计算机病毒解析与防范

1、题目：计算机病毒解析与防范摘要计算机病毒被喻为21世纪计算机犯罪的五大手段之一，并排序为第二。计算 机病毒的攻击性，在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿 用户受着计算机病毒的困扰，有些还陷入极度的恐慌之中。事实上人们产生上述 不安的原因，在与对计算机病毒的误解，广大计算机用户有必要对计算机病毒的 一些知识有一个比较明确的认识和全面的科学态度。关键词：计算机病毒 病毒的困扰 病毒的误解 病毒的认识 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 1绪论 1 HYPERLINK l bookmark4 o Curren

2、t Document 2计算机病毒的概述 2 HYPERLINK l bookmark6 o Current Document 计算机病毒的定义 2 HYPERLINK l bookmark8 o Current Document 计算机病毒的特性 2 HYPERLINK l bookmark10 o Current Document 3计算机病毒的分类 4 HYPERLINK l bookmark12 o Current Document 3.1计算机病毒的基本分类 4 HYPERLINK l bookmark14 o Current Document 4计算机病毒防范和清除的基本原则和技术

3、 6 HYPERLINK l bookmark16 o Current Document 计算机病毒防范的概念和原则 6 HYPERLINK l bookmark18 o Current Document 计算机病毒防范基本技术 6 HYPERLINK l bookmark20 o Current Document 消除计算机病毒的基本方法 6 HYPERLINK l bookmark22 o Current Document 典型计算机病毒的原理、防范和清除 6 HYPERLINK l bookmark24 o Current Document 5 “熊猫烧香”病毒剖析 10总结 11致词t

4、 错误！未定义书签。 HYPERLINK l bookmark26 o Current Document 参考文献 121绪论入了信息社会，创造了计算机，计算机虽然给人们的工作和生活带来了 便利和效率，然而计算机系统并不安全，计算机病毒就是最不安全的因素之 一，它会造成资源和财富的巨大浪费， 人们称计算机病毒为“21世纪最大的 隐患”，目前由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长 期共存。因此，研究计算机病毒及防范措施技术具有重要的意义。2计算机病毒的概述随着社会的不断进步，科学的不断发展，计算机病毒的种类也越来越多， 但终究万变不离其宗！计算机病毒的定义一般来讲，只要能够引起计

5、算机故障，或者能够破坏计算机中的资源的 代码，统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一 个具有法律性、权威性的定义：”计算机病毒，是指编制或者在计算机程序 中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的 一组计算机指令或者程序代码。”这就是计算机病毒。计算机病毒的特性隐藏性与潜伏性计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。它通常内 附在正常的程序中，用户启动程序同时也打开了病毒程序。计算机病毒程序 经运行取得系统控制权，可以在不到1秒钟的时间里传染几百个程序。而且在传染操作成后，计算机系统仍能运行，被感染的程序仍能执行，这就是 计机病毒传染的

6、隐蔽性计算机病毒的潜伏性则是指，某些编制巧的计算机病毒程序，进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件 中，对其它系统文件进行传染，而不被人发现。传染性计算机病毒可通过各种渠道（磁盘、共享目录、邮件）从已被感染的计算机扩 散到其他机器上，感染其它用户.在某情况下导致计算机工作失常。表现性和破坏性任何计算机病毒都会对机器产生一定程的影响， 轻者占用系统资源，导致系 统运行速度大幅降低.重者除文件和数据，导致系统崩溃。可触发性病毒具有预定的触发条件，可能是时间、日期、文类型或某些特定数据等。一旦 满足触发条件，便启动感染或破坏作，使病毒进行感染或攻击；如不满足，继续 潜伏。有些病毒针对

7、特定的操作系统或特定的计算机 。欺骗性和持久性计算机病毒行动诡秘，计算机对其反应迟，往往把病毒造成的错误当成事实 接受下来。病毒程序即使被发，已被破坏的数据和程序以及操作系统都难以恢复。 在网络操作情况下，由于病毒程序由一个受感染的拷贝通过网络系统反复传，病毒程序的消除愈加复杂。除了上述五点外，计算机病毒还具有不可预见性、衍生性、针对性、等特点。 正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清除工作带来 了很大的难度。3计算机病毒的分类计算机病毒的基本分类传统开机型计算机病毒纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统，然后再伺机感 染其他的软盘或者硬盘，例如：“Ston

