计算机病毒论文.docx
- 文档编号:26086964
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:17
- 大小:58.77KB
计算机病毒论文.docx
《计算机病毒论文.docx》由会员分享,可在线阅读,更多相关《计算机病毒论文.docx(17页珍藏版)》请在冰豆网上搜索。
计算机病毒论文
课程设计
题目:
CIH病毒机制与防护管理策略
学生姓名:
学号:
系部名称:
专业班级:
指导教师:
职称:
二○一二年五月三十一日
计算机病毒论文
摘要
现在,计算机已经成为生活中的一局部,无论是什么行业,什么家庭。
计算机已经成为了人们的一种生活方式,但是计算机也和人一样,它也会生病。
接触计算机的人们应该对计算机病毒都不会感到陌生,因为病毒对计算机有很大的威胁和危害,甚至还可能带来巨大的经济损失。
目前,病毒已成为困扰计算机系统平安和网络开展的重要问题。
但是,对于大多数计算机的一般用户来说,病毒似乎是个深不可测难以琢磨的东西。
但其实,计算机病毒是可以预防的。
计算机水平随着现代科技的开展在迅速的开展,对于计算机病毒的预防也不断的受到计算机用户的重视。
作为一个计算机的使用者,应该了解计算机病毒的根本原理、入侵以及防范维护,以确保计算机能够在一个平安的环境下工作。
本论文就浅谈计算机病毒的原理和防范。
关键词:
计算机病毒,入侵,防范
引言.........................................................〔4〕
第一章病毒概述..............................................〔5〕
1.1病毒的定义........................................〔5〕
1.2病毒的特性........................................〔5〕
1.3病毒的生命周期....................................〔7〕
1.4病毒的传播途径....................................〔7〕
1.5病毒的主要危害....................................〔8〕
1.6病毒的分类........................................〔8〕
第二章病毒防范..............................................〔9〕
...............................〔9〕
计算机病毒防范的方法...............................〔9〕
计算机病毒的去除..................................〔9〕
第三章CIH病毒实例分析......................................〔11〕
3.1CIH病毒简介......................................〔11〕
3.2CIH病毒的表现形式、危害及传染途径................〔11〕
3.3CIH病毒的运行机制................................〔12〕
结论........................................................〔20〕
引言
本论文简单的讲述了计算机病毒的根本含义,让大家对计算机病毒做初步的了解,所谓知己知彼方能百战百胜,我们要学会去了解计算机病毒的原理还有目的,这样对于我们来说计算机病毒就没有那么深奥,难以琢磨了。
我们把病毒的特性,生病周期,传播途径,主要危害和它的分类要弄清楚,这样我们才能对症下药,做好必要的防范措施。
我们要有计算机病毒防范的意识,知道计算机病毒防范的根本原理和方法,对计算机进行有效的保护。
如果计算机感染的病毒,还要学会如何去除病毒。
这些都是必必须清楚的。
虽然计算机病毒也在随着科技的开展计算机水平的进步也在不断的进步,但是我们只要把它的根本原理弄清楚了,在不断加以对计算机病毒的认识,我们是不必要为之而感到恐慌的。
第一章病毒概述
1.1病毒的定义
计算机病毒〔ComputerVirus〕在?
中华人民共和国计算机信息系统平安保护条例?
