毕业论文《论宏病毒的排除与预防》.doc

仙桃职业学院毕业论文(设计)题目：论宏病毒的排除与预防姓名：雷阳 学号： 103050835 系别：计算机科学技术学院 专业： 计算机网络 班级： 网络0508班 2008年 05 月 17目录一. 病毒初步分析.11.1病毒定义.11.2病毒的产生.11.3病毒特征.21.4病毒命名.3二.宏病毒的初步识别与预防.32.1认识病毒.32.2关于宏病毒.42.3检测宏病毒.42.4关于宏病毒的预防.5三.宏病毒的排除方法.5四.结束语.6参考文献.6论宏病毒的排除与预防摘要：自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。在国内，最初引起人们注意的病毒是80年代末出现的“黑色星期五”，“米氏病毒”，“小球病毒”等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒，使人们对病毒的认识更加深了一步，本论文只是我个人对宏病毒的有关认识与分析。关键词：宏病毒防御与排除一. 病毒初步分析1.1病毒定义“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。（此节内容摘自计算机安全管理与实用技术一书）1.2病毒的产生那么究竟它是如何产生的呢？其过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。究其产生的原因不外乎以下几种:1.从某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。2.产生于个别人的报复心理。每个人都处于社会环境中，但总有人对社会不满或受到不公证的待遇。如果这种情况发生在一个编程身上，那么他有可能会编制一些危险的程序。在国外有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。 3.用于版权保护。计算机发展初期，由于在法律上对于软件版权保护还没有象今天这样完善。很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。4.用于特殊目的。某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏。或用于军事目的1.3病毒特征这种特殊程序有以下几种特征：1.传染性是病毒的基本特征。在生物界，通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。2.隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。3.潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。4.破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。 从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。 有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。1.4病毒命名一般而言，病毒颗粒的形态、基因组组成、复制方式、病毒结构蛋白和非结构蛋白的数量和大小，往往都可以作为病毒科、属命名的依据，而病毒目的命名则与病毒基因组的核酸类型、基因组的单双链、逆转录过程和病毒基因组的极性有关。此外，病毒颗粒的形态结构和转录策略也可以用作病毒目命名的根据第一个宏病毒出现。宏病毒利用软件自带的编程语言编写来传播，比如微软公司(Microsoft，下称微软)的Word、Excel和Access二.宏病毒的初步识别与预防2.1认识病毒病毒，是指能够破坏计算机系统，影响计算机工作并能实现自我复制的一段程序或指令代码。随着计算机工业的发展，病毒程序层出不穷，到了21世纪的今天它的种类已经达到千万种。虽然病毒的类型有很多，变型的病毒更无法计算，但是就其传染对象来分只不过四类：BIOS、硬盘引导区、操作系统与应用程序病毒。在知道了病毒的定义与分类以后，我们再来看看电脑感染了病毒后会出现哪些异常现象： BIOS病毒现象1、开机运行几秒后突然黑屏2、外部设备无法找到3、硬盘无法找到4、电脑发出异样声音硬盘引导区病毒现象1、无法正常启动硬盘2、引导时出现死机现象3、执行C盘时显示“Not ready error drive A Abort，Retry，Fail?”操作系统病毒现象1、引导系统时间变长2、计算机处理速度比以前明显放慢3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象4、系统生成一些特殊的文件5、驱动程序被修改使得某些外设不能正常工作6、软驱、光驱丢失7、计算机经常死机或重新启动应用程序病毒现象1、启动应用程序出现“非法错误”对话框2、应用程序文件变大3、应用程序不能被复制、移动、删除4、硬盘上出现大量无效文件5、某些程序运行时载入时间变长2.2关于宏病毒宏病毒的产生，是利用了一些数据处理系统内置宏命令编程语言的特性而形成的。这些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘，病毒可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取某种控制权，达到传染的目的。目前在可被宏病毒感染的系统中，以微软的Word、Excel居多。2.3检测宏病毒1、检查是否存在可疑的宏：当怀疑系统带有宏病毒时，首先应检查是否存在可疑的宏，也就是一些用户没有编制过、也不是Word默认提供而出现的宏。特别是出现一些奇怪名字的宏，肯定是病毒无疑，将它删除即可。即使删除错了，也不会对Word文档内容产生任何影响，仅仅是少了相应的“宏功能”而已。具体做法是，选择工具宏删除。如果需要，可以重新编制。2、看word程序是否有特征反应：在使用的Word工具菜单中看不到宏这个字，或看到宏但光标移到宏，鼠标点击无反应，这种情况肯定有宏病毒。打开一个文档，不进行任何操作，退出Word，如提示存盘，这极可能是Word中的Normal.dot模板中带宏病毒。打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘，也可能带有Word宏病毒。在运行Word过程中经常出现内存不足，打印不正常，也可能有宏病毒。2.4关于宏病毒的预防1 将常用的Word模板文件改为只读属性，可防止Word系统被感染；DOS下的autoexec.bat和config .sys文件最好也都设为只读属性文件。 2 因为宏病毒是通过自动执行宏的方式来激活、进行传染破坏的，所以只要将自动执行宏功能禁止掉，即使有宏病毒存在，但无法被激活，也无法发作传染、破坏，这样就起到了防毒的效果。可以使用下面命令行来使所有自动宏无效：winword.exe/mDisableAutoMacros三.宏病毒的排除方法解除宏病毒方法有两种:第一种方法:在中文Windows3.X、Windows95、Windows NT下执行KV300软盘上的KVWSETUP.EXE文件,专查杀WORD宏病毒的程序会安装在硬盘KV-WORD子目录中,并会自动建立一个图标。用户可任选某一子目录进行查杀,也可选后台查杀。简体汉字、繁体汉字任选。KV-WORD查出宏病毒后,会先在当前目录下自动备份一个有毒的原文件,将其扩展名改为.KV,然后再将原文件中的宏病毒杀除。第二种方法:在DOS或WINDOWS下杀宏病毒。运行软盘上的KV300,出现主菜单后,选择目标盘,宏病毒就会自动清除,恢复WORD文件的正常状态。排除了宏病毒原因后,遇到其它问题的解决方法：1.当在使用WORD时,有时候出现报告内存不足的提示,或退出WORD时,WORD报告应用程序发生错误等提示,用户可以试着先将通用模板文件NORMAL.DOT删掉,再执行WORD时,会产生一个新的NORMAL.DOT文件。2.当打开某个WORD文件时,WORD报告这样和那样的问题,但这个文件可以打开,用户便可以直接将这个打开的文件再粘贴到一个新的文件中去,并存盘,成功后将原文件删除。3.当用KV300查出某个文件中有已知名宏病毒,但只查不能杀,这有可能是有病毒的残余代码,你可以打开这个文件后再粘贴到一个新的文件中去,并另起名存盘,再试杀毒,成功后,将原文件删除。4.当打开某个WORD文件时,而打开的这个文件不能另存到任意目录下,你可以打开这个文件,再粘贴到一个新的文件中去,并另起名存盘,成功后,将原文件删除。5.