计算机病毒
摘 要
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。
我国计算机反病毒技术从八十年代末发展至今已有十余年历史,其间随着计算机操作系统的更替和网络技术的迅猛发展,反病毒技术也已经历了多次重大变革。从DOS 时代只杀不防,到WINDOWS 时代的实时监控,从一对一的特征码判断到广谱智能查杀,从查杀文件型病毒到防范种类繁多的网络病毒,反病毒与病毒技术一刻也没有停止过较量。而随着网络技术的飞速发展,宽带的日益普及,新病毒出现的数量和传播的速度也越来越快。未知病毒已经开始向反病毒技术发起挑战。
关键词 计算机病毒,类型,危害,检测,防范
前言„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„1 1计算机病毒概述„„„„„„„„„„„„„„„„„„„„„„„„„„„„2
1.1计算机病毒的概念„„„„„„„„„„„„„„„„„„„„„„„„„2
1.2 计算机病毒的产生„„„„„„„„„„„„„„„„„„„„„„„„2
1.3计算机病毒的一般特点„„„„„„„„„„„„„„„„„„„„„„„ 4 2 计算机病毒的类型„„„„„„„„„„„„„„„„„„„„„„„„„„„4
2.1 根据不同的方面划分不同类型的病毒„„„„„„„„„„„„„„„„„4
2.2常见的病毒类型„„„„„„„„„„„„„„„„„„„„„„„„„„7 3 计算机病毒的危害„„„„„„„„„„„„„„„„„„„„„„„„„„„8 4 计算机病毒的检测与防范„„„„„„„„„„„„„„„„„„„„„„„10 结论„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„14 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15
计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面,计算机用户必须不断应付计算机新病毒的出现。互联网的普及,更加剧了计算机病毒的泛滥。
从上世纪90年代中后期开始,随着国际互联网的发展壮大,依赖互联网络传播的邮件病毒、宏病毒和蠕虫病毒等大量涌现,病毒传播速度加快、隐蔽性增强、破坏性变大。最近这几年新病毒层出不穷,出现了许多影响广、破坏大的病毒。
计算机病毒的产生和迅速蔓延,使计算机系统的安全受到了极大的威胁,人们意识到计算机安全的重要性,也因此产生了对计算机反病毒技术的需求。随着计算机病毒采用的新技术不断出现,计算机反病毒技术也不断更新和发展,产生了实时反病毒技术、启发式代码扫描技术等许多优秀的反病毒技术。
日新月异的计算机技术给计算机病毒提供了存在和发展的空间,尤其是网络技术的发展大大加快了计算机病毒的传播速度,随着计算机病毒的传播和攻击方式不断发展变化,我们必须不断调整防范计算机病毒的策略,提升和完善计算机反病毒技术,以对抗计算机病毒的危害。计算机病毒的防范是一项长期且艰巨的任务。
1计算机病毒概述
1.1 计算机病毒的概念
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散, 能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序, 它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时, 它会自生复制并传播, 使计算机的资源受到不同程序的破坏等等。计算机病毒能够侵入计算机系统和网络, 危害正常工作。它能够对计算机系统进行各种破坏, 同时能够自我复制, 具有传染性。所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
几乎所有的计算机病毒都是人为地故意制造出来的, 有时一旦扩散出来后连编者自己也无法控制。
1.2 计算机病毒的产生
新的计算机病毒在世界范围内不断出现,传播速度之快和扩散之广,其原因决不是偶然的,除了与计算机应用环境等外部原因有关以外,主要是由计算机系统的内部原因所决定的。其原因主要有一下几点:
(1)计算机系统自身的缺陷
计算机系统及其网络是一个结构庞大复杂的人机系统,分布地域广,涉及的系统内部因素及环境复杂。这无论在物理上还是在使用环境上都难以严格地统一标准、协议、控制、管理和监督。
(2)人为的因素
计算机病毒是一段人为制造的程序。可以认为,病毒由以下几个原因产生:
①某些人为表现自己的聪明才智,自认为手段高明,编制了一些具有较高技巧,但破坏性不大的病毒;
②某些入偏离社会、法律或道德,以编制病毒来表示不满;
③某些人因受挫折,存有疯狂的报复心理,设计出一些破坏性极强的病毒,造成针对性的破坏;
④一些人凭借对计算机的了解,以编制并广泛传播病毒程序为乐,他们非法进入网络,以破获网络口令,窃取秘密资料为荣等,这都给计算机系统带来了不安定因素;
(3)计算机法制不健全
各国现有的法律和规定大都是在计算机“病毒’尚未肆虐和泛滥之前制定的,所以法律和规定中“病毒”均没有作为计算机犯罪而制定应有的处治条款,因此各国开始研究和制定或修走已有的计算机法规。
