浅谈计算机病毒的原理和防范分析研究 计算机科学与技术专业

目录TOC\o"1-3"\h\u9691摘要 I20879一、计算机病毒的概念及危害 125415（一）计算机病毒的概念 14244（二）计算机病毒的特征 1159961.滋生性 1153023.传染性 1301004.潜伏性 179645.隐蔽性 166236.可触发性 23827（三）计算机病毒的危害 223891二、计算机常见病毒分析与病毒传播 24173（一）计算机常见病毒 2266921.系统病毒 2276792.木马病毒 3250803.脚本病毒 3199944.宏病毒 427359（二）基于网络的病毒传播模式 4211241.通过电子邮件进行传播 4321072.通过扫描系统漏洞传播 5174433.通过无线电的方式传播 64838三、计算机病毒防范技术 64684（一）网络防火墙技术 65046（二）实时反病毒技术 72193（三）漏洞扫描技术 75865（四）计算机病毒免疫技术 723708（五）计算机病毒的检测技术 8212491.特征代码法 831372.软件模拟法 8292823.感染实验法 85329四、计算机病毒防御策略 820417（一）基于主机的检测策略 95670（二）基于网络的检测策略 9909（三）建立行之有效的计算机病毒防护体系 1018186（四）加强工作站的防治技术 1012588结语 113560参考文献 12摘要伴随着计算机系统的不断发展，目前计算机病毒已成为系统以及网络安全的巨大威胁。因此要对计算机病毒常见类型以及基础常识进行把握，在这样的前提下如果遭遇病毒不会变的束手无策。基于此，本文对计算机病毒的定义、传播方式以及受到感染之后的现象进行详细分析，并分析了计算机病毒的传播方式，主要包括基于网络的病毒传播模式、计算机常见病毒、几个经典的计算机病毒传播模型，进一步研究了计算机病毒防御方法，包括基于主机的检测方案、基于网络的检测策略、创建一套完善的病毒防护机制、对防治技术进行不断完善，同时对病毒检测手段进行升级，最后对病毒防范措施进行详细分析，除了漏洞扫描以及防火墙等技术之外，还包括反病毒、计算机病毒免疫技术，以便最大限度地减少计算机病毒造成的危害。关键词：计算机病毒；计算机病毒传播途径；预防计算机病毒一、计算机病毒的概念及危害（一）计算机病毒的概念计算机病毒是程序员为了破坏计算机的功能或数据而插入的程序代码或者相关指令，这些代码或指令对计算机的正常使用可能带来影响。计算机病毒属于最常见的可执行代码以及程序，在特征方面与生物病毒相当类似，不但能够进行大量复制，同时还可以相互感染，而且还具备再生以及活等基本特征。计算机病毒拥有相当强大的复制能力，传播速度相当快，彻底根除难度非常大。而且计算机病毒不许附加到很多种类的文件里面，通过传输或者复制的方式将文件在用户之间进行传递，将与该文件共享该文件。（二）计算机病毒的特征1.滋生性与生物病毒非常相似，计算机病毒还能不断繁殖，即便用户进行正常操作也会不停复制。在判断计算机病毒的时候，其关键依据在于是否具备传染以及滋生的特性。2.破坏性一旦计算机出现病毒，往往导致文件被恶意删除或者程序不能正常运作，最终对计算机带来不同程度的损害。3.传染性计算机病毒感染性意味着计算机病毒可以通过将其他程序修改为其他无毒文件来转移其或其变体。这些文件可以是系统或程序。4.潜伏性潜伏期指的是通过其他媒体进行其中的一种综合能力，这也是计算机病毒的一大特性。入侵后如果条件未达到通常病毒不会攻击系统，但是会减慢计算机的运行速度。5.隐蔽性计算机病毒非常隐蔽，在某些情况下可以被病毒软件检测到。计算机病毒在电脑中常常是隐蔽的、可变的，因此针对这些病毒进行处理难度非常大。6.可触发性编写病毒到时候通常会为病毒专门创建相应的触发条件，比如程序运行、指定的日期或者条件等。如果达到这些条件，计算机病毒马上会对系统发动攻击。（三）计算机病毒的危害通常情况下，当电脑被中毒时，普通的程序就不会起作用了。电脑病毒会以不同的方式删除或损坏档案，一般有以下几种：删除、修改、添加、移除。病毒的强大之处并不在于它的杀伤力，而在于它的滋生能力，一旦它的突变和复制，就很难控制住它的传播。这种病毒最基本的特征就是繁殖，这一点和生物世界很像，可以在不同的生物之间进行传染。在合适的环境下，病毒能快速增殖，使被其侵染的有机体表现出疾病症状，甚至导致死亡。与此类似，电脑病毒也会用不同的方法把它从被感染的电脑传给没有被感染的电脑，造成电脑的故障或瘫痪。许多“木马”主要是通过窃取使用者的个人资料，比如网络银行帐号密码，网络游戏帐号密码等等来达到牟利目的。比如：在做生意的时候，一位淘宝卖家接到了一条信息，说他需要一些服装，但是他去了好几家店铺，都没有找到合适的，对方需要一种和他店铺里差不多的款式，希望他能找到。说着，又给了他一个网络上的链接，他打开一看，里面有许多照片，但是却没有打开，而是被告知他的账户已经被踢出了服务器，这让他不得不再次登录。假如资料被窃取，毫无疑问会对顾客带来巨大的损失，所以在这个充满了各种病毒的环境下，我们不得不说，使用者在使用软体的时候，会有许多担心。二、计算机常见病毒分析与病毒传播（一）计算机常见病毒1.系统病毒对于这些系统病毒，最常见的就是前缀除了Win95、Win32以及W95之外等等。这种病毒有多种作用，除可以通过Windows中的*.

