计算机病毒的原理与防范研究最新版文档格式.docx

1、评 语 论文逻辑结构合理，写作态度端正，选题符合专业方向。 能够运用所学知识分析问题并给出解决对策。同时积极地将理论知识与实践相联系。 指导教师 张青云 （签章）成 绩 2015年 4月 1 日 摘 要计算机的日益普及，网络技术也在飞快的发展，计算机病毒的传播也越来越快，范围越来越广，病毒带来的危害越越来越严重，如何才能有效的防御住病毒攻击，早发现，早清除，减少损失，成了用户最为关切的问题。计算机病毒其实是一种人为编写的计算机运行代码或者说是计算机运行程序，某些人在掌握了一定的计算机知识，计算机硬件软件知识的基础上编写出来，通常是用于攻击其他计算机软硬件，照成故障或信息泄露。在一定意义上来说，

2、计算机病毒就是指可以破坏计算机的数据，影响计算机正常使用，可以造成计算机损坏的计算机程序。关键词：病毒； 危害； 传播； 防范1. 计算机病毒的概念及危害1.1 计算机病毒的概念计算机病毒在中华人民共和国计算机信息系统安全保护条例中说明：病毒指“编程者在计算机命令中插入的破坏计算机运行或者损害数据完整，影响计算机使用并且能够自我复制的一组计算机指令和程序代码”。随着信息革命的不断发展，网络已成为我们生活中，特别是年轻一代所喜爱，我们的互联网技术和现代化通讯技术的日益发展，我们的运用越来越广泛，也越来越普及，使得信息的流传在人们的社会中越来越重要，成为了我们生活中不能或缺的一部分，也因为互联网具

3、有开放，互联，时效，虚拟，等特性。可以传播各种观点思想，也因此成了大学生更喜欢的一种交流方式，因为网络，学生们的世界观和价值观，行为方式都多少受到了影响，也正因为事物总是具有两面性，当我们畅游在网络的世界里时，危险也随着诞生，网络给我们的生活带来方便快捷的同时，也同样会伤害我们，我们电脑随时都有可能会被别人控制，我们银行卡的信息也有可能会被盗，这些都“归功”于“计算机病毒”,看看下面的内容，让大家充分了解计算机病毒，也让大家学习一下怎么预防。1.2 计算机病毒的危害在最近几年，计算机病毒进行盗窃机密，破坏系统，修改注册表，修改系统指令，在人们生活和工作中造成巨大的影响，还发生过几次大规模的病毒

4、爆发，我国网络的发展和应用已经受到了计算机病毒日益崛起的巨大威胁，基本上，每个计算机用户都曾被计算机病毒入侵感染过，自从计算机病毒出现的那天起，它就一直是扮演着丑陋的角色。在1999年，一个“梅丽莎”的病毒爆发了，它在短短一天入侵超过6000台电脑，达到8000万美元亏损。最终，病毒的始作俑者也受到了法律的制裁。在2000年5月一个可以能够经过Outlook传布的编程命令，就这样“爱虫”病毒出现了，病毒传播速度快，范围广，可谓迄今未知，在全球传播造成了损失100多亿美元，影响力涉及金融，技术公司，媒体，学校等多种大型机构。2001年诞生两种破坏力极度厉害的病毒，即蠕虫病毒Nimda和Code

5、Red。其中最强的是Nimda病毒，它波及范围达到了世界每一个角落，而用时只有半个小时。2003年对于计算机界是非常惨痛的一年，8月份的“冲击波”病毒爆发影响力是非常大的，“冲击波”病毒将整个网络都给入侵了，照成了巨大的损失，损失预计达到几十亿美元，并导致上百万台计算机被它感染。04年的五月一个名为“震荡波”的病毒，经过多达六次变异，并很快侵略了数百万计的电脑数。在2005年，计算机病毒入侵案例和往年相比，减少了很多，但并不代表这网络就是完全的，是平静的，这年中相继爆发了“传奇木马”、“灰鸽子”、“性感烤鸡”等计算机病毒还是造成了不小的影响。2006年底到2007年初爆发的“熊猫烧香”病毒到现

