(論文)計(jì)算機(jī)病毒與反病毒技術(shù)論文最新優(yōu)秀畢業(yè)論文資料搜集嘔血奉獻(xiàn)

計(jì)算機(jī)病毒與反病毒技術(shù) 摘要 提起計(jì)算機(jī)病毒，相信絕大多數(shù)用戶(hù)都不會(huì)陌生（即使那些沒(méi)有接觸過(guò)計(jì)算機(jī)的人大多也聽(tīng)說(shuō)過(guò)），有些用戶(hù)甚至還對(duì)計(jì)算機(jī)病毒有著切膚之痛。為此，本人特將有關(guān)計(jì)算機(jī)病毒的定義、起源、歷史、特征、傳播途徑、分類(lèi)、錯(cuò)誤認(rèn)識(shí)、防毒原則、解決病毒的辦法等內(nèi)容匯集成文，希望能對(duì)廣大用戶(hù)日常的反病毒操作有所幫助：關(guān)鍵詞： 計(jì)算機(jī)病毒的定義、起源、特征、傳播途徑、傳染的一般過(guò)程、分類(lèi)（木馬、蠕蟲(chóng)病毒、腳本病毒、宏病毒等）、防毒原則、解決病毒的辦法一 計(jì)算機(jī)病毒的定義 計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類(lèi)型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶(hù)傳送到另一個(gè)用戶(hù)時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。可以從不同角度給出計(jì)算機(jī)病毒的定義。一種定義是通過(guò)磁盤(pán)、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴(kuò)散,能“傳染” 其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過(guò)不同的途徑潛伏或寄生在存儲(chǔ)媒體（如磁盤(pán)、內(nèi)存）或程序里。當(dāng)某種條件或時(shí)機(jī)成熟時(shí),它會(huì)自生復(fù)制并傳播,使計(jì)算機(jī)的資源受到不同程序的破壞等等。所以, 計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里, 當(dāng)達(dá)到某種條件時(shí)即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。二 計(jì)算機(jī)病毒的起源 計(jì)算機(jī)病毒的來(lái)源多種多樣，有的是計(jì)算機(jī)工作人員或業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制造出來(lái)的，有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰，因?yàn)樗麄儼l(fā)現(xiàn)病毒比加密對(duì)付非法拷貝更有效且更有威脅，這種情況助長(zhǎng)了病毒的傳播。還有一種情況就是蓄意破壞，它分為個(gè)人行為和政府行為兩種。另外有的病毒還是用于研究或?qū)嶒?yàn)而設(shè)計(jì)的有用程序，由于某種原因失去控制擴(kuò)散出實(shí)驗(yàn)室或研究所，從而成為危害四方的計(jì)算機(jī)病毒。三 計(jì)算機(jī)病毒的特征 31 非授權(quán)可執(zhí)行性 用戶(hù)通常調(diào)用執(zhí)行一個(gè)程序時(shí),把系統(tǒng)控制交給這個(gè)程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運(yùn)行完成用戶(hù)的需求。因此程序執(zhí)行的過(guò)程對(duì)用戶(hù)是透明的。而計(jì)算機(jī)病毒是非法程序,正常用戶(hù)是不會(huì)明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計(jì)算機(jī)病毒具有正常程序的一切特性:可存儲(chǔ)性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當(dāng)用戶(hù)運(yùn)行正常程序時(shí),病毒伺機(jī)竊取到系統(tǒng)的控制權(quán),得以搶先運(yùn)行,然而此時(shí)用戶(hù)還認(rèn)為在執(zhí)行正常程序。 32 隱蔽性 計(jì)算機(jī)病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤(pán)引導(dǎo)扇區(qū)中,或者磁盤(pán)上標(biāo)為壞簇的扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可存儲(chǔ)性。病毒想方設(shè)法隱藏自身,就是為了防止用戶(hù)察覺(jué)。 33 傳染性 傳染性是計(jì)算機(jī)病毒最重要的特征,是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。病毒程序一旦侵入計(jì)算機(jī)系統(tǒng)就開(kāi)始搜索可以傳染的程序或者磁介質(zhì),然后通過(guò)自我復(fù)制迅速傳播。由于目前計(jì)算機(jī)網(wǎng)絡(luò)日益發(fā)達(dá),計(jì)算機(jī)病毒可以在極短的時(shí)間內(nèi),通過(guò)像 Internet這樣的網(wǎng)絡(luò)傳遍世界。 