计算机病毒及防范措施研究Word文档格式.docx
- 文档编号:19525070
- 上传时间:2023-01-07
- 格式:DOCX
- 页数:20
- 大小:367.95KB
计算机病毒及防范措施研究Word文档格式.docx
《计算机病毒及防范措施研究Word文档格式.docx》由会员分享,可在线阅读,更多相关《计算机病毒及防范措施研究Word文档格式.docx(20页珍藏版)》请在冰豆网上搜索。
1.2计算机病毒的基本特征与本质
1.计算机病毒的基本特征
计算机病毒特点有:
寄生性、传播性、潜伏性、隐蔽性、破坏性、可触发性[2]。
寄生性:
计算机病毒是不可以独立存在的,只能依附在其他的程序或者文件上,当某个文件被运行的时候,计算机病毒则被激活,而不运行该文件,病毒则一直出去潜伏状态。
隐蔽性:
有的计算机病毒解决起来十分的麻烦,因为它们变化多端,有时能被杀毒软件检测出来,有时不能,时而有时而无,十分棘手。
破坏性:
计算机中毒后,计算机内部的系统和信息可能已经被破坏了,有可能是被更改或者删除,还有可能是更改了位置。
潜伏性:
有一部分病毒就像被预先设计好的定时炸弹,电脑中毒后不会立即被启动传染,而是悄悄的潜伏在你的电脑中,等待一个适合的时机去爆发传播。
可触发性:
病毒必须是由某些因素引起的,这样电脑病毒在传播和感染过程中是有害的。
为了更好地隐藏自己,病毒可以潜伏并试图避免某些行动。
如果它不动,它总是潜伏,病毒不能传播和破坏,它就失去了它的意义。
所以病毒不但要隐藏还要具有破坏的能力,这是病毒存在的价值,但是他的破坏不是自发自行的,它需要被触发。
2.计算机病毒的本质
几乎所有的病毒他们的本质都是一样的,全部都是通过人为制造的,病毒的基本特点是程序的无限重复执行或复制,病毒的本质也就是自身的不断复制,这就是病毒最大的特征。
即程序自己复制到别的程序中或随意在任意系统中一直地复制自身[3]。
计算机病毒在计算机系统被运行表现出多次中断的行为。
如图1-1所示。
通过修改IP地址,使病毒文件插到正在运行的程序中。
所以,计算机病毒把计算机传播了病毒后,计算机只要开始运行文件,就一定会先运行病毒文件,然后把病毒文件一直不断地调用再调用,最后致使病毒文件在计算机操作系统中得到反复的复制再传播。
如图1-2所示。
图1-1正常DOS自举
图1-2带病毒的DOS自举
1.3计算机病毒的分类
1.3.1根据计算机病毒的破坏能力、破坏情况分类
1.根据病毒破坏能力区分
(1)无危害型
在操作系统中,计算机病毒将系统传播了病毒后大大降低了硬盘的可使用性。
没有别的影响。
比如Ekcloner病毒。
(2)无危险型
这种病毒只是降低内存、呈现图像、发出声音等。
比如女鬼病毒。
(3)危险型
这样的病毒的危害性不是一般的,他会给计算机带来巨大的损害。
所以被称之为危险性。
(4)非常危险型
这种病毒毁坏数据、删改程序、删除内存内所保留的文件、和系统内部非常有用的信息。
例如CH病毒。
病毒给系统带来沉重的打击,不仅仅是病毒自身所带的危险算法的运行,更重要的是当病毒在传播时所导致的灾难以及破坏是不能想象的。
因为病毒所引发别的程序出现的错误也会对文件进行破坏,一些病毒也根据它们的破坏能力区分。
2.根据计算机病毒的破坏情况区分
(1)良性病毒
良性病毒不是直接进行恶意性破坏的。
这些病毒仅仅表现自己是存在的,而他的工作原理就是一直不断的去感染和传播,不损坏系统和计算机的数据,而他存在的真正意义就是去占用系统的空间,使系统运行空间越来越少,最后无法运行,直至系统崩溃才达到目标。
(2)恶性病毒
恶性病毒就是指对计算机进行破坏的代码,在以此为标准的很多电脑病毒传播或运行时会对电脑操作有影响,这类病毒非常多,如米开朗基罗病毒,它会直接对电脑产生根本的破坏作用。
