计算机病毒解析与防范Word下载.docx

计算机病毒解析与防范Word下载.docx

《计算机病毒解析与防范Word下载.docx》由会员分享，可在线阅读，更多相关《计算机病毒解析与防范Word下载.docx（8页珍藏版）》请在冰豆网上搜索。

一般来讲，只要能够引起计算机故障，或者能够破坏计算机中的资源的代码，统称为计算机病毒。

而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义：

“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

”这就是计算机病毒。

2.2计算机病毒的特性

2.2.1隐藏性与潜伏性

计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。

它通常内附在正常的程序中，用户启动程序同时也打开了病毒程序。

计算机病毒程序经运行取得系统控制权，可以在不到1秒钟的时间里传染几百个程序。

而且在传染操作成后，计算机系统仍能运行，被感染的程序仍能执行，这就是计机病毒传染的隐蔽性……计算机病毒的潜伏性则是指，某些编制巧的计算机病毒程序，进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件中，对其它系统文件进行传染，而不被人发现。

2.2.2传染性

计算机病毒可通过各种渠道（磁盘、共享目录、邮件）从已被感染的计算机扩散到其他机器上，感染其它用户．在某情况下导致计算机工作失常。

2.2.3表现性和破坏性

任何计算机病毒都会对机器产生一定程的影响，轻者占用系统资源，导致系统运行速度大幅降低．重者除文件和数据，导致系统崩溃。

2.2.4可触发性病毒

具有预定的触发条件，可能是时间、日期、文类型或某些特定数据等。

一旦满足触发条件，便启动感染或破坏作，使病毒进行感染或攻击；

如不满足，继续潜伏。

有些病毒针对特定的操作系统或特定的计算机。

2.2.5欺骗性和持久性

计算机病毒行动诡秘，计算机对其反应迟，往往把病毒造成的错误当成事实接受下来。

病毒程序即使被发，已被破坏的数据和程序以及操作系统都难以恢复。

在网络操作情况下，由于病毒程序由一个受感染的拷贝通过网络系统反复传，病毒程序的清除愈加复杂。

除了上述五点外，计算机病毒还具有不可预见性、衍生性、针对性、等特点。

正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清除工作带来了很大的难度。

3计算机病毒的分类

3.1计算机病毒的基本分类

3.1.1传统开机型计算机病毒

纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统，然后再伺机感染其他的软盘或者硬盘，例如：

“Stoned3”（米开朗基罗）。

3.1.2隐形开机型计算机病毒

此类计算机病毒感染的系统，再行检查开机区，得到的将是正常的磁区资料，就好像没有中毒一样，此类计算机病毒不容易被杀毒软件所查杀，而防毒软件对于未知的此类型计算机病毒，必须具有辨认磁区资料真伪的能力。

此类计算机病毒已出现的尚有“Fish”.

3.1.3档案感染型兼开机型计算机病毒

档案感染型兼开机型计算机病毒时利用档案感染时司机感染开机区，因而具有双中的行动能力，此类型较著名的计算机病毒有“Cancer”。

3.1.4目录型计算机病毒

本类型计算机病毒的感染方式非常独特，“Dir2”即其代表，此类计算机病毒仅修改目录区（Root），便可达到其感染目的。

3.1.5传统档案型计算机病毒

传统档案型计算机病毒最大的特征，便是将计算机病毒本身植入档案，使档案膨胀，以达到散播传染的目的。

代表有“13Firday”。

3.1.6千面人计算机病毒

千面人计算机病毒是指具有自我编码能力的计算机病毒，“1701下雨”等，为这种类型主要代表，此种计算机病毒编码的目的，是使其感染的每一个档案，看起来皆不一样，干扰杀毒软件的侦测，不过千面人计算机病毒仍会留下的这个“小辫子”，将其绳之以法。

3.1.7突变引擎病毒

有鉴于前面人计算机病毒一个接一个被截获，边有人编写出一种突变式计算机病毒，使原本千面人计算机病毒无法解决的程序开头相同的问题得到克服，并编写成OBJ副程序，供他人植草此类计算机病毒，即Mctationengine。

