浅析计算机病毒及防范措施-论文.doc

1、毕 业 论 文（设 计）课题名称： 浅析计算机病毒及防范措施 系 别： 计算机科学与技术 专 业： 计算机应用与维护 届 别： 2008级 指导教师： 学生姓名： 2008 年 4 月 10 日目 录第1章概述211计算机病毒的历史212计算机病毒213计算机病毒的产生3131计算机病毒是计算机犯罪的一种新的衍化形式3132计算机软硬件产品的微弱性是根本的技术原因3132计算机的普及应用是计算机病毒产生的必要环境314计算机病毒的基本特征3141非授权可执行性3142隐蔽性4143传染性4144潜伏性4145表现性或破坏性4146可触发性4第2章 计算机病毒传播和防护知识521计算机病毒的传播

2、途径522对计算机病毒攻击的防范523计算机的几种主要病毒6第3章 计算机病毒发展趋势和管理方法831计算机病毒的发展趁势8311我们将与病毒长久共存8312网络蠕虫病毒的发展8313变形病毒11314变形病毒的基本类型12315特洛伊木马与有害代码14 316病毒的种类数量15317寻找抗病毒的有效方法1732对计算机病毒攻击的防范的对策和方法19321对计算机病毒攻击的防范对策19322对计算机病毒的方法20致 谢21参考文献22浅析计算机病毒及防范措施【摘 要】：随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断发展。据报道，世界各国遭受计算机病毒感染和攻击的事件数

3、以亿计，严重地干扰了正常人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。在开放的网络环境下，计算机病毒的危害比以往要大得多，特别是近几年，通过互联网进行传播的病毒数量急剧增长，危害范围也不断扩大，由于计算机病毒带来的经济损失数量是巨大的。【关键字】：计算机病毒、防范措施第1章 概述1、1计算机病毒的历史1977年，Thomas j Ryan在科幻小说P-1的青春中幻想一种计算机病毒可以从一台计算机传染到另一台计算机，最终控制了7000台计算机。1983年美国计算机安全专家FredCohen博士在VAX-11上通过实验证明了计算机病毒的存在。1986年，巴基斯坦俩兄弟为追踪非法拷贝其

4、软件的人制造了“巴基斯坦”病毒，成了世界上公认的第一个传染PC兼容机的病毒，并且很快在全球流行。1988年，小球病毒传入我国，在几个月之内迅速传染了20多个省、市，成为我国第一个病毒案例。此后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷。1、2计算机病毒计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体 。当你看到病毒载体似乎仅仅

5、表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘和网络等作为媒介传播扩散，能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算

6、机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制，具有传染性。所以，计算机病毒就是能够通过某种途径潜伏在计算机储存介质（或程序）里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。1、3计算机病毒的产生1、3、1计算机病毒是计算机犯罪的一种新的衍化形式计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大，从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。1、3、2计算机软硬件产品的微弱性是根本的技术原因计算机是电子产品。数据从输入、储存、

7、处理、输出等环节，易误入，篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式,效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。1、3、3计算机的普及应用是计算机病毒产生的必要环境1983年11月3日美国计算机专家首次提出了计算机病毒的概念并惊醒了验证。几年前计算机病毒就迅速蔓延，到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多

8、, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBMPC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。1、4计算机病毒的基本特征1、4、1非授权可执行性用户通常调用执行一个程序时，把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执

9、行正常程序。1、4、2隐蔽性计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,以及一些空闲概率较大的扇区中,这是它的非法可储存性。病毒想方设法隐藏自身，就是为了防止用户察觉。1、4、3传染性传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像Internet这样的网络传遍世界。1、4、4潜伏性计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病

10、毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。1、4、5表现性或破坏性无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的表现性或破坏性体现了病毒设计

11、者的真正意图。1、4、6可触发性计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。第2章 计算机病毒传播和防护知识2、1计算机病毒的传播途径一、通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少，但破坏力却极强，目前尚没有交好的检测手段对付。二、通过移动存储设备来传播这些设备包括软盘、磁

