计算机病毒解析与防范

题 目 计算机病毒解析与防范 精品文档 1欢迎下载1欢迎下载 摘摘 要要 计算机病毒被喻为 21 世纪计算机犯罪的五大手段之一 并排序为第二 计 算机病毒的攻击性 在于它能够破坏各种程序并蔓延于应用领域 目前世界上上 亿用户受着计算机病毒的困扰 有些还陷入极度的恐慌之中 事实上人们产生上 述不安的原因 在与对计算机病毒的误解 广大计算机用户有必要对计算机病毒 的一些知识有一个比较明确的认识和全面的科学态度 关键词 计算机病毒 病毒的困扰 病毒的误解 病毒的认识 精品文档 2欢迎下载2欢迎下载 目 录 1 绪论 1 2 计算机病毒的概述 2 2 1 计算机病毒的定义 2 2 2 计算机病毒的特性 2 3 计算机病毒的分类 4 3 1 计算机病毒的基本分类 4 4 计算机病毒防范和清除的基本原则和技术 6 4 1 计算机病毒防范的概念和原则 6 4 2 计算机病毒防范基本技术 6 4 3 清除计算机病毒的基本方法 6 4 4 典型计算机病毒的原理 防范和清除 6 5 熊猫烧香 病毒剖析 10 总 结 11 致 谢 12 参考文献 13 精品文档 1欢迎下载 1 绪论 入了信息社会 创造了计算机 计算机虽然给人们的工作和生活带来 了便利和效率 然而计算机系统并不安全 计算机病毒就是最不安全的因 素之一 它会造成资源和财富的巨大浪费 人们称计算机病毒为 21 世纪 最大的隐患 目前由于计算机软件的脆弱性与互联网的开放性 我们将与 病毒长期共存 因此 研究计算机病毒及防范措施技术具有重要的意义 精品文档 2欢迎下载 2 计算机病毒的概述 随着社会的不断进步 科学的不断发展 计算机病毒的种类也越来越 多 但终究万变不离其宗 2 1 计算机病毒的定义 一般来讲 只要能够引起计算机故障 或者能够破坏计算机中的资源 的代码 统称为计算机病毒 而在我国也通过条例的形式给计算机病毒下 了一个具有法律性 权威性的定义 计算机病毒 是指编制或者在计算 机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自 我复制的一组计算机指令或者程序代码 这就是计算机病毒 2 2 计算机病毒的特性 2 2 1 隐藏性与潜伏性 计算机病毒是一种具有很高编程技巧 短精悍的可执行程序 它通常 内附在正常的程序中 用户启动程序同时也打开了病毒程序 计算机病毒 程序经运行取得系统控制权 可以在不到 1 秒钟的时间里传染几百个程序 而且在传染操作成后 计算机系统仍能运行 被感染的程序仍能执行 这 就是计机病毒传染的隐蔽性 计算机病毒的潜伏性则是指 某些编制巧 的计算机病毒程序 进入系统之后可以在几周或者几个月甚至年内隐藏在 合法文件中 对其它系统文件进行传染 而不被人发现 2 2 2 传染性 计算机病毒可通过各种渠道 磁盘 共享目录 邮件 从已被感染的计算机 扩散到其他机器上 感染其它用户 在某情况下导致计算机工作失常 2 2 3 表现性和破坏性 任何计算机病毒都会对机器产生一定程的影响 轻者占用系统资源 导致 系统运行速度大幅降低 重者除文件和数据 导致系统崩溃 2 2 4 可触发性病毒 具有预定的触发条件 可能是时间 日期 文类型或某些特定数据等 一 旦满足触发条件 便启动感染或破坏作 使病毒进行感染或攻击 如不满足 继续潜伏 有些病毒针对特定的操作系统或特定的计算机 精品文档 3欢迎下载 2 2 5 欺骗性和持久性 计算机病毒行动诡秘 计算机对其反应迟 往往把病毒造成的错误当成事 实接受下来 病毒程序即使被发 已被破坏的数据和程序以及操作系统都难以 恢复 在网络操作情况下 由于病毒程序由一个受感染的拷贝通过网络系统反 复传 病毒程序的清除愈加复杂 除了上述五点外 计算机病毒还具有不可预见性 衍生性 针对性 等特 点 正是由于计算机病毒具有这些特点 给计算机病毒的预防 检测与清除工 作带来了很大的难度 精品文档 4欢迎下载 3 计算机病毒的分类 3 1 计算机病毒的基本分类 3 1 1 传统开机型计算机病毒 纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统 然后再伺机 感染其他的软盘或者硬盘 例如 Stoned 3 米开朗基罗 3 1 2 隐形开机型计算机病毒 此类计算机病毒感染的系统 再行检查开机区 得到的将是正常的磁区资 料 就好像没有中毒一样 此类计算机病毒不容易被杀毒软件所查杀 而防毒 软件对于未知的此类型计算机病毒 