6、在，还是记忆犹新的，这个病毒造成了无法估计的损失，令广大计算机用户都受到了严重影响。2007年爆发的“AV终结者”可谓是那年中最强大的病毒，它可以利用多种手段对抗杀毒软件，破坏计算机安全系统，以便达到它盗取用户账号密码信息的目的。因为它来势汹汹，难以抵挡，造成了十多万用户遭到感染。要说对局域网破坏性最大的病毒，就不能不说超强病毒“扫荡波”了，它是利用局域网来传播，可以让整个局域网崩溃掉。2. 计算机病毒传播的途径及特点2.1 计算机病毒传播的方式2.1.1 利用网络传播互联网传播是方便又快捷地一种计算机病毒传播方式，互联网地出现，即提高了我们的工作速度，也下降了运作本钱，在被我们接纳和普遍使用

7、中，工作生活往复的电子邮件，网页浏览，软件下载，通讯软件，网络游戏，都需要互联网这个平台来做媒介传播，也因为我们的生活离不开互联网，也让计算机病毒开始在互联网上着手传播，互联网传播病毒，是扩大传播范围，加快传播速度的方式之一，也因此受到了黑客们的关注和喜爱。2.1.2 通过EMAIL传播如今，网络和电脑已经融入了我们的生活，在商务办公的过程中，更多情况下是用电子邮件来传递消息，计算机病毒也利用上了这种传播速度快的载体，最常见的就是利用网络来传播各种格式的文件，在网络的广泛，速度快特点下，携带着病毒或木马的电子邮件会导致收件人的电脑也被病毒感染，也有很多不法分子们将编写的恶意程序，上传到网络平台

8、之上，然后进行广泛传播，现在的技术发展飞快，不法分子已经可以将这些恶意程序进行包装成我们日常使用软件的更新版本，还有过伪装成杀毒软件的新版本，诱使用户点击下载安装，很多流行的病毒都是使用这一个方法来使千万条计算机染上病毒，从而破坏的。2.1.3 通过浏览网页和下载软件传播很多朋友在上网的时候总会出现一种情况，即浏览某些网站以后，浏览器的主页就被修改了，导致每次打开浏览器都会强制性的转登一些奇怪的网站，更有甚者还禁止用户还原，这就是俗称的恶意代码在作用，可以修改注册表信息，开机以后浏览器就会被恶意控制，将一些不需要的，恶意的窗口打开，还可以使自己的硬盘被无端端的格式化，那不用想太多了，中毒了。2

9、.1.4 通过即时通讯软件传播我国网民用户使用频率最高，次数最多的应用，只能说是即时通讯应用了，即时通讯应用已经不在是简简单单的休闲沟通的一个工具了，它已经完全融入了我们的生活和工作当中。但是它也存在着一定安全缺陷，由于使用的用户众多，在加上内建有联系人名单，如果病毒利用上了这些特性来传播，就可以很轻易到盗取到个人信息，侵害个人利益和群体利益，国家利益。有个名为求职信的病毒，可谓是海外闻名，这是历史上首款经过ICQ平台来传播的蠕虫病毒，它可以盗取ICQ内的联系人信息，然后传播出去，曾造成了百亿美元的损失。2.1.5 通过网络游戏传播现如今，网络游戏已经成为我们生活网络活动主体之一，很多人在生活

10、和工作中受到了各种压力都会选择在网络游戏中去缓解，在网络游戏中渴望实现自我价值，不夸张的说，网络游戏已经成为大部分人生活工作中的必需品，而在游戏过程中，就会出现一些虚拟道具，虚拟装备，这些虚拟物品会随时间的积累和稀少度而产生一定的现实价值，从而衍生出一些售卖这些虚拟产品的交易平台网站，随之而来的也伴随着有盗取游戏账号密码信息的情况出现，很多恶意的人就会使用一系列办法来盗取别人的账号，密码信息，可见，当我们在网络游戏世界畅游的时候，还要注意自己的账号密码安全性，因为网络游戏在运行的时候一定要连接网络，所以特洛伊木马也成了盗取玩家游戏账号，密码最有效的工具，虽然也有一些木马可以专门盗窃游戏账号密码

