时间:2022-07-12 21:39:52
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇计算机病毒论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
1计算机病毒的内涵、类型及特点
计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。自80年代莫里斯编制的第—个“蠕虫”病毒程序至今,世界上已出现了多种不同类型的病毒。在最近几年,又产生了以下几种主要病毒:
1.1“美丽杀手”(Melissa)病毒。论文这种病毒是专门针对微软电子邮件服务器MSExchange和电子邮件收发软件Out1ookExpress的word宏病毒,是一种拒绝服务的攻击型病毒,能够影响计算机运行微软word97、word2000和Outlook。这种病毒是—种Word文档附件,由E—mail携带传播扩散。由于这种病毒能够自我复制,一旦用户打开这个附件,“美丽杀手’镝毒就会使用Outlook按收件人的Outlook地址簿向前50名收件人自动复制发送,从而过载E—mail服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数.据计算,如果“美丽杀手”病毒能够按照理论上的速度传播,只需要繁殖5次就可以让全世界所有的网络用户都都收到—份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器.而是使用户的非常敏感和核心的机密信息在不经意问通过电子邮件的反复传播和扩散而被泄漏出去,连扩散到了什么地方可能都不得而知。>工作总结I2尼姆亚变种W(Worm.Nimayaw)。该病毒通过感染文件传播,可造成用户文件损坏,无法运行。由于被该病毒感染的文件,图标会变为一只举着三炷香的熊猫,因此该病毒又被称作“熊猫烧香”。它是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。该变种会感染用户计算机上的EXE可执行文件。受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致整个局域网瘫痪。1.3手机病毒。也许很多人没有听说的,即使听说了,也不会觉得它有多大的危害。最近几天,金山反病毒中心了—个名为SymbOS.Doomboot.G的木马手机病毒,该病毒隐蔽性极强,一旦手机用户中招以后。对自己的手机将是—个灭顶之灾。轻则手机里面的信息将全部销毁,重则手机将呈现死机状态,无法正常启动。这样的危害程度丝毫不比电脑病毒弱多少。1.4情人节(vbs.Valentin)。情人节(vbs.Valentin)病毒是一个会写情书的病毒。它会将自身用脚本加密引擎加密后插入到HTML文件中,病毒运行时会产生—个名为Main.htm的病毒文件。并拷贝到系统目录中。并搜索outlook的地址薄中的所有邮仁址,向这些地址发送标题为:Felizs“valentin.内容为:Felizs“valentirLPorfavorvisita.的病毒邮件。病毒会在每个月的14号发作,发作时会以一封西斑牙情书的内容覆盖掉硬盘中的所有文件,并将覆盖过的文件扩展名全部改为.txt,使用户的系统完全崩溃。15桑河情人(VBS.San)病毒。豸婀睛人(VBSSan)病毒是—会删除了你的文件还要祝你情人节快乐的病毒。病毒运行时会产生—个Loveday14一a.hta的文件,该文件是编译过的病毒格式,可以被系统自动执行。病毒会将这个情人节的文件放入系统的启动目录,每次开机会病毒会自动运行。该病毒在每个月8、14、23、29号发作,发作时会将c盘的所有根目录都保留,只将这些根目录中的所有文件及子目录都删除,而且还会建立一个名为:“happysan—valentin’捕人节快乐向目录,来示威。用户除了系统崩溃外也只能苦笑了。1,6CIH病毒。据悉,CIH病毒已给中国计算机用户造成了巨大的损失。近来又出现了CIH病毒的一种升级版本CIHvl-2病毒。CIHvl-2病毒会攻击硬盘及pc机的bios芯片,造成系统崩溃,甚至损坏硬件。
CIHvl-2病毒被定时在4月26日对被感染计算机的bios芯片和硬盘驱动器发起攻击。该病毒发作后,会造成硬盘数据的明显减少,不能开机或不能重新启动计算机。CIH病毒基本上是通过互联网络或盗版软件来感染windows95或98的.exe文件的。在执行被感染文件后,CIH病毒就会随之感染与被执行文件接触到的其他程序。病毒在4月26日被触发后,它将硬盘上最起决定性作用的部分用垃圾代码覆盖,同时,它试图改写bioso如果bios是可写的,像当前大多数计算机一样,那么bios将会被病毒破坏。一旦bios被破坏,系统将由于无法启动而不能使用。
