计算机病毒的正确防御探讨毕业论文Word文件下载.docx

1、1.2 计算机病毒的特征（1）非授权可执行性 用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 （2）隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一

2、些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。（3）传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。（4）潜伏性 计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在

3、系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。（5）表现性或破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源（如占用内存空间,占用磁盘存储空间以及系统运行时间等）。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。（6）可触发性 计算机病毒一般都有一个或者几个触发条件。

4、满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等1.3 计算机病毒的结构（1）触发模块:该模块通过判断预定的触发条件是否满足来控制病毒的感染和破坏活动。 （2）感染模块:该模块通过判断预定的触发条件是否满足来控制病毒的感染和破坏活动,控制感染和破坏动作的频率,使病毒在隐藏状态下进行感染和破坏活动。 （3）破坏模块:该模块包括破坏（或表现）条件的判断部分,判断是否破坏,表现或何时

5、破坏 。 （4）主控模块:病毒运行时,首先运行的是病毒的主控模块。主控模块控制病毒的运行。 （5）感染标志:当病毒感染宿主程序时,要把感染标志写入宿主程序,作为该程序已被感染的标志1.4 计算机病毒的分类一、计算机病毒按破坏性分，可分为:良性病毒恶性病毒极恶性病毒灾难性病毒 二、按传染方式分 引导区型病毒,引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的主引导记录。 文件型病毒,文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。 混合型病毒,混合型病毒具有引导区型病毒和文件型病毒两者的特点。

6、宏病毒,宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。 三、按连接方式分 源码型病毒,它攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。 入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。 操作系统型病毒,操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。 外壳型病毒,外壳型病毒通常将自身附在正常程序的开头或结尾，相

7、当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。1.5 计算机病毒的入侵方式一、宏病毒宏病毒发作方式: 在Word打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，或直接删除文件等等。Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。防范措施:平时最好不要几个人共用一个Office程序，要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里，在用户打开邮件或预览邮件的时候执行，应该留意。一般的杀毒软件都可以清除宏病毒。二、CIH病毒发作破坏方式:主要是通过篡改主板BIOS里的数据，

8、造成电脑开机就黑屏，从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。已经有很多CIH免疫程序诞生了，包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒，但尚未发作，记得先备份硬盘分区表和引导区数据再进行查杀，以免杀毒失败造成硬盘无法自举。四、木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待

9、时机成熟就出来害人。用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。1.6 计算机病毒的传播 计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。 从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况；另一种情况, 有

10、的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等；还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。可见有条件时病毒能传染, 无条件时病毒也可以进行传染第二章 计算机病毒发展史2.1 计算机病毒的起源计算机病毒的发展，在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发

11、展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。它可划分为：一、 DOS引导阶段 1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播； 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”； 二、DOS可执行阶段 1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星

12、期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。 1990年,发展为复合型病毒,可感染COM和EXE文件。 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM，这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一

13、些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。2.2 计算机病毒的发展阶段1第一代病毒 第一代病毒的产生年限可以认为在1986-1989年之间，这一期间出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽.病毒的清除工作相对来说较容易。2第二代病毒第二代病毒又称为混合型病毒（又有人称之为“超级病毒”），其产生的年限可以认为在1989-1991年之间.3第三代病毒 第三代病毒的产生年限可以认为从1992年开始至1995年，此类病毒称为“多态

14、性”病毒或“自我变形”病毒， 是最近几年来出现的新型的计算机病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时， 放人宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的， 这是此类病毒的重要特点。正是由于这一特点，传统的利用特征码法检测病毒的产品不能检测出此类病毒。4第四代病毒 90年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制， 首先通过广域网传播至局域网内，再在局域网内传播扩散。1996年下半年随着国内Internet的大量普及，Email的使用，夹杂于 Email内的WOR

15、D宏病毒已成为当前病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂，加上微软对DOC文档结构没有公开，给直接基于文档结构清除宏病毒带来了诸多不便。从某种意义上来讲，微软Word Basic的公开性以及 DOC文档结构的封闭性，宏病毒对文档的破坏已经不仅仅属于普通病毒的概念，如果放任宏病毒泛滥，不采取强有力的彻底解决方法， 宏病毒对中国的信息产业将会产生不测的后果。 这一时期的病毒的最大特点是利用Internet作为其主要传播途径，因而，病毒传播快、隐蔽性强、破坏性大。此外， 随着Windows95的应用，出现了Windows环境下的病毒。这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。

16、诚然，计算机病毒的发展必然会促进计算机反病毒技术的发展，也就是说， 新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战， 致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样， 势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性，迫使人们在反病毒的技术和产品上进行新的更新和换代。到目前为止，反病毒技术已经成为了计算机安全的一种新兴的计算机产业或称反病毒工业。2.3 计算机病毒大事记1Elk Cloner（1982年） 它被看作攻击个人计算机的第一款全球病毒，也是所有令人头痛的安全问题先驱

17、者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上，可以被使用49次。在第50次使用的时候，它并不运行游戏，取而代之的是打开一个空白屏幕，并显示一首短诗。2Brain（1986年） Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒，可以感染360K软盘的病毒，该病毒会填充满软盘上未用的空间，而导致它不能再被使用。3Morris（1988年） Morris该病毒程序利用了系统存在的弱点进行入侵，Morris设计的最初的目的并不是搞破坏，而是用来测量网络的大小。但是，由于程序的循环没有处理好，计算机会不停地执行、复制Morris，最终导致死机。4CIH（1998年

18、） CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS，导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的，据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。5Melissa（1999年） Melissa是最早通过电子邮件传播的病毒之一，当用户打开一封电子邮件的附件，病毒会自动发送到用户通讯簿中的前50个地址，因此这个病毒在数小时之内传遍全球。6Love bug（2000年） Love bug也通过电子邮件附近传播，它利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和

19、范围让安全专家吃惊。在数小时之内，这个小小的计算机程序征服了全世界范围之内的计算机系统。7“红色代码”（2001年） 被认为是史上最昂贵的计算机病毒之一，这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。8“Nimda”（2001年） 尼姆达（Nimda）是历史上传播速度最快的病毒之一，在上线之后的22分钟之后就成为传播最广的病毒。9“冲击波”（2003年） 冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一

20、个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃。10“震荡波”（2004年） 震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重启。11“熊猫烧香”（2007年） 熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用。12“扫荡波”（2008年） 同冲击波和震荡波一样，也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件，大批用户关闭自动更新以后，这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。13“Conficker”（2008年） Conficker.C病毒原来要在2009年3月进行大量传播，然后在4月1日实施全球性攻击，引起全球性灾难。

21、不过，这种病毒实际上没有造成什么破坏。14“木马下载器”（2009年） 本年度的新病毒,中毒后会产生10002000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名（现在位居榜首） 15.“鬼影病毒”（2010年） 该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。16 .“极虎病毒”（2010年） 该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况：计算机进程中莫名其妙的有ping.exe 和rar.exe进程，并且cpu占用很高，风扇转的很响很频繁（手

22、提电脑），并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件，杀毒软件和安全类软件会被自动关闭，如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件，系统文件，感染系统文件，让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改，无法使用杀毒软件进行清理，一旦清理，系统将无法打开和正常运行，同时基于计算机和网络的帐户信息可能会被盗，如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等2.4 计算机病毒的发展趋势根据瑞星“云安全”系统统计，2010年1月1日至20日,云安全系统共截获了59万个新增病毒样本。通过对这些最新病毒的研究发现

23、，病毒制造者已经不再像以前那样追求与杀毒软件的对抗，试图结束或破坏杀毒软件后再进行盗号、破坏系统等目的，最新的病毒已经开始走向了一种更加“非主流”或更加“合法化”的技术，躲避杀毒软件的监控，一些病毒在杀毒软件的把守之下，堂而皇之的把病毒要干的那些事儿顺利完成。瑞星高级安全工程师唐威说，“这类病毒越来越多，从中我们也可以看出最新的病毒发展趋势。” 第三章 计算机病毒的危害3.1 计算机病毒编制者的目的计算机病毒编制者的目的是:1病毒激发对计算机数据信息的直接破坏作用2占用磁盘空间和对信息的破坏3抢占系统资源4影响计算机运行速度5计算机病毒错误与不可预见的危害6计算机病毒的兼容性对系统运行的影响7

24、计算机病毒给用户造成严重的心理压力.3.2 计算机病毒对计算机应用的影响1病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录 区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。 磁盘杀手病毒（D1SK KILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显 示“Warning! Dontturn off power or remove diskette while Disk Killer is Prosessing！” （警 告！D1SK KILLER

25、ll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒 软件修复，不要轻易放弃。2占用磁盘空间和对信息的破坏 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型 病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。 文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的 未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很 快，在短时间内感染大量文

26、件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。3抢占系统资源 除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病 毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内 存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激 发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。4影响计算机运行速度 病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：5计算机病毒错误与不可预见的

27、危害 计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、 物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机 病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。6计算机病毒的兼容性对系统运行的影响 兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对 运行条件“挑肥拣瘦”，要求机型和操作系统版本等。7计算机病毒给用户造成严重的心理压力 据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60以上。 经检测确实

28、存在病毒的约占70，另有30情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理 由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又 不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒 采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅 怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别 病毒而停机。3.3 计算机病毒造成的经济损失上个世纪80年代上半期，计算机病毒只是存在于实

29、验室中。尽管也有一些病毒传播了出去，但绝大多数都被研究人员严格地控制在了实验室中。随后，“大脑”（Brain）病毒出现了。1986年年初，人们发现了这种计算机病毒，它是第一个PC病毒，也是能够自我复制的软件，并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量，Brain的传播速度几乎是缓慢地爬行，但是无论如何，它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。下面就是这20年来计算机病毒发展的历史。1、CIH 估计损失：全球约2,000万8,000万美元，计算机的数据损失没有统计在内。CIH病毒1998年6月爆发于中国台湾，是公认的有史以来危险程度最高、破坏强度最大的病毒之一。感染与Windows 95/98/ME等操作系统的可执行文件，能够驻留在计算机内存中，并据此继续感染其他可执行文件。2、梅利莎（Melissa）损失估计：全球约3亿6亿美元,1999年3月26日，星期五，W97M/梅利莎登上了全球各地报纸的头版。估计数字显示，这个Word宏脚本病毒感染了全球15%20%的商用PC。病