11、，但由于特洛伊木马的简单操作性，也让菜鸟级黑客更为喜爱。2.1.6 通过局域网传播局域网便是一小范围的电脑可以进行传输的网络，这些范围中的电脑能够进行资源共享，也能够进行讯息交换。局域网内的任何一台计算机都可以和其他的计算机连接，数据文件也可以在一台计算机传输到任何一台计算机内，这当然也存在一定的安全风险，当一台电脑内被病毒入侵，那此机子传输出去数据和文件就有可能会将局域网内其他的计算机也一并入侵，这样就能够在极短时间内令整个网络的电脑都被病毒入侵，在企业管理和发展中，是不能缺少局域网的使用的，这样也就增加了计算机病毒的又一传播途径。由于病毒会在局域网里寻找系统漏洞来盗取各种资料，数据，则可能

12、会导致安全信息泄露。2.1.7 通过硬盘方式传播很多病毒会选择不可以轻易进行转移的计算机存储设备硬盘来进行传播，此类病毒还是通过入侵计算机的集成电路芯片来进行传播，虽然此类型病毒并不多见，其实不代表着我们可以因这样就掉以轻心，这种病毒的破坏能力是巨大的，乃至可以导致用户的电脑硬件配置直接毁坏，这类病毒的检测和清除方面的技术，还是非常需要加强的。此类病毒主要攻击对象是我们计算机存储信息最多的地方，硬盘，这也让计算机病毒瞄准了这个重点关注对象。入侵硬盘的病毒主要来说要依靠感染其他的可移动的存储起来进行传播，比如U盘，软盘，移动硬盘等等，在被感染的情况下进行刻录，数据复制都有可能会将病毒传输到其他地

13、方。2.2 计算机病毒传播的特点2.2.1 计算机病毒的繁殖性计算机病毒具备和生物病毒相同的特点，繁殖，它能够悄悄的隐藏在正常的流程里面，正当合法的程序在运行的时候，它伴随着启动，伴随运行着自我复制，跟着用户操纵，不断的进行传播，所以，是否能进行繁殖，感染，是断定某段程序是否是计算机病毒的第一条件。2.2.2 计算机病毒的传染性计算机病毒的传布方法有许多，它能够利用软盘，硬盘，U盘，移动硬盘等方式的存储性器件的拷贝或进行网络传布，在病毒运转的期间，有部分病毒可以不断的自我复制，占据磁盘的空间，并实施网络传播或存储器拷贝等方式传播出去，也有部分可以在特定的条件下执行某些代码，在电脑上迅速扩散。2

14、.2.3 计算机病毒的潜伏性不少病毒在入侵系统后，并非即刻运转发作，它将是偷偷的潜藏在系统之中，等达到设置的运行条件后，就会马上爆发，并可能会带来巨大的破坏，这些病毒就比如定时炸弹，不满足条件，不运行，也无法轻易被发现，等条件满足的时候，就会爆发开来，对计算机系统进行损坏。一般精心编程出来的计算机病毒代码，入侵系统后都会选择合适的地方潜伏下来，并不马上开始攻势，在硬盘里静静等到条件满足，一旦得到运行机会，就会大肆的进行破坏，繁殖，扩散。来对计算机进行破坏，比方删除重要信息，格式化硬盘，数据扒窃，锁定键盘，系统死锁等，实行破坏计算机系统的操纵，如格式化硬盘、删除文件、加密、锁键盘和使系统死锁等。

