計算機(jī)病毒解析與防范.doc

. 題 目： 計算機(jī)病毒解析與防范 .摘 要計算機(jī)病毒被喻為21世紀(jì)計算機(jī)犯罪的五大手段之一,并排序為第二。計算機(jī)病毒的攻擊性,在于它能夠破壞各種程序并蔓延于應(yīng)用領(lǐng)域。目前世界上上億用戶受著計算機(jī)病毒的困擾,有些還陷入極度的恐慌之中。事實上人們產(chǎn)生上述不安的原因,在與對計算機(jī)病毒的誤解,廣大計算機(jī)用戶有必要對計算機(jī)病毒的一些知識有一個比較明確的認(rèn)識和全面的科學(xué)態(tài)度。關(guān)鍵詞: 計算機(jī)病毒 病毒的困擾 病毒的誤解 病毒的認(rèn)識目 錄1 緒論12 計算機(jī)病毒的概述22.1 計算機(jī)病毒的定義22.2 計算機(jī)病毒的特性23 計算機(jī)病毒的分類43.1 計算機(jī)病毒的基本分類44 計算機(jī)病毒防范和清除的基本原則和技術(shù)64.1 計算機(jī)病毒防范的概念和原則64.2 計算機(jī)病毒防范基本技術(shù)64.3 清除計算機(jī)病毒的基本方法64.4 典型計算機(jī)病毒的原理、防范和清除65 “熊貓燒香”病毒剖析10總 結(jié)11致 謝12參考文獻(xiàn)131 緒論入了信息社會，創(chuàng)造了計算機(jī)，計算機(jī)雖然給人們的工作和生活帶來了便利和效率，然而計算機(jī)系統(tǒng)并不安全，計算機(jī)病毒就是最不安全的因素之一，它會造成資源和財富的巨大浪費(fèi)，人們稱計算機(jī)病毒為“21世紀(jì)最大的隱患”，目前由于計算機(jī)軟件的脆弱性與互聯(lián)網(wǎng)的開放性，我們將與病毒長期共存。因此，研究計算機(jī)病毒及防范措施技術(shù)具有重要的意義。2 計算機(jī)病毒的概述隨著社會的不斷進(jìn)步，科學(xué)的不斷發(fā)展，計算機(jī)病毒的種類也越來越多，但終究萬變不離其宗！2.1 計算機(jī)病毒的定義一般來講，只要能夠引起計算機(jī)故障，或者能夠破壞計算機(jī)中的資源的代碼，統(tǒng)稱為計算機(jī)病毒。而在我國也通過條例的形式給計算機(jī)病毒下了一個具有法律性、權(quán)威性的定義：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼?！?這就是計算機(jī)病毒。2.2 計算機(jī)病毒的特性2.2.1 隱藏性與潛伏性 計算機(jī)病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。它通常內(nèi)附在正常的程序中，用戶啟動程序同時也打開了病毒程序。計算機(jī)病毒程序經(jīng)運(yùn)行取得系統(tǒng)控制權(quán)， 可以在不到1秒鐘的時間里傳染幾百個程序。而且在傳染操作成后，計算機(jī)系統(tǒng)仍能運(yùn)行，被感染的程序仍能執(zhí)行，這就是計機(jī)病毒傳染的隱蔽性計算機(jī)病毒的潛伏性則是指，某些編制巧的計算機(jī)病毒程序，進(jìn)入系統(tǒng)之后可以在幾周或者幾個月甚至年內(nèi)隱藏在合法文件中，對其它系統(tǒng)文件進(jìn)行傳染，而不被人發(fā)現(xiàn)。2.2.2 傳染性 計算機(jī)病毒可通過各種渠道(磁盤、共享目錄、郵件)從已被感染的計算機(jī)擴(kuò)散到其他機(jī)器上，感染其它用戶在某情況下導(dǎo)致計算機(jī)工作失常。