34 潛伏性 計(jì)算機(jī)病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱(chēng)之為計(jì)算機(jī)病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來(lái),然后在用戶(hù)不察覺(jué)的情況下進(jìn)行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時(shí)間也就越長(zhǎng),病毒傳染的范圍也越廣,其危害性也越大。 35 表現(xiàn)性或破壞性 無(wú)論何種病毒程序一旦侵入系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的運(yùn)行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤(pán)存儲(chǔ)空間以及系統(tǒng)運(yùn)行時(shí)間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運(yùn)行,還有一些病毒程序刪除文件,加密磁盤(pán)中的數(shù)據(jù),甚至摧毀整個(gè)系統(tǒng)和數(shù)據(jù),使之無(wú)法恢復(fù),造成無(wú)可挽回的損失。因此,病毒程序的副作用輕者降低系統(tǒng)工作效率,重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計(jì)者的真正意圖。 36 可觸發(fā)性 計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。滿(mǎn)足其觸發(fā)條件或者激活病毒的傳染機(jī)制,使之進(jìn)行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實(shí)質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計(jì)者的要求,在一定條件下實(shí)施攻擊。這個(gè)條件可以是敲入特定字符,使用特定文件,某個(gè)特定日期或特定時(shí)刻,或者是病毒內(nèi)置的計(jì)數(shù)器達(dá)到一定次數(shù)等。四 計(jì)算機(jī)病毒的傳播途徑 計(jì)算機(jī)病毒之所以稱(chēng)之為病毒是因?yàn)槠渚哂袀魅拘缘谋举|(zhì)。傳統(tǒng)渠道通常有以下幾種： 41通過(guò)軟盤(pán)： 通過(guò)使用外界被感染的軟盤(pán), 例如, 不同渠道來(lái)的系統(tǒng)盤(pán)、來(lái)歷不明的軟件、游戲盤(pán)等是最普遍的傳染途徑。由于使用帶有病毒的軟盤(pán), 使機(jī)器感染病毒發(fā)病, 并傳染給未被感染的“干凈”的軟盤(pán)。大量的軟盤(pán)交換, 合法或非法的程序拷貝, 不加控制地隨便在機(jī)器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。 42通過(guò)硬盤(pán)： 通過(guò)硬盤(pán)傳染也是重要的渠道, 由于帶有病毒機(jī)器移到其它地方使用、維修等, 將干凈的軟盤(pán)傳染并再擴(kuò)散。 43通過(guò)網(wǎng)絡(luò)： 這種傳染擴(kuò)散極快, 能在很短時(shí)間內(nèi)傳遍網(wǎng)絡(luò)上的機(jī)器。五 計(jì)算機(jī)病毒傳染的一般過(guò)程 在系統(tǒng)運(yùn)行時(shí), 病毒通過(guò)病毒載體即系統(tǒng)的外存儲(chǔ)器進(jìn)入系統(tǒng)的內(nèi)存儲(chǔ)器, 常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運(yùn)行, 當(dāng)它發(fā)現(xiàn)有攻擊的目標(biāo)存在并滿(mǎn)足條件時(shí), 便從內(nèi)存中將自身存入被攻擊的目標(biāo), 從而將病毒進(jìn)行傳播。而病毒利用系統(tǒng)INT 13H讀寫(xiě)磁盤(pán)的中斷又將其寫(xiě)入系統(tǒng)的外存儲(chǔ)器軟盤(pán)或硬盤(pán)中, 再感染其他系統(tǒng)。 下面舉幾個(gè)例子來(lái)說(shuō)明病毒傳染的一般過(guò)程 51 可執(zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件? 可執(zhí)行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時(shí)進(jìn)入內(nèi)存的。一旦進(jìn)入內(nèi)存, 便開(kāi)始監(jiān)視系統(tǒng)的運(yùn)行。當(dāng)它發(fā)現(xiàn)被傳染的目標(biāo)時(shí), 進(jìn)行如下操作： （1）首先對(duì)運(yùn)行的可執(zhí)行文件特定地址的標(biāo)識(shí)位信息進(jìn)行判斷是否已感染了病毒； （2）當(dāng)條件滿(mǎn)足, 利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間, 并存大磁盤(pán)中； （3）完成傳染后, 繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行, 試圖尋找新的攻擊目標(biāo)。 