1.3 计算机病毒的一般特点
计算机病毒只能由人为编制而成。计算机病毒不可能随机自然产生,也不可能由编程失误造成。它可以隐藏在合法程序内部,随着人们的操作不断地进行自我复制。它具有可传染性,并借助非法拷贝进行这种传染。一般具有以下几个特点:(1)破坏性:凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现:占用CPU 时间和内存, 从而造成进程堵塞;对数据或文件进行破坏;打乱屏幕的显示等。它只能破坏系统程序,不可能损坏硬件设备。(2)隐蔽性:病毒程序大多夹在正常程序之中, 很难被发现。(3)潜伏性:病毒侵入后, 一般不立即活动, 需要等一段时间, 条件成熟后才作用。它具有潜在的破坏力。系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏。(4)传染性:对于绝大多数计算机病毒来讲,传染是它的一个重要特性。它通过修改别的程序, 并自身的拷贝包括进去, 从而达到扩散的目的。
2计算机病毒的类型
2.1 根据不同的方面划分不同类型的病毒
1.根据病毒破坏的能力可划分为以下几种:(1)无害型,其除了传染时减少磁盘的可用空间外,对系统没有其它影响。 (2)无危险型 ,这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 (3)危险型,这类病毒在计算机系统操作中造成严重的错误。 (4)非常危险型 ,这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而
是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。
2.照计算机病毒存在的媒体进行分类根据病毒存在的媒体,病毒可以划分为:(1)网络病毒通过计算机网络传播感染网络中的可执行文件;
(2)文件病毒感染计算机中的文件(如:COM ,EXE ,DOC 等);(3)引导型病毒感染启动扇区(Boot )和硬盘的系统引导扇区(MBR );还有这三种情况的混合型。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
按照计算机病毒特有的算法进行分类根据病毒特有的算法,病毒可以划分为:伴随型病毒这一类病毒并不改变文件本身,它们根据算法产生EXE 文件的伴随体,具有同样的名字和不同的扩展名(COM ),例如:XCOPY.EXE 的伴随体是XCOPY.COM 。病毒把自身写入COM 文件并不改变EXE 文件,当DOS 加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE 文件。“蠕虫”型病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
3.按其算法不同可分为: (1)练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段;(2)诡秘型病毒,它们一般不直接修改DOS 中断和扇区数据,而是通过设备技术和文件缓冲区等DOS 内部修改,不易看到资源,使用比较高级的技术。利用DOS 空闲的数据区进行工作。(3)变型病毒,又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
4.按破坏性分:⑴ 良性病毒 ⑵ 恶性病毒 ⑶ 极恶性病毒 ⑷ 灾难性病毒
5.按传染方式分:⑴ 引导区型病毒,其主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的" 主引导记录" 。 ⑵ 文件型病毒,它是文件感染者,也称为寄生病毒。它运行在计算机存储器中,通常感染扩展名为COM 、EXE 、SYS 等类型的文件。 ⑶ 混合型病毒,混合型病毒具有引导区型病毒和文件型病毒两者的特点。 ⑷ 宏病毒,是指用BASIC 语言编写的病毒程序寄存在Office 文档上的宏代码。宏病毒影响对文档的各种操作。
6.按连接方式分:⑴ 源码型病毒,它攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。 ⑵ 入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。 ⑶ 操作系统型病毒,可用其自身部分加入或替代操作系统的部分功能。因
其直接感染操作系统,这类病毒的危害性也较大。 ⑷ 外壳型病毒,它们通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。
7.按照计算机病毒传染的方法进行分类根据病毒传染的方法可分
为: (1)驻留型病毒感染计算机后,把自身的内存驻留部分放在内存
(RAM )中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动。(2)非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
