计算机病毒防御探讨.docx
《计算机病毒防御探讨.docx》由会员分享,可在线阅读,更多相关《计算机病毒防御探讨.docx(27页珍藏版)》请在冰点文库上搜索。
计算机病毒防御探讨
甘肃政法学院
本科学年论文(设计)
题目计算机病毒的正确防御探讨
计算机科学学院计算机科学与技术专业2010级本科班
学号:
姓名:
指导教师:
成绩:
完成时间:
2012年11月
计算机病毒的正确防御探讨
摘要:
随着计算机技术的普及与发展,计算机病毒的危害程度也越来越严重,计算机病毒防范如今成为了计算机网络信息安全领域中最为重要的课题之一,计算机也出现了智能化的趋势。
通过反代码分析、欺骗、隐身以及暴力对抗等方式展开反围剿的行动,因此病毒与反病毒的斗争将更为激烈。
关键词:
计算机病毒;危害;防御
StudyonProperDefendantofComputerUiruses
Abstract:
Withthepopularizationanddevelopmentofcomputertechnologycomputervirusesharmwillbemoreandmoreserious.Now,computerviruspreventionhasbecomeoneofthemostimportantissuesinareaofcomputernetworkinformationsecurity.Computervirusesalsotrendtoanintelligentanalysisbytheanti-codedeceptionandviolenceagainstthestealthwayofanti-siegeoperations,soitwillbemoreintensebetweenthefightviralandanti-virus.
KeyWords:
computertechnology;computervirus;computervirusdefense
目录
第一章引言1
1.1计算机病毒的历史及产生1
1.1.1计算机病毒的产生1
1.1.2病毒的历史1
第二章概述2
2.1了解计算机病毒2
2.1.1计算机病毒的特点2
2.1.2计算机病毒的分类2
2.2计算机病毒的危害3
2.2.1病毒出现可能引发的异常现象3
2.2.2计算机病毒的发展前景4
2.3计算机病毒的防御及清除4
2.3.1计算机病毒入侵的方法及分类4
2.3.2防御计算机病毒的十大必知步骤5
2.3.3常见病毒类型的防范与清除6
2.3.4VBS脚本病毒原理分析及防范8
2.3.5电脑客户端的防御步骤11
2.3.6宽带用户防范病毒入侵的对策11
2.3.7恶意网站病毒的分析以及修复12
2.3.8几种常见病毒的清除方法16
致谢19
参考文献20
计算机病毒的正确防御探讨
第一章引言
1.1计算机病毒的历史及产生
1.1.1计算机病毒的产生
1.某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧,凭借对软硬件的深入了解,编制这些特殊的程序。
这些程序通过载体传播出去后,在一定条件下被触发。
如显示一些动画,播放一段音乐,或提一些智力问答题目等,其目的无非是自我表现一下。
这类病毒一般都是良性的,不会有破坏操作。
2.每个人都处于社会环境中,但总有人对社会不满或受到不公正的待遇。
如果这种情况发生在一个编程高手身上,那么他有可能会编制一些危险的程序。
在国外有这样的事例:
某公司职员在职期间编制了一段代码隐藏在其公司的系统中,一旦检测到他的名字在工资报表中删除,该程序立即发作,破坏整个系统。
类似案例在国内亦出现过。
3.计算机发展初期,由于在法律上对于软件版权保护还没有像今天这样完善。
很多商业软件被非法复制,有些开发商为了保护自己的利益制作了一些特殊程序,附在产品中。
如:
巴基斯坦病毒,其制作者是为了追踪那些非法拷贝他们产品的用户。
用于这种目的的病毒目前已不多见。
1.1.2病毒的历史
自从1946年第一台冯·诺依曼型计算机ENIAC出世以来,计算机已被应用到人类社会的各个领域。
然而,1988年发生在美国的"蠕虫病毒"事件,给计算机技术的发展罩上了一层阴影。
蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。
虽然并无恶意,但在当时,"蠕虫"在INTERNET上大肆传染,使得数千台连网的计算机停止运行,并造成巨额损失,成为一时的舆论焦点。
在国内,最初引起人们注意的病毒是80年代末出现的"黑色星期五","米氏病毒","小球病毒"等。