必须具有辨认磁区资料真伪的能力 此类 计算机病毒已出现的尚有 Fish 3 1 3 档案感染型兼开机型计算机病毒 档案感染型兼开机型计算机病毒时利用档案感染时司机感染开机区 因而 具有双中的行动能力 此类型较著名的计算机病毒有 Cancer 3 1 4 目录型计算机病毒 本类型计算机病毒的感染方式非常独特 Dir2 即其代表 此类计算机 病毒仅修改目录区 Root 便可达到其感染目的 3 1 5 传统档案型计算机病毒 传统档案型计算机病毒最大的特征 便是将计算机病毒本身植入档案 使 档案膨胀 以达到散播传染的目的 代表有 13 Firday 3 1 6 千面人计算机病毒 千面人计算机病毒是指具有自我编码能力的计算机病毒 1701 下雨 等 为这种类型主要代表 此种计算机病毒编码的目的 是使其感染的每一个档案 看起来皆不一样 干扰杀毒软件的侦测 不过千面人计算机病毒仍会留下的这 个 小辫子 将其绳之以法 3 1 7 突变引擎病毒 有鉴于前面人计算机病毒一个接一个被截获 边有人编写出一种突变式计 算机病毒 使原本千面人计算机病毒无法解决的程序开头相同的问题得到克服 并编写成 OBJ 副程序 供他人植草此类计算机病毒 即 Mctation engine 尽 精品文档 5欢迎下载 管如此 这类计算机病毒仅干扰了扫毒式软件 对其他方式的防毒软件并没有 太大的影响 3 1 8 隐形档案型计算机病毒 此类病毒可以避开去多防毒软件 因为隐形计算机病毒能直接植入 DOS 系 统的作业环境中 当外部程序呼叫 DOS 中断服务时 便同时执行到计算机病毒 本身 使得计算机病毒能从容地将受其感染的档案 粉饰成正常无毒的样子 此类计算机病毒有 4096 等 3 1 9 终结型计算机病毒 终结性计算机病毒能追踪磁盘操作终端的原始进入点 当计算机病毒取得 磁盘原始中断时 便可任意再磁盘上修改资料或普哦坏资料 而不会惊动防毒 程序 这就是说 装有防毒程序和美妆防毒程序的情况是一样的危险 这类计 算机病毒有的采用 INT 1 单步执行的方式 逐步追踪磁盘中断的过程 找出 BIOS 磁盘中断的部分 供计算机病毒内部使用 有的采用死机的方式 记录几 个 BIOS 版本的磁盘中断原始进入点 当计算机病毒遭到熟悉的 BIOS 版本 便 可直接呼叫磁盘中断 对磁盘予取予求 有的则分析磁盘中断的程序片段 找 出 BIOS 中的相似部分便可直接呼叫磁盘中断 其代表有 Hammer 6 等 3 1 10 Word 巨集计算机病毒 Word 巨集计算机病毒可以说时目前最新的计算机病毒种类了 它是文件型 计算机病毒 异于以往以感染磁盘区或可执行的档案为主的计算机病毒 此类 病毒时利用 Word 提供的巨集功能来感染文件 目前已经在 Internet 及 BBS 网 络中发现不少 Word 巨集计算机病毒 而且此类计算机病毒是用类似 Basic 程序 编写出来的 易学 其反战速度一定很快 精品文档 6欢迎下载 4 计算机病毒防范和清除的基本原则和技术 4 1 计算机病毒防范的概念和原则 计算机病毒防范 是指通过建立合理的计算机病毒防范体系和制度 即使 发现计算机病毒入侵 并采取有效的手段阻止计算机病毒的传播和破坏 回复 受影响的计算机系统和数据 原则以防御计算机病毒为主动 主要表现在检测行为的动态性和防范方法 的广谱性 4 2 计算机病毒防范基本技术 计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵 就拦截 阻击计算 机病毒的入侵或立即警报 4 3 清除计算机病毒的基本方法 4 3 1 简单的工具治疗 简单工具治疗是指使用 Debug 等简单的工具 借助检测者对某种计算机病 毒的具体知识 从感染计算机病毒的软件中摘除计算机代码 但是 这种方法 同样对检测者自身的专业素质要求较高 而且治疗效率也较低 4 3 2 专用工具治疗 使用专用工具治疗被感染的程序时通常使用的治疗方法 专用计算机治疗 工具 根据对计算机病毒特征的记录 自动清除感染程序中的计算机病毒代码 使之得以恢复 使用专用工具治疗计算机病毒时 治疗操作简单 高效 从探 索与计算机病毒对刚的全过程来看 专用工具的开发商也是先从使用简单工具 进行治疗开始 当治疗获得成功后 再研制相应的软件产品 使计算机自动地 完成全部治疗操作 4 4 典型计算机病毒的原理 防范和清除 4 4 1 引导区计算机病毒 系统引导区时在系统引导的时候 进入到系统中 