8、ed 3 ”（米开朗基罗）。隐形开机型计算机病毒此类计算机病毒感染的系统，再行检查开机区，得到的将是正常的磁区资料， 就好像没有中毒一样，此类计算机病毒不容易被杀毒软件所查杀，而防毒软件对于未知的此类型计算机病毒，必须具有辨认磁区资料真伪的能力。此类计算机病毒已出现的尚有“ Fish” .档案感染型兼开机型计算机病毒档案感染型兼开机型计算机病毒时利用档案感染时司机感染开机区，因而具有双中的行动能力，此类型较著名的计算机病毒有“Cancer”。目录型计算机病毒本类型计算机病毒的感染方式非常独特，“Dir2”即其代表，此类计算机病 毒仅修改目录区（Root）,便可达到其感染目的。传统档案型计算机病

9、毒传统档案型计算机病毒最大的特征， 便是将计算机病毒本身植入档案，使档 案膨胀，以达到散播传染的目的。代表有“13 Firday千面人计算机病毒千面人计算机病毒是指具有自我编码能力的计算机病毒，“1701下雨”等，为这种类型主要代表，此种计算机病毒编码的目的，是使其感染的每一个档案， 看起来皆不一样，干扰杀毒软件的侦测，不过千面人计算机病毒仍会留下的这个 “小辫子”，将其绳之以法。突变引擎病毒有鉴于前面人计算机病毒一个接一个被截获，边有人编写出一种突变式计算机病毒，使原本千面人计算机病毒无法解决的程序开头相同的问题得到克服，并编写成OBJ副程序，供他人植草此类计算机病毒，即 Mctation

10、engine。尽管如 此，这类计算机病毒仅干扰了扫毒式软件， 对其他方式的防毒软件并没有太大的 影响。隐形档案型计算机病毒此类病毒可以避开去多防毒软件，因为隐形计算机病毒能直接植入 DOS8统 的作业环境中，当外部程序呼叫DOS断服务时，便同时执行到计算机病毒本身， 使得计算机病毒能从容地将受其感染的档案，粉饰成正常无毒的样子。此类计算 机病毒有“ 4096”等。终结型计算机病毒终结性计算机病毒能追踪磁盘操作终端的原始进入点，当计算机病毒取得磁 盘原始中断时，便可任意再磁盘上修改资料或普哦坏资料，而不会惊动防毒程序， 这就是说，装有防毒程序和美妆防毒程序的情况是一样的危险。这类计算机病毒 有的

11、采用INT 1单步执行的方式，逐步追踪磁盘中断的过程，找出BIOS磁盘中断的部分，供计算机病毒内部使用；有的采用死机的方式，记录几个BIOS版本的磁盘中断原始进入点，当计算机病毒遭到熟悉的BIOS版本，便可直接呼叫磁盘中断，对磁盘予取予求；有的则分析磁盘中断的程序片段，找出 BIOS中的相 似部分便可直接呼叫磁盘中断。其代表有“ Hammer 6等。Word巨集计算机病毒Word 巨集计算机病毒可以说时目前最新的计算机病毒种类了，它是文件型 计算机病毒，异于以往以感染磁盘区或可执行的档案为主的计算机病毒，此类病毒时利用Word提供的巨集功能来感染文件。目前已经在 Internet及BBS网络

12、中发现不少Word巨集计算机病毒，而且此类计算机病毒是用类似Basic程序编写出来的，易学，其反战速度一定很快。4计算机病毒防范和清除的基本原则和技术计算机病毒防范的概念和原则计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度， 即使发 现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，回复受影 响的计算机系统和数据。原则以防御计算机病毒为主动，主要表现在检测行为的动态性和防范方法的 广谱性。计算机病毒防范基本技术计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵，就拦截、阻击计算机 病毒的入侵或立即警报。清除计算机病毒的基本方法简单的工具治疗简单工具治疗是指使用Debug等简

13、单的工具，借助检测者对某种计算机病毒 的具体知识，从感染计算机病毒的软件中摘除计算机代码。但是，这种方法同样 对检测者自身的专业素质要求较高，而且治疗效率也较低。专用工具治疗使用专用工具治疗被感染的程序时通常使用的治疗方法。专用计算机治疗工具，根据对计算机病毒特征的记录，自动消除感染程序中的计算机病毒代码， 使 之得以恢复。使用专用工具治疗计算机病毒时，治疗操作简单、高效。从探索与 计算机病毒对刚的全过程来看，专用工具的开发商也是先从使用简单工具进行治 疗开始，当治疗获得成功后，再研制相应的软件产品，使计算机自动地完成全部 治疗操作。典型计算机病毒的原理、防范和清除引导区计算机病毒系统引导区时

