计算机病毒的原理与防御.docx
《计算机病毒的原理与防御.docx》由会员分享,可在线阅读,更多相关《计算机病毒的原理与防御.docx(17页珍藏版)》请在冰豆网上搜索。
计算机病毒的原理与防御
计算机病毒的原理与防御
[关键词]计算机病毒防范
[摘要]随着计算机在社会生活各个领域的广泛运用,以及电脑的普及和网络的迅猛发展,计算机病毒呈现愈演愈烈的趋势,严重地干扰了正常的人类社会生活,给计算机系统带来了巨大的潜在威胁和破坏。
目前,病毒已成为困扰计算机系统安全和计算机应用的重大问题。
为了确保信息的安全与畅通,从计算机病毒的概念入手,分析计算机病毒的内涵及类型,并对计算机病毒来源进行分析,最后介绍计算机病毒的主要防护措施。
一、计算机病毒的基本概念
计算机病毒的定义:
计算机病毒与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。
其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自复制到其他程序中,从而感染它们。
计算机病毒的特征:
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除,计算机病毒除复制能力外,还有其他的一些特征:
寄生性、传染性、潜伏性、
隐蔽性、破坏性、可触发性。
计算机病毒的分类:
按照计算机病毒存在的媒体进行分类,存在以下几种:
1.网络病毒
通过计算机网络传播感染网络中的可执行文件。
2.文件病毒
感染计算机中的文件(如:
COM,EXE,DOC等)。
3.引导型病毒
引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。
4.混合型病毒
即这三种情况的混合型,例如:
多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
按照计算机病毒传染的方法进行分类:
1.驻留型病毒
驻留型病毒感染计算机后,把自身的内存驻留部分放在内存中,这一部分程序挂接系统调用且合并到操作系统中去,并处于激活状态,一直到关机或重新启动。
2.非驻留型病毒
非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染。
按照病毒破坏的能力进行分类:
1.无害型
除了传染时减少磁盘的可用空间外,对系统没有其它影响。
2.无危险型
仅仅减少内存或显示图像或发出声音。
3.危险型
在计算机系统操作中造成严重的错误。
4.非常危险型
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。
按照病毒特有的算法进行分类:
1.伴随型病毒
伴随型病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM)。
2.“蠕虫”型病毒
“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台计算机的内存传播到其它计算机的内存,并计算网络地址,将自身的病毒通过网络发送。
有时它们在系统存在,一般除了内存不占用其它资源。
3.寄生型病毒
除了伴随型病毒和“蠕虫”型病毒,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
4.变型病毒
变型病毒,又被称为幽灵病毒,这一类病毒使用一个复杂的算法,使自己传播的每一份都具有不同的内容和长度。
它们通常是由一段混有无关指令的解码算法和被变化过的病毒体组成。
按照病毒名进行分类:
1.系统病毒
系统病毒的前缀为:
Win32、PE、Win95、W32、W95等。
这些病毒的一般共有的特性是可以感染windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。
如CIH病毒。
2.蠕虫病毒
蠕虫病毒的前缀是:
Worm。
这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
比如冲击波(阻塞网络),小邮差(发带毒邮件)等。
3.木马病毒、黑客病毒
木马病毒其前缀是:
Trojan,黑客病毒前缀名一般为Hack。
木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。
木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。
4.脚本病毒
脚本病毒的前缀是:
Script。
脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。
脚本病毒还会有如下前缀:
VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5.宏病毒
宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。
宏病毒的前缀是:
Macro,第二前缀是:
Word、Word97、Excel、Excel97(也许还有别的)其中之一。
6.后门病毒
后门病毒的前缀是:
Backdoor。
该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
7.病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。
如:
冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:
Harm。
如:
格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:
Joke,也称恶作剧病毒。
如:
女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:
Binder。
如:
捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
二、计算机病毒的实验报告:
实验一:
用主流反病毒产品扫描(以金山为例,扫描我的电脑):
现在一般的电脑上都会装有一些主流的杀毒软件,直接对我的电脑进行扫描就可以起到基本的维护,现以金山为例截图扫描的结果。
实训二:
注册表维护实验
结合注册表知识掌握注册表的安全维护和注册表的权限设置,在安装windowsXP操作系统的联有局域网的电脑上设置注册表信息。
打开“注册表编辑器”;依次单击“开始→运行”,键入regedit,然后单击“确定”。
(1)、给注册表项指派权限
A、打开注册表编辑器
B、单击想要指派权限的项
C、单击“编辑”菜单上的“权限”。
如图所示:
D、给所选项指派访问级别
E、授予用户对所选项的特别权限,单击“高级”如图所示
(2)、给注册表项指派特殊访问
A、打开注册表编辑器
B、单击想要指派特殊访问权限的项
C、单击“编辑”菜单上的权限
D、单击“高级”,再双击要为其指派特殊访问权限的用户或组
E、在“权限”下,对每个要允许或者拒绝的权限选中“允许”或者“拒绝”复选框。
(3)、向权限列表中添加用户或组
A、打开注册表编辑器
B、单击要更改其“权限”列表的项
C、单击“编辑”菜单上的“权限”,然后单击“添加”
D、在“选择用户、计算机或组”对话框中,单击“位置”,然后单击要查看的用户和组所在的计算机或域
E、键入要添加的用户名或组名,名称之间用分号分隔。
单击“示例”查看用于输入名称的某些语法示例。
单击“检查名称”来验证带有目录的名称。
输入完名称后,单击“确定”。
F、在“权限”对话框的“名称的权限”之下,给所选用户或组指派某个访问类型。
G、如要授予用户读取该项内容的权限,但不保存对文件的任何更改,选中“读取”项的“允许”复选框。
H、如要授予用户打开、编辑和获得所选项所有权的权限,选中“完全控制”的“允许”复选框。
(4)、从权限列表中删除用户或组
A、打开注册表编辑器
B、单击要更改其“权限”列表的项
C、单击“编辑”菜单上的“权限”
D、在“组或用户名”下,单击想要从“权限”列表中删除的用户或组名
E、单击“删除”
(5)、授予对注册表项的完全控制
A、打开注册表编辑器
B、单击要授予完全控制的项
C、单击“编辑”菜单上的“权限”
D、在“组或用户名称”下,单击要授予其对注册表项拥有完全控制权的用户
(6)、审核注册表项的活动
A、打开注册表编辑器
B、单击要审核的项
C、单击“编辑”菜单上的“权限”
D、单击“高级”,然后单击“审核”选项卡
E、选择组名或用户名
F、在“访问”下,选中或清除审核或停止审核活动的复选框。
(7)、向审核列表中添加用户或组
(8)、从审核列表中删除用户或组
(9)、取得注册表项的所有权
A、打开注册表编辑器
B、单击想要去的其所有权的项
C、单击“编辑”菜单上的“权限”
D、单击“高级”,然后单击“所有者”选项卡
E、在“将所有者更改为”下,单击新的所有者,然后单击“确定”。
实训三:
宏病毒实验
一、宏病毒的原理
病毒WORD/EXCEL宏病毒的特性较为相似,因此我们仅以WORD宏病毒为例,说明宏病毒的作用、传染以及发作的机理和特性。
宏病毒的产生,是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。
这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和传递,从而在未经使用者许可的情况下获取某种控制权,达到传染的目的。
目前在可被宏病毒感染的系统中,以微软的Word、Excel居多。
二、宏病毒的作用机制
以Word为例,一旦病毒宏侵入WORD,它就会替代原有的正常宏,如FileOpen、FileSave、FileSaveAs和FilePrint等等,并通过这些宏所关联的文件操作功能获取对文件交换的控制。
当某项功能被调用时,相应的病毒宏就会纂夺控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等等。
宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏(包括自动宏)复制到该文档中。
被转换成模板格式后的染毒文件无法转存为任何其它格式。
含有自动宏的宏病毒染毒文档,当被其它电脑的WORD系统打开时,便会自动感染该电脑。
例如,如果病毒捕获并修改了FileOpen,那么,它将感染每一个被打开的WORD文件。
目前,几乎所有已知的宏病毒都沿用了相同的作用机理,即如果WORD系统在读取一个染毒文件时遭受感染,则其后所有新创建的DOC文件都会被感染。
三、宏病毒的主要类型
有些宏病毒对用户进行骚扰,但不破坏系统,比如说有一种宏病毒在每月的13日发作时显示出一5个数字连乘的心算数学题。
有些宏病毒或使打印中途中断或打印出混乱信息,如Nuclear、Kompu等属此类。
有些宏病毒将文档中的部分字符、文本进行替换。
但也有些宏病毒极具破坏性,如MDMA.A,这种病毒既感染中文版Word,又感染英文版Word,发作时间是每月的1日。
此病毒在不同的Windows平台上有不同的破坏性表现,轻则删除帮助文件,重则删除硬盘中的所有文件。
另外还有一种双栖复合型宏病毒,发作可使计算机瘫痪。
四、宏病毒的预防与清除
1、预防
①将常用的Word模板文件改为只读属性,可防止Word系统被感染;DOS下的autoexec.bat和config.sys文件最好也都设为只读属性文件。
②因为宏病毒是通过自动执行宏的方式来激活、进行传染破坏的,所以只要将自动执行宏功能禁止掉,即使有宏病毒存在,但无法被激活,也无法发作传染、破坏,这样就起到了防毒的效果。
可以使用下面命令行来使所有自动宏无效:
winword.exe/mDisableAutoMacros
2、清除
