淺談計算機病毒的正確防御探討_第1頁
淺談計算機病毒的正確防御探討_第2頁
淺談計算機病毒的正確防御探討_第3頁
淺談計算機病毒的正確防御探討_第4頁
淺談計算機病毒的正確防御探討_第5頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、 專 科 生 畢 業(yè) 論 文 學(xué) 院 商丘職業(yè)技術(shù)學(xué)院 專 業(yè) 計算機應(yīng)用技術(shù) 屆 別 2012屆 題 目 淺談計算機病毒的正確防御探討 學(xué)生姓名 潘靜 學(xué) 號 20081630227 指導(dǎo)教師 張曉軍 目錄前言.2 一、計算機病毒概述.3 1.1 計算機病毒的特點.3 1.2 計算機病毒所采用的技術(shù).3二、計算機病毒對系統(tǒng)的危害.4 2.1 病毒直接對計算機數(shù)據(jù)信息進行破壞.4 2.2 破壞磁盤的引導(dǎo)區(qū).4 2.3 搶占系統(tǒng)資源.4 2.4 影響計算機運行速度.4 2.5 計算機病毒對系統(tǒng)兼容性的影響.4 2.6 計算機病毒在經(jīng)濟方面的危害.43、 計算機病毒的防御方法.5 3.1 設(shè)計病毒

2、階段的防御措施.5 3.2 病毒傳播階段的防御措施.5 3.3 病毒運行階段的防御措施.54、 非授權(quán)web訪問.65、 總結(jié)與展望.6前言摘要:隨著計算機在工作已經(jīng)生活中進一步廣泛的應(yīng)用,計算機病毒的危害也在與日俱增。如何正確防范計算機病毒是一個長期而艱巨的課題,計算機病毒大部分都采用了反代碼分析、欺騙隱身、規(guī)避檢測以及暴力對抗等先進技術(shù)對抗安全軟件,反病毒技術(shù)與計算機病毒之間的斗爭將更加激烈。 計算機病毒借助網(wǎng)絡(luò)的發(fā)展,呈現(xiàn)出爆發(fā)流行的趨勢,如cih病毒、“愛蟲”病毒,曾經(jīng)給廣大的計算機用戶帶來極大的損失。計算機病毒一旦侵入沒有副本的文件,并進行破壞后,可能導(dǎo)致數(shù)據(jù)丟失,造成嚴重的后果。計

3、算機病毒的隱蔽性和多態(tài)性使用戶難以檢測。在用戶與計算機病毒的斗爭中,如果用戶能采取有效的防范措施,可以使系統(tǒng)中毒的幾率降到最低,并減少病毒造成的損失。1 計算機病毒概述計算機病毒可以通過復(fù)制自身來感染其他軟件的程序。當(dāng)被感染的程序運行時,嵌入在其中的病毒也隨之運行并有可能感染其他程序。少數(shù)病毒不會對系統(tǒng)或數(shù)據(jù)產(chǎn)生危害,但更多的病毒攜帶毒碼,一旦被事先設(shè)定好的環(huán)境所激發(fā),就可以感染和破壞系統(tǒng)。計算機病毒防御,是通過建立有效的計算機病毒防范體系和制度,第一時間發(fā)現(xiàn)計算機病毒侵入,并立即采取有效的措施阻止計算機病毒的傳播和破壞,并恢復(fù)受影響的系統(tǒng)和數(shù)據(jù)。計算機病毒防御工作,首先是防御體系的建設(shè)和制度

4、的建立。只有一個完善的防范體系和制度,才能有效的將病毒擋在系統(tǒng)大門之外。1.1 計算機病毒的特點狹義的計算機病毒是指將自身嵌入其他程序或文件的一種程序,廣義的計算機病毒包括邏輯炸彈,特洛伊木馬以及系統(tǒng)陷阱入口等等。計算機病毒雖是一個很小的程序,但它和普通的計算機程序有很大不同,并且具有以下特點:1) 計算機病毒有自我復(fù)制的功能,并且可以隱藏在合法程序的內(nèi)部,并隨著用戶的操作而不斷地進行自我復(fù)制。2) 計算機病毒能破壞系統(tǒng)程序或系統(tǒng)數(shù)據(jù),并且有可能造成硬件設(shè)備的損壞。3) 計算機病毒不像生物病毒一樣自然產(chǎn)生,它是由人為故意編制而成,并且為了達成一定的目的,如灰鴿子軟件,既可用于遠程控制,也可作為

