《病毒入侵微机的途径与防治研究 毕业论文-.doc》由会员分享,可在线阅读,更多相关《病毒入侵微机的途径与防治研究 毕业论文-.doc(13页珍藏版)》请在三一文库上搜索。
1、病毒入侵微机的途径与防治研究 写作提纲一、 前言二、 计算机病毒的概况2.1 计算机病毒的产生62.2 计算机病毒的特点72.3 计算机病毒的发展102.4 计算机病毒的危害12三、计算机病毒入侵微机的途径与防治3.1 计算机病毒的途径133.2 计算机病毒的防治四、个案分析五、结束语致谢摘要:病毒是具有破坏性极强的计算机程序构成,它会影响和破坏正常程序的执行和相关数据的安全,它不仅侵入到所运行的计算机系统中,而且还具有很强的可复制性,它会 不断地把自己复制到其他程序当中,从而达到破坏程序和文件的目的。目前,病毒已成为困扰计算机系统安全和网络发展的重要问题。本文通过对计算机病毒的概念、特点、传
2、播途径等的介绍,使读者对其有个理性的认识,再结合实际,对计算机病毒入侵的防治进行简单的探讨。我们要坚持依法治毒,增强网络安全意识,并且制定严格的病毒防治技术规范,防止计算机病毒的入侵。关键字:计算机病毒信息安全 入侵途径 防止措施一、 前言人类进入了信息社会,创造了计算机,计算机虽然给人们的工作和生活带来了便利和效率,然而计算机系统并不安全。计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨大浪费,人们称计算机病毒为“21世纪最大的隐患”。目前由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。因此,研究计算机病毒及防范技术具有重要的意义。近几年来,中国计算机病毒的发病率以每年
3、翻一番的速度增长。据工信部统计,2009年中国计算机病毒的感染率高达70.51%;到了2010年下半年,已达到73%。二到了2010年国家应急中心的报告,病毒感染率增加到85%,明显呈上升态势。计算机病毒在不断发展,手段越来越高明,结构越来越特别。特别是在互联网时代,病毒的传播范围会越来越广。不仅杀毒软件滞后于病毒,而且由于多态性计算机病毒的出现,更增加了这种分析的难度,这也是当前反病毒领域的瓶颈所在。二、 计算机病毒的概况1.计算机病毒的产生 (1)恶作剧恶作剧者大都是那些对计算机知识和技术非常感兴趣的人,并且特别热衷于那些别人认为是不可能做成的事。这些人或是要显示一下自己在计算机知识方面的
4、天分,或是要报复下别人或公司。前者是无恶意的,所编写的病毒也大多不是恶意的,只是显示下自己的才能以达到炫耀的目的。例如,美国网络蠕虫病毒编写者莫里斯实际上就属于此类的恶作剧者,因为他在编写这个旨在渗透到美国国防部的计算机病毒之时,也没有考虑到这种计算机病毒会给美国带来巨大的损失。后者则大多是恶意的报复,想从受损一方的痛苦中取得乐趣,以泄私愤。虽然,计算机病毒的起源是否归结于恶作剧者还不能确定,但可以肯定,世界上流行的许多病毒都是恶作剧的产物。(2)用于版权保护 这是最初计算机病毒产生的根本原因。在计算机发展初期,由于在法律上对于软件版权保护还没有像今天这样完善,因此,许多商业软件被非法复制,软
5、件开发商为了保护自己的利益,就在自己发布的产品中加入了一些特别设计的程序,其目的就是为了防止用户进行非法复制过传播。但是随着信息产业的法制化,用于这种目的的病毒目前已不多见。(3)用于特殊目的此类计算机病毒通常都是某些组织(如用于军事、政府、秘密研究项目等)或个人为达到特殊目的,对于政府机构、单位的特殊系统进行暗中破坏、窃取机密文件或数据。例如备受网络界关注的中美之间的黑客大战,很有一丝网络战的味道。(4)为了获取利益如今已是木马横行的时代,据统计木马在病毒中已占七成左右,其中大部分都是以窃取用户信息、获取经济利益为目的,如窃取用户资料、网银账号密码、网友账号密码、QQ账号密码等。一旦这些信息
6、失窃,将给用户带来非常严重的经济损失。如“熊猫烧香”、“网游大盗”、“网银窃贼”等。2、计算机病毒的特点计算机病毒一般具有可执行性、传染性、潜伏性、触发性、破坏性、主动攻击性、非授权性、隐秘性、衍生性、寄生性、不可预见性、欺骗性以及持久性等特征。病毒的可执行性:计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他执行程序上,因此它享有一切程序所能得到的权利。在病毒运行时,与合法程序争夺系统的控制权。计算机病毒只有当它在计算机中得以运行时,才具有传染性和破坏性等活性。病毒的传染性:传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适
7、当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。 潜伏性:计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。 表现性或破坏性:无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序
8、也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。 可触发性:计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字
9、符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。隐蔽性:病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘的较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染给大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,计算机马上无法正常运行,那么它本身便无法继续进行传染了。攻击的主动性:病毒对系统的攻击是主动的,不以人的意志为转移
10、的。也就是说,从一定的程度上讲,计算机系统无论采取多么严密的保护措施都不可能彻底的排除病毒对系统的攻击,二保护措施充其量是一种预防的手段而已。病毒的针对性:计算机病毒是针对特定的计算机和特定的操作系统的。例如,有针对IBM PC机极其兼容机的,有针对Apple公司的Macintosh的,还有针对UNIX操作系统的。例如小球病毒是针对IBM PC机极其兼容机上的DOS操作系统的。3.病毒的发展 在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。它可划分为: DOS引导
