论计算机病毒防治策略与方法——毕业论文

目 录论计算机病毒防治策略与方法 . 2摘 要 . 3一、引言 . 4二、计算机病毒的概念、特点 . 4三、计算机病毒的来源和感染病毒后的主要症状、案例 . 63.1 计算机病毒的主要来源 . 63.2 计算机感染病毒后的主要表现症状 . 73.3 计算机感染病毒后的典型案例 . 7四、常见计算机病毒的分类 . 8五、当前计算机病毒的主要传播途径 . 10六、计算机病毒的主要危害 . 11七、主要的防范措施 . 12八、结束语 . 13参考文献 . 15致谢 . 16论计算机病毒防治策略与方法摘 要:目前计算机病毒已经渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。本文首先明确了计算机病毒的概念、特点，主要从寄生性、传染性、潜伏性、隐蔽性、破坏性、可触发性六大类来写其具有的特点；并讲述了计算机病毒的四个来源和感染病毒后的七个主要表现症状以及两个中毒后典型的案例；接着对计算机病毒进行了十个方面的分类和计算机病毒的主要传播途径和危害；最后探讨对付计算机病毒的各种方法和防范措施，以减少病毒对计算机造成的危害。关键词：计算机；病毒；传播；防治。一、引言众所周知，计算机病毒是一种人为特制的，并且具有传染能力和破坏能力的程序，过去通常是通过软盘传播的。但随着Internet 的风行，网络成为第一传播途径，为计算机病毒的传播提供了新的“高速公路”。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是通过FTP下载的文件中可能存在病毒；另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，携带病毒的文档或文件就可能通过网关和邮件服务器涌入网络。早期病毒危害是损人不利己的。病毒作者编写病毒的目的是“炫耀技术”，可以说是“损人不利己”。像著名的CIH病毒，虽然把6000万台计算机搞瘫痪了，但病毒作者不仅没获取到1分钱的利润，还被警方领到了台北“刑事局”。当前病毒新危害主要是获取经济利益。像熊猫烧香的作者李俊，每天入账收入近1万元，被警方抓获后，承认自己获利上千万元。经历了几次大规模暴发后，“熊猫烧香”成为众多电脑用户谈虎色变的词汇，病毒作者也因破坏计算机信息系统罪名成立，依法判处4年有期徒刑。二、计算机病毒的概念、特点计算机病毒(Computer Virus )在中华人民共和国计算机信息系统安全保护条例中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。也可以讲计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。计算机病毒虽是一个小小程序，但它和别的计算机程序不同，具有以下特点：(1)寄生性:计算机病毒寄生在其他程序中，当执行这个程序时，病毒就起到破坏的作用，而在未启动这个程序之前，它是不易被人发觉的。(2)传染性:计算机病毒不但本身具有破坏性，而且具有传染性。一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒从一个生物体传染扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现相应的出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序上。计算机病毒可通过各种可能的渠道，如软盘、U盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的U盘等载体已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。(3)潜伏性：有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘等载体里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。(4)隐蔽性：计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就检查不出来，有的时隐时现、变化无常，这类病毒处理起来通常是很困难的。(5)破坏性：计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。(6)可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了原有的杀伤力。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。三、计算机病毒的来源和感染病毒后的主要症状、案例3.1 计算机病毒的主要来源(1)搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒，例如像圆点一类的良性病毒。(2)软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁，不如在其中藏有病毒，这对非法拷贝的打击大，这就更加助长了各种病毒的传播。(3)旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒， 就是雇员在工作中受挫或被辞退时故意制造的。它针对性强，破坏性大，产生于内部，防不胜防。