基于计算机网络病毒的分析与防范.docx

1、基于计算机网络病毒的分析与防范 基于计算机网络病毒的分析与防范作者：指导教师： 2013年 11月目 录第一章 引言 - 3-第二章 网络病毒新特点 - 3 -第三章 计算机病毒的反病毒对策 - 6-第四章 计算机病毒的防护 - 7-结束语 - 13-参考文献 - 13-致谢 - 13 -基于计算机网络病毒的分析与防范 摘要：本文分析了当前网络时代计算机病毒的特点，并提出了相应的防范措施，对今后的病毒防范趋势作了预测与判断。关键词：网络；病毒；防范一、引言据国外媒体报道，调研公司Forrester Research周二发布的报告显示，2013年全球网民数量将达到22亿，其中17%来自中国。报告

2、指出，到2013年，全球网民数量将达到22亿，其中亚洲网民数量将占到43%，而中国网民将占到全球的17%。报道还说，商务交易类应用的用户增长最快，平均增幅68%，其中，网上支付用户增幅80.9%，在所以应用排名第一。因此，分析网络环境下计算机病毒新特征、探讨有效防范措施成为网络安全亟待解决的问题。二、网络病毒新特点新病毒层出不穷，电子邮件已成为病毒传播的主要途径，最新统计资料表明，目前全世界流行的病毒共有20000余种，这个数量正在以每月300500种的速度向上飞速膨胀。据ICSA（InternationalComputerSecurityAssociation，国际计算机安全协会）1998年

3、对581458台桌面机和12122台应用/文件服务器进行抽样调查的结果显示，几乎所有计算机(大于99)都有过被计算机病毒感染的经历。虽然有91的服务器和98的桌面机都使用了反病毒软件，但病毒感染、发作率在今年仍是有增无减。同时，随着电子邮件系统的普及，通过Internet电子邮件传播的病毒、黑客程序和网络蠕虫越来越多。与以往病毒主要靠软件盘交换方式传播不同，现在，电子邮件是病毒（特别是宏病毒）的重要传播途径。病毒家族的种类越来越多，且传播速度大大加快，传播空间大大延伸，呈现无国界的趋势随着计算机技术的发展和软件的多样性，病毒的种类也呈现多样化发展的态势，病毒不仅仅有引导型病毒、普通可执行文件型

4、病毒、宏病毒、混合型病毒，还出现专门感染特定文件的高级病毒。（特别是Java、VB和ActiveX的网页技术逐渐被广泛使用后，一些有心人士就利用Java、VB和ActiveX的特性来撰写病毒。）以Java病毒为例，虽然它并不能破坏硬盘上的资料，但如果使用浏览器来浏览含有Java病毒的网页，浏览器就把这些程序抓下来，然后用使用者自己系统里的资源去执行，因而，使用者就在神不知鬼不觉的状态下，被病毒进入自己的机器进行复制并通过网络窃取宝贵的个人秘密信息。病毒就这样在终端之间不断传播。据统计，以前通过磁盘等有形媒介传播的病毒，从国外发现到国内流行，传播周期平均需要612个月，而Internet的普及，

5、使得病毒的传播已经没有国界。特别是近几个月以来，美丽杀手、怕怕、辛迪加、欢乐99、一直到最近的美丽公园、探索蠕虫等恶性病毒，通过Internet在短短几天就传遍整个世界，这些病毒能够在这么短的时间内，给人类造成重大破坏。病毒的破坏性不断增加，这主要体现在：像CIH一类的恶性病毒破坏主板BIOS和硬盘数据，使得用户需要更换主板；由于硬盘数据的不可恢复性丢失，给中国用户带来巨大损失（主要是在4月26日）；COMPAT、DELTREE等宏病毒随机修改数据、文件，并删除文件；探索蠕虫，美丽杀手等特洛伊木马型病毒，在短时间内造成世界范围内的网络瘫痪和数据丢失。随着计算机软硬件水平的不断发展，近年来，计算

6、机病毒技术也是突飞猛进。计算机病毒对于人类造成的影响已经越来越大。据来自Security Portal的报告，排在1999年计算机安全问题第一位的就是计算机病毒事件，而与计算机病毒相关的黑客问题也在其中占有相当大的比例。 下面从计算机病毒的表现术角度分析计算机病毒的新特点： （一）基于视窗的计算机病毒越来越多 随着微软视窗-Windows操作系统的市场占有率居高不下，使得针对这些系统的计算机病毒数越来越多，近年来，攻击计算机的计算机病毒绝大多数都是针对Windows操作系统。 另外一个很重要的原因是Windows操作系统本身也存在比较多的安全漏洞，微软1999年发布的Windows补丁程序是1

7、998年的两倍；其Internet Explorer浏览器、Web 服务器、Windows NT以及邮件系统都存在许多漏洞，而且随着新版本的不断发布，勿庸置疑的是补丁数还会不断增加。（二）新计算机病毒种类不断涌现，数量急剧增加 这两年来，基于互联网进行传播的计算机病毒出现了许多新的种类，比如包含恶意ActiveX Control和Java Applets的网页、电子邮件计算机病毒、蠕虫、黑客程序。而且，最近甚至出现了专门针对手机和掌上电脑的计算机病毒。 同时，计算机病毒的数量急剧增加，据ICSA的统计，现在每天有超过20种新计算机病毒出现，因此每年就有8000种左右的新计算机病毒出现，这个数目

8、几乎与截至1997年为止世界上计算机病毒的总数相同。因此，计算机病毒对于计算机的威胁越来越大。（三）计算机病毒传播途径更多，传播速度更快 最初，计算机病毒主要通过软盘、硬盘等可移动磁盘传播，但随着新技术的发展，现在计算机病毒已经可以通过包括大容量移动磁盘（ZIP、JAZ）、光盘、网络、Interet、电子邮件等多种方式传播，而且仅Internet的传播方式又包括WWW浏览、IRC聊天、FTP下载、BBS论坛等。由于互联网的触角已经遍及世界每一个角落，接入互联网的任何两台计算机都可以进行通讯，因此，也为计算机病毒的传播打开了方面之门。依赖于互联网的便利，现在的计算机病毒传播速度已远非原先可比，尤

9、其是一些蠕虫病毒，它们借助于电子邮件系统，几乎以不可思议的速度传播，以I Love You(情书病毒)为例，2000年5月4日凌晨在菲律宾计算机病毒开始发作，到傍晚已经感染了地球另一端美国的数十万台计算机，这一点也许连计算机病毒编制者都想不到。（四）计算机病毒造成的破坏日益严重 CIH计算机病毒在全球造成的损失估计是10亿美元，而受2000年5月I Love You情书计算机病毒的影响，全球的损失预计高达100亿。 对于某个行业的用户，计算机病毒造成的损失又如何呢？ 据来自Compuware/ABC的报告，系统每当机一小时，包括证券公司、信用卡公司、电视机构、国际航运公司、邮购公司在内，其损失

10、都在650万美元以上，而对于Internet公司，尚无人能统计其损失。（五）电子邮件成为计算机病毒传播的主要媒介 1999年ICSA的统计报告显示，电子邮件已经成为计算机病毒传播的主要媒介，其比例占所有计算机病毒传播媒介的56。由于电子邮件可附带任何类型的文件，因此，几乎所有类型的计算机病毒都可通过它来进行快速传播。（六）Word文档杀手病毒Word文档杀手病毒通过网络进行传播，大小为53248字节。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档，并试图用自身覆盖找到的Word文档，达到传播的目的。 病毒将破坏原来文档的数据，而且会在计算机管理员修改用户密码时进行键

11、盘记录，记录结果也会随病毒传播一起被发送。Word文档杀手病毒运行后，将在用户计算机中创建图中所示的文件。 当sys文件创建好后，Word文档杀手病毒将在注册表中添加下列启动项：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun “Explorer”=“%SystemDir%sys.exe” 。这样，在Windows启动时，病毒就可以自动执行了。 图2-1用户打开存放文件的显示 图2-2病毒运行后，用户试图打开Word文档出现的情况（七）“武汉男生”俗称“熊猫烧香” 2007年李俊制作该病毒。它

12、是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 而且，随着计算机病毒编制技术的不断发展，通过此种方式传播计算机病毒变得更加容易；不久前出现的名为BubbleBoy的计算机病毒无需用户打开附件就能够感染用户的计算机系统，事实上，该计算机病毒根本就没有附件，它是一个HTML格式的文件，如果用户的邮件可自动打开HTML格式的邮件，则该计算机病毒就会立刻

13、感染用户的系统。 三、计算机病毒的反病毒对策从上我们可以看出，Windows网络时代计算机病毒比以往更猖獗、肆虐。那么，面对网络时代、Windows时代计算机病毒的新特点，计算机用户、反病毒厂商应如何应对新的挑战呢？我认为优秀的反病毒技术应该做到如下几点，才能彻底抵御计算机病毒对系统的侵害。 优秀的反病毒软件必须具有实时反病毒、实时解压缩功能。面对网络时代病毒传染的不可预知性、传染隐蔽性和传染的多途径化，系统对病毒的实时防护作用已显得极为重要。如今，技术领先的反病毒厂商在近年来对自己的产品都增加了实时反病毒功能。实时反病毒功能可以在系统启动之后，时刻监视系统的运行情况，一旦发现病毒随即予以处理

14、，从而起到防患于未然的作用。与此同时，随着压缩格式文件的应用越来越广泛,病毒的传染又有了一种新的格式载体，病毒隐藏在压缩格式文件中，往往能顺利地逃过传统反病毒软件的检测，这同样为反病毒厂商提出了新的研究课题，即对压缩格式文件中计算机病毒的查杀。只有多平台、全方位的系列产品才能保证每一台计算机的安全目前世界上流行的的操作系统有PC机上的DOS、Windows3X、Windows95/98、NT、Netware、Linux、Notes、Exchange；苹果机上的MACOS；工作站和小型机上的UNIX等，为了使反病毒软件做到与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应

15、平台的反病毒软件，如你用的是Windows的平台，则你必须用Windows版本的反毒软件。如果是企业网络，什么版本的平台都有，那么就要在网络的每一个服务器、客户端上安装DOS、WINDOWS95/98、NT等平台的反病毒软件，每一个点上都安装了相应的反病毒模块，每一个点上都能实时地抵御病毒攻击。只有这样，才能作到网络的真正安全和可靠。对于网络用户，这项技术是保证系统安全的必要条件。只有与其它软件厂商保持良好合作关系才能作到系统底层的反病毒，现在的反病毒软件所需要掌握的实时反病毒、实时解压缩技术，只有与这些操作系统厂商（例如：微软公司、IBM公司、Novell公司）和压缩软件生产厂商（CAB、Z

16、IP、ARJ等压缩格式的生产厂商）具有良好的源代码级的合作关系，拥有详细的底层接口资料，才能作到与系统底层的无缝连接，保证杀毒软件的工作效率和工作的稳定、可靠性。同时，对网络资源的占用率最底。4.只有强大的全球病毒监测网才能在未来的反病毒市场中占有主导地位快速、全面得到病毒样本完全依靠反病毒厂商的病毒样本搜集网络，因为没有健全的病毒监测网络，反病毒厂商能得到病毒样本并能及时对最新病毒进行查杀便是天方夜谭。因此，近年来，为了在反病毒市场的竞争中占有有利地位，具有跨国运行机构的反病毒厂商，如冠群金辰软件公司就不断加强自身的病毒样本搜集体系，并不断加强对最新病毒的应急处理措施，从年初的斥资1000万

17、美金加强全球反病毒网建设到最近的加快升级速度都是这一趋势的很好体现。其系列产品KILL98在屡次病毒爆发事件中，表现非凡，正确使用KILL、98系列产品并及时升级的用户在4月26日CIH病毒发作时无一受损，受到用户的广泛好评。综上所述，针对网络时代计算机病毒的特点，我们不难发现，未来反病毒产品的市场领导者必须迎合下列标准：技术上，实时反病毒、查杀压缩文件中的计算机病毒将成为衡量反病毒产品先进性的标准；产品系列上源码天空，多平台、全方位能够抵御病毒对系统每一个点的入侵；建立全面的病毒监测体系结构使得反病毒产品能够及时查杀最新、最恶性病毒。只有这样，我们才能做到未雨绸缪，防“毒”于未然。 四、计算

18、机病毒的防护计算机病毒总是想法地进入电脑从事破坏活动，因此，用户只有提高安全防范意识，采取一些主动防范技术，把损失降低最低。 （一）防火墙技术 随着网络安全问题日益严重，网络安全技术和产品也被人们逐渐重视起来，防火墙 作为最早出现的网络安全技术和使用量最大的网络安全产品，受到用户和研发机构的亲睐。 图4-1防火墙启用 （二）防火墙的基本概念与作用 防火墙（图4-1）是指设置在不同网络或网络安全域之间的一系列部件的组合，它执行预先制 定的访问控制策略，决定了网络外部与网络内部的访问方式。 在网络中，防火墙实际是一种隔离技术，它所执行的隔离措施有： （1）拒绝XX的用户访问内部网和存取敏感数据。

19、（2）允许合法用户不受妨碍地访问网络资源。 而它的核心思想是在不安全的因特网环境中构造一个相对安全的子网环境，其目的 是保护一个网络不受另一个网络的攻击，所以防火墙又有以下作用： （1）作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高一个 内部网络的安全性，并通过过滤不安全的服务而降低风险，只有经过精心选择的应用协 议才能通过防火墙，所以网络环境变得更安全。 （2）可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有的安 全软件配置在防火墙上，体现集中安全管理更经济。 （3）对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火 墙就能记录下这些访问并

20、做出日志记录，同时也能提供网络使用情况的统计数据，当发 生可疑动作时， 防火墙能进行适当的报警， 并提供网络是否受到监测和攻击的详细信息。 （4）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点 网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 （5）支持具有因特网服务性的企业内部网络技术体系VPN。 （三）防火墙的工作原理 从防火墙的作用可以看出，防火墙必须具备两个要求：保障内部网安全和保障内部 网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。防火墙根据功能实现在 TCP/IP 网络模型中的层次，其实现原理可以分为三类：在 网络层实

21、现防火墙功能为分组过滤技术；在应用层实现防火墙功能为代理服务技术；在 网络层，IP层，应用层三层实现防火墙为状态检测技术。 1.分组过滤技术 实际上是基于路由器技术，它通常由分组过滤路由器对IP分组进行分组选择，允 许或拒绝特定的IP数据包，工作于IP层。2.代理服务技术 以一个高层的应用网关作为代理服务器，接受外来的应用连接请求，在代理服务器 上进行安全检查后，再与被保护的应用服务器连接，使外部用户可以在受控制的前提下 使用内部网络的服务，由于代理服务作用于应用层，它能解释应用层上的协议，能够作复杂和更细粒度的 访问控制；同时，由于所有进出服务器的客户请求必须通过代理网关的检查，可以作出 精

22、细的注册和审计记录，并且可以与认证、授权等安全手段方便地集成，为客户和服务 提供更高层次的安全保护。 3.状态检测技术 此技术工作在IP/TCP/应用层，它结合了分组过滤和代理服务技术的特点，它同分 组过滤一样，在应用层上检查数据包的内容，分析高层的协议数据，查看内容是否符 合网络安全策略。 （四）Telnet入侵防范Telnet 协议是 TCP/IP 协议族中的一员，是 Internet 远程登录服务的标准协 议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终 端使用者的电脑上使用telnet程序， 用它连接到服务器。 终端使用者可以在telnet 程序中输入命令，这些命

23、令会在服务器上运行，就像直接在服务器的控制台上输 入一样。可以在本地就能控制服务器。要开始一个 telnet 会话，必须输入用户名 和密码来登录服务器。Telnet 是常用的远程控制 Web 服务器的方法。 telnet可能是黑客常用的攻击方式，我们可以通过修改telnet服务端口，停用 telnet服务，甚至把telnet控制台管理工具删除。图4-2重命名系统管理员帐户 （五）防止Administrator账号被破解Windows 2000/xp/2003系统的 Administrator账号是不能被停用的，也不能设置安全策略，这样黑客就可以一遍又一遍地尝试这个账号的密码，直到被破解，为了防

24、止这 种侵入，我们可以把 Administrator账号更名：在“组策略”窗口中，依次展开“本地计算机策略”/“计算机配置”/“windows设置”/“安全设置”/“本地策略”/“安全选 项”功能分支。（如图4-2）重命名系统管理员帐户“属性”对话框，在此输入新的管理员名称，尽量把它为普通用户，然后另建一个超过 10 位的超级复杂密码，并对该账号启用审核，这样即使黑客费力破解到密码也杀一无所获。另外为了防止黑客通过Guest账号登录计算机，可以在“组策略”中删除Guest账号。 （六）防止账号被暴力破解黑客攻击入侵，大部分利用漏洞，通过提升权限成为管理员，这一切都跟用户账号 紧密相连。 防范方

