《病毒入侵微机的途径与防治研究计算机应用毕业论文.doc》由会员分享,可在线阅读,更多相关《病毒入侵微机的途径与防治研究计算机应用毕业论文.doc(34页珍藏版)》请在三一办公上搜索。
1、目 录一、计算机病毒的概述1(一)计算机病毒的定义1(二) 计算机病毒的产生与发展2(三) 计算机病毒的特性3(四)计算机病毒的分类4(五)计算机病毒传播途径关键环节9(六)计算机病毒入侵的途径9(七)计算机病毒的入侵方式11二、计算机病毒防范和清除的基本原则和技术11(一)计算机病毒防范的概念和原则12(二)计算机病毒防范基本技术12(三)判断病毒的方法13(四)清除计算机病毒的基本方法22三、典型计算机病毒的原理、防范和清除22(一)引导区计算机病毒22(二)文件型计算机病毒24(三)脚本型计算机病毒26(四)特洛伊木马计算机病毒27(五)蠕虫计算机病毒27四、计算机主要检测技术和特点(简
2、介)28参考文献30病毒入侵微机的途径与防治研究一、计算机病毒的概述提起计算机病毒,绝大多数计算机的使用者都会深恶痛绝,因为没有“中过招”的人已经是凤毛麟角了。但在谈虎色变之余,很多人对计算机病毒又充满了好奇,对病毒的制造者既痛恨又敬畏。这种复杂的感情实际上很容易理解,就像古人面对大自然的感情一样,因为无法解释风雨雷电,也就只能制造神话,崇拜图腾了。 计算机病毒当然不值得崇拜,它给社会信息化的发展制造了太多的麻烦,每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元。但同时,它也催化了一个新兴的产业信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术这一根根救命稻草,使很
3、多企业和个人用户免遭侵害,在很大程度上缓解了计算机病毒造成的巨大破坏,同时,越来越多的企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。 但稻草毕竟是稻草,救得一时不一定救得一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发,无论从产品线还是从技术角度来讲,都已经达到了相当完善的程度。但是,再好的产品,如果不懂得如何去使用,发挥不了产品真正的优势,又与稻草有什么区别呢?很多用户在被病毒感染以后才想起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新
4、月异的病毒攻击呢? 那么,如何将手中的稻草变成强大的武器,当危险临近时,能够主动出击,防患于未然呢?笔者认为,关键的问题在于对“对手”的了解。正如我们上面举过的例子,我们现在之所以对很多自然现象习以为常,是因为我们对其成因有了最基础的了解,这样才可能未雨绸缪,配合手中的工具,防患于未然。(一)计算机病毒的定义 一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件)的代码,统称为计算机病毒。在1994年我国颁布实施的中华人民共和国计算机系统安全保护条例中,对计算机病毒有如下定义:“计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一
5、组计算机指令或者程序代码”。 (二) 计算机病毒的产生与发展自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚,但是有一点可以肯定,即计算机病毒的发源地是科学最发达的美国。虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因,但也没有能够对此作出最后的定论,只能推测电脑病毒缘于以下几种原因:一、科幻小说的启发;二、恶作剧的产物;
6、三、电脑游戏的产物;四、软件产权保护的结果. IT行业普遍认为,从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒,计算机病毒主要经历了如下发展阶段。 DOS引导阶段: 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。 当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有石头2。 DOS可执行阶段: 1989年,可执行文件型病毒出现,它们利
7、用DOS系统加载执行文件的机制工作,代表为耶路撒冷,星期天病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。 批处理型阶段: 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。幽灵、多形阶段 :1994年,随着汇编语言的发展,实现同一功能可
8、以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。 生成器阶段 :1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是病毒制造机VCL 网络、蠕虫阶段: 1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,蠕虫是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文
9、件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 Windows病毒阶段 :1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。 宏病毒阶段 :1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。 互连网阶段
10、 :1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。(三) 计算机病毒的特性寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。传染性:传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪. 潜伏性:有些病毒像定时炸弹一