中被明确定义为:
“指编制或者在计算机程序中插入的破环计算机功能或者破环数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码〞。
也就是说,计算机病毒本质上就是一组计算机指令或者程序代码,它像生物界的病毒一样具有自我复制的能力,而它存在的目的就是要影响计算机的正常运作,甚至破坏计算机的数据以及硬件设备。
1.2病毒的特性
1.2.1计算机病毒的程序性〔可执行性〕
计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因为它享有一切程序所能得到的权力。
在病毒运行时,与合法程序争夺系统的控制权。
计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性。
也就是说计算机CPU的控制权是关键问题。
计算机病毒的传染性
传染是病毒的根本特征。
计算机病毒是一段认为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜索其他符合其传染条件的程序或者储存介质,确定目标后再将自身代码插入其中,到达自我繁殖的目的。
只要一台计算机感染病毒,如不及时处理,那么病毒会在这台计算机上迅速扩散,其中的大量文件会被感染。
而被感染的文件又成为了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
计算机病毒的潜伏性
潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以潜伏在磁盘或磁带里几天,甚至几年,一旦时机成熟,得到运行时机,就又要四处繁殖、扩散,继续危害。
潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外没有别的破坏。
触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的那么执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
计算机病毒的可触发性
因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。
为了隐藏自己,病毒必须潜伏,少做动作。
如果完全不动,一直潜伏,病毒既不能感染也不能进行破坏,便失去了杀伤力。
病毒既要隐藏又要维持杀伤力,它必须具有可触发性。
计算机病毒的破坏性
所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源。
同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在于彻底破环系统的正常运行,那么那么这种病毒对于计算机系统进行攻击造成的后果是难以估计的,它可以毁掉系统的局部数据,也可以破坏全部数据并使之无法恢复。
攻击的主动性
病毒对系统的攻击是主动的,不以人的意志为转移的。
也就是说,从一定的程度上讲,计算机系统无论采取多少严密的保护措施都不可能彻底地消除病毒对系统的攻击,而保护措施充其量是一种预防的手段而已。
病毒的针对性
计算机病毒是针对特定的计算机和特定的操作系统的。
病毒的费授权性
病毒是XX而执行的程序,一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。
而病毒具有正常程序的一切特性,它是藏在正常程序中,当用户调用正常程序是窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。
病毒的隐藏性
计算机病毒的隐藏性表现为两个方面:
一、传染的隐藏性。
一般不具有外部表现,不易被人发现。
二、病毒程序存在的隐藏性。
一般的病毒程序都夹在正常程序之中,很难被发现,而一旦病毒发作出来,往往已经给计算机系统造成了不同程度的破坏。
病毒的衍生性
病毒的衍生性为一些好事者提供了一种创造新病毒的捷径。
病毒的寄生性〔依附性〕
病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。
病毒的不可预见性
从对病毒的检测方面来看,病毒还有不可预见性。
计算机病毒的欺骗性
计算机病毒行动诡秘,而计算机对其反响迟钝,往往把病毒造成的错误当成实事接收下来,故它很容易获得成功。
计算机病毒的持久性
在病毒程序发现以后,数据和程序以及操作系统的恢复都非常困难。
特别是在网络操作情况下,由于病毒程序由一个受感染的拷贝通过网络系统反复传播,使得病毒程序的去除非常复杂。
1.3病毒的生命周期
计算机病毒的产生可非为:
程序设计——传播——潜伏——触发——运行——实行攻击。
计算机病毒也拥有一个生命周期,从生成开始到完全铲除结束。
它主要有:
开发期、传染期、潜伏期、发作期、消化期、消灭期。
1.4病毒的传播途径
和生物界的病毒一样,计算机病毒也会根据其自身特点,选择适宜的途径进行繁殖。
第一种途径:
通过不可移动的计算机硬件设备进行传播。
第二种途径:
通过移动存储设备来传播这些设备包括软盘、磁带等。
第三种途径:
通过计算机网络进行传播。
第四种途径:
通过点对点通信系统和无线通道传播。