当计算机中的数据信息被删除的时候也就是病毒发作的时候,甚至有的病毒还将电脑的全部软件和存储彻底破坏,还对硬件做出极大的破坏,恶性病毒又分为危险病毒和特别危险病毒,进行良行和恶性是有比较的,不能对任何一样病毒掉以轻心。
1.3.2根据计算机病毒攻击的操作系统分类
1.攻击DOS系统的病毒
这种病毒被表现的非常早,种类特别的繁多。
尽管DOS技术在1995年后大体上保持暂停状态,但这种病毒的数量一直在传播和进步,就是速度相对慢了一些。
2.攻击Windows系统的病毒
自从1995年之后,Windows慢慢代替了DOS变成了微型计算机中最潮流的系统,同时也把他变成了病毒最愿意享受的午餐,第一个损坏计算机硬件的CIH病毒就是Windows9x病毒。
3.攻击UNIX系统的病毒
一开始,大家以为UNIX和Linux系统是可以避免病毒的破坏。
但是,社会在发展,病毒也日益进步,UNIX和Linux已经成为了病毒的盘中餐。
1997年2月,第一个攻击Linux系统的病毒-Bliss病毒现身了,2001年4月,第一个无论是Windows还是Linux操作系统全部可以对其进行感染的病毒,它最重要的任务就是感染WindowsPE文件还有LinuxELF文件。
目前,UNIX和Linux的使用都非常受欢迎,而且大部分服务器都是使用UNIX为中心操作系统,UNIX病毒的产生,对处理信息造成了巨大的威胁。
4.攻击Macintosh系统的病毒
例如Mac.simpsons是利用AppleScript编写的病毒文件,还把自己输送OutlookExpress或Entourage邮件程序的客户IP。
5.其他操作系统上的病毒
现在病毒的种类数不胜数,就像手机病毒、PDA病毒,西班牙研究出来世界上第一个手机病毒,他被命名为VBS.Timofonica病毒。
这种病毒运用运营商Telefonica的移动系统通过程序给所有用户发各种各样的攻击信息。
1.3.3根据计算机病毒攻击的机型分类
1.攻击微型计算机的病毒
攻击微型计算机的病毒是传播的最广泛的。
主要原因就是微型计算机的使用越来越普遍,如巴基斯坦病毒[5]。
2.攻击工作站的病毒
计算机硬件的迅猛发展,使工作站的能力进一步的提升,工作站也应用到了各行各业,所以攻击工作站的病毒是对信息系统的又一大威胁。
3.攻击小型计算机的病毒
这个小型机使用起来非常地方便,又可以做个节点机,又可以作为计算机网络的主机,因此它的应用也比较广泛。
最开始,大家都以为计算机病毒只会侵犯微型计算机,而不会去破坏小型机,但自1988年11月,Internet网络受到worm程序的攻击后,经历这个事件以后,人们才知道小型机也是逃不过计算机病毒的魔爪[6]。
1.3.4按照计算机病毒特有的算法分类
1.“蠕虫”型病毒
计算机病毒中最普遍的就是蠕虫病毒,因为网络的共享性、通过计算机进行病毒的侵犯。
感染病毒的计算机会出现蓝屏、频繁重启、病毒提醒、重要数据资料被篡改等情况,严重影响了用户的正常工作。
2.寄生型病毒
寄生型病毒最大的特点就是寄生,寄生就是自己不能独立的存在,一定要借助其他的计算机程序或者文件而存在,依附在它们的身上,找准时机进行传播。
3.练习型病毒
这种病毒之所以被称为练习病毒就是因为他还没有完全成熟,它自身还有一些错误,不可以进行完整的传播。
4.诡秘型病毒
诡秘型病毒大概不会去修正中断和扇区数据文件,一般都是利用设备技术或文件缓冲区等进行对系统内部的修正。
不容易看到修正的过程,使用操作系统闲着的内存保证其正常的工作。
5.变形病毒(又称幽灵病毒)
这个种类的病毒所运用的是非常繁琐的算法,一般是以一段混合有无关指令的解码算法和被传染的病毒文件构成,无论哪次传播,这个病毒所传播的内容及其长度都不一样,所被传染的任何一个文件,它们所中的病毒都是不同的,还有更严重的,根本找不到一样的病毒码,有一些杀毒软件可以扫描一些固定的病毒码,但这个变形病毒对于这个固定的杀毒软件将是一个巨大的挑战。
