欢乐时光病毒检测工具的实现论文.docx
《欢乐时光病毒检测工具的实现论文.docx》由会员分享,可在线阅读,更多相关《欢乐时光病毒检测工具的实现论文.docx(29页珍藏版)》请在冰点文库上搜索。
欢乐时光病毒检测工具的实现论文
“欢乐时光”病毒检测工具的实现
摘要
病毒检测是计算机安全领域的重要技术之一,是反病毒技术的核心。
利用病毒检测技术便于发现计算机系统是否受到安全威胁,同时也可以及时通告用户做好病毒防范措施。
本论文从计算机病毒及其检测的基本理论出发,对经典的欢乐时光脚本病毒的特点进行分析,提出了预防脚本病毒的主要方法,得出了对欢乐时光脚本病毒有效的检测方法,最后用VC++设计实现了一个对该病毒的检测工具,该病毒检测工具采用匹配病毒感染标识的检测方法,在遍历文件的同时对文件进行检测。
同时该检测工具也具有清理相关注册表项及限制使用次数等功能。
该病毒检测工具能够准确地检测到计算机系统中被欢乐时光脚本病毒所感染的文件并删除病毒脚本。
关键词:
计算机安全;欢乐时光脚本病毒;病毒检测;病毒感染标识的匹配;遍历文件夹
TheImplementationofHappyTimeVirusDetectionSoftware
Abstract
Virusdetectionisoneofthemostsignificanttechnologiesincomputersecurityfieldaswellasthecoretechnologyinanti-virussoftware.Withthetechnologyofvirusdetection,itisusefultodiscoverwhetheracomputersystemissafeornot.Simultaneously,itcouldalsoinformuserstodosomepreventivemeasureforviruspromptly.Basedonthebasicconceptandtheoryofcomputervirusandvirusdetection,aclassicalvirus,theHappyTimescriptvirus,iswellanalyzedfirst.Afterthat,itpointsoutthemainmethodsofscriptvirusprevention.ThentheeffectivemethodtodetectHappyTimescriptvirusisconcluded.FinallyavirusdetectionsoftwareforHappyTimevirusisdesignedandrealizedwithVC++.Thevirusdetectionsoftwareisdesignedtodetectavirusbymatchingthesignstringofaviruswhiletraversingthefiles.Thefunctionsofcleaninguprelativeregistryandlimitingthetimesofusingarealsoavailableinthesoftware.ThisvirusdetectionsoftwarecanaccuratelydetectthefilesinfectedbythescriptofHappyTimevirusinthecomputersystemanddeletetheviralscript.
Keywords:
Computersecurity;HappyTimescriptvirus;Virusdetection;Matchingthesignstringofavirus;Traversingfiles
目录
论文总页数:
22页
1引言1
2计算机病毒与病毒检测技术概述1
2.1计算机病毒概述1
2.2病毒检测概念及其发展历史4
2.3病毒检测的发展趋势5
2.4论文结构概述6
3需求分析7
3.1功能需求7
3.2运行环境7
4欢乐时光脚本病毒及其检测7
4.1VBS脚本病毒介绍7
4.2欢乐时光脚本病毒8
4.2.1欢乐时光病毒部分关键代码分析8
4.2.2欢乐时光病毒主要特点11
4.3利用匹配病毒感染标识方法检测病毒11
5设计与实现12
5.1总体设计思想12
5.2遍历文件的实现12
5.3扫描文件的实现15
5.4软件使用次数限制实现15
5.5软件功能简介17
6检测工具的测试19
结论20
参考文献20
致谢21
声明22
1引言
随着计算机技术的飞速发展,计算机应用日趋深入普及,逐步渗透到人类生活的各个方面,为社会发展做出了巨大的贡献。