2.2.3 表現(xiàn)性和破壞性任何計算機(jī)病毒都會對機(jī)器產(chǎn)生一定程的影響，輕者占用系統(tǒng)資源，導(dǎo)致系統(tǒng)運(yùn)行速度大幅降低重者除文件和數(shù)據(jù)，導(dǎo)致系統(tǒng)崩潰。2.2.4 可觸發(fā)性病毒 具有預(yù)定的觸發(fā)條件，可能是時間、日期、文類型或某些特定數(shù)據(jù)等。一旦滿足觸發(fā)條件，便啟動感染或破壞作，使病毒進(jìn)行感染或攻擊；如不滿足，繼續(xù)潛伏。有些病毒針對特定的操作系統(tǒng)或特定的計算機(jī)。2.2.5 欺騙性和持久性計算機(jī)病毒行動詭秘，計算機(jī)對其反應(yīng)遲，往往把病毒造成的錯誤當(dāng)成事實接受下來。病毒程序即使被發(fā)，已被破壞的數(shù)據(jù)和程序以及操作系統(tǒng)都難以恢復(fù)。在網(wǎng)絡(luò)操作情況下，由于病毒程序由一個受感染的拷貝通過網(wǎng)絡(luò)系統(tǒng)反復(fù)傳，病毒程序的清除愈加復(fù)雜。除了上述五點外，計算機(jī)病毒還具有不可預(yù)見性、衍生性、針對性、等特點。正是由于計算機(jī)病毒具有這些特點，給計算機(jī)病毒的預(yù)防、檢測與清除工作帶來了很大的難度。 3 計算機(jī)病毒的分類3.1 計算機(jī)病毒的基本分類3.1.1 傳統(tǒng)開機(jī)型計算機(jī)病毒純粹的開機(jī)型計算機(jī)病毒多利用軟盤開機(jī)時侵入計算機(jī)系統(tǒng)，然后再伺機(jī)感染其他的軟盤或者硬盤，例如：“Stoned 3”（米開朗基羅）。3.1.2 隱形開機(jī)型計算機(jī)病毒 此類計算機(jī)病毒感染的系統(tǒng)，再行檢查開機(jī)區(qū)，得到的將是正常的磁區(qū)資料，就好像沒有中毒一樣，此類計算機(jī)病毒不容易被殺毒軟件所查殺，而防毒軟件對于未知的此類型計算機(jī)病毒，必須具有辨認(rèn)磁區(qū)資料真?zhèn)蔚哪芰?。此類計算機(jī)病毒已出現(xiàn)的尚有“Fish”.3.1.3 檔案感染型兼開機(jī)型計算機(jī)病毒 檔案感染型兼開機(jī)型計算機(jī)病毒時利用檔案感染時司機(jī)感染開機(jī)區(qū)，因而具有雙中的行動能力，此類型較著名的計算機(jī)病毒有“Cancer”。3.1.4 目錄型計算機(jī)病毒本類型計算機(jī)病毒的感染方式非常獨特，“Dir2”即其代表，此類計算機(jī)病毒僅修改目錄區(qū)（Root），便可達(dá)到其感染目的。3.1.5 傳統(tǒng)檔案型計算機(jī)病毒傳統(tǒng)檔案型計算機(jī)病毒最大的特征，便是將計算機(jī)病毒本身植入檔案，使檔案膨脹，以達(dá)到散播傳染的目的。代表有“13 Firday”。3.1.6 千面人計算機(jī)病毒 千面人計算機(jī)病毒是指具有自我編碼能力的計算機(jī)病毒，“1701 下雨”等，為這種類型主要代表，此種計算機(jī)病毒編碼的目的，是使其感染的每一個檔案，看起來皆不一樣，干擾殺毒軟件的偵測，不過千面人計算機(jī)病毒仍會留下的這個“小辮子”，將其繩之以法。3.1.7 突變引擎病毒有鑒于前面人計算機(jī)病毒一個接一個被截獲，邊有人編寫出一種突變式計算機(jī)病毒，使原本千面人計算機(jī)病毒無法解決的程序開頭相同的問題得到克服，并編寫成OBJ副程序，供他人植草此類計算機(jī)病毒，即 Mctation engine。