1、因此为了确保计算机能够安全工作,计算机病毒的防范工作,已经迫在眉睫。 病毒入侵微机的途径与防治研究 一、计算机病毒的概述提起计算机病毒,绝大多数计算机的使用者都会深恶痛绝,因为没有“中过招” 的人已经是凤毛麟角了。但在谈虎色变之余,很多人对计算机病毒又充满了好奇,对病毒的制造者既痛恨又敬畏。但同时,它也催化了 一个新兴的产业信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、 数据恢复技术这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程度 上缓解了计算机病毒造成的巨大破坏,同时,越来越多的企业加入到信息安全领域, 同层出不穷的黑客和病毒制造者做着顽强的斗争。很多用户在被病毒感染以
2、后才想起购买杀毒软 件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特 点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能 应付日新月异的病毒攻击呢?(一)计算机病毒的定义 一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件) 的代码,统称为计算机病毒。在 1994 年我国颁布实施的中华人民共和国计算机系统安 全保护条例中,对计算机病毒有如下定义:“计算机病毒是编制或在计算机程序中插入 的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。 (二) 计算机病毒的产生与发展自从 1987 年发
3、现了全世界首例计算机病毒以来,病毒的数量早已超过 1 万种以上, 并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。计算 机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆 论的谴责。也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚, 但是有一点可以肯定,即计算机病毒的发源地是科学最发达的美国。 虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因,但也没有能 够对此作出最后的定论,只能推测电脑病毒缘于以下几种原因:一、科幻小说的启发;二、 恶作剧的产物;三、电脑游戏的产物;四、软件产权保护的结果. (三) 计算
4、机病毒的特性 寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用, 而在未启动这个程序之前,它是不易被人发觉的。传染性:传染性是病毒的基本特征。通过各种渠道从已被感染的计算机扩散到未被感染的计算 机,在某些情况下造成被感染的计算机工作失常甚至瘫痪. 潜伏性:有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可 以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发 现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。隐蔽性:计算机病毒是一种具有很高编程技巧、短小精悍
5、的可执行程序,如不经过 程序代码 分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。破坏性:计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除 或受到不同程度的损坏 。通常表现为:增、删、改、移。可触发性:病毒既要隐蔽又要维持杀伤力,它必 须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定 的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触 发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击; 如果不满足,使病毒继续潜伏。除了上述五点外,计算机病毒还具有不可预见性、衍生性、针对性、欺
6、骗性、持久 性等特点。正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带 来了很大的难度。 随着计算机应用的不断发展病毒又出现一些新的特性如: 利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络 资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。 (四)计算机病毒的分类 计算机病毒的分类 按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的 方法进行分类,计算机病毒可以根据下面的属性进行分类:1. 按病毒存在的媒体 根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒 通过计算机网络传播感
7、染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM, EXE,DOC 等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有 这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标, 这样的病毒常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变 形算法。2.按病毒传染的方法 根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后, 把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系 统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感 染计算机内存
8、,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒 也被划分为非驻留型病毒。 3.按病毒破坏的能力 无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型:这类病毒在计算机系统操作中造成严重的错误。非常危险型: 这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要 的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们 传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文 件和扇区,这些病毒也按照他们引起的破坏能力划分。4.按病毒的算法 伴随型