2. 2常见到病毒类型
(1)系统病毒。系统病毒的前缀为:Win32、PE 、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows 操作系统的 *.exe文件,并通过这些文件进行传播。 (2)蠕虫病毒。蠕虫病毒的前缀是:Worm 。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。(3)脚本病毒。脚本病毒的前缀是:Script 。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒。(4)后门病毒。后门病毒的前缀是:Backdoor 。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。(5)破坏性程序病毒。破坏性程序病毒的前缀是:Harm 。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。(6)玩笑病毒。玩笑病毒的前缀是:Joke 。也称恶作剧病毒。这类病毒的共有特性是本身具有
好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。
3.计算机病毒的危害
病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、改写硬盘数据。
占用磁盘空间和对信息的破坏。寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS 功能进行传染,这些DOS 功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。
抢占系统资源。大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发,总是修改一些有关的中
断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。
影响计算机运行速度。病毒进驻内存后不但干扰系统运行,还影响
计算机速度,主要表现在:
(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视, 这相对于计算机的正常运行状态既多余又有害。 (2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态,CPU 每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU 指令再执行;而病毒运行结束时再用一段程序对病毒重新加密。这样CPU 额外执行数千条以至上万条指令。(3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算
机速度明显变慢, 而且软盘正常的读写顺序被打乱,发出刺耳的噪声。
4. 计算机病毒的检测与防范
病毒的检测从上面介绍的计算机病毒的特性中,我们可以看出计算
机病毒具有很强隐蔽性和极大的破坏性。因此在日常中如何判断病毒是否存在于系统中是非常关键的工作。一般可以根据下列情况来判断系统是否感染病毒。
计算机的启动速度较慢且无故自动重启;工作中机器出现无故死机
现象;桌面上的图标发生了变化;桌面上出现了异常现象:奇怪的提示信息,特殊的字符等;在运行某一正常的应用软件时,系统经常报告内存不足;文件中的数据被篡改或丢失;音箱无故发生奇怪声音;系统不
能识别存在的硬盘;打印机的速度变慢或者打印出一系列奇怪的字符等赌神可能感染病毒的情况。
计算机用户为了正确选择、配置和维护病毒防护解决方案,必须对自己现有的网络及相关应用进行分析,根据业务内容、网络逻辑划分现有网络,然后根据网络功能和业务制定完善的安全策略。如确定业务数据流程、访问权限、网络应用、相关网络服务和协议等。还可以根据重要等级和整体安全策略对网络进行区域划分和隔离,包括调整网络结构,重新规划业务流程或者网络构成,利用防火墙进行访问控制和网络隔离等。此外,将数据区分为不同安全等级,采取相应的安全措施必不可少,如访问权限控制、加密存储、加密传输、备份与恢复等。还有两点应当注意:一是始终保持操作系统、WEB 浏览器、电子邮件和应用程序的最新版本;二是定期审查主要软件供应商产品安全方面的情况,并且预订实用的电子通讯,以便了解新的安全缺陷以及解决方法。 随着电子邮件与办公程序套件应用的日益密切集成,单从电子邮件客户应用的角度来检验防毒措施的缺陷是不够的,必须充分保护用户所使用的整个计算机系统。具体到普通计算机用户来说,要有效防范病毒,必须提高警惕,加强防御。例如:避免" 玩笑" 邮件的流传、交换;严禁运行来源不明的可执行文件,尤其是那些不明邮件附加的可执行程序;禁用预览窗口功能,因为某些病毒程序只需预览就能够执行;在打开邮件之前,用有效防毒软件进行扫描,因为所有的邮件都可能包含恶意代码,即使它们并没有附件记号;为了能抵御最新的病毒,防毒软件最好每天都能得到更新和维护,主要包括:技术支持服务(处理 病毒相关问题或防毒