(4)用于研究或有益目的而设计的程序， 由于某种原因失去控制或产生了意想不到的后果。3.2 计算机感染病毒后的主要表现症状计算机受到病毒的感染后，会表现出不同的症状，以下是我们经常碰到的计算机中毒过后的表现症状：(1)机器不能正常启动加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。(2)运行速度降低如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调出文件的时间都增加了，那就很可能是由于病毒造成的。(3)磁盘空间迅速变小由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户的什么信息也进不去。(4)文件内容和长度有所改变一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰作怪，文件长度可能改变，文件内容也可能会出现乱码。有时文件内容无法显示或显示后又消失了。(5)经常出现“死机”现象正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那就可能是由于系统被病毒感染了。(6)外部设备工作异常因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。(7)经常会出现蓝屏，尤其是在按键盘的时候，一按就死机。以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。3.3 计算机感染病毒后的典型案例早期的病毒是损人不利己，当前的病毒新危害是获取经济利益。黑客利用木马远程控用户计算机，偷窥用户隐私信息、盗取商业机密、甚至窃取国家机密进行敲诈勒索获取经济利益。有关专家指出，随着盗取用户密码账号、个人隐私、商业秘密、网络财产、政府机密等为目的的木马病毒攻击和黑客入侵行为的日益猖獗，正在侵蚀着计算机网络。案例一：黑客窃取他人裸照勒索钱财被判刑6年据新华网报道：2006年3月间，李某使用黑客软件侵入被害人陈某的电脑系统，盗窃受害人裸体照片。然后李某以要公开受害人裸体照片相要挟，成功诈骗7万元，意图继续敲诈时，被警方抓获。案例二：70元买木马病毒，三小时就盗两万元据法制晚报2006年1月6日报道，只有高中文化程度的刘明（化名）在网上花70元买来的木马病毒“种”在网吧的电脑里。3个小时之后，就成功窃取到一个网上银行的账号和密码，刘明将账户内的2万余元存款划空。海淀检察院已将刘明以盗窃罪诉至法院。四、常见计算机病毒的分类计算机病毒的危害性不仅体现在其破坏性上，而且充分体现在其日益增长的数量上。目前世界上出现的计算机病毒种类繁多，数量巨大，约有数万多种。计算机病毒及其所处环境的复杂性，以某种方式、遵循单一标准为病毒分类无法达到对病毒的准确认识，也不利于对病毒的分析与防治。在最近几年，产生了以下几种主要病毒：(1)系统病毒。系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。(2)蠕虫病毒。蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。(3)木马病毒、黑客病毒。木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的现在这两种类型都越来越趋向于整合了。一般的木马,如QQ消息尾巴木马Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60。(4)脚本病毒。脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）等。(5)宏病毒。其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。如：著名的美丽莎(Macro.Melissa)。(6)后门病毒。后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot 。(7)病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。(8)破坏性程序病毒。破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。(9)玩笑病毒。玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。(10)捆绑机病毒。捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）等。五、当前计算机病毒的主要传播途径计算机病毒具有自我复制和传播的特点，因此，只要是能够进行数据交换的介质都有可能成为计算机病毒的传播途径，如：(1)通过网页浏览进行传播网页病毒是一些非法网站在其网页中嵌入恶意代码，这些代码一般是利用浏览器的漏洞，在用户的计算机上自动执行传播病毒。最近以来，网站挂马现象尤为严重。许多正规网站被入侵后，网页中也被植入用来下载木马恶意代码。国家互联网应急中心监测结果显示，今年高考期间，就有20余所高校网站遭遇黑客挂马事件。(2)U盘等可移动存储设备通过移动存储设备来传播，包括软盘、光盘、U盘、移动硬盘等。其中U盘是使用最广泛、移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。通过U盘传播的病毒，是利用操作系统的自动播放功能。