计算机病毒的特性与防治论文.doc

新 乡 学 院 毕 业 论 文论文题目计算机病毒的特性与防治院（系）名称专业名称班 级学生姓名学 号2007123401006指导教师姓名陈明2010年4月16目录内容摘要：1关键词：1Abstract：1Key words：1第一章计算机病毒的概述21.1计算机病毒的定义21.2计算机病毒的起源21.3计算机病毒的历史21.4计算机病毒的分类3第二章计算机病毒的特性5第三章计算机病毒的传播方式73.1通过网络传播73.2通过不可移动的计算机硬件设备传播83.3通过移动存储设备传播93.4通过无线设备传播9第四章计算机病毒的触发机制9第五章计算机病毒的破坏行为10第六章计算机病毒的防与治116.1预防计算机病毒126.2消除计算机病毒13参考文献：15致谢：15内容摘要：我们对于计算机病毒不会陌生，甚至它让我们深受其害。计算机病毒给人们正常的学习生活工作带来了很多的不遍, 那么计算机病毒是如何产生的呢？有什么特征？它是如何传播的呢？因此本文对计算机病毒的产生,发展,还有最新的计算机病毒技术做了详尽的描述,关键词：起源 特征 传播途径Abstract: We are not familiar with computer viruses, it even let us suffer. Computer viruses to peoples normal life brings is learning to not again.So how computer viruses are created? What features? How does it spread? so this paper made detailed computer virus, the disease of the computer, development, and the latest technology of computer virus.Key words: Origin Feature Transmission 第一章计算机病毒的概述1.1计算机病毒的定义计算机病毒是一种人为制作的,通过非授权入侵而隐藏在可执行程序或数据文件中的特殊计算机程序.它占用系统空间,降低计算机运行速度,甚至破坏计算机系统的程序和数据,造成极大损失.当计算机系统运行时,源病毒能把自身精确地拷贝到其他程序体内,在一定条件下,通过外界的刺激可将隐蔽的计算机病毒激活,破坏计算机系统。Internet的盛行造就了信息的大量流通，但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说，网络不折不扣正好提供了一个绝佳的渠道。也因此，我们这些一般的使用者，虽然享受到因特网带来的方便，同时却也陷入另一个恐惧之中。1.2计算机病毒的起源计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚，因为他们发现病毒比加密对付非法拷贝更有效且更有威胁，这种情况助长了病毒的传播。还有一种情况就是蓄意破坏，它分为个人行为和政府行为两种。个人行为多为雇员对雇主的报复行为，而政府行为则是有组织的战略战术手段（据说在海湾战争中，美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击，一度使伊拉克的国防通讯陷于瘫痪）。另外有的病毒还是用于研究或实验而设计的有用程序，由于某种原因失去控制扩散出实验室或研究所，从而成为危害四方的计算机病毒。1.3计算机病毒的历史自从80所代中期发现第一例计算机病毒以来，计算机病毒的数量急剧增长。目前，世界上发现的病毒数量己超过15000 种，国内发现的种类也达600 多种。1998年流行的CIH 病毒更使计算机用户感到极大恐慌。那么，电脑病毒是怎么来的，其发展状况又如何呢? 2000年以来出现了不少通过网络传播的诸如“爱丽沙”、“尼姆达”等新病毒。但是不管计算机病毒多猖狂，总有办法对付的，即使象CIH这样的病毒，现在己经有了好几种查杀它的反病毒软件。1.4计算机病毒的分类各种不同种类的病毒有着各自不同的特征，它们有的以感染文件为主、有的以感染系统引导区为主、大多数病毒只是开个小小的玩笑、但有些病毒则危害极大（如臭名昭著CIH病毒），这就要求我们采用适当的方法对病毒进行分类，以进一步满足日常操作的需要：按传染方式分类：病毒按传染方式可分为引导型病毒、文件型病毒和混合型病毒三种。其中引导型病毒主要是感染磁盘的引导区，我们在使用受感染的磁盘（无论是软盘还是硬盘）启动计算机时它们就会首先取得系统控制权，驻留内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区，它一般不对磁盘文件进行感染；文件型病毒一般只传染磁盘上的可执行文件（COM，EXE），在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或部件；混合型病毒则兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径。按连接方式分类：病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。