计算机病毒的研究与防治论文
摘要:随着计算机技术的飞速发展和计算机应用的日益普及,目前计算机病毒几乎已经遍及社会的各个领域,近乎家喻户晓,只要接触过计算机的都能碰上它。你说它有多恐怖,也不是。但它总也挥之不去,伴随着计算机的发展,给计算机系统带来了巨大的破坏和潜在的威胁。因此,为了确保计算机系统的安全及网络信息的安全,研究对付计算机病毒的措施已刻不容缓同时计算机病毒也在不断地推陈出新。目前,病毒已成为困扰计算机系统安全和网络发展的重要问题,各行各业中的管理部门更是要增强计算机病毒的防范意识,最大限度地减少计算机病毒所带来的危害本文将通过我切身对计算机病毒的经历来阐述本人对计算机病 毒学的认识,结合参考文献加深对计算机病毒学的理解,以达到对计算机病毒能够防患于未然及普及这方面知识关键词:计算机病毒 安全 防范 计算机病毒的主要来源: 1.搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒,例如像圆点一类的良性病毒。 2.软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁, 不如在其中藏有病毒对非法拷贝的打击大, 这更加助长了各种病毒的传播。 3.旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒, 就是雇员在工作中受挫或被辞退时故意制造的。它针对性强, 破坏性大, 产生于内部, 防不胜防。 4.用于研究或有益目的而设计的程序, 由于某种原因失去控制或产生了意想不到的效果。 计算机病毒的类型及特点: 归纳一下,计算机病毒有以下几种特点:一是隐蔽性强。病毒可以在毫无察觉的情况下感染计算机而不被人察觉,等到发现时,就已经造成了严重后果。二是繁殖能力强。电脑一旦染毒,可以很快“发病”。三是传染途径广。可通过移动设备、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断传染。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作,等达到激发条件后,就发作破坏系统。五是破坏力大。计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,甚至导致整个计算机系统的瘫痪。 计算机病毒是通过复制自身从而感染其它程序的指令代码或程序。当染毒文件运行时,病毒也随之运行并自我复制来感染其它程序。不过,良性病毒没有恶意攻击性性的代码,只占用系统的资源,让系统运行减慢。但是对大多数的恶性病毒却是携带恶意攻击性的毒码,一旦被激发,即可感染和破坏。自80年代由莫里斯编写的第一个“蠕虫”病毒程序问世以来,世界上已出现了多种不同类型的病毒。主要有以下几种主要病毒,产生了以下几种主要病毒: (一)系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *xe 和 *dll 文件,并通过这些文件进行传播。(二)蠕虫病毒。蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。 (三)木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的现在这两种类型都越来越趋向于整合了。 (四)脚本病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,(五)宏病毒。其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。 (六)后门病毒。后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。(七)病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。 (八)破坏性程序病毒。破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。 (九)玩笑病毒。玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,实病毒并没有对用户电脑进行任何破坏。 (十)捆绑机病毒。捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。必然,随着信息技术的日后不断发达,肯 定会产生新型的病毒。毕竟,我们知道,魔高一尺,道高一丈。本人 接触到计算机是初中那会, 伴随着计算机的认识也知道有计算机病毒 这玩意。真正受到病毒的破坏是 04 年,那时使用的是腾讯 QQ 聊天 工具,当时由于初步接触网络,防范意识相当薄弱,也可以说根本毫 无这病毒防患这方面的知识。当时病毒是通过 QQ 上的好友发送一张 图片。这时,只要你点击接受。那大小几十 KB 的文件就自动在你机 器后台执行。盗取上网帐号,造成财产的损失。然后,伴随的还有计 算机的运行缓慢等等一系列病后遗症。当时,深受其害的我,就开始 着手去关注这方面的知识。 现在回想起来, 其实那时的那病毒很简单, 防患起来更加容易。也许,这就是时间的魔力。 07 年,震惊国内的熊猫烧香病毒爆发。那时很清晰的记得正 值夏季。酷暑下,全国几百万受感染的计算机用户可谓是深受其害。 当然,我也正切身感受到了此病毒的危害。可爱却可恨的熊猫手持三 根燃烧的香做拜姿于桌面每个图标处。整个系统运行的极其缓慢。对 于我这种普通的网民而言危害到此为止。可是,对于众多商业用户及企事业单位用户就非常之杀伤了。造成了巨大财产损失。 因此,我更加去关注了并简单学习了计算机病毒这方面的知 识。 通过对这方面的兴趣爱好,我了解到,本人所遭受的病毒只 是计算机病毒传播途径的其中一种:通过网络 这种传染扩散极快, 能在很短时间内传遍网络上的机器。 随着 Internet 的风靡,给病毒的传播又增加了新的途径,它的发 展使病毒可能成为灾难, 病毒的传播更迅速, 反病毒的任务更加艰巨。 Internet 带来两种不同的安全威胁,一种威胁来自文件下载,这些被 浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。 大多数 Internet 邮件系统提供了在网络间传送附带格式化文档邮件的 功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌 入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。 现在,我们还知道计算机病毒传播的途径还有以下几种:通过 软盘 通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、 来历不 明的软件、 游戏盘等是最普遍的传染途径。 由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软 盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种 软件造成了病毒感染、泛滥蔓延的温床。 通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使 用、维修等, 将干净的软盘传染并再扩散。 