12、带、U盘等。在移动存储设备中，软盘、U盘是使用最广泛移动最频繁的存储介质。目前，大多数计算机都是从这类途径感染病毒的。三、通过计算机网络进行传播。现代信息技术的巨大进步已使空间距离不再遥远，“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统， 国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时， 我们的病毒也在国际化。估计以后这种方式将成为第一传播途径。四、通过点对点通信系统和无线通道传播。目前，这种传播途径还不是十分广泛，但预计在未来的信息时代，这种途径很可能与网络传播途径成为病毒扩散的

13、两大“时尚渠道”。2、2对计算机病毒攻击的防范简而言之，病毒防治的关键是：把好入口关。防治工具杀毒软件（病毒卡及其防火墙），如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等反病毒软件。根据计算机病毒的工作原理，我们可以找到防治它们的方法。首先，因为许多病毒程序都需要修改中断向量表，以便在出现某种中断请求时激活病毒，所以，通过检查中断向量表是否异常就可以发现病毒程序的存在及其入口地址。然后就可以对它进行剖析和进行针对性的防治。其次，由于多数病毒潜伏在磁盘的引导扇区内，利用计算机启动过程进入内存，因此，保持和恢复DOS盘引导扇区的正确性十分重要。对于健康的磁盘必须加上“写

14、保护”。对于有病毒的磁盘，利用DOS命令中“SYS”系统传送命令可以简单地加以治愈。当然；有病毒的DOS盘也必须完成正常的引导过程，所以必定要把正常的引导扇区保存在磁盘的某个地方，找到这个地址，把引导扇区调回原处，磁盘的病毒也就解除了。另外，由于有病毒的磁盘都存在一定的标记便于病毒程序识别，利用这个特点，我们可以给健康的磁盘也打上这样的标记，以欺骗病毒程序使它误以为已经进行过传染工作而不再进行感染，相当于使磁盘具有了“免疫功能”。总之，针对病毒的工作原理，可以编制出各种防治病毒程序。计算机病毒攻击与防御手段是不断发展的，要在计算机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟

15、踪研究，这需要每一个反病毒工作者及爱好正义的人们为此付出孜孜不倦的努力。2、3计算机的几种主要病毒计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。在最近几年，又产生了以下几种主要病毒：（1）“美丽杀手”（Melissa）病毒。这种病毒是专门针对微软电子邮件服务器MS Exchange和电子邮件收发软件0utlookExpress的Word宏病毒，是一种拒绝服务的攻击

16、型病毒，能够影响计算机运行微软word97、word2000和0utlook。这种病毒是一种Word文档附件，由E-mall携带传播扩散。由于这种病毒能够自我复制，一旦用户打开这个附件，“美丽杀手”病毒就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送，从而过载E-mai1服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数，据计算，如果“美丽杀手”病毒能够按照理论上的速度传播，只需要繁殖 5次就可以让全世界所有的网络用户都都收到一份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器，而是使用户的非常敏感和核心的机密信息在不经意间通过电子邮件的反

17、复传播和扩散而被泄漏出去，连扩散到了什么地方可能都不得而知。据外电报道，在北约对南联盟发动的战争行动中，证实“美丽杀手”病毒己使 5万部电脑主机和几十万部电脑陷于瘫痪而无法工作，网络被空数据包阻塞，迫使许多用户关机避灾。（2）“怕怕”（Papa）病毒。“怕怕”病毒是另一种Excel宏病毒，它能够绕开网络管理人员设置的保护措施进入计算机。这种病毒与“美丽杀手”病毒相类似，其区别在于“怕怕”病毒不但能象“美丽杀手”病毒一样迅速传播，拒绝服务和阻塞网络，而且更为严重的是它能使整个网络瘫痪，使被它感染的文件所具有的宏病毒预警功能丧失作用。（3）“疯牛”（MadCow）和“怕怕B”病毒。这俩种病毒分别是