其中源码病毒主要攻击高级语言编写的源程序，它会将自己插入到系统的源程序中，并随源程序一起编译、连接成可执行文件，从而导致刚刚生成的可执行文件直接带毒，不过该病毒较为少见，亦难以编写；入侵型病毒则是那些用自身代替正常程序中的部分模块或堆栈区的病毒，它只攻击某些特定程序，针对性强，一般情况下也难以被发现，清除起来也较困难；操作系统病毒则是用其自身部分加入或替代操作系统的部分功能，危害性较大；外壳病毒主要是将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳，大部份的文件型病毒都属于这一类。 按破坏性分类：病毒按破坏性可分为良性病毒和恶性病毒。顾名思义，良性病毒当然是指对系统的危害不太大的病毒，它一般只是作个小小的恶作剧罢了，如破坏屏幕显示、播放音乐等（需要注意的是，即使某些病毒不对系统造成任何直接损害，但它总会影响系统性能，从而造成了一定的间接危害）；恶性病毒则是指那些对系统进行恶意攻击的病毒，它往往会给用户造成较大危害，如最近十分流行的CIH病毒就就属此类，它不仅删除用户的硬盘数据，而且还破坏硬件（主板），实可谓十恶不赦！按程序运行平台分类：病毒按程序运行平台分类可分为DOS病毒、Windows病毒、Windows NT病毒、OS/2病毒等，它们分别发作于DOS、Windows 9X、Windows NT、OS/2等操作系统平台上的病毒。新型病毒：部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类，如宏病毒、黑客软件、电子邮件病毒等.宏病毒主要是使用某个应用程序自带的宏编程语言编写的病毒，如感染WORD系统的WORD宏病毒、感染EXCEL系统的EXCEL宏病毒和感染Lotus Ami Pro的宏病毒等。宏病毒与以往的病毒有着截然不同的特点，如它感染数据文件，彻底改变了人们的数据文件不会传播病毒的错误认识；宏病毒冲破了以往病毒在单一平台上传播的局限，当WORD、EXCEL这类软件在不同平台(如WINDOWS、WINDOWS NT、OS/2和MACINTOSH等)上运行时，就可能会被宏病毒交叉感染；以往病毒是以二进制的计算机机器码形式出现，而宏病毒则是以人们容易阅读的源代码形式出现，所以编写和修改宏病毒比以往病毒更容易；另外宏病毒还具有容易传播、隐蔽性强、危害巨大等特点。最终来说，宏病毒应该算是一种特殊的文件型病毒，同时它应该也可以算是按程序运行平台分类中的一种特例。黑客软件本身并不是一种病毒，它实质是一种通讯软件，而不少别有用心的人却利用它的独特特点来通过网络非法进入他人计算机系统，获取或篡改各种数据，危害信息安全。正是由于黑客软件直接威胁各个广大网民的数据安全，况且用户手工很难对其进行防范的独特特点，因此各大反病毒厂商纷纷将黑客软件纳入病毒范围，利用杀毒软件将黑客从用户的计算机中驱逐出境，从而保护了用户的网络安全。电子邮件病毒实际上并不是一类单独的病毒，它严格来说应该划入到文件型病毒及宏病毒中去，只不过由于这些病毒采用了独特的电子邮件传播方式（其中不少种类还专门针对电子邮件的传播方式进行了优化），因此我们习惯于将它们定义为电子邮件病毒。第二章计算机病毒的特性计算机病毒一般具有可执行性、传染性、潜伏性、触发性、破坏性、主动攻击性、针对性、非授权性、隐蔽性、衍生性、寄生性、不可预见性、欺骗性以及持久性等特征。病毒的程序性（可执行性）：计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。在病毒运行时，与合法程序争夺系统的控制权。计算机病毒只有当它在计算机内得以运行时，才具有传染性和破坏性等活性。病毒的传染性：传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。病毒的潜伏性：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。病毒的可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒的破坏性：所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，所以对系统来讲，所有的计算机病毒都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。攻击的主动性：病毒对系统的攻击是主动的，不以人的意志为转移的。也就是说，从一定的程度上讲，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。病毒的针对性：计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对1BM PC机及其兼容机的，有针对App1e公司的Macintosh的，还有针对UNIX操作系统的。例如小球病毒是针对IBM PC机及其兼容机上的DOS操作系统的。病毒的非授权性：病毒未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。病毒的隐蔽性：病毒一般是具有很高编程技巧，短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1K字节，而 PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易察觉。第三章计算机病毒的传播方式就当前的病毒特点分析，传播途径有两种，一种是通过网络传播，一种是通过硬件设备传播。首先，我们来看看网络传播的途径和解决方案。3.1通过网络传播网络传播又分为因特网传播和局域网传播两种。网络信息时代，因特网和局域网已经融入了人们的生活、工作和学习中，成为了社会活动中不可或缺的组成部分。