《计算机病毒解析与防范（论文）》

计算机病毒解析与防范一、13339_WPSOffice_Level1前言 19481_WPSOffice_Level1二、计算机病毒的种类 26011_WPSOffice_Level22.1DoS病毒 211300_WPSOffice_Level22.2Win32PE病毒 214108_WPSOffice_Level22.3宏病毒 321640_WPSOffice_Level22.4脚本病毒 413756_WPSOffice_Level22.5HTML病毒 418533_WPSOffice_Level22.6蠕虫 51418_WPSOffice_Level1三、计算机病毒的传播 526348_WPSOffice_Level23.1通过E-mail进行传播 520424_WPSOffice_Level23.2通过扫描系统漏洞传播 630888_WPSOffice_Level1四、计算机病毒的安全防御策略 617941_WPSOffice_Level24.1增强计算机病毒的防范意识 618356_WPSOffice_Level24.2使用多种计算机反病毒技术 729021_WPSOffice_Level24.3计算机网络病毒的防治 8五、32765_WPSOffice_Level1结论 8六、致谢 9七、25929_WPSOffice_Level1参考文献 9摘要：在互联网技术越来越发达的今天，计算机已经作为一种储存信息的重要媒介，同时也具有一定的安全风险。如果不重视计算机病毒的防范，让计算机病毒入侵了计算机，就会盗取计算机内的重要信息。本文以计算机病毒的解析和防范为中心，研究计算机病毒的起源及危害，并详细介绍了计算机病毒的种类和船舶方式，并提出具有针对性的安全防御措施。关键词：计算机；病毒；预防一、引言通常情况下，计算机设备在运行过程中的除了要保证软件的运行，还要保证相关硬件设施的运行安全，与此同时还包括了计算机在运行过程中的相关资料安全性，有效保障了计算机的运行安全。因此计算机的安全所涵盖了多方面的内容，对于用户在应用中的数据管理以及安全防护存在着较为重要的意义。与此同时由于计算机在运行过程中，存在着较大的故障病毒侵入的威胁，对计算机的使用造成了很大程度的影响。因此计算机在使用中，要存在能够有效保证计算机安全，防止计算机病毒侵入的相应技术。对于此种技术的研发，一直是计算机相关软件工作研发人员所要面临的首要问题。本文的理论意义在于丰富计算机病毒研究领域的研究，为科研人员的理论研究提供一定的参考；本文的实际意义在于为用户提供一种计算机病毒的防范策略，保护用户的数据安全。二、计算机病毒的种类计算机病毒种类繁多，各种病毒的作用机制不同。为此，我们选择了几种典型的计算机病毒，并对其感染和传播机制进行了阐述。2.1DoS病毒病毒在DoS时代很疯狂，数量也非常多。虽然DoS病毒目前已经没有生存的地方，但要做好抗病毒工作，对DoS病毒机制的研究具有重要意义。例如，在新西兰发现的大麻，也被称为“新西兰病”和“祝福之手”。病毒代码的字节大小很小，但它具有驻留内存、区分硬盘、感染硬盘、显示时间和显示信息等功能。它将原来的引导扇区转移到另一扇区，然后将自己写到磁盘的引导扇区，这对不同类型的磁盘是不同的。2.2Win32PE病毒Win32PE病毒需要依靠WindowsAPI函数，以调用实现特定的功能，计算机操作系统将解析所需的输入表是PE文件中的所有DLL文件需要加载，并根据相应的RVA谱函数的相对虚拟地址的相关信息，并补充说在系统内存地址加载DLL的API函数的真实地址后。PE病毒可以感染文件，通过多种方式，如：PE病毒在文件中添加一个新节点，计算机病毒占据新的一天，思想在病毒主体执行后执行，返回主机（主机）程序的权利，而为了修改主动伪装，相应的字节文件具有大小属性。同样的价值信息：然后，开始修改PE文件头的位置addressofentry执行，将指向代码的新病毒入口段，该程序将计算机病毒代码首先执行。在某些情况下，当原始PE头空间不足以存储新节的联合表信息时，需要移动PE文件的一些数据。一些计算机病毒通过构造伪尾独立码避免了对杀毒软件的尾部扫描，即在病毒代码的末端添加随机数据或花卉指令。PE病毒可以被插入到PE文件的空隙（又称孔），例如，有文件头的MZ头和PE头之间的许多闲置无用的空间。