通过光盘 因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可 能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒 不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒 防护担负专门责任, 也决不会有真正可靠可行的技术保障避免病毒的 传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来 了很大的便利。 其次,我了解到病毒是 木马在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。所以木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 鉴于此,我总结了一下几点需要注意的: 建立良好的安全习惯 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太 了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等, 这些必要的习惯会使您的计算机更安全。 关闭或删除系统中不需要的服务 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户 端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又 对用户没有太大用处, 如果删除它们, 就能大大减少被攻击的可能性。 经常升级安全补丁 据统计,有 80%的网络病毒是通过系统安全漏洞进行传播的, 象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载 最新的安全补丁,以防范未然。 使用复杂的密码 有许多网络病毒就是通过猜测简单密码的方式攻击系统的, 因此 使用复杂的密码,将会大大提高计算机的安全系数。 迅速隔离受感染的计算机 当您的计算机发现病毒或异常时应立刻断网, 以防止计算机受到 更多的感染,或者成为传播源,再次感染其它计算机。 了解一些病毒知识 这样就可以及时发现新病毒并采取相应措施, 在关键时刻使自己 的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看 一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就 可以经常看看内存中是否有可疑程序。 最好安装专业的杀毒软件进行全面监控 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济 的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将 一些主要监控经常打开(如邮件监控)、 内存监控等、 遇到问题要上报, 这样才能真正保障计算机的安全。 用户还应该安装个人防火墙软件进行防黑 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严 重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户 还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效 地防止网络上的黑客攻击。小结:四、结束语 通过上文本人结合自身于计算机使用经历,感怀计算机病小结毒。这就是信息技术的发展所带来的切身感受。继而得知以后的路还 很长,我们必须不断努力学习,不断与计算机病毒做斗争。相信未来 的计算机病毒会更加厉害,防不胜防。但是,更加相信邪不胜正,总 有解决它的办法。尽管现在的病毒种类各种各样,杀毒软件也比较先进。但病毒的更新,换代速度也非常之快,我们不要掉以轻心。要树立良好的安全意识,才能在计算机病毒的防护方面做到尽量避免损失。
浅析计算机病毒及防范
(一)非授权可执行性 用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 (二)隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。 (三)传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。 (四)潜伏性 计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。 (五)表现性或破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。 (六)可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。 “计算机病毒”一词最早是由美国计算机病毒研究专家F--Cohen博士提出的。 “病毒”一词是借用生物学中的病毒。通过分析、研究计算机病毒,人们发现它在很多方面与生物病毒有着相似之处。要做反计算机病毒技术的研究,首先应搞清楚计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。 再生机制是生物病毒的一个重要特征。通过传染,病毒从一个生物体扩散到另一个生物体。在适宜的条件下,它得到大量繁殖,并进而使被感染的生物体表现出病症甚至死亡。同样地,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征——传染和破坏。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就与系统中的程序连接在一起,并不断地去传染(或连接、或覆盖)其它未被感染的程序。具有这种特殊功能的程序代码被称为计算机病毒。携带有这种程序代码的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。比如DOS的FORMAT程序决不会将其程序代码连接到别的程序中去。在系统生成过程中有些系统的安装程序会修改相关程序的参数配置,如MSWindows系统。有些程序通过自身的设置功能,按用户要求会修改自己的参数设置,如Borland公司的SideKick。还有些程序出于加密防拷贝或某些其它目的,在运行时动态改变自身的程序代码,如Xcom通信程序。在这几种情况下,那些被修改的程序内部的确发生了变化,但这些变化只局限于各自应用系统的内部,不会发生将自身代码连接到毫不相干的程序之上的情形。计算机病毒的再生机制,即它的传染机制却是使病毒代码强行传染到一切未受到传染的程序之上,迅速地在一台计算机内,甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机,本身既是一个受害者,又是一个新的计算机病毒的传染源。被感染的计算机往往在一定程度上丧失了正常工作的能力,运行速度降低,功能失常,文件和数据丢失,同时计算机病毒通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒;而与这台机器相邻的其它几台计算机也许早已被该病毒侵染上了。通过数据共享的途径,计算机病毒会非常迅速地蔓延开,若不加控制,就会在短时间内传播到世界各个角落里去。可见反计算机病毒的问题是一个全球范围的问题。在我国发现的首例计算机病毒就是国外称为意大利病毒的小球病毒。在我国首先发现的Traveller病毒随着国际间的交往,也扩散到国外,其大名出现在国外杀病毒软件的病毒黑名单中。