计算机病毒的主要危害有:
(1)病毒激发对计算机数据信息的直接破坏作用;
(2)占用磁盘空间和对信息的破坏;
(3)抢占系统资源;
(4)影响计算机运行速度;
(5)计算机病毒错误与不可预见的危害;
(6)计算机病毒的兼容性对系统运行的影响;
(7)计算机病毒给用户造成严重心理压力。
病毒的分类
(1)按计算机病毒攻击的系统分类:
攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒、攻击OS/2系统的病毒。
(2)按照病毒的攻击机型分类:
攻击微型计算机的病毒、攻击小型计算机的病毒、攻击工作站计算机病毒。
(3)按照计算机病毒的连接方式分类:
源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒。
(4)按照计算机病毒的破坏情况分类:
良性计算机病毒、恶性计算机病毒。
(5)按照计算机病毒的寄生部位或传染对象分类:
磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒、可执行程序传染的计算机病毒。
(6)按照计算机病毒激活的时间分类:
激活时间可分为定时的和随机的。
(7)按照传媒介质分类:
单机病毒、网络病毒。
(8)按照寄生方式和传染途径分类。
第二章病毒防范
2.1计算机病毒防范的概念
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
2.2计算机病毒防范的方法
计算机病毒的技术防范措施包括:
(1)新购置的计算机硬件系统要做查毒测试;
(2)在保证硬盘无病毒的情况下,尽量使用硬盘引导系统;
(3)对重点保护的计算机系统应做到转机、转盘、专人、专用,封闭的使用环境中是不会自然产生病毒的;
(4)重要数据文件要有备份;
(5)不要随便直接运行或直接翻开电子邮件中夹带的附件文件,不要随意下载软件,尤其是一些可执行文件和Office文档。
计算机网络的平安使用应做到:
(1)安装网络效劳器时,应保证无毒环境,即安装环境和网络操作系统本身没有感染病毒;
(2)一定要用硬盘启动网络效劳器;
(3)效劳器文件系统应划分成多个文件卷,至少分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷;
(4)为各个卷分配不同的用户权限。
(5)在网络效劳器上安装真正有效的防病毒软件,并经常进行升级;
2.3计算机病毒的去除
去除病毒的方法是这样的,首先在给电脑装系统之前,删除原电脑上的所有资料,然后重新分区,同时也断开网络,为什么要断开网络了,这是因为病毒大局部是通过网络来传播的。
所以断开网络,病毒就无法运行,这样中毒的时机就会减少很多。
装好系统后,先给电脑装个杀毒软件;如360平安卫士,这软件还不错的,当然买个正版的杀毒软件效果会好一点。
装好360后,就给电脑连网,然后利用360对电脑进行体检,这样你电脑的一些病毒呀、漏洞、恶评软件等都会被360发现出来。
然后你就利用360的功能,把这些都去除掉,开启360的实时保护。
最后,给你的电脑系统装上复原精灵,装好之后就对系统进行首次备份。
备份好后,你重启电脑,就会发现有F11的复原健,如果以后你的系统中病毒,你只要按下F11就行了。
第三章CIH病毒实例分析
3.1CIH病毒简介
CIH病毒是一种文件型病毒,又称Win95.CIH、Win32.CIH、PE_CIH,是第一例感染Windows95/98环境下PE格式(PortableExecutableFormat)EXE文件的病毒。
不同于以往的DOS型病毒,CIH病毒是建立在WINDOW95/98平台。
由于微软WINDOWS平台的不断开展,DOS平台已逐渐走向消亡,DOS型病毒也将随之退出历史的舞台。
随之而来的是攻击Windows系统病毒走上计算机病毒的前台。
可以预测,在未来几年内,连同宏病毒在内,Windows平台将会是造病毒和反病毒的主战场。
因此,剖析CIH病毒机理,掌握在Windows平台下病毒驻留和传染方法,对于预防、检测和去除CIH病毒,预防未来新型Windows病毒,在反病毒的战场上掌握主动权,都具有十分重要的意义。
目前CIH病毒有多个版本,典型的有:
CIHv1.2:
四月二十六日发作,长度为1003个字节,包含字符:
CIHv1.2TTIT;
CIHv1.3:
六月二十六日发作,长度为1010个字节,包含字符:
CIHv1.3TTIT;
CIHv1.4:
每月二十六日发作,长度为1019个字节,
包含字符:
CIHv1.4TATUNG。
其中,最流行的是CIHv1.2版本。
本文将作重对该版本进行剖析。
3.2CIH病毒的表现形式、危害及传染途径
;DOS以及WIN3.1格式〔NE格式〕的可执行文件不受感染,并且在WinNT中无效。
用资源管理器中“工具>查找>文件或文件夹〞的“高级>包含文字〞查找.EXE特征字符串----“CIHv〞,在查找过程中,显示出一大堆符合查找特征的可执行文件。
假设4月26日开机,显示器突然黑屏,硬盘指示灯闪烁不停,重新开机后,计算机无法启动。
病毒的危害主要表现在于病毒发作后,硬盘数据全部丧失,甚至主板上的BIOS中的原内容被会彻底破坏,主机无法启动。
