计算机病毒的技术防范技术分析发展趋势.doc

发布时间：2022-06-06 发布人：admin 分类：说明书资料大小：0.15M 资料格式：doc 举报版权申诉

zdlstj-1126090-16359647665848104895.doc.pdf-第1页.png

第1页 / 共20页

zdlstj-1126090-16359647665848104895.doc.pdf-第2页.png

第2页 / 共20页

zdlstj-1126090-16359647665848104895.doc.pdf-第3页.png

第3页 / 共20页

zdlstj-1126090-16359647665848104895.doc.pdf-第4页.png

第4页 / 共20页

zdlstj-1126090-16359647665848104895.doc.pdf-第5页.png

第5页 / 共20页

zdlstj-1126090-16359647665848104895.doc.pdf-第6页.png

第6页 / 共20页

zdlstj-1126090-16359647665848104895.doc.pdf-第7页.png

第7页 / 共20页

zdlstj-1126090-16359647665848104895.doc.pdf-第8页.png

第8页 / 共20页

引言

第一章计算机病毒概述

1.1什么是病毒

1.2病毒的特征

1.3病毒的分类

第二章计算机病毒的发展趋势

　　2.1无国界

　　2.2多样化

　　2.3破坏性更强

　　2.4智能化

2.5更加隐蔽化

第三章计算机病毒的技术分析

3.1无线电方式

3.2“固化”式方法

3.3后门攻击方式

3.4数据控制链侵入方式

第四章计算机病毒的技术防范

4.1计算机病毒检测方法

4.1.1 比较法

4.1.2 加总比对法

4.1.3 搜索法.

4.1.4 分析法

4.1.5 人工智能陷阱技术和宏病毒陷阱技术

4.1.6 软件仿真扫描法

4.1.7 先知扫描法

4.2 人为识别计算机病毒及防范

4.2.1计算机病毒的技术预防措施

4.2.2 文件型计算机病毒的识别和防范

4.2.3 引导型计算机病毒的识别和防范

4.2.4 宏病毒的识别和防范

4.2.5 电子函件计算机病毒的识别和防范

第五章计算机病毒防范的研究

5.1 建立有效的计算机病毒防护体系

5.2积极研究主动防御技术

5.3严把收硬件安全关

5.4 防止电磁辐射和电磁泄露

5.5全面解决方案

5.6 加强计算机应急反应分队建设

结束语

参考文献

目录引言 ............................................................... 2 第一章计算机病毒概述 ............................................... 3 1.1 什么是病毒 .................................................... 3 1.2 病毒的特征 .................................................... 3 1.3 病毒的分类 .................................................... 5 第二章计算机病毒的发展趋势 ......................................... 6 2.1 无国界 ........................................................ 6 2.2 多样化 ........................................................ 6 2.3 破坏性更强 .................................................... 6 2.4 智能化 ........................................................ 6 2.5 更加隐蔽化 .................................................... 7 第三章计算机病毒的技术分析 ......................................... 8 3.1 无线电方式 .................................................... 8 3.2“固化”式方法 ................................................ 8 3.3 后门攻击方式 .................................................. 8 3.4 数据控制链侵入方式 ............................................ 8 第四章计算机病毒的技术防范 ......................................... 9 4.1 计算机病毒检测方法 ............................................ 9 4.1.1 比较法 ......................................................9 4.1.2 加总比对法 ..................................................9 4.1.3 搜索法. .....................................................9 4.1.4 分析法 .....................................................10 4.1.5 人工智能陷阱技术和宏病毒陷阱技术 ...........................10 4.1.6 软件仿真扫描法 .............................................10 4.1.7 先知扫描法 .................................................10 4.2 人为识别计算机病毒及防范 .................................... 11 4.2.1 计算机病毒的技术预防措施 ................................... 11 4.2.2 文件型计算机病毒的识别和防范 ...............................12 4.2.3 引导型计算机病毒的识别和防范 ...............................13 4.2.4 宏病毒的识别和防范 .........................................14 4.2.5 电子函件计算机病毒的识别和防范 .............................15 第五章计算机病毒防范的研究 ........................................ 17 5.1 建立有效的计算机病毒防护体系 .................................17 5.2 积极研究主动防御技术 ......................................... 17 5.3 严把收硬件安全关 ............................................. 17 5.4 防止电磁辐射和电磁泄露 .......................................17 5.5 全面解决方案 ................................................. 17 5.6 加强计算机应急反应分队建设 ...................................18