11、阶段1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播; 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”; DOS可执行阶段1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件
12、中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。 伴随、批次型阶段1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询
13、问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。 幽灵、多形阶段1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。 生成器,变体机阶段1995年,
14、在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器” ,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。 网络,蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不
15、修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 视窗阶段1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。 宏病毒阶段1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言、编写容易、感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没
16、有公开,这类病毒查解比较困难。 互联网阶段1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒; 邮件炸弹阶段1997年,随着万维网(Wold Wide Web)上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。4.病毒的危害1)病毒激发对计算机数据信息的直接破坏作用:大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分
17、配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒(D1SK KILLER),内含计数器,在硬盘染毒后累计开机时间48小时内激发,激发的时候屏幕上显 示“Warning! Dontturn off power or remove diskette while Disk Killer is Prosessing!” (警告!D1SK KILLER ll1在工作,不要关闭电源或取出磁盘),改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复,不要轻易放弃。 2)占用磁盘空间和对信息的破坏:寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型
18、病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS功能进行传染,这些DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。 3)抢占系统资源:除VIENNA、CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与
19、病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发,总是修改一些有关的中断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。 4)影响计算机运行速度:病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在: (1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视, 这相对于计算机的正常运行状态既多余又有害。 (2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态,CPU 每次寻址到病毒处时要运行一
20、段解密程序把加密的病毒解密成合法的CPU指令再执行; 而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。 (3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢, 而且软盘正常的读写顺序被打乱,发出刺耳的噪声。 5)计算机病毒错误与不可预见的危害:计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、 物力,经过长时间调试完善,软件才能推出。但在病毒编制者看来既没有必要这样做,也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现
21、绝大部分病毒都存在不同程度的错误。 错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力,出于好奇或其他原因修改别人的病毒,造成错误。 6)计算机病毒的兼容性对系统运行的影响:兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件“挑肥拣瘦”,要求机型和操作系统版本等。病毒的 编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机。 7)计算机病毒给用户造成严重的心理压力:据有关计算机销售部门统计,计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60以上。 经检测确实存在病