因当时软件种类不多,用户之间的软件交流较为频繁且反病毒软件并不普及,造成病毒的广泛流行。
后来出现的word宏病毒及win95下的CIH病毒,使人们对病毒的认识更加深了一步。
最初对病毒理论的构思可追溯到科幻小说。
在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机病毒。
第二章概述
2.1了解计算机病毒
2.1.1计算机病毒的特点
繁殖性:
计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行的时候,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。
传染性:
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。
潜伏性:
有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。
触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
隐蔽性:
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
破坏性:
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。
通常表现为:
增、删、改、移。
可触发性:
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。
为了隐蔽自己,病毒必须潜伏,少做动作。
如果完全不动,一直潜伏病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。
病毒的触发机制就是用来控制。
病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。
病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
2.1.2计算机病毒的分类
引导型病毒:
引导型病毒是一种感染系统引导区的病毒。
引导型病毒利用操作系统的引导模块物理位置固定的特点,抢占据该物理位置,获得系统控制权,而将真正的引导区内容转移或替换,待病毒程序执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。
文件型病毒:
文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
蠕虫病毒:
蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如:
不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。
蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。
宏病毒:
宏病毒是利用软件所支持的宏命令而编写的具有复制、传染和破坏功能的宏程序,它通常寄存在文档或模板的宏中。
2.2计算机病毒的危害
2.2.1病毒出现可能引发的异常现象
一、破坏磁盘的引导区:
引导型病毒利用自身的强复制性,对磁盘的引导扇区进行大量的破坏,对于引导区所在的磁盘进行更改,这样就对原有引导区的数据形成了非常严重的危害,对正常的数据通道形成破坏。
二、抢占系统资源:
除了少数病毒如VIENNACASPER之外,目前的绝大多数病毒都是通过在硬盘中长期存在实现自身存活的病毒的存在,对系统内存的影响是非常巨大的,这是由于病毒所占用的系统空间和病毒的长度有关,而当病毒爆发的时候,对正在运行的CPU将会造成严重的影响,从而实现对系统正常运行的干扰病毒为了实现自身的传播,会进行大量的自我复制,之后通过对中断点的更改实现自我发送。
三、影响计算机运行速度:
(1)由于病毒的爆发是在某些触发条件被满足的前提下进行的,所以病毒为了实现自身的随时激活,会对计算机系统进行长期的监视,这就对系统的正常运行产生了严重的负担。
(2)病毒需要通过在磁盘上以静态加密数据的状态保持,随时处于动态加密状态,这样CPU在每一次运行病毒的时候,都被强制地对代码进行二次解密,这样就增加了大量的CPU指令,系统的正常运行受到严重的干扰。
(3)病毒的传染需进行一定的非法访问,同样需要大量的内存作为支持计算机病毒对系统兼容性的影响兼容性对计算机的整体性能存在非常大的影响,是对计算机整体性能评估的重要数据之一而病毒的存在,对计算机在不同环境下的运行,不可能做出正确的测试,所以病毒自身的兼容性非常差而病毒大多是带有强制性的,这就导致了很多软件都会被动地退出,严重的时候甚至会导致死机。