盡管如此，這類計算機(jī)病毒僅干擾了掃毒式軟件，對其他方式的防毒軟件并沒有太大的影響。3.1.8 隱形檔案型計算機(jī)病毒 此類病毒可以避開去多防毒軟件，因為隱形計算機(jī)病毒能直接植入DOS系統(tǒng)的作業(yè)環(huán)境中，當(dāng)外部程序呼叫DOS中斷服務(wù)時，便同時執(zhí)行到計算機(jī)病毒本身，使得計算機(jī)病毒能從容地將受其感染的檔案，粉飾成正常無毒的樣子。此類計算機(jī)病毒有“4096” 等。3.1.9 終結(jié)型計算機(jī)病毒 終結(jié)性計算機(jī)病毒能追蹤磁盤操作終端的原始進(jìn)入點，當(dāng)計算機(jī)病毒取得磁盤原始中斷時，便可任意再磁盤上修改資料或普哦壞資料，而不會驚動防毒程序，這就是說，裝有防毒程序和美妝防毒程序的情況是一樣的危險。這類計算機(jī)病毒有的采用INT 1單步執(zhí)行的方式，逐步追蹤磁盤中斷的過程，找出BIOS磁盤中斷的部分，供計算機(jī)病毒內(nèi)部使用；有的采用死機(jī)的方式，記錄幾個BIOS版本的磁盤中斷原始進(jìn)入點，當(dāng)計算機(jī)病毒遭到熟悉的BIOS版本，便可直接呼叫磁盤中斷，對磁盤予取予求；有的則分析磁盤中斷的程序片段，找出BIOS中的相似部分便可直接呼叫磁盤中斷。其代表有“Hammer 6”等。3.1.10 Word巨集計算機(jī)病毒 Word 巨集計算機(jī)病毒可以說時目前最新的計算機(jī)病毒種類了，它是文件型計算機(jī)病毒，異于以往以感染磁盤區(qū)或可執(zhí)行的檔案為主的計算機(jī)病毒，此類病毒時利用Word 提供的巨集功能來感染文件。目前已經(jīng)在Internet及BBS網(wǎng)絡(luò)中發(fā)現(xiàn)不少Word巨集計算機(jī)病毒，而且此類計算機(jī)病毒是用類似Basic程序編寫出來的，易學(xué)，其反戰(zhàn)速度一定很快。4 計算機(jī)病毒防范和清除的基本原則和技術(shù)4.1 計算機(jī)病毒防范的概念和原則計算機(jī)病毒防范，是指通過建立合理的計算機(jī)病毒防范體系和制度，即使發(fā)現(xiàn)計算機(jī)病毒入侵，并采取有效的手段阻止計算機(jī)病毒的傳播和破壞，回復(fù)受影響的計算機(jī)系統(tǒng)和數(shù)據(jù)。原則以防御計算機(jī)病毒為主動，主要表現(xiàn)在檢測行為的動態(tài)性和防范方法的廣譜性。4.2 計算機(jī)病毒防范基本技術(shù) 計算機(jī)病毒預(yù)防是在計算機(jī)病毒尚未入侵或剛剛?cè)肭?，就攔截、阻擊計算機(jī)病毒的入侵或立即警報。4.3 清除計算機(jī)病毒的基本方法4.3.1 簡單的工具治療簡單工具治療是指使用Debug等簡單的工具，借助檢測者對某種計算機(jī)病毒的具體知識，從感染計算機(jī)病毒的軟件中摘除計算機(jī)代碼。但是，這種方法同樣對檢測者自身的專業(yè)素質(zhì)要求較高，而且治療效率也較低。4.3.2 專用工具治療使用專用工具治療被感染的程序時通常使用的治療方法。專用計算機(jī)治療工具，根據(jù)對計算機(jī)病毒特征的記錄，自動清除感染程序中的計算機(jī)病毒代碼，使之得以恢復(fù)。使用專用工具治療計算機(jī)病毒時，治療操作簡單、高效。