对PE的大小一般1kb字节，和普通的PE文件的数据或代码不占用的PE文件的所有记忆。为了考虑操作系统的空间分配和通话效率，每天都是按照512字节或1025字节进行分组对齐，但在实际数据中并不占用所有字节的内存，这些都不是利用空间留给计算机病毒的存储区。而且，原PE文件的总长度不会因此增加，因此更隐蔽，特别是病毒作者青睐。PE病毒也可以覆盖一些常见的数据块，例如：如果exe文件包含重定位表而不需要重定位表，然后盖上重新定位数据没有实际作用，许多病毒使用DataDirectory数组指令对应的文件头中的项目0的去除，不会产生的被感染的文件长度的影响。2.3宏病毒从某种意义上说，宏病毒也是一种文件类型病毒。主要是利用宏语言编写病毒程序，主要是基于微软办公软件的开发。在文字处理、xls数据文件，和其他文件的宏语言的功能是用来拷贝和复制到其它数据文件。宏类似于批处理命令。它们可以通过分配多行代码的组合来记录命令或进程，并将它们分配给组合键。当执行组合键时，计算机可以开始重复记录的操作。，宏病毒通常用高级语言程序编写，作者可以用宏语言编写宏病毒。传统的宏病毒保存二进制文件。外界很难获得病毒的源代码。如果我们想获得源代码，我们必须通过病毒作者资源发布病毒的原始代码。一般来说，宏病毒有Office文件或模板作为一种病毒，病毒的传播媒介的控制，可以将病毒写入Word模板本身正常，之后的每一个word文档，打开新的操作，将自动执行宏病毒代码，从而达到感染和传播的目的。2.4脚本病毒VBS脚本病毒是用VBScript脚本语言。它可以调用Windows对象和组件，并直接控制注册表和文件系统。脚本病毒的产生有很多优点：第一，它易于编写，易学易用，具有破坏性，同时又具有较强的感染性和病毒性。最突出的是，它可以自动实现脚本病毒生产机器。脚本病毒生成机是一个独特的虚拟机，它被配置为根据用户的请求获取病毒。脚本不需要编译，只是为了解释环境。每个脚本语句都可以由解释器执行，因此病毒函数可以被分成各个部分，然后函数在一个统一的脚本中进行协调。在选择病毒功能后，病毒产生机将进行相应的代码替换和优化。最后，匹配模块将拼接在一起，实现一个非常简单的实现。编写脚本病毒生产机器导致了脚本病毒的迅速发展，主要是因为它使病毒的生产变得更容易。在VBS脚本病毒的病毒程序代码可以直接连接到具有相同类型的程序，可以实现自我复制传播的病毒感染。2.5HTML病毒随着互联网的发展和普及，互联网在人们的生活中扮演着越来越重要的角色。但与此同时，恶意Web代码的出现给广大互联网用户带来了巨大的威胁。HTML病毒是HTML文件中使用的一段HTML代码，用于修改或混淆用户计算机的配置。早期的静态网页几乎都是用HTML语言实现的，因为不需要交互，用户不能对HTML页面进行输入和输出。随着动态web技术的发展，提出了几种脚本技术和ActiveX控件技术，增强了动态网页浏览效果，也正是由于这些技术的发展，使得病毒利用各种HTML病毒应运而生。网页恶意代码可以使用ActiveX控件来调用regopen，regwrite和其他注册表相关函数来修改计算机的注册表的内容。这是Web页面恶意代码使用的最常见的行为。注册表是一个普遍现象：修改修改IE标题、主页、搜索页、工具栏背景图；IE默认主页被修改并锁定；禁止使用鼠标右键；没有IE显示“工具”中的“Internet选项”菜单；不安全；添加IE用户自每次启动计算机时启动会自动打开浏览器访问设置页面；禁止开始菜单的“运行”命令等。2.6蠕虫蠕虫是一种特殊类型的病毒。与一般的计算机病毒一样，它具有传染性和复制性。传统的蠕虫没有破坏作用，但wanncry蠕虫在2017年5月出现的，有破坏性作用，这表明，蠕虫也在变化。蠕虫与计算机病毒的最大区别在于它们的主动性和独立性。蠕虫病毒基于漏洞，由代码攻击计算机，主要通过邮件、局域网等进行传播。三、计算机病毒的传播计算机病毒的产生有着悠久的历史，对计算机病毒的研究已经成为一个热门的研究课题。随着互联网的发展，绝大多数现有的计算机病毒都是基于网络的病毒。计算机病毒的研究也取得了一些成果，不仅揭示了病毒传播的一些特点，还提出了相应的对策。作为预备知识，本章主要介绍了两种常见的基于网络的病毒传播模型、几种经典的病毒传播模型和现有的病毒检测技术，为后续的研究奠定了基础。3.1通过E-mail进行传播病毒代码在电子邮件中的传播是传播病毒的主要途径。