软件的故障);新病毒的紧急服务(在尽可能短的时间里清除病毒);病毒警告服务等;用户不必打开所有类型的文件,因为并非所有的文件都是每天工作必需的,这有助于防范一些扩展名文件中病毒的入侵。
结论
经过了学习和工作,我终于完成了《计算机病毒》的论文。通过学习研究让我对那些不为人知道 及孙继病毒世界有所了解。让我知道计算机网络给然们带来了许多的方便的同时也给计算机病毒技术的传播和发展提供了便利,网络技术的发展大大加快了计算机病毒的传播速度。我们要在预防计算机病毒的同时,合理的利用他们。
从开始接到论文题目到系统的实现,再到论文文章的完成,每走一步对我来说都是新的尝试和挑战。在这段时间里,我学到了很多知识也有很多感受,开始对计算机病毒级相关反病毒技术的不了解,我查看相关的资料和书籍,让自己头脑中模糊的概念逐渐清晰,是自己稚嫩的作品一步步完善起来。每一次改进都是我学习的收获。
虽然我的论文不是很成熟,还有很多不足之处,但我可以自豪的说,这里面的每一点一滴都是我的劳动成果。当看着自己的论文圆满完成,真是莫大的幸福和欣慰。我相信其中的酸甜苦辣最终都会化为甜美的甘泉。
这次做论文的经历也会使我终身受益,我感受到做论文是真真正正用心去做一件事情,是真正的自己学习和研究的过程,没有学习就不可能有研究的能力,没有自己的研究,就不会有所突破。希望这次经历能让我在以后学习中激励我继续进步。
致谢
感谢学校给予我这样一次机会,能够独立地完成一个课题,并在这个过程当中,给予我们各种方便,使我们在即将离校的最后一段时间里,能够更多学习一些实践应用知识,增强了我们实践操作和动手应用能力,提高了独立思考的能力。再一次对我的母校表示感谢。
这次毕业设计得到了很多老师和同学的帮助,感谢老师的细心指引与教导, 使我得以最终完成毕业论文设计。感谢在整个毕业设计期间和我密切合作的同学,和曾经在各个方面给予过我帮助的伙伴们,在大学生活即将结束的最后的日子里,我们再一次演绎了团结合作的童话,把论文一同圆满地完成了。正是因为有了你们的帮助,才让我不仅学到了本次课题所涉及的新知识,更让我感觉到了知识以外的东西,那就是团结的力量。最后,感谢所有在这次毕业设计中给予过我帮助的人!
最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢。
论文相关参考文献:
1. 吴世忠, 马芳《网络信息安全的真相》机械工业出版社,2001-9-1。
2. 许治坤 ,王伟 ,郭添森 ,杨冀龙《网络渗透技术》电子工业出版社, 2005-5-11
计算机病毒
摘 要
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。
我国计算机反病毒技术从八十年代末发展至今已有十余年历史,其间随着计算机操作系统的更替和网络技术的迅猛发展,反病毒技术也已经历了多次重大变革。从DOS 时代只杀不防,到WINDOWS 时代的实时监控,从一对一的特征码判断到广谱智能查杀,从查杀文件型病毒到防范种类繁多的网络病毒,反病毒与病毒技术一刻也没有停止过较量。而随着网络技术的飞速发展,宽带的日益普及,新病毒出现的数量和传播的速度也越来越快。未知病毒已经开始向反病毒技术发起挑战。
关键词 计算机病毒,类型,危害,检测,防范
前言„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„1 1计算机病毒概述„„„„„„„„„„„„„„„„„„„„„„„„„„„„2
1.1计算机病毒的概念„„„„„„„„„„„„„„„„„„„„„„„„„2
1.2 计算机病毒的产生„„„„„„„„„„„„„„„„„„„„„„„„2
1.3计算机病毒的一般特点„„„„„„„„„„„„„„„„„„„„„„„ 4 2 计算机病毒的类型„„„„„„„„„„„„„„„„„„„„„„„„„„„4
2.1 根据不同的方面划分不同类型的病毒„„„„„„„„„„„„„„„„„4
2.2常见的病毒类型„„„„„„„„„„„„„„„„„„„„„„„„„„7 3 计算机病毒的危害„„„„„„„„„„„„„„„„„„„„„„„„„„„8 4 计算机病毒的检测与防范„„„„„„„„„„„„„„„„„„„„„„„10 结论„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„14 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„15
计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面,计算机用户必须不断应付计算机新病毒的出现。互联网的普及,更加剧了计算机病毒的泛滥。
从上世纪90年代中后期开始,随着国际互联网的发展壮大,依赖互联网络传播的邮件病毒、宏病毒和蠕虫病毒等大量涌现,病毒传播速度加快、隐蔽性增强、破坏性变大。最近这几年新病毒层出不穷,出现了许多影响广、破坏大的病毒。