然而,科学技术都是在自身的矛盾中发展的,计算机技术的提高和计算机应用的普及使人们忽略了潜在的不安全因素,致使计算机的安全运行受到了病毒的严重威胁。
有效地防范计算机病毒已成为计算机、互联网应用中迫切需要解决的突出问题。
互联网的现状和未来的发展决定了研究计算机病毒和病毒检测技术的重大意义。
随着互联网的飞速发展,计算机病毒技术也在迅速发展。
研究计算机病毒及反病毒相关技术可深入了解病毒及其相关原理,针对不同种类,不同性质的病毒采取不同的措施加以检测及防范,最大程度减少病毒的存在及传播,同时进一步加深对网络安全的认识和提高网络安全的意识。
2计算机病毒与病毒检测技术概述
2.1计算机病毒概述
计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒是“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
1.计算机病毒具有以下几个特点:
(1)寄生性
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2)传染性
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
(3)潜伏性
有些病毒发作时间是预先设计好的。
比如黑色星期五病毒,不到预定时间一般觉察不出来,等到条件具备的时候再暴发进而对系统进行破坏。
(4)隐蔽性
计算机病毒具有很强的隐蔽性,有的可以通过病毒检测软件检查出来,有的很难检测出来,有的则时隐时现、变化无常,因此处理起来通常很困难。
2.计算机病毒的表现形式
计算机受到病毒感染后,会表现出不同的症状,常见的要有:
(1)机器不能正常启动
通电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长。
(2)运行速度降低
如果发现在运行某个程序时,读取数据的时间比原来长,存取文件的时间都增加了,那就可能是由于病毒造成的。
(3)磁盘空间迅速变小
由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为0。
(4)文件内容和长度有所改变
一个文件存入磁盘后,它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。
有时文件内容无法显示或显示后又消失了。
(5)经常出现“死机”现象
正常的操作是不会造成死机现象的。
如果机器经常死机,那可能是由于系统被病毒感染了。
(6)外部设备工作异常
因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况。
3.计算机病毒的种类
计算机病毒根据感染形态大致可分为以下几种:
(1)引导型病毒:
引导型病毒是病毒把自身的程序代码存放在硬盘的引导扇区中。
由于计算机的启动机制,使得病毒可以在每次开机,操作系统还没有引导之前就被加载到内存中,这个特性使得病毒可以对计算机进行完全的控制,并拥有更大的能力进行传染和破坏。
绝大多数引导型病毒有极强的传染性和破坏性,通常会格式化硬盘、修改文件分配表等,一旦发作,计算机的数据通常会全部丢失。
(2)文件型病毒:
文件型病毒通常把病毒程序代码自身放在系统的可执行文件(如:
*.COM、*.EXE、*.DLL等)中。
当这些文件被执行时,病毒的程序也就被执行。
文件型病毒依传染方式的不同,分为非常驻型以及常驻内存型两种。
非常驻型病毒是将病毒程序自身放置于*.COM、*.EXE或是*.SYS的文件中,当这些中毒的程序被执行时,就会尝试把病毒程序传染给另一个或多个文件。
该类病毒只在感染病毒的程序被调用执行时,传染给其它程序,病毒本身并不常驻内存;常驻内存型病毒躲在内存中,一旦常驻内存型病毒进入了内存,只要有可执行文件被执行,就可以对其进行感染。
(3)复合型病毒:
复合型病毒具备引导型病毒和文件型病毒的特性,可以传染*.COM、*.EXE、*.DLL文件,也可以感染磁盘的引导扇区。
由于这个特性,使得这种病毒具有很强的传染力。
(4)变型病毒:
这一类病毒使用一个复杂的算法,使自己每传播一次都具有不同的内容和长度。
一般的做法是:
病毒由一段混有无关指令的解码算法和被变化过的病毒体组成。
病毒之所以要进行自身代码的变化,主要原因是为了躲避杀毒软件的清除。
(5)宏病毒:
宏病毒主要利用微软Office软件Word、Excel本身有宏命令的功能而写的一种病毒。