实际上,CIH病毒对硬盘的攻击能力也特别强,可能会使硬盘E的数据丢失,甚至使硬盘不得不进行低级恪式化。归纳起来,计算机病毒有以下特点:一是攻击隐蔽性强。二是繁殖能力强。医学论文三是传染途径广。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断蔓延。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作,待满足一定条件后,就激发破坏。五是破坏力大。计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,导致整个汁算机系统的瘫痪。六是针对陛强。计算机病毒的效能可以准确地加以设计,满足不同环境和时机的要求。
2计算机病毒的技术分析
实施计算机病毒人侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒注人方法主要有以下几种:
2.1无线电方式。
发射到对方电子系统中。此方式是计算机病毒注人的最佳方式,同时技术难度也最大。英语论文可能的途径有:a直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机E。b-冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进人接收器,进而进^.信息网络。a寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据硅路,将病毒传染到被的铸路或目标中。2.2“固化”式方法。即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统。2.3后门攻击方式。后门,是计算机安全系统中的—个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。2.4数据控制链侵入方式。随着因特网技术的广泛应用,使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术,可以很容易地改变数据控制链的正常路径。除上述方式外,还可通过其他多种方式注入病毒。
3计算机病毒的主要防护工作
3.1检查BIOS设置,将引导次序改为硬盘先启动(C:A:)。32关闭BIOS中的软件升级支持,如果是底板上有跳线的,应该将跳线跳接到不允许更新BIOS。33用DOS平台防杀计算机病毒软件检查系统,确保没有计算机病毒存在。3.4安装较新的正式版本的防杀计算机病毒软件,并经常升级。3.5经常更新计算机病毒特征代码库。3.6备份系统中重要的数据和文件。3.7在Word中将“宏病毒防护”选项打开,并打开“提示保存Normal模板”,退出Word,然后将Norma1.dot文件的属性改成只读。3.8在Excel和PowerPoint中将“宏病毒防护”选项打开。3.9若要使用Outlook/Outlookex—press收发电子函件,应关闭信件预览功能。3.10在IE或Netscape等浏览器中设置合适的因特网安全级别,防范来自ActiveX和JavaApplet的恶意代码。3.11对外来的软盘、光盘和网上下载的软件等都应该先进行查杀计算机病毒,然后在使用。
3.12经常备份用户数据。3.13启用防杀计算机病毒软件的实时监控功能。计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行:—是计算机病毒的数学模型。二是计算机病毒的注^方式,重点研究“固化”病毒的激发。三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防技术。
1计算机病毒的概念及特征
按照“中华人民共和国计算机信息系统安全保护条例”对计算机病毒的概念定义为:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。其特征有:传染性、隐蔽性、潜伏性、破坏性、针对性、衍生性(变种)、寄生性、不可预见性。
2计算机病毒发作的征兆
我们如何指导自己的计算机系统已经感染了病毒呢?可以从下面现象去发现。①系统不认识磁盘或是硬盘不能开机。
②整个目录变成一堆乱码。
③硬盘的指示灯无缘无故亮了。
④计算机系统蜂鸣器出现异常声响。
⑤没做写操作时出现“磁盘写保护”信息。
⑥异常要求用户输入口令。
⑦程序运行出现异常现象或不合理的结果。
3计算机病毒的触发
潜伏在计算机中的病毒是怎么爆发的?其导火线有:时间、日期作触发条件;计数器作触发条件;键盘字符输入作触发条件;特定文件出现作触发条件;综合触发条件。计算机软硬件产品的脆弱性是病毒产生的根本技术原因,计算机的广泛应用是计算机病毒产生的必要环境,特殊的政治、经济和军事目的是计算机病毒产生的加速器。
4计算机病毒的种类
4.1开机感染型