52 操作系統(tǒng)型病毒是怎樣進(jìn)行傳染的? 521 正常的PC DOS啟動(dòng)過(guò)程是： （1）加電開(kāi)機(jī)后進(jìn)入系統(tǒng)的檢測(cè)程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進(jìn)行檢測(cè)； （2）檢測(cè)正常后從系統(tǒng)盤(pán)0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導(dǎo)程序到內(nèi)存的0000: 7C00處； （3）轉(zhuǎn)入Boot執(zhí)行之； （4）Boot判斷是否為系統(tǒng)盤(pán), 如果不是系統(tǒng)盤(pán)則提示； non-system disk or disk error Replace and strike any key when ready 否則, 讀入IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件； （5）執(zhí)行IBM BIO.COM和IBM DOS.COM兩個(gè)隱含文件, 將COMMAND.COM裝入內(nèi)存； （6）系統(tǒng)正常運(yùn)行, DOS啟動(dòng)成功。 522 如果系統(tǒng)盤(pán)已感染了病毒, PC DOS的啟動(dòng)將是另一番景象, 其過(guò)程為： （1）將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處； （2）病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存, 監(jiān)視系統(tǒng)的運(yùn)行； （3）修改INT 13H中斷服務(wù)處理程序的入口地址, 使之指向病毒控制模塊并執(zhí)行之。因?yàn)槿魏我环N病毒要感染軟盤(pán)或者硬盤(pán), 都離不開(kāi)對(duì)磁盤(pán)的讀寫(xiě)操作, 修改INT 13H中斷服務(wù)程序的入口地址是一項(xiàng)少不了的操作； （4）病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處, 進(jìn)行正常的啟動(dòng)過(guò)程； （5）病毒程序伺機(jī)等待隨時(shí)準(zhǔn)備感染新的系統(tǒng)盤(pán)或非系統(tǒng)盤(pán)。 53 如果發(fā)現(xiàn)有可攻擊的對(duì)象, 病毒要進(jìn)行下列的工作： （1）將目標(biāo)盤(pán)的引導(dǎo)扇區(qū)讀入內(nèi)存, 對(duì)該盤(pán)進(jìn)行判別是否傳染了病毒； （2）當(dāng)滿(mǎn)足傳染條件時(shí), 則將病毒的全部或者一部分寫(xiě)入Boot區(qū), 把正常的磁盤(pán)的引導(dǎo)區(qū)程序?qū)懭氪疟P(pán)特寫(xiě)位置； （3）返回正常的INT 13H中斷服務(wù)處理程序, 完成了對(duì)目標(biāo)盤(pán)的傳染。六 計(jì)算機(jī)病毒的分類(lèi) 從第一個(gè)病毒出世以來(lái)，究竟世界上有多少種病毒，說(shuō)法不一。無(wú)論多少種，病毒的數(shù)量仍在不斷增加。據(jù)國(guó)外統(tǒng)計(jì)，計(jì)算機(jī)病毒以10種/周的速度遞增，另?yè)?jù)我國(guó)公安部統(tǒng)計(jì)，國(guó)內(nèi)以4 -6種/月的速度遞增。不過(guò)，孫悟空再厲害，也逃不過(guò)如來(lái)佛的手掌心，病毒再多，也逃不出下列種類(lèi)。病毒分類(lèi)是為了更好地了解它們。 61 木馬 611 在計(jì)算機(jī)領(lǐng)域中，它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。 所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆。 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊(cè)表，控制鼠標(biāo)，鍵盤(pán)等等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過(guò)木馬程序竊取的。 612 從木馬的發(fā)展來(lái)看，基本上可以分為兩個(gè)階段。 最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來(lái)執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。 而后隨著WINDOWS平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶(hù)界面的改善，使使用者不用懂太多的專(zhuān)業(yè)知識(shí)就可以熟練的操作木馬，相對(duì)的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對(duì)服務(wù)端的破壞也更大了。所以木馬發(fā)展到今天，已經(jīng)無(wú)所不用其極，一旦被木馬控制，你的電腦將毫無(wú)秘密可言。 62 蠕蟲(chóng)病毒 蠕蟲(chóng)病毒和一般的病毒有著很大的區(qū)別。對(duì)于蠕蟲(chóng)，現(xiàn)在還沒(méi)有一個(gè)成套的理論體系。一般認(rèn)為：蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合，等等。