计算机病毒的防御策略.docx

1、计算机病毒的防御策略计算机病毒的防御策略摘 要随着科技的进步，计算机不断普及，其利用率越来越高。应用领域也越来越广。以计算机位单元的网络系统更已经成为了人类所构建的最丰富多彩的虚拟世界，计算机网络的发展给我们日常的工作和学习带来了巨大的改变。我们通过网络获得信息，共享资源。但是计算机的发展也是一把双刃剑，在给人们带来了快乐满足和便利的同时也随着计算机网络的产生发展让计算机安全受到了越来越多的威胁。伴随着计算机系统的不断进步，许多的计算机系统漏洞也被发现了出来，病毒与黑客的技巧和破坏能力的提高，导致处于网络中的计算机受到越来越多的攻击。每天成千上万的病毒、蠕虫、木马、垃圾邮件在网络上传播，阻塞甚

2、至中断网络，破坏计算机系统或丢失各种重要信息等：这些新型的混合威胁导致个人甚至企业出现了巨大的损失。在网络日益复杂化、多样化的今天，如何有效的保护计算机系统的安全，不被病毒等恶意信息攻击，早已引起了社会的极大关注。为了加强目前计算机的防护能力，我们需要明确病毒的定义特点、危害、入侵路径，进行综合分析并作出有效的防御策略，以期能最大限度地减少计算机病毒带来的危害。关键词：计算机病毒；危害;防御 ；处理第一章 绪 论1.1计算机病毒的定义1.2计算机病毒的产生1.3计算机病毒的特性1.4计算机病毒的分类第二章 计算机病毒的危害 2.1电脑运行缓慢2.2消耗内存以及磁盘空间2.3破坏硬盘以及电脑数据

3、2.4狂发垃圾邮件或其他信息，造成网络堵塞或瘫痪2.5窃取用户隐私、机密文件、账号信息等2.6计算机病毒给用户造成严重的心理压力2.7 计算机病毒错误与不可预见的危害第三章 计算机病毒的防御策略 3.1计算机病毒的防范3.2计算机病毒的处理结论致谢参考文献 第一章 绪 论1.1计算机病毒的定义 对于“计算机病毒”这个概念，很多专家和学者也做过许多不尽相同的定义。计算机病毒（Computer Virus），实际上应该被称作位“为达到特殊目的而制作和传播的计算机代码或程序”，或者被称谓“恶意代码”。真正从学术意义上最早提出“计算机病毒”概念的是美国计算机病毒研究专家F.Cohen博士。有关计算机病

4、毒的定义有多种，目前最流行的定义为：计算机病毒是一段附着在其他程序上的、可以自我繁殖的程序代码。我国颁布实施的中华人民共和国计算机信息系统安全保护条例以及公安部出台的计算机病毒防治管理办法将计算机病毒定义如下 ：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 计算机病毒作为一种计算机程序，之所以被人们称为“病毒”，最主要的原因就是它对计算机的破坏作用与医学上的“病毒”对生物体的破坏作用极其相似，它与生物医学上的“病毒”同样具有传染性和破坏性，因此我们就将生物医学上的“病毒”概念进行引申，从而产生了“计算机病毒

5、”这个名词。但计算机病毒和生物学上的病毒不同的是，计算机病毒不是天然存在的，而是某些别有用心的人利用自己所掌握的计算机知识，针对计算机软、硬件所固有的脆弱性而编制的具有特殊功能（通常是攻击计算机软、硬件）的程序，也就是说它是一段程序。因此，从广义上讲，凡是能够引起计算机故障，影响计算机正常运行的、破坏计算机数据的所有程序，统称为“计算机病毒”。 1.2计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：（1）计算机病毒是计算机犯罪的一种新的衍化形式。计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而

6、刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现； （2）计算机软硬件产品的脆弱性是根本的技术原因。计算机是电子产品，数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式,效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便；（3）微机的普及应用是计算机病毒产生的必要环境。1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延，到我国才是近年来的事。而这

7、几年正是我国微型计算机普及应用热潮。微机的广泛普及，操作系统简单明了，软、硬件透明度高，基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多，对其存在的缺点和易攻击处也了解的越来越清楚，不同的目的可以做出截然不同的选择1.3计算机病毒的特性1.寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。2.传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感