(1)硬盘分割区式:STONE,米开朗基罗,FISH
(2)启动软盘式:C-BRAIN,DISK-KILLER
4.2文档感染型
(1)非常驻型:VIENNA(维也纳)
(2)常驻型:TSR如:黑色星期五,红色九月
4.3复合型病毒:Natas,MacGyver
4.4隐秘型病毒
(1)使用复杂编码加密技巧,每一代的代码都不同,无特征样本可循。
(2)以拦截功能及显示假象资料蒙蔽用户。
(3)不影响功能的情况下,随机更换指令顺序。
5计算机病毒的新特点
①基于视窗的计算机病毒越来越多。
②新计算机病毒种类不断涌现,数量急剧增加。
③传播途径更多,传播速度更快。
④计算机病毒造成的破坏日益严重。
⑤电子邮件成为计算机传播的主要途径。
6当前病毒发展趋势
①蠕虫越来越多,宏病毒退而居其次。
②黑客程序与病毒的结合。
③主动传播,基于网络的病毒越来越多。7计算机病毒的传播途径
计算机病毒的传播途径是多种多样的。主要有:数据机连线;启动DOS模式;使用软盘;Internet/E-Mail连线;网络连线;;网络共用档案夹;使用CD-ROM;直接缆线连接档案传输等。
而且互联网的病毒正日夜虎视眈眈着你的系统,他们主要通过使用网上工具时(ftp、netant、icq等)、邮件及群件系统、浏览网页时被病毒感染。
8计算机病毒的防御
8.1用计算机常识进行判断
决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗,认为你知道附件的内容,即使附件看来好象是.jpg文件——因为Windows允许用户在文件命名时使用多个后缀,而许多电子邮件程序只显示第一个后缀,例如,你看到的邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味着运行一个恶意的VBScript病毒,而不是你的.jpg察看器。
8.2安装防病毒产品并保证更新最新的病毒定义码
建议你至少每周更新一次病毒定义码,因为防病毒软件只有最新才最有效。需要提醒你的是,你所是购买的诺顿防病毒软件,不仅是更新病毒定义码,而且同时更新产品的引擎,这是与其它防病毒软件所不一样的。这样的好处在于,可以满足新引擎在侦破和修复方面的需要,从而有效地抑制病毒和蠕虫。例如,赛门铁克的所有产品中都有“实时更新”功能。
8.3首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描
当你首次在计算机上安装防病毒软件时,一定要花费些时间对机器做一次彻底的病毒扫描,以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序,当用户在初装其产品时自动执行。
8.4插入软盘、光盘和其他可插拔介质前,一定对它们进行病毒扫描。
确保你的计算机对插入的软盘、光盘和其他的可插拔介质,及对电子邮件和互联网文件都会做自动的病毒检查。
8.5不要从任何不可靠的渠道下载任何软件
这一点比较难于做到,因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染,但是提供软件下载的网站实在太多了,我们无法肯定它们一定都采取了防病毒的措施,所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
8.6警惕欺骗性的病毒
如果你收到一封来自朋友的邮件,声称有一个最具杀伤力的新病毒,并让你将这封警告性质的邮件转发给你所有认识的人,这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商,如赛门铁克的网站/avcenter,证实确有其事。这些欺骗性的病毒,不仅浪费收件人的时间,而且可能与其声称的病毒一样有杀伤力
8.7使用其它形式的文档,如.rtf(RichTextFormat)和.pdf(PortableDocumentFormat)
常见的宏病毒使用MicrosoftOffice的程序传播,减少使用这些文件类型的机会将降低病毒感染风险。尝试用RichText存储文件,这并不表明仅在文件名称中用.rtf后缀,而是要在MicrosoftWord中,用“另存为”指令,在对话框中选择RichText形式存储。尽管RichTextFormat依然可能含有内嵌的对象,但它本身不支持VisualBasicMacros或Jscript。而pdf文件不仅是跨平台的,而且更为安全。当然,这也不是能够彻底避开病毒的万全之计。
8.8不要用共享的软盘安装软件,或者更为糟糕的是复制共享的软盘
这是导致病毒从一台机器传播到另一台机器的方式。同时,该软件没有注册也会被认为是非正版软件,而我们基本可以较为合理地推断,复制非法软件的人一般对版权法和合法使用软件并不在乎,同样,他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。