结束语 ............................................................ 19 参考文献 .......................................................... 19 1

引言随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行，有些计算机病毒借助网络爆发流行，如 CIH 计算机病毒、“爱虫”病毒等，它们与以往的计算机病毒相比具有一些新的特点，给广大计算机用户带来了极大的损失。当计算机系统或文件染有计算机病毒时，需要检测和消除。但是，计算机病毒一旦破坏了没有副本的文件，便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中，如果能采取有效的防范措施，就能使系统不染毒，或者染毒后能减少损失。计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。计算机病毒利用读写文件能进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护，只能识别出已知的计算机病毒。新一代的防杀计算机病毒软件则不仅能识别出已知的计算机病毒，在计算机病毒运行之前发出警报，还能屏蔽掉计算机病毒程序的传染功能和破坏功能，使受感染的程序可以继续运行（即所谓的带毒运行）。同时还能利用计算机病毒的行为特征，防范未知计算机病毒的侵扰和破坏。另外，新一代的防杀计算机病毒软件还能实现超前防御，将系统中可能被计算机病毒利用的资源都加以保护，不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施，比等待计算机病毒出现之后再去扫描和清除更有效地保护计算机系统。计算机病毒的工作方式是可以分类的，防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时，由于其工作方式早已被记录在案，防杀计算机病毒软件能识别出来；当未曾被分析过的计算机病毒出现时，如果其工作方式仍可被归入已知的工作方式，则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。当然，如果新出现的计算机病毒不按已知的方式工作，这种新的传染方式又不能被反病毒软件所识别，那么反病毒软件也无能为力了。这时只能采取两种措施进行保护：第一是依靠管理上的措施，及早发现疫情，捕捉计算计算机病毒，修复系统。第二是选用功能更加完善的、具有更强超前防御能力的反病毒软件，尽可能多地堵住能被计算机病毒利用的系统漏洞。计算机病毒防范工作，首先是防范体系的建设和制度的建立。没有一个完善的防范体系，一切防范措施都将滞后于计算机病毒的危害。计算机病毒防范体系的建设是一个社会性的工作，不是一两个人、一两家企业能够实现的，需要全社会的参与，充分利用所有能够利用的资源，形成广泛的、全社会的计算机病毒防范体系网络。计算机病毒防范制度是防范体系中每个主体都必须的行为规程，没有制度，防范体系就不可能很好地运作，就不可能达到预期的效果。必须依照防范体系对防范制度的要求，结合实际情况，建立符合自身特点防范制度。 2

第一章计算机病毒概述 1.1 什么是病毒 20 世纪 60 年代初，美国贝尔实验室的三位程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。 20 世纪 70 年代，美国作家雷恩在其出版的《P1 的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。 1983 年 11 月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在 VAX/750 计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。 20 世纪 80 年代后期，巴基斯坦有两个以编程为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，这就是世界上流行的第一个真正的病毒。那么，究竟什么是计算机病毒呢？ 1994 年 2 月 18 日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 这个定义具有法律性、权威性。根据这个定义，计算机病毒是一种计算机程序，它不仅能破坏计算机系统，而且还能够传染到其他系统。计算机病毒通常隐藏在其他正常程序中，能生成自身的拷贝并将其插入其他的程序中，对计算机系统进行恶意的破坏。计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有破坏功能的程序。计算机病毒能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。 1.2 病毒的特征传统意义上的计算机病毒一般具有以下几个特点： 1、破坏性任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。根据病毒对计算机系统造成破坏的程度，我们可以把病毒分为良性病毒与恶性病毒。良性病毒可能只是干扰显示屏幕，显示一些乱码或无聊的语句，或者根本没有任何破坏动作，只是占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT 等。恶性病毒则有明确的目的，它们破坏数据、删除文件、加密磁盘或者甚至格式化磁盘，有的恶性病毒对数据造成不可挽回的破坏。这类病毒有 CIH、红色代码等。 3

