《計算機病毒解析與防范（論文）》

計算機病毒解析與防范一、13339_WPSOffice_Level1前言 19481_WPSOffice_Level1二、計算機病毒的種類 26011_WPSOffice_Level22.1DoS病毒 211300_WPSOffice_Level22.2Win32PE病毒 214108_WPSOffice_Level22.3宏病毒 321640_WPSOffice_Level22.4腳本病毒 413756_WPSOffice_Level22.5HTML病毒 418533_WPSOffice_Level22.6蠕蟲 51418_WPSOffice_Level1三、計算機病毒的傳播 526348_WPSOffice_Level23.1通過E-mail進行傳播 520424_WPSOffice_Level23.2通過掃描系統(tǒng)漏洞傳播 630888_WPSOffice_Level1四、計算機病毒的安全防御策略 617941_WPSOffice_Level24.1增強計算機病毒的防范意識 618356_WPSOffice_Level24.2使用多種計算機反病毒技術(shù) 729021_WPSOffice_Level24.3計算機網(wǎng)絡(luò)病毒的防治 8五、32765_WPSOffice_Level1結(jié)論 8六、致謝 9七、25929_WPSOffice_Level1參考文獻 9摘要：在互聯(lián)網(wǎng)技術(shù)越來越發(fā)達的今天，計算機已經(jīng)作為一種儲存信息的重要媒介，同時也具有一定的安全風險。如果不重視計算機病毒的防范，讓計算機病毒入侵了計算機，就會盜取計算機內(nèi)的重要信息。本文以計算機病毒的解析和防范為中心，研究計算機病毒的起源及危害，并詳細介紹了計算機病毒的種類和船舶方式，并提出具有針對性的安全防御措施。關(guān)鍵詞：計算機；病毒；預(yù)防一、引言通常情況下，計算機設(shè)備在運行過程中的除了要保證軟件的運行，還要保證相關(guān)硬件設(shè)施的運行安全，與此同時還包括了計算機在運行過程中的相關(guān)資料安全性，有效保障了計算機的運行安全。因此計算機的安全所涵蓋了多方面的內(nèi)容，對于用戶在應(yīng)用中的數(shù)據(jù)管理以及安全防護存在著較為重要的意義。與此同時由于計算機在運行過程中，存在著較大的故障病毒侵入的威脅，對計算機的使用造成了很大程度的影響。因此計算機在使用中，要存在能夠有效保證計算機安全，防止計算機病毒侵入的相應(yīng)技術(shù)。對于此種技術(shù)的研發(fā)，一直是計算機相關(guān)軟件工作研發(fā)人員所要面臨的首要問題。本文的理論意義在于豐富計算機病毒研究領(lǐng)域的研究，為科研人員的理論研究提供一定的參考；本文的實際意義在于為用戶提供一種計算機病毒的防范策略，保護用戶的數(shù)據(jù)安全。二、計算機病毒的種類計算機病毒種類繁多，各種病毒的作用機制不同。為此，我們選擇了幾種典型的計算機病毒，并對其感染和傳播機制進行了闡述。2.1DoS病毒病毒在DoS時代很瘋狂，數(shù)量也非常多。雖然DoS病毒目前已經(jīng)沒有生存的地方，但要做好抗病毒工作，對DoS病毒機制的研究具有重要意義。例如，在新西蘭發(fā)現(xiàn)的大麻，也被稱為“新西蘭病”和“祝福之手”。病毒代碼的字節(jié)大小很小，但它具有駐留內(nèi)存、區(qū)分硬盤、感染硬盤、顯示時間和顯示信息等功能。它將原來的引導(dǎo)扇區(qū)轉(zhuǎn)移到另一扇區(qū)，然后將自己寫到磁盤的引導(dǎo)扇區(qū)，這對不同類型的磁盤是不同的。2.2Win32PE病毒W(wǎng)in32PE病毒需要依靠WindowsAPI函數(shù)，以調(diào)用實現(xiàn)特定的功能，計算機操作系統(tǒng)將解析所需的輸入表是PE文件中的所有DLL文件需要加載，并根據(jù)相應(yīng)的RVA譜函數(shù)的相對虛擬地址的相關(guān)信息，并補充說在系統(tǒng)內(nèi)存地址加載DLL的API函數(shù)的真實地址后。