8.9禁用WindowsScriptingHost
WindowsScriptingHost(WSH)运行各种类型的文本,但基本都是VBScript或Jscript。换句话说,WindowsScriptingHost在文本语言之间充当翻译的角色,该语言可能支持ActiveXScripting界面,包括VBScript,Jscript或Perl,及所有Windows的功能,包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫,如Bubbleboy和KAK.worm使用WindowsScriptingHost,无需用户点击附件,就可自动打开一个被感染的附件。
8.10使用基于客户端的防火墙或过滤措施
如果你使用互联网,特别是使用宽带,并总是在线,那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护,你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。
二、计算机病毒的基本类型
计算机的基本病毒包括:
1.蠕虫病毒,该种病毒不仅会占据大量的系统内存还具有很强的破坏性,用户一旦被此病毒侵入就会莫名其妙地进入死机状态。
2.木马程序,“木马”这一词汇源自古希腊,本意是藏于木马身体内部的士兵。而在网络上的木马是指伪装成恶意代码的图片、可执行文件以及网页等,该种病毒是通过电子邮件对用户进行传染,用户只要稍微大意一些就会感染该种病毒,感染了该种病毒若不及时清除就会导致程序无法正常进行,严重的还会导致系统瘫痪。
3.CIH病毒,该病毒的渗透力极强,中招的用户不但会陷入瘫痪状态还有可能硬件已经被损坏了一大半,其破坏力相当惊人。
4.宏病毒,这一类的病毒通常会借助office进行迅速的复制并传播,这种病毒一般会比较隐秘地隐藏在对话框中,一旦被用户点击确认,就会一发不可收拾地进行扩散。
三、防范计算机病毒的措施
(一)提高防范计算机病毒的意识
首先不要随意打开一些不明来历的邮件以及它的附件,也不要随意浏览一些非法的网页和网站;从互联网下载程序的时候,要先采取杀毒方式进行查杀,确定安全之后才可下载;无论是使用U盘或者是其他存储工具,都要在使用之前进行杀毒。
(二)计算机的各种接口做好防范工作
在很多公共场所的计算机很容易被病毒侵入,比如实施教学的公共机房中,计算机就很容易被带入病毒,因为学生会经常使用U盘拷贝资料,如果有些U盘本身已经携带了病毒而很多学生因为觉得麻烦而忽略病毒扫描工作,就会使计算机很容易感染到病毒。所以,在使用U盘的时候最好先进行病毒扫描,确定无病毒再进行使用才比较安全。
(三)经常升级安全补丁
曾有大量的数据显示证明网络病毒大部分是通过安全漏洞进行传播的,所以用户需要注意安全补丁的升级工作,养成及时更新和升级杀毒软件的良好习惯,定期进行病毒的扫描工作,只有这样,才能防患于未然。
(四)对中病毒的计算机要及时维修
在计算机中病毒之后,第一反应就是立刻掐断网络,以防被其他病毒侵入形成交叉感染,及时找专业的维修人员进行维修。如果用户自己没有把握能将其修好最好不要随便动手,以避免对计算机的二次伤害并造成相关数据的丢失。
(五)安装专业的杀毒软件
目前计算机的种类越来越多,而且层出不穷。所以,比较理想的防杀方式是使用杀毒软件。但是杀毒软件如果不及时更新就会失去它应有的杀毒功能,因此要真正保证计算机的安全就必须经常更新和升级杀毒软件的病毒库,打开实时监控等。
(六)设置复杂的计算机密码
计算机密码最好选择数字、字母以及各种符号交叉使用,越复杂的密码安全性越高,比如可以交叉使用大小写字母加数字。切忌使用个人的电话号码或者生日等常用的数字做密码,用此类的数字做密码安全性极低。
计算机病毒是一种可直接或间接执行的文件,它是一个程序,一段可执行码。就像生物病毒一样,是依附于系统特点的文件,是没有文件名的秘密程序,但它的存在却不能以独立文件的形式存在,它必须是以附着在现有的硬软件资源上的形式而存在,当文件被复制或从一个用户传送到另一个用户时,它就随同文件一起蔓延开来,常常难以根除。除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它可能也已毁坏了你的文件、再格式化了你的硬盘驱动或引发了其它类型的危害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来不必要的麻烦,并降低你的计算机性能。那么,当你在使用计算机工作时,一旦发现计算机疑似感染病毒的症状时,你应如何处置呢?结合工作实践,我们对这个问题进行了认真实践和探究。
一、病毒的诊断
如果发现计算机有疑似感染病毒的症状时,我们可以采取如下诊断措施:
1、检查是否有异常的进程。首先关闭所有应用程序,然后右击任务栏空白区域,在弹出的菜单中选择“任务管理器”,打开“进程”标签,查看系统正在运行的进程,正常情况下系统进程应为22~28个左右,如果进程数目太多,就要认真查看有无非法进程,或不熟悉的进程(当然这需要对系统正常的进程有所了解)。有些病毒的进程模拟系统进程名,如:磁碟机病毒产生两个进程lsass.exe和smss.exe与系统进程同名;熊猫烧香病毒会产生spoclsv.exe或spo0lsv.exe进程与系统进程spoolsv.exe非常相似,有些变种会产生svch0st.exe进程与系统进程svchost.exe非常相似。在“任务管理器”的“性能”标签中查看CPU和内存的使用状态,如果CPU或内存的利用率持续居高不下,计算机中毒的概率为95%以上。
2、查看系统当前启动的服务是否正常。打开“控制面板”找到“管理工具”中的“服务”,打开后查看状态为“已启动”的行;一般情况下,正常的windows服务都有描述内容,检查是否有可疑的服务处于启动状态。在打开“控制面板”时,有时会出现打不开或者其中的所有图标都在左边,右边空白,再打开“添加/删除程序”或“管理工具”,窗口内一片空白,这是由病毒文件winhlpp32.exe发作而造成的。
3、在注册表中查找异常启动项。运行注册表编辑器,命令为regedit,查看windows启动时自动运行的程序都有哪些?主要看Hkey_Local_Machine及Hkey_Current_User下的\Software\Microsoft\Windows\CurrentVersion\Run和RunOnce等项,查看窗口右侧的键值,看是否有非法的启动项。在WindowsXP中运行msconfig也可以查看启动项。依据经验就可以判断出有无病毒的启动项。
4、用浏览器进行网上判断。有些病毒禁止用户访问杀毒软件厂商的官方网站,访问时会自动关闭或转向其它网站。有些病毒发作时还会自动弹出大量窗口,多为非法网站。有的病毒还会修改浏览器的首页地址,指向含有病毒的网站,并禁止用户自行修改。
5、显示出所有系统文件和隐藏文件,查看是否有隐藏的病毒文件存在。打开“我的电脑”“工具”“文件夹选项”“查看”标签,关闭“隐藏受保护的操作系统文件”选项,并选中“显示所有文件和文件夹”,然后“确定”。如果在磁盘根目录下发现隐藏文件autorun.inf或pagefile.pif文件,则表明你中了落雪病毒,此时在盘符上点右击,还可能有多出的“播放”或“自动播放”等项,并成为默认项,双击盘符病毒就会自动运行。有些病毒在感染后双击打开盘符时提示错误而不能打开,而病毒此时已经被你激活运行了。这时我们应采用在地址栏直接输入盘符的方式来打开,这样病毒产生的autorun.inf文件就不会运行啦。
6、根据杀毒软件能否正常运行来判断计算机是否中毒。有些病毒会自动关闭杀毒软件的监控中心,如果发现杀毒软件不能安装,或者已经安装的杀毒软件在屏幕右下角系统托盘中的指示图标不见了、图标颜色发生了变化、不能自动升级等现象,那么此时就足以说明你的计算机已经感染了病毒,应及时采取措施,加以清除。
二、计算机病毒的清除
说到计算机病毒的清除,大家自然会想到杀毒软件。我们常用的国产杀毒软件主要有瑞星、江民、金山毒霸等;常见的国外杀毒软件有Kaspersky、PC-Cillion、Norton、McAfee等。至于哪种杀毒软件最好,或者说更好,众说纷纭。不过网上已有排名可供参考。但是,不管你选择哪种杀毒软件,我们还是建议你一定要使用正版的杀毒软件,切记不要使用盗版杀毒软件。
如果你的计算机有疑似感染病毒的症状时,你可以采取如下应急措施:
1、将杀毒软件升级至最新版,进行全盘杀毒。最好使用自动升级功能在线升级,如果不能自动升级,也可以下载最新的升级包,进行离线升级。
2、如果杀毒软件不能清除病毒,或者重启计算机后病毒再次出现。则应该进入安全模式进行查杀。进入安全模式的方法是:在计算机启动自检时开始按F8键,会出现各种启动模式的选择菜单,选择“安全模式”即可。
3、有些病毒造成杀毒软件无法启动,则需要根据现象,判断病毒的种类,使用相应的专杀工具进行查杀。因为这类病毒虽然能自动关闭杀毒软件,但一般不会关闭专杀工具。使用专杀工具查杀后,升级或重装杀毒软件,再按上面2.1、2.2所述的方法进行杀毒。
4、如果病毒非常顽固,使用多种方法都不能彻底查杀,则最好格式化并重装系统。但是在重装系统后,切记不能直接打开除C盘外的其它盘,否则病毒又会被激活。必须先做好防护措施,安装杀毒软件,并升级至最新版,对所有硬盘进行杀毒。在确保没有病毒的情况下再打开其它盘。
5、有个别病毒在重装操作系统后仍无法彻底清除,则只好对硬盘进行重新分区或进行格式化处理。
三、结语
上述方法,是我们在操作使用计算机过程中所总结探索出的清除计算机病毒的一种行之有效措施,经过我们在教学和工作实践中的多次运用收到了良好效果,请您不妨一试,与我们一起共同分享这一成功的快乐。
参考文献:
网络计算机易感染的病毒主要来自于互联网和移动存储设备。因此,本方案设计的主要思路为:a.通过有效配置防火墙设置,阻止互联网中的病毒侵入网络计算机;b.利用杀毒软件,提升计算机病毒防护能力,阻止移动存储设备中的病毒入侵;c.采用硬盘保护卡还原技术将网络计算机的操作系统分区和指定分区进行保护,一旦计算机重新启动系统就恢复至初始状态。d.通过强化管理机、更新系统补丁、做好系统备份以及提高员工防病毒意识等手段完善方案设计。
1.2主要措施
1.2.1阻止互联网病毒。在网络中,防火墙所起的作用是非常重要的。但是,只有当防火墙成为内部和外部网络之间通信的唯一通道时,它才可以全面、有效地保护内部不受侵害,最大限度地阻止网络中的黑客来访和病毒入侵。在过去的十几年中,在网络安全领域,状态防火墙一直是处于第一道防线上。它就像是管理端口和协议的交通警察,在网络工程师制定的成千上万条规则的基础上,为流量采取最恰当的措施。但低策略的防火墙设备已不能抵挡一些新型网络病毒的攻击时,它的局限性就很明显了。所以防火墙的选择要考虑以下几点:a.防火墙的架构采用硬件体系;b.防火墙要求的并发会话数量;c.外部访问的类型和范围要求;d.喜欢的管理用户界面。
1.2.2阻止移动存储设备病毒。防止移动存储设备病毒入侵的最好方法是不使用移动存储设备,但是这不符合实际情况。为此,结合实际网络情况,将客户机的USB移动存储接口关闭,数据的输入和输出集中在管理机上进行操作。禁用接口可以采用直接移除物理设备接口、或者在计算机BIOS内和系统注册表内完成禁用功能。
1.2.3安装杀毒软件。计算机病毒防护主要是做好预防技术,通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘操作,尤其是写操作。所以反病毒技术通常采用杀毒软件技术,该技术形式涵盖了病毒预防、病毒检测和病毒清除多个方面。使用杀毒软件可以有效的杀除部分网络病毒和移动存储设备携带的病毒。
1.3完善措施
1.3.1强化管理机。在具体应用过程中,管理机和客户机各自任务和角色不同,管理机不仅要对客户机实施上网行为管理,而且也是数据传输的窗口。因此对管理机的防护设置不能简单地等同于客户机。在管理机上至少应保留一个不启用还原保护功能的分区方便管理人员存储数据。未保护分区的存在为病毒传播提供了方便,所以这里要借助另一种反病毒技术来配合,在未保护分区上安装单机版的杀毒软件,即保证了杀毒软件的病毒库数据升级与还原保护功能不会产生冲突,也杜绝了U盘、可移动硬盘病毒的传播。
1.3.2及时安装系统补丁和更新特定病毒免疫程序。抑制病毒流行的直接应对措施包含。及时安装系统厂商提供的专门针对因漏洞原因而致病毒传播的技术补丁;及时更新硬盘保护卡厂商提供的免疫程序和最新保护驱动。
1.3.3备份系统。防护方案的设计虽然已经尽量考虑了数据保护所面临的各种情况,但在实施过程中,难免会有不可预料的意外生,在方案的最后实施阶段使用GHOST软件制作一个干净的系统镜像文件,并将此文件保存于隐藏分区中。
1.3.4提高员工防病毒意识。虽然很多单位都有一套较完整的计算机防病毒管理制度,但有的员工防病毒意识仍然不强,有的制度形同虚设。针对这种情况,单位应着重加强对员工计算机防病毒意识的教育,培养员工使用计算机的良好习惯,自觉地在使用外来移动介质(U盘、移动硬盘等)之前进行检查,不轻易使用网上下载的软件。
1.4病毒防护方案
综上所述,实际中网络计算机最好防病毒方案是:a.入网之前架设网络防火墙,并实时更新相关软硬件设备;b.通过计算机BIOS禁用USB移动存储接口并移除物理光驱。资料的拷入拷出都集中在管理员机器上完。一是要求在管理员机器上进行及时的病毒杀毒,二是要求管理技术员对拷入拷出文件进行审查。客户机通过访问管理机指定分配好的共享文件夹就完成数据的上传下载。c.通过硬盘保护卡还原保护系统对硬盘分区的显示/隐藏属性进行适当设置。在日常应用中,应将系统分区设置为可见、保护状态,剩余分区全部隐藏起来(将备份系统存在磁盘符下),视情况不提供使用,或开放一个独立分区,将该分区的保护指令设置为“每日自动清除数据”。对于管理机要保留未保护分区,方便数据存储和共享。d.及时更新杀毒软件、系统补丁,做好系统备份并提高员工防病毒意识。
对于大多数计算机用户来说,谈到“计算机病毒”似乎觉得它深不可测,无法琢磨。其实计算机病毒是可以预防的,随着计算机的普及与深入,对计算机病毒的防范也在越来越受到计算机用户的重视。
一、计算机病毒的定义
一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件)的代码,统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。[1]”
二、计算机病毒的特性
(一)传染性。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。因此,这也是计算机病毒这一名称的由来。