dll和*.

exe等来传染外，还可以利用这些文件来进行病毒的扩散，其中最常见的就是CIH。一般人对电脑病毒的认识都比较浅薄，遇到这种情况的时候很容易手足无措，其实只要知道如何重新安装电脑的方法，就可以很好地处理这个问题，比如说可以从电脑里下载一些抗病毒的程序，对电脑进行即时保护，同时也可以将其杀死。我推荐电脑上的使用者使用360扫描系统来检测那些顽固的病毒，然后将它们清除掉，而像“小红伞”、“Nod32”、“卡巴斯基”、“Average”、“Average”之类的防病毒程序，则是非常有用的。在这些程序当中，

Kabbah、

Risin往往占用较多的系统资源，所以，在正常的程序当中，都会有像是东方微点、nod32这样的杀毒程序。对于这种杀毒程序，一定要注意及时更新，当杀毒程序无法正常运行时，就应该及时的替换其它的杀毒程序。当电脑病毒难以被消灭的时候，一般情况下就是这种病毒是一种新的电脑病毒，也可能是一种变种、

shell等电脑病毒，此时可以使用相应的选择来进行人工终止。2.木马病毒特洛伊木马是以“木马”为名，而黑客则是以“黑客”为名。前者有一个共同的特点，就是利用系统或者网络中的漏洞，将其隐藏在电脑系统中，从而窃取用户的个人信息。对于黑客病毒来说，它的作用就是通过遥控，以可视化的方式，悄无声息地入侵电脑。这两种类型的病毒通常是成双成对的，其中一种主要是攻击电脑的，而另一种则是在整个过程中被完全控制。现在，这两种病毒的融合程度越来越高，例如，

QQ信息木马，

QQ号是3344，会受到

PSW.60,

LMIR等与网络游戏有很大关系的木马攻击。另外，对于“病毒”、“PSW”或者“PWD”这样的名字，往往表示这种病毒能够盗取口令（在英语里，它们往往被简称为“密码”），以及某些类似于“黑客”之类的黑客软件。空荡荡的。Client等一个完整的木马包括两个部分：一个是控制层，另一个是服务层。受害人被称作“服务器”，而“黑客”则会对“服务器”受害人所操作的电脑进行攻击。特洛伊木马在启动的时候，会发出一些让人摸不着头脑的名字，然后将这些名字传给受害人，受害人很难注意到，他们只需要打开一个端口，然后将这些数据发送到对应的地址，这样他们就可以窃取到使用者的密码和账户，然后利用这个端口，对使用者的电脑进行大规模的攻击。3.脚本病毒脚本病毒也是一种较为普遍的病毒，其前缀为

script，其实质是以撰写脚本语言借网站的方式进行扩散，最普遍的有红色代码（Script.

Redlof）。剧本病毒还具有

VBS,JS（命令书写何种剧本），例如，常用的十四日（Js.

Fortnight.

c.

s）和快乐日子（VBS.