PE病毒可以感染文件，通過多種方式，如：PE病毒在文件中添加一個新節(jié)點，計算機病毒占據(jù)新的一天，思想在病毒主體執(zhí)行后執(zhí)行，返回主機（主機）程序的權(quán)利，而為了修改主動偽裝，相應(yīng)的字節(jié)文件具有大小屬性。同樣的價值信息：然后，開始修改PE文件頭的位置addressofentry執(zhí)行，將指向代碼的新病毒入口段，該程序?qū)⒂嬎銠C病毒代碼首先執(zhí)行。在某些情況下，當原始PE頭空間不足以存儲新節(jié)的聯(lián)合表信息時，需要移動PE文件的一些數(shù)據(jù)。一些計算機病毒通過構(gòu)造偽尾獨立碼避免了對殺毒軟件的尾部掃描，即在病毒代碼的末端添加隨機數(shù)據(jù)或花卉指令。PE病毒可以被插入到PE文件的空隙（又稱孔），例如，有文件頭的MZ頭和PE頭之間的許多閑置無用的空間。對PE的大小一般1kb字節(jié)，和普通的PE文件的數(shù)據(jù)或代碼不占用的PE文件的所有記憶。為了考慮操作系統(tǒng)的空間分配和通話效率，每天都是按照512字節(jié)或1025字節(jié)進行分組對齊，但在實際數(shù)據(jù)中并不占用所有字節(jié)的內(nèi)存，這些都不是利用空間留給計算機病毒的存儲區(qū)。而且，原PE文件的總長度不會因此增加，因此更隱蔽，特別是病毒作者青睞。PE病毒也可以覆蓋一些常見的數(shù)據(jù)塊，例如：如果exe文件包含重定位表而不需要重定位表，然后蓋上重新定位數(shù)據(jù)沒有實際作用，許多病毒使用DataDirectory數(shù)組指令對應(yīng)的文件頭中的項目0的去除，不會產(chǎn)生的被感染的文件長度的影響。2.3宏病毒從某種意義上說，宏病毒也是一種文件類型病毒。主要是利用宏語言編寫病毒程序，主要是基于微軟辦公軟件的開發(fā)。在文字處理、xls數(shù)據(jù)文件，和其他文件的宏語言的功能是用來拷貝和復(fù)制到其它數(shù)據(jù)文件。宏類似于批處理命令。它們可以通過分配多行代碼的組合來記錄命令或進程，并將它們分配給組合鍵。當執(zhí)行組合鍵時，計算機可以開始重復(fù)記錄的操作。，宏病毒通常用高級語言程序編寫，作者可以用宏語言編寫宏病毒。傳統(tǒng)的宏病毒保存二進制文件。外界很難獲得病毒的源代碼。如果我們想獲得源代碼，我們必須通過病毒作者資源發(fā)布病毒的原始代碼。一般來說，宏病毒有Office文件或模板作為一種病毒，病毒的傳播媒介的控制，可以將病毒寫入Word模板本身正常，之后的每一個word文檔，打開新的操作，將自動執(zhí)行宏病毒代碼，從而達到感染和傳播的目的。2.4腳本病毒VBS腳本病毒是用VBScript腳本語言。它可以調(diào)用Windows對象和組件，并直接控制注冊表和文件系統(tǒng)。腳本病毒的產(chǎn)生有很多優(yōu)點：第一，它易于編寫，易學易用，具有破壞性，同時又具有較強的感染性和病毒性。最突出的是，它可以自動實現(xiàn)腳本病毒生產(chǎn)機器。腳本病毒生成機是一個獨特的虛擬機，它被配置為根據(jù)用戶的請求獲取病毒。腳本不需要編譯，只是為了解釋環(huán)境。每個腳本語句都可以由解釋器執(zhí)行，因此病毒函數(shù)可以被分成各個部分，然后函數(shù)在一個統(tǒng)一的腳本中進行協(xié)調(diào)。在選擇病毒功能后，病毒產(chǎn)生機將進行相應(yīng)的代碼替換和優(yōu)化。最后，匹配模塊將拼接在一起，實現(xiàn)一個非常簡單的實現(xiàn)。編寫腳本病毒生產(chǎn)機器導(dǎo)致了腳本病毒的迅速發(fā)展，主要是因為它使病毒的生產(chǎn)變得更容易。在VBS腳本病毒的病毒程序代碼可以直接連接到具有相同類型的程序，可以實現(xiàn)自我復(fù)制傳播的病毒感染。