15、2.2.4 计算机病毒的破坏性计算机病毒具有破坏计算机系统和改变系统数据的能力，更有甚者可以破坏软硬件，造成设备的损坏，在系统遭到病毒入侵后，就可能会删减程序必要运行文件，造成正常软件无法正常的工作，一般情况下，病毒对计算机内的文件处理方式不过四种：增、删、改、移。2.2.5 计算机病毒的可触发性所谓的触发是由于一个事件或数值的出现引发出病毒的运行，致使病毒的感染和传播和攻击。在平常的日子里，病毒为了隐弊自己，它必须潜伏，尽量少动作，但是如此也无法实施感染系统和传播，将失去动力，所以病毒既要隐藏也要保持破坏力，必须具有触发性，所以病毒的触发机制，可以掌管感染频率也可以掌管感染时间等等，触发机制

16、可能是时间，事件，具体数据等等。在病毒运行的时候会搜检运行前提是否符合，如果符合就发动感染和破坏，反则就继续隐蔽。可以说，这种病毒的触发机制是用来控制频率和时间感染。3. 计算机病毒防范3.1 计算机病毒防范的概述3.1.1 及时为WINDOWS打补丁方法：打开IE/工具（T）/ Windows Update（U） / 并按步骤更新原因：为WINDOWS打补丁是很很重要的，因为许多病毒都是根据WINDOWS的漏洞写出来的。 当然360的修复漏洞更方便，不过刚刚看到有网友说有时候不能及时检查出漏洞，不知道大家有没有遇到过。3.1.2 不浏览不安全的网站把“INTERNET 安全性 属性”的安全级

17、别调高级。双击IE右下方的小地球，按一下默认级别，向上移动滑块，然后确定。原因：禁止网页使用的控件，它就不能在你背后搞小动作了。说明：有些网页是要使用正常的控件的，比如听歌的看电影的网页等等，这时你得把INTERNET 安全性属性调回中级。3.1.3 下载后和安装软件前一定要杀毒不明白那是什么东西不要打开他。或许你下载的网站不会放病毒的软件，但不排除它可能被人入侵，然后被放置带病毒的软件，总之安全第一。下载后安装前杀是个好习惯。下载软件最好去官方。华军的软件还经常有捆绑什么的，特别烦。3.1.4 经常更新毒库杀毒病毒的发展是会不停止的，更新毒库才能杀新的病毒。 所以说啊，不是说装完了个杀毒软件

18、就万事大吉了，不更新病毒库等于没装！3.1.5 不要安装太多的IE的辅佐工具IE的辅佐工具之间可能有冲突，而且会占用一定的内存。所谓请神容易送神难，在按确定前一定要想清楚。3.1.6 不需要安装太多的杀毒软件杀毒软件之间也可能有冲突，而且会占用较多的内存。一般来说要求精不求多，通常安装三样功能：防病毒、防火墙、防木马。3.1.7 对电脑认识有一定水平的人可以对电脑的进行手动捡查方法系统盘中的Autoexec.bat windows中的Msconfig.exe 和注册表中Run启动项说明（如果发现新的加载项目那你就得小心点了）。3.1.8 有能力的可以为系统盘做一个映象文件如果碰到新的病毒，连杀

19、毒软件也没能为力，只得还原映象了。总结：及时打补丁，经常升毒库杀毒，不要打开不明的连接，上不安全的网站要调高级别，时常查看启动项，不要打开或安装来历不明的文件，做好备份。建个系统盘映象。重要文档不要放在系统盘中，而且要备份好。3.1.9 建立有效的计算机病毒防护体系有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒遏制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。3.1.10 严把收硬件安全关国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化；

20、对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。3.1.11 防止电磁辐射和电磁泄露采取电磁屏蔽的方法,阻断电磁波辐射,这样,不仅可以达到防止计算机信息泄露的目的,而且可以防止“电磁辐射式”病毒的攻击。 13：加强计算机应急反应分队建设。应成立自动化系统安全支援分队,以解决计算机防御性的有关问题。早在1994年,美国软件工程学院就成立了计算机应急反应分队。 计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行：一是计算机病毒的数学模型。二是计算机病毒的注入方式,

