病毒入侵微机的途径与防治研究论文Word格式文档下载.docx

1、 2.3.4 idc & .ida Bugs52.4浏览网页和下载软件感染52.5电子邮件传播52.6 ipc$共享入侵63.计算机病毒的分类及各自的特征63.1按传染对象来分：6 3.1.1引导型病毒6 3.1.2文件型病毒7 3.1.3网络型病毒7 3.1.4复合型病毒73.2按其破坏的程度可以分为：7 3.2.1良性计算机病毒7 3.2.2恶性计算机病毒83.3按其入侵的方式来分：73.3.1源代码嵌入攻击型83.3.2 代码取代攻击型83.3.3系统修改型83.3.4外壳附加型84.计算机病毒的预防和消除94.1积极地预防计算机病毒的侵入94.2及早发现计算机病毒104.3及时消除计算

2、机病毒104.3.1人工检测和消毒104.3.2软件检测和消毒115.结论11参考文献11致谢12随着计算机和网络技术的不断发展，计算机已被应用到人类社会的各个领域，使人们的工作方式发生了巨大的变化，人们的工作效率得到极大提高。但任何事物都有其两面性，与计算机技术同样普及的是它所携带的病毒。计算机病毒的种类越来越多，传播速度越来越快，危害越来越大，特别是通过网络传播的计算机病毒, 能在很短的时间内使整个计算机网络处于瘫痪状态, 从而造成巨大的损失，因此人人谈毒色变，似乎病毒已经成为电脑用户心中永远抹不去的阴影。因而计算机病毒知识和防杀病毒的技术不仅是计算机专业人员所需要具备的技能，也是每个计算

3、机用户都应了解的。我们应积极预防病毒的侵入，阻止病毒的传播, 及时地消除计算机病毒，以保护个人及单位计算机的资料和数据的安全，维护正常的使用。一、计算机病毒入侵微机的途径 （一）网页恶意代码入侵 近期，Google公司公布一组调查数据显示，10%的网页含有恶意代码，而这还只是一个保守的估计，另外还有70万个网页被视为可疑页面。那么，何为恶意代码？恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。在我们浏览网页的时候不可避免的会遇到一些不正规的网站，当打开一个网页后，就发现注册

4、表和IE设置被修改了，这就是网页恶意代码造成的破坏。注册表锁定一般是发生在浏览带有网页恶意代码的网站时发生的情况。注册表被锁定这一招是比较恶毒的，它使普遍用户即使会简单修改注册表使其恢复运行，但困难又多了一层。症状是在开始菜单中点击“运行”，在运行框中输入regedit命令时，注册表不能够使用，并发现系统提示你没有权限运行该程序。伴随着这个的同时，一般会修改IE的一些设置，如默认首页，修改鼠标右键菜单等等。但是这种网页恶意代码有着更大的危害，很有可能在你不知的情况下下载木马，蠕虫等病毒，同时把您的个人敏感信息，如银行帐号，QQ帐号，游戏帐号泄露出去。对上网用户造成了极大的危害。（二） 恶意木马

5、入侵 最近，瑞星公司发布红色一级安全警报，正有数万个木马病毒每天以“木马群”的形式，利用最新的Flash漏洞攻击用户电脑，已有超过300万台电脑被该类病毒袭击，被感染电脑数量还在急剧增长。国家计算机病毒应急处理中心和各大反病毒软件公司定期发布的病毒警报已揭示一个事实：以恶意木马程序为首的计算机病毒已经无孔不入地渗入普通用户的电脑，一些有专人维护的企业、政府的计算机也未能幸免，成为危害国家和公众信息安全的主要顽疾。那么何为“木马病毒”？在古希腊传说中，一匹巨大的木马帮助希腊人战胜了特洛伊人，“特洛伊木马”从此成为比喻在敌人营垒里埋下伏兵的典故。人们没有想到的是，几千年后，“特洛伊木马”居然会从荷

6、马史诗所描述的传说中“跳”出来，侵入现代社会的计算机中，这就是“木马病毒”。木马病毒是一种远程控制程序，它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的服务一旦运行并被控制端连接，其控制端可以远程控制中毒电脑，肆无忌惮地查看、下载他人电脑中的内容。如证券大盗（PSW.Soufan）：特洛伊木马，盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。该病毒可能造成的危害在于，黑客可以恶意操纵被盗的股票，将某高价股票以低价卖出，然后自己买进后再转手卖出，赚取中间的差价

7、，给被盗股民带来巨大的损失。更为狡猾的是，“证券大盗”病毒每次运行后即“自杀”，并删除自身在系统中留下的文件，达到销毁“罪证”的目的，“作案”手段十分隐蔽。 （三） iis漏洞入侵 IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事，因而被大多数用户选择。因为IIS的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。IIS主要通过端口80来完成操作

