(論文)計算機病毒與反病毒技術(shù)論文最新優(yōu)秀畢業(yè)論文資料搜集嘔血奉獻

計算機病毒與反病毒技術(shù) 摘要 提起計算機病毒，相信絕大多數(shù)用戶都不會陌生（即使那些沒有接觸過計算機的人大多也聽說過），有些用戶甚至還對計算機病毒有著切膚之痛。為此，本人特將有關(guān)計算機病毒的定義、起源、歷史、特征、傳播途徑、分類、錯誤認識、防毒原則、解決病毒的辦法等內(nèi)容匯集成文，希望能對廣大用戶日常的反病毒操作有所幫助：關(guān)鍵詞： 計算機病毒的定義、起源、特征、傳播途徑、傳染的一般過程、分類（木馬、蠕蟲病毒、腳本病毒、宏病毒等）、防毒原則、解決病毒的辦法一 計算機病毒的定義 計算機病毒是一個程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。可以從不同角度給出計算機病毒的定義。一種定義是通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴散,能“傳染” 其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、內(nèi)存）或程序里。當某種條件或時機成熟時,它會自生復制并傳播,使計算機的資源受到不同程序的破壞等等。所以, 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)（或程序）里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。二 計算機病毒的起源 計算機病毒的來源多種多樣，有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的，有的則是軟件公司為保護自己的產(chǎn)品被非法拷貝而制造的報復性懲罰，因為他們發(fā)現(xiàn)病毒比加密對付非法拷貝更有效且更有威脅，這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞，它分為個人行為和政府行為兩種。另外有的病毒還是用于研究或?qū)嶒灦O(shè)計的有用程序，由于某種原因失去控制擴散出實驗室或研究所，從而成為危害四方的計算機病毒。三 計算機病毒的特征 31 非授權(quán)可執(zhí)行性 用戶通常調(diào)用執(zhí)行一個程序時,把系統(tǒng)控制交給這個程序,并分配給他相應(yīng)系統(tǒng)資源,如內(nèi)存,從而使之能夠運行完成用戶的需求。因此程序執(zhí)行的過程對用戶是透明的。而計算機病毒是非法程序,正常用戶是不會明知是病毒程序,而故意調(diào)用執(zhí)行。但由于計算機病毒具有正常程序的一切特性:可存儲性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當用戶運行正常程序時,病毒伺機竊取到系統(tǒng)的控制權(quán),得以搶先運行,然而此時用戶還認為在執(zhí)行正常程序。 32 隱蔽性 計算機病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤引導扇區(qū)中,或者磁盤上標為壞簇的扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可存儲性。病毒想方設(shè)法隱藏自身,就是為了防止用戶察覺。 33 傳染性 傳染性是計算機病毒最重要的特征,是判斷一段程序代碼是否為計算機病毒的依據(jù)。病毒程序一旦侵入計算機系統(tǒng)就開始搜索可以傳染的程序或者磁介質(zhì),然后通過自我復制迅速傳播。由于目前計算機網(wǎng)絡(luò)日益發(fā)達,計算機病毒可以在極短的時間內(nèi),通過像 Internet這樣的網(wǎng)絡(luò)傳遍世界。 34 潛伏性 計算機病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來,然后在用戶不察覺的情況下進行傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時間也就越長,病毒傳染的范圍也越廣,其危害性也越大。 35 表現(xiàn)性或破壞性 無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤存儲空間以及系統(tǒng)運行時間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運行,還有一些病毒程序刪除文件,加密磁盤中的數(shù)據(jù),甚至摧毀整個系統(tǒng)和數(shù)據(jù),使之無法恢復,造成無可挽回的損失。因此,病毒程序的副作用輕者降低系統(tǒng)工作效率,重者導致系統(tǒng)崩潰、數(shù)據(jù)丟失。病毒程序的表現(xiàn)性或破壞性體現(xiàn)了病毒設(shè)計者的真正意圖。 36 可觸發(fā)性 計算機病毒一般都有一個或者幾個觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機制,使之進行傳染;或者激活病毒的表現(xiàn)部分或破壞部分。觸發(fā)的實質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計者的要求,在一定條件下實施攻擊。這個條件可以是敲入特定字符,使用特定文件,某個特定日期或特定時刻,或者是病毒內(nèi)置的計數(shù)器達到一定次數(shù)等。四 計算機病毒的傳播途徑 計算機病毒之所以稱之為病毒是因為其具有傳染性的本質(zhì)。