毕业论文计算机病毒解析与防范论文.docx
《毕业论文计算机病毒解析与防范论文.docx》由会员分享,可在线阅读,更多相关《毕业论文计算机病毒解析与防范论文.docx(18页珍藏版)》请在冰豆网上搜索。
毕业论文计算机病毒解析与防范论文
本科毕业论文
论文题目:
计算机病毒解析与防范
学生姓名:
XXX
学号:
XXXXXXXXXXXX
专业:
计算机科学与技术
指导教师:
XXX
学院:
XXX年X月X日
毕业论文(设计)内容介绍
论文(设计)
题目
计算机病毒解析与防范
选题时间
完成时间
论文(设计)
字数
11000
关键词
计算机病毒;解析;防范措施;
论文(设计)题目的来源、理论和实践意义:
随着计算机在社会生活各个领域的广泛运用,以及电脑的普及和网络的迅猛发展,计算机病毒呈现愈演愈烈的趋势,严重地干扰了正常的人类社会生活,给计算机系统带来了巨大的潜在威胁和破坏。
目前,病毒已成为困扰计算机系统安全和计算机应用的重大问题。
为了确保信息的安全与畅通,论文从计算机病毒的概念入手,分析计算机病毒的内涵及类型,分析和探讨了计算机病毒的产生机理、寄生特点、传播方式、危害表现以及计算机病毒的预防,检测和对抗等方面的技术,并对计算机病毒来源进行分析,以便构建自己的计算机病毒防范体系。
论文(设计)的主要内容及创新点:
论文首先讲述了计算机病毒的定义、病毒的特征、病毒的分类以及计算机病毒的各种症状。
然后讲述了计算机防范病毒的第一道关卡(防火墙)。
简单说明防火墙的定义、结构以及功能工作原理。
之后列举检测计算机病毒的一些方法如:
外观检测发,比较法,分析法等。
最后主要讲述了对计算机病毒的防范,从日常的操作习惯与计算机病毒防范的关系开始说起,之后具体讲述了对于不同病毒所要采取的不同的防范措施。
附:
论文(设计)
本人签名:
年月日
计算机病毒解析与防范
李静文
(山东师范大学历山学院计算机科学与技术2008级1班)
摘要:
计算机病毒被喻为21世纪计算机犯罪的五大手段之一,并排序为第二。
计算机病毒的攻击性,在于它能够破坏各种程序并蔓延于应用领域。
目前世界上上亿用户受着计算机病毒的困扰,有些还陷入极度的恐慌之中。
因为计算机病毒不仅破坏文件,删除有用数据,还可导致整个计算机系统瘫痪,给计算机用户造成了巨大的损失。
事实上人们产生上述不安的主要原因,在于对计算机病毒的误解,广大计算机用户有必要对计算机病毒的一些知识有比较明确的认识和全面的科学态度。
关键词:
计算机病毒;解析;防范措施。
中图分类号:
AnalysisandPreventionofComputerViruses
LiJingwen
(SchoolofLiShan,ShandongNormalUniversity)
Abstract:
Computervirusesareknowasthefivewaysforcomputercrimesinthe21stcenturyandalwaysstandatthesecongplaceofthefive.Theharmfulnessofthevirusesistheproductionofvariousdestructiveprogramsanditsquickpervasionintootherfields.Nowmillionsofusersarefrequentlyharassedbythevirusesandsomeareextremelyfrightened,becausecomputervirusesnotonlyunderminethefile,deletetheusefuldata,butalsoleadtoparalysisoftheentirecomputersystemtogivecomputeruserstocausegreatlosses.AtpresentthecomputervirusTnfact,theharassmentcomesfromthemisunderstandingoftheviruses.Sousersofcomputeroughttohavefurtherclearknowledgeandallsidedscientificviewofviruses.
Keywords:
Computerviruses;analyze;measure.
1.引言
随着计算机时代的来领,我们进入了信息社会。
计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全。
计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨大损失,人们称计算机病毒为“21世纪最大的祸患”。
目前由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。
因此,研究计算机病毒及防范技术具有重要意义。
(1)基于“视窗”的计算机病毒越来越多;
(2)新病毒层出不穷,感染发作有增无减;(3)网络成为计算机病毒传播的主要媒介;(4)病毒的破坏性不断增加。
近年来,中国计算机病毒的发病率高达55%。
特别是在互联网时代,病毒的传播范围越来越广。
目前的计算机病毒厂商的消除方面,都是发现新一个病毒后,立即分析它的运行机制,感染原理,编制程序进行查杀,最后加入到反病毒软件中,或放在网上供用户下载。
2.计算机病毒的解析
2.1计算机病毒的定义及特征
.计算病毒的定义
计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。
它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大[1]!