11、样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。 隐蔽性:计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码 分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。 破坏性:计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏 。通常表
12、现为:增、删、改、移。 可触发性:病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。除了上述五点外,计算机病毒还具有不可预见性、衍生性、针对性、欺骗性、持久性等特点。正
13、是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带来了很大的难度。 随着计算机应用的不断发展病毒又出现一些新的特性如:利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。(四)计算机病毒的分类按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:1. 按病毒存在的媒体根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:CO
14、M,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。 2.按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划
15、分为非驻留型病毒。 3.按病毒破坏的能力无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型:这类病毒在计算机系统操作中造成严重的错误。 非常危险型: 这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,
16、有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上能引发大量的数据丢失。4.按病毒的算法伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存
17、不占用其它资源。 寄生型病毒 除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒本身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。 诡秘型病毒 它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒(又称幽灵病毒) 这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。5.按计算机病毒的工作方式引导型病毒的
18、工作方式 文件型病毒的工作方式 在目前已知的病毒中,大多数属于文件型病毒。文件型病毒一般只传染磁盘上的可执行文件(COM、EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其常见的传染方式是附着于正常程序文件,成为程序文件的一个外壳或部件。 (a)引导型病毒 (b)文件型病毒混和型病毒工作方式 混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。这种病毒的原始状态是依附在可执行文件上,以该文件为载体进行传播。当被感染文件执行时,会感染硬盘的主引导记录。以后用硬盘启动系统时,就会实现从文件型病毒转变为引导型病毒。例如BloodBoun
19、d.A,该病毒也称为Tchechen.3420,主要感染COM、EXE和MBR。它将自己附着在可执行文件的尾部,将破坏性的代码放入MBR中,然后清除硬盘中的文件宏病毒的工作方式 宏病毒是利用宏语句编写的。它们通常利用宏的自动化功能进行感染,当一个感染的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。Office中的Word、Excel和PowerPoint都有宏。 Java病毒工作方式 Java是由Sun公司创建的一种用于互联网环境中的编程语言。Java应用程序不会直接运行在操作系统中,而是运行在Java虚拟机(JVM)上。因此用Java编写的应用程序的移植性非常强,
20、包括现在的手机中的一些程序也是用Java编写的。 Java Applet是一种内嵌在HTML网页中的可携式Java小程序。具有Java功能的浏览器可以运行这个小程序。Java Applet可供Web开发人员建立含有功能更丰富的交互式动态Web网页。它们会在使用者访问网页时被执行。黑客、病毒作者或其他恶意人士可能会用Java恶意程序代码当作武器攻击使用者的系统 网络病毒工作方式 随着互联网的高速发展,计算机病毒从原来的磁盘进行传播发展到现在的通过网络的漏洞进行传播。到如今,网络病毒已经成为计算机网络安全的最大威胁之一。网络病毒中又以蠕虫病毒出现最早,传播最为广泛,例如“冲击波”、“红色代码”病毒
21、等。 脚本病毒工作方式脚本病毒也是一种特殊的网络病毒。脚本是指从一个数据文档中执行一个任务的一组指令,它也是嵌入到一个文件中,常见的是嵌入到网页文件中。脚本病毒依赖于一些特殊的脚本语言(例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等)。有些脚本语言,例如VBScript(Visual Basic Script)以及JavaScript病毒,必须通过Microsoft的Windows Scripting Host(WSH)才能够激活执行以及感染其他文件PE病毒工作方式 PE病毒,是指感染Windows PE格式文件的病毒。PE病毒是目前影响