当我们把光盘放进光驱时，系统可以自动播放光盘中的程序或视频文件，病毒就是利用这个功能，通过 AutoRun.inf文件实现在打开U盘时自动执行病毒文件，从而感染我们的主机。(3)通过网络主动传播通过网络传播，如 电子邮件、 BBS 、网页、即时通讯软件等，计算机网络的发展使计算机病毒的传播速度大大提高，感染的范围也越来越广。通过网络主动传播的病毒主要有蠕虫病毒和 ARP地址欺骗病毒蠕虫病毒会向网络发出大量的数据包，对同一网络上的主机进行扫描，然后通过 Windows操作系统漏洞，通过共享访问等方式获取网络内其他机器的访问权限后，将病毒传播至其他机器ARP地址欺骗病毒，一般属于木马类病毒染毒的主机会向局域网内所有主机发送欺骗ARP数据包，将自己伪装成网关，让所有上网的流量必须经过病毒主机，这样局域网中的其他计算机浏览网页时，会被连接到含有病毒的恶意网址，下载木马病毒不论是蠕虫病毒还是 ARP病毒，在传播过程中都会发出大量的数据包，消耗网络资源，造成网络拥塞，甚至导致网络系统瘫痪。(4)电子邮件电子邮件一直是病毒传播的重要途径之一 ，病毒一般夹带在邮件的附件中，当我们打开附件时，病毒就会被激活。一些新的邮件病毒甚至能通过 Outlook 10EXPress的地址薄自动发送病毒邮件QQ,MSN等即时通讯软件。在使用QQ软件聊天时，常常会收到类似的消息：这个网站不错，请看看，或者看看最近照的照片。 后面带有一个网址链接，如果我们随便打开那个网址，很可能就会中毒了，感染病毒的主机又会自动给QQ上的其他用户发送带有病毒的网址，从而使病毒迅速扩散。(5)手机等移动通讯设备手机病毒最早出现在 2000 年，目前已知的手机病毒有400多种。随着智能手机的普及和3G时代的到来，利用手机就可以轻松上网，针对手机的病毒也将大量出现，无线通讯网络将成为病毒传播的新的平台。六、计算机病毒的主要危害在计算机病毒出现的初期,危害往往注重于病毒对信息系统的直接破坏作用,比如格式化硬盘、 删除文件数据等, 并以此来区分恶性病毒和良性病毒。其实这些只是病毒劣迹的一部分,随着计算机应用的发展, 人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。(1)病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据,利用的手段有格式化磁盘、 改写文件分配表和目录区、 删除重要文件或者用无意义的垃圾、数据改写文件等。(2)占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导转移到其他扇区, 也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失, 无法恢复。文件型病毒利用一些 DOS 功能进行传染, 这些 DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快, 在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。(3)抢占系统资源大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少, 一部分软件不能运行。除占用内存外,病毒还抢占中断, 干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发, 总是修改一些有关的中断地址, 在正常中断过程中加入病毒的私货,从而干扰了系统的正常运行。(4)影响计算机运行速度病毒进驻内存后不但干扰系统运行, 还影响计算机速度,主要表现在:第一，病毒为了判断传染激发条件, 总要对计算机的工作状态进行监视,这相对于计算机的正常运行状态既多余又有害。第二，有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态, CPU 每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的 CPU 指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样 CPU 额外执行数千条以至上万条指令。第三，病毒在进行传染时同样要插入非法的额外操作, 特别是传染软盘时不但计算机速度明显变慢,而且软盘正常的读写顺序被打乱,发出刺耳的噪声。七、主要的防范措施防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。为了将病毒拒之门外，就要做好以下预防措施：(1)树立病毒防范意识，从思想上重视计算机病毒，要从思想上重视计算机病毒可能会给计算机安全运行带来的危害。对于计算机病毒，有病毒防护意识的人和没有病毒防护意识的人对待病毒的态度完全不同。例如对于反病毒研究人员，机器内存储的上千种病毒不会随意进行破坏，所采取的防护措施也并不复杂。而对于病毒毫无警惕意识的人员，可能连计算机显示屏上出现的病毒信息都不去仔细观察一下，任其在磁盘中进行破坏。其实，只要稍有警惕，病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。(2)安装正版的杀毒软件和防火墙，并及时升级到最新版本(如瑞星、金山毒霸、江民、卡巴斯基、360杀毒等)。另外还要及时升级杀毒软件病毒库，这样才能防范新病毒，为系统提供真正安全环境。(3)及时对系统和应用程序进行升级，及时更新操作系