8、染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被

9、该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序；3.潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件

10、时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等；4.隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。5.破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移。6.可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，

11、一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏7.程序性 计算机病毒本身是一段可执行的程序，可以直接或者间接地得到运行，在运行是与合法的程序争夺系统控制权8.表现性 无论任何病毒一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用，病毒程序也要占用系统资源。而绝大多数病

12、毒程序都会显示一些文字或图像，影响系统的正常运行；还有一些病毒程序删除文件，加密磁盘中的数据，甚至摧毁整个系统和数据，使之无法恢复，从而造成无可挽回的损失。因此，病毒程序的副作用轻则降低系统的工作效率，重则导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。9.针对性 一种计算机病毒并不能感染所有的计算机系统或计算机程序。计算机病毒往往是针对某种系统或针对某类对象进行传染和攻击的。有的病毒是感染IBM PC级，有的感染DOS系统，而有点感染Windows系统，有的感染磁盘引导区，有的感染可执行文件等。10.变异性 计算机病毒在发展、演化过程中可以产生变种。有些病毒能够产

13、生几十甚至上百种变种。病毒变异技术的发展是当前计算机病毒技术发展的一个主要特点，也是计算机病毒大量出现的一个重要原因。1.4计算机病毒的分类1、按感染对象分为引导型、文件型、混合型、宏病毒,文件型病毒主要攻击的对象是.COM及、EXE等可执行文件;按其破坏性分良性病毒、恶性病毒!2、 按照病毒程序入侵系统的途径，可将计算机病毒分为以下四种类型： 操作系统型：这种病毒最常见，危害性也最大。 外壳型：这种病毒主要隐藏在合法的主程序周围，且很容易编写，同时也容易检查和删除。 入侵型：这种病毒是将病毒程序的一部分插入到合法的主程序中，破坏原程序。这种病毒的编写比较困难。 源码型：这种病毒是在源程序被编

14、译前，将病毒程序插入到高级语言编写的源程序中，经过编译后，成为可执行程序的合法部分。这种程序的编写难度较大，一旦插入，其破坏性极大。第二章计算机病毒的危害 2.1电脑运行缓慢病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：（1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视， 这相对于计算机的正常运行状态既多余又有害。（2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行； 而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上

15、万条指令。（3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢， 而且软盘正常的读写顺序被打乱，发出刺耳的噪声。 2.2消耗内存以及磁盘空间如果你并没有存取磁盘，但磁盘指示灯狂闪不停，这可能预示着电脑已经受到病毒感染了。很多病毒在活动状态下都是常驻内存的，如果你发现你并没有运行多少程序时却发现系统已经被占用了不少内存，这就有可能是病毒在作怪了；引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测

16、出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 2.3破坏硬盘以及电脑数据引导区病毒会破坏硬盘引导区信息，使电脑无法启动，硬盘分区丢失。如果某一天，你的机器读取了软盘后，再也无法启动，而且用其它的系统启动盘也无法进入，则很有可能是中了引导区病毒；正常情况下，一些系统文件或是应用程序的大小是固定的，某一天，当你发现这些程序大小与原来不一样时，十有八九是病毒在作怪。有些病毒会将某些磁区标注为坏轨，而将自己隐藏其中，例如Disk Killer会寻找3或5个连续未用的磁区，并将其标示为坏

17、轨，如果哪天你发现使用正常的磁盘，突然扫描时发现了一些坏道，也有可能是病毒在作怪。 2.3破坏硬盘以及电脑数据2.4狂发垃圾邮件或其他信息，造成网络堵塞或瘫痪蠕虫病毒发作的一大症状是疯狂向外发送毒邮件，如果哪天你的朋友莫名其妙地抱怨你给他发送了许多病毒邮件，则可以肯定，你中了蠕虫病毒了。蠕虫病毒还能向外发送大量数据，严重的导致网络堵塞或瘫痪等现象。而利用即时通讯软件狂发信息，这则是近来这些蠕虫病毒的另一种传播新途径。 2.5窃取用户隐私、机密文件、账号信息等如今已是木马大行其道的时代，据统计如今木马在病毒中比较已占七成左右。而其中大部分都是以窃取用户信息，以获取经济利益为目的，如窃取用户资料，