22、力极大的一类病毒。PE病毒同时也是所有病毒中数量极多、破坏性极大、技巧性最强的一类病毒。如FunLove、“中国黑客”等病毒都属于这个范畴。(五)计算机病毒传播途径关键环节计算机病毒要实现传播,有三个关键环节:(1)带毒文件的迁移。即感染病毒的文件从一台计算机复制、迁移到另一台计算机。(2)计算机操作者的触发。计算机病毒是寄生在受感染文件上的,只有计算机操作者执行或者打开受感染的文件,计算机病毒才有执行的机会,才能取得主机的控制权。(3)感染。病毒在取得主机的控制权后,就随时可以寻找合适的目标文件进行感染,把病毒副本嵌入到目标文件中。(六)计算机病毒入侵的途径随着社会的不断进步科学的不断发展计
23、算机病毒的种类也越来越多,但终究万变不离其宗!那他们是靠什么途径传播的了?目前比较常见的病毒入侵的途径有几种:1.木马入侵 木马有可能是黑客在已经获取我们操作系统可写权限的前提下,由黑客上传的;也可能是我们不小心,运行了包含有木马的程序,最多的情况还是我们防范意识不强,随便运行了别人发来的“好玩”的程序。所以,我们自己要多加注意,不要随意打开来历不明的电子邮件及文件,不要随便运行别人发来的软件,之前要查毒。安装木马查杀软件并及时更新。2.共享入侵 是为了方便远程管理而开放的共享,这个功能对个人用户来说用处不大,反而给黑客入侵提供了便利。个人用户应禁止自动打开默认共享,给自己的帐户设置复杂密码,
24、最好是数字、字母以及特殊符号相结合,安装防火墙。3.漏洞入侵 (Internet Information Server)服务为Web服务器提供了强大的Internet和Intranet服务功能。主要通过端口80来完成操作,因为作为Web服务器,80端口总要打开,具有很大的威胁性。长期以来攻击IIS服务是黑客惯用的手段,远程攻击者只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对iis的远程攻击,这种情况多是由于企业管理者或网管对安全问题关注不够造成的。我们要时刻关注微软官方站点,及时安装iis的漏洞补丁。 4.网页恶意代码入侵 在我们浏览网页的时候不可避免的会遇到一些不
25、正规的网站,当打开一个网页后,就发现注册表和IE设置被修改了,这就是网页恶意代码造成的破坏,但是这种网页恶意代码有着更大的危害,很有可能在我们不知道的情况下下载木马,蠕虫等病毒,同时把我们的私人信息,如银行帐号,QQ帐号,游戏帐号泄露出去。要避免被网页恶意代码感染,首先关键是不要轻易去访问一些并不信任的站点,尤其是一些带有美女图片等的网址。否则往往不经易间就会误入网页代码的圈套。但是这个并不能真正防止网页恶意代码的攻击,因为这些恶意代码有可能在任何地方出现。我们应尽量避免从Internet下载不知名的软件、游戏程序,即使从知名的网站下载的软件也要及时用最新的木马查杀程序对软件和系统进行扫描,这
26、样才能减少误中病毒的机会。安装具有注册表实时监控功能的防护软件,做好注册表的备份工作,禁用Remote Registry Service服务。5.通过光盘由于光盘的容量大,对于只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。为了使软件及相关的数字资源的传播而得到广泛应用。一些不法分子将病毒刻录到光盘中让用户在不知不觉中被隐藏与其上的病毒感染从而入侵你的电脑系统。6.通过U盘U盘作为当前人们最方便、最常用的存储介质和文件拷贝、携带工具,同时病毒的传播中发挥了重要的作用。7.通过网络计算机网络特别是Internet的普及,给病毒的传播提供了便捷的途径。计算机病毒可以附着在正常文件中,当你从网
27、上下载一个被感染的程序或文件,并在你的计算机上未加任何防护措施的情况下运行它,病毒就传染过来了。通过Internet传播病毒的方式很多,包括FTP文件下载、访问恶意WWW网站、P2P文件下载、即时通讯等等。人们使用Internet的频率是如此之高,使得Internet已是计算机病毒的第一传播途径。(七)计算机病毒的入侵方式知道了计算机病毒的传播途径,那他们都是通过什么样的方式传播的呢?如按其入侵的方式来分为以下几种: a、源代码嵌入攻击型 从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文
28、件。当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。 b、代码取代攻击型 这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。 c、系统修改型 这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。 d、外壳附加型 这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染
29、的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。 知道了计算机病毒的特性、分类和传播途径,找到了病根,只要对症下药就OK了!二、计算机病毒防范和清除的基本原则和技术计算机病毒的存在和传播对用户造成了很大的危害,为了减少信息资料的丢失和破坏,这就需要在日常使用计算机时,养成良好的习惯,预防计算机病毒。并且需要用户掌握一些查杀病毒的知识,在发现病毒时,及时保护好资料,并清除病毒。(一)计算机病毒防范的概念和原则计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机
30、系统和数据。原则以防御计算机病毒为主动,主要表现在检测行为的动态性和防范方法的广泛性。(二)计算机病毒防范基本技术计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵,就拦截、阻击计算机病毒的入侵或立即警报。目前在预防计算机病毒工具中采用的主要技术如下:1.特征代码技术特征代码法被早期应用于SCAN,CPAV等著名病毒检测工具中,目前被认为是用来检测己知病毒的最简单、开销最小的方法。防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析,并且将这些病毒独有的特征搜集在一个病毒码资料库中,每当需要扫描该程序是否有毒的时候,启动杀毒软件程序,以扫描的方式与该病毒码资料库内的现有资料一一比对,如果两方资料皆