1.3.5根据计算机病毒特有的链接方式分类
1.源码型病毒
高级程序语言的使用进而完成一些代码的编写。
例如:
C。
运用程序语言编写代码的时候,首先把病毒码插入到源代码中,其次经过编译使这些病毒码成为了源代码中得一部分。
2.嵌入型病毒
也叫入侵型病毒。
这个类型的病毒把自己插入到已经有的程序中,将病毒的主要程序插入要攻击的对象当中,然后用自身的程序代替其中的部分功能。
这样的病毒几乎都是针对一些固定的程序写的,不使用特殊的杀毒软件,不是很容易的发现,被侵入的程序想要清除也是非常困难的。
3.外壳(Shell)型病毒
外壳型病毒经常附着在宿主系统的头部或根部,针对本来的系统向来不更改(假如寄生在系统的根部,那么重新做系统的首条命令,致使病毒能宿主系统早早行动,掌控主动权,大大方便了它并迅速传播),就等于为宿主系统添加个坚硬的“外壳”。
此病毒很是遍及,被发现那是分分钟的事,想消灭它也是小菜一碟。
4.译码型病毒
这个类型的病毒偷偷的藏在微软等程序中,比如宏病毒,大部分都是解析运行这样类型的病毒。
5.操作系统型病毒
此病毒利用自身的程序试着侵入或替换少量的操作程序功能运行工作,拥有超能力的损坏性,能使全部程序崩溃,像小球和大麻病毒。
1.3.6根据计算机病毒的传播媒介分类
1.单机病毒
单机病毒的传染是一定要有磁盘优盘光盘做媒介的,它的进程是系统先受到感染然后系统传给软盘,软盘再感染别的系统[7]。
2.网络病毒
网络的发展促进了社会的进步,但同时也给病毒的传播营造了良好的条件,为病毒的传播提供了途径,网络病毒的破坏能力是非常巨大的。
网络病毒利用计算机网络在中国国民中的使用进行恶意传播,常见的方式是通过QQ、BBS、Email、FTP、Web[8]。
第二章计算机病毒的危害解析
2.1感染病毒的症状
1.计算机运行速度减慢。
从大部分情况来看,计算机被感染病毒了以后,计算的运行速度会变得特别慢。
因为计算机病毒在插入的途中,需要使用大量的计算及内存、以及CPU等资源,从而使计算机在后台的应用程序数量越来越多。
如果计算机自己原来的配置不高,内存还不够大,CPU运行的较慢,硬盘空间不够大,此时计算机病毒的存在,就会消耗更多的内存资源以及空间,操作计算机者假若打开更多地应用程序,一定会引起计算机运行变慢的这个问题,而这个问题也是计算机感染病毒后最基本的问题[9]。
2.内存空间不足。
因为计算机病毒在被感染途中,必须要占用一些内存空间。
假若计算机内存相对小的话,计算机使用者如果操作频繁且运行程序过多的情况下,计算机内存空间不足的警告必定会出现。
3.文件数量的增多。
计算机病毒在感染的途中,会一直反复的复制文件,从而会使文件数目变多。
但是这些复制出的文件大部分都是暂时文件或者配置文件。
4.计算机死机次数增多。
假如计算机病毒插入到计算机内部以后,他会不断地复制文件,而这些被复制的文件多半都是被感染了病毒的文件。
因此,病毒文件越来越多,与此同时,在感染的过程中,占用内存资源与空间也是避免不了的。
外加上计算机的配置不高,以及互联网速度太慢,当病毒运行的时候,计算机因为反应不及时,就会发生不断死机的情况。
5.部分文件无法打开。
文件打不开的主要原因就是计算机病毒在感染其他的文件以及程序的同时,还会对一些文件原有的属性和特征以及格式都进行恶意的修改,导致文件损坏。
这时,要是有异常信息的存在,也就是这个程序被计算机使用者打开了。
同时,计算机病毒还可以改变文件原来存的位置,而这个位置将会被病毒文件所取替,因此使用者找不到原来的文件在哪,而找到的却是病毒文件。
6.外接设备的链接不能安全拔除。
当计算机用户使用U盘、移动硬盘的时候,计算机病毒会运行自己的病毒程序进行恶意破坏,因此会导致一些外接设备不能安全拔除,强制拔除以后,有一些文件依旧存在计算机当中。
2.2计算机病毒的危害
1.计算机数据信息被破坏的不再完整。