Happytime）等。为获取持久利益，一个程序代码的病毒经常采用多种方式跟踪用户。比如，邮件附件的名字往往都带有双后缀，比如.

jpg.

vbs，因为在缺省情况下，系统会将后缀是隐藏的，所以用户往往很少注意到这个文件，所以它经常被视为

JPG文件。而在所有的代码中，最常用的就是“Nimya”这种杀伤力极强的网络病毒。在几年前，“熊猫烧香”和它的变异体就是这种寄生虫。这种病毒的特点是利用Windows的缺陷，当电脑受到影响以后，电脑就会不断的拨打电话号码，并且利用这个档案中的网路分享或是具体的通讯录进行迅速的扩散，从而造成了使用者的大部分私人资料的损失。一般情况下，要通过具有监测功能的反病毒程序来对这些蠕虫进行有效的抑制，并且尽量避免随意的去看那些不熟悉的电子邮箱和附件。4.宏病毒宏病毒是其中最普通的一种，因为它比较特别，所以被排除在外。它的前缀是一个“宏”字，后面是Excel97和Word97，也可以是

Excel和

Word。当该病毒只侵染了老的

word文件和WORD97时，它的最后一个字一般都是Word97，最常用的是

Macro.Word97；而如果只是WORD97等较高阶的WORD文档，一般都会用Word作为前缀，最常用的是

Macro.

Word；当该病毒只侵染了较老的

EXCEL文件和EXCEL97时，它的后置一般都是Excel97，最常用的是

Macro.

Excel

97；而当这种病毒只会传染给更多的

EXCEL文件，比如EXCEL97，那么它就会用Excel作为开头，而最常用的就是宏表和Excel表。而这种新型的病毒，一般都是通过OFFICE来复制自己的基因，从而在OFFIC的基础上，以梅丽莎为代表。（二）基于网络的病毒传播模式基于网络的计算机病毒分布在多个渠道，例如：通过电子邮件，扫描系统间隙，通过无线电等。1.通过电子邮件进行传播以电邮为载体，以编码型病毒为载体进行网络病毒的传播。如果你的邮件中有一个含有病毒的档案，你就可以开启这个档案的附属档案（一般是在你的电脑上按两下附件的图示），把这个档案的附属档案传送到你的电脑上。因为大量的email应用，很多病毒生产商都选择了这样的方式来传播。有两种方式可以用电子邮件来传播。一是将恶意代码输入到了邮箱里。其次，就是将相关的密码恶意的加入到了这个网址当中，然后将这个病毒以以下方式传播了出去：（1）寻找目标病毒可以在通讯簿、历史记录或受感染计算机的电子邮件中的硬盘中，对可以使用的邮件地址进行大范围的搜索。例如，