31、有吻合之处的话,既判定该程序已遭病毒感染。特征代码法的实现步骤如下:采集已知病毒样本。如果病毒既感染com文件,又感染EXE文件,那么要对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。在病毒样本中,抽取病毒特征代码。在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。4)检测文件。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数,根据数据库中的病毒特征代码。如果发现病毒特征代码,由特征代码与病毒一一对应,便可以断定,被查文件所感染的是何种病毒。2.校验和法技术通常,大多数的病毒都不是单独存在的,它们大都依附或寄生于其它的文档程序,所
32、以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次汇总并加以记录,将正常文件的内容计算其校验和,将该校验和写入文件中或写入别的文件中保存。在每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现己知病毒又可发现未知病毒。运用校验和法检查病毒采用三种方式:在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和写入被查文件中或检测工具中,而后进行比较;在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中
33、,每当应用程序启动时,比较现行校验和与原校验和。实现应用程序的自检测;将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。3.行为监测法技术利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。4.软件模拟技术多态性病毒每次感染都会变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也各不相同,无法找出可能的作为
34、特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做杀毒处理,由此出现了一种新的软件模拟法。有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我可以按以下几个方法来判断。 (三)判断病毒的方法1.反病毒软件的扫描法 这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,病毒的开发和传播是越来越容易了,因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几
35、个系统的反病毒软件,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。至于这些反病毒软件的使用在此就不必说叙了,我相信大家都有这个水平! 2.观察法 这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时,我们首先要考虑的是病毒在作怪,但也不能一条胡洞走到底,上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛!对于如属病毒引起的我们可以从以下几个方面来观察: a、内存观察 这一方法一般用在DOS下发现的病毒,我们可用DOS下的“
36、mem/c/p”命令来查看各程序占用内存的情况,从中发现病毒占用内存的情况(一般不单独占用,而是依附在其它程序之中),有的病毒占用内存也比较隐蔽,用“mem/c/p”发现不了它,但可以看到总的基本内存640K之中少了那么区区1k或几K。 b、注册表观察法 这类方法一般适用于近来出现的所谓黑客程序,如木马程序,这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的,一般是在如下几个地方实现: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftW
37、indwosCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindwosCurrentVersionRunSevices HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion RunOnce 等等,在其中对注册表中可能出现的地方会有一个比较详尽的分析。 c、系统配置文件观察法 这类方法一般也是适用于黑客类程序,这类病毒一般在隐藏在system.ini 、
38、wini.ini(Win9x/WinME)和启动组中,在system.ini文件中有一个shell=”项,而在wini.ini文件中有“load= ”、“run= ”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。具体也可参考我的通通透透看木马一文。 d、特征字符串观察法 这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如Explorer.exe)
39、运用16进制代码编辑器进行编辑就可发现,当然编辑之前最好还要要备份,毕竟是主要系统文件。 e、硬盘空间观察法 有些病毒不会破坏你的系统文件,而仅是生成一个隐藏的文件,这个文件一般内容很少,但所占硬盘空间很大,有时大得让你的硬盘无法运行一般的程序,但是你查又看不到它,这时我们就要打开资源管理器,然后把所查看的内容属性设置成可查看所有属性的文件(这方法应不需要我来说吧?),相信这个庞然大物一定会到时显形的,因为病毒一般把它设置成隐藏属性的。到时删除它即可,这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例,明明只安装了几个常用程序,为什么在C盘之中几个G的硬盘空间显示就没有了,经过上述方
