计算机病与防范论文.doc

精品文档计算机病毒与防范论文【摘要】病毒已成为当今网络业发展的最大危害,本文分析了当前计算机病毒的产生及特点，并提出了相应的检测防范措施。着重阐述了计算机病毒的防范、计算机网络安全策略。【关键词】病毒；特点；检测；防范近年来，因特网引入了新的病毒传送机制，通过电子邮件这个传播途径,病毒已成为当今网络业发展的最大危害。今年以来，在中国大规模爆发的多种病毒，全部都是通过互联网传播的。随着互联网日益成为全球性工具，病毒也正在成为全球性杀手。而通过网络特别是电子邮件传播的病毒与传统病毒相比，表现出了更快的传播速度以及更强有力的杀伤力。 以下我们在分析网络时代计算机病毒特点的基础上探讨一下如何有效地防范病毒，以“把好网络时代的大门”。1、计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：（1）计算机病毒是计算机犯罪的一种新的衍化形式。 计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现；（2）计算机软硬件产品的脆弱性是根本的技术原因。 计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式, 效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便；（3）微机的普及应用是计算机病毒产生的必要环境。 1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延，到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及，操作系统简单明了，软、硬件透明度高，基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多，对其存在的缺点和易攻击处也了解的越来越清楚，不同的目的可以做出截然不同的选择。2.计算机病毒的特点 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序，但它和通的计算机程序不同，具有以下特点。1 寄生性: 计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。 2传染性: 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、U盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的U盘等载体已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。3潜伏性： 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。 潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘等载体里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等4隐蔽性：计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。5破坏性： 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。6可触发性： 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。3、目前最为常见的计算机病毒及其表现形式(针对我们用得较多的Windows操作系统)：1.系统病毒，前缀为：Win32、PE、Win95、W32、W95等。这些病毒一般可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如Bi病毒（Parasite.Bi）。 2.蠕虫病毒，前缀是：Worm。这种病毒通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)等。 3.木马病毒、黑客病毒。木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。 4.脚本病毒，前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。 5.宏病毒，其实宏病毒是也是脚本病毒的一种，前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97等其中之一。通常是以97作为分界点，若只感染WORD97及以前版本WORD文档的病毒采用Word97作为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word作为第二前缀，格式是：Macro.Word；依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。 6.后门病毒，前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot。 7.病毒种植程序病毒，这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。 8.破坏性程序病毒，前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。 9.玩笑病毒，前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。 10.捆绑机病毒，前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。基于以上如此名目繁多的病毒，我们必须做好安全防范，以保证计算机及网络安全。4、计算机病毒的防范1.计算机网络病毒的防治方法：计算机网络中最主要的软硬件实体就是服务器和工作站，所以防治计算机网络病毒应该首先考虑这两个部分，另外加强综合治理也很重要。（1）基于工作站的防治技术。工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。二是在工作站上插防病毒卡。三是在网络接口卡上安装防病病毒芯片。（2）基于服务器的防治技术。网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮，造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块（NLM），以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。2.局域网病毒的防范局域网中的计算机数量较多，使用者的防毒水平参差不齐，病毒防范成为局域网日常管理中的一项非常重要的内容。因此，防范计算机病毒要做好以下几方面的工作。(1)选择适用的防病毒软件，及时更新病毒库是非常重要的；(2)及时安装各种补丁程序，及时安装各种补丁程序也非 常重要；(3)规范电子信箱的使用；(4)做好各种应急准备工作和数据文件备份，对于计算机而言，最重要的应该是硬盘中存储的数据；(5)隔离被感染的计算机。3.个人用户的防范(1)留心邮件的附件，对于邮件附件尽可能小心，安装一套杀毒软件，在你打开邮件之前对附件进行预扫描。(2)注意文件扩展名，因为Windows允许用户在文件命名时使用多个扩展名，而许多电子邮件程序只显示第一个扩展名，有时会造成一些假象。(3)不要轻易运行程序。(4)不要盲目转发信件，收到自认为有趣的邮件时，不要盲目转发。(5)堵住系统漏洞，现在很多网络病毒都是利用了微软的IE和Outlook的漏洞进行传播的。(6)禁止WindowsScriptingHost，对于通过脚本“工作”的病毒，可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。(7)不要随便接受文件，尽量不要从在线聊天系统的陌生人那里接受文件，比如ICQ或QQ中传来的东西。(8)多做自动病毒检查，确保你的计算机对插入的软盘、光盘和其他的可插拔介质，以及对电子邮件和互联网文件都会做自动的病毒检查。5、计算机网络安全策略1.物理安全策略：物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。2.访问权限控制安装在WindowsXP操作系统中的许多程序，都要求用户具有一定的管理权限才能让用户使用程序，因此为了能够使用好程序，我们有时需要为自己临时分配一个访问程序的管理权限。在分配管理权限时，我们可以先普通用户身份登录到WindowsXP的系统中，然后用鼠标右键单击程序安装文件，同时按住键盘上的Shift键，从随后出现的快捷菜单中点击“运行方式”，最后在弹出的窗口中输入具有相应管理权限的用户名和密码就可以了。3.信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。4.防火墙安全策略防火墙是一个控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下三种类型：(1)包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。(2)代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。(3)双穴主机防火墙：该防火墙是用主机来执行安全控制功能。5.管理策略在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作