一般来说,计算机病毒只要侵入到计算机系统的内部,就会对系统的文件形成巨大的伤害,通常都会对文件内部的数据进行恶意性的更改,还会将数据信息的格式、存放的路径也进行更改,一些重要的信息也可能会被偷取,并将硬盘的数据全部删除,一点不留[10]。
2.占用计算机硬盘空间。
众所周知,计算机病毒也是一种被编写的程序代码,但是它是恶意的,一旦进入到计算机中,自己就可以进行自我复制以及传播给别人。
内存被占用是毋庸置疑的事情,引导类型病毒存在硬盘中,可以改变系统分区,并占用所有的硬盘,以致使原来的数据以及信息被引导型病毒完全覆盖严重则被删除,而且不会给你找回的机会。
3.计算机内存的空间被大量占用。
绝大一部分计算机病毒通常均会占据计算机很大的内存空间,并且会占用相关资源。
资源被病毒使用,和之前的使用一定是不一样的,内存的大小也会被改变,甚至一些程序也会无法运行。
因此计算机运行也会出现问题。
4.计算机运行速度逐渐变慢。
计算机病毒在传播的过程中,会一直反复的复制自身的病毒程序,因此就要占用大量的内存空间,由此引发计算机运行的速度会越来越慢,速度慢主要表现在:
第一,计算机病毒的危害是普通人不能所想象的。
一般下,病毒的潜入都是偷偷进行的,对计算机的系统以及信息都会造成威胁。
病毒传播的危害是不可预测到的,这无疑对计算机用户的利益带来了巨大的损失。
所以,程序员在开发程序的时候,都会反复的斟酌,看看是否存在bug,或是否存在病毒可侵犯的入口,无论哪个程序都会尽量的保证其漏洞最少[11]。
5.用户的体验和快感被大大减低。
随着计算机病毒的日益增多,很多计算机用户对计算机病毒产生了一种强烈的畏惧感,经常会向相关机构咨询计算机病毒问题。
研究发现,计算机售后服务站每接到10条咨询信息中,就有6条是关于计算机病毒咨询的,而经过检测,有7成的计算机用户的确面临病毒的威胁,另外3成的用户仅仅是担心病毒,计算机系统并未遭受病毒的入侵。
计算机病毒越来越受大家的关注,这到底是因为什么呢?
主要的原因就是计算机病毒的危害是人瑟瑟发抖,一些计算机用户当发现计算机无故死机、响应速度过慢、部分程序无法打开的时候,他们第一反应是计算机中毒了。
但是事实并不一定是这样的,有些计算机发生以上问题的原因是由于系统原因,也有可能是网速过慢,临时文件和垃圾较多。
绝大一部分计算机用户对待计算机病毒的态度是,宁可怀疑计算机病毒,也不能放过病毒,由于病毒给带来的危害是巨大的,无论对系统还是对信息的安全都形成了巨大的破坏力。
由于病毒所带来的这些危害,给计算机使用者造成了心理负担,更有甚者还会排斥计算机,这样对计算机的发展造成了极大的阻力。
第三章常见计算机典型病毒解析
3.1文件型病毒
1.表现方式
文件型病毒是所有病毒中出现频率最多,也是最难解决的,这种类型的病毒传播速度非常快,传播方式特别灵便[12]。
文件型的计算机病毒大部分的传播方式为:
对计算机中的文件、以及文件数据等信息进行非法修改,从而生成新的病毒文件进行传播。
大多数时候,文件型计算机的病毒传播主要的途径是后缀名为.com和.exe的文件[13]。
对于这种类型的会分散储存,而且系统硬盘中的文件较多。
即使发现有.com和.exe的文件,也不会进行处理,从而导致计算机病毒开始大量的复制传播。
与此同时,这种病毒还可能进行dos命令进行传播,甚至影响到计算机的显示,以及相关计算机操作指令无法执行,导致系统崩溃,直接黑屏报错等情况;
也可能感染计算机内部的系统文件和语言部分,在软件开发和设计阶段,将会有大量的代码和程序语言,并且文件型病毒将会被操纵和计数。
可以不更改显示代码和程序语言的文件型病毒,它的属性是隐性的。
宏病毒是非常典型的文件型病毒之一,宏病毒的主要、攻击文件是Office软件。
大家所常用的word、excel的文件中隐藏宏病毒的可能性是非常大的[14]。
2.清除方法