18、“美丽杀手”和“怕怕”病毒的新的变型病毒。正当美国紧急动员起来对付3月26日发现的“美丽杀手”和“怕怕”病毒时，在欧洲又出现了它们的新变种“美丽杀手B”（又叫作“疯牛”）和“怕怕B”，目前正横扫欧洲大陆，造成大规模破坏，而且还正在向全世界扩散蔓延。 虽然这两种病毒变种的病毒代码不同，可能不是一个人所编写，但是，它们同样也是通过发送Word和Excel文件而传播。每次被激活后， 这种病毒就会向用户电子邮件簿的前60个地址发送垃圾邮件；它还可以向一个外部网站发送网络请求，占用大量的带宽而阻滞网络的工作，其危害性比原型病毒有过之而无不及。（4）“幸福1999”宏病毒。这是一种比“美丽杀手”的破坏作用

19、小得多病毒。“幸福1999”病毒会改变计算机中的微软公司Windows程序与Internet网工作。这种病毒还发送一个执行文件，激活焰火显示，使屏幕碎裂。（5）“咻咻”（Ping）轰击病毒。“咻咻”轰击病毒的英文单词是“分组Internet 搜索者”的缩写，指的是将一个分组信息发送到服务器并等待其响应的过程，这是用户用以确定一个系统是否在Internet网上运行的一种方法。据外电报道，运用“咻咻”（Ping）轰击病毒，发送大量的“咻咻”空数据包，使服务器过载，不能对其它用户做出响应。第3章 计算机病毒发展趋势和管理方法3、1计算机病毒的发展趋势3、1、1我们将与病毒长久共存人类进入了信息社会创

20、造了智能机器(电子计算机)， 同时也创造了机器(电子计算机)病毒，福祸同降。 人类在信息社会更容易与机器(电子计算机)融为一个整体，可是，破坏这个整体的一个方面将是机器病毒(计算机病毒)，人类同时在与生物病毒作斗争时又要与机器病毒作斗争，这是人类在方便自己时也在为难自己。从一九八三年计算机病毒首次被确认以来，并没有引起人们的重视。直到一九八七年计算机病毒才开使受到世界范围内的普遍重视。我国于一九八九年在计算机界发现病毒。至今，全世界已发现近数万种病毒，并且还在高速度的增加。由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。而且，病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展

21、。同时，病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫病毒传播更快更广，Windows病毒更加复杂，带有黑客性质的病毒和特络依木马等有害代码大量涌现。下面按病毒先后出现的顺序，简要例举部分病毒的特性就可看出其发展。3、1、2网络蠕虫病毒的发展最早的网络蠕虫病毒作者是美国的小莫里思，他编写的蠕虫病毒是在美国军方的局域网内活动，但是，必需事先获取局域网的权限和口令。世界性的一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒，当你在

22、网上向外发出信件时，HAPPY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标出，到了1月1日，收件人一执行，便会在屏幕上不断暴发出绚丽多彩的礼花，机器就不在干什么了。1999年3月欧美暴发了“美丽杀”网络蠕虫宏病毒，欧美最大的一些网站频频遭受到堵塞，造成巨大经济损失。2000年至今，是网络蠕虫开始大闹互联网的发展期。2000年，在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒，又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏，造成了比“美丽杀”病毒破坏还大的经济损失。目前，该病毒以有十多种变种产生，不断的到处破坏。2001年后，有更多的网络

23、蠕虫出现。I_WORM.NAVIDAD网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序（如爱虫、美丽公园等），该网络蠕虫程序具有较大的迷惑性：用户通过OUTLOOK EXPRESS 收到的是一封来自你曾经发送过的人的回复信件，内容与您发送的完全一致，邮件的主题、邮件的正文都一样，只是增加了一个电子邮件的附件，该附件的文件名称是：NAVIDAD.EXE文件，文件的大小是：32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的OUTLOOK EXPRESS邮件系统下自动传播，它会自动地给您的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。由于病毒修改