40、法一般能很快地让病毒显形的。 连续长时间读取、内存或者磁盘的空间突然减小、运行程序时候死机等异常症状,这时我们就要考虑是否遭遇到病毒感染了,接着需要通过杀毒软件来对整个硬盘进行彻底的检查。经常对Windows进行更新可以有效地防止病毒的侵入道高一尺,魔高一丈。即使我们做的够多够好,仍然无法应付最新的病毒爆发,这就需要我们在使用计算机的时候时刻保持清醒的头脑,要密切注意计算机的异常症状。比如,电脑动作比平常迟钝,正常使用计算机的时候突然出现黑屏、运行一个小程序的时候出现硬盘连续长时间读取、内存或者磁盘的空间突然减小、运行程序时候死机等异常症状,这时我们就要考虑是否遭遇到病毒感染了,接着需要通过杀
41、毒软件来对整个硬盘进行彻底的检查。经常对Windows进行更新可以有效地防止病毒的侵入。有了识别计算机病毒的方法,那计算机具体中毒都有哪些表现了?根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:计算机病毒发作前、发作时和发作后的表现现象: 首先,计算机病毒发作前的表现现象 计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己,在不被发现同时,又自我复制,以各种手段进行传播。 以下是一些计算机病毒发作前常见的表现现象:
42、 1)平时运行正常的计算机突然经常性无缘无故地死机 病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生 2)操作系统无法正常启动 关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导。 3)运行速度明显变慢 在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。 4)以前能正
43、常运行的软件经常发生内存不足的错误 某个以前能够正常运行的程序,程序启动的时候报系统内存不足,或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减小。需要注意的是在Windows 95/98下,记事本程序所能够编辑的文本文件不超过64Kb字节,如果用“复制粘贴”操作粘贴一段很大的文字到记事本程序时,也会报“内存不足,不能完成操作”的错误,但这不是计算机病毒在作怪。 5)打印和通讯发生异常 硬件没有更改或损坏的情况下,以前工作正常的打印机,近期发现无法进行打印操作,或打印出来的是乱码。串口设备无法正常工作,比如调制解调器不拨号。这很可
44、能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序,使之不能正常工作。 6)无意中要求对软盘进行写操作 没有进行任何读、写软盘的操作,操作系统提示软驱中没有插入软盘,或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件,也有的安装程序(如Office 97)对软盘有写的操作。 7)以前能正常运行的应用程序经常发生死机或者非法错误 在硬件和操作系统没有进行改动的情况下,以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病
45、毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。 8)系统文件的时间、日期、大小发生变化 这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件,绝大多数情况下是不会修改它们的,除非是进行系统升级或打补丁。对应用程序使用到的数据文件,文件大小和修改日期、时间是可能会改变的,并不一定是计算机病毒在作怪。 9)运行Word,打开Word文档后,该文件另存时只能以模板方式保存无法另存为一个DOC文档,只能保存成模板文档(
46、DOT)。这往往是打开的Word文档中感染了Word宏病毒的缘故。 10)磁盘空间迅速减少 没有安装新的应用程序,而系统可用的可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows 95/98下的内存交换文件的增长,在Windows 95/98下内存交换文件会随着应用程序运行的时间和进程的数量增加而增长,一般不会减少,而且同时运行的应用程序数量越多,内存交换文件就越大。 11)网络驱动器卷或共享目录无法调用 对于有读权限的网络
47、驱动器卷、共享目录等无法打开、浏览,或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒,但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。 12)基本内存发生变化 在DOS下用mem /c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小,一般少1Kb2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。 13)陌生人发来的电子函件 收到陌生人发来的电子函件,尤其是那些标题很具诱惑力,比如一则笑话,或者一封情书等,又带有附件的电子函件。当然,这要与广告电子函件、垃圾电子函件和电子函件炸弹区分开。一般来说广告电子函件有很明确的推销目的,会有它推销的产品介绍;垃圾电子函件的内容要么自成章回,要么根本没有价值。这两种电子函件大多是不会携带附件的。电子函件炸弹虽然也带有附件,但附件一般都很大,少则上兆字节,多的有几十兆甚至上百兆字节,而电子函件计算机病毒的附件大多是脚本程序,通常不会超过100Kb字节。当然,电子函件炸弹在一定意义上也可以看成是一种黑客程序,是一种计算机病毒。 14)自动链接到一些陌生的网站