与生物病毒不同,所有的计算机病毒都是人为编写的计算机程序代码,是人为制造出来的而不是天生的。这些着意编写的计算机程序代码,其原始形式可以是C语言,可以是BASIC程序,可以是汇编语言程序,也可以是批命令程序,还可以是机器指令程序。其共同特点就是具有传染性和破坏性。 计算机病毒的另一个特点是只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但已置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,绝大多数病毒首先要做初始化工作,在内存中找一片安身之处,随后将自身与系统软件挂起钩来,然后再执行原来被感染程序。这一系列的操作中,最重要的是病毒与系统软件挂起钩来,只要系统不瘫痪,系统每执行一次操作,病毒就有机会得以运行,去危害那些未曾被感染的程序。病毒程序与正常系统程序,或某种病毒与其它病毒程序,在同一台计算机内争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术也就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的行为,阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成对抗已知病毒的任务,对未知病毒则束手无策,任其在系统内扩散与破坏。所谓未知病毒是指新出现的,以前未曾分析过的计算机病毒。在1992年初,DIRⅡ病毒对我国广大PC机用户来说就是一种未知病毒。与未曾相识的敌手对阵不是件容易的事。DIRⅡ病毒采用嵌入DOS系统的设备驱动程序链的方法攻击IBMPC及其兼容机,是一种与以往病毒工作机制不同的新型计算机病毒。由于其夺取PC机系统控制权的方法很特别,在它的攻势下,大批抗病毒系统败下阵来。从这个例子可以看到,对付计算机病毒,目前尚无完满通用的解决方案,反病毒技术需要不断发展,以对抗各种新病毒。 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。在没有防护措施的情况下,计算机病毒程序经运行取得系统控制权后,可以在不到1秒钟的时间里传染几百个程序,而且在屏幕上没有任何异常显示。传染操作完成后,计算机系统仍能运行,被感染的程序仍能执行,好像不曾在计算机内发生过什么。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性,计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。让我们设想,如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序,我要干坏事了”,那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”,时不时在屏幕上显示一些图案或信息,或演奏一段乐曲。往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,而没有意识到这些病毒正在损害计算机系统,正在制造灾难。如磁盘杀手(DiskKiller)病毒,当它破坏磁盘数据时,屏幕上显示如下信息:“DiskKillerV00byOgreSoftware,April1,Don'”这两句话中,第一句的含义是:“磁盘杀手00版OgreSoftware公司1989年4月1日出版。”第二句的含义是:“在处理过程中请不要关机或取出磁盘。”接着屏幕上显示出“PROCESSING”意思是“正在处理”这时DiskKiller病毒锁定键盘,对磁盘上的数据做加密变换处理。计算机的处理速度是很快的,当你在屏幕上见到上述显示信息时,已经有很多数据被病毒破坏掉了。计算机病毒的第二个隐蔽性在于,被病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上病毒,整台计算机就不能启动了,或者某个程序一旦被病毒所感染,就被损坏得不能运行了。如果出现这种情况,病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。典型的是Tiny家族。这个家族的病毒都很短小,最小的病毒代码长度只有133字节。一般PC机对DOS文件的存取速度可达每秒100KB以上,所以病毒将这短短的几百字节感染到正常程序之中所花的时间只是转瞬之间,非常不易被察觉。 与隐蔽性相关联的是计算机病毒的潜伏性。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。计算机病毒使用的触发条件主要有以下三种。(1)利用计算机内的实时时钟提供的时间作为触发器这种触发条件被许多病毒所采用,触发的时间有的精确到百分之几秒,有的则只区分年份。表11列出了一些病毒触发的时间,可以供防范计算机病毒时参考。(2)利用病毒体内自带的计数器作为触发器计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。这些事件可以是计算机开机的次数,可以是病毒程序被运行的次数,还可以是从开机起被运行过的总的程序个数等。(3)利用计算机内执行的某些特定操作作为触发器特定操作可以是用户按下某种特定的键组合,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。表11计算机病毒触发时间一览表被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其它条件。如在我国广为流传的小球病毒,每当系统时钟为整点或半点时,系统又正在进行读盘操作,而该盘是未被感染的,等等,一旦这些条件得到满足时,小球病毒的屏幕显示部分便被激活,一个小球弹跳在屏幕上。若显示器是CGA类型的,又正在使用汉字系统,则整个屏幕显示会不停地上下翻滚,使操作根本无法进行。小球病毒的触发条件在各种触发条件中是很典型的,既有时间的条件,又有功能操作的条件,而且条件之间还存在着逻辑“与”和逻辑“或”的关系。利用这种触发条件,计算机病毒不是随时随地表现自己,而是在适当的时机——条件满足时才向你示威,轻则只是在屏幕上显示些信息,重则要销毁数据,弄垮整个系统。计算机病毒的破坏作用是多种多样的。有一种分类方法是将病毒分为恶性病毒和良性病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗琪罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。�计算机病毒的实现方法是千差万别的,加上许多病毒采用加密处理技术,使得被感染的程序恢复原形的工作,即杀毒工作很困难。目前还没有通用的、能可靠自动清病毒的方法。很多研究人员在这方面作了很多努力,一些国外商品软件也具有免疫功能(Immunize),但都存在缺陷,不尽如人意。某些病毒对系统的感染所造成的损失是不可挽回的,要修复被感染的文件是不可能的。当被新病毒感染后,要清除这些病毒,不仅需要耗费大量时间和精力去仔细地分析病毒代码,而且还需要对病毒和计算机系统有全面的了解。因此抗计算机病毒工作最重要的就是防御病毒,不让病毒侵入系统。一旦遭到破坏,做修复工作就很麻烦了,甚至是不可能的。 在对抗计算机病毒的斗争中,很重要的一项工作就是计算机病毒的分类与命名。计算机病毒的分类可以有多种方法:按病毒对计算机系统的破坏性划分,有良性病毒和恶性病毒,已如上述。