①手工:
以Word为例,选取“工具”菜单中“宏”一项,进入“管理器”,选取标题为“宏”的一页,在“宏有效范围”下拉列表框中打开要检查的文档。
这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。
②使用专业杀毒软件:
目前杀毒软件公司都具备清除宏病毒的能力,当然也只能对已知的宏病毒进行检查和清除,对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是手工清理为妙。
实训四:
网页病毒实验
结合实训中给的“万花谷”病毒为例,可以使得计算机在浏览网页时不停的打开网页。
这张图就是网页中毒后不停打开很多“网易”主页的截图。
实训五:
脚本病毒实验
脚本病毒的共有特性:
脚本病毒的前缀是:
Script。
脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)脚本病毒通常有如下前缀:
VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
防止恶意脚本的一些通用的方法:
1.可以通过打开“我的电脑”,依次点击[查看]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。
这样这些文件就不会被执行了。
2.在IE设置中将ActiveX插件和控件以及Java相关全部禁止掉也可以避免一些恶意代码的攻击。
方法是:
打开IE,点击[工具]→[Internet选项]→[安全]→[自定义级别],在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。
不过这样做以后,一些制作精美的网页我们也无法欣赏到了。
3.及时升级系统和IE并打补丁。
选择一款好的防病毒软件并做好及时升级,不要轻易地去浏览一些来历不明的网站。
这样大部分的恶意代码都会被我们拒之“机”外。
这是一个脚本病毒的源程序:
Setfso=CreateObject("Scripting.FileSystemObject")
'创建一个文件系统对象
Setself=fso.OpenTextFile(WScript.ScriptFullName,1)
'读打开当前文件(即病毒本身):
VbsCopy=self.ReadAll'读取病毒全部代码到字符串变量VbsCopy
SettsObj=fso.OpenTextFile("C:
\test.txt",2,true)
'打开目标文件,准备写入病毒代码:
tsObj.writeVbsCopy'将病毒代码覆盖目标文件
tsObj.close
Setdes=fso.GetFile("C:
\test.txt")'得到目标文件路径
des.copy("d:
\test.txt"&".vbs")'创建另外一个病毒文件(以.vbs为后缀)
'des.delete(true)'删除目标文件
实训六:
木马原理理解实验
1.木马的特性
伪装性隐藏性破坏性窃密性
2.木马的入侵途径
捆绑欺骗利用网页脚本入侵利用漏洞入侵和病毒协作入侵
3.木马的连接方式
一般木马都采用C/S运行模式,它分为两部分,即客户端和服务器端木马程序。
黑客安装木马的客户端,同时诱骗用户安装木马的服务器端。
木马的传统连接方式
第一代和第二代木马均采用传统的连接方式,即由木马的客户端程序主动连接服务器端程序。
木马的反弹端口技术:
灰鸽子是国内近年来危害非常严重的一种木马程序。
“灰鸽子”的连接与配置
“灰鸽子”的检测
灰鸽子的查杀
实训七:
常用计算机病毒行为监控软件的使用
1、掌握计算机病毒各种常见行为。
2、熟悉常用计算机病毒行为监控软件的使用。
3、熟悉常用文件监控软件Filemon的使用。
4、熟悉常用注册表监控软件Regmon的使用。
5、熟悉常用进程监控软件ProcessExplorer的使用。
6、熟悉网络行为监控工具(命令)netstat和Tcpview的使用。
7、熟悉计算机病毒行为综合监控工具InCtrl5和Procmon的使用。
三、计算机病毒防范措施
1.应养成及时下载最新系统安全漏洞补丁的安全习惯,从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。
同时,升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。
2.定期做好重要资料的备份,以免造成重大损失。
3.选择具备“网页防火墙”功能的杀毒软件,每天升级杀毒软件病毒库,定时对计算机进行病毒查杀,上网时开启杀毒软件全部监控。
4.不要随便打开来源不明的Excel或Word文档,并且要及时升级病毒库,开启实时监控,以免受到病毒的侵害。
5.上网浏览时一定要开启杀毒软件的实时监控功能,以免遭到病毒侵害。
6.上网浏览时,不要随便点击不安全陌生网站,以免遭到病毒侵害。
7.及时更新计算机的防病毒软件、安装防火墙,为操作系统及时安装补丁程序。
8.在上网过程中要注意加强自我保护,避免访问非法网站,这些网站往往潜入了恶意代码,一旦用户打开其页面时,即会被植入木马与病毒。
9.利用WindowsUpdate功能打全系统补丁,避免病毒从网页木马的方式入侵到系统中。
10.将应用软件升级到最新版本,其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站,避免病毒利用其他应用软件漏洞进行木马病毒传播。
参考文献:
1、车生兵著,《微型计算机病毒NATAS机理》,中南大学出版社,1998
2、车生兵著,《典型计算机病毒与系统研究》,冶金工业出版社,2007
3、林正浩编著,《实用汇编语言入门与编程技巧》,海洋出版社,1994
4、李凤华等编著,《MS-DOS5.0内核破析》,西安电子科技大学出版社,1992
5、张昆沧编著,《操作系统原理》,清华大学出版社,1994
升级会员 