HTML文件在

Internet文件夹中被暂时保存，这种类型的文件中很有可能会有详细的电邮地址。只要电脑上安装了电子邮件，就能迅速读取出具体的地址。(2)复制和发送自己的文件在寻找可以使用的电子邮件地址时，病毒一般会将自己复制出来，然后向外界发送，但是有些病毒很隐蔽，一般不会将自己的电子邮件发给病毒，而是会先将使用者的电子邮件给感染。改变系统设定是最常用的电邮HTML的预设形式，当使用者把讯息传送到其他地方时，病毒会尽快地影响讯息的内容。（3）激活病毒代码如果接受方接收到了病毒编码，那么一般情况下，病毒并不会活动，而是需要使用者来启动。所以，这个病毒就会尝试着给这个使用者启动它的病毒密码。这种病毒能制造出各种各样的具有误导性的标题和内容来诱骗用户。比如，“我爱你”这种名为“笑话”的病毒，会用来开启含有该病毒的电子邮件，并在此之后启动该密码。2.通过扫描系统漏洞传播这个病毒是一个单独的软件，不是安装在主文件夹里的。他的传输方法就是在网络上，通过网络上的一个漏洞来对电脑进行远程认证，然后通过这个漏洞，让电脑受到各种程度的破坏。该蠕虫获取系统控制权限的方法主要有：(1)对系统缺陷的利用通常，这种病毒会利用系统的软件和缺陷，大规模地扩散，例如，某些版本的浏览器可以自动浏览EML文件。和email不一样，蠕虫病毒经常利用它的系统缺陷来遥控计算机。也就是说，它会先控制住对方的主机，然后再制造一个分身，然后在入侵对方的电脑系统后，将其毁灭。（2）使用LAN进行传播一些局域网管理员因为工作中的忽视或缺少安全认识，使得一些局域网中的一些电脑可以被远程地写到一些电脑上。这往往是蚯蚓的可乘之机。为了分享，病毒可以在局域网中被拷贝到一个可写入的引导文件。一些病毒发现了win.ini可以保存在本地网上，或是修改了它的登录，使它在下次重新启动时继续工作。(3)该病毒也可以通过该网络，对大量的IIS从等网络中的缺陷进行使用，从而达到对该网络中的一个远程网络的目的。在这种情况下，任何进入该网站的人，都会受到该病毒的影响。3.通过无线电的方式传播无线电波可以将病毒传送到其它的电子系统中，并且可以将其连同接收者一同传送到标签上。利物浦大学的电脑、电子与电子学院的研究员们，已经在实验室里研制出了一种“变色龙”病毒，并对其进行了仿真。这个示范将会找到家用及商业接入点来连接到Wi-Fi网路上的无线路由器。无线保真网路不但扩散迅速，而且也省去了侦测与判断何种密码与口令对无线保真存取点最脆弱的侦测与判定。它也可以模仿无线信号的正常传送，将病毒编码传送出去，并且在传送的时候，还可以将病毒编码的正确性和正确性混合在一起。当该病毒入侵到一个计算机系统后，该计算机系统就会自动地被入侵，从而起到防护作用。三、计算机病毒防范技术（一）网络防火墙技术防火墙是最常用的一种安全分离方法，它的实质是一个信息存取控制体系，它是一个内部网络与外部网络之间的一个安全防护系统。该系统将内部网络和外部网络隔离开来，并把使用者限定在严密的保护范围之内。通常情况下，在进行通讯的时候，会对其进行严格的控制标准，它的目的是为了防止没有获得权限的其他人进入到这里，并且还能够防止有人对网络进行了袭击，或是对数据和设备造成了损害。一般情况下，在安全的企业内部网与网际网路的交界处，会配置一道防火墙。因特网，也可以对因特网中的重要资料和服务器进行防护。即使是从内部网络登陆，为了更好地保障信息的安全，也需要利用内部网络的安全屏障来屏蔽信息。防火墙安保系统一般采用的是拓朴，以该拓朴为依据，可保证网络运行的安全，与此同时，利用数据整合，对网络数据的安全性进行了全面的提高。在因特网上，在多种不同的情况下使用该防火墙。因此，在计算机系统中，防火墙扮演了一个非常关键的角色。通过使用防火墙来保证一个完整的、可靠的、可靠的计算机网络。它是保证计算机系统的安全性的必要前提。在表格1中列出了电脑的防火墙。表1计算机各类防火墙对比分类特点简单包过滤防火墙应用层控制很弱，效率高状态检测包过滤防火墙数据包过滤对用户透明，效率高应用代理防火墙应用层控制很弱，检测性能高（二）实时反病毒技术新型计算机的病毒给防病毒程序带来了很大的困难，而防病毒技术正是基于这种情况而产生的。在控制面板上还安装了大量的防病毒卡片，用于对电脑中可能存在的病毒进行实时监测，并对可能出现的病毒进行预警。目前，对杀毒技术进行了即时监测。在被呼叫前，所有的程式都会先经过筛选。电脑中的病毒一被破解，就会报警，并会自行清除。（三）漏洞扫描技术无论是系统还是应用软件，漏洞都是无法避免的。这种漏洞带来了安全性危险。所以，要尽快解决新出现的缺陷，并且尽快地进行更新和修补工作。通过这种方法，可以从内部发现软件设计中存在的问题。该方法能有效地探测出被攻击者所使用的各类错误的设置和系统缺陷。这是一种能在局部和远端的宿主上，能够自动发现是否存在安全性缺陷的程式。其中，POP3的缺陷扫描、FTP缺陷扫描、SSH缺陷扫描、