2.2.2计算机病毒的发展前景
最近攻击的成功表明,在组织的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。
最近病毒爆发的传播速度令人担忧,软件行业检测、识别和传送可保护系统免受攻击的防病毒工具的速度无法跟上病毒的传播速度。
最新形式的恶意软件所表现的技术也更加先进,使得最近的病毒爆发可以躲避检测而进行传播。
这些技术包括:
•社会工程。
许多攻击试图看上去好像来自系统管理员或官方服务,这样就增加了最终用户执行它们从而感染系统的可能性。
•后门创建。
最近大部分的病毒爆发都试图对已感染系统打开某种形式的XX访问,这样黑客可以反复访问这些系统。
反复访问用于在协调的拒绝服务攻击中将系统用作"僵尸进程",然后使用新的恶意软件感染这些系统,或者用于运行黑客希望运行的任何代码。
•电子邮件窃取。
恶意软件程序使用从受感染系统中获取的电子邮件地址,将其自身转发到其他受害者,并且恶意软件编写者也可能会收集这些地址。
然后,恶意软件编写者可以使用这些地址发送新的恶意软件变形体,通过它们与其他恶意软件编写者交换工具或病毒源代码,或者将它们发送给希望使用这些地址制造垃圾邮件的其他人。
•嵌入的电子邮件引擎。
电子邮件是恶意软件传播的主要方式。
现在,许多形式的恶意软件都嵌入电子邮件引擎,以使恶意代码能更快地传播,并减少创建容易被检测出的异常活动的可能性。
非法的大量邮件程序现在利用感染系统的后门,以便利用这些机会来使用此类电子邮件引擎。
由此可以相信,去年制造的大部分垃圾邮件都是通过这种受感染系统发送的。
•利用产品漏洞。
恶意软件更经常利用产品漏洞进行传播,这可使恶意代码传播得更快。
•利用新的Internet技术。
当新的Internet工具面世之后,恶意软件编写者会快速检查这些工具,以确定如何利用它们。
目前,即时消息传递和对等(P2P)网络在这种作用力下已经成为攻击媒介。
2.3计算机病毒的防御及清除
2.3.1计算机病毒入侵的方法及分类
要真正地识别病毒,及时的查杀病毒,我们还有必要对病毒有一番较详细的了解,而且越详细越好!
病毒因为由众多分散的个人或组织单独编写,也没有一个标准去衡量、去划分,所以病毒的分类可按多个角度大体去分。
如按其入侵的方式来分为以下几种:
1.源代码嵌入攻击型:
从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。
当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。
2.代码取代攻击型:
这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。
3.系统修改型:
这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。
4.外壳附加型:
这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。
目前大多数文件型的病毒属于这一类。
2.3.2防御计算机病毒的十大必知步骤
1.用常识进行判断:
决不打开来历不明邮件的附件或你并未预期接到的附件。
对看来可疑的邮件附件要自觉不予打开。
2.安装防病毒产品并保证更新最新的病毒定义码:
建议你至少每周更新一次病毒定义码,因为防病毒软件只有最新才最有效。
3.首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描:
当你首次在计算机上安装防病毒软件时,一定要花费些时间对机器做一次彻底的病毒扫描,以确保它尚未受过病毒感染。
4.插入软盘、光盘和其他可插拔介质前,一定对它们进行病毒扫描:
确保你的计算机对插入的软盘、光盘和其他的可插拔介质,及对电子邮件和互联网文件都会做自动的病毒检查。
5.不要从任何不可靠的渠道下载任何软件:
这一点比较难于做到,因为通常我们无法判断什么是不可靠的渠道。
比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染,但是提供软件下载的网站实在太多了,我们无法肯定它们一定都采取了防病毒的措施,所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
6.警惕欺骗性的病毒:
如果你收到一封来自朋友的邮件,声称有一个最具杀伤力的新病毒,并让你将这封警告性质的邮件转发给你所有认识的人,这十有八九是欺骗性的病毒,建议你访问防病毒软件供应商。
7.使用其它形式的文档,如.rtf(RichTextFormat)和.pdf(PortableDocumentFormat):
常见的宏病毒使用MicrosoftOffice的程序传播,减少使用这些文件类型的机会将降低病毒感染风险。
尝试用RichText存储文件,这并不表明仅在文件名称中用.rtf后缀,而是要在MicrosoftWord中,用“另存为”指令,在对话框中选择RichText形式存储。
尽管RichTextFormat依然可能含有内嵌的对象,但它本身不支持VisualBasicMacros或Jscript。
而pdf文件不仅是跨平台的,而且更为安全。
8.不要用共享的软盘安装软件,或者更为糟糕的是复制共享的软盘:
这是导致病毒从一台机器传播到另一台机器的方式。
同时,该软件没有注册也会被认为是非正版软件,而我们基本可以较为合理地推断,复制非法软件的人一般对版权法和合法使用软件并不在乎,同样,他们对安装和维护足够的病毒防护措施也不会太在意。
盗版软件是病毒传染的最主要渠道。
9.禁用WindowsScriptingHost:
WindowsScriptingHost(WSH)运行各种类型的文本,但基本都是VBScript或Jscript。
换句话说,WindowsScriptingHost在文本语言之间充当翻译的角色,该语言可能支持ActiveXScripting界面,包括VBScript,Jscript或Perl,及所有Windows的功能,包括访问文件夹、文件快捷方式、网络接入和Windows注册等。
10.使用基于客户端的防火墙或过滤措施:
如果你使用互联网,特别是使用宽带,并总是在线,那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。
如果你的系统没有加设有效防护,你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。
2.3.3常见病毒类型的防范与清除
大家知道.bat是DOS批处理命令文件,我们可以用记事本编辑添加一些命令,运行它以后系统就会自动逐条执行命令。
所以一些危险的命令就会被某些有心人写进批处理文件中去,在网上四处传播搞破坏。
类似的,在.hlp(帮助文件)、.pif(指向DOS的快捷方式)、.lnk(WINDOWS快捷方式)这些文件中也可以写入危险的命令,如果不小心执行了那就危险了。
防范以上调用DOS命令进行破坏的文件,被动的做法是通过将format、deltree这类命令改名换姓。
HTML网页文件对大家来说再熟悉不过了,HTML本身没有危害的,但HTML有一个调用外部对象的脚本运行的功能,可以调用能够读写其它文件的外部对象,所以也就被居心不良者利用,把带有恶意有脚本嵌入HTML中,当你打开包含有这类脚本和ActiveX控件的网页时,HTML应用文件中的可执行程序就会自动运行,接下来就是……所以有时当IE提示“该页上某些软件可能不安全,建议不要运行”,最好不要点“确定”。
但是像.VBS、.JS这类脚本文件病毒就更毒、更狠了,因为它们在破坏过程中几乎无声无息,运行它们时没有任何提示。
去年风光一时“爱虫”属于此类病毒,最近大名鼎鼎的“HAPPYTIME”甚至只要用鼠标移动到它的邮件名上,IE的预览功能就可激活此病毒,像这样的文件还有.wsc、.wsf、.vbe、.jse,它们有一个共同点就是用Wscript.exe来执行,也就是WINDOWS的“批处理”——Windowsscriptinghost。
防范此类病毒的方法就是将Windowsscriptinghost卸载掉,具体方法是:
我的电脑→控制面板→添加/删除程序→安装WINDOWS→附件→详细资料→Windowsscriptinghost→确定。
其实还有一种方法更简单,依次键入下面两段命令:
regsvr32/uwshom.ocx回车、regsvr32/uwshext.dll回车,就可以把注册表中.wsh对象的注册值删掉。
这样那些必须依靠对象运行的病毒就因为找不着对象而无法运行下去。
另外,这些病毒基本都是利用Outlook来散播的,它们往往会自动往地址簿中的EMAIL地址发送以自已为附件的邮件。
所以我们也可以把Outlook提供给外部脚本调用的接口对象给禁掉,具体作法是:
regsvr32/umsoe.dll。
如果要恢复使用,只要在以上的命令中去掉/u再运行一次即可。
在此,建议您在浏览一些不熟悉的网站时最好把IE的安全级别设为高级,把ActiveX控件和插件关闭,将Activescripting屏蔽掉。