25、法：通过修改注册表来禁用空用户连接。（七）“木马”防范措施 1.检查系统配置应用程序。在“木马”程序会想尽一切办法隐藏自己，主要途径 有：在任务栏和任务管理器中隐藏自己，即将程序设为“系统服务”来伪装自己， “木 马”会在每次服务端启动时自动装载到系统中。 2.查看注册表。3.查找“木马”的特征文件， “木马”的一个特征文件是kernl32.exe,另一个是 sysexlpr.exe，只要删除了这两个文件， “木马”就不起作用了，但是需要注意的是 sysexlpr.exe是和文本文件关联的，在删除时，必须先把文本文件跟notepod关联上， 否则不能使用文本文件。（八）网页恶意代码及防范目前，

26、网页中的恶意代码开始威胁到网络系统安全，一般分为以下几种： 1.消耗系统资源。2.非法向用户硬盘写入文件。3.IE泄露，利用IE漏洞，网页可以读取客户机的文件，就可以从中获得用户账号 和密码。 4.利用邮件非法安装木马。 （九）恶意代码分析在html中利用死循环原理，交叉显示耀眼的光线，如果继续插入编写的一段代码， 扩大恶意程度，那么IE将无法使用。图4-3网页恶意代码的防范措施（九）网页恶意代码的防范措施1.运行IE时，点击“工具Internet选项安全 Internet区域的安全级别” ， 把安全级别由 “中” 改为 “高” （如图4-3）。 网页恶意代码主要是含有恶意代码的ActiveX

27、或Applet、 JavaScript的网页文件 ，所以在IE设置中将ActiveX插件和控件、Java脚本等全部 禁止就可以减少被网页恶意代码感染的几率。具体方案是：在IE窗口中点击“工具” “Internet选项” ，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按 钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关 全部选项选择“禁用”（如图4-4） 。2.网页恶意代码大多是在访问网站时候误下载和激活的，所以不要进入不信任的 陌生网站，对于网页上的各种超级连接不要盲目去点击，若被强制安装恶意代码，一经 发现立即删除，或者安装相应的恶意代码清除工具

28、，或本机防火墙软件。图4-4插件选择禁用 结束语随着计算机网络的迅猛发展，网络信息化在给人们带来种种便捷的同时，安全问题已经成为网络用户共同的挑战，通过提高网络安全意识和责任观念，运用一些可必要的工具和技术，完全可以把不安全因素降到最低。历时两个月的制作过程，收集了大量的计算机病毒及防范的资料，从对计算机病毒的防范技术的陌生到熟悉，掌握了计算机病毒防范的原理，了解了计算机病毒防范规则。 通过此次毕业设计强化了我得动手能力，学会了收集资料和独立完成一项任务的能力。这个毕业制作虽然功能简单，但是有一定的通用性，计算机病毒机理及网络病毒防御策略研究是计算机安全领域的重要研究方向，针对这些问题研究具有

29、重要价值和意义。参考文献1蔡立军. TP393.08 计算机网络安全技术J. 中国水利水电出版社2002，212-2562程胜利，谈冉，熊文龙等.计算机病毒与其防治技术M.华大学出版社，2004，9第一版.3傅建明，彭国军，张焕国.计算机病毒与对抗M.武汉大学出版社，2004.4卓新建，郑康锋，辛阳.计算机病毒原理与防治M.北京邮电大学出版社，2007，8第二版致谢 值此论文完成之际，首先要感谢我的导师#老师。刘老师从一开始的论文方向的选定，到最后的整篇文论的完成，都非常耐心的对我进行指导。给我提供了大量数据资料和建议，告诉我应该注意的细节问题，细心的给我指出错误。他对网络计算机病毒防治的研究和对该课题深刻的见解，使我受益匪浅。刘老师诲人不倦的工作作风，一丝不苟的工作态度，严肃认真的治学风格给我留下深刻的影响，值得我永远学习。在此，谨向导师刘老师致以崇高的敬意和衷心的感谢！