2.5HTML病毒隨著互聯(lián)網(wǎng)的發(fā)展和普及，互聯(lián)網(wǎng)在人們的生活中扮演著越來越重要的角色。但與此同時，惡意Web代碼的出現(xiàn)給廣大互聯(lián)網(wǎng)用戶帶來了巨大的威脅。HTML病毒是HTML文件中使用的一段HTML代碼，用于修改或混淆用戶計算機的配置。早期的靜態(tài)網(wǎng)頁幾乎都是用HTML語言實現(xiàn)的，因為不需要交互，用戶不能對HTML頁面進行輸入和輸出。隨著動態(tài)web技術(shù)的發(fā)展，提出了幾種腳本技術(shù)和ActiveX控件技術(shù)，增強了動態(tài)網(wǎng)頁瀏覽效果，也正是由于這些技術(shù)的發(fā)展，使得病毒利用各種HTML病毒應(yīng)運而生。網(wǎng)頁惡意代碼可以使用ActiveX控件來調(diào)用regopen，regwrite和其他注冊表相關(guān)函數(shù)來修改計算機的注冊表的內(nèi)容。這是Web頁面惡意代碼使用的最常見的行為。注冊表是一個普遍現(xiàn)象：修改修改IE標題、主頁、搜索頁、工具欄背景圖；IE默認主頁被修改并鎖定；禁止使用鼠標右鍵；沒有IE顯示“工具”中的“Internet選項”菜單；不安全；添加IE用戶自每次啟動計算機時啟動會自動打開瀏覽器訪問設(shè)置頁面；禁止開始菜單的“運行”命令等。2.6蠕蟲蠕蟲是一種特殊類型的病毒。與一般的計算機病毒一樣，它具有傳染性和復(fù)制性。傳統(tǒng)的蠕蟲沒有破壞作用，但wanncry蠕蟲在2017年5月出現(xiàn)的，有破壞性作用，這表明，蠕蟲也在變化。蠕蟲與計算機病毒的最大區(qū)別在于它們的主動性和獨立性。蠕蟲病毒基于漏洞，由代碼攻擊計算機，主要通過郵件、局域網(wǎng)等進行傳播。三、計算機病毒的傳播計算機病毒的產(chǎn)生有著悠久的歷史，對計算機病毒的研究已經(jīng)成為一個熱門的研究課題。隨著互聯(lián)網(wǎng)的發(fā)展，絕大多數(shù)現(xiàn)有的計算機病毒都是基于網(wǎng)絡(luò)的病毒。計算機病毒的研究也取得了一些成果，不僅揭示了病毒傳播的一些特點，還提出了相應(yīng)的對策。作為預(yù)備知識，本章主要介紹了兩種常見的基于網(wǎng)絡(luò)的病毒傳播模型、幾種經(jīng)典的病毒傳播模型和現(xiàn)有的病毒檢測技術(shù)，為后續(xù)的研究奠定了基礎(chǔ)。3.1通過E-mail進行傳播病毒代碼在電子郵件中的傳播是傳播病毒的主要途徑。由于電子郵箱的廣泛應(yīng)用，這種通信方式在許多病毒制造者中非常流行。通過電子郵件傳播病毒有兩種方法。一種是將惡意代碼直接添加到電子郵件中，二是將惡意代碼的URL連接添加到電子郵件中。病毒在受感染主機的電子郵件地址簿、歷史記錄或硬盤中搜索可用的電子郵件地址。當病毒被掃描到可用的目標地址時，它會復(fù)制并發(fā)送出去，該病毒將使用各種欺騙性的標題和內(nèi)容來欺騙人們。3.2通過掃描系統(tǒng)漏洞傳播蠕蟲代碼存在于一個獨立的程序中，并且它不嵌入任何主機文件中。它的傳播過程是利用這些漏洞將自己注入遠程計算機，并利用這些漏洞在遠程掃描Internet中獲得系統(tǒng)控制。然后你可以攻擊被控制的主機。蠕蟲獲得系統(tǒng)權(quán)限有幾種方法。（1）利用系統(tǒng)漏洞蠕蟲經(jīng)常通過某些系統(tǒng)或應(yīng)用程序的漏洞傳輸。使用系統(tǒng)漏洞，蠕蟲常?？梢赃h程控制網(wǎng)絡(luò)主機。首先控制目標主機，然后復(fù)制過去，最后執(zhí)行攻擊傷害。（2）利用局域網(wǎng)傳播由于缺乏安全意識或工作疏忽，一些本地局域網(wǎng)管理員在遠程編寫的一些機器上制作了系統(tǒng)文件夾。蠕蟲可以直接復(fù)制到可以在局域網(wǎng)中編寫并傳播的目錄中。一些病毒在局域網(wǎng)里找到可寫或修改注冊表，下次啟動自動運行后重啟下。