2、隐蔽性病毒程序大多夹在正常程序之中，很难被发现，它们通常附在正常程序中或磁盘较隐蔽的地方（也有个别的以隐含文件形式出现），这样做的目的是不让用户发现它的存在。如果不经过代码分析，我们很难区别病毒程序与正常程序。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到有任何异常。大部分病毒程序具有很高的程序设计技巧、代码短小精悍，其目的就是为了隐蔽。病毒程序一般只有几百字节，而 PC 机对文件的存取速度可达每秒几百 KB 以上，所以病毒程序在转瞬之间便可将这短短的几百字节附着到正常程序之中，非常不易被察觉。 3、潜伏性大部分计算机病毒感染系统之后不会马上发作，可长期隐藏在系统中，只有在满足特定条件时才启动其破坏模块。例如，PETER-2 病毒在每年的 2 月 27 日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”病毒在逢 13 号的星期五发作。当然，最令人难忘的是 26 日发作的 CIH 病毒。这些病毒在平时会隐藏得很好，只有在发作日才会显露出其破坏的本性。 4、传染性计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进数据交换或通过网络接触，病毒会在整个网络中继续传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。随着计算机软件和网络技术的发展，在今天的网络时代，计算机病毒又有了很多新的特点： 1、主动通过网络和邮件系统传播从当前流行的前十位计算机病毒来看，其中七个病毒都可以利用邮件系统和网络进行传播。例如，“求职信”病毒就是通过电子邮件传播的，这种病毒程序代码往往夹在邮件的附件中，当收邮件者点击附件时，病毒程序便得以执行并迅速传染。它们还能搜索计算机用户的邮件通讯地址，继续向网络进行传播。 2、传播速度极快由于病毒主要通过网络传播，因此，一种新病毒出现后，可以迅速通过国际互联网传播到世界各地。例如，“爱虫”病毒在一、两天内迅速传播到世界的主要计算机网络，并造成欧、美国家的计算机网络瘫痪。 3、变种多现在，很多新病毒都不再使用汇编语言编写，而是使用高级程序设计语言。例如，“爱虫”是脚本语言病毒，“美丽杀”是宏病毒。它们容易编写，并且很容易被修改，生成很多病毒变种。“爱虫”病毒在十几天中，就出现了三十多个 4

变种。“美丽杀”病毒也生成了三、四个变种，并且此后很多宏病毒都是使用了 “美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致，只是某些代码作了修改。 4、具有病毒、蠕虫和黑客程序的功能随着网络技术的普及和发展，计算机病毒的编制技术也在不断地提高。过去，病毒最大的特点是能够复制自身给其他的程序。现在，计算机病毒具有了蠕虫的特点，可以利用网络进行传播。同时，有些病毒还具有了黑客程序的功能，一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统。呈现出计算机病毒功能的多样化，因而，更具有危害性。 1.3 病毒的分类通常，计算机病毒可分为下列几类： 1、文件型病毒文件型病毒通过在执行过程中插入指令，把自己依附在可执行文件上。然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行指令序列。通常，这个执行过程发生得很快，以致于用户并不知道病毒代码已被执行。 2、引导扇区病毒引导扇区病毒改变每一个用 DOS 格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码，然后再继续 PC 机的启动进程。大多数情况，在一台染有引导型病毒的计算机上对可读写的软盘进行读写操作时，这块软盘也会被感染该病毒。引导扇区病毒会潜伏在软盘的引导扇区里，或者在硬盘的引导扇区或主引导记录中插入指令。此时，如果计算机从被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。 3、混合型病毒混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。当执行一个被感染的文件时，它将感染硬盘的引导扇区或主引导记录，并且感染在机器上使用过的软盘。这种病毒能感染可执行文件，从而能在网上迅速传播蔓延。 4、变形病毒变形病毒随着每次复制而发生变化，通过在可能被感染的文件中搜索简单的、专门的字节序列，是不能检测到这种病毒的。变形病毒是一种能变异的病毒，随着感染时间的不同而改变其不同的形式，不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。 5、宏病毒宏病毒不只是感染可执行文件，它可以感染一般软件文件。虽然宏病毒不会对计算机系统造成严重的危害，但它仍令人讨厌。因为宏病毒会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的，不受操作平台的约束，可以在 D0S、Windows、Unix 甚至在 OS／2 系统中散播。这就是说，宏病毒能被传播到任何可运行编写宏病毒的应用程序的机器中。 5