18、网银账号密码，网游账号密码等。一旦这些信息失窃，将给用户带来不少经济损失。 2.6计算机病毒给用户造成严重的心理压力病毒的泛滥使用户提心吊胆，时刻担心遭受病毒的感染，而一旦出现诸如计算机死机、软件运行异常等现象，人们往往就会怀疑这些现象可能是计算机病毒造成的。感染病毒可能带来极大的时间，精力以及经济上的损失，这使人们对病毒产生恐惧感，计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，还会影响到一些诸如网络银行等的网络应用的普及，由此带来的无形损失是难以估量的。随着网络应用在日常工作生活中的重要性越来越高，这种危害只会越来越大 2.7

19、计算机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误，乒乓病毒有5处错误等。但是人们不

20、可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。 第三章计算机病毒的防御策略 3.1计算机病毒的防范 防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。为了将病毒拒之门外，就要做好以下预防措施： 3.1.1 树立病毒防范意识，从思想上重视计算机病毒 要从思想上重视计算机病毒可能会给计算机安全运行带来的危害。对于计算机病毒，有病毒防护意识的人和没有病毒防护意识的人对待病毒的态度完全不同。例如对于反病毒研究人员，机器内存储的上千种病毒不会随意进行破坏，所采取的防护措施也并不复杂。而对于病毒毫无警惕意识的人员，可能连计算机显示屏上出现的病毒信息都不去

21、仔细观察一下，任其在磁盘中进行破坏。其实，只要稍有警惕，病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。 3.1.2 安装正版的杀毒软件和防火墙，并及时升级到最新版本(如瑞星、金山毒霸、江民、卡巴斯基、诺顿等)。 另外还要及时升级杀毒软件病毒库，这样才能防范新病毒，为系统提供真正安全环境。 3.1.3 及时对系统和应用程序进行升级 及时更新操作系统，安装相应补丁程序，从根源上杜绝黑客利用系统漏洞攻击用户的计算机。可以利用系统自带的自动更新功能或者开启有些软件的“系统漏洞检查”功能，全面扫描操作系统漏洞，要尽量使用正版软件，并及时将计算机中所安装的各种应用软件升级到最新版本，其中包括各种即时通

22、讯工具、下载工具、播放器软件、搜索工具等，避免病毒利用应用软件的漏洞进行木马病毒传播。 3.1.4 把好入口关 很多病毒都是因为使用了含有病毒的盗版光盘，拷贝了隐藏病毒的U盘资料等而感染的，所以必须把好计算机的“入口”关，在使用这些光盘、U盘以及从网络上下载的程序之前必须使用杀毒工具进行扫描，查看是否带有病毒，确认无病毒后，再使用。 3.1.5 不要随便登录不明网站、黑客网站或色情网站 用户不要随便登录不明网站或者黄色网站，不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等，这样可以避免网络上的恶意软件插件进入你的计算

23、机。 3.1.6 养成经常备份重要数据的习惯 要定期与不定期地对磁盘文件进行备份，特别是一些比较重要的数据资料，以便在感染病毒导致系统崩溃时可以最大限度地恢复数据，尽量减少可能造成的损失。 3.1.7 养成使用计算机的良好习惯 在日常使用计算机的过程中，应该养成定期查毒、杀毒的习惯。因为很多病毒在感染后会在后台运行，用肉眼是无法看到的，而有的病毒会存在潜伏期，在特定的时间会自动发作，所以要定期对自己的计算机进行检查，一旦发现感染了病毒，要及时清除。 3.1.8 要学习和掌握一些必备的相关知识 无论您是只使用家用计算机的发烧友，还是每天上班都要面对屏幕工作的计算机一族，都将无一例外地、毫无疑问地

24、会受到病毒的攻击和感染，只是或早或晚而已。因此，一定要学习和掌握一些必备的相关知识，这样才能及时发现新病毒并采取相应措施，在关键时刻减少病毒对自己计算机造成的危害 3.1.9关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如FTP客户端、Telner和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除他们，就能大大减少被攻击的可能性。 3.2计算机病毒的处理 3.2.1 一般病毒处理 感染病毒的计算机表现为速度减慢、出现死机、自动重启、系统的CPU 使用率很高?在网络连接状态上可以看到大量地收发数据包。在系统进程中可以看到winaii.exe和