计算机病毒的产生和迅速蔓延,使计算机系统的安全受到了极大的威胁,人们意识到计算机安全的重要性,也因此产生了对计算机反病毒技术的需求。随着计算机病毒采用的新技术不断出现,计算机反病毒技术也不断更新和发展,产生了实时反病毒技术、启发式代码扫描技术等许多优秀的反病毒技术。
日新月异的计算机技术给计算机病毒提供了存在和发展的空间,尤其是网络技术的发展大大加快了计算机病毒的传播速度,随着计算机病毒的传播和攻击方式不断发展变化,我们必须不断调整防范计算机病毒的策略,提升和完善计算机反病毒技术,以对抗计算机病毒的危害。计算机病毒的防范是一项长期且艰巨的任务。
1计算机病毒概述
1.1 计算机病毒的概念
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散, 能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序, 它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时, 它会自生复制并传播, 使计算机的资源受到不同程序的破坏等等。计算机病毒能够侵入计算机系统和网络, 危害正常工作。它能够对计算机系统进行各种破坏, 同时能够自我复制, 具有传染性。所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
几乎所有的计算机病毒都是人为地故意制造出来的, 有时一旦扩散出来后连编者自己也无法控制。
1.2 计算机病毒的产生
新的计算机病毒在世界范围内不断出现,传播速度之快和扩散之广,其原因决不是偶然的,除了与计算机应用环境等外部原因有关以外,主要是由计算机系统的内部原因所决定的。其原因主要有一下几点:
(1)计算机系统自身的缺陷
计算机系统及其网络是一个结构庞大复杂的人机系统,分布地域广,涉及的系统内部因素及环境复杂。这无论在物理上还是在使用环境上都难以严格地统一标准、协议、控制、管理和监督。
(2)人为的因素
计算机病毒是一段人为制造的程序。可以认为,病毒由以下几个原因产生:
①某些人为表现自己的聪明才智,自认为手段高明,编制了一些具有较高技巧,但破坏性不大的病毒;
②某些入偏离社会、法律或道德,以编制病毒来表示不满;
③某些人因受挫折,存有疯狂的报复心理,设计出一些破坏性极强的病毒,造成针对性的破坏;
④一些人凭借对计算机的了解,以编制并广泛传播病毒程序为乐,他们非法进入网络,以破获网络口令,窃取秘密资料为荣等,这都给计算机系统带来了不安定因素;
(3)计算机法制不健全
各国现有的法律和规定大都是在计算机“病毒’尚未肆虐和泛滥之前制定的,所以法律和规定中“病毒”均没有作为计算机犯罪而制定应有的处治条款,因此各国开始研究和制定或修走已有的计算机法规。
1.3 计算机病毒的一般特点
计算机病毒只能由人为编制而成。计算机病毒不可能随机自然产生,也不可能由编程失误造成。它可以隐藏在合法程序内部,随着人们的操作不断地进行自我复制。它具有可传染性,并借助非法拷贝进行这种传染。一般具有以下几个特点:(1)破坏性:凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现:占用CPU 时间和内存, 从而造成进程堵塞;对数据或文件进行破坏;打乱屏幕的显示等。它只能破坏系统程序,不可能损坏硬件设备。(2)隐蔽性:病毒程序大多夹在正常程序之中, 很难被发现。(3)潜伏性:病毒侵入后, 一般不立即活动, 需要等一段时间, 条件成熟后才作用。它具有潜在的破坏力。系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏。(4)传染性:对于绝大多数计算机病毒来讲,传染是它的一个重要特性。它通过修改别的程序, 并自身的拷贝包括进去, 从而达到扩散的目的。
2计算机病毒的类型
2.1 根据不同的方面划分不同类型的病毒
1.根据病毒破坏的能力可划分为以下几种:(1)无害型,其除了传染时减少磁盘的可用空间外,对系统没有其它影响。 (2)无危险型 ,这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 (3)危险型,这类病毒在计算机系统操作中造成严重的错误。 (4)非常危险型 ,这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而
是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。
2.照计算机病毒存在的媒体进行分类根据病毒存在的媒体,病毒可以划分为:(1)网络病毒通过计算机网络传播感染网络中的可执行文件;
(2)文件病毒感染计算机中的文件(如:COM ,EXE ,DOC 等);(3)引导型病毒感染启动扇区(Boot )和硬盘的系统引导扇区(MBR );还有这三种情况的混合型。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