(二)潜伏性。有些计算机病毒并不是一浸入你的机器,就会对机器造成破坏,它可能隐藏合法文件中,静静地呆几周或者几个月甚至几年,具有很强的潜伏性,一旦时机成熟就会迅速繁殖、扩散。
(三)隐蔽性。计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。
(四)破坏性。任何计算机病毒浸入到机器中,都会对系统造成不同程度的影响。轻者占有系统资源,降低工作效率,重者数据丢失、机器瘫痪。
除了上述四点外,计算机病毒还具有不可预见性、可触发性、衍生性、针对性、欺骗性、持久性等特点。[2]正是由于计算机病毒具有这些特点,给计算机病毒的预防、检测与清除工作带来了很大的难度。
三、计算机病毒的分类
自从1988年在美国发现的“蠕虫病毒”至今,计算机病毒以惊人的速度递增,据国外统计,计算机病毒以10种/周的速度递增,另据我国公安部统计,国内以4种/月的速度递增。病毒的种类繁多,分类方法也不一。为了更好的了解它,根据目前流行的计算机病毒,把它们概括成如下几类:
(一)从其传播方式上分为
1.引导型病毒。又称开机型病毒。当用户开机时,通过DOS的引导程序引入内存中,它不以文件的形式存储在磁盘上,因此也没有文件名,十分隐蔽。由于它先于操作系统装入内存,因此它能够完全控制DOS的各类中断,具有强大的破坏能力。常见的大麻病毒、巴基斯坦智囊病毒及米开朗基罗病毒等均属这类。2.文件型病毒。这是一种针对性很强的病毒,一般来讲,它只感染磁盘上的可执行文件(COM,EXE,SYS等),它通常依附在这些文件的头部或尾部,一旦这些感染病毒的文件被执行,病毒程序就会被激活,同时感染其它文件。这类病毒数量最大,它们又可细分为外壳型、源码型和嵌入型等。3.混合型病毒。这类病毒兼有上述两种病毒的特点,它既感染引导区又感染文件,正是因为这种特性,使它具有了很强的传染性。如果只将病毒从被感染的文件中清除,当系统重新启动时,病毒将从硬盘引导进入内存,这之后文件又会被感染;如果只将隐藏在引导区中的病毒消除掉,当文件运行时,引导区又会被重新感染。
(二)按其破坏程序来分
1.良性病毒。这类病毒多数是恶作剧的产物,其目的不为破坏系统资源,只是为了自我表现一下。其一般表现为显示信息,发出声响,自我复制等。2.恶性病毒。这类病毒的目的在于破坏计算机中的数据,删除文件,对数据进行删改、加密,甚至对硬盘进行格式化,使计算机无法正常运行甚至瘫痪。
四、当前破坏性大的几种病毒
(一)“武汉男生”病毒
俗称“熊猫烧香”,这是一种经过多次变种后的蠕虫病毒,当机器感染该病毒时,其可执行文件会出现“熊猫烧香”图案,故因此而得名。
(二)CIH病毒
在CIH病毒没有被发现之前,人们认为计算机病毒仅仅破坏计算机中的软件资源,在1999年的4月26日,CIH病毒的大规模暴发,使人们认识到计算机病毒不仅能破坏计算机的软件资源也能破坏计算机中的硬件。
(三)电子邮件炸弹(E-mailBomber)
这是一种恶作剧式的计算机病毒。具体是指发送者用来历不明的地址,在很短时间内连续不断地将大容量的邮件发送给同一个人,而一般收信人的邮箱容量是有限的,在这些数以千计的大容量信件面前肯定是不堪重负,而最终“爆炸身亡”。
(四)“台湾1号”宏病毒
它的发作日期是每个月13日,此时若打开一个感染该病毒的文档,病毒会被激活,在屏幕正中央会弹出一个对话框,给出一个心算题目要求用户回答,如果回答错误,它将无限制地打开文件,直到内存不够,系统出错为止;如果回答正确,便继续提问:“什么是巨集病毒(宏病毒)?”,回答是“我就是巨集病毒”,再提问:“如何预防巨集病毒?”,回答是“不要看我”。
五、计算机病毒的检测与预防
(一)病毒的检测
从上面介绍的计算机病毒的特性中,我们可以看出计算机病毒具有很强隐蔽性和极大的破坏性。因此在日常中如何判断病毒是否存在于系统中是非常关键的工作。一般用户可以根据下列情况来判断系统是否感染病毒。
计算机的启动速度较慢且无故自动重启;工作中机器出现无故死机现象;桌面上的图标发生了变化;桌面上出现了异常现象:奇怪的提示信息,特殊的字符等;在运行某一正常的应用软件时,系统经常报告内存不足;文件中的数据被篡改或丢失;音箱无故发生奇怪声音;系统不能识别存在的硬盘;当你的朋友向你抱怨你总是给他发出一些奇怪的信息,或你的邮箱中发现了大量的不明来历的邮件;打印机的速度变慢或者打印出一系列奇怪的字符。
(二)病毒的预防
计算机一旦感染病毒,可能给用户带来无法恢复的损失。因此在使用计算机时,要采取一定的措施来预防病毒,从而最低限度地降低损失。
不使用来历不明的程序或软件;在使用移动存储设备之前应先杀毒,在确保安全的情况下再使用;安装防火墙,防止网络上的病毒入侵;安装最新的杀毒软件,并定期升级,实时监控;养成良好的电脑使用习惯,定期优化、整理磁盘,养成定期全面杀毒的习惯;对于重要的数据信息要经常备份,以便在机器遭到破坏后能及时得到恢复;在使用系统盘时,应对软盘进行写保护操作。