5、病毒。4) 計算機病毒有潛在的破壞能力。在系統(tǒng)遭受病毒感染后,病毒一般不會立即發(fā)作,而是潛藏在系統(tǒng)中,等滿足病毒中設(shè)置的條件時,則立即發(fā)作,給系統(tǒng)帶來災(zāi)難性的破壞。5) 計算機病毒具有傳染性,通過非法拷貝或網(wǎng)絡(luò)進行傳染。計算機病毒通常附著在其他軟件上,在病毒發(fā)作時,有一些病毒是進行自我復(fù)制,并在一定條件下通過網(wǎng)絡(luò)、u盤等傳染給其他計算機,另一部分則在特定條件下執(zhí)行某種特殊的行為。1.2 計算機病毒所采用的技術(shù)反病毒技術(shù)與計算機病毒在激烈的斗爭中各自不斷的發(fā)展。行為判斷(generic)、啟發(fā)式殺毒(heuristic)、特征碼掃描、入侵保護系統(tǒng)(hips)、主動防御(proactive def

6、ense)、網(wǎng)絡(luò)防火墻等安全產(chǎn)品的應(yīng)用越來越廣泛,但是計算機病毒技術(shù)在攻防大戰(zhàn)中不斷升級,病毒技術(shù)更加復(fù)雜,普遍具備對抗性、欺騙性等特點。以下分析病毒的工作原理,為正確防治病毒做好準備。1) 反代碼分析,代碼分析師通過逆向工程來分析病毒樣本、提取病毒的特征碼、破解病毒的行為,是檢測、防范和清除的前提基礎(chǔ)。為了避開被反病毒軟件檢測出來,病毒從一開始就試圖通過各種手段避開代碼分析,包括:加密加殼,現(xiàn)在的病毒普遍采用了加殼(packer)的技術(shù),在壓縮文件長度的同時,轉(zhuǎn)換病毒的特征碼,以規(guī)避安全軟件的檢測;反內(nèi)存瀉出,通過自解除封鎖、二進制代碼模糊處理、頁面重定向方式等技術(shù)手段來針對內(nèi)存瀉出;反調(diào)試

7、技術(shù);虛擬機檢測技術(shù)。2) 規(guī)避檢測技術(shù),病毒軟件并不修改系統(tǒng),而是通過各種方式來避開檢測,使安全軟件無法檢測其存在,包括:特殊文件格式,病毒采用特殊的文件格式使其存在于系統(tǒng)中,利用系統(tǒng)的文件系統(tǒng)缺陷使其對系統(tǒng)透明,如ntfs的交替數(shù)據(jù)流技術(shù);多媒體文件鏈接,病毒被嵌入到圖片、音頻、視頻等文件中,病毒不以文件的方式存放于磁盤上,從而繞過安全軟件的哈希過濾器和字符串匹配檢測;駐留磁盤扇區(qū),病毒通過駐留在磁盤扇區(qū),而不以文件的形式存在,安全軟件對其無法檢測;冒充系統(tǒng)文件,病毒程序運行的過程中以系統(tǒng)程序的身份運行,達到混淆視聽的目的。3) 欺騙隱身技術(shù),病毒使用先進、底層的技術(shù),通過修改系統(tǒng)的參數(shù)結(jié)