特别是因特网，已经越来越多地被用于获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序。随着因特网的高速发展，计算机病毒也走上了高速传播之路，已经成为计算机病毒的第一传播途径。因特网传播: Internet既方便又快捷，不仅提高人们的工作效率，而且降低运作成本，逐步被人们所接受并得到广泛的使用。商务来往的电子邮件，还有浏览网页、下载软件、即时通讯软件、网络游戏等等，都是通过互联网这一媒介进行。如此频繁的使用率，注定备受病毒的“青睐”。通过电子邮件传播: 在电脑和网络日益普及的今天，商务联通更多使用电子邮件传递，病毒也随之找到了载体，最常见的是通过Internet交换Word格式的文档。由于Internet使用的广泛，其传播速度相当神速。通过浏览网页和下载软件传播: 很多网友都遇到过这样的情况，在浏览过某网页之后，IE标题便被修改了，并且每次打开IE都被迫登陆某一固定网站，有的还被禁止恢复还原，这便是恶意代码在作怪。当你的IE被修改，注册表不能打开了，开机后IE疯狂地打开窗口，被强制安装了一些不想安装的软件，甚至可能当你访问了某个网页时，而自己的硬盘却被格式化那么很不幸，你肯定是中了恶意网站或恶意软件的毒了。通过即时通讯(Instant Messenger，简称IM)软件传播: 可以说是目前我国上网用户使用率最高的软件，它已经从原来纯娱乐休闲工具变成生活工作的必备利器。由于用户数量众多，再加上即时通讯软件本身的安全缺陷，例如内建有联系人清单，使得病毒可以方便地获取传播目标，这些特性都能被病毒利用来传播自身，导致其成为病毒的攻击目标。提示: 在聊天时收到好友发过来的可疑信息时，千万不要随意点击，应当首先确定是否真的是好友所发。要防范通过IRC传播的病毒，还需注意不要随意从陌生的站点下载可疑文件并执行，而且轻易不要在IRC频道内接收别的用户发送的文件，以免计算机受到损害。P2P，即对等互联网络技术(点对点网络技术)，它让用户可以直接连接到其它用户的计算机，进行文件共享与交换。每天全球有成千上万的网民在通过P2P软件交换资源、共享文件。由于这是一种新兴的技术，还很不完善，因此，存在着很大的安全隐患。由于不经过中继服务器，使用起来更加随意，所以许多病毒制造者开始编写依赖于P2P技术的病毒。 提示: 在聊天时收到好友发过来的可疑信息时，千万不要随意点击，应当首先确定是否真的是好友所发。要防范通过IRC传播的病毒，还需注意不要随意从陌生的站点下载可疑文件并执行，而且轻易不要在IRC频道内接收别的用户发送的文件，以免计算机受到损害。通过局域网传播：局域网是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网络中的计算机。局域网络技术的应用为企业的发展作出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。同时，由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播。3.2通过不可移动的计算机硬件设备传播不可移动的计算机硬件设备进行病毒传播，其中计算机的专用集成电路芯片(ASIC)和硬盘为病毒的重要传播媒介。通过ASIC传播的病毒极为少见，但是，其破坏力却极强，一旦遭受病毒侵害将会直接导致计算机硬件的损坏，检测、查杀此类病毒的手段还需进一步的提高。硬盘是计算机数据的主要存储介质，因此也是计算机病毒感染的重灾区。3.3通过移动存储设备传播更多的计算机病毒逐步转为利用移动存储设备进行传播。移动存储设备包括我们常见的软盘、磁带、光盘、移动硬盘、U盘(含数码相机、MP3等)、ZIP和JAZ磁盘，后两者仅仅是存储容量比较大的特殊磁盘。软盘主要是携带方便，早期在网络还不普及时，软盘是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生“温床”。随着时代的发展，移动硬盘、U盘等移动设备也成为了新攻击目标。而U盘因其超大空间的存储量，逐步成为了使用最广泛、最频繁的存储介质，为计算机病毒寄生的提供更宽裕的空间。目前，U盘病毒逐步的增加，使得U盘成为第二大病毒传播途径。3.4通过无线设备传播目前，这种传播途径随着手机功能性的开放和增值服务的拓展，已经成为有必要加以防范的一种病毒传播途径。随着智能手机的普及，通过彩信、上网浏览与下载到手机中的程序越来越多，不可避免的会对手机安全产生隐患，手机病毒会成为新一轮电脑病毒危害的“源头”。 病毒的种类繁多，特性不一，但是只要掌握了其流通传播方式，便不难进行监控和查杀。第四章计算机病毒的触发机制感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播，破坏性体现了病毒的杀伤能力。目前病毒采用的触发条件主要有以下几种：1日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、前半年后半年触发等。2时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。3键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键人时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。4感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。5启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。