方法是:
运行IE→工具→Internet选项→安全→自定义级别,对所有ActiveX相关选项选“禁用”,对所有JS脚本也选择“禁用”选项。
对于来历不明的邮件,特别是含有附件的邮件不要轻易打开,更不要执行附件里面的文件。
安装网络防火墙也是非常必要的(特别是拔号上网用户),至少可以在你的电脑和网络之间筑起一道防线。
再有,平时还要打开杀毒软件的实时监控以防止病毒感染和破坏;对于经常下载软件的下载狂,每次下载完一定要用几种杀毒软件轮流查一遍,在确保无毒的情况,再用木马查杀软件如TheCleaner、木马克星等查上一遍,然后方可执行。
最后,就是要及时更新这些软件的病毒库,否则,对新病毒、新木马的防御几乎等于零。
除了覆盖型的文件型病毒之外,其他感染COM型和EXE型的文件型病毒都可以被清除干净。
因为病毒是在保持原文件功能的基础上进行传染的,既然病毒能在内存中恢复被感染文件的代码并予以执行,则也可以依照病毒的方法进行传染的逆过程----将病毒清除出被感染文件,并保持其原来的功能。
对覆盖型的文件则只能将其彻底删除,没有挽救原来文件的余地了。
如果已中毒的文件有备份的话,当然是把备份的文件拷贝回去就可以了,如果没有的话就比较麻烦了。
执行文件若加上免疫疫苗的话,遇到病毒的时候,程序可以自行复原;如果文件没有加上任何防护的话,就只能靠解毒软件来解,不过用解毒软件来解毒不保证能够完全复原,有可能会越解越遭,杀完毒之后文件反而不能执行。
因此,用户必须靠自己平日勤备份自己的资料。
由于某些病毒会破坏系统数据,如目录和文件分配表FAT,因此在清除完计算机病毒之后,系统要进行维护工作,所以说病毒的清除工作与系统的维护工作往往是分不开的。
2.3.4VBS脚本病毒原理分析及防范
以爱虫和新欢乐时光病毒为典型代表的VBS脚本病毒十分的猖獗,很重要的一个原因就是其编写简单。
下面我们就来逐一对VBS脚本病毒的各个方面加以分析:
VBS病毒是用VBScript编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。
应该说病毒就是一种思想,但是这种思想在用VBS实现时变得极其容易。
VBS脚本病毒具有如下几个特点:
编写简单、破坏力大、感染力强、传播范围大、病毒源码容易被获取、欺骗性强以及使得病毒生产机实现起来非常容易。
正因为以上几个特点,脚本病毒发展异常迅猛,特别是病毒生产机的出现,使得生成新型脚本病毒变得非常容易。
2.3.4.1VBS脚本病毒的感染
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而爱虫病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,VBS作为后缀。
下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理,以下是文件感染的部分关键代码:
Setfso=createobject("scripting.filesystemobject")'创建一个文件系统对象
setself=fso.opentextfile(wscript.scriptfullname,1)'读打开当前文件(即病毒本身)
vbscopy=self.readall '读取病毒全部代码到字符串变量vbscopy……
setap=fso.opentextfile(目标文件.path,2,true)'写打开目标文件,准备写入病毒代码
ap.writevbscopy '将病毒代码覆盖目标文件
ap.close
setcop=fso.getfile(目标文件.path)'得到目标文件路径
cop.copy(目标文件.path&".vbs") '创建另外一个病毒文件(以.vbs为后缀)
目标文件.delete(true) '删除目标文件
上面描述了病毒文件是如何感染正常文件的:
首先将病毒自身代码赋给字符串变量vbscopy,然后将这个字符串覆盖写到目标文件,并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本,最后删除目标文件。
下面我们具体分析一下文件搜索代码:
'该函数主要用来寻找满足条件的文件,并生成对应文件的一个病毒副本
subscan(folder_) 'scan函数定义,
onerrorresumenext '如果出现错误,直接跳过,防止弹出错误窗口
setfolder_=fso.getfolder(folder_)
setfiles=fold
升级会员 