图1计算机病毒的结构
.计算机病毒的特征
(1)繁殖性
计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行的时候,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。
(2)传染性
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
传染性是病毒的基本特征。
在生物界,病毒通过传染从一个生物体扩散到另一个生物体。
在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。
同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
只要一台计算机染毒,如不及时处理,那么病毒会在这台电脑上迅速扩散,计算机病毒可通过各种可能的渠道,如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。
当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。
是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
(3)潜伏性
有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。
比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续危害。
潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。
触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
(4)隐蔽性
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
(5)破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。
通常表现为:
增、删、改、移。
(6)可触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。
为了隐蔽自己,病毒必须潜伏,少做动作。
如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。
病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。
病毒的触发机制就是用来控制感染和破坏动作的频率的。
病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
2.2计算机病毒的分类
根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:
按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:
一、按病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:
COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:
多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
二、按病毒传染的方法
根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
三、按病毒破坏的能力
无害型:
除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:
这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:
这类病毒在计算机系统操作中造成严重的错误。
非常危险型:
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。
由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。
一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。
例如:
在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失[4]。
四、按病毒的算法
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:
XCOPY.EXE的伴随体是XCOPY-COM。
病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。
有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:
练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段[3]。
诡秘型病毒它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。
利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。
它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
2.3计算机病毒的症状
计算机病毒的一般症状:
1.计算机系统运行速度减慢。
2.计算机系统经常无故发生死机。
3.计算机系统中的文件长度发生变化。
4.计算机存储的容量异常减少[5]。
5.系统引导速度减慢。
6.丢失文件或文件损坏。
7.计算机屏幕上出现异常显示。
8.计算机系统的蜂鸣器出现异常声响。
9.磁盘卷标发生变化。
10.系统不识别硬盘。
11.对存储系统异常访问。
12.键盘输入异常。
13.文件的日期、时间、属性等发生变化。
14.文件无法正确读取、复制或打开。
15.命令执行出现错误。
16.虚假报警。
17.换当前盘。
有些病毒会将当前盘切换到C盘。
18.时钟倒转。
有些病毒会命名系统时间倒转,逆向计时。
19.WINDOWS操作系统无故频繁出现错误。
20.系统异常重新启动。
21.一些外部设备工作异常。
22.异常要求用户输入密码。
23.WORD或EXCEL提示执行“宏”。
24.使不应驻留内存的程序驻留内存。
3.防火墙技术
3.1防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
图2防火墙位置示意图
3.2防火墙的类型
(1)网络层防火墙
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:
来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如WWW或是FTP)。
也能经由通信协议、TTL值、来源的网域名称或网段...等属性来进行过滤。
(2)应用层防火墙
应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。
理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。
不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。
XML防火墙是一种新型态的应用层防火墙。
3.3防火墙的基本特性
内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。
所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
典型的防火墙体系网络结构如下图所示。
从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。
所有的内、外部网络之间的通信都要经过防火墙。
只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
如下图[2]
图3防火墙自身应具有非常强的抗攻击免疫力
这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。
它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。
其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。
当然这些安全性也只能说是相对的。
目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。
而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。
防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等,它们都提供不同级别的防火墙产品。
防火墙的优点
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。
防火墙能够用来隔开网络中一个网段与另一个网段。
这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
3.4防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
例如互联网是不可信任的区域,而内部网络是高度信任的区域。
以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。
它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。
防火墙还可以关闭不使用的端口。
而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
网络安全的屏障
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上,而集中在防火墙一身上。
监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部nger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
4.计算病毒的检测
4.1外观检测法
病毒侵入计算机系统后,会使计算机系统的某些部分发生变化,引起一些异常现网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Fi象,如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。
我们可以根据这些异常现象来判断病毒的存在,尽早地发现病毒,并作适当处理。
外观检测法是病毒防治过程中起着重要辅助作用的一个环节[6]。
(1)屏幕显示异常
(2)声音异常
(3)键盘工作异常
(4)打印机、软驱等外部设备异常
(5)系统工作异常
(6)文件异常
4.2比较法
主比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。
比较时可以靠打印的代码清单(比如DEBUG的D命令输出格式)进行比较,或用程序来进行比较(如DOS的DISKCOMP、FC或PCTOOLS等其它软件)。
这种比较法不需要专用的查计算机病毒程序,只要用常规DOS软件和PCTOOLS等工具软件就可以进行。
而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。
因为计算机病毒传播得很快,新的计算机病毒层出不穷,由于目前还没有做出通用的能查出一切计算机病毒,或通过代码分析,可以判定某个程序中是否含有计算机病毒的查毒程序,发现新计算机病毒就只有靠比较法和分析法,有时必须结合这两者来一同工作[7]。
使用比较法能发现异常,如文件的长度有变化,或虽然文件长度未发生变化,但文件内的程序代码发生了变化。
对硬盘主引导扇区或对DOS的引导扇区做检查,比较法能发现其中的程序代码是否发生了变化。
由于要进行比较,保留好原始备份是非常重要的,制作备份时必须在无计算机病毒的
升级会员 