HTTP缺陷扫描等是目前国内外研究的热点。（四）计算机病毒免疫技术病毒免疫力意味着系统已感染病毒，但病毒已被处理或移除，系统不再受到类似病毒的感染和攻击。目前，常用的免疫方法对某些计算机病毒具有计算机病毒免疫力，但这种方法不能防止计算机病毒的破坏行为，另一种是基于自我完整性测试的计算机病毒免疫程序。原则是可执行文件添加了一个可以从自身恢复信息的免疫shell。（五）计算机病毒的检测技术1.特征代码法对于现有的已知病毒，最高效、方便的监控方式是特征识别法，其基本原理是通过对病毒编码的细致解析，从病毒编码库中获取其特有的特征信息，形成“病毒数据库”。精确地扫描监控到的程序，然后在这个基础上，找到病毒库中的代码。如果找到的编码是一模一样的，则说明该计划已经被病毒感染了。2.软件模拟法变异的病毒在被传染的时候改变了自己的编码，签署编码的方法对该病毒来说是不正确的。因为多形的病毒是经过密码处理的，而且每个案例中所用的关键字都是不一样的，所以被感染的档案中的病毒程式码也是有差异的。所以，不能发现同样的稳定代码作为一个功能。对于变异的病毒，可用软件仿真的方式进行分析。这是一个软体分析器，利用软件方法，来仿真程式的运作，并把结果输出至一台可供药物测试之用的虚拟机。新的侦测工具利用一种软体模仿的方式来侦测过程的初始阶段所产生的病毒。若疑似有隐匿或变异的，则会由软体模拟模组对其进行监控。当一个病毒本身的口令被译码之后，就会执行签署的方式来辨识该病毒的型别。3.感染实验法该技术的原则是利用了一种病毒的最基本特性：受感染特性。所有的病毒都是受到了传染的，而不是被传染的，那就不叫病毒了。如果系统没有正确地反应，那么发现工具的最新版将不会被发现。我们能做传染试验。在对该软件进行了测试之后，再对该软件进行测试，就可以确定该软件是否被下了毒。这样我们就能看到这些常规计划的长短以及检查结果了。当我们看到一些软件在发展，或者是经过了测试，或者是修改，我们就可以说是一个病毒感染了你的系统。四、计算机病毒防御策略要想对病毒攻击进行有效应对，其中最理想的途径为避免病毒在网络里面大范围传播。不过网络自身运行技术相当复杂，因此仍然难以预防病毒。目前，计算机病毒的预防和控制仅基于检测和清除。防病毒的常见类型主要包括两大类，其一为以网络作为基础的防病毒手策略，另一种则为以主机作为基础的防病毒策略。（一）基于主机的检测策略基于主机的方面策略主要包括三个部分：一是认证技术，二是存取控制，三是特征匹配。(1)签名匹配：对抵达宿主的编码进行比对，以判断编码是否具有破坏性。特征扫描技术是根据“同一病毒或者该病毒只包含同一编码的一小块”来进行的。简单来说，当一个病毒和一个变异体有了某些共性时，就可以把他们叫做“签名”，然后，把这个“签名”和一个程序的本体相对比，就可以把这个病毒找出来。要想阻止新的病毒，就得利用病毒特征扫描的方式来进行检测。否则，标识就会消失。当没有发现新的病毒特征时，不能发现新的病毒特征。(2)访问控制技术：恶意代码必须要混入到计算机系统中，才能获得相应的操纵权限，从而对计算机造成破坏。如果你可以控制相应的系统，那么你就有足够的能力完成一项任务。就算被植入了恶意程序，也不可能被破坏。病毒检测能够检测和甄别异常程序代码和指令，对系统安全等级进行有效排序，并结合病毒代码自身属性，合理分配权重。当这些数据的权重之和超过了预定的关闭状态时，就可以确定这个程序中有病毒了。(3)整合技术，一般情况下，病毒编码不是独立的，而是以一种特殊的方式，通过嵌套的方式，或与其它的软件相结合。一个软件，一个文档，一旦被病毒侵染，就会被摧毁。当您在使用本文档的时候，一定要经常核对文档的内容与原件的相符，或者在每一次的应用之前核对文档的完整性，最后再确认文档没有受到污染。文件的完整性检测技术在两个方面对文件进行了检测。在没有做什么改变的情况下，要想成功地被病毒传染是非常困难的，所以，在目前广泛应用的情况下，对一个病毒进行完整性测试是非常困难的。为了更好地保护自己的电脑，需要在电脑中设置相关的防毒程序，并及时的进行升级。不难发现，经营费用通常都很高，而且经营的整体性不强。（二）基于网络的检测策略基于互联网的病毒探测技术中，除滥用探测技术外，还有一种特殊探测技术。(1)异常探测：在一个病毒的扩散期间，通常会传送大量的扫描信息，这个时候的网络通信量会有一个显著上升的变化。所以，如何检测到这些病毒的异常，然后制定相应的对策，是目前最好的抗病毒策略。异常探测能够迅速发现网络中的异常数据，消除数据阻塞，消除数据的大规模扩散。它不仅可以在很短的时间内，还可以在很短的时间内，探测到一些未知的病毒，但也有一个缺点，那就是虚警率很高。(2)误用探测：这一技术也是以特征码为基础的。滥用检测要通过对所识别的数据流和签字库中的签字进行全面的比较，从而判断出数据流是否被病毒污染。签署的原则，除常用的端口号码和协定类型以外，还包含封包和签署字元等。这种方法有一个优点，就是可以精确地对某种特殊种类的病毒进行识别，但是它也有一个缺点，那就是对不明的病毒很难进行迅速的检测，并且对病毒签名的管理往往要花费大量的资源和人员。（三）建立行之有效的计算机病毒防护体系计算机防病毒系统由多层保护组成，如病毒检测层，病毒清除层，系统恢复层和访问控制层。每个保护层通常与软件和硬件支持一起使用。关闭硬件是计算机保护的重要要求。这些信息系统中使用的设备必须严格按照国家安全法规执行，并拥有自己的制造公司和产品