按病毒攻击的机型划分,有苹果机病毒,IBMPC机病毒,小型机病毒等。按危害对象划分,有损害计算机的病毒和损害网络通信的病毒。对于侵害IBMPC机的PC机病毒,也就是本书要着重讨论、要重点对抗的病毒,可以有更科学的分类。进行这种分类的目的,就是要了解病毒的工作机理,针对其特点,采取更加有效的方法,防御和清除计算机病毒。对PC机病毒,比较公认的、科学的划分是将PC机病毒分为引导区型病毒、文件型病毒和混合型病毒(即又侵染引导区又感染文件的病毒)。这种划分方法对于检测、清除和预防病毒工作是有指导意义的,它不仅指明了不同种类病毒各自在PC机内的寄生部位,而且也指明了病毒的攻击对象。因此,可以通过采取相应的措施保护易受病毒攻击的部位,如分区表所在的主引导扇区、DOS引导扇区以及可执行文件等,并进而找到综合、有效的反计算机病毒措施。�与国际上的情况一样,国内常见的PC机病毒中,引导区型比文件型病毒种类少,而混合型的最少。这三种类型的病毒都是既有良性的又有恶性的。常见的文件型病毒有Jerusalem、1575、扬基病毒、648、V2000、1701落叶病毒等。常见的引导区型病毒有大麻、小球、米氏病毒、4病毒和香港病毒等。混合型病毒常见的有新世纪病毒、Flip等。一种计算机病毒往往有多个名字。人们在讨论病毒防范时经常要弄清他们正在讨论的是不是同一种病毒。如1701病毒的别名有落叶病毒、落泪病毒、1704病毒、雨点病毒、感冒病毒等。国外又称雨点病毒为Flu病毒和JOJO病毒。香港病毒又称为封锁病毒、不打印病毒、Blockade病毒和端口病毒等。所以由此产生的统计数字有时也带有偏差。目前国际上也尚无统一的规范用以协调和指导这方面的命名工作。美国的抗病毒产品开发商集团AVPD正在各个成员单位间进行计算机病毒的收集、识别、命名以及抗病毒产品开发等协调工作。在没有见到对某种病毒的确切描述以及对它公认的命名时,人们会根据该病毒的工作机理、表现形式、内含的ASCII字符串、病毒程序的代码长度、发作日期或时间、该病毒的发现地、被病毒攻击的机型、病毒中表现模块发出的音响或显示的图形以及该病毒发现者当时能体会到的各种特征来为它命名。前面所列举的1701、香港病毒就都属于这种情况。为某种新出现的计算机病毒命名,目的就是要使人们能快速、准确地辨识出该病毒,以便防范和诊治。因此该命名应能最好地体现出该病毒的特征,使之不容易与其它现存的计算机病毒混淆。 计算机病毒如今已是PC机用户的一大公害,它造成的损失和破坏难以估计。而一些恶作剧者、一些怀有报复心理的程序员、一些蓄意破坏者和一些为了政治目的、经济利益以及军事目的的病毒编制者,仍在制造着各种各样的计算机病毒。有些病毒仅仅是以前某种病毒的变种。某些人通过反汇编等各种手段,对原病毒的内部模块,如表现模块、破坏模块、传染模块等加以修改,使之成为一种基于原病毒又不同于原病毒的新的计算机病毒,这就是计算机病毒的变种。某些病毒变种只是简单地对原种病毒的显示信息加以改动,而对传染模块等重要代码未动分毫。而另外一些变种在修改了一些重要的代码后,病毒以新的机制工作,此时,这种变种已演化为一种新的病毒,已不能被叫做其原型病毒的变种了。生物界里的病毒也几乎以相同的方式在演化着,一种病毒可能会衍生出若干种具有共同基本特征的病毒种系,成为一个病毒家族。而当发生突变时,则会产生出一种新的病毒。对付老病毒及其变种,人们已有成功的经验和药物作为对策,而对于新的尚未接触过的病毒,在未做仔细研究与试验之前,是很难采取合适的对策的。对付计算机病毒,人们也遇到类似的问题。如何准确地捕获用常用软件无法识别出的新病毒,以及分析和研究它的工作机理和特性,是需要专门知识的,不分析它的传染机制,就无法研制出防范和清除病毒的工具软件。
你好,计算机病毒的预防和诊断的毕业论文 随着Internet的迅速发展我国的互联网用户不断的增加,成为仅次于美国的国家,位居世界第二。互联网的发展也使得计算机病毒开始渗透到信息社会的各个领域,给计算机网络系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,研究计算机病毒的防范措施已迫在眉睫。计算机病毒的防治目前主要有主动防御技术和启发式病毒扫描技术等,也在朝着一些新的趋势发展。【目前主要有主动防御技术和启发式病毒扫描技术等。本文将从计算机的特点入手,来探讨对付计算机病毒维护计算机网络安全的方法和措施。欢迎来电脑管家企业平台访问
计算机病毒的研究与防治论文怎么写
随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、“爱虫”病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失。 当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。 计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。 计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。 老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护,只能识别出已知的计算机病毒。新一代的防杀计算机病毒软件则不仅能识别出已知的计算机病毒,在计算机病毒运行之前发出警报,还能屏蔽掉计算机病毒程序的传染功能和破坏功能,使受感染的程序可以继续运行(即所谓的带毒运行)。同时还能利用计算机病毒的行为特征,防范未知计算机病毒的侵扰和破坏。另外,新一代的防杀计算机病毒软件还能实现超前防御,将系统中可能被计算机病毒利用的资源都加以保护,不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除更有效地保护计算机系统。 计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时,由于其工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。 当然,如果新出现的计算机病毒不按已知的方式工作,这种新的传染方式又不能被反病毒软件所识别,那么反病毒软件也无能为力了。这时只能采取两种措施进行保护:第一是依靠管理上的措施,及早发现疫情,捕捉计算计算机病毒,修复系统。第二是选用功能更加完善的、具有更强超前防御能力的反病毒软件,尽可能多地堵住能被计算机病毒利用的系统漏洞。 计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。 计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。 计算机病毒防范制度是防范体系中每个主体都必须的行为规程,没有制度,防范体系就不可能很好地运作,就不可能达到预期的效果。必须依照防范体系对防范制度的要求,结合实际情况,建立符合自身特点防范制度。