8、構(gòu),并設(shè)置系統(tǒng)鉤子( hook ),隱藏進程、文件、注冊表項、服務(wù)、鍵值和通信端口,使系統(tǒng)對其不可見(stealth)。4) 暴力對抗技術(shù),安全軟件和病毒使用同樣的技術(shù),病毒針對殺毒軟件的特點所采取的暴力手段進行反制,破解殺毒軟件的防護,包括:終止殺毒軟件運行,通過findwindowa來查找殺毒軟件在系統(tǒng)中的窗口句柄,并使用sendmessage函數(shù)來發(fā)送關(guān)閉消息,以達到關(guān)閉殺毒軟件的目的;鏡像劫持,通過修改注冊表鍵值,使殺毒軟件不能正常運行。2 計算機病毒對系統(tǒng)的危害在計算機病毒感染宿主計算機后,會對宿主計算機的系統(tǒng)安全,數(shù)據(jù)安全造成極大的危害,包括系統(tǒng)崩潰,數(shù)據(jù)丟失,網(wǎng)上銀行賬戶被盜等。

9、2.1 病毒直接對計算機數(shù)據(jù)信息進行破壞大多數(shù)病毒在激活的時候會對計算機系統(tǒng)的重要數(shù)據(jù)信息進行直接破壞,通過利用各種技術(shù)手段如:格式化磁盤、刪除重要文件、用垃圾數(shù)據(jù)改寫數(shù)據(jù)文件、破壞cmos設(shè)置、修改文件分配表和目錄區(qū)等。此類病毒如典型的磁盤殺手(disk killer)在感染后,會改寫硬盤數(shù)據(jù)。2.2 破壞磁盤的引導(dǎo)區(qū)引導(dǎo)型病毒通過病毒本身占據(jù)磁盤的引導(dǎo)扇區(qū),而將原有的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū),也就是覆蓋原有的引導(dǎo)區(qū)。被覆蓋的引導(dǎo)區(qū)數(shù)據(jù)將會永久性丟失,而無法恢復(fù),對系統(tǒng)的危害非常大,可能導(dǎo)致系統(tǒng)的崩潰。2.3 搶占系統(tǒng)資源除了少數(shù)病毒如vienna、casper之外,大部分病毒都是常駐內(nèi)存中的,

10、這就導(dǎo)致系統(tǒng)資源的浪費。病毒在內(nèi)存中所占用的空間與病毒本身長度相當(dāng),在病毒搶占內(nèi)存空間后,導(dǎo)致內(nèi)存空間減少,一部分軟件因為缺乏內(nèi)存而無法運行,正在運行的軟件因為cpu占用而變慢。病毒除了搶占內(nèi)存外,還會搶占中斷系統(tǒng),從而干擾系統(tǒng)的運行。操作系統(tǒng)很多的系統(tǒng)功能都是通過中斷調(diào)用來實現(xiàn)的。病毒為了自我傳播,會修改一些有關(guān)的中斷地址,從而在正常的系統(tǒng)中斷中,加入病毒,達到傳播的目的。2.4 影響計算機運行速度病毒在內(nèi)存中駐留后,不但干擾系統(tǒng)運行,占用內(nèi)存空間,同時也影響系統(tǒng)運行速度。首先,病毒為了觸發(fā)傳染條件,會一直對計算機的運行狀態(tài)進行監(jiān)控,這必然導(dǎo)致系統(tǒng)運行速度減緩。其次,有些病毒在磁盤上以靜態(tài)加

11、密數(shù)據(jù)的狀態(tài)保持,在加載到內(nèi)存中后,會動態(tài)的處于加密狀態(tài),cpu每次在運行病毒代碼前,都必須將這段代碼重新解密,這樣就增加了數(shù)千條甚至上萬條cpu指令。再次,病毒在傳染的同時要插入非法的額外操作,必然占用cpu的運行時間。2.5 計算機病毒對系統(tǒng)兼容性的影響由于計算機系統(tǒng)中存在多種軟件,兼容性稱為計算機軟件的一項重要指標,兼容性好的軟件可以在各種計算機環(huán)境下運行,反之,兼容性差的軟件則容易造成系統(tǒng)內(nèi)存泄露,軟件異常退出等問題,對計算機正常運行造成不利的影響。因為病毒不會在各種計算機環(huán)境下進行測試,所以病毒的兼容性較差,常常會導(dǎo)致計算機死機。2.6 計算機病毒在經(jīng)濟方面的危害由于電子商務(wù)的發(fā)展,