获得对系统的控制权 在完成其自身的安装后才去引导系统的 称其为引导区计算机病毒时因为这类 精品文档 7欢迎下载 计算机病毒一般是都侵占系统硬盘的主引导扇区 I O 分区的引导扇区 对于软 盘则侵占了软盘的引导扇区 它会感染在该系统中进行读写操作的所有软盘 然后再由这些软盘以复制 的方式和引导进入到其他计算机系统 感染其他计算机的操作系统 如何检测呢 1 查看系统内存的总量与正常情况进行比较 2 检查系统内存高端的内容 3 检查系统的 INT 13H 中断向量 4 检查硬盘的主引导扇区 DOS 分区引导扇区以及软盘的引导扇区 用原来正常的分区表信息或引导扇区信息 覆盖掉计算机病毒程序 此时 如果用户事先提取并保存了自己硬盘中分区表的信息和 DOS 分区引导扇区信息 那么 恢复工作变得非常简单 可以直接用 Debug 将这两种引导扇区的内容分 别调入内存 然后分别回它的原来位置 这样就消除了计算机病毒 4 4 2 文件型计算机病毒 文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上 当文件 装入系统执行的时候 引导计算机病毒程序也进入到系统中 只有极少计算机 病毒程序感染数据文件 此类病毒感染对象大多是系统的可执行文件 也有一些还要对覆盖文件进 行传染 而对数据进行传染的则少见 1 确定计算机病毒程序的位置 是驻留在文件尾部还是在文件首部 2 找到计算机病毒程序的首部位置 对应于在文件尾部驻留方式 或者 尾部位置 对应于在文件首部驻留方式 3 恢复原文件头部的参数 4 修改文件长度 将源文件写回 4 4 3 脚本型计算机病毒 主要采用脚本语言设计的病毒称其为脚本病毒 实际上在早期的系统中 计算机病毒就已经开始利用脚本进行传播和破坏 不过专门的脚本病毒并不常 见 但是在脚本应用无所不在的今天 脚本病毒却成为危害最大 最为广泛的 病毒 特别是当他和一些传统的恶性病毒相结合时 其危害就更为严重了 精品文档 8欢迎下载 其主要有两种类型 纯脚本型 混合型 它的特点有以下几方面 编写简单 破坏力大 感染力强 传播范围大 多通过 E mail 局域网共享 感染网页文件的方式传播 计算机病毒源码容易被获取 变种多 欺骗性强 使得计算机病毒生产机事先起来非常容易 禁用文件系统对象 FileSystemObject 卸载 Windows Scripting Host 删除 vbs vbe js jse 文件后缀与应用程序映射 在 Windows 目录中 找到 WScript exe 更改名称或者删除 要彻底防止 vbs 网络蠕虫病毒 还需要设置一下浏览器 禁止 OE 的自动收发电子邮件功能 显示所有文件类型的扩展名称 将系统的网络连接的安全级别设置至少为 中等 4 4 4 特洛伊木马计算机病毒 特洛伊木马也叫黑客程序或后门病毒 是指吟唱在正常程序中的一段具有 特殊功能的程序 其隐蔽性及好 不易察觉 是一种极为危险的网络攻击手段 其第一代 伪装性病毒 第二代 AIDS 型木马 第三代 网络传播性木马 如何检查 稽查注册表 检查你的系统配置文件 备份重要数据 立即关闭身背电源 备份木马入侵现场 修复木马危害 精品文档 9欢迎下载 4 4 5 蠕虫计算机病毒 蠕虫是一种通过网络传播的恶性计算机病毒 它具有计算机病毒的一些共 性 如传播性 隐蔽性 破坏性等 同时自己有自己一些特征 如利用文件寄 生 对网络造成拒绝服务以及和黑客技术相结合等 简单点说 蠕虫就是使用危害的代码来攻击网络上的受害主机 并在受害 主机上自我复制 再攻击其他的受害主机的计算机病毒 其特征 自我繁殖 利用软件漏洞 造成网络拥堵 消耗系统资源 留下安全隐患 与防火墙互动 交换机联动 通知 HIDS 基于主机的入侵检测 报警 精品文档 10欢迎下载 5 熊猫烧香 病毒剖析 熊猫烧香 病毒感染机理 熊猫烧香 是一个感染型的蠕虫病毒 它能感染系统中 exe com pif src html asp 等文件 它还能中止大 量的反病毒软件进程并且会删除扩展名为 gho 的文件 该文件是一系统备 份工具 GHOST 的备份文件 使用户的系统备份文件丢失 被感染的用户系 统中所有 exe 可执行文件全部被改成熊猫举着三根香的模样 病毒会感染扩展名为 exe pif com src 的文件 把自己附加到文件的头 部 并在扩展名为 htm html asp php jsp aspx 的文件中添加一网址 用 户一但打开了