9、病毒,这一类病毒并不改变文件本身,它们根据算法产生 EXE 文件的伴随体, 具有同样的名字和不同的扩展名(COM),病毒把自身写入COM 文件并不改变 EXE 文件,当 DOS 加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的 EXE 文件。5.按计算机病毒的工作方式 引导型病毒的工作方式 文件型病毒的工作方式 在目前已知的病毒中,大多数属于文件型病毒。文件型病毒一般只传染磁盘上 的可执行文件(COM、EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病 毒驻留内存伺机传染其他文件或直接传染其他文件。其常见的传染方式是附着于正常程序文件,成为程序文件的一个外壳或部件。混和型病
10、毒工作方式 混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。这种病毒的原始 状态是依附在可执行文件上,以该文件为载体进行传播。当被感染文件执行时,会感染磁盘的主引导记录。以后用硬盘启动系统时,就会实现从文件型病毒转变为引导型病毒。宏病毒的工作方式 宏病毒是利用宏语句编写的。它们通常利用宏的自动化功能进行感染,当一个感染 的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。 Office 中的 Word、Excel 和 PowerPoint 都有宏。 网络病毒工作方式 随着互联网的高速发展,计算机病毒从原来的磁盘进行传播发展到现在的通过网 络的漏洞进行传播。到如今
11、,网络病毒已经成为计算机网络安全的最大威胁之一。网络病 毒中又以蠕虫病毒出现最早,传播最为广泛,例如“冲击波”、“红色代码”病毒等。 脚本病毒工作方式 脚本病毒也是一种特殊的网络病毒。脚本是指从一个数据文档中执行一个任务的一组 指令,它也是嵌入到一个文件中,常见的是嵌入到网页文件中。脚本病毒依赖于一些特殊 的脚本语言。有 些脚本语言,必须通过 Microsoft 的 Windows Scripting Host(WSH)才能够激活执行以及感染其他文件 (五)计算机病毒传播途径关键环节 计算机病毒要实现传播,有三个关键环节:(1)带毒文件的迁移。即感染病毒的文件从一台计算机复制、迁移到另一台计算
12、机。(2)计算机操作者的触发。计算机病毒是寄生在受感染文件上的,只有计算机操作者 执行或者打开受感染的文件,计算机病毒才有执行的机会,才能取得主机的控制权。(3)感染。病毒在取得主机的控制权后,就随时可以寻找合适的目标文件进行感染, 把病毒副本嵌入到目标文件中。 (六)计算机病毒入侵的途径随着社会的不断进步科学的不断发展计算机病毒的种类也越来越多,但终究万变不离 其宗!那他们是靠什么途径传播的了? 目前比较常见的病毒入侵的途径有几种: 1.木马入侵 木马有可能是黑客在已经获取我们操作系统可写权限的前提下,由黑客上传的; 也可能是我们不小心,运行了包含有木马的程序,最多的情况还是我们防范意识不强
13、,随 便运行了别人发来的“好玩”的程序。所以,我们自己要多加注意,不要随意打开来历不 明的电子邮件及文件,不要随便运行别人发来的软件,之前要查毒。安装木马查杀软件并 及时更新。 2.共享入侵是为了方便远程管理而开放的共享,这个功能对个人用户来说用处不大,反而给 黑客入侵提供了便利。个人用户应禁止自动打开默认共享,给自己的帐户设置复杂密码, 最好是数字、字母以及特殊符号相结合,安装防火墙。 3.漏洞入侵 (Internet Information Server)服务为 Web 服务器提供了强大的 Internet 和 Intranet 服务功能。主要通过端口 80 来完成操作,因为作为 Web
14、服务器,80 端口总要打 开,具有很大的威胁性。长期以来攻击 IIS 服务是黑客惯用的手段,远程攻击者只要使用 webdavx3 这个漏洞攻击程序和 telnet 命令就可以完成一次对 iis 的远程攻击,这种情况 多是由于企业管理者或网管对安全问题关注不够造成的。我们要时刻关注微软官方站点, 及时安装 iis 的漏洞补丁。 4.网页恶意代码入侵 在我们浏览网页的时候不可避免的会遇到一些不正规的网站,当打开一个网页后,就 发现注册表和 IE 设置被修改了,这就是网页恶意代码造成的破坏,但是这种网页恶意代 码有着更大的危害,很有可能在我们不知道的情况下下载木马,蠕虫等病毒,同时把我们 的私人信息
15、,帐号泄露出去。5.通过光盘 由于光盘的容量大,对于只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。 为了使软件及相关的数字资源的传播而得到广泛应用。一些不法分子将病毒刻录到光盘中 让用户在不知不觉中被隐藏与其上的病毒感染从而入侵你的电脑系统。 6.通过 U 盘 U 盘作为当前人们最方便、最常用的存储介质和文件拷贝、携带工具,同时病毒的传 播中发挥了重要的作用。 7.通过网络计算机网络特别是 Internet 的普及,给病毒的传播提供了便捷的途径。通过 Internet 传播病毒的方式很多,包括 FTP 文件下载、访问恶意 WWW 网站、P2P 文 件下载、即时通讯等等。人们使用 Int
16、ernet 的频率是如此之高,使得 Internet 已是计算 机病毒的第一传播途径。 (七)计算机病毒的入侵方式按其入侵的方式来分为以下几种:a、源代码嵌入攻击型 从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编 译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带 毒文件。 b、代码取代攻击型 这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒 也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。c、系统修改型 这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系 统中
17、的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为 文件型病毒。d、外壳附加型 这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外 壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多 数文件型的病毒属于这一类。二、计算机病毒防范和清除的基本原则和技术 计算机病毒的存在和传播对用户造成了很大的危害,为了减少信息资料的丢失和破 坏,这就需要在日常使用计算机时,养成良好的习惯,预防计算机病毒。并且需要用户掌 握一些查杀病毒的知识,在发现病毒时,及时保护好资料,并清除病毒。 (一)计算机病毒防范的概念和原则 计算机病毒防范的概