(一)非授权可执行性 用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。 (二)隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。 (三)传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。 (四)潜伏性 计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。 (五)表现性或破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。 (六)可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。 “计算机病毒”一词最早是由美国计算机病毒研究专家F--Cohen博士提出的。 “病毒”一词是借用生物学中的病毒。通过分析、研究计算机病毒,人们发现它在很多方面与生物病毒有着相似之处。要做反计算机病毒技术的研究,首先应搞清楚计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。 再生机制是生物病毒的一个重要特征。通过传染,病毒从一个生物体扩散到另一个生物体。在适宜的条件下,它得到大量繁殖,并进而使被感染的生物体表现出病症甚至死亡。同样地,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。这就是计算机病毒最重要的特征——传染和破坏。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就与系统中的程序连接在一起,并不断地去传染(或连接、或覆盖)其它未被感染的程序。具有这种特殊功能的程序代码被称为计算机病毒。携带有这种程序代码的计算机程序被称为计算机病毒载体或被感染程序。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其它程序之上的。比如DOS的FORMAT程序决不会将其程序代码连接到别的程序中去。在系统生成过程中有些系统的安装程序会修改相关程序的参数配置,如MSWindows系统。有些程序通过自身的设置功能,按用户要求会修改自己的参数设置,如Borland公司的SideKick。还有些程序出于加密防拷贝或某些其它目的,在运行时动态改变自身的程序代码,如Xcom通信程序。在这几种情况下,那些被修改的程序内部的确发生了变化,但这些变化只局限于各自应用系统的内部,不会发生将自身代码连接到毫不相干的程序之上的情形。计算机病毒的再生机制,即它的传染机制却是使病毒代码强行传染到一切未受到传染的程序之上,迅速地在一台计算机内,甚至在一群计算机之间进行传染、扩散。每一台被感染了计算机病毒的计算机,本身既是一个受害者,又是一个新的计算机病毒的传染源。被感染的计算机往往在一定程度上丧失了正常工作的能力,运行速度降低,功能失常,文件和数据丢失,同时计算机病毒通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒;而与这台机器相邻的其它几台计算机也许早已被该病毒侵染上了。通过数据共享的途径,计算机病毒会非常迅速地蔓延开,若不加控制,就会在短时间内传播到世界各个角落里去。可见反计算机病毒的问题是一个全球范围的问题。在我国发现的首例计算机病毒就是国外称为意大利病毒的小球病毒。在我国首先发现的Traveller病毒随着国际间的交往,也扩散到国外,其大名出现在国外杀病毒软件的病毒黑名单中。与生物病毒不同,所有的计算机病毒都是人为编写的计算机程序代码,是人为制造出来的而不是天生的。这些着意编写的计算机程序代码,其原始形式可以是C语言,可以是BASIC程序,可以是汇编语言程序,也可以是批命令程序,还可以是机器指令程序。其共同特点就是具有传染性和破坏性。 计算机病毒的另一个特点是只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但已置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,绝大多数病毒首先要做初始化工作,在内存中找一片安身之处,随后将自身与系统软件挂起钩来,然后再执行原来被感染程序。这一系列的操作中,最重要的是病毒与系统软件挂起钩来,只要系统不瘫痪,系统每执行一次操作,病毒就有机会得以运行,去危害那些未曾被感染的程序。病毒程序与正常系统程序,或某种病毒与其它病毒程序,在同一台计算机内争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术也就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的行为,阻止其传染和破坏系统的行动。而低性能的抗病毒系统只能完成对抗已知病毒的任务,对未知病毒则束手无策,任其在系统内扩散与破坏。所谓未知病毒是指新出现的,以前未曾分析过的计算机病毒。在1992年初,DIRⅡ病毒对我国广大PC机用户来说就是一种未知病毒。与未曾相识的敌手对阵不是件容易的事。DIRⅡ病毒采用嵌入DOS系统的设备驱动程序链的方法攻击IBMPC及其兼容机,是一种与以往病毒工作机制不同的新型计算机病毒。由于其夺取PC机系统控制权的方法很特别,在它的攻势下,大批抗病毒系统败下阵来。从这个例子可以看到,对付计算机病毒,目前尚无完满通用的解决方案,反病毒技术需要不断发展,以对抗各种新病毒。 不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。在没有防护措施的情况下,计算机病毒程序经运行取得系统控制权后,可以在不到1秒钟的时间里传染几百个程序,而且在屏幕上没有任何异常显示。传染操作完成后,计算机系统仍能运行,被感染的程序仍能执行,好像不曾在计算机内发生过什么。这种现象就是计算机病毒传染的隐蔽性。正是由于这隐蔽性,计算机病毒得以在用户没有察觉的情况下游荡于世界上百万台计算机中。让我们设想,如果计算机病毒每当感染一个新的程序时都在屏幕上显示一条信息“我是病毒程序,我要干坏事了”,那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”,时不时在屏幕上显示一些图案或信息,或演奏一段乐曲。往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,而没有意识到这些病毒正在损害计算机系统,正在制造灾难。如磁盘杀手(DiskKiller)病毒,当它破坏磁盘数据时,屏幕上显示如下信息:“DiskKillerV00byOgreSoftware,April1,Don'”这两句话中,第一句的含义是:“磁盘杀手00版OgreSoftware公司1989年4月1日出版。”第二句的含义是:“在处理过程中请不要关机或取出磁盘。”接着屏幕上显示出“PROCESSING”意思是“正在处理”这时DiskKiller病毒锁定键盘,对磁盘上的数据做加密变换处理。计算机的处理速度是很快的,当你在屏幕上见到上述显示信息时,已经有很多数据被病毒破坏掉了。计算机病毒的第二个隐蔽性在于,被病毒感染的计算机在多数情况下仍能维持其部分功能,不会由于一感染上病毒,整台计算机就不能启动了,或者某个程序一旦被病毒所感染,就被损坏得不能运行了。如果出现这种情况,病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地破坏系统,导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。典型的是Tiny家族。这个家族的病毒都很短小,最小的病毒代码长度只有133字节。一般PC机对DOS文件的存取速度可达每秒100KB以上,所以病毒将这短短的几百字节感染到正常程序之中所花的时间只是转瞬之间,非常不易被察觉。 与隐蔽性相关联的是计算机病毒的潜伏性。