详解计算机病毒与防治措施.docx
《详解计算机病毒与防治措施.docx》由会员分享,可在线阅读,更多相关《详解计算机病毒与防治措施.docx(20页珍藏版)》请在冰点文库上搜索。
详解计算机病毒与防治措施
详解计算机病毒及防治措施
中文摘要
随着计算机在社会生活中的各个领域中都广泛运用及网络技术的迅速发展,计算机网络给人们带来无穷尽得资源的同时,计算机病毒也严重地干扰了人们的社会生活,给计算机系统带来了巨大的破坏和威胁。
本文将从计算机病毒的特征、类型、防治以及安全方面进行分析和探讨。
关键词计算机;病毒;途径;防治;安全
Abstract
Alongwiththecomputerinthefieldsofsociallifeiswidelyusedandtherapiddevelopmentofnetworktechnology,computernetworktopeoplebringsendlessresourcesand,acomputervirusalsoseriouslyinterferewithpeople'ssociallife,tothecomputersystemcausedgreatdestructionandthreats.Thispaperfromthecomputerviruscharacteristics,types,prevention,andthesecurityanalysisanddiscussion.
Keywordscomputer;virus;way;prevention;safety
前言
随着因特网技术的发展,计算机病毒的定义也在进一步扩大化,一些带有恶意性质的特洛伊木马程序,黑客程序和蠕虫程序等从广义角度也被归入计算机病毒的范畴。
它直接影响着计算机的正常运行速度,破坏计算机的重要信息数据,对用户带来许多不必要的麻烦。
本文具体介绍了有关病毒的传播途径、病毒的攻破目标和攻击部位、以及如何处理与预防病毒等。
计算机病毒的危害日益俱增,使得越来越多的人关注它。
目录
中文摘要1
Abstract1
1计算机病毒概述4
2计算机病毒产生的背景以及发展史5
2.1计算机病毒产生的背景5
(1)计算机病毒是计算机犯罪的一种新的衍化形式5
(2)计算机软硬件产品的危弱性是根本的技术原因5
(3)微机的普及应用是计算机病毒产生的必要环境5
2.2计算机病毒发展史5
1981—1996年间7
3计算机病毒的特点14
4计算机病毒的传播途径及防治措施15
4.1计算机病毒的主要传播途径15
2.光盘15
3.硬盘15
4.BBS15
5.网络15
4.2计算机病毒的防范措施16
5计算机的病毒的检测与清除18
结论19
参考文献20
致谢21
1计算机病毒概述
计算机病毒是一个程序,一段可执行码。
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:
一个被污染的程序能够传送病毒载体。
当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。
若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。
一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。
另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。
还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。
当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。
这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。
它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的,有时一旦扩散出来后连编者自己也无法控制。
它已经不是一个简单的纯计算机学术问题,而是一个严重的社会问题了。
几年前,大多数类型的病毒主要地通过软盘传播,但是,因特网引入了新的病毒传送机制。
随着现在电子邮件被用作一个重要的企业通信工具,病毒就比以往任何时候都要扩展得快。
附着在电子邮件信息中的病毒,仅仅在几分钟内就可以侵染整个企业,让公司每年在生产损失和清除病毒开销上花费数百万美元。
今后任何时候病毒都不会很快地消失。
按美国国家计算机安全协会发布的统计资料,已有超过10,000种病毒被辨认出来,而且每个月都在又产生200种新型病毒。
为了安全,我们说大部分机构必须常规性地对付病毒的突然爆发。
没有一个使用多台计算机的机构,可以是对病毒免疫的。
2计算机病毒产生的背景以及发展史
2.1计算机病毒产生的背景
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。
不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。
是某些人恶作剧和报复心态在计算机应用领域的表现。
(2)计算机软硬件产品的危弱性是根本的技术原因
计算机是电子产品。
数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。
这些脆弱性就为病毒的侵入提供了方便。
(3)微机的普及应用是计算机病毒产生的必要环境
1981年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。
几年前计算机病毒就迅速蔓延,到我国才是近年来的事。
而这几年正是我国微型计算机普及应用热潮。
微机的广泛普及,操作系统简单明了,软、硬件透明度高,基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多,对其存在的缺点和易攻击处也了解的越来越清楚,不同的目的可以做出截然不同的选择。
目前,在IBMPC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
2.2计算机病毒发展史
萌芽时期,磁芯大战
五十年代末六十年代初,在著名的美国电话电报公司(AT&T)下设的贝尔实验室里,三个年轻的程序员:
道格拉斯、维索斯基和罗伯特?
莫里斯,在工作之余编制了一个叫“磁芯大战”(corewar)的游戏。
“磁芯大战”基本的玩法就是想办法通过复制自身来摆脱对方的控制并取得最终的胜利,这可谓病毒的第一个雏形。
虽然由于这种自我复制是在一个特定的受控环境下进行的,所以不能认为是真正意义上的病毒,但是这些软件的基本行为和后来的电脑病毒已经非常类似了。
六十年代晚期到七十年代早期:
这个时候是大型电脑的时代,就是那种占据了几个房间的大家伙。
在大型电脑时代,由于开发人员的错误或者是出于恶作剧的目的,一些程序员制作了被称为“兔子”的程序,他们在系统中分裂出替身,占用系统资源,影响正常的工作,但是这些“兔子”很少在系统之间相互拷贝。
这个时期,在一种型号的大型电脑—Univax1108系统上,首次出现了和现代病毒本质上是一样的东西,一个叫做“流浪的野兽”(PervadingAnimal)的程序可以将自己附着到其它程序的最后!
七十年代上半叶:
“爬行者”程序,出现在一种叫做泰尼克斯(Tenex)的操作系统上,这个程序可以通过网络进行传播(又一个伟大的进步,当然不是现在意义上的因特网,那个时代的网络就是一对一的,通过调制解调器—就是你上网用的“猫”,将一台电脑和另外一台相连接)。
一种叫做“清除者”(Reaper)的程序也被开发出来专门对付“爬行者”,这可能就是病毒和反病毒的第一次战争。
八十年代早期:
电脑已经在国外变得非常普遍了,出现了最早的独立程序员,他们在为公司工作的同时,出于兴趣的原因,写了很多游戏或者其他的小程序,这些程序可以通过电子公告板(BBS)自由的流传,窃取帐号和密码成了所有爱好者所梦寐以求的事情,也是体现他们在这个社区独特价值的最好机会,所以在这一时期诞生了无数的特洛伊木马(Trojanhorses),他们尽力将自己伪装得和真正的登录程序和提示程序一模一样,这样就可以骗取不明真相用户的密码了。
BBS电子公告板:
BBS(BulletinBoardServices)是Internet上的一种电于信息服务系统。
它提供一块公共电子白板,每个用户都可以在上面书写,可发布信息或提出看法。
大部分BBS由教育机构,研究机构或商业机构管理。
象日常生活中的黑板报一样,电子公告牌按不同的主题、分主题分成很多个布告栏,布告栏设立的依据是大多数BBS使用者的要求和喜好,使用者可以阅读他人关于某个主题的最新看法(几秒钟前别人刚发布过的观点),也可以将自己的想法毫无保留地贴到公告栏中。
同样地,别人对你的观点的回应也是很快的(有时候几秒钟后就可以看到别人对你的观点的看法)。
如果需要私下的交流,也可以将想说的话直接发到某个人的电子信箱中。
如果想与正在使用的某个人聊天,可以启动聊天程序加人闲谈者的行列,虽然谈话的双方素不相识,却可以亲近地交谈。
在BBS里,人们之间的交流打破了空间、时间的限制。
在与别人进行交往时,无须考虑自身的年龄、学历、知识、社会地位、财富、外貌、健康状况,而这些条件往往是人们在其他交流形式中无可回避的。
同样地,也无从知道交谈的对方的真实社会身份。
这样,参与BBS的人可以处于一个平等的位置与其他人进行任何问题的探讨。
这对于现有的所有其他交流方式来说是不可能的。
BBS连入方便,可以通过Internet登录,也可以通过电话网拨号登录。
BBS站往往是由一些有志于此道的爱好看建立,对所有人都免费开放。
而且,由于BBS的参与人众多,因此各方面的话题都不乏热心者。
可以说,在BBS上可以找到任何你感兴趣的话题。
在Internet没有广泛流行的时期,BBS基本上就是电脑网络的全部,人们利用BBS交流信息,发布程序,当然也包括传播病毒和木马程序。
1981—1996年间
在苹果机上,诞生了最早的引导区病毒——“埃尔科克隆者”(ElkClone)这个病毒将自己附着在磁盘的引导扇区上。
这个病毒有很强的表现欲望,再发作的时候,她会尽力引起你的注意,关掉显示器、让显示的文本闪烁或者显示一大堆乱七八糟的信息。
最早运行在IBMPC兼容机上的病毒“大脑”(Brain)开始流行。
这是一种感染360K软盘的病毒(不是我们现在使用的软盘,是很古老的5.25英寸的大盘,而且容量只有360K,现在在一些老型号的机器上还可以见到),由于所有的人对于电脑病毒都没有任何心理准备,所以这种病毒在制造出来之后,立刻在世界范围内迅速传播。
巴基斯坦的两兄弟:
巴斯特(Basit)和埃姆佳德(AmjadFarooqAlvi)制造了这个病毒,他们在病毒中留下一条信息,其中有他们的名字、地址甚至还有电话号码,我想现在不会有人这么干了,因为警察会在第二天就造访你留下的地址!
)。
根据作者的说法,他们是软件开发商,制作这个病毒的目的是为了检验一下盗版问题在巴基斯坦的严重程度,也就是说,如果你使用了他们开发XX的软件,其中可能就包括了这个病毒,考察这个病毒的流行程度就知道盗版问题的严重程度了。
遗憾的是病毒的蔓延远远超过了制造者的预计,这一病毒成为世界性的问题,也宣告了一个拥有病毒和反病毒软件的电脑时代的到来。
“大脑”病毒还首次使用了巧妙的手段来伪装自己,如果你想要查看被病毒感染的地方,她会提供一个完好无损的东西给你。
同样在1986年,一个名叫莱夫?
伯格(RalphBurger)的程序员发现可以写出这样的程序:
将自己复制之后然后加在一个DOS可执行程序的后面,在1986年12月,他首次发布了使用这一原理的病毒“VirDem”——“病毒魔鬼”?
这可以认为是DOS文件型病毒的起源。
在中国,这一年公安部成立了计算机病毒研究小组,并派出专业技术人员到中科院计算所和美国、欧洲进修、学习计算机安全技术。
这是电脑病毒技术飞速发展的一年,特别是DOS环境下的文件型病毒,在这一年得到了长足的进步。
“维也纳”(Vienna)病毒出现,这个病毒不是莱夫?
伯格编写的,但是他得到这个病毒之后,对它进行了分析,并在他出的书《计算机病毒:
高技术的瘟疫》中公布了分析的结果。
这本书使得病毒制造的技术变得大众化了,书中详细的阐述了如何制造病毒,以及一些病毒构造的思路,在书出版以后,成百上千的病毒被这本书的读者们制造出来。
在这一年中,更多的IBMPC兼容机上的病毒出现了,这里面比较著名的有:
“里海”(Lehigh),仅仅感染COMMAND.COM;“西瑞夫一号”(Suriv-1),又叫做”四月一号”感染所有的COM文件,“西瑞夫二号”(Suriv-2):
感染EXE文件,值得一提的是,这是首个感染EXE文件的病毒,还有“西瑞夫三号”(Suriv-3),首次既感染COM文件又感染EXE文件。
还有一些引导型病毒,比如出现在美国的“耶鲁”(Yale)病毒,新西兰的“石头”(Stoned)病毒和意大利的“乒乓”(PingPong)病毒。
另外,首次能够自我加密解密的病毒“小瀑布”(Cascade)也在这一年出现了。
这一年中,同样有一些非IBMPC兼容机上的病毒出现,比如在苹果机和土星机上的病毒。
1987年12月份,第一个网络病毒“圣诞树”(ChristmasTree)开始流行,这是一个使用REXX语言编写的病毒,在VM/CMS操作系统下传播。
12月9号,“圣诞树”首次在西柏林大学的内部网络出现,然后通过网关(连接网络和网络之间的一种装置)进入欧洲学术研究网络,随后采用同样的方式进入IBM公司的内部网络。
四天以后,由于不受节制的自我复制,整个网络充满了这个病毒的拷贝,从而造成了系统瘫痪。
“圣诞树”病毒在运行之后,在屏幕上显示一个圣诞树的图象,然后把自己拷贝到当前所有的网络用户的机器上。
REXX语言,一种脚本语言,类似于DOS环境下的批处理程序。
在IBM的操作系统中得到广泛的使用,是IBM版本的Unix—AIX环境下一种重要的开发工具。
1988年,13号星期五,一些国家的公司和大学遭到了“耶鲁撒冷”(Jerusalem)病毒的拜访。
在这一天,病毒摧毁了电脑上所有想要执行的文件。
从某种意义上,“耶路撒冷”病毒首次通过自己的破坏引起了人们对电脑病毒的关注。
从欧洲到美洲以及中东都有“耶路撒冷”病毒的报告,该病毒因攻击了耶路撒冷大学而得名。
在1988年,“耶路撒冷”、“小瀑布”、“石头”和“维也纳”病毒在人们没有注意的情况下感染了大量的电脑,这是因为当时反病毒软件远没有今天这么普遍,即使是电脑专家,也有很多人根本不相信电脑病毒的存在。
皮特.诺顿,著名的诺顿工具软件的开发者,就宣称电脑病毒是不存在的,象纽约下水道的鳄鱼一样荒谬(不过具有讽刺意味的是,诺顿的公司仍然在数年以后推出了自己的杀毒软件)。
同时,利用人们对电脑病毒的恐惧,大量有关电脑病毒的笑话和恶作剧开始流行。
最早一个恶作剧应该是麦克.罗齐埃里(MikeRoChenle)完成的,他在BBS上发布了一系列消息,描述了一种病毒可以在以2400波特率连线的时候,从一台机器复制到另外一台机器上。
这个玩笑使得大量BBS用户放弃比较快的2400波特率,而使用1200波特率连接到BBS上。
波特率:
上网速度的一种单位,每秒钟可以传送的数据的位数。
波特率为2400表示每秒钟可以传送2400位,我们常用的文件大小的单位是字节,一个字节是8位,这样把波特率除以8就得到每秒传送的字节数,波特率为2400意味着每秒钟可以传送300个字节。
现在一般通过猫上网的速度是56k,也就是波特率为56,000,除以8,我们就可以知道每秒钟传送的字节是7000字节,大概每秒钟7k左右,这是理想的速度,一般实际的传送速度会稍低于这个值,大概在每秒5-6k左右。
1988年11月:
在这个月里,发生了一起重大的事件,“莫里斯的蠕虫”(Morris‘sWorm),第一个因特网的病毒出现,该病毒在美国感染了超过6000台电脑(包括美国国家航空和航天局研究院的电脑),并使他们部分瘫痪,由于网络瘫痪造成的损失,预计超过9千6百万美元。
“莫里斯的蠕虫”利用了VAX和SUN公司开发的Unix系统上的漏洞,使自己可以繁殖和传播(关于莫里斯是有意利用了这一漏洞还是程序本身的错误还存在争议,但是我倾向于认为是程序员有意的行为,这种自我繁殖带给制造者的满足感可能是这个病毒的作者最根本的动机了)。
这一病毒同时还进行密码偷窃和权限修改等工作,可以认为这是最早木马类病毒的一次尝试。
1988年12月:
在DEC.Net上也出现了蠕虫病毒,这个病毒的名字叫“嗨.来吧”(HI.COM),病毒在屏幕上输出一个云杉的图像,并告诉用户他们“不要继续工作了,回家享受好时光吧!
