計(jì)算機(jī)病毒解析與防范.doc

. 題 目： 計(jì)算機(jī)病毒解析與防范 .摘 要計(jì)算機(jī)病毒被喻為21世紀(jì)計(jì)算機(jī)犯罪的五大手段之一,并排序?yàn)榈诙?。?jì)算機(jī)病毒的攻擊性,在于它能夠破壞各種程序并蔓延于應(yīng)用領(lǐng)域。目前世界上上億用戶受著計(jì)算機(jī)病毒的困擾,有些還陷入極度的恐慌之中。事實(shí)上人們產(chǎn)生上述不安的原因,在與對(duì)計(jì)算機(jī)病毒的誤解,廣大計(jì)算機(jī)用戶有必要對(duì)計(jì)算機(jī)病毒的一些知識(shí)有一個(gè)比較明確的認(rèn)識(shí)和全面的科學(xué)態(tài)度。關(guān)鍵詞: 計(jì)算機(jī)病毒 病毒的困擾 病毒的誤解 病毒的認(rèn)識(shí)目 錄1 緒論12 計(jì)算機(jī)病毒的概述22.1 計(jì)算機(jī)病毒的定義22.2 計(jì)算機(jī)病毒的特性23 計(jì)算機(jī)病毒的分類43.1 計(jì)算機(jī)病毒的基本分類44 計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù)64.1 計(jì)算機(jī)病毒防范的概念和原則64.2 計(jì)算機(jī)病毒防范基本技術(shù)64.3 清除計(jì)算機(jī)病毒的基本方法64.4 典型計(jì)算機(jī)病毒的原理、防范和清除65 “熊貓燒香”病毒剖析10總 結(jié)11致 謝12參考文獻(xiàn)131 緒論入了信息社會(huì)，創(chuàng)造了計(jì)算機(jī)，計(jì)算機(jī)雖然給人們的工作和生活帶來(lái)了便利和效率，然而計(jì)算機(jī)系統(tǒng)并不安全，計(jì)算機(jī)病毒就是最不安全的因素之一，它會(huì)造成資源和財(cái)富的巨大浪費(fèi)，人們稱計(jì)算機(jī)病毒為“21世紀(jì)最大的隱患”，目前由于計(jì)算機(jī)軟件的脆弱性與互聯(lián)網(wǎng)的開(kāi)放性，我們將與病毒長(zhǎng)期共存。因此，研究計(jì)算機(jī)病毒及防范措施技術(shù)具有重要的意義。2 計(jì)算機(jī)病毒的概述隨著社會(huì)的不斷進(jìn)步，科學(xué)的不斷發(fā)展，計(jì)算機(jī)病毒的種類也越來(lái)越多，但終究萬(wàn)變不離其宗！2.1 計(jì)算機(jī)病毒的定義一般來(lái)講，只要能夠引起計(jì)算機(jī)故障，或者能夠破壞計(jì)算機(jī)中的資源的代碼，統(tǒng)稱為計(jì)算機(jī)病毒。而在我國(guó)也通過(guò)條例的形式給計(jì)算機(jī)病毒下了一個(gè)具有法律性、權(quán)威性的定義：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。” 這就是計(jì)算機(jī)病毒。2.2 計(jì)算機(jī)病毒的特性2.2.1 隱藏性與潛伏性 計(jì)算機(jī)病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。它通常內(nèi)附在正常的程序中，用戶啟動(dòng)程序同時(shí)也打開(kāi)了病毒程序。計(jì)算機(jī)病毒程序經(jīng)運(yùn)行取得系統(tǒng)控制權(quán)， 可以在不到1秒鐘的時(shí)間里傳染幾百個(gè)程序。而且在傳染操作成后，計(jì)算機(jī)系統(tǒng)仍能運(yùn)行，被感染的程序仍能執(zhí)行，這就是計(jì)機(jī)病毒傳染的隱蔽性計(jì)算機(jī)病毒的潛伏性則是指，某些編制巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后可以在幾周或者幾個(gè)月甚至年內(nèi)隱藏在合法文件中，對(duì)其它系統(tǒng)文件進(jìn)行傳染，而不被人發(fā)現(xiàn)。2.2.2 傳染性 計(jì)算機(jī)病毒可通過(guò)各種渠道(磁盤(pán)、共享目錄、郵件)從已被感染的計(jì)算機(jī)擴(kuò)散到其他機(jī)器上，感染其它用戶在某情況下導(dǎo)致計(jì)算機(jī)工作失常。