所谓的宏,就是一段脚本程序,由于Word、Excel等软件在处理文档时,为了使程序更智能化地按人的意愿工作,允许在Word中加入VisualBasicScript(以下为VBS)程序,这给宏病毒提供了滋生的条件,宏病毒就是用这些VBS程序编写的程序。
(6)网页病毒:
网页病毒主要利用系统软件的安全漏洞,通过执行嵌入在网页HTML语言内的VBS脚本程序、JavaScript脚本程序等可自动执行的程序,强行修改操作系统的注册表和系统配置,或非法控制系统资源,盗取用户文件。
这种非法恶意程序能够自动执行,它完全不受用户的控制。
一旦浏览含有该病毒的网页,便会被病毒感染,它会给系统带来不同程度的破坏。
轻则消耗系统资源,使系统运行速度缓慢,直至重启;重则删除硬盘数据,甚至格式化硬盘。
网页病毒发作通常有两种表现形式:
一种是修改浏览器和注册表的各种设置,比如:
IE的默认首页被修改,标题栏被添加非法信息,注册表被禁止打开等。
另一种则是恶性结果,比如:
开机出现对话框,格式化硬盘,全方位侵害封杀系统,最后导致瘫痪崩溃,非法读取或盗取用户文件等。
网页病毒的预防通常是先打上IE补丁。
接下来有两种方法:
一是利用IE自身的设置进行预防,使浏览器自身不执行网页上的脚本程序,或屏蔽某些恶性网站。
在IE6的internet选项的“常规”选项卡中,先选中某一网站区域,再点击“自定义级别”即可对IE6浏览器能执行的脚本程序进行限制。
要注意的是:
禁用IE的JS、VBS等脚本程序的运行后,很多网页特效就没办法显示了;另一种办法,就是使用病毒防火墙,或者直接用第三方IE保护软件来保护。
(7)“蠕虫”型病毒:
顾名思义,计算机蠕虫指的是某些恶性程序代码,会从一台计算机传播到另外一台计算机进行感染。
一般来说蠕虫能感染文件,对自身进行复制,消耗系统资源。
在互联网环境下,蠕虫病毒变得非常猖獗,它靠复制自己来传播,如果不对蠕虫的传播渠道进行控制(如操作系统的漏洞、文件共享的权限等),即使不执行任何外来文件,也会被感染。
现在的病毒一般都是既能够感染文件,又可以通过E-mail、共享文件夹、HTML代码、寻找漏洞获得写权限传播病毒。
2.2病毒检测概念及其发展历史
在与病毒的对抗中,及早发现病毒很重要。
早发现,早处理,可以减少损失。
检测病毒的最主要的方法有:
特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
1.特征代码法
特征代码法是检测已知病毒的最简单、开销最小的方法。
它的实现是采集已知病毒样本。
病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。
如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:
检测准确快速、可识别病毒的名称、误报警率低。
其缺点是:
(1)速度慢。
随着病毒种类的增多,检索时间变长。
如果检索5000种病毒,必须对5000种病毒特征代码逐一检查。
如果病毒种数再增加,检病毒的时间开销就变得十分可观。
此类工具检测的高速性,将变得日益困难。
(2)不能检查多形性病毒。
特征代码法是不可能检测多态性病毒的。
国外专家认为多态性病毒是病毒特征代码法的索命者。
(3)不能对付隐蔽性病毒。
如果隐蔽性病毒先进驻内存,病毒检测工具后运行,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的"好文件",而不能报警,被隐蔽性病毒所蒙骗。
2.校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。
在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
但是,它不能识别病毒类,不能报出病毒名称。
由于文件内容改变并不一定是由于病毒引起的,而有可能是正常程序引起的,所以校验和法常常误报警。
而且此种方法也会影响文件的运行速度。
校验和法的优点是:
方法简单能发现未知病毒、被查文件的细微变化也能发现。
其缺点是:
发布通行记录正常态的校验和、会误报警、不能识别病毒名称。
3、行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。
通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
在正常程序中,这些行为比较罕见。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的优点:
可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的缺点:
可能误报警、不能识别病毒名称、实现时有一定难度。
4、软件模拟法
软件模拟扫描技术专门用来处理某种病毒,这种病毒在每次传染时,都以不同的随机数加密于每个中毒的文件中,传统病毒特征码比对的方式根本就无法找到这种病毒。
软件模拟技术则是成功地模拟CPU执行,在其设计的虚拟机器(VirtualMachine)下假执行病毒的变体引擎解码程序,安全并确实地将多型体病毒解开,使其显露原本的面目,再加以扫描。
2.3病毒检测的发展趋势
未来的可能的反病毒技术:
虚拟现实。
只要技术足够成熟,完全有可能出现类似人工智能的反病毒技术。
而未来反病毒的疑难之一就是永远无法写出一个完美的程序来检测和清除病毒。
病毒同样能辨识和分析反毒程序,并对自身重新编程;而反毒程序可能同样地要对病毒进行探测,再进行自编程。
病毒与反毒程序的角逐就变成了自编程能力的实现。
可以考虑用这种方式:
人工进入计算网络世界的方法来查杀病毒。
人有足够的智能和经验积累来完成对病毒的检测和杀除,而这就只剩下建立人与计算机之间的通信的问题了。
目前的虚拟现实技术重点放在了对人与人的自然界交流方式——“感官”的计算机描述的实现上,它如同人们所有的知觉都最终传感给大脑,大脑对这种传感做出一种体验上的描述,从而形成知觉意识。
如果计算机将二进制代码流表述成脑电波的流信息,并通过神经传感给大脑,则完全可以描述并引导、控制人的一切思维。
简单地说,人的思维与计算机语言存在了这样一个通用的接口。
这种理论如果得以实现,则虚拟现实技术将进入新的发展领域。
虽然从理论上讲是不可能在对病毒未知的情况下对其做出精确判断从而预防,但是在实际应用中,经过反病毒专家多年的统计、分析、研究积累的经验,完全有可能以概率方式对病毒危险进行一种分级制测定并对其使用反病毒程序,在相当程度上达到较精确地防御未知病毒的侵入。
未来反病毒产品的特点:
防杀兼备、万能恢复。
从技术的数学模型上来说,过去、现在、将来的反病毒软件都不可能有任何理论上的超越,即无法跨越不可判定性的鸿沟,特征码也好,启发式虚拟机也好,或者兼而有之,相互配合,暂时不会有新的突破。
那么,具体到反病毒技术的产品,也基本上离不开这些模式。
当然,即使是从工程学的角度上来说,在相同的技术起点上如何构筑出实现方式和最终效果完全不同的实用产品,仍然是一个永无止境的追求。
从手工查杀病毒,到早期散兵游勇式的查杀病毒,到与Internet技术接轨,直至今天担负起防杀兼备、万能恢复的第三代反病毒软件,反病毒技术在与病毒的斗争中不断进步,不断诞生各种为计算机用户解忧去患的反病毒产品。
从早期的防病毒卡、手动查杀的dos版软件,到在线监控实时查杀的病毒防火墙,安全专家认为,真正的安全仅有查毒和杀毒是不够的,因为在电脑世界中,永远有捉摸不定的元素。
除去泛滥的病毒,系统的漏洞、硬件或软件的冲突、人为的误操作、利用特洛伊木马恶意进攻、电脑本身的不稳定性、黑客袭击等形形色色的安全威胁不胜枚举。
所以,一个好的安全软件,仅仅能查毒杀毒是不够的,必须把备份与灾难恢复相结合起来。
用户对于病毒的恐惧,并不是来自它的能够自我复制,尽管这才是病毒之所以成为病毒的根本,担心害怕的是病毒侵入并且发作,结果造成的大大小小的无可挽回的损失。
这种客观的迫切的需要,成为新形势对反病毒技术和产品提出的最高要求。
于是,第三代反病毒软件必须要做到突破单一查毒杀毒的局限性,针对用户经常面临急需数据抢修、系统恢复等难题,不仅可以杀灭入侵病毒、击溃来犯黑客、消灭有害数据,还有智能灾难恢复、全息数据救援、维护系统正常运行的全面保障信息安全的功能。
我们期望有一种针对恶性病毒发作时可能实施的破坏行为的截获、阻止装置,对所有带有危险级别的、可能影响系统运行和信息资料安全的操作加以禁止,对一个将要执行的操作进行安全性判断。
不难预料,这种在线式的以危险行为监控为特征的反病毒技术和产品也一定会出现,配合以前的第一代、第二代、第三代反病毒技术,实现更高意义上的更加可靠的信息安全。
2.4论文结构概述
本论文主要包括五个方面:
第一部分首先分析了计算机与网络安全的现状,着重分析了常见的几种计算机病毒的特点以及病毒带来的安全威胁。
第二部分主要介绍了病毒检测技术的历史及发展,介绍了当前病毒检测的主要方法。
第三部为需求分析。
第四部分分首先主要介绍了VBS脚本病毒及其特点,在此基础上进一步分析了欢乐时光脚本病毒的源代码;通过分析进而得出欢乐时光病毒的原理及其特点,然后介绍了计算机在感染该病毒后的症状表现。