12、在網(wǎng)上購物的人也越來越多,計算機病毒會對網(wǎng)上銀行賬戶造成極大的威脅,并可能竊取網(wǎng)上銀行的密碼,對計算機用戶造成巨大的經(jīng)濟損失。 3 計算機病毒的防御方法要正確的防御計算機病毒帶來的威脅,必須建立健全的計算機安全體系,養(yǎng)成良好的計算機使用方法,定期的更換安全賬戶的密碼等。計算機病毒與普通的生物病毒一樣,也有一定的生命周期,包括四個部分:利用漏洞設(shè)計病毒、病毒潛伏和傳播、病毒運行、反病毒軟件查殺。通過了解軟件病毒的生命周期,從而更好的對其進行預(yù)防。3.1 設(shè)計病毒階段的防御措施計算機病毒軟件在設(shè)計階段,會根據(jù)現(xiàn)有系統(tǒng)中的漏洞,來對計算機系統(tǒng)進行攻擊。在本階段的防御工作主要包括:1) 使用正版的系統(tǒng)

13、軟件。由于正版軟件授權(quán)需要一定的費用,盜版軟件在市場上橫行,這在一定程度上助長了計算機病毒的傳播和發(fā)展。盜版系統(tǒng)軟件一般得不到廠商的有效技術(shù)支持,從而無法更新系統(tǒng)中的漏洞補丁,這給計算機病毒的傳播留下了巨大的空間。如果使用正版軟件,系統(tǒng)可以得到有效的更新,則計算機病毒在一定程度上無法侵入系統(tǒng),這在系統(tǒng)級別上給用戶以安全保證。2) 及時更新系統(tǒng)漏洞補丁,大部分計算機病毒通過掃描系統(tǒng)漏洞,來對計算機系統(tǒng)進行攻擊。如果用戶及時更新系統(tǒng)安全補丁,則計算機病毒無法對系統(tǒng)進行有效的侵入,阻止了病毒對系統(tǒng)的進一步危害。3.2 病毒傳播階段的防御措施病毒之所以能大規(guī)模的爆發(fā),一方面由于病毒利用了系統(tǒng)的安全漏洞

14、,另一方面在于用戶對計算機系統(tǒng)的使用方式。如果能正確的使用計算機,則能極大的降低病毒對計算機系統(tǒng)的感染幾率。本階段可以采用以下方式進行防御:1) 安裝正版的殺毒軟件。2) 不訪問陌生的、不安全的網(wǎng)站。3) 不運行網(wǎng)上不規(guī)范的可執(zhí)行程序。3.3 病毒運行階段的防御措施如果計算機病毒已經(jīng)侵入到計算機系統(tǒng)中,則用戶為了避免進一步的損失,應(yīng)該及時對系統(tǒng)中的關(guān)鍵數(shù)據(jù)進行備份,并利用殺毒軟件對計算機病毒進行查殺,盡可能的將損失降低。代理防火墻的攻擊 代理防火墻運行在應(yīng)用層,攻擊的方法很多。這里就以wingate為例。 wingate是以前應(yīng)用非常廣泛的一種windows95/nt代理防火墻軟件,內(nèi)部用戶可以通過一臺安裝有wingate的主機訪問外部網(wǎng)絡(luò),但是它也存在著幾個安全脆弱點。 黑客經(jīng)常利用這些安全漏洞獲得wingate的非授權(quán)web、socks和telnet的訪問,從而偽裝成wingate主機的身份對下一個攻擊目標發(fā)動攻擊。因此,這種攻擊非常難于被跟蹤和記錄。 導(dǎo)致wingate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實際情況對wingate代理防火墻軟件進行合理的設(shè)置,只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行,這就讓攻擊者可從以下幾個方面攻擊: 4非授權(quán)web訪問 某些wingate版本(如運行在nt系統(tǒng)下的2.1d版本)在誤配置

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論