傳統(tǒng)渠道通常有以下幾種： 41通過軟盤： 通過使用外界被感染的軟盤, 例如, 不同渠道來的系統(tǒng)盤、來歷不明的軟件、游戲盤等是最普遍的傳染途徑。由于使用帶有病毒的軟盤, 使機器感染病毒發(fā)病, 并傳染給未被感染的“干凈”的軟盤。大量的軟盤交換, 合法或非法的程序拷貝, 不加控制地隨便在機器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。 42通過硬盤： 通過硬盤傳染也是重要的渠道, 由于帶有病毒機器移到其它地方使用、維修等, 將干凈的軟盤傳染并再擴散。 43通過網(wǎng)絡(luò)： 這種傳染擴散極快, 能在很短時間內(nèi)傳遍網(wǎng)絡(luò)上的機器。五 計算機病毒傳染的一般過程 在系統(tǒng)運行時, 病毒通過病毒載體即系統(tǒng)的外存儲器進入系統(tǒng)的內(nèi)存儲器, 常駐內(nèi)存。該病毒在系統(tǒng)內(nèi)存中監(jiān)視系統(tǒng)的運行, 當它發(fā)現(xiàn)有攻擊的目標存在并滿足條件時, 便從內(nèi)存中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用系統(tǒng)INT 13H讀寫磁盤的中斷又將其寫入系統(tǒng)的外存儲器軟盤或硬盤中, 再感染其他系統(tǒng)。 下面舉幾個例子來說明病毒傳染的一般過程 51 可執(zhí)行文件感染病毒后又怎樣感染新的可執(zhí)行文件? 可執(zhí)行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內(nèi)存的條件是在執(zhí)行被傳染的文件時進入內(nèi)存的。一旦進入內(nèi)存, 便開始監(jiān)視系統(tǒng)的運行。當它發(fā)現(xiàn)被傳染的目標時, 進行如下操作： （1）首先對運行的可執(zhí)行文件特定地址的標識位信息進行判斷是否已感染了病毒； （2）當條件滿足, 利用INT 13H將病毒鏈接到可執(zhí)行文件的首部或尾部或中間, 并存大磁盤中； （3）完成傳染后, 繼續(xù)監(jiān)視系統(tǒng)的運行, 試圖尋找新的攻擊目標。 52 操作系統(tǒng)型病毒是怎樣進行傳染的? 521 正常的PC DOS啟動過程是： （1）加電開機后進入系統(tǒng)的檢測程序并執(zhí)行該程序?qū)ο到y(tǒng)的基本設(shè)備進行檢測； （2）檢測正常后從系統(tǒng)盤0面0道1扇區(qū)即邏輯0扇區(qū)讀入Boot引導程序到內(nèi)存的0000: 7C00處； （3）轉(zhuǎn)入Boot執(zhí)行之； （4）Boot判斷是否為系統(tǒng)盤, 如果不是系統(tǒng)盤則提示； non-system disk or disk error Replace and strike any key when ready 否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件； （5）執(zhí)行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入內(nèi)存； （6）系統(tǒng)正常運行, DOS啟動成功。 522 如果系統(tǒng)盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為： （1）將Boot區(qū)中病毒代碼首先讀入內(nèi)存的0000: 7C00處； （2）病毒將自身全部代碼讀入內(nèi)存的某一安全地區(qū)、常駐內(nèi)存, 監(jiān)視系統(tǒng)的運行； （3）修改INT 13H中斷服務(wù)處理程序的入口地址, 使之指向病毒控制模塊并執(zhí)行之。因為任何一種病毒要感染軟盤或者硬盤, 都離不開對磁盤的讀寫操作, 修改INT 13H中斷服務(wù)程序的入口地址是一項少不了的操作； （4）病毒程序全部被讀入內(nèi)存后才讀入正常的Boot內(nèi)容到內(nèi)存的0000: 7C00處, 進行正常的啟動過程； （5）病毒程序伺機等待隨時準備感染新的系統(tǒng)盤或非系統(tǒng)盤。 53 如果發(fā)現(xiàn)有可攻擊的對象, 病毒要進行下列的工作： （1）將目標盤的引導扇區(qū)讀入內(nèi)存, 對該盤進行判別是否傳染了病毒； （2）當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區(qū), 把正常的磁盤的引導區(qū)程序?qū)懭氪疟P特寫位置； （3）返回正常的INT 13H中斷服務(wù)處理程序, 完成了對目標盤的傳染。六 計算機病毒的分類 從第一個病毒出世以來，究竟世界上有多少種病毒，說法不一。無論多少種，病毒的數(shù)量仍在不斷增加。據(jù)國外統(tǒng)計，計算機病毒以10種/周的速度遞增，另據(jù)我國公安部統(tǒng)計，國內(nèi)以4 -6種/月的速度遞增。不過，孫悟空再厲害，也逃不過如來佛的手掌心，病毒再多，也逃不出下列種類。病毒分類是為了更好地了解它們。 61 木馬 611 在計算機領(lǐng)域中，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。 所謂隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆。 