计算机病毒基本原理与方法措施Word格式文档下载.docx

1、计算机病毒可通过各种可能的渠道,如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。1.1.3潜伏性大部分的病毒感染系统之后一般不会马上发作, 它可长期隐藏在系统中, 只有在满足特定条件时才启动其表现（破坏）模块。只有这样它才能进行广泛地传播。1.2计算机病毒的发展趋势1.2.1传播手段多样化新病毒层出不穷,并呈现多样化的趋势。计算机病毒的变化在载荷形态上和自身的感染和攻击特性上也有可能发生。PZP自组织技术结合这些更新技术,能够为病毒设计提供更广阔的发展空间,是一个新的发展方向。1.2.2攻击的高速化随着技术的发展,计算机病毒原本就有着较快的攻击速度,3G时代的来到,智能手机、上网、无线路

2、由器等无线接入设备,开始成为黑客攻击的全新目标。它们利用这些设备的优势,趁虚而入,现在网络中己经出现大量无线破解的技术,短短时间内,轻则可以让攻击者免费的蹭网,重则可以通过ARP攻击植入木马窃取信息。1.2.3隐藏技术多样化计算机病毒的存在形式与将越来越高科技,病毒隐藏技术的进展可能设想通过数字水印技术来隐藏病毒，也可能通过操作系统或者网络层次的复杂化而在这些不对用户公开的层次进行隐藏，网络的隐藏,如采用编码技术,这些都有可能是未来计算机病毒存在的一些形式。2计算机病毒的基本原理2.1计算机病毒的结构计算机病毒一般由引导模块、感染模块和破坏模块3 大模块组成。图2.1计算机病毒的基本结构2.1

3、.1计算机病毒的引导模块引导模块的主要作用是将静态病毒激活，使之成为动态病毒。静态病毒没有处于加载状态，不能执行病毒的感染或破坏作用。动态病毒是指要么已进入内存处于活动状态的病毒，要么能通过调用某些中断而获得运行权，从而它就可以随心所欲。（1）开辟内存空间病毒要起作用，就必须驻留内存，要想驻留就必须开辟内存空间或直接覆盖系统占用的部分内存。（2）病毒体定位和驻留病毒进入内存后即脱离原载体程序，在内存驻留区域进行重定位，而且对内存中的病毒程序采取一定的保护措施，使之不会被正常程序覆盖掉。病毒驻留内存后，要对内存中的病毒程序设定某种激活方式，使之在适当的时候能取得运行权，包括改写中断向量，设置激活

4、感染和破坏条件等。在获得控制权后，病毒依据自身条件的制约，在适当的条件下进行感染和破坏。在 Windows 环境下，病毒驻留内存的方法与 DOS 环境下有些不同。一般Windows环境下的病毒有3种方法驻留内存：一是将病毒作为一个 Windows 环境下的应用程序，拥有自己的窗口（隐藏的）和消息处理函数；二是使用 DPMI申请一块系统内存，将病毒代码放入其中；三是将病毒作为一个V X D （W i n d o w s 9 X 下的设备驱动程序）或 V D D（Windows2000/NT 下的设备驱动程序）加载到内存中运行。在 Windows 环境下，进行一次文件系统调用可以有以下两种途径：一

5、是通过传统的 INT21H 中断，这和 DOS 环境下病毒的感染方式一样；二是通过 Windows 的应用程序编程接口（API ）进行，这两种方式最后都会归结为VXD或 VDD 调用，所以通过 VXD/VDD 形式的内存驻留病毒可以拦截这些调用并进行感染。（3）恢复系统功能为保证病毒驻入的系统能继续有效工作，提高隐蔽性，大多数病毒程序将病毒破坏的有关信息转储于其他特定单元，允许系统通过病毒程序使用。对于寄生在磁盘引导扇区的病毒来说，病毒引导程序占有了原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。这样系统一启动，病毒引导模块就会被自动地装入内存并获得执行权。然后该引导程序负责将病

6、毒程序的感染模块和破坏模块装入内存的适当位置，并采取常驻内存技术以保证这两个模块不会被覆盖，接着对该两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装入内存，使系统在带毒状态下运行。对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原可执行文件的头部参数的方法使自己与可执行文件链接在一起，并使自己能够在该文件被加载时首先进入系统，转入病毒程序引导模块，该引导模块也完成把病毒程序的其他两个模块驻留及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。为了进行感染和破坏，病毒一般还修改中断向量，最常见的是修改 INT21