2.2.3 表現(xiàn)性和破壞性任何計(jì)算機(jī)病毒都會(huì)對(duì)機(jī)器產(chǎn)生一定程的影響，輕者占用系統(tǒng)資源，導(dǎo)致系統(tǒng)運(yùn)行速度大幅降低重者除文件和數(shù)據(jù)，導(dǎo)致系統(tǒng)崩潰。2.2.4 可觸發(fā)性病毒 具有預(yù)定的觸發(fā)條件，可能是時(shí)間、日期、文類型或某些特定數(shù)據(jù)等。一旦滿足觸發(fā)條件，便啟動(dòng)感染或破壞作，使病毒進(jìn)行感染或攻擊；如不滿足，繼續(xù)潛伏。有些病毒針對(duì)特定的操作系統(tǒng)或特定的計(jì)算機(jī)。2.2.5 欺騙性和持久性計(jì)算機(jī)病毒行動(dòng)詭秘，計(jì)算機(jī)對(duì)其反應(yīng)遲，往往把病毒造成的錯(cuò)誤當(dāng)成事實(shí)接受下來(lái)。病毒程序即使被發(fā)，已被破壞的數(shù)據(jù)和程序以及操作系統(tǒng)都難以恢復(fù)。在網(wǎng)絡(luò)操作情況下，由于病毒程序由一個(gè)受感染的拷貝通過(guò)網(wǎng)絡(luò)系統(tǒng)反復(fù)傳，病毒程序的清除愈加復(fù)雜。除了上述五點(diǎn)外，計(jì)算機(jī)病毒還具有不可預(yù)見(jiàn)性、衍生性、針對(duì)性、等特點(diǎn)。正是由于計(jì)算機(jī)病毒具有這些特點(diǎn)，給計(jì)算機(jī)病毒的預(yù)防、檢測(cè)與清除工作帶來(lái)了很大的難度。 3 計(jì)算機(jī)病毒的分類3.1 計(jì)算機(jī)病毒的基本分類3.1.1 傳統(tǒng)開(kāi)機(jī)型計(jì)算機(jī)病毒純粹的開(kāi)機(jī)型計(jì)算機(jī)病毒多利用軟盤(pán)開(kāi)機(jī)時(shí)侵入計(jì)算機(jī)系統(tǒng)，然后再伺機(jī)感染其他的軟盤(pán)或者硬盤(pán)，例如：“Stoned 3”（米開(kāi)朗基羅）。3.1.2 隱形開(kāi)機(jī)型計(jì)算機(jī)病毒 此類計(jì)算機(jī)病毒感染的系統(tǒng)，再行檢查開(kāi)機(jī)區(qū)，得到的將是正常的磁區(qū)資料，就好像沒(méi)有中毒一樣，此類計(jì)算機(jī)病毒不容易被殺毒軟件所查殺，而防毒軟件對(duì)于未知的此類型計(jì)算機(jī)病毒，必須具有辨認(rèn)磁區(qū)資料真?zhèn)蔚哪芰Α４祟愑?jì)算機(jī)病毒已出現(xiàn)的尚有“Fish”.3.1.3 檔案感染型兼開(kāi)機(jī)型計(jì)算機(jī)病毒 檔案感染型兼開(kāi)機(jī)型計(jì)算機(jī)病毒時(shí)利用檔案感染時(shí)司機(jī)感染開(kāi)機(jī)區(qū)，因而具有雙中的行動(dòng)能力，此類型較著名的計(jì)算機(jī)病毒有“Cancer”。3.1.4 目錄型計(jì)算機(jī)病毒本類型計(jì)算機(jī)病毒的感染方式非常獨(dú)特，“Dir2”即其代表，此類計(jì)算機(jī)病毒僅修改目錄區(qū)（Root），便可達(dá)到其感染目的。3.1.5 傳統(tǒng)檔案型計(jì)算機(jī)病毒傳統(tǒng)檔案型計(jì)算機(jī)病毒最大的特征，便是將計(jì)算機(jī)病毒本身植入檔案，使檔案膨脹，以達(dá)到散播傳染的目的。代表有“13 Firday”。3.1.6 千面人計(jì)算機(jī)病毒 千面人計(jì)算機(jī)病毒是指具有自我編碼能力的計(jì)算機(jī)病毒，“1701 下雨”等，為這種類型主要代表，此種計(jì)算機(jī)病毒編碼的目的，是使其感染的每一個(gè)檔案，看起來(lái)皆不一樣，干擾殺毒軟件的偵測(cè)，不過(guò)千面人計(jì)算機(jī)病毒仍會(huì)留下的這個(gè)“小辮子”，將其繩之以法。3.1.7 突變引擎病毒有鑒于前面人計(jì)算機(jī)病毒一個(gè)接一個(gè)被截獲，邊有人編寫(xiě)出一種突變式計(jì)算機(jī)病毒，使原本千面人計(jì)算機(jī)病毒無(wú)法解決的程序開(kāi)頭相同的問(wèn)題得到克服，并編寫(xiě)成OBJ副程序，供他人植草此類計(jì)算機(jī)病毒，即 Mctation engine。