”。
同样在这个时候,反病毒软件已经开始成熟了,所罗门公司的反病毒工具(DoctorsSolomon''''sAnti-virusToolkit)成为当时最强大的反病毒软件。
新病毒“数据罪犯”(Datacrime)、“弗曼楚”(FuManchu)出现,病毒家族也开始出现,比如说“杨基”(Yankee)病毒,这个病毒在荷兰和英国造成了极大的恐慌,因为从10月13号到12月31号,它会格式化硬盘,摧毁所有的数据。
1989年9月,IBM进入反病毒软件市场,推出了IBM反病毒软件。
1989年10月,DECNet上出现新的蠕虫病毒,“手淫蠕虫”(WANKWORM)。
1989年,大量的病毒流进俄罗斯,在这种情况下,俄罗斯的一些程序员开始开发自己的杀毒软件,著名的AVP软件(反病毒工具)在这一年首次发布。
1989年,引导型病毒“小球”和“石头”通过香港和美国进入中国内地,并在很少的一些大型企业和研究机构之间开始流行。
有报道的大陆第一起病毒报告来自西南铝加工厂,是“小球”病毒的感染报告。
1989年7月,公安部计算机管理监察局监察处病毒研究小组推出了中国最早的杀毒软件Kill版本6.0,这一版本可以检测和清除当时在国内出现的六种病毒。
KILL软件在随后的很长一段时间内一直由公安部免费发放。
这一年发生了一些重要的事情,首先是第一个多态病毒“变色龙”(Chameleon)出现(又叫做“V2P1”、“V2P2”和“V2P6”),在此之前,杀毒软件都是使用“带掩码的特征比较法”,将病毒的片段和一些预先采样的数据片段进行比较来判断一个文件是不是被病毒感染,当“变色龙”出现以后,杀毒软件不得不寻找新的方法来检测和发现病毒。
其次是“病毒制造工厂”(virusproductionfactory)的出现,保加利亚的程序员开发了这样一个可以用于开发病毒的工具软件,使得不计其数的新病毒在保加利亚被制造出来,包括了“马铃薯”(Murphy)、“野兽”(Beast)以及修改过的“埃迪”(Eddie)病毒。
有一个叫做“黑暗复仇者”(DarkAvenger)的家伙或者组织在这一年特别活跃,制造了很多病毒,它制造的病毒使用了一些新的算法进行感染,并且在系统中隐藏自己的行踪。
这一年同样是在保加利亚,第一个专门为病毒制造者而开的电子公告板建立了,这个电子公告板的主要任务就是进行病毒信息交流和病毒的交换。
在1990年7月,英国的一个电脑杂志:
“今日个人电脑”(PCToday)所附赠的软磁盘被名叫“磁盘杀手”(DiskKiller)的病毒感染,这份杂志售出了超过50,000份。
电脑病毒技术本身在这一年也得到了长足的发展,在1990年下半年,两个著名的病毒“费雷多”(Frodo)和“鲸”(Whale)出现,它们使用了一些非常复杂的方法来隐藏自己的存在,特别是大小为9K字节的“鲸”,使用了多级加密解密和反跟踪技术来隐藏自己。
1990年,中国,深圳华星公司推出基于硬件的反病毒系统——华星防病毒卡,迎合了当时人们对有形的卡的盲目崇拜,认为磁盘上的东西不值钱、不可靠,只有插在电脑里面的东西才值得花钱购买,取得不错的销售业绩。
电脑病毒的数量持续上升,在这一年已经增加到几百种,杀毒软件这一行业也日益活跃,两个重要的工具软件开发商:
“赛门铁克”(Symantec)和“中心点”(CentralPoint)公司推出了自己的杀毒软件。
实际上,这两家公司都是收购了早期很小的杀毒软件公司之后,将小公司的人员和产品一锅端,然后打上自己的品牌,从而进入这个市场的,这也是大公司进入新市场的一条主要途径。
“赛门铁克”公司以“诺顿”工具软件,最重要的是“诺顿磁盘医生”(NortonDiskDoctor)而知名,“中心点”公司以产品“个人电脑工具集”(PCTools)而知名。
1991年4月份,一次大规模的病毒事件爆发,这次的主角是一个能够同时感染文件和引导区的复合病毒“蒸馏酒”(Tequila),同年9月,采用了同样的原理,一个名叫“变形虫”(Amoeba)的病毒开始流行。
1991年夏天,“目录二代”(DIRII)病毒开始流行,和其他一些病毒不一样的是,“目录二代”病毒不存在于某个文件或者引导扇区中,他把自己分成小块,然后放在磁盘上的多个扇区中,运行的时候再进行组装和执行。
1991年11月:
中国瑞星公司成立,并推出瑞星防病毒卡。
在这一年,非IBMPC兼容机或者非DOS兼容的病毒基本上被遗忘了,网络上的漏洞得到了修补,错误被改正,大量的蠕虫病毒不再能够快速的复制和传播。
运行在微软DOS操作系统下的文件型、引导型以及文件/引导复合型病毒,随着DOS的广泛流行,变成电脑病毒故事里面的主角。
电脑病毒的数量以几何级数增长,几乎每天都会发生新的病毒感染事件,人们开发出各种各样的杀毒软件,大量书籍和杂志中出现关于电脑病毒的内容。
1992年早期,第一个多台病毒生成器“MtE”开发出来,病毒爱好者利用这个生成器生成了很多新的多态病毒,“Mte”也是随后很多多态病毒生成器的原型系统。
原型系统:
计算机科学中常见的一个术语,一般指首先实现了某种功能或者验证了某种概念的系统,原型系统一般比较简陋,功能比较单一而且不很完善,但是原型系统往往开创了一系列新的、完善系统的先例。
1992年3月:
“米开朗基罗”(Michelangelo)病毒和随之而来由反病毒软件厂商造成的歇斯底里是这个月的标志。
从某种意义上,这是第一个对病毒进行炒作并且获得成功的案例,反病毒软件厂商学会夸大病毒造成的威胁,不去实际告诉用户如何保护自己的数据,而是想方设法让他们把目光集中到自己的产品上,这一切的原因只有一个——利润。
一家美国公司声称3月6号,超过5百万台电脑上的数据将会被破坏,而实际上真正遭遇“米开朗基罗”病毒的电脑只有大概10,000台。
成功的炒作得到的效果就是很多家反病毒厂商的利润都增长了好几倍。
1992年7月:
第一个病毒构造工具集(virusconstructionsets),“病毒创建库”(VirusCreateLibrary)开发成功,这是一个非常著名的病毒制造工具,实际上,直到1999年,国内还有一些个人和组织利用这一工具制造病毒。
这个工具的成功同时还刺激了新的、更加强大和完善的病毒制造工具不断的被开发出来。
1992年晚期:
第一个视窗病毒开发成功,实际上,大量DOS环境下的病毒在视窗环境下仍然能够成功的运行,称这个病毒是第一个视窗病毒是因为该病毒首次对
升级会员 