首先,通过查询文件类型病毒的潜在形式,将定位文件,然后确定病毒信息病毒的起始和结束位置。
从而恢复原始文件的长度、大小以及内容。
3.2引导型病毒
1.表现形式
引导型病毒一般都是在计算机启动的时候,会先加载bios引导项,而在加载引导项之前病毒会被启动,启动之后破坏系统引导项,修改系统一系列的操作,导致系统崩溃[15]。
操作系统启动的过程中,由于找不到真正的引导模块,而触发了病毒,以至于出现无法启动或黑屏故障。
在这个时候,引导型病毒还可以传播到计算机软盘以及U盘上,通过软盘和U盘传播给其他设备。
可以看出,该类型的病毒潜伏的位置十分隐蔽,使得我们对其的清除难度加大,并直接危害到计算机软件程序和硬件设备的安全。
面对引导型病毒,最普遍消灭它的方法就是:
把准确的分区信息表插入到计算机中,运用引导型病毒的方法,将病毒覆盖的内存,再用咱们正确的信息对病毒程序进行再次覆盖。
因此,只要我们拥有正确分区表信息,那么对付引导类型的病毒十分有效。
与此同时,我们也要做好下次病毒的预防,运用Debug工具,将这次的信息表储存好,防止下次病毒再次进行覆盖的同时,储存好的程序直接进行覆盖。
与之相反,如果病毒对计算机的感染致使系统启动异常,此时的我们还没有准确的信息表,这时处理这个病毒将是一件非常困难的事情。
针对改变引导模块信息位置的病毒,需要对病毒行为展开分析,逐步理清思路,找到引导模块信息被隐藏的位置,然后重新存储到计算机内存,实现对病毒程序的覆盖。
针对不改变引导模块信息位置的病毒,需要寻找到与被病毒感染计算机硬盘相符的计算机,借用该计算机的正确分区表信息,并存储到被病毒感染的计算机内存中,经过对相关信息的筛选,最终实现对病毒的全覆盖,以此来达到清除引导类型病毒的目的。
3.3宏病毒
宏病毒依附在办公软件office中,excel文件、word文件被破坏一般都是宏病毒的功劳[16]。
如果有一个office文件因为宏病毒的传播造成破坏,那么所有这个类型的文件只要被运行就都有被传染的可能性,因为Normal模板中有宏病毒的存在,在运行文件的时候,首先会运行Normal模板,因而依附在Normal模板中的宏病毒也会被运行,病毒文件的运行,导致其他的文件也会被感染。
紧接着计算机的IP也会被改变,宏病毒的IP也会随着计算机本身的IP改变而改变,不是简单的将文件移动到其他的地方就可以避免宏病毒的破坏,而且宏病毒的传播效率也是极高的,而且隐藏的功力也非常深厚,可以在最短的时间,把计算机上同类型的程序也会被迅速感染、被损坏,它的危害是不可估量的,非常容易使计算机内部的重要信息文件被恶意删除或者更改。
这里举例的是office2003软件。
首先,打开存在宏病毒的office文件,依次打开工具菜单—宏—宏,宏对话框就会出现,对话框中含有宏的命名,这时就可以把所有的命名删除,因为这个宏的命名是宏病毒的可能性非常大;
我们还要把office组件的宏安全性增加到最强。
另外,当前针对office宏病毒,存在专业的杀毒工具,利用office病毒专杀工具进行全盘扫描,就可以找到宏病毒的所有文件,并对其进行彻底性的消灭,这就是最简单最便捷清除宏病毒的措施。
3.4蠕虫病毒
我们把能对计算机软件、硬件以及系统内部重要信息造成威胁和破坏的程序代码统称为病毒。
在网络技术不断普及的今天,计算机用户又迎来了一种基于网络环境下的新病毒,该病毒的名称为:
“蠕虫病毒”[17]。
蠕虫病毒的本质就是一个软件但是他是非法的。
但是也有一些区别,蠕虫病毒需要联网,才能对算机进行损坏。
“熊猫烧香”作为蠕虫病毒的典型代表之一,熊猫烧香这种病毒不但可以在互联网上进行传播,而且在局域网中也能够大肆传播,对相关文件进行感染,其感染速度非常快,在几分钟之内,就可以导致和本网络有联系的防御等级不高
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 防范措施 研究