四、計算機病毒的安全防御策略4.1增強計算機病毒的防范意識對計算機病毒的防范最重要的就是樹立相應(yīng)的防范意識，在日常操作的過程中養(yǎng)成良好的使用習慣，就可以在一定范圍內(nèi)實現(xiàn)對于病毒的預(yù)防。一般情況下，計算機病毒的發(fā)布者會用一些釣魚軟件引誘計算機用戶進行下載。一旦計算機用戶的防范意識不強，病毒就會被引入到計算機中。因此，在計算機的日常操作中，需要在進入軟件的官網(wǎng)進行下載，一些不能確認來源的信息，盡可能不要去點擊。尤其是不要相信一些中獎的信息，因為這類信息多數(shù)是計算機病毒的偽裝。4.2使用多種計算機反病毒技術(shù)當前，雖然是出現(xiàn)了較多的計算機病毒，但是計算機反病毒技術(shù)也是隨著病毒的演變不斷發(fā)展?，F(xiàn)在使用較多的計算機反病毒技術(shù)主要包括實時監(jiān)視技術(shù)、自動解壓技術(shù)以及全平臺反病毒技術(shù)?，F(xiàn)在這三類反病毒技術(shù)已經(jīng)發(fā)展的較為成熟，能夠?qū)崿F(xiàn)計算機病毒的有效防范。最后一種反病毒技術(shù)，主要是針對一些計算機病毒與計算機之間不能有效吻合的狀態(tài)進行查殺，由于兩者之間不能有效吻合，就會在計算機系統(tǒng)中存在一些不受保護的地段，應(yīng)用該技術(shù)能夠?qū)崿F(xiàn)對于此地帶的病毒查殺，提高計算機對于病毒的防范能力。（1）加密技術(shù)為了有效的防止人們在軟件使用過程中，出現(xiàn)過多的數(shù)據(jù)信息資料泄露情況，使用數(shù)據(jù)加密技術(shù)，從而有效的實現(xiàn)數(shù)據(jù)的保密防丟失。此種技術(shù)是通過依照一定的技術(shù)編程，將原本的計算機相關(guān)數(shù)據(jù)完成一定的轉(zhuǎn)換，實現(xiàn)對信息資料的存儲功能以及相應(yīng)的加密性傳輸。此種技術(shù)有效的保證了計算機軟件的使用保密有效性。通常情況下，此種技術(shù)的使用是使用加密計算方法完成的，此種計算方法分為兩種，一種是對稱性的加密算法，另外一種就是非對稱的加密算法。兩者的算法主要是通過解密鑰匙完成區(qū)分，人們通常在使用計算機過程中使用后者的加密算法較為常用。（2）防火墻技術(shù)防火墻技術(shù)在計算機的使用過程中，占據(jù)了重要且不可缺少的組成部分，十分廣泛的應(yīng)用于計算機使用中。防火墻技術(shù)的主要存在解決了對非法訪問的有效控制，有力的阻止了計算機系統(tǒng)的外部人員進入，從而最大程度的對計算機使用系統(tǒng)完成有效的保護。防火墻能夠?qū)τ嬎銠C使用中的端口，以及目標性實用性系統(tǒng)地址還有目標端口等多種信息，實時完成檢測確定，檢測完成之后與提前既定的端口信息完成兩者匹配，如果出現(xiàn)匹配不成功的情況，直接將數(shù)據(jù)信息丟棄。防火墻的狀態(tài)檢測是當前計算機使用中較為常用的一種防火墻技術(shù)功能。但是防火墻技術(shù)也存在了一定的局限性，只能適用于外部系統(tǒng)，無法完成對計算機內(nèi)部網(wǎng)絡(luò)系統(tǒng)的保護。（3）防病毒技術(shù)計算機終端在使用過程中的諸多產(chǎn)生特點，通常表現(xiàn)為較強的繁殖力，以及較強的攻擊性，還有傳播范圍較廣，破壞力度極大，直接對計算機終端的使用造成該很大程度的威脅。而計算機中的所有病毒有將近95%的都是人為制造，從而對計算機的自身系統(tǒng)以及用戶的信息傳輸與存儲帶來很大程度的損害。網(wǎng)絡(luò)病毒技術(shù)通常有兩種，一種就是對于病毒的防御，通過借助計算機固有的系統(tǒng)內(nèi)存，完成對計算機的控制主動權(quán)，以此來判斷計算機病毒的存在與否；再者就是可以通過對病毒完成檢測的技術(shù)，對于用戶在使用過程中的諸多特征，進行相應(yīng)的偵測，從而判斷計算機系統(tǒng)是否出現(xiàn)病毒感染。在計算機網(wǎng)絡(luò)安全防范中的應(yīng)用，防火墻以及防病毒技術(shù)的存在，給人們的生