24、该注册表项目的文件名称的错误，WINDOWS系统在启动，读取可执行EXE文件时，会因为找不到WINSVRC.EXE文件而不能正常启动WINDOWS系统。I_WORM.Blebla.B网络蠕虫。该病毒是通过电子邮件的附件来发送的，文件的名称是：xromeo.exe 和xjuliet.chm，该蠕虫程序的名称由此而来。当用户在使用OE阅读信件时，这两个附件自动被保存、运行。 当运行了该附件后， 该蠕虫程序将自身发送给OUTLOOK地址薄里的每一个人，并将信息发送给p.virus 新闻组。该蠕虫程序是以一个EMAIL附件的形式发送的，信件的主体是以HTML语言写成的，并且含有两个附件：xromeo.

25、exe及xjuliet.chm.收件人本身看不见什么邮件的内容。该蠕虫程序的危害性还表现在它还能修改注册表一些项目，使得一些文件的执行，必须依赖该蠕虫程序生成的在WINDOWS目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单的将蠕虫程序删除掉,而必需先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。I_WORM/EMANUEL网络蠕虫。该病毒通过MICROSOFT的OUTLOOK EXPRESS来自动传播给受感染计算机的地址薄里的所有人，给每人发送一封带有该附件的邮件。该网络蠕虫长度16,896-22000字节，有多个变种。在用户执行该附件后，该网络蠕虫程序在系

26、统状态区域的时钟旁边放置一个“花”一样的图标，如果用户点击该花图标，会出现一个消息框,大意是不要按此按钮.如果按了该按钮的话,会出现一个以Emmanuel为标题的信息框, 当您关闭该信息框时又会出现一些别的:诸如上帝保佑您的提示信息。还有一个网络蠕虫I-Worm/Hybris的最明显的特征是, 当您打开带有该网络蠕虫程序的附件时, 您的计算机的屏幕就会被一个始终位于最上方的图象所覆盖,该图象是活动的、转动的、黑白相见的螺旋状的圆形图形。该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统OUTLOOK来传播的, 同样是修改WINDOWS系统下的主管电子邮件收发的文件wsock

27、32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身，而且发送的文件的名称是变化的。该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块（插件），分别潜藏计算机内的不同位置，以便躲避查毒软件。该病毒具有将这些碎块聚合成一个完整的病毒，再进行传播和破坏。早在1997年王江民先生在计算机病毒的发展趋势与对抗手段一文中就有一段话预言会有这种病毒出现。I_WORM/HTML.Little Davinia网络蠕虫。这是一个破坏性极大的网络蠕虫，可以清除硬盘上的所有数据，它利用WORD2000的漏洞、EMAIL等来传播。该网络蠕虫程序是复合型的, 是HT

28、ML（网页语言）形式的、VBS文件结构、带有宏的网络蠕虫程序。该病毒还能修改系统的注册表，一旦修改注册表成功，该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件，采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字，被损坏的文件很难修复！I_WORM.MTX网络蠕虫病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊，它没有主题、正文，只有一个附件文件，附件的文件名是变化的。I_WORM.AnnaKournikova网络蠕虫程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是：AnnaKournikova.jpg.vbs（俄罗斯体育选手的名称命名的文件名称），它是一个VBS程序文件。当邮件用户不小心执行了该附件，那么该网络蠕虫程序会给OUTLOOK地址薄里的所有人发送一份该网络蠕虫程序，邮件的附件文件名称：AnnaKournikova.jpg.vbs（俄罗斯网球女明星的图片文件）该网络蠕虫程序的长度是2853字节左右。如果机器的日期是1月26日的话，该网络蠕虫程序会自动将您指向一个位于荷兰的计算机商店的网络地址。该网络蠕虫程序会给所有地址薄里的所有用户发送网络蠕虫程序