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。计算机病毒使用的触发条件主要有以下三种。(1)利用计算机内的实时时钟提供的时间作为触发器这种触发条件被许多病毒所采用,触发的时间有的精确到百分之几秒,有的则只区分年份。表11列出了一些病毒触发的时间,可以供防范计算机病毒时参考。(2)利用病毒体内自带的计数器作为触发器计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。这些事件可以是计算机开机的次数,可以是病毒程序被运行的次数,还可以是从开机起被运行过的总的程序个数等。(3)利用计算机内执行的某些特定操作作为触发器特定操作可以是用户按下某种特定的键组合,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。表11计算机病毒触发时间一览表被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其它条件。如在我国广为流传的小球病毒,每当系统时钟为整点或半点时,系统又正在进行读盘操作,而该盘是未被感染的,等等,一旦这些条件得到满足时,小球病毒的屏幕显示部分便被激活,一个小球弹跳在屏幕上。若显示器是CGA类型的,又正在使用汉字系统,则整个屏幕显示会不停地上下翻滚,使操作根本无法进行。小球病毒的触发条件在各种触发条件中是很典型的,既有时间的条件,又有功能操作的条件,而且条件之间还存在着逻辑“与”和逻辑“或”的关系。利用这种触发条件,计算机病毒不是随时随地表现自己,而是在适当的时机——条件满足时才向你示威,轻则只是在屏幕上显示些信息,重则要销毁数据,弄垮整个系统。计算机病毒的破坏作用是多种多样的。有一种分类方法是将病毒分为恶性病毒和良性病毒。恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗琪罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。�计算机病毒的实现方法是千差万别的,加上许多病毒采用加密处理技术,使得被感染的程序恢复原形的工作,即杀毒工作很困难。目前还没有通用的、能可靠自动清病毒的方法。很多研究人员在这方面作了很多努力,一些国外商品软件也具有免疫功能(Immunize),但都存在缺陷,不尽如人意。某些病毒对系统的感染所造成的损失是不可挽回的,要修复被感染的文件是不可能的。当被新病毒感染后,要清除这些病毒,不仅需要耗费大量时间和精力去仔细地分析病毒代码,而且还需要对病毒和计算机系统有全面的了解。因此抗计算机病毒工作最重要的就是防御病毒,不让病毒侵入系统。一旦遭到破坏,做修复工作就很麻烦了,甚至是不可能的。 在对抗计算机病毒的斗争中,很重要的一项工作就是计算机病毒的分类与命名。计算机病毒的分类可以有多种方法:按病毒对计算机系统的破坏性划分,有良性病毒和恶性病毒,已如上述。按病毒攻击的机型划分,有苹果机病毒,IBMPC机病毒,小型机病毒等。按危害对象划分,有损害计算机的病毒和损害网络通信的病毒。对于侵害IBMPC机的PC机病毒,也就是本书要着重讨论、要重点对抗的病毒,可以有更科学的分类。进行这种分类的目的,就是要了解病毒的工作机理,针对其特点,采取更加有效的方法,防御和清除计算机病毒。对PC机病毒,比较公认的、科学的划分是将PC机病毒分为引导区型病毒、文件型病毒和混合型病毒(即又侵染引导区又感染文件的病毒)。这种划分方法对于检测、清除和预防病毒工作是有指导意义的,它不仅指明了不同种类病毒各自在PC机内的寄生部位,而且也指明了病毒的攻击对象。因此,可以通过采取相应的措施保护易受病毒攻击的部位,如分区表所在的主引导扇区、DOS引导扇区以及可执行文件等,并进而找到综合、有效的反计算机病毒措施。�与国际上的情况一样,国内常见的PC机病毒中,引导区型比文件型病毒种类少,而混合型的最少。这三种类型的病毒都是既有良性的又有恶性的。常见的文件型病毒有Jerusalem、1575、扬基病毒、648、V2000、1701落叶病毒等。常见的引导区型病毒有大麻、小球、米氏病毒、4病毒和香港病毒等。混合型病毒常见的有新世纪病毒、Flip等。一种计算机病毒往往有多个名字。人们在讨论病毒防范时经常要弄清他们正在讨论的是不是同一种病毒。如1701病毒的别名有落叶病毒、落泪病毒、1704病毒、雨点病毒、感冒病毒等。国外又称雨点病毒为Flu病毒和JOJO病毒。香港病毒又称为封锁病毒、不打印病毒、Blockade病毒和端口病毒等。所以由此产生的统计数字有时也带有偏差。目前国际上也尚无统一的规范用以协调和指导这方面的命名工作。美国的抗病毒产品开发商集团AVPD正在各个成员单位间进行计算机病毒的收集、识别、命名以及抗病毒产品开发等协调工作。在没有见到对某种病毒的确切描述以及对它公认的命名时,人们会根据该病毒的工作机理、表现形式、内含的ASCII字符串、病毒程序的代码长度、发作日期或时间、该病毒的发现地、被病毒攻击的机型、病毒中表现模块发出的音响或显示的图形以及该病毒发现者当时能体会到的各种特征来为它命名。前面所列举的1701、香港病毒就都属于这种情况。为某种新出现的计算机病毒命名,目的就是要使人们能快速、准确地辨识出该病毒,以便防范和诊治。因此该命名应能最好地体现出该病毒的特征,使之不容易与其它现存的计算机病毒混淆。 计算机病毒如今已是PC机用户的一大公害,它造成的损失和破坏难以估计。而一些恶作剧者、一些怀有报复心理的程序员、一些蓄意破坏者和一些为了政治目的、经济利益以及军事目的的病毒编制者,仍在制造着各种各样的计算机病毒。有些病毒仅仅是以前某种病毒的变种。某些人通过反汇编等各种手段,对原病毒的内部模块,如表现模块、破坏模块、传染模块等加以修改,使之成为一种基于原病毒又不同于原病毒的新的计算机病毒,这就是计算机病毒的变种。某些病毒变种只是简单地对原种病毒的显示信息加以改动,而对传染模块等重要代码未动分毫。而另外一些变种在修改了一些重要的代码后,病毒以新的机制工作,此时,这种变种已演化为一种新的病毒,已不能被叫做其原型病毒的变种了。生物界里的病毒也几乎以相同的方式在演化着,一种病毒可能会衍生出若干种具有共同基本特征的病毒种系,成为一个病毒家族。而当发生突变时,则会产生出一种新的病毒。对付老病毒及其变种,人们已有成功的经验和药物作为对策,而对于新的尚未接触过的病毒,在未做仔细研究与试验之前,是很难采取合适的对策的。对付计算机病毒,人们也遇到类似的问题。如何准确地捕获用常用软件无法识别出的新病毒,以及分析和研究它的工作机理和特性,是需要专门知识的,不分析它的传染机制,就无法研制出防范和清除病毒的工具软件。
浅析计算机病毒及防范
计算机病毒的研究与防治论文结论
就和楼上说的一样,你可以看下(计算机科学与应用),借鉴别人的写作思路吧
你好,计算机病毒的预防和诊断的毕业论文 随着Internet的迅速发展我国的互联网用户不断的增加,成为仅次于美国的国家,位居世界第二。互联网的发展也使得计算机病毒开始渗透到信息社会的各个领域,给计算机网络系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,研究计算机病毒的防范措施已迫在眉睫。计算机病毒的防治目前主要有主动防御技术和启发式病毒扫描技术等,也在朝着一些新的趋势发展。【目前主要有主动防御技术和启发式病毒扫描技术等。本文将从计算机的特点入手,来探讨对付计算机病毒维护计算机网络安全的方法和措施。欢迎来电脑管家企业平台访问