6访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。7调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件被计算机病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的，再辅以读、写盘操作，按键操作以及其他条件。第五章计算机病毒的破坏行为计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能力。数以万计、不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为。根据病毒资料大致可以把病毒的破坏目标和攻击部位归纳如下：1.攻击系统数据区：攻击部位包括硬盘主引寻扇区、Boot扇区、FAT表、文件目录.一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。2.攻击文件：病毒对文件的攻击方式很多，可列举如下： 删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。3.攻击内存：内存是计算机的重要资源，也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源，可以导致一些大程序受阻。病毒攻击内存的方式如下：占用大量内存、改变内存总量、禁止分配内存、蚕食内存。4.干扰系统运行：病毒会干扰系统的正常运行，以此做为自己的破坏行为。此类行为也是花样繁多，可以列举下述诸方式：不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。5.速度下降：病毒激活时，其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。6.攻击磁盘：攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。7.扰乱屏幕显示：病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。8.键盘：病毒干扰键盘操作，已发现有下述方式：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。第六章计算机病毒的防与治电脑病毒的防治包括了两方面，一是预防，二是治毒。病毒的侵入必将对系统资源构成威胁，即使是良性病毒，至少也要占用少量的系统空间，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。因为没有病毒的入侵，也就没有病毒的传播，更不能需要消除病毒。另一方面，现有病毒已有万种，并且还在不断增多。而消毒是被动的，只有在发现病毒后，对其剖析、选取特征串，才能设计出该“已知”病毒的杀毒软件。它不能检测和消除研制者未曾见过的“未知”病毒，甚至对已知病毒的特征串稍作改动，就可能无法检测出这种变种病毒或者在杀毒时出错。这样，发现病毒时，可能该病毒已经流行起来或者已经造成破坏。6.1预防计算机病毒主动防御病毒。防毒是主动的，主要表现在监测行为的动态性和防范方法的广谱性。防毒是从病毒的寄生对象、内存驻留方式、传染途径等病毒行为入手进行动态监测和防范。一方面防止外界病毒向机内传染，另一方面抑制现有病毒向外传染。防毒是以病毒的机理为基础，防范的目标不仅是已知的病毒，而是以现有的病毒机理设计的一类病毒，包括按现有机理设计的未来新病毒或变种病毒。控制病毒传染。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防毒的难点就在于如何快速、准确、有效地识别病毒行为，处理不当会带来“假报警”，就像“狼来的”的寓言一样，频频虚假报警的后果是报警不再引起用户的警惕。另外，防毒对于不按现有病毒机理设计的新病毒也可能无能为力，如在DIR2病毒出现之前推出的防病毒软件或防病毒卡，几乎没有一个能控制该病毒的，原因就在于该病毒的机理已经超出当时的防病毒软件和防病毒卡所考虑的范围。如今，该病毒的机理已被人们所认识，所以新推出的防病毒软件和防病毒卡，几乎没有一个不能控制该病毒及其变种病毒的。6.2消除计算机病毒消除计算机病毒的方式：消毒是被动的，只有发现病毒后，对其剖析、选取特征串，才能设计出该“已知”病毒的消毒软件，但发现新病毒或变种病毒时，又要对其剖析、选取特征串，才能设计出新的消毒软件，它不能检测和消除研制者未曾见过的“未知”病毒，甚至对已知病毒的特征串稍作改动，就可能无法检测了这种变种病毒或者在杀毒时会出错。一方面，发现病毒时，可能该病毒已经流行起来或者已经造成破坏。另一方面，就是管理上的问题，许多人并不是警钟长鸣，也不可能随时随地去执行杀毒软件，只有发现病毒问题时，才用工具检查，这就难免一时疏忽而带来灾难。如几乎没有一个消毒软件不能消除“黑色星期五”，但该病毒却仍在流行、发作。养成正确安全的电脑使用习惯，如我们熟悉的软盘使用习惯。软盘作为计算机之间交换信息和个人保存信息的媒介，使用很广泛，因此也成为病毒设计者攻击的主要目标。许多病毒在活动时一旦检测到有软盘插入了驱动器，就会立即活动起来，设法把自己的代码复制上去。为减低这种危险，我们应该注意使用软盘的“防写入”功能，一般情况下，总把“防写拨块”拨到禁止写的位置。如果只是需要从软盘里把信息复制出来，那么就让它保持这种防写的状态。这样，即使所使用的计算机里有活动的病