尽管如此，这类计算机病毒仅干扰了扫毒式软件，对其他方式的防毒软件并没有太大的影响。

3.1.8隐形档案型计算机病毒

此类病毒可以避开去多防毒软件，因为隐形计算机病毒能直接植入DOS系统的作业环境中，当外部程序呼叫DOS中断服务时，便同时执行到计算机病毒本身，使得计算机病毒能从容地将受其感染的档案，粉饰成正常无毒的样子。

此类计算机病毒有“4096”等。

3.1.9终结型计算机病毒

终结性计算机病毒能追踪磁盘操作终端的原始进入点，当计算机病毒取得磁盘原始中断时，便可任意再磁盘上修改资料或普哦坏资料，而不会惊动防毒程序，这就是说，装有防毒程序和美妆防毒程序的情况是一样的危险。

这类计算机病毒有的采用INT1单步执行的方式，逐步追踪磁盘中断的过程，找出BIOS磁盘中断的部分，供计算机病毒内部使用；

有的采用死机的方式，记录几个BIOS版本的磁盘中断原始进入点，当计算机病毒遭到熟悉的BIOS版本，便可直接呼叫磁盘中断，对磁盘予取予求；

有的则分析磁盘中断的程序片段，找出BIOS中的相似部分便可直接呼叫磁盘中断。

其代表有“Hammer6”等。

3.1.10Word巨集计算机病毒

Word巨集计算机病毒可以说时目前最新的计算机病毒种类了，它是文件型计算机病毒，异于以往以感染磁盘区或可执行的档案为主的计算机病毒，此类病毒时利用Word提供的巨集功能来感染文件。

目前已经在Internet及BBS网络中发现不少Word巨集计算机病毒，而且此类计算机病毒是用类似Basic程序编写出来的，易学，其反战速度一定很快。

4计算机病毒防范和清除的基本原则和技术

4.1计算机病毒防范的概念和原则

计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，即使发现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，回复受影响的计算机系统和数据。

原则以防御计算机病毒为主动，主要表现在检测行为的动态性和防范方法的广谱性。

4.2计算机病毒防范基本技术

计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵，就拦截、阻击计算机病毒的入侵或立即警报。

4.3清除计算机病毒的基本方法

4.3.1简单的工具治疗

简单工具治疗是指使用Debug等简单的工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除计算机代码。

但是，这种方法同样对检测者自身的专业素质要求较高，而且治疗效率也较低。

4.3.2专用工具治疗

使用专用工具治疗被感染的程序时通常使用的治疗方法。

专用计算机治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的计算机病毒代码，使之得以恢复。

使用专用工具治疗计算机病毒时，治疗操作简单、高效。

从探索与计算机病毒对刚的全过程来看，专用工具的开发商也是先从使用简单工具进行治疗开始，当治疗获得成功后，再研制相应的软件产品，使计算机自动地完成全部治疗操作。

4.4典型计算机病毒的原理、防范和清除

4.4.1引导区计算机病毒

系统引导区时在系统引导的时候，进入到系统中，获得对系统的控制权，在完成其自身的安装后才去引导系统的。

称其为引导区计算机病毒时因为这类计算机病毒一般是都侵占系统硬盘的主引导扇区I/O分区的引导扇区，对于软盘则侵占了软盘的引导扇区。

它会感染在该系统中进行读写操作的所有软盘，然后再由这些软盘以复制的方式和引导进入到其他计算机系统，感染其他计算机的操作系统。

如何检测呢？

（1）查看系统内存的总量与正常情况进行比较

（2）检查系统内存高端的内容

（3）检查系统的INT13H中断向量

（4）检查硬盘的主引导扇区、DOS分区引导扇区以及软盘的引导扇区

用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。

此时，如果用户事先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息，那么，恢复工作变得非常简单。

可以直接用Debug将这两种引导扇区的内容分别调入内存，然后分别回它的原来位置，这样就消除了计算机病毒。

4.4.2文件型计算机病毒

文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上，当文件装入系统执行的时候，引导计算机病毒程序也进入到系统中。

