病毒入侵微机的途径与防治研究

中央广播电视大学空军学院学生毕业论文题目:病毒入侵微机的途径与防治研究姓 名 周 锋 学 号 专 业 计算机及应用 指导教师 2012 年 05 月 20 日摘要随着科技的进步计算机不断普及，其利用率越来越高，应用领域也越来越广。以计算机为单元的网络系统更已经成为了人类所构建的最丰富多彩的虚拟世界，计算机网络的诞生与发展，给我们日常的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。但是计算机的产生也是一把双刃剑，在给人们带来快乐满足的同时却也随着计算机加入网络系统而计算机安全受到了越来越多的威胁。计算机的稳定与安全也受到人们越来越多的关注。目前计算机系统漏洞不断被发现，病毒与黑客的技巧和破坏能力不断提高，处于网络中的计算机受到了越来越多的攻击。每天成千上万的病毒、蠕虫、木马、垃圾邮件在网络上传播，阻塞甚至中断网络，破坏计算机系统或丢失个人重要信息等；这些新型的混合威胁越来越给个人和企业都造成巨大的损失，而对于上述威胁，传统方式将无法有效地阻止动态病毒的侵犯。在网络日益复杂化，多样化的今天，如何有效的动态保护计算机的应用，不被病毒等恶意信息攻击，早已引起了社会的极大关注。为了加强目前计算机防护能力，我们需要深入研究病毒入侵计算机系统的路径，以及如何在这些路径上进行相应的防治手段的执行。这种根据路径而进行的拦截式防治的思路，无疑是最适宜的计算机系统安全防范思路。而这种思路的深入探讨对于保障计算机的运行可靠性和完整性有着极为重要的意义。关键词 ：计算 机病毒信息安全 入侵途径 防治措施 目 录第一章 计算机病毒 .- 4 -第二章 计算机病毒入侵途径 .- 7 -第三章 计算机病毒的预防措施 .- 8 -第四章 个案分析 .- 15 -结束语 .- 18 -参考文献 .- 18 -第一章 计算机病毒1.计算机病毒的概述提起计算机病毒，绝大多数计算机的使用者都会深恶痛绝，因为没有“中过招”的人已经是凤毛麟角了。但在谈虎色变之余，很多人对计算机病毒又充满了好奇，对病毒的制造者既痛恨又敬畏。这种复杂的感情实际上很容易理解，就像古人面对大自然的感情一样，因为无法解释风雨雷电，也就只能制造神话，崇拜图腾了。 计算机病毒当然不值得崇拜，它给社会信息化的发展制造了太多的麻烦，每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元。但同时，它也催化了一个新兴的产业信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术这一根根救命稻草，使很多企业和个人用户免遭侵害，在很大程度上缓解了计算机病毒造成的巨大破坏，同时，越来越多的企业加入到信息安全领域，同层出不穷的黑客和病毒制造者做着顽强的斗争。 但稻草毕竟是稻草，救得一时不一定救得一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发，无论从产品线还是从技术角度来讲，都已经达到了相当完善的程度。但是，再好的产品，如果不懂得如何去使用，发挥不了产品真正的优势，又与稻草有什么区别呢？很多用户在被病毒感染以后才想起购买杀毒软件，查杀以后就再也不管，没有定期的升级和维护，更没有根据自己的使用环境的特点，制定相应的防范策略，可以说把产品的使用效率降到了最低，这样的状态，怎能应付日新月异的病毒攻击呢？ 那么，如何将手中的稻草变成强大的武器，当危险临近时，能够主动出击，防患于未然呢？笔者认为，关键的问题在于对“对手”的了解。正如我们上面举过的例子，我们现在之所以对很多自然现象习以为常，是因为我们对其成因有了最基础的了解，这样才可能未雨绸缪，配合手中的工具，防患于未然。1.1 计算机病毒的含义编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus） 。具有破坏性，复制性和传染性。1.2 计算机病毒的特性寄生性：计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。传染性：传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪.潜伏性：有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。 隐蔽性：计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序，如不经过程序代码 分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。破坏性：计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 。通常表现为：增、删、改、移。 可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。除了上述五点外，计算机病毒还具有不可预见性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清除工作带来了很大的难度。 随着计算机应用的不断发展病毒又出现一些新的特性如：利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。1.3 计算机病毒的类型从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以 10 种/ 周的速度递增，另据我国公安部统计，国内以 4 至 6 种/月的速度递增。 按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。按照计算机病毒攻击的系统分类（1）攻击 DOS 系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的 99。（2）攻击 Windows 系统的病毒。