盡管如此，這類計(jì)算機(jī)病毒僅干擾了掃毒式軟件，對(duì)其他方式的防毒軟件并沒(méi)有太大的影響。3.1.8 隱形檔案型計(jì)算機(jī)病毒 此類病毒可以避開(kāi)去多防毒軟件，因?yàn)殡[形計(jì)算機(jī)病毒能直接植入DOS系統(tǒng)的作業(yè)環(huán)境中，當(dāng)外部程序呼叫DOS中斷服務(wù)時(shí)，便同時(shí)執(zhí)行到計(jì)算機(jī)病毒本身，使得計(jì)算機(jī)病毒能從容地將受其感染的檔案，粉飾成正常無(wú)毒的樣子。此類計(jì)算機(jī)病毒有“4096” 等。3.1.9 終結(jié)型計(jì)算機(jī)病毒 終結(jié)性計(jì)算機(jī)病毒能追蹤磁盤(pán)操作終端的原始進(jìn)入點(diǎn)，當(dāng)計(jì)算機(jī)病毒取得磁盤(pán)原始中斷時(shí)，便可任意再磁盤(pán)上修改資料或普哦壞資料，而不會(huì)驚動(dòng)防毒程序，這就是說(shuō)，裝有防毒程序和美妝防毒程序的情況是一樣的危險(xiǎn)。這類計(jì)算機(jī)病毒有的采用INT 1單步執(zhí)行的方式，逐步追蹤磁盤(pán)中斷的過(guò)程，找出BIOS磁盤(pán)中斷的部分，供計(jì)算機(jī)病毒內(nèi)部使用；有的采用死機(jī)的方式，記錄幾個(gè)BIOS版本的磁盤(pán)中斷原始進(jìn)入點(diǎn)，當(dāng)計(jì)算機(jī)病毒遭到熟悉的BIOS版本，便可直接呼叫磁盤(pán)中斷，對(duì)磁盤(pán)予取予求；有的則分析磁盤(pán)中斷的程序片段，找出BIOS中的相似部分便可直接呼叫磁盤(pán)中斷。其代表有“Hammer 6”等。3.1.10 Word巨集計(jì)算機(jī)病毒 Word 巨集計(jì)算機(jī)病毒可以說(shuō)時(shí)目前最新的計(jì)算機(jī)病毒種類了，它是文件型計(jì)算機(jī)病毒，異于以往以感染磁盤(pán)區(qū)或可執(zhí)行的檔案為主的計(jì)算機(jī)病毒，此類病毒時(shí)利用Word 提供的巨集功能來(lái)感染文件。目前已經(jīng)在Internet及BBS網(wǎng)絡(luò)中發(fā)現(xiàn)不少Word巨集計(jì)算機(jī)病毒，而且此類計(jì)算機(jī)病毒是用類似Basic程序編寫(xiě)出來(lái)的，易學(xué)，其反戰(zhàn)速度一定很快。4 計(jì)算機(jī)病毒防范和清除的基本原則和技術(shù)4.1 計(jì)算機(jī)病毒防范的概念和原則計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，即使發(fā)現(xiàn)計(jì)算機(jī)病毒入侵，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，回復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。原則以防御計(jì)算機(jī)病毒為主動(dòng)，主要表現(xiàn)在檢測(cè)行為的動(dòng)態(tài)性和防范方法的廣譜性。4.2 計(jì)算機(jī)病毒防范基本技術(shù) 計(jì)算機(jī)病毒預(yù)防是在計(jì)算機(jī)病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計(jì)算機(jī)病毒的入侵或立即警報(bào)。4.3 清除計(jì)算機(jī)病毒的基本方法4.3.1 簡(jiǎn)單的工具治療簡(jiǎn)單工具治療是指使用Debug等簡(jiǎn)單的工具，借助檢測(cè)者對(duì)某種計(jì)算機(jī)病毒的具體知識(shí)，從感染計(jì)算機(jī)病毒的軟件中摘除計(jì)算機(jī)代碼。但是，這種方法同樣對(duì)檢測(cè)者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。4.3.2 專用工具治療使用專用工具治療被感染的程序時(shí)通常使用的治療方法。