由于电子邮箱的广泛应用，这种通信方式在许多病毒制造者中非常流行。通过电子邮件传播病毒有两种方法。一种是将恶意代码直接添加到电子邮件中，二是将恶意代码的URL连接添加到电子邮件中。病毒在受感染主机的电子邮件地址簿、历史记录或硬盘中搜索可用的电子邮件地址。当病毒被扫描到可用的目标地址时，它会复制并发送出去，该病毒将使用各种欺骗性的标题和内容来欺骗人们。3.2通过扫描系统漏洞传播蠕虫代码存在于一个独立的程序中，并且它不嵌入任何主机文件中。它的传播过程是利用这些漏洞将自己注入远程计算机，并利用这些漏洞在远程扫描Internet中获得系统控制。然后你可以攻击被控制的主机。蠕虫获得系统权限有几种方法。（1）利用系统漏洞蠕虫经常通过某些系统或应用程序的漏洞传输。使用系统漏洞，蠕虫常常可以远程控制网络主机。首先控制目标主机，然后复制过去，最后执行攻击伤害。（2）利用局域网传播由于缺乏安全意识或工作疏忽，一些本地局域网管理员在远程编写的一些机器上制作了系统文件夹。蠕虫可以直接复制到可以在局域网中编写并传播的目录中。一些病毒在局域网里找到可写或修改注册表，下次启动自动运行后重启下。四、计算机病毒的安全防御策略4.1增强计算机病毒的防范意识对计算机病毒的防范最重要的就是树立相应的防范意识，在日常操作的过程中养成良好的使用习惯，就可以在一定范围内实现对于病毒的预防。一般情况下，计算机病毒的发布者会用一些钓鱼软件引诱计算机用户进行下载。一旦计算机用户的防范意识不强，病毒就会被引入到计算机中。因此，在计算机的日常操作中，需要在进入软件的官网进行下载，一些不能确认来源的信息，尽可能不要去点击。尤其是不要相信一些中奖的信息，因为这类信息多数是计算机病毒的伪装。4.2使用多种计算机反病毒技术当前，虽然是出现了较多的计算机病毒，但是计算机反病毒技术也是随着病毒的演变不断发展。现在使用较多的计算机反病毒技术主要包括实时监视技术、自动解压技术以及全平台反病毒技术。现在这三类反病毒技术已经发展的较为成熟，能够实现计算机病毒的有效防范。最后一种反病毒技术，主要是针对一些计算机病毒与计算机之间不能有效吻合的状态进行查杀，由于两者之间不能有效吻合，就会在计算机系统中存在一些不受保护的地段，应用该技术能够实现对于此地带的病毒查杀，提高计算机对于病毒的防范能力。（1）加密技术为了有效的防止人们在软件使用过程中，出现过多的数据信息资料泄露情况，使用数据加密技术，从而有效的实现数据的保密防丢失。此种技术是通过依照一定的技术编程，将原本的计算机相关数据完成一定的转换，实现对信息资料的存储功能以及相应的加密性传输。此种技术有效的保证了计算机软件的使用保密有效性。通常情况下，此种技术的使用是使用加密计算方法完成的，此种计算方法分为两种，一种是对称性的加密算法，另外一种就是非对称的加密算法。两者的算法主要是通过解密钥匙完成区分，人们通常在使用计算机过程中使用后者的加密算法较为常用。（2）防火墙技术防火墙技术在计算机的使用过程中，占据了重要且不可缺少的组成部分，十分广泛的应用于计算机使用中。防火墙技术的主要存在解决了对非法访问的有效控制，有力的阻止了计算机系统的外部人员进入，从而最大程度的对计算机使用系统完成有效的保护。防火墙能够对计算机使用中的端口，以及目标性实用性系统地址还有目标端口等多种信息，实时完成检测确定，检测完成之后与提前既定的端口信息完成两者匹配，如果出现匹配不成功的情况，直接将数据信息丢弃。防火墙的状态检测是当前计算机使用中较为常用的一种防火墙技术功能。但是防火墙技术也存在了一定的局限性，只能适用于外部系统，无法完成对计算机内部网络系统的保护。（3）防病毒技术计算机终端在使用过程中的诸多产生特点，通常表现为较强的繁殖力，以及较强的攻击性，还有传播范围较广，破坏力度极大，直接对计算机终端的使用造成该很大程度的威胁。而计算机中的所有病毒有将近95%的都是人为制造，从而对计算机的自身系统以及用户的信息传输与存储带来很大程度的损害。网络病毒技术通常有两种，一种就是对于病毒的防御，通过借助计算机固有的系统内存，完成对计算机的控制主动权，以此来判断计算机病毒的存在与否；再者就是可以通过对病毒完成检测的技术，对于用户在使用过程中的诸多特征，进行相应的侦测，从而判断计算机系统是否出现病毒感染。在计算机网络安全防范中的应用，防火墙以及防病毒技术的存在，给人们的生