8、，因为作为Web服务器，80端口总要打开，具有很大的威胁性。如“红色代码”病毒是通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，病毒驻留后再次通过此漏洞感染其它服务器。“红色代码”可以完全取得所攻破计算机的所有权限为所欲为，可以盗走机密数据，严重威胁网络安全。下面介绍大部分经常出现的漏洞，也就是经常被黑客所攻击的漏洞。1Null.htwIIS如果运行了Index Server就包含了一个通过Null.htw有关的漏洞，即服务器上不存在此.htw结尾的文件。这个漏洞会导致显示ASP脚本的源代码， global.asa里面包含了用户帐户等

9、敏感信息。如果攻击者提供特殊的URL请求给IIS就可以跳出虚拟目录的限制，进行逻辑分区和ROOT目录的访问。而这个“hit-highlighting”功能在Index Server中没有充分防止各种类型文件的请求，所以导致攻击者访问服务器上的任意文件。2MDAC- 执行本地命令漏洞这个漏洞出现得比较早，但在全球范围内，可能还有好多IIS WEB服务器存在这个漏洞，就像在今天，还有很多人在用Windows3.2一样。IIS的MDAC组件存在一个漏洞，可以导致攻击者远程执行目标系统的命令。主要核心问题是存在于RDSDatafactory，默认情况下，它允许远程命令发送到IIS服务器中，这命令会以设

10、备用户的身份运行，3ASP Dot Bug这个漏洞出现得比较早了，是Lopht小组在1997年发现的缺陷，这个漏洞也是泄露ASP源代码给攻击者，一般在IIS3.0上存在此漏洞，在请求的URL结尾追加一个或者多个点导致泄露ASP源代码 4idc & .ida Bugs这个漏洞实际上类似ASP dot 漏洞，其能在IIS4.0上显示其WEB目录信息，很奇怪有些人还在IIS5.0上发现过此类漏洞，通过增加?idc?或者?ida?后缀到URL会导致IIS尝试允许通过数据库连接程序.DLL来运行.IDC，如果此.idc不存在，它就返回一些信息给客户端。（四）浏览网页和下载软件感染人们经常通过网站浏览信息

11、或下载一些工具软件，随着迅雷、快车、BT、电驴等新兴下载方式的流行，黑客也开始把其当作重要的病毒传播手段，黑客只要把病毒文件起一个诱惑性名称，自然会有人搜索到，然后进行下载。每台计算机既能下载，又能共享自己的文件给别人，有些病毒会自动把自己伪装成热门资源，放在共享文件夹里欺骗用户下载。但许多不知名的网页及其提供的工具软件本身就感染了病毒，如果没有经过病毒过滤，许多病毒就悄悄潜入，这当中包括蠕虫病毒（如臭名昭著的Nimda）、文件型病毒等。这一病毒传播的途径隐蔽性较强，不易被人们发现，也难以被阻截。（五）电子邮件传播 Internet的普及与企业电子邮件的广泛使用，快速增加企业竞争力与生产力，但

12、同样也让计算机病毒找到更快速的传染媒介。电子邮件病毒，这是伴随着电子邮件的发展而发展起来的。 电子邮件简称E-mail，在中国被昵称为“伊妹儿”，它就是人类信件的电子版。与网络的发展共同发展，它是网络上应用最广的服务，使用人数众多。“电子邮件病毒”是由于它们的传播途径主要是通过电子邮件，所以才被称为“电子邮件病毒”。电子邮件病毒的形式最主要的是附件病毒，只要用户点击了附件或是点开信件病毒就会发作。附带有病毒文件的电子邮件，往往在短时间内一传十、十传百，造成多米诺骨牌效应式连锁感染；如“求职信病毒”是一种通过邮件途径大规模传播的蠕虫病毒的代表，这类病毒主要通过电子邮件系统进行传播，甚至可将自己发

13、往Outlook或ICQ中的所有地址，传播速度明显快于其他病毒。根据ICSA（互联网计算机安全联盟）分析，通过Email大量散播的病毒类型有“宏病毒”、“文件型病毒”、“VBS病毒”及“JavaScript蠕虫”。（六）ipc$共享入侵IPC$（Internet Process Connection）是共享“命名管道”的资源。它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。 利用IPC$，连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码（当然,对方机器必须开了ipc$共享，否则你是连接不上的），而利用这个空的

14、连接，连接者还可以得到目标主机上的用户列表。我们总在说ipc$漏洞ipc$漏洞，其实，ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享，即所有的逻辑盘（c$,d$,e$）和系统目录winnt或windows（admin$）。 所有的这些，初衷都是为了方便管理员的管理，但好的初衷并不一定有好的收效，一些别有用心者，会利用IPC$，访问共享资源，导出用户列表，并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。二、计算机病毒的分类及各自的特征从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。病毒分类是为了

15、更好地区分它们，达到知己知彼，以便有效地识别病毒，及时的查杀病毒。（一）按传染对象来分：11引导型病毒 这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件都能查杀这类病毒，如KV2008、瑞星2008等。2文件型病毒早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的

16、配置、链接文件，所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中，如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中，感染后通常文件的字节数并不见增加，这就是它的隐蔽性的一面。3网络型病毒这种病毒是近几来网络的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染，如WORD、EXCEL、电子邮件等。其攻击方式也有转变，从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息（如黑客程序）等，传播的途经也发生了质的飞跃，不再局限