從探索與計算機(jī)病毒對剛的全過程來看，專用工具的開發(fā)商也是先從使用簡單工具進(jìn)行治療開始，當(dāng)治療獲得成功后，再研制相應(yīng)的軟件產(chǎn)品，使計算機(jī)自動地完成全部治療操作。4.4 典型計算機(jī)病毒的原理、防范和清除4.4.1 引導(dǎo)區(qū)計算機(jī)病毒系統(tǒng)引導(dǎo)區(qū)時在系統(tǒng)引導(dǎo)的時候，進(jìn)入到系統(tǒng)中，獲得對系統(tǒng)的控制權(quán)，在完成其自身的安裝后才去引導(dǎo)系統(tǒng)的。稱其為引導(dǎo)區(qū)計算機(jī)病毒時因為這類計算機(jī)病毒一般是都侵占系統(tǒng)硬盤的主引導(dǎo)扇區(qū)I/O分區(qū)的引導(dǎo)扇區(qū)，對于軟盤則侵占了軟盤的引導(dǎo)扇區(qū)。它會感染在該系統(tǒng)中進(jìn)行讀寫操作的所有軟盤，然后再由這些軟盤以復(fù)制的方式和引導(dǎo)進(jìn)入到其他計算機(jī)系統(tǒng)，感染其他計算機(jī)的操作系統(tǒng)。如何檢測呢？ (1)查看系統(tǒng)內(nèi)存的總量與正常情況進(jìn)行比較 (2)檢查系統(tǒng)內(nèi)存高端的內(nèi)容 (3)檢查系統(tǒng)的INT 13H中斷向量 (4)檢查硬盤的主引導(dǎo)扇區(qū)、DOS分區(qū)引導(dǎo)扇區(qū)以及軟盤的引導(dǎo)扇區(qū)用原來正常的分區(qū)表信息或引導(dǎo)扇區(qū)信息，覆蓋掉計算機(jī)病毒程序。此時，如果用戶事先提取并保存了自己硬盤中分區(qū)表的信息和DOS分區(qū)引導(dǎo)扇區(qū)信息，那么，恢復(fù)工作變得非常簡單?？梢灾苯佑肈ebug將這兩種引導(dǎo)扇區(qū)的內(nèi)容分別調(diào)入內(nèi)存，然后分別回它的原來位置，這樣就消除了計算機(jī)病毒。4.4.2 文件型計算機(jī)病毒文件型計算機(jī)病毒程序都是依附在系統(tǒng)可執(zhí)行文件或覆蓋文件上，當(dāng)文件裝入系統(tǒng)執(zhí)行的時候，引導(dǎo)計算機(jī)病毒程序也進(jìn)入到系統(tǒng)中。只有極少計算機(jī)病毒程序感染數(shù)據(jù)文件。此類病毒感染對象大多是系統(tǒng)的可執(zhí)行文件，也有一些還要對覆蓋文件進(jìn)行傳染，而對數(shù)據(jù)進(jìn)行傳染的則少見。 (1)確定計算機(jī)病毒程序的位置，是駐留在文件尾部還是在文件首部。 (2)找到計算機(jī)病毒程序的首部位置（對應(yīng)于在文件尾部駐留方式），或者尾部位置（對應(yīng)于在文件首部駐留方式）。 (3)恢復(fù)原文件頭部的參數(shù)。 (4)修改文件長度，將源文件寫回。4.4.3 腳本型計算機(jī)病毒主要采用腳本語言設(shè)計的病毒稱其為腳本病毒。實際上在早期的系統(tǒng)中，計算機(jī)病毒就已經(jīng)開始利用腳本進(jìn)行傳播和破壞，不過專門的腳本病毒并不常見。但是在腳本應(yīng)用無所不在的今天，腳本病毒卻成為危害最大，最為廣泛的病毒，特別是當(dāng)他和一些傳統(tǒng)的惡性病毒相結(jié)合時，其危害就更為嚴(yán)重了。其主要有兩種類型，純腳本型，混合型。