只有更换BIOS,或是向固定在主板上的BIOS中重新写入原来版本的程序,才能解决问题。
该病毒是通过文件进行传播。
计算机开机以后,如果运行了带病毒的文件,其病毒就驻留在Windows的系统内存里了。
此后,只要运行了PE格式的.EXE文件,这些文件就会感染上该病毒。
3.3CIH病毒的运行机制
同传统的DOS型病毒相比,无能是在内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都于众不同,新颖独到。
病毒的代码不长,CIHv1.2只有1003个字节,其他版本也大小差不多。
它绕过了微软提供的应用程序界面,绕过了ActiveX、C++甚至C,使用汇编,利用VxD〔虚拟设备驱动程序〕接口编程,直接杀入Windows内核。
它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击〔fragmentedcavityattack〕,将病毒化整为零,拆分成假设干块,插入宿主文件中去;最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例。
可以说CIH病毒提供了一种全新的病毒程序方式和病毒开展方向。
下面对该病毒作进一步的剖析,该病毒程序由三局部组成。
病毒的驻留〔初始化〕
当运行带有该病毒的.EXE时,由于该病毒修改了该文件程序的入口地址〔AddressofEntryPoint〕,首先调入内存执行的是病毒的驻留程序,驻留程序长度为184字节,其驻留主要过程如下:
用SIDT指令取得IDTbaseaddress(中断描述符表基地址),然后把IDT的INT3的入口地址改为指向CIH自己的INT3程序入口局部;执行INT3指令,进入CIH自身的INT3入口程序,这样,CIH病毒就可以获得Windows最高级别的权限(Ring0级),可在Windows的内核执行各种操作〔如终止系统运行,直接对内存读写、截获各种中断、控制I/O端口等,这些操作在应用程序层Ring3级是受到严格限制的〕。
病毒在这段程序中首先检查调试存放器DR0的值是否为0,用以判断先前是否有CIH病毒已经驻留。
如果DR0的值不为0,那么表示CIH病毒程式已驻留,病毒程序恢复原先的INT3入口,然后正常退出INT3,跳到过程9;如果DR0值为0,那么CIH病毒将尝试进行驻留。
首先将当前EBX存放器的值赋给DR0存放器,以生成驻留标记,然后调用INT20中断,使用VxDcallPageAllocate系统调用,请求系统分配2个PAGE大小的Windows系统内存(systemmemory),Windows系统内存地址范围为C0000000h~FFFFFFFFh,它是用来存放所有的虚拟驱动程序的内存区域,如果程序想长期驻留在内存中,那么必须申请到此区段内的内存。
如果内存申请成功,那么从被感染文件中将原先分成多块的病毒代码收集起来,并进行组合后放到申请到的内存空间中;再次调用INT3中断进入CIH病毒体的INT3入口程序,调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序,在Windows内核中文件系统处理函数中挂接钩子,以截取文件调用的操作,这样一旦系统出现要求开启文件的调用,那么CIH病毒的传染局部程序就会在第一时间截获此文件;将同时获取的Windows默认的IFSMgr_Ring0_FileIO〔核心文件输入/输出)效劳程序的入口地址保存在DR0存放器中,以便于CIH病毒调用;恢复原先的IDT中断表中的INT3入口,退出INT3;根据病毒程序内隐藏的原文件的正常入口地址,跳到原文件正常入口,执行正常程序。
病毒的感染
CIH病毒的传染局部实际上是病毒在驻留内存过程中调用Windows内核底层函数IFSMgr_InstallFileSystemApiHook函数挂接钩子时指针指示的那段程序。
这段程序共586字节,感染过程如下:
文件的截获
每当系统出现要求开启文件的调用时,驻留内存的CIH病毒就截获该文件。
病毒调用INT20的VxDcallUniToBCSPath系统功能调用取回该文件的名和路径。
EXE文件的判断
对该文件名进行分析,假设文件扩展名不为“.EXE〞,不传染,离开病毒程序,跳回到Windows内核的正常文件处理程序上;
PE格式.EXE判别
目前,在Windows95/98以及WindowsNT,可执行文件.EXE采用的是PE格式。
PE格式文件不同于MS-DOS文件格式和WIN3.X(NE格式,WindowsandOS/2Windows3.1executionFileFormat)。
PE格式文件由文件头和代码区〔.textSection〕、数据区〔.dataSection〕、只读数据区〔.rdataSection〕、资源信息区〔.rsrcSection〕等文件实体局部组成。
其中文件头又由MS-DOSMZ头、MS-DOS实模式短程序、PE文件标识〔Signature〕、PE文件头、PE文件可选头以及各个Sections头组成。
WindowsPE格式文件结构的详细分析可到以下网址查阅:
:
//microsoft/win32dev/base/pefile.htm
CIH病毒感染的就是PE格式可执行文件!
