染上这种病毒的可执行文件名,该文件就会进入内存并运行,但首先执行的是藏在其中的病毒程序。
病毒会在磁盘中寻找尚未染上此病毒的可执行文件,将自身植入其首部或尾部,修改文件的长度使病毒程序合法化,还修改该程序,使执行该文件前首先挂靠病毒程序,在病毒程序的出口处再跳向原程序开始处。
该可执行文件就成为了新的病毒源。
一旦病毒占领了CPU,运行后随时可又以发动攻击。
这种病毒依附在源程序等不可执行的文件中是没有意义的,其传染的目的是可执行文件,只有运行该可执行程序时病毒才能调入内存运行,因此文件型病毒激活的机会少。
可执行程序分为应用类和系统类。
应用类由用户编写,进入内存的机会少,而系统类由系统提供,如COMMAND.COM、FILE1.EXE、CCCC.EXE等,是常驻内存或经常引入内存的。
为了有更多的“作案”机会,这种病毒常传染系统文件。
此外如EDLIN.COM、PCTOOLS.EXE、DEBUG.COM、DISKCOPY.COM以及一些编译、汇编、链接程序,它们进入内存的机会较多,因此也被传染,诊治时首先要从这些文件入手。
(5)深入型病毒
深入型病毒也称之为混合型病毒,具有引导区病毒和文件型病毒两种特征,以两促方式进行传染。
这种病毒它们既可以传染引导扇区又可以传染可执行文件,从而使它们的传播范围更广。
也更难于被消除干净(如FILP病毒就属此类)。
这类病毒不仅感染引导记录,也感染磁盘文件。
如果只将病毒从被感染的文件中清除掉,当系统重新启动时,病毒将从硬盘引导记录进入内存,这之后文件又会被感染;如果只将隐藏在引导记录里的病毒消除掉,当文件运行时,引导记录又会被重新感染。
例如,侵入者、3544幽灵等就属于这类病毒。
深入型病毒的传染过程与引导型病毒和文件型病毒的传染过程类似,只不它既感染磁盘的引导扇区又感染磁盘文件。
第三章对计算机病毒攻击的防范的对策和方法
如何预防计算机病毒
1:
及时为WINDOWS打补丁,方法:
打开IE——/工具(T)/——/ Windows Update(U) / ——并按步骤更新原因:
为WINDOWS打补丁是很很重要的,因为许多病毒都是根据WINDOWS的漏洞写出来的。
当然360的修复漏洞更方便,不过刚刚看到有网友说有时候不能及时检查出漏洞,不知道大家有没有遇到过。
2:
不浏览不安全的网站,把“INTERNET 安全性 属性”的安全级别调高级。
方法:
双击IE右下方的小地球,按一下默认级别,向上移动滑块,然后确定。
原因:
禁止网页使用的控件,它就不能在你背后搞小动作了。
说明:
有些网页是要使用正常的控件的,比如听歌的看电影的网页等等,这时你得把‘INTERNET 安全性属性’调回中级。
3:
下载后和安装软件前一定要杀毒,不明白那是什么东西不要打开他。
原因:
或许你下载的网站不会放病毒的软件,但不排除它可能被人入侵,然后被放置带病毒的软件,总之安全第一。
说明:
下载后安装前杀是个好习惯。
下载软件最好去官方。
华军的软件还经常有捆绑什么的,特别烦。
4:
经常更新毒库杀毒。
原因:
病毒的发展是会不停止的,更新毒库才能杀新的病毒。
所以说啊,不是说装完了个杀毒软件就万事大吉了,不更新病毒库等于没装!
!
5:
不要安装太多的IE的辅佐工具。
原因:
IE的辅佐工具之间可能有冲突,而且会占用一定的内存。
说明:
所谓请神容易送神难,在按‘确定’前一定要想清楚。
6:
不需要安装太多的杀毒软件。
原因:
杀毒软件之间也可能有冲突,而且会占用较多的内存。
说明:
一般来说要‘求精不求多’,通常安装三样功能:
防病毒、防火墙、防木马。
7:
对电脑认识有一定水平的人可以对电脑的进行手动捡查方法:
系统盘中的Autoexec.bat windows中的Msconfig.exe 和注册表中Run启动项说明(如果发现新的加载项目那你就得小心点了)。
8:
重要文档不要放在系统盘中,而且要备份好。
9:
有能力的可以为系统盘做一个映象文件。
如果碰到新的病毒,连杀毒软件也没能为力,只得还原映象了。
总结:
及时打补丁,经常升毒库杀毒,不要打开不明的连接,上不安全的网站要调高级别,时常查看启动项,不要打开或安装来历不明的文件,做好备份。
建个系统盘映象。
3.1建立有效的计算机病毒防护体系。
有效的计算机病毒防护体系应包括多个防护层。
一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。
上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。
3.2严把收硬件安全关。
国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。
3.3防止电磁辐射和电磁泄露。
采取电磁屏蔽的方法,阻断电磁波辐射,这样,不仅可以达到防止计算机信息泄露的目的,而且可以防止“电磁辐射式”病毒的攻击。
3.4加强计算机应急反应分队建设。
应成立自动化系统安全支援分队,以解决计算机防御性的有关问题。
早在1994年,美国软件工程学院就成立了计算机应急反应分队。
计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。
实施跟踪研究应着重围绕以下方面进行:
一是计算机病毒的数学模型。
二是计算机病毒的注入方式,重点研究“固化”病毒的激发。
三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。
四是研究对付计算机病毒的安全策略及防御技术。
升级会员 