25、netlink32.exe 两个程序在运行。 一般处理方法如下：(1)、进入任务管理器结束winaii.exe 和netlink32.exe 进程然后打开资源管理器，进入c:windowssystem32 目录,查找winaii.exe 和netlink32.exe 两文件将其删除。在系统启动项目开始运行msconfig,进入中去掉其相应的加载启动项。然后安装杀毒软件,升级病毒库后进行杀毒。接着安装相关windows的补丁程序重启系统。(2)、如果按如上的方法不能清除病毒,可以从安全模式下进行处理,方法如下:在安全模式下打开注册表在“编辑”中“查找”“winaii.exe”和“netlink3

26、2.exe”,删除找到的“winaii.exe”和“netlink32.exe”项目。查看windowssystem32 目录下是否有winaii.exe 和netlink32.exe 这两个文件，有则删除。最后杀毒、打补丁并重启计算机。(3)、该病毒具有密码库，能够破解机子的一些较简单的密码，密码仅包含数字或26个字母称为简单密码。往往刚杀完病毒后又染上该病毒了。所以在杀毒的过程中最好断开网络连接，确定杀完病毒和打好补丁后，为机子重设一个复杂的密码，密码包含问号、点号等特殊符号。 3.2.2 其他病毒处理 一般大范围传播的病毒都会让用户在重新启动电脑的时候能够自动运行病毒，来达到长时间感染计

27、算机并扩大病毒的感染能力。通常病毒感染计算机第一件事情就是杀掉他们的天敌-安全软件，比如卡巴斯基、360、安全卫士、金山毒霸等等。这样用户就不能通过使用杀毒软件的方法来处理已经感染病毒的电脑。 我们要解决病毒可以首先解决在计算机重启以后自我启动。通常病毒会这样进行自我启动。直接自启动：(1).引导扇区(2).驱动(3).服务(4).注册表 。间接自启动：印象劫持autorun.inf 文件、HOOK感染文件。放置一个诱惑图标让用户点击等等。 清理方式：首先删掉注册表文件中病毒的启动项。最最常见启动位置在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr

28、entVersionRun。删除所有该子项内的字符串等，只留下cftmon.exe 。立即按机箱上的重启键，不让病毒回写注册表。正常关机可能会激活病毒回写进启动项目，比如“磁碟机”。如果病毒仍然启动，就要怀疑有服务或者驱动。那么这个时候就需要有一定计算机能力的人，用批处理或者其他的程序同时找到并关闭病毒的服务和删除注册表。然后快速关机。驱动一般在系统下很难删除，所以可以用上面的Xdelete或者icesword、wsyscheck或者进入DOS、WPE等其他系统进行删除。 如果是通过引导扇区启动，用户还要用其他软件，比如：diskgen重写主引导记录。如果是通故BIOS启动，用放电法还原BIO

29、S。当病毒不能启动以后，我们需要注意的是不要再激活病毒，删掉autorun.inf 可疑文件，删除印象劫持的注册表等可能触发病毒的系统设置。用干净的U 盘去其他电脑拷贝一个杀毒软件安装以后，升级到最新的病毒库，全盘查杀病毒残留。 直接删除病毒文件方法：在病毒正在运行的系统里,直接删除病毒文件会很难的。如果在网上找到该病毒机理。进入DOS,找到所有病毒文件路径，可以很轻松的删除病毒文件。除了感染型病毒。杀毒完以后，我们先不要重新启动电脑，看看到底删除了什么。如果有被感染的系统文件删掉了，注意从相同系统拷贝一个，否则可能不能开机。然后重启，进系统用其他安全软件修复系统。 真正我们电脑感染上棘手的病

30、毒最简单有效的方法就是重装系统。如果C盘、系统盘有重要资料先备份。不能开机，可以进入PE 备份。 3.2.3 常见病毒的九大藏身地(1).点击 开始- 程序- 启动看一看里面有没有这些打开注册表开始- 运行 输入:regedit回车按以下路径展开注册表左边树状表(2).HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload (3).HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit(4).HKEY_CURRENT_U

31、SERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun(5).HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce(6).HKEY_CURRENT_USE

32、RSoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices(7).HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetupHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceSetup(8).HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOn