毕业论文-计算机病毒的正确防御探讨.doc

计算机病毒的正确防御探讨作者：xxxxxxx 学校：天津城市建设管理职业技术学院专业：计算机信息管理 指导教师：王喆2011年6月目 录内容摘要1正文一、引言2二、计算机病毒的起源2三、计算机病毒的发展阶段3四、计算机病毒的发展趋势5五、计算机病毒的类型及特点6六、机病毒的主要来源9七、计算机病毒的防护10八、结束语12参考文献13内容摘要随着计算机在社会生活各个领域的广泛运用，以及电脑的普及和网络的迅猛发展，计算机病毒呈现愈演愈烈的趋势，严重地干扰了正常的人类社会生活，给计算机系统带来了巨大的潜在威胁和破坏。目前，病毒已成为困扰计算机系统安全和计算机应用的重大问题。为了确保信息的安全与畅通，从计算机病毒的概念入手，分析计算机病毒的内涵及类型，并对计算机病毒来源进行分析，最后介绍计算机病毒的主要防护措施。 计算机病毒的正确防御探讨一、引言计算机病毒（computer virus）是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码。自80年代莫里斯编制的第个“蠕虫”病毒程序至今，世界上出现了许多不同类型的病毒，给数以千计的计算机用户造成不可估量的损失。因而，对每位计算机用户来说，了解一点计算机病毒方面的知识，掌握一些防护计算机病毒的方法，是非常必要的。二、计算机病毒的起源计算机病毒的发展，在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。它可划分为：1、dos引导阶段1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播；1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”；2、dos可执行阶段1989年,可执行文件型病毒出现,它们利用dos系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改dos中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染com和exe文件。1992年,伴随型病毒出现,它们利用dos加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒,它感染exe文件时生成一个和exe同名但扩展名为com的伴随体；它感染文件时,改原来的com文件为同名的exe文件,再产生一个原名的伴随体,文件扩展名为com，这样,在dos加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非dos操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在dos下的和“海盗旗”病毒类似的一类病毒。三、计算机病毒的发展阶段1第一代病毒第一代病毒的产生年限可以认为在1986-1989年之间，这一期间出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽.病毒的清除工作相对来说较容易。2第二代病毒第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生的年限可以认为在1989-1991年之间.3第三代病毒第三代病毒的产生年限可以认为从1992年开始至1995年，此类病毒称为“多态性”病毒或“自我变形”病毒， 是最近几年来出现的新型的计算机病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时， 放人宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的， 这是此类病毒的重要特点。正是由于这一特点，传统的利用特征码法检测病毒的产品不能检测出此类病毒。4第四代病毒90年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制， 首先通过广域网传播至局域网内，再在局域网内传播扩散。1996年下半年随着国内internet的大量普及，email的使用，夹杂于 email内的word宏病毒已成为当前病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂，加上微软对doc文档结构没有公开，给直接基于文档结构清除宏病毒带来了诸多不便。从某种意义上来讲，微软word basic的公开性以及 doc文档结构的封闭性，宏病毒对文档的破坏已经不仅仅属于普通病毒的概念，如果放任宏病毒泛滥，不采取强有力的彻底解决方法， 宏病毒对中国的信息产业将会产生不测的后果。这一时期的病毒的最大特点是利用internet作为其主要传播途径，因而，病毒传播快、隐蔽性强、破坏性大。此外， 随着windows95的应用，出现了windows环境下的病毒。这些都给病毒防治和传统dos版杀毒软件带来新的挑战。计算机病毒的发展必然会促进计算机反病毒技术的发展，也就是说， 新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战， 致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样， 势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性，迫使人们在反病毒的技术和产品上进行新的更新和换代。到目前为止，反病毒技术已经成为了计算机安全的一种新兴的计算机产业或称反病毒工业。四、计算机病毒的发展趋势根据瑞星“云安全”系统统计，2010年1月1日至20日,云安全系统共截获了59万个新增病毒样本。通过对这些最新病毒的研究发现，病毒制造者已经不再像以前那样追求与杀毒软件的对抗，试图结束或破坏杀毒软件后再进行盗号、破坏系统等目的，最新的病毒已经开始走向了一种更加“非主流”或更加“合法化”的技术，躲避杀毒软件的监控，一些病毒在杀毒软件的把守之下，堂而皇之的把病毒要干的那些事儿顺利完成。瑞星高级安全工程师唐威说，“这类病毒越来越多，从中我们也可以看出最新的病毒发展趋势。” 五、计算机病毒的类型及特点1计算机病毒的类型计算机病毒的类型繁多，在近几年内，主要有以下几种病毒：（1）“美丽杀手”（melissa）病毒。这种病毒是专门针对微软电子邮件服务器ms exchange和电子邮件收发软件out1ookexpress的word宏病毒，是一种拒绝服务的攻击型病毒，能够影响计算机运行微软word97、 word2000和outlook。这种病毒是种word文档附件，由e-mail携带传播扩散，能够自我复制，一旦用户打开这个附件，就会使用 outlook按收件人的outlook地址簿向前50名收件人自动复制发送，从而过载e-mail服务器或使之损坏。（2）尼姆亚变种w（worm.nimayaw）。该病毒通过感染文件传播，可造成用户文件损坏，无法运行。由于被该病毒感染的文件，图标会变为一只举着三炷香的熊猫，因此该病毒又被称作“熊猫烧香”。它是一个能在win9xnt2000xp2003系统上运行的蠕虫病毒。