18、念和原则 计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机 病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和 数据。 原则以防御计算机病毒为主动,主要表现在检测行为的动态性和防范方法的广泛性。 (二)计算机病毒防范基本技术计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵,就拦截、阻击计算机病毒的入 侵或立即警报。目前在预防计算机病毒工具中采用的主要技术如下:1. 特征代码技术 2. 特征代码法被早期应用于 SCAN,CPAV 等著名病毒检测工具中,目前被认为是用来检测 己知病毒的最简单、开销最小的方法。在每次使用文件前,检 查文件现在内容算
19、出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感 染,这种方法叫校验和法,它既可发现己知病毒又可发现未知病毒。运用校验和法检查病毒采用三种方式: 在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将 校验和写入被查文件中或检测工具中,而后进行比较;在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本 身中,每当应用程序启动时,比较现行校验和与原校验和。实现应用程序的自检测; 将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内 部或别的文件中预先保存的校验和。 3.行为监测法技术 利用病毒的特有行为特征性来监测病毒的方法,
20、称为行为监测法。通过对病毒多年的 观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比 较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。4.软件模拟技术 多态性病毒每次感染都会变化其病毒密码,对付这种病毒,特征代码法失效。 三、典型计算机病毒的原理、防范和清除 典型计算机病毒的原理、 (一)引导区计算机病毒1.引导区病毒概述 引导型病毒是一种在 ROM BIOS 之后,系统引导时出现的病毒,它先于操作系统,依 托的环境是 BIOS 中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的 位置,并且控制权的转交方式是以物理位置为依据,而不是以操作
21、系统引导区的内容为依 据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运 转,而病毒已隐藏在系统中并伺机传染、发作。它会感染在该系统中进行读写操作的所有 软盘,然后再由这些软盘以复制的方式和引导进入到其他计算机系统,感染其他计算机的 操作系统。2.如何防范引导区病毒:养成良好的习惯是防范这种病毒的关键:对不明来路的软盘使用前应该先查毒; 不用计算机的时候不要把软盘、光盘留在驱动器里(许多机器感染这个病毒都是由于用了 带有病毒的可引导光盘启动计算机所造成的);另外,最好在主板的设置里把防病毒
22、一项打开。 3.清除原理: 用原来正常的分区表信息或引导扇区信息,覆盖掉计算机病毒程序。此时,如果用户 事先提取并保存了自己硬盘中分区表的信息和 DOS 分区引导扇区信息,那么,恢复工作变 得非常简单。可以直接用 Debug 将这两种引导扇区的内容分别调入内存,然后分别恢复到 它的原来位置,这样就消除了计算机病毒。4.wyx 引导型病毒清除: 当你的杀毒软件查出了机器感染了 WYX 的时候请不要惊慌,先要看清楚该文件的 感染位置。如果病毒是在 SUHDLOG.DAT 或 SUHDLOG.BAK 文件中,那么直接删除即可。 其 实,这是硬盘引导区先染上了引导区病毒,以后在安装 WINDOWS 系
23、统时,没有先查杀病毒, 直接就安装了 WINDOWS 系统。所以,WINDOWS 先将引导区做了一个文件形式的备份,文件 SUHDLOG.DAT 就是其备份,该文件以隐含的形式存放在 WINDOWS 系统根目录下,由于该引 导型病毒存在文件中,没有作用,所以可以直接删除。 如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本 地硬盘上的反病毒软件直接进行查杀,或者干脆把移动存储设备上的文件备份到硬盘上, 然后重新格式化掉移动存储设备,再把文件复制回去。 如果病毒确实是在硬盘的引导区上,也不用怕,这类病毒的清除方法很简单,针对不 同的操作系统有不同的清除方法,一般可以不依靠
24、杀毒软件。不过在清除之前一定要备份 原来的引导区,特别是原来装有别的操作系统的情况,如日文 Windows、Linux 等。 (二)文件型计算机病毒 1. 文件型病毒概述 文件型病毒与引导区型病毒工作的方式是完全不同的, 在各种 PC 机病毒中, 文件 型病毒占的数目最大,传播得广,采用的技巧 也多。文件型病毒是对源文件进行修改,使 其成为新的文件。 文件型病毒分两类: 一种是将病毒加在 COM 前部,一种是加在文件尾部。 文件型病毒传染的对象主要是.COM 和.EXE 文件。 我们把所有通过操作系统的文件系统 (三)脚本型计算机病毒主要采用脚本语言设计的病毒称其为脚本病毒。实际上在早期的系统
25、中,计算机病毒 就已经开始利用脚本进行传播和破坏,不过专门的脚本病毒并不常见。但是在脚本应用无 所不在的今天,脚本病毒却成为危害最大,最为广泛的病毒,特别是当他和一些传统的恶 性病毒相结合时,其危害就更为严重了。 其主要有两种类型,纯脚本型,混合型。 它的特点: 编写简单,破坏力大 感染力强 传播范围大(多通过 E-mail,局域网共享,感染网页文件的方式传播) 计算机病毒源码容易被获取,变种多 欺骗性强 使得计算机病毒生产机事先起来非常容易 脚本型计算机病毒清除。(四)特洛伊木马计算机病毒 特洛伊木马也叫黑客程序或后门病毒,是指隐藏在正常程序中的一段具有特殊功能的 程序,其隐蔽性及好,不易察觉,是一种极为危险的网络攻击手段。 其第一代:伪装性病毒,第二代:AIDS 型木马,第三代:网络传播性木马 如何检查? 1.稽查注册表 2.检查你的系统配置文件 特洛伊木马清除: 备份重要数据 立即关闭身背电源 备份木马入侵现场 修复木马危害 (五)蠕虫计算机病毒1.蠕虫病毒概述凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义 上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的 一种计算机程序, 其破坏力和传染性不容忽视。与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象!
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 