7、H，这样病毒就可完全控制系统中所有文件的执行和读、写操作。2.1.2计算机病毒的感染模块感染模块主要完成病毒的动态感染，是各病毒必不可少的模块。各种病毒感染模块大同小异，区别主要在于感染条件。病毒在取得对系统的控制权后，先执行它的感染操作中的条件判断模块，判断感染条件是否满足；如果满足感染条件，进行感染，将病毒代码放入宿主程序；然后再执行其他的操作，最后再执行系统正确的处理。病毒可以对计算机系统的许多部位进行感染，如硬盘的主引导记录、硬盘的Boot区，软盘的Boot区、ovl文件（覆盖文件）、exe 文件、com 文件、C 文件等。病毒以它们为感染目标，又通过它们向更大的范围传播。计算机病毒对

8、宿主程序实施感染的过程和方法，是由病毒的感染机制决定的。病毒的感染机制就是它的感染方式，是由病毒程序制造者在编制病毒程序时规定的。2.1.3计算机病毒的破坏模块破坏模块主要完成病毒的破坏功能，是计算机病毒的主体模块。它负责实施病毒的破坏动作，其内部是实现病毒编写者预定破坏动作的代码，这些破坏动作可能是破坏文件、数据，或计算机的空间效率和时间效率，使系统的运行变慢，干扰视频显示，甚至使机器运行崩溃，这是病毒为了表明自己的存在和达到自己的目的，或早或晚是一定要发作的。2.2计算机病毒的入侵方式实施计算机病毒入侵的核心技术是解决病毒的有效注入其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传

9、感器网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用从国外技术研究现状来看，病毒注入方法主要有以下几种：2.2.1无线电方式主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式，同时技术难度也最大。2.2.2固化式方法把病毒事先存放在硬件（如芯片）和软件中，然后把此硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统，在需要时将其激活，达到攻击目的。2.2.3后门攻击方式后门，是计算机安全系统中的一个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。2.2.4数据控制链侵入方式随着因特网技术的广泛应用，使计算机病毒通

10、过计算机系统的数据控制链侵入成为可能使用远程修改技术，可以很容易地改变数据控制链的正常路径。3计算机病毒的防治3.1计算机病毒的检测方法计算机病毒进行传染，必然会留下痕迹。检测计算机病毒，就是要到寄生场所去检查，发现异常情况，确认计算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。一般对磁盘进行病毒检测时，要求内存不带病毒，因为某些计算机病毒向检测者报告假情况。因此，只有在要求确认某种病毒的类型和对其进行分析和研究时，才在内存中带病毒的情况下做检测工作。3.1.1特征代码法特征代码法被认为是用来检测已知病毒的最简单的方法。其原理是

11、将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，简称“病毒库”，检测时，以扫描的方式将待检测程序与病毒库中的病毒特征码进行一一对比，如果发现有相同的代码，则可判定该程序已遭病毒感染。3.1.2校验和法校验和法是将正常文件的内容，计算其“校验和”，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和和与原来保存的校验和是否一致，以此来发现文件是否感染。采用校验和法检测病毒，它既可发现已知病毒又可发现未知病毒。但是它不能识别病毒种类，不能报出病毒的名称。3.1.3预扫描技术预先扫描技术可以直接模拟 CPU 的

12、动作来检测变种病毒的活动, 研制出该病毒的病毒码, 是专门针对于未知的电脑病毒设计的。3.1.4软件模拟法多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒文件中的病毒代码相比较，也各不相同，无法找出相同的可能作为特征的稳定代码。为了检测多态性病毒，可采用软件模拟法。它是一种软件分析器，用软件方法来模拟和分析程序的运行，以后演绎为虚拟机上进行的查毒。新型检测工具纳入了软件模拟法，该类工具开始运行时使用特征代码法检测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码以后，再运行