17、磁盘，而是通过更加隐蔽的网络进行，如电子邮件、电子广告等。4复合型病毒把它归为“复合型病毒”，是因为它们同时具备了“引导型”和“文件型”病毒的某些特点，它们即可以感染磁盘的引导扇区文件，也可以感染某此可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，还会造成引导扇区文件和可执行文件的感染，所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。（二）按其破坏的程度可以分为： 1良性计算机病毒 良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。有些人对这类计算

18、机病毒的传染不以为然，认为这只是恶作剧，没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权，时时导致整个系统死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB，就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间，而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。2恶性计算机病毒 恶性病毒就是指在其

19、代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的，如黑色星期五病毒、火炬病毒、米开朗基罗病毒。当米氏病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据无法被恢复，造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，这是其本性之一。因此这类恶性病毒是很危险的，应当注意防范。（三）按其入侵的方式来分：1源代码嵌入攻击型 从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少

20、数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。2代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。3系统修改型 这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。4外壳附加型 这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后

21、才将正常程序调入内存。目前大多数文件型的病毒属于这一类。三、计算机病毒的预防和消除不论是良性病毒还是恶性病毒，一旦侵入系统都会给系统带来这样或那样的干扰、破坏活动，特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，预防病毒的侵入、阻止病毒的传播，及时地消除计算机病毒是一项非常重要的工作，而在这些工作中，预防病毒的侵入显得尤为重要，因为没有病毒的侵入，也就没有病毒的传播，更不需要消除病毒。（一）积极地预防计算机病毒的侵入有病治病，无病预防这是人们对健康生活的最基本也是最重要的要求，预防比治疗更为重要。对计算机来说，同样也是如此，了解病毒，针对

22、病毒养成一个良好的计算机应用管理习惯，对保障您的计算机不受计算机病毒侵扰是尤为重要的。为了降低计算机感染病毒的机率，日常使用时应注意做到：（1）安装杀毒软件和防火墙软件；（2）及时更新系统补丁及相应应用程序的补丁；（3）关闭不必要的服务和端口；（4）提高访问网络软件的安全级别；（5）修改“文件夹选项”内容：取消“隐藏受保护的操作系统文件”；选定“显示所有文件和文件夹”；取消“隐藏已知文件类型的扩展名”；（6）不使用安装和使用来路不明的软件和程序；（7）不要轻易打开来历不明的软件和程序；（8）在使用光盘、U盘等进行数据交换或下载的资料或电子邮件资料时，需先对其进行病毒检查；（9）不要随便登录和点

23、击进入不清楚的网站、网页文件；（10）对分区进行打开操作时，选择资料管理器操作，减少双击情况，防止自动运行病毒程序；（11）取消光盘、U盘等移动存储设备的自动运行功能；（12）经常做好系统和重要数据的备份，以便能够在遭受病毒侵害后及时恢复；（13）定期检查系统配置和关键文件是否正确，当发现网络、操作系统和应用程序出现异常时，及时查杀病毒；（14）注意保护各类敏感信息，防止信息泄露；（15）去掉不必要的网络共享，并对共享资源的访问加强管理；（16）重要的计算机系统和网络要与互联网进行隔离；（17）及时掌握最新安全知识和病毒信息。 （二）及早发现计算机病毒尽管采取了各种各样的预防措施，往往由于不慎

24、会使计算机病毒乘虚而入。病毒一旦侵入，就会不断地自我复制、传染和破坏。显然，对于一个侵入了计算机病毒的系统来说，应及早地发现病毒以决定消除病毒的方法，从而尽可能地减少病毒造成的损失。那么怎样才能及时地发现计算机病毒呢? 一般来说，不论何种病毒，一旦侵入系统，都或多或少，或隐或显地给系统带来一些不正常的现象，根据这些现象可经及早地发现病毒。根据实践经验，出现以下不正常现象有可能是病毒程序所致：硬盘内增加了一些不明来历的文件；可执行文件大小增加；程序的日期、时间发生了改变；系统启动或应用程序加载时间变长；程序运行速度变慢；有不明进程占用较高CPU；有效内存无故减少；磁盘空间自动产生坏簇；磁盘空间减

25、少；程序莫名其妙地消失了；意外的重启；奇怪的屏幕显示。 当发现计算机感染病毒后，为防止进一步扩散，应首先进行“隔离”处理，处于联网状态的计算机应从网络中分离出来。然后将计算机内的所有资料备份，备份过程中应做好防止病毒进一步传播工作，最后进行病毒的查杀工作。（三）及时消除计算机病毒 如果发现系统感染了病毒，就要及时地检测和诊断病毒，以决定病毒的类型和种类以及其所在的文件和磁盘，为进一步消除病毒作准备。就目前所发现的各种计算机病毒来看， 病毒传染的目标分为两种：一是传染磁盘引导扇区（BOOT） ，一是传染.EXE和.COM文件。要检测和诊断病毒，首先要观察系统所出现的症状和异常特征，结合事先了解的各种病毒的特征