计算机病毒分析与防治.docx

课 程 论 文 课程名称_网络安全技术_ 题目名称_计算机病毒的分析与防治_学生学院_管理学院_专业班级_物流管理_学 号_3213004412_学生姓名_刘丽璇_指导教师_曾启杰_2016 年 04 月 20 日计算机病毒分析与防范作者：刘丽璇* 指导老师：曾启杰摘要：随着信息时代的发展，计算机的应用涉及到了整个社会的每个领域，随之出现的计算机病毒给我们生活带来了诸多不便和巨大威胁。本文针对网络安全公选课教学中的经验，主要介绍了计算机病毒的演化过程、作用机制、特点，以及计算机病毒的分类和防治措施，意在使阅读者对计算机病毒有个整体的了解，以及在平时使用计算机时做好相应的预防措施，当计算机受到病毒侵害时采取对应的举措。关键词：网络安全；计算机病毒；分类；防治；Analysis and Prevention of Computer VirusLiu lixuan Zeng qijieAbstract :With the development of the information technology,computer application involves every field of the society as the whole,meanwhile , the computer virus bring much inconvenience to the life and a great threats . The article mostly introduced the evolution /mechanism/characteristic of the computer virus,as well as the classifications and prevention of computer virus ,intending that the readers have a overall cognition in computer virus,taking prevention measures while use the computer.and when the computer had encroached should take the pointed measures .Key words: network security ; virus ; classification ; prevention ;1. 计算机病毒基本概念1.1定义：计算机病毒(Computer Virus)指：编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。这是计算机病毒在我国中华人民共和国计算机信息系统安全保护条例中的明确定义，其实“计算机病毒”也有着多种定义，在国外流行的定义是指一段附着在其他程序上的可以实现自我“繁殖”的程序代码。也有定义是指通过磁盘、磁带或网络等媒介传播扩散，能“传染”其他计算机程序的程序。计算机病毒本质是一种人为编写的程序，使计算机的资源受到不同程度的破坏等。1.2计算机病毒的演化过程：计算机病毒一般有个生存期，而它的生存期会经历过两个阶段，即静态病毒阶段和动态病毒阶段。计算机病毒存在于辅助存储介质中，不执行病毒的破坏或者表现功能是，我们称之为静态病毒。静态病毒只能通过文件下载和拷贝来传播，当它被加载到内存，便可获得系统的执行权限。病毒处于静态有另个条件：一没有用户启动该病毒或者运行感染了病毒的文件；二该病毒存在于不可执行它的系统中。动态病毒经过静态过程，也即经过了初始引导，载入内存后处于活跃状态，此时动态病毒就有了主动传染和破坏作用。病毒从静态转变为动态的过程称之为病毒的“启动”，这是病毒的首次激发过程。系统正在执行病毒程序代码时，动态病毒就处于激活状态。病毒处于激活状态不一定进行传染和破坏；但病毒进行传染和破坏必定处于激活状态。1.3计算机病毒的特点计算机病毒可以存储和运营，这是与其他程序一样的，但其还有自身的特征使其对计算机系统有着干扰和破坏作用。它一般隐蔽在合法程序中，当计算机运行时，它与合法的程序争夺系统的控制权。（1）传染性。计算机病毒是一段人为编写的计算机程序代码，当病毒进入计算机并得以执行时，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后将其代码插入其中，达到自我繁殖的目的。是否具有传染性是判断一个程序是否为计算机病毒的重要条件。（2）隐蔽性。病毒一般是具有很高编写技巧、短小精悍的程序，他们一般附着在正常程序中，或者以隐含文件形式出现，使得用户发现不了它的存在。（3）潜伏性。病毒进入系统之后一般不会立马发作，它可长期隐蔽在系统中，只有在满足其特定条件时才启动破坏模块。（4）破坏性。病毒可分为良性病毒和恶性病毒。良性病毒多数是编制者的恶作剧，它对文件、数据不具有破坏性，但会浪费系统资源。而恶性病毒会破坏数据、删除文件或加密磁盘、格式化磁盘。（5）可触发性。计算机病毒一般都有一个或者多个触发条件。如果满足其触发条件，激活病毒的传染机制进行传染，或者激活病毒的表现部分或破坏部分。病毒的触发条件越多，其传染性越强。1.4作用机制：计算机是一种人为的特殊程序，具有很强的感染力。病毒的感染动作受到触发机制的控制，其触发机制还控制了病毒的破坏动作。病毒程序一般由感染模块、触发模块、破坏模块、主控制模块组成，对应的感染机制、触发机制和批淮机制三种。但并不是所有的病毒都具备这三种机制。（1）感染模块该模块的作用是将病毒传染到其他对象上去，负责实现感染机制。病毒在对目标程序进行感染前会判断文件是否有感染标记或文件类型是否符合传染标准等。感染过程为寻找一个可执行文件，检查该问津是否有感染标记，若无感染标记则将病毒代码放入宿主程序进行感染。（2）触发模块触发模块根据预定条件满足与否，控制病毒的感染或破坏动作。病毒的触发条件有多种形式，主要有：键盘触发、日期和时间触发、中断访问触发、磁盘访问触发、启动触发等触发方式。（3）破坏模块破坏模块负责实施病毒的破坏工作。其内部是实现病毒编写者预定破坏动作的代码。这些破坏动作可能是破坏文件、数据，也可能是破坏计算机的空间效率和时间效率使计算机运行奔溃。有些病毒的该模块并没有明显的恶意破坏行为，尽在被感染的系统设备上表现出特定的现象，该模块有事被称为表现模块。在结果上，破坏模块分两个程序，一判断破坏的条件，一执行破坏的功能。（4）主控模块主控模块在总体上控制病毒程序的运行，感染病毒的程序运行时，首先运行的是病毒的主控模块。其基本动作为：调用感染模块，进行感染；调用触发模块，接收其返回值；如果返回真值，执行破坏模块；如果返回假值，执行后续程序。2. 计算机病毒种分类计算机病毒种类繁多，本文按其大的方向分为了下面几种：按计算机病毒的链接方式、按其破坏性、按其寄生方式和传染途径分类，并病毒的命名格式分别列举了几种常见的病毒。2.1按计算机病毒的链接方式分类可分为：（1）源码型病毒。它主要攻击高级语言编写的程序，在源程序编译之前插入其中，并随程序一起编译、连接成可执行文件。