專用計(jì)算機(jī)治療工具，根據(jù)對(duì)計(jì)算機(jī)病毒特征的記錄，自動(dòng)清除感染程序中的計(jì)算機(jī)病毒代碼，使之得以恢復(fù)。使用專用工具治療計(jì)算機(jī)病毒時(shí)，治療操作簡(jiǎn)單、高效。從探索與計(jì)算機(jī)病毒對(duì)剛的全過(guò)程來(lái)看，專用工具的開(kāi)發(fā)商也是先從使用簡(jiǎn)單工具進(jìn)行治療開(kāi)始，當(dāng)治療獲得成功后，再研制相應(yīng)的軟件產(chǎn)品，使計(jì)算機(jī)自動(dòng)地完成全部治療操作。4.4 典型計(jì)算機(jī)病毒的原理、防范和清除4.4.1 引導(dǎo)區(qū)計(jì)算機(jī)病毒系統(tǒng)引導(dǎo)區(qū)時(shí)在系統(tǒng)引導(dǎo)的時(shí)候，進(jìn)入到系統(tǒng)中，獲得對(duì)系統(tǒng)的控制權(quán)，在完成其自身的安裝后才去引導(dǎo)系統(tǒng)的。稱其為引導(dǎo)區(qū)計(jì)算機(jī)病毒時(shí)因?yàn)檫@類計(jì)算機(jī)病毒一般是都侵占系統(tǒng)硬盤(pán)的主引導(dǎo)扇區(qū)I/O分區(qū)的引導(dǎo)扇區(qū)，對(duì)于軟盤(pán)則侵占了軟盤(pán)的引導(dǎo)扇區(qū)。它會(huì)感染在該系統(tǒng)中進(jìn)行讀寫(xiě)操作的所有軟盤(pán)，然后再由這些軟盤(pán)以復(fù)制的方式和引導(dǎo)進(jìn)入到其他計(jì)算機(jī)系統(tǒng)，感染其他計(jì)算機(jī)的操作系統(tǒng)。如何檢測(cè)呢？ (1)查看系統(tǒng)內(nèi)存的總量與正常情況進(jìn)行比較 (2)檢查系統(tǒng)內(nèi)存高端的內(nèi)容 (3)檢查系統(tǒng)的INT 13H中斷向量 (4)檢查硬盤(pán)的主引導(dǎo)扇區(qū)、DOS分區(qū)引導(dǎo)扇區(qū)以及軟盤(pán)的引導(dǎo)扇區(qū)用原來(lái)正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計(jì)算機(jī)病毒程序。此時(shí)，如果用戶事先提取并保存了自己硬盤(pán)中分區(qū)表的信息和DOS分區(qū)引導(dǎo)扇區(qū)信息，那么，恢復(fù)工作變得非常簡(jiǎn)單?？梢灾苯佑肈ebug將這兩種引導(dǎo)扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別回它的原來(lái)位置，這樣就消除了計(jì)算機(jī)病毒。4.4.2 文件型計(jì)算機(jī)病毒文件型計(jì)算機(jī)病毒程序都是依附在系統(tǒng)可執(zhí)行文件或覆蓋文件上，當(dāng)文件裝入系統(tǒng)執(zhí)行的時(shí)候，引導(dǎo)計(jì)算機(jī)病毒程序也進(jìn)入到系統(tǒng)中。只有極少計(jì)算機(jī)病毒程序感染數(shù)據(jù)文件。此類病毒感染對(duì)象大多是系統(tǒng)的可執(zhí)行文件，也有一些還要對(duì)覆蓋文件進(jìn)行傳染，而對(duì)數(shù)據(jù)進(jìn)行傳染的則少見(jiàn)。 (1)確定計(jì)算機(jī)病毒程序的位置，是駐留在文件尾部還是在文件首部。 (2)找到計(jì)算機(jī)病毒程序的首部位置（對(duì)應(yīng)于在文件尾部駐留方式），或者尾部位置（對(duì)應(yīng)于在文件首部駐留方式）。 (3)恢復(fù)原文件頭部的參數(shù)。 (4)修改文件長(zhǎng)度，將源文件寫(xiě)回。4.4.3 腳本型計(jì)算機(jī)病毒主要采用腳本語(yǔ)言設(shè)計(jì)的病毒稱其為腳本病毒。實(shí)際上在早期的系統(tǒng)中，計(jì)算機(jī)病毒就已經(jīng)開(kāi)始利用腳本進(jìn)行傳播和破壞，不過(guò)專門(mén)的腳本病毒并不常見(jiàn)。但是在腳本應(yīng)用無(wú)所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當(dāng)他和一些傳統(tǒng)的惡性病毒相結(jié)合時(shí)，其危害就更為嚴(yán)重了。