由于 Windows 的图形用户界面（GUI）和多任务操作系统深受用户的欢迎，Windows 正逐渐取代 DOS，从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的 CIH 病毒就是一个 Windows 95/98 病毒。（3）攻击 UNIX 系统的病毒。当前，UNIX 系统应用非常广泛，并且许多大型的操作系统均采用 UNIX 作为其主要的操作系统，所以 UNIX 病毒的出现，对人类的信息处理也是一个严重的威胁。按照计算机病毒的破坏情况分类（1）良性计算机病毒。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。（2）恶性计算机病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，这是其本性之一。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否，或至少发出警报提醒用户注意。按照计算机病毒的寄生部位或传染对象分类（1）磁盘引导区传染的计算机病毒。磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。（2）操作系统传染的计算机病毒。操作系统是一个计算机系统得以运行的支持环境，它包括.com、.exe 等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。（3）可执行程序传染的计算机病毒。可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。1.4 计算机中毒后的症状（1）平时运行正常的计算机，却变得迟钝起来，反应缓慢，出现蓝屏甚至死机。（2）程序载入的时间变长。（3）可执行程序文件的大小改变了。（4）对一个简单的工作，存取磁盘却花了比预期长得多的时间才能完成。（5）没有存取磁盘，但磁盘指示灯却一直在亮。（6）开机后出现异常的声音、画面、提示信息以及不寻常的错误信息或乱码。（7）系统内存或硬盘的可用容量突然大幅减少。（8）文件名称、扩展名、日期、属性等被更改过。（9）文件的内容改变或被加上一些奇怪的资料。1.5 算机病毒的现状及发展趋势（1）计算机网络成为计算机病毒的主要传播途径。计算机病毒最早只通过文件复制进行传播，当时最常见的传播媒介是软盘和光盘。随着计算机网络的发展，目前计算机病毒往往通过网络进行传播。计算机网络的发展使得计算机病毒的传播速度大大提高，感染的范围也越来越广。可以说，网络化带来了计算机病毒传染的高效率。（2）计算机病毒变种的速度极快并向混合型、多样化发展。 “熊猫烧香” 大规模爆发不久，它的变形病毒就接踵而至，并且不断更新。 “熊猫烧香“ 最早出现在 2006 年的11 月。到 2007 年 4 月已经有数十个不同变种。后来经病毒始作者交待：多数变种都是他人所为，这令他自己也始料不及。另外计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧，另一些病毒会更复杂，混合多种病毒特征，如红色代码病毒(Code Red)就是综合了文件型、蠕虫型病毒的特性，这种发展趋势会造成反病毒工作更加困难。（3） 利用系统漏洞进行攻击和传播。操作系统是联系计算机用户和计算机系统的桥梁，也是计算机系统的核心，目前应用最为广泛的是 WINDOWS 系列的操作系统。2003 年的“蠕虫王 ”、 “冲击波”和 2004 年的“震荡波”、2007 年的“ 熊猫烧香”都是利用WINDOWS 系统的漏洞，在短短的几天内就造成了巨大的社会危害和经济损失。开发操作系统是个复杂的工程，出现漏洞及错误是难免的。正是这样才给了计算机病毒和黑客一个很好的表演舞台。当然用辩证的观点来对待这个问题：病毒和黑客的存在，也激励各软件厂商和网络管理人员不断改进和加强系统的安全性，从而达到不断自我完善自我发展之目的。（4）计算机病毒技术与黑客技术将日益融合。因为它们的最终目的是一样的：破坏和牟利。严格来说，木马和后门程序并不是计算机病毒，因为它们不能自我复制和扩散。但随着计算机病毒技术与黑客技术的发展病毒编写者最终将会把这两种技术进行融合。第二章 计算机病毒入侵途径2.1 计算机病毒入侵途径（1）木马入侵 。木马有可能是黑客在已经获取我们操作系统可写权限的前提下，由黑客上传的;也可能是我们不小心，运行了包含有木马的程序，最多的情况还是我们防范意识不强，随便运行了别人发来的“好玩”的程序。所以，我们自己要多加注意，不要随意打开来历不明的电子邮件及文件，不要随便运行别人发来的软件，之前要查毒。安装木马查杀软件并及时更新。（2）ipc$共享入侵 。ipc$是为了方便远程管理而开放的共享，这个功能对个人用户来说用处不大，反而给黑客入侵提供了便利。个人用户应禁止自动打开默认共享，给自己的帐户设置复杂密码，最好是数字、字母以及特殊符号相结合，安装防火墙。（3）iis 漏洞入侵 。IIS （Internet Information Server）服务为 Web 服务器提供了强大的 Internet 和 Intranet 服务功能。主要通过端口 80 来完成操作，因为作为 Web 服务器，80 端口总要打开，具有很大的威胁性。长期以来攻击 IIS 服务是黑客惯用的手段，远程攻击者只要使用 webdavx3 这个漏洞攻击程序和 telnet 命令就可以完成一次对 iis 的远程攻击，这种情况多是由于企业管理者或网管对安全问题关注不够造成的。我们要时刻关注微软官方站点，及时安装 iis 的漏洞补丁。 （4）网页恶意代码入侵 。在我们浏览网页的时候不可避免的会遇到一些不正规的网站，当打开一个网页后，就发现注册表和 IE 设置被修改了，这就是网页恶意代码造成的破坏，但是这种网页恶意代码有着更大的危害，很有可能在我们不知道的情况下下载木马，蠕虫等病毒，同时把我们的私人信息，如银行帐号，QQ 帐号，游戏帐号泄露出去。要避免被网页恶意代码感染，首先关键是不要轻易去访问一些并不信任的站点，尤其是一些带有美女图片等的网址。安装具有注册表实时监控功能的防护软件，做好注册表的备份工作，禁用 Remote Registry Service 服务。