当病毒确认该文件是.EXE文件后,翻开该文件,取出该文件的PE文件标识符〔Signature〕,进行分析,假设Signature=〞00455000〞(00PE00),那么说明该文件是PE格式的可执行文件,且尚未感染,跳到过程4,对其感染;否那么,认为是已感染的PE格式文件或该文件是其它格式的可执行文件,如MS-DOS或WIN3.XNE格式,不进行感染,而直接跳到病毒发作模块上执行;
病毒首块的寄生计算:
以往的文件型病毒,通常是将病毒程序追加到正常文件的后面,通过修改程序首指针,来执行病毒程序的。
这样,受感染的文件的长度会增加。
CIH病毒那么不是。
它利用了PE格式文件的文件头和各个区〔Section〕都可能存在自由空间碎片这一特性,将病毒程序拆成假设干不等的块,见缝插针,插到感染文件的不同的区〔Section〕内。
CIH病毒的首块程序是插在PE文件头的自由空间内的。
病毒首先从文件的第134字节处读入82个字节,这82个字节包含了该文件的程序入口地址〔addressofEntryPoint〕,文件的分区数〔NumberofSection〕,第一个Sectionheader首址以及整个文件头大小〔SizeofHeaders=MSheader+PEfileheader+PEoptionalheader+PEsectionheaders+自由空间〕等参数。
以计算病毒首块存放的位置和大小。
通常PE格式文件头的大小为1024字节,而MSheader为128字节,PEfileheader〔包括PESignature〕为24字节,PEoptionalheader为224字节,以上共376字节,Sectionheaders大小是根据Sections数量来确定的,但每个Section的大小是
固定的,为40字节。
一般情况下,Section有5~6个即.text区、.bbs区、.data区、idata区、rsrc区以及reloc区。
这样计算下来,整个文件头有408~448字节的自由空间提供应病毒使用。
在PE格式文件头的自由空间里,CIH病毒首先占用了〔Section数+1〕*8个字节数的空间〔本文称为病毒块链表指针区〕,用于存放每个病毒块的长度〔每块4字节〕和块程序在文件里的首地址〔每块4字节〕。
然后将计算出的可存放在文件头内的病毒首块字节数,送入病毒链表指针区;修改PE文件头,用病毒入口地址替换PE文件头原文件程序入口地址,而将原文件的入口地址保存在病毒程序的第94字节内,以供病毒执行完后回到正常文件执行上来。
由于病毒的首块局部除了病毒块链表指针区外必须包含病毒的184字节驻留程序,假设文件头的自由空间缺乏,病毒不会对该文件进行感染。
只是将该文件置上已感染标志。
病毒其余块的寄生计算:
剩余的病毒代码是分块依次插入到各Section里的自由空间里的。
要确定该区〔Section〕是否有自由空间,可通过查看SectionHeader里的参数确定。
SectionHeaders区域是紧跟在PEOptionalHeader区域后面。
每个SectionHeader共占40个字节,由Name〔区名〕、VirtSize(本已使用大小)、RVA〔本区的虚拟地址〕、PhysSize〔区物理大小〕、Physoff〔本区在文件中的偏移量〕和Flags〔标志〕组成。
其结构如下所示:
typedefstruct_IMAGE_SECTION_HEADER{
UCHARName[8];
ULONGVirtSize;
ULONGRVA;
ULONGPhysSize;
ULONGPyusoff;
ULONGPointerToRelocations;
ULONGPointerToLinenumbers;
USHORTNumberOfReloc
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 论文