13、特征代码法来识别病毒的种类。3.1.5感染实验法这种方法的原理是利用了病毒的最重要的基本特征：感染特性。所有的病毒都会进行感染，如果不会感染，就不称其为病毒。如果系统中有异常行为，最新版的检测工具也查不出病毒时，就可以做感染实验，运行可疑系统中的程序后，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序的长度和校验和，如果发现有的程序增长，或者校验和变化，就可断言系统中有病毒。3.1.6分析法技术分析法是反病毒技术人员对各种病毒进行详尽而认真的分析, 确认病毒的类型和种类, 详细分析病毒代码, 为制定相应的反病毒措施制定方案, 病毒检测分析法是反病毒工作中不可或缺的重要技术。3.1.7比

14、较法比较法是用原始的或正常的文件与被检测的文件进行比较 。（1）长度比较法及内容比较法病毒感染系统或文件，必然引起系统或文件的变化，既包括长度的变化，又包括内容的变化。因此，将无毒的系统或文件与被检测的系统或文件的长度和内容进行比较，既可发现病毒。（2）内存比较法这是一种对内存驻留病毒进行检测的方法。由于病毒驻留于内存，必须在内存中申请一定的空间，并对该空间进行占用、保护。因此，通过对内存的检测，观察其变化，与正常系统内存的占用和空间进行比较，可以判断是否有病毒驻留其间。（3）中断比较法病毒为实现其隐蔽和传染破坏之目的，常采用“截留盗用”技术，更改、接管中断向量，让系统中断向量转向执行病毒控制

15、部分。因此，将正常系统的中断向量与有毒系统的中断向量进行比较，可以发现是否有病毒修改和盗用中断向量。3.2计算机病毒的清除方法3.2.1引导型病毒的清除方法引导型病毒感染时的攻击部位有硬盘主引导扇区和硬盘或软盘的 Boot 扇区。为了保存原主引导扇区、Boot 扇区，病毒可能随意地将它们写入其他扇区，而破坏这些扇区。（1）恢复硬盘主引导扇区a.用无毒的软盘启动系统。b.寻找一台同类型、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张软盘；或者病毒感染前硬盘主引导扇区有备份，将备份的主引导扇区写入一张软盘。c.将此软盘插入染毒机器，将其中采集的主引导扇区数据写入染毒硬盘，即可修复。（2）恢复硬

16、盘软盘 Boot扇区寻找与染毒盘相同版本的无毒系统盘，执行 SYS 命令，即可修复。3.2.2文件型病毒的清除方法（1）分析病毒与被感染文件之间的链接方式。（2）确定病毒程序是位于文件的首部还是尾部，找到病毒程序开始和结束的位置，还原被感染文件的主要部分。（3）恢复被感染文件的头部参数感染 COM 文件的病毒会把 COM 文件的头 3B（三个字节）代替为病毒程序，并且把这3B 保存在病毒体中。恢复时，就要从病毒体中找出这3 B ，用来替换文件头中的病毒程序 。EXE 文件被病毒感染后，文件头中的 CS、IP 、SS 、SP 等字段会被病毒修改，与被感染的COM 文件一样，这些字段的原有值被存放

17、在病毒体中。找出这些参数后，恢复文件头中的CS 、IP 、SS 、SP 等字段的值。另外，清除文件中的病毒后，文件的长度会变短，因此需要修改文件头中的长度参数。最后，把恢复后的内容写入文件。在这一过程中，因为不包括病毒体，文件长度会变短，只要把文件的正常内容写入文件，病毒体就会被清除。3.2.3宏病毒的清除方法（1）在没打开任何文件（文档文件或模板文件）的情况下，启动 W o r d 。（2）选择菜单“工具 / 模板和加载”项中的“管理器 / 宏方案”项。（3）删除左右两个列表中除了自己定义的之外的所有宏 。（4 ）关闭对话框。（5 ）选择菜单“工具 / 宏”，若有 A u t o O p e n 、AutoNew、AutoClose 等宏，则加以删除。以上步骤清除了 Word 系统的病毒。下面打开.doc 文件，重复上面的项，然后将文件存盘，则该.doc 文件的病毒便被清除了。4总结计算机病毒的广泛流行已成为威胁计算机安全的一个重要方面，因此了解计算机病毒，掌握病毒的防治方法对维护计算机安全是十分重要的。为了最大限度地减少计算机病毒的发生和危害，本文介绍了关于计算机病毒的特点、原理以及防治方法，用于清除常见的计算机病毒。