按照计算机病毒特有的算法进行分类根据病毒特有的算法,病毒可以划分为:伴随型病毒这一类病毒并不改变文件本身,它们根据算法产生EXE 文件的伴随体,具有同样的名字和不同的扩展名(COM ),例如:XCOPY.EXE 的伴随体是XCOPY.COM 。病毒把自身写入COM 文件并不改变EXE 文件,当DOS 加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE 文件。“蠕虫”型病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播。
3.按其算法不同可分为: (1)练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段;(2)诡秘型病毒,它们一般不直接修改DOS 中断和扇区数据,而是通过设备技术和文件缓冲区等DOS 内部修改,不易看到资源,使用比较高级的技术。利用DOS 空闲的数据区进行工作。(3)变型病毒,又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
4.按破坏性分:⑴ 良性病毒 ⑵ 恶性病毒 ⑶ 极恶性病毒 ⑷ 灾难性病毒
5.按传染方式分:⑴ 引导区型病毒,其主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的" 主引导记录" 。 ⑵ 文件型病毒,它是文件感染者,也称为寄生病毒。它运行在计算机存储器中,通常感染扩展名为COM 、EXE 、SYS 等类型的文件。 ⑶ 混合型病毒,混合型病毒具有引导区型病毒和文件型病毒两者的特点。 ⑷ 宏病毒,是指用BASIC 语言编写的病毒程序寄存在Office 文档上的宏代码。宏病毒影响对文档的各种操作。
6.按连接方式分:⑴ 源码型病毒,它攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。 ⑵ 入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。 ⑶ 操作系统型病毒,可用其自身部分加入或替代操作系统的部分功能。因
其直接感染操作系统,这类病毒的危害性也较大。 ⑷ 外壳型病毒,它们通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。
7.按照计算机病毒传染的方法进行分类根据病毒传染的方法可分
为: (1)驻留型病毒感染计算机后,把自身的内存驻留部分放在内存
(RAM )中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动。(2)非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
2. 2常见到病毒类型
(1)系统病毒。系统病毒的前缀为:Win32、PE 、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows 操作系统的 *.exe文件,并通过这些文件进行传播。 (2)蠕虫病毒。蠕虫病毒的前缀是:Worm 。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。(3)脚本病毒。脚本病毒的前缀是:Script 。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒。(4)后门病毒。后门病毒的前缀是:Backdoor 。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。(5)破坏性程序病毒。破坏性程序病毒的前缀是:Harm 。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。(6)玩笑病毒。玩笑病毒的前缀是:Joke 。也称恶作剧病毒。这类病毒的共有特性是本身具有
好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。
3.计算机病毒的危害
病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、改写硬盘数据。
占用磁盘空间和对信息的破坏。寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS 功能进行传染,这些DOS 功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。
抢占系统资源。大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发,总是修改一些有关的中
断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。
影响计算机运行速度。病毒进驻内存后不但干扰系统运行,还影响
计算机速度,主要表现在:
(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视, 这相对于计算机的正常运行状态既多余又有害。 (2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态,CPU 每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU 指令再执行;而病毒运行结束时再用一段程序对病毒重新加密。这样CPU 额外执行数千条以至上万条指令。(3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算
机速度明显变慢, 而且软盘正常的读写顺序被打乱,发出刺耳的噪声。
4. 计算机病毒的检测与防范
病毒的检测从上面介绍的计算机病毒的特性中,我们可以看出计算
机病毒具有很强隐蔽性和极大的破坏性。因此在日常中如何判断病毒是否存在于系统中是非常关键的工作。一般可以根据下列情况来判断系统是否感染病毒。
计算机的启动速度较慢且无故自动重启;工作中机器出现无故死机
现象;桌面上的图标发生了变化;桌面上出现了异常现象:奇怪的提示信息,特殊的字符等;在运行某一正常的应用软件时,系统经常报告内存不足;文件中的数据被篡改或丢失;音箱无故发生奇怪声音;系统不
能识别存在的硬盘;打印机的速度变慢或者打印出一系列奇怪的字符等赌神可能感染病毒的情况。
计算机用户为了正确选择、配置和维护病毒防护解决方案,必须对自己现有的网络及相关应用进行分析,根据业务内容、网络逻辑划分现有网络,然后根据网络功能和业务制定完善的安全策略。如确定业务数据流程、访问权限、网络应用、相关网络服务和协议等。还可以根据重要等级和整体安全策略对网络进行区域划分和隔离,包括调整网络结构,重新规划业务流程或者网络构成,利用防火墙进行访问控制和网络隔离等。此外,将数据区分为不同安全等级,采取相应的安全措施必不可少,如访问权限控制、加密存储、加密传输、备份与恢复等。还有两点应当注意:一是始终保持操作系统、WEB 浏览器、电子邮件和应用程序的最新版本;二是定期审查主要软件供应商产品安全方面的情况,并且预订实用的电子通讯,以便了解新的安全缺陷以及解决方法。 随着电子邮件与办公程序套件应用的日益密切集成,单从电子邮件客户应用的角度来检验防毒措施的缺陷是不够的,必须充分保护用户所使用的整个计算机系统。具体到普通计算机用户来说,要有效防范病毒,必须提高警惕,加强防御。例如:避免" 玩笑" 邮件的流传、交换;严禁运行来源不明的可执行文件,尤其是那些不明邮件附加的可执行程序;禁用预览窗口功能,因为某些病毒程序只需预览就能够执行;在打开邮件之前,用有效防毒软件进行扫描,因为所有的邮件都可能包含恶意代码,即使它们并没有附件记号;为了能抵御最新的病毒,防毒软件最好每天都能得到更新和维护,主要包括:技术支持服务(处理 病毒相关问题或防毒
软件的故障);新病毒的紧急服务(在尽可能短的时间里清除病毒);病毒警告服务等;用户不必打开所有类型的文件,因为并非所有的文件都是每天工作必需的,这有助于防范一些扩展名文件中病毒的入侵。
结论
经过了学习和工作,我终于完成了《计算机病毒》的论文。通过学习研究让我对那些不为人知道 及孙继病毒世界有所了解。让我知道计算机网络给然们带来了许多的方便的同时也给计算机病毒技术的传播和发展提供了便利,网络技术的发展大大加快了计算机病毒的传播速度。我们要在预防计算机病毒的同时,合理的利用他们。
从开始接到论文题目到系统的实现,再到论文文章的完成,每走一步对我来说都是新的尝试和挑战。在这段时间里,我学到了很多知识也有很多感受,开始对计算机病毒级相关反病毒技术的不了解,我查看相关的资料和书籍,让自己头脑中模糊的概念逐渐清晰,是自己稚嫩的作品一步步完善起来。每一次改进都是我学习的收获。
虽然我的论文不是很成熟,还有很多不足之处,但我可以自豪的说,这里面的每一点一滴都是我的劳动成果。当看着自己的论文圆满完成,真是莫大的幸福和欣慰。我相信其中的酸甜苦辣最终都会化为甜美的甘泉。
这次做论文的经历也会使我终身受益,我感受到做论文是真真正正用心去做一件事情,是真正的自己学习和研究的过程,没有学习就不可能有研究的能力,没有自己的研究,就不会有所突破。希望这次经历能让我在以后学习中激励我继续进步。
致谢
感谢学校给予我这样一次机会,能够独立地完成一个课题,并在这个过程当中,给予我们各种方便,使我们在即将离校的最后一段时间里,能够更多学习一些实践应用知识,增强了我们实践操作和动手应用能力,提高了独立思考的能力。再一次对我的母校表示感谢。
这次毕业设计得到了很多老师和同学的帮助,感谢老师的细心指引与教导, 使我得以最终完成毕业论文设计。感谢在整个毕业设计期间和我密切合作的同学,和曾经在各个方面给予过我帮助的伙伴们,在大学生活即将结束的最后的日子里,我们再一次演绎了团结合作的童话,把论文一同圆满地完成了。正是因为有了你们的帮助,才让我不仅学到了本次课题所涉及的新知识,更让我感觉到了知识以外的东西,那就是团结的力量。最后,感谢所有在这次毕业设计中给予过我帮助的人!
最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢。
论文相关参考文献:
1. 吴世忠, 马芳《网络信息安全的真相》机械工业出版社,2001-9-1。
2. 许治坤 ,王伟 ,郭添森 ,杨冀龙《网络渗透技术》电子工业出版社, 2005-5-11