推荐你去淘宝的:翰林书店,店主应该能下载到这类论文。我去下过,很及时的
计算机病毒的研究与防治论文选题
据全球反病毒监测网介绍,有两个病毒特别值得注意,它们是:“搅拌机(WBeater)”和“传奇终结者变种HVY(TPSWLMhvy)”病毒。“搅拌机”病毒通过电子邮件传播,病毒大量发送垃圾邮件会造成网络带宽被严重占用,网速减慢甚至导致企业网络瘫痪。“传奇终结者变种HVY”病毒可以造成多种国产防病毒软件无法使用,同时会窃取《传奇》玩家的用户信息。 “搅拌机(WBeater)”病毒:警惕程度★★★,蠕虫病毒,通过电子邮件传播,依赖系统:WIN9X/NT/2000/XP。 病毒运行后会复制自身到系统目录中,同时修改注册表项目实现开机自动运行。它会利用系统中的 Outlook Express 0 发送带有病毒的电子邮件,邮件的主题为“WOW!”、“Schau dir das ”、“Super Bilder fuer dich ;)”、“Nen versautes Geschenk fuer dich!”、“Picture Set”、“Hi!”等。病毒邮件携带一个文件名为“Hot Lebian Picture Sxe”的附件,其他用户打开这个文件就会被病毒感染。病毒大量发送垃圾邮件会造成网络带宽被严重占用,网速减慢甚至导致企业网络瘫痪。 “传奇终结者变种HVY(TPSWLMhvy)”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP。 该病毒运行后复制自身到系统目录下,修改注册表实现开机自动运行。病毒会关闭内存中的杀毒软件,使这些软件运行不正常。病毒会窃取《传奇》游戏玩家的用户名、密码、登陆服务器、用户所属区域等信息并发送到黑客指定的信箱中。 反病毒专家建议:建立良好的安全习惯,不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播,一定要及时给系统打补丁;安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。
可以针对一个方面的维修技巧和注意要点下手,论文是要针对性强的,深入的,下面是一个不错的范文,希望对您有所帮助! 计算机硬件设备常见故障原理及维修 电脑出现故障,往往是多方面的原因导致。不一定是硬件的问题,甚至不一定是电脑本身的问题。外界环境、软件异常、配件间的冲突等多方面的原因也会导致电脑故障。处理电脑故障往往要从很多方面加以综合考虑。 一、软件原因导致的“软故障” 电脑是一个需要软硬件结合才能正常使用的特殊产品,不安装软件的电脑只是“裸机”,几乎是没有任何用途的。软件对电脑正常使用的影响非常大,据不完全统计,对大多数用户来说,电脑日常使用中80%以上的故障为软件原因导致的“软故障”。其中“软故障”的祸首又当属计算机病毒。计算机诞生以后不久,计算机病毒就“应运而生”了;而网络日益普及后,病毒传播更加迅猛,时常干扰和破坏电脑的正常工作。比较典型的例子就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒,发作时会让系统频繁启动,而导致电脑无法正常工作。对于病毒导致的故障,我们可以使用新版杀毒软件进行查杀。重要的系统文件损坏也会导致系统无法正常运行,如KERNELDLL、字体文件等系统运行必需的基本文件被破坏,系统就无法正常工作。对于这类故障,如果无法进入正常桌面的话,就只能通过覆盖安装或重新安装操作系统加以解决。应用软件有质量问题或者与操作系统不兼容,也会导致系统出现故障。比如有些程序运行后可能导致系统无法正常关机。对于这种情况,我们可以运行 “Msconfig”,检查启动项中是否有自己不熟悉的程序,并将其屏蔽。 二、外界环境影响导致的故障电脑正常使用是需要一定外界环境条件保证的,外界环境异常也会导致电脑出现无法正常使用的故障。首先是用电环境,电脑作为精密电子设备对供电质量相当敏感,如市电电压不稳、经常停电等不仅会令电脑无法正常使用,甚至会损坏硬盘等配件。一般家用计算机正常工作的电压范围为170V-240V,当市电电压超过此范围时,计算机就会自动重启或关机。对于经常性供电不稳的地区,我们可以购置在线式UPS、参数稳压器或宽幅开关电源来保证足够良好的供电环境,让计算机稳定工作。在用电环境中还有一个不可忽视的因素就是插排或电源插座的质量差,很多电源插排质量不好,内部接点采用手工焊接,并且常用酸性助焊剂,这样容易导致在使用中焊点氧化引起断路、漏电等问题。电脑电源插头接触不良会产生较大的接触电阻,长时间工作时就会大量发热而导致虚接,同样会导致主机出现频繁重启等故障。 电磁干扰也是导致计算机出现故障的一个重要原因,许多时候电脑死机、重启就是因为电磁干扰造成的,象高压线、变压器、变频空调、电弧焊等设备都存在较大的电磁干扰。如果主机抗干扰能力差,就会出现意外重启或频繁死机等现象。同时强磁场干扰还会导致CRT显示器出现磁化而导致偏色故障。外界温度湿度环境也很重要,过高过低都会导致电脑出现问题。甚至环境灰尘太大也容易导致计算机出现故障。 三、因设备间冲突导致的故障 玩电脑的朋友很多都有过这样的经历:当你在电脑加上某个新的板卡后,常会导致整个电脑使用不正常,于是往往抱怨所买板卡的质量不好。其实此类问题也许并非新卡质量不行,而是因为它和电脑上其它设备之间产生了冲突。 一个计算机设备要能正常工作,必须要通过一定的系统资源与主机进行通信。当新的板卡装入计算机后,往往会与已有的计算机设备发生资源冲突,而不能正常工作。最常见的也是最容易出现的资源冲突就是IRQ、DMA和I/O冲突。 从Win95开始计算机的所有IRQ号、DMA通道和I/O端口等系统资源均被操作系统接管,并由其根据情况进行智能的分配,这就是我们常说的即插即用。然而这种即插即用是有条件的:要求有即插即用的BIOS、即插即用的设备和即插即用的操作系统,三者缺一不可,否则可能会引发设备冲突。在实际安装时,由于存在非即插即用设备和即插即用设备混合安装等情况,而且即插即用设备品种规格越来越多,新设备层出不穷,而Windows并不完善,常常不能正确检测和处理有关设备的资源情况,特别是在安装设备较多的情况下。由于各种板卡的中断、DMA通道、I/O地址大部分都有自己的缺省值,如果碰巧两个板卡使用了同样的资源,操作系统又无法正常处理,就会引起冲突。这就是设备发生冲突的重要原因之一。此外有些板卡由于设计上有特殊之处(比如耗电过大),或者选料不严、制作工艺不精甚至固件代码编写不完善等问题,也可能与另外的板卡难以“和平共处”。 四、硬件冲突的一般解决方法 随着计算机软硬件系统的日益复杂化,硬件冲突难以避免。遇到这类问题应细心检查、仔细分析,关键是平时注意积累经验,此类问题是完全可能得到妥善处理的。 计算机的灵魂是软件系统,硬件最终都在软件的控制下发挥作用。所以预防和解决这类问题,首先应该从软件方面入手。比如改变一下操作系统的版本、安装最新的操作系统补丁程序等。升级相关配件的BIOS及驱动程序版本也对解决硬件冲突有效,比如升级最新的主板BIOS、显卡BIOS,以及最新的硬件驱动程序和最新版的Direct X等。此外最好还装上主板芯片组的最新补丁程序。 其次在遇到硬件冲突时,我们可以手工调整系统资源。进入控制面板的“系统属性”,选择“设备管理”选项卡,在该选项卡中将显示出所有的计算机硬件设备(如 CDROM、显示器、键盘、鼠标等)。选择最上面的“计算机”设备项后单击“属性”按钮;在“计算机属性”对话框中,用户可从它的“查看资源”选项卡中查看现有系统资源。