21、重点研究“固化”病毒的激发。三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。3.2 基于工作站的DOS防毒技术工作站是网络的门，只要将这扇门户关好，就能有效地防止病毒的入侵。工作站防毒主要有以下几种方法：3.2.1 使用防毒杀毒软件很多DOS防毒杀毒软件都兼顾网络上的DOS病毒。比如：CPAV中的VSAFE 就能探测网络的安全性，设置相应的参数后，只要遇到网络访问时，它就提供安全检测。CPAV中还有ISCPSTSR.EXE（网络支撑文件），用于检测VSAFE是否常驻内存。美国McA

22、fee Associates防毒协会推出的扫毒软件中也有一个网络扫毒程序NETSCAN.EXE，该程序适用于3COM, 3/Open和AT&T，DEC Path works, Microsoft LAN Manager, Star LAN,Banyan VINES, No vell Net Ware, 以及其它与NETBIOS或IBMNET兼容的网络操作系统。该程序用于扫描网络文件服务器，如果发现病毒也可用相应的CLEAN清除病毒。这种方法的特点是：防毒软件实时监测、软件版本升级容易以及查毒杀毒软件能够发现病毒并加以清除。但与DOS防毒杀毒软件一样，防毒软件有兼容性问题，杀毒软件有被动性问题。

23、󰀀3.2.2 在工作站上插防毒卡以单机为防毒对象的防毒卡虽说具有网络防毒功能，但其实质上只是解决与网络操作系统（如中断向量等）的冲突问题。另一方面，将防毒卡与产品加密合二为一，这样一个工作站必须安装一个防毒卡，给我们带来了许多不便。另外防毒卡会占用硬件资源，如扩I/O地址、充槽口等，易发生防病毒系统与其它系统的软硬件冲突，也影响电脑执行速度。3.2.3 在网络接口卡上安装防毒芯片这种方法是将防毒程序集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。其基本原理：网络接口卡是网络上每个工作站都需要安装的，而网络接口卡上有一个Boot ROM芯片，但是

24、多数网卡的Boot ROM并没有充分利用，都会剩余一些使用空间，如果防毒程序够小的话，就可以把它安装在网络的Boot ROM的剩余空间内，而不必另插一块芯片。这样，将病毒保护能力与工作站存取控制合二为一插在网卡的EPROM槽内，我们也可以免除许多繁琐的管理工作。Chipway防病毒芯片就是采用安装防毒芯片，当工作站DOS引导过程时，在Partition Table 装入之前，Extended BIOS、ROM BIOS装入之后，Chipway将会获得控制权，这样可以防止引导型病毒。但是目前，Chipway 对防止网络上广为传播的文件型病毒能力还十分有限。3.3 基于服务器的NLM防治技术基于服

25、务器的NLM防毒技术一般具备以下功能：3.3.1 实时在线扫描网络防毒技术必须全天24小时监控网络，检测是否有带毒文件进入服务器。为了保证监测病毒的实时性，通常设计方法是采用多线索的，让检测程序成为一个随时可以激活的功能模块。并且在NetWare运行环境中，不影响其它线索的运行。这是设计一个NLM最重要的部分，即多线索的调度， 实时在线扫描能及时追踪病毒的活动，及时告之工作站用户和网络管理员。当网络用户将带毒文件拷入服务器中时，网络防毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时记入病毒档案。3.3.2 服务器扫描这种方法是对服务器中的所有文件集中检查是否带毒。若有带毒文件，则提供的处

26、理方法是：删除带毒文件、允许用户清除病毒、更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。网络管理员可以定期检测服务器中是否带毒，可按每月、每星期、每天集中扫描一下网络服务器，这样网络用户拥有极大的操作选择余地。3.3.3 工作站扫描基于服务器的防毒软件虽然不能保护本地工作站的硬盘，但是可以在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序，如LANClear For NetWare采用World程序 ，而LANdesk Virus Protect采用LPSean等。同DOS防毒一样，服务器NLM防毒也面临防毒系统如何能够对付不