只有极少计算机病毒程序感染数据文件。

此类病毒感染对象大多是系统的可执行文件，也有一些还要对覆盖文件进行传染，而对数据进行传染的则少见。

（1）确定计算机病毒程序的位置，是驻留在文件尾部还是在文件首部。

（2）找到计算机病毒程序的首部位置（对应于在文件尾部驻留方式），或者尾部位置（对应于在文件首部驻留方式）。

（3）恢复原文件头部的参数。

（4）修改文件长度，将源文件写回。

4.4.3脚本型计算机病毒

主要采用脚本语言设计的病毒称其为脚本病毒。

实际上在早期的系统中，计算机病毒就已经开始利用脚本进行传播和破坏，不过专门的脚本病毒并不常见。

但是在脚本应用无所不在的今天，脚本病毒却成为危害最大，最为广泛的病毒，特别是当他和一些传统的恶性病毒相结合时，其危害就更为严重了。

其主要有两种类型，纯脚本型，混合型。

它的特点有以下几方面：

●编写简单

●破坏力大

●感染力强

●传播范围大（多通过E-mail，局域网共享，感染网页文件的方式传播）

●计算机病毒源码容易被获取，变种多

●欺骗性强

●使得计算机病毒生产机事先起来非常容易

●禁用文件系统对象FileSystemObject

●卸载WindowsScriptingHost

●删除vbs，vbe，js，jse文件后缀与应用程序映射

●在Windows目录中，找到WScript.exe，更改名称或者删除

●要彻底防止vbs网络蠕虫病毒，还需要设置一下浏览器

●禁止OE的自动收发电子邮件功能

●显示所有文件类型的扩展名称

●将系统的网络连接的安全级别设置至少为“中等”

4.4.4特洛伊木马计算机病毒

特洛伊木马也叫黑客程序或后门病毒，是指吟唱在正常程序中的一段具有特殊功能的程序，其隐蔽性及好，不易察觉，是一种极为危险的网络攻击手段。

其第一代：

伪装性病毒，第二代：

AIDS型木马，第三代：

网络传播性木马

如何检查？

●稽查注册表

●检查你的系统配置文件

●备份重要数据

●立即关闭身背电源

●备份木马入侵现场

●修复木马危害

4.4.5蠕虫计算机病毒

蠕虫是一种通过网络传播的恶性计算机病毒，它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等。

同时自己有自己一些特征，如利用文件寄生，对网络造成拒绝服务以及和黑客技术相结合等。

简单点说，蠕虫就是使用危害的代码来攻击网络上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的计算机病毒。

其特征：

●自我繁殖

●利用软件漏洞

●造成网络拥堵

●消耗系统资源

●留下安全隐患

●与防火墙互动

●交换机联动

●通知HIDS（基于主机的入侵检测）

●报警

5“熊猫烧香”病毒剖析

“熊猫烧香”病毒感染机理:

“熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。

总结

计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。

计算机病毒可通过各种渠道感染其它用户。

在某情况下导致计算机工作失常。

所以在我们的日常生活中，对计算机的日常使用要格外小心，不但要掌握一些简单的病毒处理方法，还要掌握一些专业的杀毒知识，这样才能在日常生活中做到轻松的使用计算机而不会被病毒困扰。

参考文献

1郝文化.防黑反毒技术指南[M].机械工业出版社，2004

2吴万钊，吴万铎.计算机病毒分析与防治大全[M].学苑出版社，1993

3谭瑛.计算机网络的安全威胁及防御机制研究[J].电脑知识与技术，2009

4齐赫.计算机网络病毒的预防[D].北京：

科技创新导版，2008

5张仁斌，李钢，侯整风.计算机病毒与反病毒技术[M].清华大学出版社，2006

6卓新建，郑康锋，辛阳.计算机病毒原理与防治[M].北京邮电大学出版社，2007

7MarkA.Sportsk.计算机联网技术大全，袁兆山，等译，北京：

机械工业出版社，1998

8陈宁、陈博丽.计算机病毒的特点与防范措施[D]，哈尔滨：

经济技术协作信息.2010