其主要有兩種類型，純腳本型，混合型。它的特點(diǎn)有以下幾方面：l 編寫(xiě)簡(jiǎn)單l 破壞力大l 感染力強(qiáng)l 傳播范圍大（多通過(guò)E-mail，局域網(wǎng)共享，感染網(wǎng)頁(yè)文件的方式傳播）l 計(jì)算機(jī)病毒源碼容易被獲取，變種多l(xiāng) 欺騙性強(qiáng)l 使得計(jì)算機(jī)病毒生產(chǎn)機(jī)事先起來(lái)非常容易l 禁用文件系統(tǒng)對(duì)象FileSystemObjectl 卸載Windows Scripting Hostl 刪除vbs，vbe，js，jse文件后綴與應(yīng)用程序映射l 在Windows目錄中，找到WScript.exe，更改名稱或者刪除l 要徹底防止vbs網(wǎng)絡(luò)蠕蟲(chóng)病毒，還需要設(shè)置一下瀏覽器l 禁止OE的自動(dòng)收發(fā)電子郵件功能l 顯示所有文件類型的擴(kuò)展名稱l 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級(jí)別設(shè)置至少為“中等”4.4.4特洛伊木馬計(jì)算機(jī)病毒特洛伊木馬也叫黑客程序或后門(mén)病毒，是指吟唱在正常程序中的一段具有特殊功能的程序，其隱蔽性及好，不易察覺(jué)，是一種極為危險(xiǎn)的網(wǎng)絡(luò)攻擊手段。 其第一代：偽裝性病毒，第二代：AIDS型木馬，第三代：網(wǎng)絡(luò)傳播性木馬如何檢查？l 稽查注冊(cè)表l 檢查你的系統(tǒng)配置文件l 備份重要數(shù)據(jù)l 立即關(guān)閉身背電源l 備份木馬入侵現(xiàn)場(chǎng)l 修復(fù)木馬危害4.4.5 蠕蟲(chóng)計(jì)算機(jī)病毒蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性計(jì)算機(jī)病毒，它具有計(jì)算機(jī)病毒的一些共性，如傳播性、隱蔽性、破壞性等。同時(shí)自己有自己一些特征，如利用文件寄生，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。簡(jiǎn)單點(diǎn)說(shuō)，蠕蟲(chóng)就是使用危害的代碼來(lái)攻擊網(wǎng)絡(luò)上的受害主機(jī)，并在受害主機(jī)上自我復(fù)制，再攻擊其他的受害主機(jī)的計(jì)算機(jī)病毒。其特征：l 自我繁殖l 利用軟件漏洞l 造成網(wǎng)絡(luò)擁堵l 消耗系統(tǒng)資源l 留下安全隱患l 與防火墻互動(dòng)l 交換機(jī)聯(lián)動(dòng)l 通知HIDS（基于主機(jī)的入侵檢測(cè)）l 報(bào)警5 “熊貓燒香”病毒剖析“熊貓燒香”病毒感染機(jī)理:“熊貓燒香”，是一個(gè)感染型的蠕蟲(chóng)病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴(kuò)展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址，用戶一但打開(kāi)了該文件，IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫(xiě)入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的?？?結(jié) 計(jì)算機(jī)病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。計(jì)算機(jī)病毒可通過(guò)各種渠道感染其它用戶。在某情況下導(dǎo)致計(jì)算機(jī)工作失常。所以在我們的日常生活中，對(duì)計(jì)算機(jī)的日常使用要格外小心，不但要掌握一些簡(jiǎn)單的病毒處理方法，還要掌握一些專業(yè)的殺毒知識(shí)，這樣才能在日常生活中做到輕松的使用計(jì)算機(jī)而不會(huì)被病毒困擾。參 考 文 獻(xiàn)1 郝文化.防黑反毒技術(shù)指南