27、断出现的新病毒的问题。开放病毒特征数据库是典型的做法。用户随时将遇到的带毒文件，然后经过病毒特征分析程序后自动将病毒特征加入特征库，以随时增强抗毒能力。基于服务器的NLM防毒方法表现在：能实现实时扫描功能、可以集中式扫毒、软件升级方便；当联网机器很多的话，利用这种方法比为每台工作站都安装防病毒产品要节省成本。经过NOVELL实验室认证的网络防毒管理系统LANDesk Virus Protect安装于文件服务器上，可以保护网络工作站，并随时监控工作站及文件服务器的病毒活动，使网络管理者远离病毒的侵扰。防毒系统一旦发现中毒文件，便会将之隔离。使用者可以选择将中毒文件更名为不可执行文件，或将中毒文件

28、删除，或是搬至指定目录下。防毒系统还将详细记录中毒文件的时间、来源、LOGIN USER 的名字。通过工作站的常驻扫描程序，随时检查工作站所执行的程序是否为病毒携带者，与服务器的监控相辅相成，达到了全面防毒效果。3.4 基于网络安全体系的防毒管理措施针对网络上的病毒传播方式，我们通过网络操作系统本身提供的安全保护措施来加强网络安全管理。网络操作系统 NetWare中，提供了目录和文件访问权限与属性两种安全性措施。属性是优先访问权限的，根据用户对文件和目录的操作能力，要分配不同的属性和访问权限。如：公用目录中的工具软件和系统文件，应该只设置只读属性，系统程序所在的目录不授予S超级用户权和M修改权

29、。这样病毒就无法对系统程序进行实施感染和寄生，其他用户也不会感染病毒。可以看出，网络上共享目录或公用目录的安全性措施可以防止病毒在网上传播。对于网络用户的私人目录，由于受限于个别使用，所以病毒很难传播给其它用户。采用网络目录和文件安全性的方法对预防病毒起到了一定作用，但毕竟是基于网络操作的安全性的设计还存在着局限性，现在还没有一种网络操作系统能够完全抵御病毒侵染，从网络安全性措施角度来看，在网络上也是无法防止带毒文件的入侵。因此必须对计算机安全要有足够的重视，增强防范意识，加强网络管理，健全安全管理制度，使用正规合法的软件来减少病毒入侵机会，具体有以下几点加以注意：3.4.1 尽量少用有盘工作

30、站站在科学角度上来说，在一个网络上有两个有盘工作站就可以了。一个用来备份或向服务器内装入软件的工作站，另一个是是系统管理员操作的工作站。针对有盘工作站需特别管理，严禁任意将未经查毒的软件以及外来非法软件拷入网络。3.4.2 尽量多用无盘工作站这种工作站完成系统引导工作是通过网卡上的远程复位PROM。用户不能向服务器装入文件或从服务器下载文件，只能执行服务器允许执行的文件来减少病毒从无盘工作站入侵系统的机会。3.4.3 严格控制用户的网络使用权限这样可以减少其它文件被传染的机，只能在这一被病毒侵入的用户使用权限范围内传染。不允许一个用户对其他用户私人目录的读和文件扫描权利来杜绝用户通过拷贝其他私

31、人目录中带毒文件，将病毒传染至本地目录中。多个用户对同一目录有读写权利也是不允许的。当必须使多个用户以读写权存取同一目录时，应通知用户不能在共享目录下放置可执行文件。组目录只允许含有数据文件，要严格管理组中所有共享可执行文件目录，根据实际情况可以授予用户最小的文件访问权。3.4.4 尽量少用超级用户登录系统管理员或有与系统管理员同等权力的用户一经登录，将被赋予整个服务器目录下的全部权力。若他的工作站被病毒侵入，有可能会感染整个网络服务器中的可执行文件。所以，系统管理员应将部分权力分别下放给打印队列操作员、组管理员、控制台操作员，可以让系统管理员解脱出来，这样也减少了以超级用户登录的次数，整个系统的安全性也被加强了。3.4.5 严格限制远程工作站