该病毒可通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪。（3）情人节（vbs.valentin）病毒。该病毒是一个会写情书的病毒。它会将自身用脚本加密引擎加密后插入到html文件中。病毒运行时会产生个名为main.htm的病毒文件，并拷贝到系统目录中，并搜索outlook的地址薄中的所有邮件地址，向这些地址发送病毒邮件。病毒会在每月的14号发作，发作时会以一封西班牙情书的内容覆盖掉硬盘中的所有文件，并将覆盖过的文件扩展名全部改为txt，使用户的系统完全崩溃。（4）桑河情人（vbs.san）病毒。该病毒是个会删除了你的文件还要祝你情人节快乐的病毒。病毒运行时会产生个loveday14-a.hta的文件，该文件是编译过的病毒格式，可以被系统自动执行。病毒会将这个情人节的文件放入系统的启动目录，每次开机后病毒会自动运行。该病毒在每月的8、14、23、29号发作，发作时会将c盘的所有根目录都保留，只将这些根目录及 所有文件及子目录都删除，而且还会建立一个名为：“happysan-valentin”情人节快乐目录5cih病毒。据悉，cih病毒已给计算机用户造成了巨大损失。近来又出现了cih病毒的一种升级版本cihvl-2病毒，cihvl-2病毒被定时在4月26日对被感染计算机的bios芯片和硬盘驱动器发起攻击，造成系统崩溃，甚至损坏硬件。cih病毒基本上是通过互联网络或盗版软件来感染windows 95或98的exe文件的，在执行被感染文件后，cih病毒就会随之感染与被执行文件接触到的其它程序。2计算机病毒的特点计算机病毒的传染分两种一种在一定条件下方可进行传染,即条件传。一种是对一种传染对象的反复传染即无条件传染。 从目前蔓延传播病毒来看所谓条件传染,是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.com或.exe文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对b驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.exe文件就进行一次传染, 再运行再进行传染反复进行下去。可见有条件时病毒能传染, 无条件时病毒也可以进行传染。（1）计算机病毒的可执行性。计算机病毒与其它合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其它可执行程序上，因此它享有 切程序所能得到的权力。（2）计算机病毒的传染性。传染性是病毒的基本特征，计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行，它就会搜寻其它符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。（3）计算机病毒的潜伏性。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可在几周或者几个月内，甚至几年内隐藏在合法文件中，而对其它系统进行传染，而不被发现。（4）计算机病毒的可触发性。病毒因某个事件或数值的出现，能诱使病毒实施感染或进行攻击的特性。（5）计算机病毒的破坏性。系统被病毒感染后，病毒一般不立即发作，而是潜藏在系统中，等条件成熟后便发作，给系统带来严重破坏。（6）攻击的主动性。病毒对系统的攻击是主动的，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒的攻击，而保护措施只能是一种预防手段。（7）病毒的针对性：计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对ibm pc机及兼容机的，有针对apple公司的macintosh的，还有针对unix操作系统的。六、机病毒的主要来源。1.搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒，例如像圆点一类的良性病毒。2.软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁，不如在其中藏有病毒对非法拷贝的打击大，这更加助长了各种病毒的传播。3.在攻击和摧毁计算机信息系统和计算机系统而制造的病毒-就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒，就是雇员在工作中受挫或被辞退时故意制造的。它针对性强，破坏性大,产生于内部，防不胜防。4用于研究或有益目的而设计的程序，由于某种原因失去控制或产生了意想不到的效果。七、计算机病毒的防护1.病毒的检测从上面介绍的计算机病毒的特性中，我们可以看出计算机病毒具有很强隐蔽性和极大的破坏性。因此在日常中如何判断病毒是否存在于系统中是非常关键的工作。一般用户可以根据下列情况来判断系统是否感染病毒。计算机的启动速度较慢且无故自动重启；工作中机器出现无故死机现象；桌面上的图标发生了变化；桌面上出现了异常现象：奇怪的提示信息，特殊的字符等；在运行某一正常的应用软件时，系统经常报告内存不足；文件中的数据被篡改或丢失；音箱无故发生奇怪声音；系统不能识别存在的硬盘；当你的朋友向你抱怨你总是给他发出一些奇怪的信息，或你的邮箱中发现了大量的不明来历的邮件；打印机的速度变慢或者打印出一系列奇怪的字符。2.病毒的防护在我们正常的工作中，怎样才能减少和避免计算机病毒的感染与危害呢？在平时的计算机使用中只要注意做到以下几个方面，就会大大减少病毒感染的机会。（1）建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，并尽快删除，不要上一些不太了解的网站，尤其是那些诱人名称的网页，更不要轻易打开，不要执行从internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。（2）关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如ftp客户端、telner和web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除他们，就能大大减少被攻击的可能性。（3）经常升级操作系统的安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，像红色代码、尼姆达、冲击波等病毒，所以应该定期到微软网站去下载最新的安全补丁，以防患于未然。（4）使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的。因此使用复杂的密码，将会大大提高计算机的安全系数。（5）迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立即中断网络，然后尽快采取有效的查杀病毒措施，以防止计算机受到更多的感染，或者成为传播源感染其他计算机。（6）安装专业的防病毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防杀病毒，是简单有效并且是越来越经济的选择。用户在安装了反病毒软件后，应该经常升级至最新版本，并定期查杀