它的特點有以下幾方面：l 編寫簡單l 破壞力大l 感染力強(qiáng)l 傳播范圍大（多通過E-mail，局域網(wǎng)共享，感染網(wǎng)頁文件的方式傳播）l 計算機(jī)病毒源碼容易被獲取，變種多l(xiāng) 欺騙性強(qiáng)l 使得計算機(jī)病毒生產(chǎn)機(jī)事先起來非常容易l 禁用文件系統(tǒng)對象FileSystemObjectl 卸載Windows Scripting Hostl 刪除vbs，vbe，js，jse文件后綴與應(yīng)用程序映射l 在Windows目錄中，找到WScript.exe，更改名稱或者刪除l 要徹底防止vbs網(wǎng)絡(luò)蠕蟲病毒，還需要設(shè)置一下瀏覽器l 禁止OE的自動收發(fā)電子郵件功能l 顯示所有文件類型的擴(kuò)展名稱l 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置至少為“中等”4.4.4特洛伊木馬計算機(jī)病毒特洛伊木馬也叫黑客程序或后門病毒，是指吟唱在正常程序中的一段具有特殊功能的程序，其隱蔽性及好，不易察覺，是一種極為危險的網(wǎng)絡(luò)攻擊手段。 其第一代：偽裝性病毒，第二代：AIDS型木馬，第三代：網(wǎng)絡(luò)傳播性木馬如何檢查？l 稽查注冊表l 檢查你的系統(tǒng)配置文件l 備份重要數(shù)據(jù)l 立即關(guān)閉身背電源l 備份木馬入侵現(xiàn)場l 修復(fù)木馬危害4.4.5 蠕蟲計算機(jī)病毒蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性計算機(jī)病毒，它具有計算機(jī)病毒的一些共性，如傳播性、隱蔽性、破壞性等。同時自己有自己一些特征，如利用文件寄生，對網(wǎng)絡(luò)造成拒絕服務(wù)以及和黑客技術(shù)相結(jié)合等。簡單點說，蠕蟲就是使用危害的代碼來攻擊網(wǎng)絡(luò)上的受害主機(jī)，并在受害主機(jī)上自我復(fù)制，再攻擊其他的受害主機(jī)的計算機(jī)病毒。其特征：l 自我繁殖l 利用軟件漏洞l 造成網(wǎng)絡(luò)擁堵l 消耗系統(tǒng)資源l 留下安全隱患l 與防火墻互動l 交換機(jī)聯(lián)動l 通知HIDS（基于主機(jī)的入侵檢測）l 報警5 “熊貓燒香”病毒剖析“熊貓燒香”病毒感染機(jī)理:“熊貓燒香”，是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴(kuò)展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。病毒會感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴(kuò)展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址，用戶一但打開了該文件，IE就會不斷的在后臺點擊寫入的網(wǎng)址，達(dá)到增加點擊量的目的。總 結(jié) 計算機(jī)病毒是一種具有很高編程技巧、短精悍的可執(zhí)行程序。計算機(jī)病毒可通過各種渠道感染其它用戶。在某情況下導(dǎo)致計算機(jī)工作失常。所以在我們的日常生活中，對計算機(jī)的日常使用要格外小心，不但要掌握一些簡單的病毒處理方法，還要掌握一些專業(yè)的殺毒知識，這樣才能在日常生活中做到輕松的使用計算機(jī)而不會被病毒困擾。參 考 文 獻(xiàn)1 郝文化.防黑反毒技術(shù)指南