搜索
1重庆市高教自考本科毕业论文(病毒入侵微机的途径与防治研究)(邓超)准考准号:010410307923.考生单位重庆电子工程职业学院邮编401331电话专业名称计算机应用论文提交日期2011年04月27日主考单位重庆西南大学22011年04月26日病毒入侵微机的途径与防治研究重庆电子工程职业学院摘要:目前计算机的应用深入到社会的各行各业,计算机与人们的生产生活密切相关已然成为人们生活的一部分或者说一种生活方式。每件事物都有它的好处和它的坏处,对于计算来说它丰富了我们的生活、方便了我们的工作、提高了生产率、创造了更高的财富价值这是它的好处,但同时伴随计算机的深入应用计算机病毒产生或发展也给我们带来了巨大的破坏和潜在的威胁,这是坏处。对于大多数一般的计算机用户来说,谈到“计算机病毒”似乎觉得它深不可测,无法琢磨。其实计算机病毒是可以预防的,随着计算机的普及与深入,对计算机病毒的防范也在越来越受到计算机用户的重视。作为计算机的使用者,应了解计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作,计算机病毒的防范工作,已经迫在眉睫。本论文从计算机病毒概述及入侵途径、计算机病毒防范、计算机病毒治理清楚入手,浅谈计算机病毒的特点及其应对手法。关键词:计算机病毒计算机安全入侵途径病毒防治3目录1.计算机病毒的概述…………………………………………………………041.1计算机病毒的定义………………………………………………………041.2计算机产生与发展………………………………………………………041.3计算机病毒的特性………………………………………………………051.4计算机病毒发展趋势……………………………………………………061.5计算机病毒的分类………………………………………………………061.6计算机病毒入侵途径……………………………………………………062.计算机病毒防范和清除的基本原则和技术…………………………………082.1计算机病毒防范的概念和原则…………………………………………082.2计算机病毒防范基本技术………………………………………………082.3清除计算机病毒的基本方法……………………………………………083.典型计算机病毒的原理、防范和清除……………………………………093.1引导区计算机病毒………………………………………………………0943.2文件型计算机病毒………………………………………………………103.3脚本型计算机病毒………………………………………………………103.4特洛伊木马计算机病毒…………………………………………………113.5蠕虫计算机病毒…………………………………………………………125.熊猫烧香病毒剖析…………………………………………………………126.计算机主要检测技术和特点(简介)………………………………………267.参考文献……………………………………………………………………278.致谢………………………………………………………………………….271.1计算机病毒的概述提起计算机病毒,绝大多数计算机的使用者都会深恶痛绝,因为没有“中过招”的人已经是凤毛麟角了。但在谈虎色变之余,很多人对计算机病毒又充满了好奇,对病毒的制造者既痛恨又敬畏。这种复杂的感情实际上很容易理解,就像古人面对大自然的感情一样,因为无法解释风雨雷电,也就只能制造神话,崇拜图腾了。计算机病毒当然不值得崇拜,它给社会信息化的发展制造了太多的麻烦,每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元。但同时,它也催化了一个新兴的产业——信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术……这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程度上缓解了计算机病毒造成的巨大破坏,同时,越来越多的企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。但稻草毕竟是稻草,救得一时不一定救得一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发,无论从产品线还是从技术角度来讲,都已经达到了相当完善的程度。但是,再好的产品,如果不懂得如何去使用,发挥不了产品真正的优势,又与稻草有什么区别呢?很多用户在被病毒感染以后才想5起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新月异的病毒攻击呢?那么,如何将手中的稻草变成强大的武器,当危险临近时,能够主动出击,防患于未然呢?笔者认为,关键的问题在于对“对手”的了解。正如我们上面举过的例子,我们现在之所以对很多自然现象习以为常,是因为我们对其成因有了最基础的了解,这样才可能未雨绸缪,配合手中的工具,防患于未然。1.1计算机病毒的定义一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件)的代码,统称为计算机病毒。在1994年我国颁布实施的《中华人民共和国计算机系统安全保护条例》中,对计算机病毒有如下定义:“计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。1.2计算机病毒的产生与发展自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚,但是有一点可以肯定,即计算机病毒的发源地是科学最发达的美国。虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因,但也没有能够对此作出最后的定论,只能推测电脑病毒缘于以下几种原因:一、科幻小说的启发;二、恶作剧的产物;三、电脑游戏的产物;四、软件产权保护的结果.IT行业普遍认为,从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒,计算机病毒主要经历了如下发展阶段。DOS引导阶段:1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。6当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有石头2。DOS可执行阶段:1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为耶路撒冷,星期天病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。批处理型阶段:1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。幽灵、多形阶段:1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。生成器阶段:1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是病毒制造机VCL网络、蠕虫阶段:1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,蠕虫是典型的代表,它不占用除内存以外的任何资源,不修改磁7盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。Windows病毒阶段:1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。宏病毒阶段:1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。互连网阶段:1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。1.3计算机病毒的特性寄生性。计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。传染性。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪.潜伏性。有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。8隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。破坏性。计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。通常表现为:增、删、改、移。可触发性。病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。除了上述五点外,计算机病毒还具有不可预见性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带来了很大的难度。随着计算机应用的不断发展病毒又出现一些新的特性如:利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。1.5计算机病毒的分类按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:9(1)按病毒存在的媒体根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。(2)按病毒传染的方法根据病毒传染的方法可分为