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊表，控制鼠標，鍵盤等等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的。 612 從木馬的發(fā)展來看，基本上可以分為兩個階段。 最初網(wǎng)絡(luò)還處于以UNIX平臺為主的時期，木馬就產(chǎn)生了，當時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個時期木馬的設(shè)計者和使用者大都是些技術(shù)人員，必須具備相當?shù)木W(wǎng)絡(luò)和編程知識。 而后隨著WINDOWS平臺的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現(xiàn)，而且由于這個時期木馬的功能已日趨完善，因此對服務(wù)端的破壞也更大了。所以木馬發(fā)展到今天，已經(jīng)無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。 62 蠕蟲病毒 蠕蟲病毒和一般的病毒有著很大的區(qū)別。對于蠕蟲，現(xiàn)在還沒有一個成套的理論體系。一般認為：蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合，等等。在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！根據(jù)使用者情況將蠕蟲病毒分為兩類：一種是面向企業(yè)用戶和局域網(wǎng)而言，這種病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個互聯(lián)網(wǎng)造成癱瘓性的后果。以“紅色代碼”、“尼姆達”以及最新的“SQL蠕蟲王”為代表。另外一種是針對個人用戶的，通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁形式）迅速傳播的蠕蟲病毒，以愛蟲病毒、求職信病毒為代表。在這兩類蠕蟲中，第一類具有很大的主動攻擊性，而且爆發(fā)也有一定的突然性，但相對來說，查殺這種病毒并不是很難。第二種病毒的傳播方式比較復雜和多樣，少數(shù)利用了微軟的應(yīng)用程序的漏洞，更多的是利用社會工程學對用戶進行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時也是很難根除的，比如求職信病毒，在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn)，但直到2002年底依然排在病毒危害排行榜的首位就是證明。 63 腳本病毒 腳本病毒通常是JavaScript代碼編寫的惡意代碼， 一般帶有廣告性質(zhì)，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便。腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，如紅色代碼（Script.Redlof）腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 64 宏病毒 宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會 “感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機上。 如果某個文檔中包含了宏病毒，我們稱此文檔感染了宏病毒；如果 WORD系統(tǒng)中的模板包含了宏病毒，我們稱WORD系統(tǒng)感染了宏病毒。七 計算機病毒的防毒原則1. 不使用盜版或來歷不明的軟件，特別不能使用盜版的殺毒軟件。 2. 寫保護所有系統(tǒng)盤，絕不把用戶數(shù)據(jù)寫到系統(tǒng)盤上。 3. 安裝真正有效的防毒軟件，并經(jīng)常進行升級。 4. 新購買的電腦要在使用之前首先要進行病毒檢查，以免機器帶毒。 5. 準備一張干凈的系統(tǒng)引導盤，并將常用的工具軟件拷貝到該軟盤上，然后加以保存。此后一旦系統(tǒng)受病毒侵犯，我們就可以使用該盤引導系統(tǒng)，然后進行檢查、殺毒等操作。 6. 對外來程序要使用盡可能多的查毒軟件進行檢查（包括從硬盤、軟盤、局域網(wǎng)、Internet、Email中獲得的程序），未經(jīng)檢查的可執(zhí)行文件不能拷入硬盤，更不能使用。 7. 盡量不要使用軟盤啟動計算機。 8. 一定要將硬盤引導區(qū)和主引導扇區(qū)備份下來，并經(jīng)常對重要數(shù)據(jù)進行備份，防患于未然。 9. 隨時注意計算機的各種異?，F(xiàn)象（如速度變慢、出現(xiàn)奇怪的文件、文件尺寸發(fā)生變化、內(nèi)存減少等），一旦發(fā)現(xiàn)，應(yīng)立即用殺毒軟件仔細檢查。八 計算機病毒的解決辦法1. 在解毒之前，要先備份重要的數(shù)據(jù)文件。 2. 啟動反病毒軟件，并對整個硬盤進行掃描。 3. 發(fā)現(xiàn)病毒后，我們一般應(yīng)利用反病毒軟件清除文件中的病毒，如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將其刪除，然后重新安裝相應(yīng)的應(yīng)用程序。同時，我們還應(yīng)將病毒樣本送交反病毒軟件廠商的研究中心，以供詳細分析。 4. 某些病毒在Windows 98狀態(tài)下無法完全清除（如CIH病毒就是