22、毒的约占70,另有30情况只是用户怀疑,而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢?多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是,实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度,这对于保护计算机安全无疑是十分必要的,然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户,在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力,极大地影响了现
23、代计算机的使用效率,由此带来的无形损失是难以估量的三、计算机病毒入侵的途径与防治1、病毒入侵的途径(1)通过软盘:通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 (2)通过硬盘:通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。 (3)通过光盘:因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏
24、身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。 (4)通过网络:这种传染扩散极快, 能在很短时间内传遍网络上的机器。 随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮
25、件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。2、计算机病毒的防治(1)安装杀毒软件和个人防火墙:计算机病毒无孔不入,安装一套杀毒软件很有必要。首次安装时,一定要对计算机做一次彻底的病毒扫描,确保系统尚未受过病毒感染。上网的时候打开杀毒软件和防火墙实时监控,以免病毒通过网络入侵计算机。另外经常更新病毒库和定时扫描计算机也是一个良好的习惯。(2)对公用软件和共享软件要谨慎使用,使用U盘时要先杀毒,以防U盘携带病毒传染计算机。(3)从网上下载任何文件后,一定要先扫描杀毒再运行。(4
26、)收到电子邮件时要先进行病毒扫描,不要随便打开不明电子邮件里携带的附件。(5)对重要的文件要做备份,以免遭到病毒侵害时不能立即恢复,造成不必要的损失。对已经感染病毒的计算机,可以下载最新的防病毒软件进行清除。目前市面上的杀毒软件有金山、江民、瑞星、360杀毒(终身免费)。四、个案分析蠕虫病毒蠕虫的工作原理: 首先,扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。随机选取某一段IP地址,然后对这一地址上的主机扫描。随着蠕虫的传播,馨感染的主机也开始进行扫描,这些扫面程序不知道哪些地址已经被扫描过,它只是简单的随机扫描,于是蠕虫传播的越广,网络上的扫描包就越多,即使扫描程序发出的探测包很小,积少
27、成多,大量蠕虫程序的扫描将引起网络严重的拥塞。其次,攻击:当蠕虫扫描到网络中存在的主机后,就开始利用自身的破坏功能获取主机的管理员权限。最后,利用原主机和新主机的交互将蠕虫程序复制到新主机并启动。 蠕虫的危害:一、 蠕虫大量而快速的复制使得网络上的扫描包迅速增多,造成网络拥塞,占用大量宽带,从而使得网络瘫痪。二、 网络上存在漏洞的主机被扫描到以后,会被迅速感染,使得管理员权限被窃取,方便黑客的攻击。蠕虫病毒的解决办法: 1、首先破解病毒的破坏力最强的功能模块病毒的破坏性。网络蠕虫病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么就
28、把本地的带有破坏性的程序改名字,比如把改成,那样病毒的编写者就无法实现用调用本地命令来实现这一功能。2、破解病毒的潜伏性及触发性功能模块。它是通过死循环语句完成的,且一开机就运行这程序,等待触发条件。用Ctrl+Alt+Del弹出关闭程序对话框方可看见一个叫Wscript.exe的程序在后台运行(这样的程序不一定是病毒,但病毒也常常伪装成这样),为了防止病毒对计算机的破坏,我们不得不限制这类程序的运行时间,以达到控制的效果。首先在开始运行里输入“Wscript”,然后会弹出一个窗体。勾选“在超出指定的秒数后停止脚本”,调整下方的时间设为最小值即可。另外,蠕虫病毒大多是用VBScript脚本语言
29、编写的,而VBScript代码是通过Windows Script Host来解释执行的。将Windows Script Host删除,就不用担心这些用VBS和JS编写的病毒了!方法是: 卸载Windows Scripting Host在Windows 98中(NT 4.0以上同理),打开控制面板添加/删除程序Windows安装程序附件,取消“Windows Scripting Host”一项。 删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射点击我的电脑查看文件夹选项文件类型,然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。 在Windows目录中,找到WScript
30、.exe和JScript.exe,更改名称或者删除。3、接下来破解病毒的自我复制能力功能模块。大多数利用VBscript编写的病毒,自我复制的原理基本上是利用程序将本身的脚本内容复制到一个临时文件中,然后再在传播的环节将其作为附件发送出去。该功能的实现离不开“FileSystemObject”对象,因此禁止了“FileSystemObject”就能有效地控制VBS病毒的传播。实现方法:用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是WindowsSystem下的可执行文件。4、最后就是功能模块传播性了。要彻底防治网络蠕虫病毒,还需设置一下你的浏览器。我们首先打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的自定义级别按钮。把“ActiveX控件及插件”的一切设为禁用,这样就不怕了。