在產(chǎn)生的破壞性上，蠕蟲(chóng)病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲(chóng)可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！根據(jù)使用者情況將蠕蟲(chóng)病毒分為兩類(lèi)：一種是面向企業(yè)用戶(hù)和局域網(wǎng)而言，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)造成癱瘓性的后果。以“紅色代碼”、“尼姆達(dá)”以及最新的“SQL蠕蟲(chóng)王”為代表。另外一種是針對(duì)個(gè)人用戶(hù)的，通過(guò)網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁(yè)形式）迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒、求職信病毒為代表。在這兩類(lèi)蠕蟲(chóng)中，第一類(lèi)具有很大的主動(dòng)攻擊性，而且爆發(fā)也有一定的突然性，但相對(duì)來(lái)說(shuō)，查殺這種病毒并不是很難。第二種病毒的傳播方式比較復(fù)雜和多樣，少數(shù)利用了微軟的應(yīng)用程序的漏洞，更多的是利用社會(huì)工程學(xué)對(duì)用戶(hù)進(jìn)行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時(shí)也是很難根除的，比如求職信病毒，在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn)，但直到2002年底依然排在病毒危害排行榜的首位就是證明。 63 腳本病毒 腳本病毒通常是JavaScript代碼編寫(xiě)的惡意代碼， 一般帶有廣告性質(zhì)，會(huì)修改您的IE首頁(yè)、修改注冊(cè)表等信息，造成用戶(hù)使用計(jì)算機(jī)不方便。腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行的傳播的病毒，如紅色代碼（Script.Redlof）腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫(xiě)的），如歡樂(lè)時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 64 宏病毒 宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開(kāi)這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì) “感染”上這種宏病毒，而且如果其他用戶(hù)打開(kāi)了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。 如果某個(gè)文檔中包含了宏病毒，我們稱(chēng)此文檔感染了宏病毒；如果 WORD系統(tǒng)中的模板包含了宏病毒，我們稱(chēng)WORD系統(tǒng)感染了宏病毒。七 計(jì)算機(jī)病毒的防毒原則1. 不使用盜版或來(lái)歷不明的軟件，特別不能使用盜版的殺毒軟件。 2. 寫(xiě)保護(hù)所有系統(tǒng)盤(pán)，絕不把用戶(hù)數(shù)據(jù)寫(xiě)到系統(tǒng)盤(pán)上。 3. 安裝真正有效的防毒軟件，并經(jīng)常進(jìn)行升級(jí)。 4. 新購(gòu)買(mǎi)的電腦要在使用之前首先要進(jìn)行病毒檢查，以免機(jī)器帶毒。 5. 準(zhǔn)備一張干凈的系統(tǒng)引導(dǎo)盤(pán)，并將常用的工具軟件拷貝到該軟盤(pán)上，然后加以保存。此后一旦系統(tǒng)受病毒侵犯，我們就可以使用該盤(pán)引導(dǎo)系統(tǒng)，然后進(jìn)行檢查、殺毒等操作。 6. 對(duì)外來(lái)程序要使用盡可能多的查毒軟件進(jìn)行檢查（包括從硬盤(pán)、軟盤(pán)、局域網(wǎng)、Internet、Email中獲得的程序），未經(jīng)檢查的可執(zhí)行文件不能拷入硬盤(pán)，更不能使用。 7. 盡量不要使用軟盤(pán)啟動(dòng)計(jì)算機(jī)。 8. 一定要將硬盤(pán)引導(dǎo)區(qū)和主引導(dǎo)扇區(qū)備份下來(lái)，并經(jīng)常對(duì)重要數(shù)據(jù)進(jìn)行備份，防患于未然。 9. 隨時(shí)注意計(jì)算機(jī)的各種異?，F(xiàn)象（如速度變慢、出現(xiàn)奇怪的文件、文件尺寸發(fā)生變化、內(nèi)存減少等），一旦發(fā)現(xiàn)，應(yīng)立即用殺毒軟件仔細(xì)檢查。八 計(jì)算機(jī)病毒的解決辦法1. 在解毒之前，要先備份重要的數(shù)據(jù)文件。 2. 啟動(dòng)反病毒軟件，并對(duì)整個(gè)硬盤(pán)進(jìn)行掃描。 3. 發(fā)現(xiàn)病毒后，我們一般應(yīng)利用反病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將其刪除，然后重新安裝相應(yīng)的應(yīng)用程序。同時(shí)，我們還應(yīng)將病毒樣本送交反病毒軟件廠商的研究中心，以供詳細(xì)分析。 4. 某些病毒在Windows 98狀態(tài)下無(wú)法完全清除（如CIH病毒就是