第五部分介绍了该病毒检测工具的总体设计思路,以及通过程序代码介绍了实现遍历文件、扫描文件匹配病毒感染标识、软件使用次数限制的设计与实现以及对该病毒检测工具的使用做了简要介绍。
3需求分析
3.1功能需求
欢乐时光脚本病毒具有很强的传播性和破坏性,是脚本病毒的典型代表。
欢乐时光脚本病毒被激活后会感染系统内html、htm和asp等文件,将病毒脚本写入文件,创建相关注册表项以配合病毒的感染和传播。
本设计需分析设计并实现一个专门检测欢乐时光脚本病毒的检测工具。
主要需实现的功能有:
1.可以检测系统是否被欢乐时光病毒感染,在检测到文件被其感染时能自动弹出提示框进行报警提示;
2.清除被感染文件中的病毒脚本且不能更改正常文件;
3.需提供全盘检测和指定路径检测两种方式;
4.可以清理被病毒修改的相关注册表项;
5.需要有使用次数限制的功能,在每次使用时提示还可以使用的次数。
本软件应能在Windows操作系统下运行,还需有使用方便,界面简洁友好等特性。
3.2运行环境
由于欢乐时光脚本病毒主要感染的系统为Windows操作系统,并且可以利用微软的OutlookExpress进行传播,导致更多的以Windows作为操作系统的主机被感染。
因此该病毒检测工具应该运行在Windows操作系统上。
4欢乐时光脚本病毒及其检测
4.1VBS脚本病毒介绍
脚本病毒以文本格式存在,可以用文本编辑器打开并编辑。
VBScript这种脚本语言功能非常强大,利用Windows系统的开放性,可以直接对文件系统、注册表等进行控制,功能强大。
VBS脚本病毒主要有以下特点:
(1)破坏力大。
表现在对用户系统文件及性能的破坏和使邮件服务器崩溃,网络发生严重阻塞。
(2)感染力强。
由于脚本是直接解释执行,因此这类病毒可以直接通过自我复制的方式感染其他同类文件,并且自我的异常处理变得非常容易。
(3)传播范围大。
这类病毒通过html文档,Email附件或其它方式,可以在很短时间内传遍世界各地。
(4)病毒源码容易被获取,变种多。
由于VBS病毒解释执行,其源代码可读性非常强,因此变种比较多以至于很多杀毒软件无能为力。
(5)欺骗性强。
脚本病毒为了得到运行机会,往往会采用各种让用户不大注意的手段,譬如,邮件的附件名采用双后缀,如.txt.vbs,由于系统默认不显示后缀,因此在计算机系统里就只显示出.txt,因此,人们很容易认为这是一文本文件而轻易地运行。
正因为以上几个特点,脚本病毒发展异常迅猛,使得生成新型脚本病毒变得非常容易。
4.2欢乐时光脚本病毒
4.2.1欢乐时光病毒部分关键代码分析
脚本病毒的代表作欢乐时光病毒VBS.Happytime是一个专门感染html、htm、htt、asp、vbs文件的脚本类病毒。
该病毒采用VBScript语言编写,将病毒脚本内嵌至上述文件中。
它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。
病毒脚本的部分关键代码如下:
RemIamsorry!
happytime
OnErrorResumeNext
mload
以上为病毒入口,并加上Iamsorry!
happytime,以表明此文件已被感染过。
这也是病毒名称的由来。
SetOd=CreateObject("Scripting.Dictionary")
创建Dictionary对象,即一个数组,用来保存数据键和项目对。
Od.Add"html","1100"
Od.Add"vbs","0100"
Od.Add"htm","1100"
Od.Add"asp","0010"
向Dictionary对象添加要感染的项目对,即感染文件类型。
Key=CInt(Month(Date)+Day(Date))
IfKey=13Then
如果月与日之和为13
Od.RemoveAll
Od.Add"exe","0001"
Od.Add"dll","0001"
就清空Dictionary数组,并将exe、dll加入Dictionary对象,以备删除之用。
Cn=Rg(Ks&"Help\Count")
读注册表中的HKEY_CURRENT_USER\Software\Help\Count键值。
IfCn=""Then
Cn=1
如果Count为0,就设为1。
EndIf
RwKs&"Help\Count",Cn+1
添加HKEY_CURRENT_USER\Software\Help\Count键值,记录感染文件的个数,作为病毒触发条件之一。
f1=Rg(Ks&"Help\FileName")
升级会员 