它不是感染可执行的文件，难以编写，因为也较为少见。（2）嵌入型病毒。该类病毒是将自身嵌入现有程序当中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这类病毒只攻击某些特定程序，针对性较强，难以发现，清除也较难。（3）外壳型病毒。它是将自身包围在程序周围，对原来的程序不作修改相当于给正常程序加了个外壳，这类病毒最常见，也容易清理。（4）操作系统病毒。这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，破坏力极强，可致系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统病毒。2.2按计算机病毒的破坏性分类（1）恶性计算机病毒。是指在其代码中含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用，这类病毒很多，如米开朗基罗病毒。（2）良性计算机病毒。良性与恶性是相对而言的，良性并不意味着无害。而良性病毒为了表现其存在，不停地进行扩散，从一台计算机转移到另一台，并不破坏计算机内部程序，但若其取得控制权后，会导致整个系统运行效率减低，系统可用内存减少，某些程序不能运行。2.3按寄生方式和传染途径分类：（1）引导型病毒。指寄生在磁盘引导区或主引导区的计算机病毒。引导型病毒会去改写磁盘上的一些引导扇区的内容，软盘和硬盘都有可能感染病毒，再不然就改写硬盘上的分区表。如果已感染病毒的软盘启动的话，就会感染硬盘。引导型病毒按其寄对象的不同又可分为两类，即MBR（主引导区）病毒，BR（引导）病毒：MBR病毒也称为分区病毒，将病毒寄生在硬盘分区中主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻（Stoned),2708,INT60病毒等；BR病毒是将病毒寄生在硬盘逻辑0扇（即0面0道第1个扇区）；典型的病毒有Brain，小球病毒等。（2）文件型病毒。文件型病毒以感染可执行程序为主，它的安装必须借助于病毒的载体程序，即运行需要病毒的载体程序，才能把文件型病毒引入内存。感染病毒的文件被执行后，病毒通常会趁机再对下一个文件进行感染。主要通过感染计算机中的可执行文件（.exe）和命令文件(.com)。它又可分为： 寄生病毒、覆盖病毒、无入口点病毒、伴随病毒、链接病毒、对象文件、库文件和源代码病毒。（3）混合型病毒：混合型病毒具有引导型病毒和文件型病毒两者的特点。2.4常见病毒分析在我们日常生活中，比较常见的有系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒等。反病毒公司为了方便管理，按照病毒的特性，将病毒进行了分类命名。命名的一般格式为：. 。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。病毒名则是一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示， 因此，一个病毒的前缀能让我们快速的判断该病毒属于哪种类型的病毒。通过判断病毒的类型，可以对这个病毒有个大概的评估。 下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows*作系统）：（1）系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows*作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。（2）蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。（3）木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。（4）脚本病毒 脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。（5）宏病毒宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。（6）后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。（7）病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。（8）破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。（9）玩笑病毒 玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏*作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。（10）捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：DoS：会针对某台主机或者服务器进行DoS攻击；Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。3. 计算机病毒的防治措施3.1计算机病毒的预防（1）建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站，不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全；（2）关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性；（3）经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然；（4）使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数；（5）迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机；（6）了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序；（7）最好安装专业的杀毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级，将一些主要监控经常打开(如邮件监控、内存监控等)，遇到问题要上报，这样才能真正保障计算机的安全；（8）用户还应该安装个人防火墙软件进行防黑。由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。3.2针对性的防治措施（1）文件型病毒的防范对文件型病毒的防范，一般有一下方法：安装最新版本、有实时监控文件系统功能的防病毒软件；及时更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突发事件时立即更新；经常使用防毒软件对系统进行病毒检查