（5）通过软盘：通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。（6）通过硬盘：通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。（7）通过光盘：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。 （8）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着Internet 的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet 带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数 Internet 邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。第三章 计算机病毒的预防措施我国目前的病毒疫情呈现出两种趋势：一种趋势是国外流行的网络化病毒大肆侵袭我国的计算机网络。另一种趋势是出现大量本土病毒，并且传播能力和破坏性越来越强。为了有效降低病毒的危害性，提高我们对病毒的防治能力，我们每一个计算机用户都应积极参与到病毒防治工作上来。3.1 判断病毒（1）反病毒软件的扫描法 。这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV300、KILL、PC-cillin 、VRV、瑞星、诺顿等。（2）观察法 。这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，（3）内存观察 。这一方法一般用在 DOS 下发现的病毒，我们可用 DOS 下的“mem/c/p”命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中） ，有的病毒占用内存也比较隐蔽，用“mem/c/p”发现不了它，但可以看到总的基本内存 640K 之中少了那么区区 1k 或几 K。 （4）注册表观察法 。这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunSevices HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion RunOnce 等等，在其中对注册表中可能出现的地方会有一个比较详尽的分析。 （5）系统配置文件观察法 。这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在 system.ini 、wini.ini（Win9x/WinME ）和启动组中，在 system.ini 文件中有一个“shell=”项，而在 wini.ini 文件中有“load= ”、 “run= ”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行 Win9x/WinME 中的 msconfig.exe 程序来一项一项查看。 （6）特征字符串观察法 。这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如 CIH 病毒就会在入侵的文件中写入 “CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如 Explorer.exe)运用 16 进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。 （7）硬盘空间观察法 。有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件，相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可。有了识别计算机病毒的方法，那计算机具体中毒都有哪些表现了？根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类，即：计算机病毒发作前、发作时和发作后的表现现象：首先，计算机病毒发作前的表现现象计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现同时，又自我复制，以各种手段进行传播。以下是一些计算机病毒发作前常见的表现现象：（1）平时运行正常的计算机突然经常性无缘无故地死机 病毒感染了计算机系统后，将自身驻留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生 （2）操作系统无法正常启动 关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。（3）运行速度明显变慢 在硬件设备没有损坏或更换的情况下，本来运行速度很快的计算机，运行同样应用程序，速度明显变慢，而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不足，运行变慢。（4）以前能正常运行的软件经常发生内存不足的错误 某个以前能够正常运行的程序，程序启动的时候报系统内存不足，或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减小。需要注意的是在 Windows 95/98 下，记事本程序所能够编辑的文本文件不超过 64Kb 字节，如果用 “复制粘贴”操作粘贴一段很大的文字到记事本程序时，也会报“内存不足，不能完成操作” 的错误，但这不是计算机病毒在作怪。（5）打印和通讯发生异常 硬件没有更改或损坏的情况下，以前工作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码。串口设备无法正常工作，比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务