毕业论文范文——探讨U盘病毒的特点及防范措施

毕 业 论 文课题名称 探讨U盘病毒的特点及防范措施 学生姓名 专 业 电子信息工程技术 班 级 目录目录2摘要4第一章：计算机病毒概述51.1、计算机病毒的概念及发展51.2、计算机病毒的特征及计算机被感染后的表现51.2.1计算机病毒的特征51.2.2计算机被病毒感染后的表现61.3计算机病毒的传播途径及预防措施6第二章：U盘病毒U盘病毒的概念、原理、特征及其表现72.1、U盘病毒的概念及原理72.1.1、U盘病毒的概念72.1.2、U盘病毒的原理72.2、U盘病毒运行机制82.3、U盘病毒的特征及表现102.3.1、U盘病毒的特征102.3.2、U盘病毒与计算机一般病毒的比较112.3.3、U盘病毒的病状表现11第三章：U盘病毒的查杀及防护123.1全面解析U盘病毒123.2、U盘病毒的查杀163.2.1、手工清理方法总结：163.2.2、利用USB专杀工具（USBKiller）查杀：213.3、U病毒的防护措施21第四章 结论与展望21致谢21参考文献：22探讨U盘病毒的特点及防范措施专业：计算机科学与技术（网络安全监察） 摘要随着计算机技术的迅猛发展，计算机给人们的工作和生活带来了前所未有的便利和效率，但计算机病毒也随着计算机的发展在日益猖獗，其传播速度和途径更是让人难以想象，近年来，U盘因其使用方便、小巧、易携带等特点，也被人们广泛运用于社会的各个领域，成为了网络信息和计算机电子文档储存与传递的重要工具之一。计算机病毒也依靠着此传播途径走上了传播的高速路，更让人难以对付的是出现了U盘病毒。U盘病毒的出现给人们存储在可移动磁盘上的数据、重要文件造成了丢失、被窃取等种种危害。本论文通过对计算机病毒的了解，从计算机一般病毒出发，探讨U盘病毒的危害，并分析研究U盘病毒的特征、原理及计算机被感染后的表现，从而找出查杀U盘病毒的有效方法和防御措施。解决U盘病毒在工作、生活、办公、学习等各个领域给人们带来的种种隐患，为人们的可移动磁盘数据及计算机创造良好的环境。关键词：病毒、U盘病毒、防范、计算机、可移动磁盘、传染、查杀、自动播放、AutoRun.inf第一章：计算机病毒概述随着科学技术的发展，目前计算机的应用已经遍及到社会的各个领域，同时计算机病毒也依靠着计算机网络及可移动设备等途径传到了各台计算机，威胁着人们的生活和办公。因此，计算机病毒的防范工作，已经迫在眉睫，要搞好计算机病毒预防工作，首先，我们必须对计算机病毒有着熟悉的了解。1.1、 计算机病毒的概念及发展1.2、 计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义为：病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。因此，我们知道，计算机病毒有着破坏计算机数据并影响计算机正常工作的并窃取计算机数据的功能。当今社会，计算机病毒普遍存在，而且发展突飞猛进，据瑞星全球反病毒监测网统计数据显示，2004年上半年，瑞星截获新病毒11835个，2005年同期，新病毒数为26927个，而去年上半年，新截获的病毒数量飙升到了119402个，相当于过去几年截获病毒数量的总和。在去年病毒较为泛滥的时期，其中有三分之一的病毒是通过可移动设备传播感染的。1.2、计算机病毒的特征及计算机被感染后的表现1.2.1计算机病毒的特征1、传染性：计算机病毒传染性是指计算机病毒通过修改的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。2、潜伏性：计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作，使电脑变慢。3、破坏性：病毒破坏文件或数据，扰乱系统正常工作的特性称为破坏性。4、可触发性：病毒的发作通常是在一定的条件下实现的，这些条件可能是时间、日期、文件类型或某些特定数据等。一旦满足这些条件，病毒就会发作，被感染的文件或系统将被破坏。5、隐蔽性：指病毒在感染计算机后具有不被用户发现的特点，主要表现在传染的隐蔽性和病毒程序存在的隐蔽性两个方面。6、非授权可执行性：计算机病毒可以未经授权而执行。7、攻击的主动性：病毒对系统的攻击是主动的， 计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的主动攻击。1.2.2计算机被病毒感染后的表现1、机器不能正常启动：加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。2、电脑经常异常死机：病毒程序打开了较多的程序，或者是病毒自我复制，都会占用了大量的CPU资源和内存资源，从而造成机器经常死机。3、计算机中的文件无法打开：系统中可以执行的文件，突然无法打开。由于病毒修改了感染了文件，可能会使文件损坏，或者是病毒破坏了可执行文件中操作系统中的关联，都会使文件出现打不开的现象。4、数据突然丢失：硬盘突然有大量数据丢失，这有可能是病毒具有删除文件的破坏性，导致硬盘的数据突然消失。5、电脑运行速度特别慢：在运行某个程序时，系统响应的时候特别长，响应的时间，超出了正常响应时间的5位以上。6、磁盘空间迅速变小：由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。7、外部设备工作异常：造成键盘、打印机、显示器等外部设备不正常工作，因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些用理论或经验说不清道不明的现象。1.3计算机病毒的传播途径及预防措施计算机病毒具有自我复制和传播的特点，因此，要预防计算机病毒就必须先了解它的传播途径，目前，计算机病毒的传播途径主要有一下几种途径：第一，通过Internet（计算机网络）进行传播，网络已经成为人们获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序的天堂，正因如此，计算机病毒也依靠网络走上了传播的高速之路。第二，通过IM（即时通信系统，如QQ、MSN）和无线通道传播。第三，通过移动存储设备（U盘、可移动硬盘、软盘、光盘等USB设备）来传播。目前，U盘也成为使用最广泛、最频繁的移动存储介质，这便为计算机病毒的传播创造了很好的条件。为此，要做好计算机病毒的防护工作，不当要预防从网络上所带来的病毒，更要防范好从USB接口进入计算机的来犯之敌U盘病毒。计算机病毒分计算机网络、IM系统和无限通道、可移动设备（表格）第二章：U盘病毒U盘病毒的概念、原理、特征及其表现2.1、U盘病毒的概念及原理2.1.1、U盘病毒的概念U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒，是主要通过U盘等可移动设备传播的计算机病毒。目前，U盘病毒是传播最广的计算机病毒之一，各杀毒软件也尚未将Autorun病毒列为病毒.该病毒在中毒的U盘接入电脑时,双击打开U盘盘符时便会通过Autorun.inf激活病毒从而使系统受到感染。病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog. 2.1.2、U盘病毒的原理U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件。Autorun.inf原本是微软公司设计一个安装信息文件，其本身是一个正常的文件，通过它可以实现可移动设备的自动运行，很多黑客便利用它做一些恶意的操作，不同的黑客可以通过Autorun.inf植入不通的病毒,现在一些不法分子却利用它来传播病毒。autorun.inf文件里面的内容非常灵活，写法不唯一，不同病毒的autorun.inf文件的内容不尽相同。U盘病毒Autorun.inf的程序代码如下：（引用）codeds=dohuw+%RN%,execute (decode (codeds) )Function DeCode (Coded) On Error Resume Next For i = 1 To Len (Coded) Curchar = Mid (Coded, i, 1) If Asc (Curchar) = 16 then Curchar = chr (8)Elseif Asc (Curchar) = 24 then Curchar = chr (12)Elseif Asc (Curchar) = 32 then Curchar = chr (18) Else Curchar = chr (Asc (Curchar) -3) End if DeCode = Decode&Curchar NextEnd Function2.2、U盘病毒运行机制与一般计算机病毒相比，U盘病毒的运行一般是被动的，必须经过可移动设备的自动播放功能或者是人为的点击后，U盘病毒才可以在计算机中得到运行，其运行机制主要表现在以下几个方面：1、感染磁盘：U盘病毒运行在电脑中，病毒程序不断扫描各盘（包括硬盘分区、U盘、移动硬盘、内存卡等），并且在每个磁盘根目录下建立病毒文件的副本和一个autorun.inf或者autorun.pif自启动文件，有时会感染其他文件。2、伪装成文件夹:U盘病毒会检查你的移动设备里有多少文件夹，并根据每个文件夹的名字建立同名的病毒文件副本（扩展名为exe），这个病毒副本的图标和文件夹的图标相同或者相似，并且病毒把原有文件夹的属性改成hidden(隐藏)或者system（也是隐藏的）。如下图：设置文件夹选项显示所有文件和文件夹，可以发现，病毒隐藏了原文件夹，把自己伪装成原文件夹，用户不知道或不注意的话，双击盘符就运行了病毒，从而使计算机感染病毒。上图中名为RECYCLER.exe 是病毒在U盘中伪装成一个文件夹的样子，其本身就是一个病毒，如果计算机没设置显示扩展名的话，一般人看到此图标就以为是回收站，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的。U盘属于Zip/FDD型移动设备，理应没有回收站（Recycled文件夹）和系统还原（System Volume Information文件夹），您删除的任何文件将是完全删除，而不会被放入所谓的“Recycled”中。所以，一旦您在U盘上发现看似回收站图标的文件夹，可以直接认为那是病毒的老巢，请不要进入，而是直接删除！3、用户中计，电脑被感染：因为windowsXP的默认配置是不显示文件的扩展名，不显示隐藏文件和系统文件，这就使你原来的文件夹实际上看不到，看到的是病毒文件，但病毒文件伪装的和原来的文件夹一模一样，如果你误以为那是你的文件夹并点了这个文件，病毒便会运行，并安装到电脑中（这个过程你是看不到的），同时病毒引导你进入正常的文件夹，所以你在完全不知情的情况下就中毒了。4、当移动设备插在电脑上时，通过windows的自动播放功能，自动执行autorun.inf文件，autorun.inf文件激活病毒程序。见下图：左侧为带U盘病毒的右键菜单，多了“自动播放”、“Open”、“Browser”等项目；右侧是杀毒后的，没有这些项目。5、通过双击盘符运行：如果windows自动播放功能被关闭，则移动设备不会被自行打开，病毒也无法直接运行，这时如果你不做任何操作，电脑是不会中毒的。但如果你双击盘符，则autorun.inf也一样会被运行。2.3、U盘病毒的特征及表现2.3.1、U盘病毒的特征U盘病毒不但具有着一般计算机病毒的特征，除此之外，U盘病毒还有着一些自己独立的特征，这写特征与一般计算机病毒的特征相比，显得更强烈、更广泛。主要表现在：1、传染的广泛性：U盘在当今社会无处不在，因此只要有U盘的地方都可能存在病毒，而且，传染强烈，只要可移动磁盘一与计算机接触都可能被感染，我们可以把U盘病毒的传染性与艾滋病病毒的传染性进行比较，可以发现它们都具有如下特点：（1）从表面无法看出是否感染了病毒；（2）能感染接触对象，也能被接触对象感染；（3）都是通过连通后才可能产生传染；（4）感染后一般不是立刻就能发现而且很难完全清除的；（5）如果减少接触对象，就能减少感染风险；（6）使用预防措施可以大大的减少风险。2、感染的被动性：U盘病毒都是贮存在可移动磁盘中，如果不经过认为的把可移动磁盘与计算机接触，是不会感染计算机的，并且接触后也要经过自动播放或点击盘符才能使病毒得以运行。3、 病毒的持久性：一旦U盘被感染，很难查杀或彻底清除，特别是在U盘中存有重要文件时，要清楚病毒而且保护证文件不丢失，显得非常困难而又复杂。4、感染对象的的特定性：U盘病毒感染的对象一般只能是计算机以外的可移动设备或磁盘。5传播途径的多样性：U盘病毒不但可以一依靠网络的传播，更为广泛的传播是靠U盘等可移动设备。2.3.2、U盘病毒与计算机一般病毒的比较U盘病毒与计算机一般病毒都是计算机病毒，他们对计算机都具有破坏性，有着共同的目的，不同的只是在概念、具体的传播途径、特征表现等方面略有区别，它们之间还有着密切的联系。具体如下表所示：区别联系 一般计算机病毒概念编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。U盘病毒属于计算机病毒的其中之一，他们都有着共同的特征，其目的都是为了破坏计算机系统、获取对方数据。对人们的生活和办公信息都有着巨大的威胁。在查杀防范计算机病毒的同时，不能忽视了U盘病毒。感染对象主要是针对计算机，主要在计算机与计算机之间进行传染。特征及表现基本特征：程序性、传染性、非授权性、隐蔽性、潜伏性、可触发性、破坏性、攻击的主动性、针对性、不可预见性、持久性、诱惑欺骗性、寄生性。感染表现： 经常异常死机、运行速度慢、磁盘空间减小、数据丢失等。查杀利用一般的杀毒软件可以清除。U盘病毒概念U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒，是主要通过U盘等可移动设备传播的计算机病毒。感染对象感染对象主要是U盘，但也会感染计算机。主要在计算机与可移动磁盘之间进行传染，且贮存于可移动磁盘当中。特征及表现特征：具有一般病毒的特征，但其传染性较为广泛、感染的对象相对特定、感染被动、传播途径多样化。感染表现：具有一般病毒的感染表现。值得注意的是U盘被感染或的表现。查杀一般的杀毒软件难以清除，一旦感染后，要使用USB专杀工具或将可移动磁盘格式化才能清楚。2.3.3、U盘病毒的病状表现1、当计算机被U盘病毒感染时：计算机被U盘病毒除了表现为感染一般病毒的症状外，还有可能出现以下情景：（1）、中了U盘病毒，电脑硬盘里面所有的文件夹里都有一个与这个文件夹名字相同的后缀为EXE的文件夹 而且都一样大；（2）、无法开启任务管理器，当你按下Ctrl+Alt+DEL的时候，任务管理器一闪而关。（3）、应用程序无法运行，尤其是杀毒软件，最近的一些U盘病毒变种能够。阻止一切应用程序的运行，特征是你运行电脑上安装的应用程序，无任何反映，尤其是杀毒软件，很多变种都有阻止杀毒软件运行的功能。（4）、双击无法打开电脑上硬盘分区，必须要用右键才能打开，这个也是一个比较常见的中毒特征。2、当U盘感染上病毒时，其病状主要表现在以下几个方面：（1）、双击打开U盘时，计算机提示找不到copy.exe。（2）、显示隐藏文件时发现有copy.exe host.exe autorun.ini可疑文件。（3）、部分U盘表现为所有文件属性被修改为隐藏。 （4）、打开系统进程有可能发现temp1.exe或temp2.exe。（5）、U盘的储存空间变小。（6）、经常性的删除移动存储失败，总是显示“现在无法停止通用卷设备，请稍候在停止该设备”。第三章：U盘病毒的查杀及防护 要有效解决U盘病毒给人们带来的困扰，为计算机的工作创造一个健康、安全的环境，同时也使人们不在担心存放在可移动磁盘（U盘）上的重要文件、数据不在丢失或被窃取，就必须做好U盘病毒的查杀和防护工作。3.1全面解析U盘病毒1、一个被病毒感染的U盘要从计算机的USB接口弹出时，通常会出现“现在无法停止通用卷设备，请稍后在停止该设备”。一般情况下，这就是由于病毒在运行，U盘设备被病毒调用。（图1） （图1）2、接下来我们看看病毒到底在硬盘上做什么，由于病毒文件大多是隐形属性，因此要先让系统显示隐藏文件，方法如下：打开“我的电脑”，选择“工具”菜单中的“文件夹选项”，在“查看”选项卡的“高级设置”下一次勾选“选择系统文件夹的内容”、“显示所有文件和文件夹”。取消对“隐藏已知文件类型的扩3、打开“我的电脑”进入根目录查看，不要直接双击，用鼠标右键点击盘符，可以看见第一项变成了“Auto”.(图3)4、(一般正常情况下是“打开”)，选择“资源管理器”进入磁盘根目录。非常明显在根目录下多了一个文件，一个目录，文件是Autorun.inf,目录为RECYCLER,它的图标和回收站的图标一样，并且是隐藏属性。进入RECYCLER目录可以看到两个文件，一个为info.exe，另一个为desktop.ini，也是隐藏属性。(图4) （图4）5、双击打开autorun.inf文件，可以看到如下内容：此程序表示该U盘病毒首先它把自己隐藏在一个类似“回收站”的图标下，另外，通过autorun.inf达到双击盘符自动运行。6、双击打开desktop.ini文件，可以看到如下内容：这是该病毒把自己的图标改变成“回收站”的图标的程序代码，使自己更加隐蔽。3.2、U盘病毒的查杀3.2.2、利用USB专杀工具（USBKiller）查杀：目前常用的USB专杀工具主要有USBCleaner和USBKiller两种：USBKiller是一款专门用于预防及查杀U盘病毒、Auto病毒、闪盘病毒的工具除了可以30秒闪电查杀RavMone、 Rose、rising、Fun.xls等几十种通过U盘传播的病毒，还可以对系统实行主动防御，自动检测清除插入U盘内的病毒，从根本上杜绝病毒通过U盘感染电脑，解决你的后顾之忧。免疫功能让病毒永远也无法进入你的U盘；解锁功能解除U盘锁定状态，解决无法安全删除设备问题；修复功能修复无法显示隐藏文件、双击无法打开硬盘、清除右键Auto字样、修复无法打开杀毒软件。3.3、U病毒的防护措施U盘病毒的防护做到以下几点：（1）安装具有U盘病毒防护功能的杀毒软件并及时更新杀毒软件的病毒库。（2）修改计算机系统中的注册表，将系统各个磁盘的自动运行功能禁止。尽量不要双击打开U盘，而是通过打击左键选择“打开”。（3）使用U盘进行数据贮存和拷贝时，打开防病毒软件的“实时监控”功能，避免病毒文件入侵感染。（4）将所有隐藏文件和文件夹都设为显示，以便U盘被感染后能及时发现病毒。（5）随时注意判断自己是否中了U盘病毒并注意木马的查杀。 （6）关闭自动播放。具体方法如下：开始运行，输入下面的命令gpedit.msc计算机配置管理模板系统关闭自动播放启用（选择所有驱动器）。对于U盘病毒，光有预防措施是远远不够的。在U盘的日常使用过程中，除了要采取及时升级杀毒软件、安装系统补丁等防范病毒的一般方法外，还必须特别注意以下几个方面，养成良好的U盘使用习惯。使用U盘注意事项：（a）、尽量专盘专用；（b）、养成在打开U盘前先进行扫描杀毒处理的好习惯；（c）、尽量打开U盘的写保护功能；（d）、采用安全的打开方式。综合采取以上措施和方法，能有效防止U盘病毒的侵扰，但不能保证U盘的绝对安全，因为病毒也