14、在系统引导的时候，进入到系统中，获得对系统的控制权，在 完成其自身的安装后才去引导系统的。称其为引导区计算机病毒时因为这类计算机病毒一般是都侵占系统硬盘的主引导扇区I/O分区的引导扇区，对于软盘则侵占了软盘的引导扇区。它会感染在该系统中进行读写操作的所有软盘，然后再由这些软盘以复制的方式和引导进入到其他计算机系统，感染其他计算机的操作系统。如何检测呢？查看系统内存的总量与正常情况进行比较检查系统内存高端的内容检查系统的INT 13H中断向量检查硬盘的主引导扇区、DO劭区引导扇区以及软盘的引导扇区用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。此时， 如果用户事先提取并保存了自己硬盘

15、中分区表的信息和DO劭区引导扇区信息，那么，恢复工作变得非常简单。可以直接用Debug将这两种引导扇区的内容分别 调入内存，然后分别回它的原来位置，这样就消除了计算机病毒。文件型计算机病毒文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上， 当文件装 入系统执行的时候，引导计算机病毒程序也进入到系统中。只有极少计算机病毒 程序感染数据文件。此类病毒感染对象大多是系统的可执行文件，也有一些还要对覆盖文件进行 传染，而对数据进行传染的则少见。(1)确定计算机病毒程序的位置，是驻留在文件尾部还是在文件首部。找到计算机病毒程序的首部位置(对应于在文件尾部驻留方式)，或者尾 部位置(对应于在文件首

16、部驻留方式)。恢复原文件头部的参数。(4)修改文件长度，将源文件写回。脚本型计算机病毒主要采用脚本语言设计的病毒称其为脚本病毒。实际上在早期的系统中，计 算机病毒就已经开始利用脚本进行传播和破坏，不过专门的脚本病毒并不常见。 但是在脚本应用无所不在的今天，脚本病毒却成为危害最大，最为广泛的病毒， 特别是当他和一些传统的恶性病毒相结合时，其危害就更为严重了。其主要有两种类型，纯脚本型，混合型。它的特点有以下几方面：编写简单破坏力大感染力强传播范围大（多通过E-mail ,局域网共享，感染网页文件的方式传播）计算机病毒源码容易被获取，变种多欺骗性强使得计算机病毒生产机事先起来非常容易禁用文件系统对

17、象FileSystemObject卸载 Windows Scripting Host删除vbs, vbe, js , jse文件后缀与应用程序映射在Windows目录中，找到 WScript.exe ,更改名称或者删除要彻底防止vbs网络蠕虫病毒，还需要设置一下浏览器禁止OE的自动收发电子邮件功能显示所有文件类型的扩展名称将系统的网络连接的安全级别设置至少为“中等”特洛伊木马计算机病毒特洛伊木马也叫黑客程序或后门病毒，是指吟唱在正常程序中的一段具有特 殊功能的程序，其隐蔽性及好，不易察觉，是一种极为危险的网络攻击手段。其第一代：伪装性病毒，第二代：AIDS型木马，第三代：网络传播性木马如何检查

18、？稽查注册表检查你的系统配置文件备份重要数据立即关闭身背电源备份木马入侵现场修复木马危害蠕虫计算机病毒蠕虫是一种通过网络传播的恶性计算机病毒，它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等。同时自己有自己一些特征，如利用文件寄生, 对网络造成拒绝服务以及和黑客技术相结合等。简单点说，蠕虫就是使用危害的代码来攻击网络上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的计算机病毒。其特征：自我繁殖利用软件漏洞造成网络拥堵消耗系统资源留下安全隐患与防火墙互动交换机联动通知HIDS （基于主机的入侵检测）报警5 “熊猫烧香”病毒剖析“熊猫烧香”病毒感染机理：“熊猫烧香”，是一个感染型的蠕虫病毒， 它能感染系统中exe, com, pif , src , html , asp等文件，它还能中止大量 的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST勺备份文件，使用户的系统备份文件丢失。被感染的