这些资源包括“中断请求(IRQ)"、“直接内存访问(DMA)"、“输入/输出(I/O)”和“内存”等四大类,用户可分别选择查看。如选择“中断请求 (IRQ)"类系统资源,即可显示出Windows现在已经分配使用的中断号,用户可从中了解哪些系统资源被占用,哪些系统资源保留未用,并可以通过手工调整来解决一部分设备冲突。另外,在设备发生冲突时,合理调整主板BIOS中的相关参数,往往也能让问题迎刃而解。 五、电脑出现故障的一般解决步骤 电脑出现故障,我们要遵循“先软后硬、由简到繁、逐一替换”的原则进行处理。比如首先查杀病毒、检查系统文件的完整性、重装操作系统等,主板BIOS设置不当也应属于“软故障”的范畴,请恢复BIOS默认的安全设定。排除软件故障后,再检查硬件的安装问题,打开机箱,将包括CPU在内的所有配件拔下,认真清扫灰尘,然后将内存及插卡的“金手指”用无水酒精清洗后,再重新安装好。如果仍有问题再考虑更换相关配件,一般从内存、显卡、电源等容易更换的配件开始逐一替换,直到找出导致故障的“祸首”。当然并不是所有电脑故障都能够自行处理,有些故障需要尽快送修,而对于显示器等强电设备切不可擅自维修,为避免在电脑维修上遭遇陷阱和黑手,除了提高自己的电脑水平,要注意选择本地口碑较好、可靠的维修点,让有经验的朋友陪同前往,并尽量当面维修,维修完毕要仔细验收,并作详细测试,最后要注意签好维修合同,注明保修期,一旦感觉自己可能被欺骗,要尽快向工商、技监等职能部门投诉,坚决维护自己合法权益。计算机出现故障的种类和原因是非常多的,但如果我们能够了解计算机基本工作原理,懂得常见故障的基本处理方法,就能减少很多麻烦。希望我的经验对你有所帮助。
计算机应用专业毕业论文题目1、局域网的组建方法2、图书管理系统的设计3、计算机网络安全及防火墙技术4、校园网站设计4、数据库语言编写学生学籍管理5、个人电脑安全意识如何提高6、浅析计算机病毒及防范的措施7、浅谈计算机网络安全漏洞及防范措施8、二十一世纪的计算机硬件技术9、计算机最新技术发展趋势10、计算机病毒的研究与防治11、论述磁盘工作原理以及相关调度算法12、高校计算机机房管理的维护和探索13、C语言教学系统设计14、浅谈子网掩码与子网划分15、微机黑屏故障与防治研究16、虚拟局域网的组建与应用17、学校图书管理系统的设计18、计算机网络安全管理19、浅谈搜索软件对网络安全的影响20、浅谈办公自动化网络安全21、防火墙技术的研究22、计算机科学与技术学习网站23、单片机的应用24、磁盘阵列的安装、设置、技巧25、多媒体课件或网络课件制作26、嵌入式Internet互联网技术的应用及研究27、Web服务应用研究与设计28、数字逻辑课程多媒体课件设计与实现29、因特网的出现及发展对教育技术的影响30、C++课程设计报告31、局域网的安全攻防测试与分析32、无线局域网的组建与应用33、windows 2003 server操作系统探讨34、网页的设计与应用35、office各组件的相互数据交换36、多媒体课件与传统教学方法比较分析37、linux操作系统的安装调试38、个人网站的设计与实现39、计算机网络故障的一般识别与解决方法40、计算机辅助设计现状及展望41、浅谈auto cad绘制二维图形的方法及技巧42、音频功率放大器43、安全网络环境构建(网络安全)44、图书馆信息管理系统的设计与实现45、数据库应用46、当前企业信息系统安全的现状及前景分析47、企业信息化与数据环境的重建48、基于VFP的小型超市管理系统49、网站建设中故障分类和排除方法50、计算机工具软件使用实战技巧51、组建小型局域网络52、电子小产品设计与制作53、80C51单片机控制LED点阵显示屏设计54、单片微型计算机与接口技术55、嵌入式系统56、linux
你好,计算机病毒的预防和诊断的毕业论文 随着Internet的迅速发展我国的互联网用户不断的增加,成为仅次于美国的国家,位居世界第二。互联网的发展也使得计算机病毒开始渗透到信息社会的各个领域,给计算机网络系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,研究计算机病毒的防范措施已迫在眉睫。计算机病毒的防治目前主要有主动防御技术和启发式病毒扫描技术等,也在朝着一些新的趋势发展。【目前主要有主动防御技术和启发式病毒扫描技术等。本文将从计算机的特点入手,来探讨对付计算机病毒维护计算机网络安全的方法和措施。欢迎来电脑管家企业平台访问
计算机病毒的研究与防治论文题目
电脑病毒是由乱上网而导致的
计算机应用专业毕业论文题目1、局域网的组建方法2、图书管理系统的设计3、计算机网络安全及防火墙技术4、校园网站设计4、数据库语言编写学生学籍管理5、个人电脑安全意识如何提高6、浅析计算机病毒及防范的措施7、浅谈计算机网络安全漏洞及防范措施8、二十一世纪的计算机硬件技术9、计算机最新技术发展趋势10、计算机病毒的研究与防治11、论述磁盘工作原理以及相关调度算法12、高校计算机机房管理的维护和探索13、C语言教学系统设计14、浅谈子网掩码与子网划分15、微机黑屏故障与防治研究16、虚拟局域网的组建与应用17、学校图书管理系统的设计18、计算机网络安全管理19、浅谈搜索软件对网络安全的影响20、浅谈办公自动化网络安全21、防火墙技术的研究22、计算机科学与技术学习网站23、单片机的应用24、磁盘阵列的安装、设置、技巧25、多媒体课件或网络课件制作26、嵌入式Internet互联网技术的应用及研究27、Web服务应用研究与设计28、数字逻辑课程多媒体课件设计与实现29、因特网的出现及发展对教育技术的影响30、C++课程设计报告31、局域网的安全攻防测试与分析32、无线局域网的组建与应用33、windows 2003 server操作系统探讨34、网页的设计与应用35、office各组件的相互数据交换36、多媒体课件与传统教学方法比较分析37、linux操作系统的安装调试38、个人网站的设计与实现39、计算机网络故障的一般识别与解决方法40、计算机辅助设计现状及展望41、浅谈auto cad绘制二维图形的方法及技巧42、音频功率放大器43、安全网络环境构建(网络安全)44、图书馆信息管理系统的设计与实现45、数据库应用46、当前企业信息系统安全的现状及前景分析47、企业信息化与数据环境的重建48、基于VFP的小型超市管理系统49、网站建设中故障分类和排除方法50、计算机工具软件使用实战技巧51、组建小型局域网络52、电子小产品设计与制作53、80C51单片机控制LED点阵显示屏设计54、单片微型计算机与接口技术55、嵌入式系统56、linux注:你们可以在这些给定的里面选择也可以自己选其他的。(这个就是给你们参考参考。)你们选好题目后就把所选题目发给我(5月20号之前)。
你好,计算机病毒的预防和诊断的毕业论文 随着Internet的迅速发展我国的互联网用户不断的增加,成为仅次于美国的国家,位居世界第二。互联网的发展也使得计算机病毒开始渗透到信息社会的各个领域,给计算机网络系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,研究计算机病毒的防范措施已迫在眉睫。计算机病毒的防治目前主要有主动防御技术和启发式病毒扫描技术等,也在朝着一些新的趋势发展。【目前主要有主动防御技术和启发式病毒扫描技术等。本文将从计算机的特点入手,来探讨对付计算机病毒维护计算机网络安全的方法和措施。欢迎来电脑管家企业平台访问
论文啊,这个在上面不好说,太多了,其实可以从近几年发生的病毒上面开始谈