第二章计算机病毒的发展趋势随着 Internet 的发展和计算机网络的日益普及，计算机病毒出现了一系列新的发展趋势。 2.1 无国界新病毒层出不穷，电子邮件已成为病毒传播的主要途径。病毒家族的种类越来越多，且传播速度大大加快，传播空间大大延伸，呈现无国界的趋势。据统计，以前通过磁盘等有形媒介传播的病毒，从国外发现到国内流行，传播周期平均需要 6－12 个月，而 Internet 的普及，使得病毒的传播已经没有国界。从“美丽杀”、“怕怕”、“辛迪加”、“欢乐 99”、到“美丽公园”、 “探索蠕虫”、“红色代码”、“求职信”等恶性病毒，通过 Internet 在短短几天就传遍整个世界。 2.2 多样化随着计算机技术的发展和软件的多样性，病毒的种类也呈现多样化发展的态势，病毒不仅仅有引导型病毒、普通可执行文件型病毒、宏病毒、混合型病毒，还出现专门感染特定文件的高级病毒。特别是 Java、VB 和 ActiveX 的网页技术逐渐被广泛使用后，一些人就利用技术来撰写病毒。以 Java 病毒为例，虽然它并不能破坏硬盘上的资料，但如果使用浏览器来浏览含有 Java 病毒的网页，浏览器就把这些程序抓下来，然后用使用者自己系统里的资源去执行，因而，使用者就在神不知鬼不觉的状态下，被病毒进入自己的机器进行复制并通过网络窃取宝贵的个人秘密信息。 2.3 破坏性更强新病毒的破坏力更强，手段比过去更加狠毒和阴险，它可以修改文件（包括注册表）、通讯端口，修改用户密码，挤占内存，还可以利用恶意程序实现远程控制等。例如，CIH 病毒破坏主板上的 BIOS 和硬盘数据，使得用户需要更换主板，由于硬盘数据的不可恢复性丢失，给全世界用户带来巨大损失。又如，“白雪公主”病毒修改 Wsock32.Dll，截取外发的信息，自动附加在受感染的邮件上，一旦收信人执行附件程序，该病毒就会感染个人主机。一旦计算机被病毒感染，其内部的所有数据、信息以及核心机密都将在病毒制造者面前暴露，他可以随心所欲地控制所有受感染的计算机来达到自己的任何目的。 2.4 智能化过去，人们的观点是“只要不打开电子邮件的附件，就不会感染病毒”。但是，新一代计算机病毒却令人震惊，例如，大名鼎鼎的“维罗纳（Verona）”病毒是一个真正意义上的“超级病毒”，它不仅主题众多，而且集邮件病毒的几大特点为一身，令人无法设防。最严重的是它将病毒写入邮件原文。这正是“维罗纳”病毒的新突破，一旦用户收到了该病毒邮件，无论是无意间用 Outlook 打开了该邮件，还是仅仅使用了预览，病毒就会自动发作，并将一个新的病毒邮件发送给邮件通讯录中的地址，从而迅速传播。这就使得一旦“维罗纳”类的病毒来临，用户将根本无法逃避。该病毒本身对用户计算机系统并不造成严重危害，但是这一病毒的出现已经是病毒技术的一次巨大“飞跃”，它无疑为今后更大规 6

模、更大危害的病毒的出现做了一次技术上的试验及预演，一旦这一技术与以往危害甚大的病毒技术或恶意程序、特洛伊木马等相结合，它可能造成的危害将是无法想象的。 2.5 更加隐蔽化和过去的病毒不一样，新一代病毒更加隐蔽，主题会随用户传播而改变，而且许多病毒还会将自己装成常用的程序，或者将病毒代码写入文件内部，而文件长度不发生任何改变，使用户不会产生怀疑。例如，猖狂一时的“欢乐 99”病毒本身虽是附件，却呈现为卡通的样子迷惑用户。现在，新的病毒可以将自身写入 Jpg 等图片中，计算机用户一旦打开图片，它就会运行某些程序将用户电脑的硬盘格式化，以后无法恢复。还有象“矩阵(matrix)”等病毒会自动隐藏、变形，甚至阻止受害用户访问反病毒网站和向病毒记录的反病毒地址发送电子邮件，无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。 7

分享到：

赞收藏

资料库

计算机病毒的技术防范技术分析发展趋势.doc

相关推荐

安全技术

热门标签

最新资料