计算机病毒及其防御措施都是在不停的发展和更新的,因此我们应做到认识病毒,了解病毒,及早发现病毒并采取相应的措施,从而确保我们的计算机能安全工作。
计算机病毒具有一定的感染性,只要一种类型的病毒被制造出来,将会在大范围的互联网系统中广泛传播。当今计算机系统存在着较多的漏洞,在设计方面难免会有瑕疵。从目前计算机受到病毒感染,被黑客攫取个人财务的情况来看,我国的计算机网络系统尚且属于容易感染的类型。目前的计算机病毒差不多都发生与个人PC微型计算机系统中和计算机网络领域。发生在微型个人PC计算机中的病毒具有较强的“进攻性”,可以轻松的破解电脑用户的银行账号、支付宝密码、QQ账号密码等等。他们以攻击操作系统中的各项软件为目标,从而达到破坏公司内部的防护系统的目的。发生在网络系统中注入DECC-VAXⅡ等小型机上的电脑病毒具有很强的“隐蔽性”和“攻击性”,这些黑客利用电脑内部安全检测软件的薄弱环节,通过植入乱码等错误信息,导致计算机系统超载而运行瘫痪。
1.2强化计算机病毒的预防系统建设
使用个人计算机DEBUG或者市场上常见的奇虎360电脑卫士、QQ电脑安全管家、金山毒霸等等,都能够很好地对一般病毒进行预防和扫除工作。个人电脑用户在日常的病毒检测和防止的过程中,一定要定期对停留在电脑系统盘内存在的各种已装软件和操作数据进行实施扫描和技术更新。对于某些并未感染病毒的系统,也要提高预防的警惕,小间隔时间地对其进行系统升级,切记不可间隔太久时间才展开漏洞修补和补丁安装操作。个人用户PC机MS-DOS操作系统的数据结构大致分为五个区。系统参数区(Systemparameterarea)为整个计算机内部系统提供运行支持,中断向量表(interruptvectortable)是通过建立数据交换通道,提高硬盘运行速度,还有文件控制块(FilecontrolBlock)保证文件妥善分区和高效储存,以及起动前操纵台(PrestartPanel),维护计算机系统的启动稳定和运行通常,第五类是BPB(BIOSParameterBlock)磁盘参数块,保证各项数据储存安全。磁盘信息主要有计算机信息引导记录,项目分区表以及操作更目录等。在针对电脑病毒查杀的过程中,通过检查和有效比较,确定这些数据部分是否正确,并且及时将遭受破坏的数据部分恢复过来,从而达到解毒的目的。
1.3加强大众型计算机常识教育
为了更好的维护计算机安全,必须要向广大的人民群众普及计算机病毒的预防方法。从社会宣传和预防的角度来说,首先要制定强有力的计算机内部系统的法律法规,加强大众计算机常识性教育,切实提高人们的思想道德水平。推行网络文明和信息安全,使人们不再因为个人私欲或者纯属娱乐而编造大量病毒。从计算机系统的管理方面来看,必须要加强个人PC计算机的使用规范教育。在展开日常网络操作的时候,尽量使用固定盘启动系统来唤醒计算机。对于外来盘,在读取各类信息和资料时,一定要经过严格检查,确定无毒无害之后,才能够接入到个人PC计算机上。内部系统盘尽量不要随意外借,如果确实需要进行内盘转借时,一定要对其进行灭毒处理。
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。
一、计算机病毒的内涵、类型及特点
计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时,嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码,但更多的病毒携带毒码,一旦被事先设定好的环境激发,即可感染和破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今,世界上已出现了多种不同类型的病毒。在最近几年,又产生了以下几种主要病毒:
(1)“美丽杀手”(Melissa)病毒。这种病毒是专门针对微软电子邮件服务器MSExchange和电子邮件收发软件0ut1ookExpress的Word宏病毒,是一种拒绝服务的攻击型病毒,能够影响计算机运行微软word97、word2000和0utlook。这种病毒是一种Word文档附件,由E-mall携带传播扩散。由于这种病毒能够自我复制,一旦用户打开这个附件,“美丽杀手”病毒就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送,从而过载E-mai1服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数,据计算,如果“美丽杀手”病毒能够按照理论上的速度传播,只需要繁殖5次就可以让全世界所有的网络用户都都收到一份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器,而是使用户的非常敏感和核心的机密信息在不经意间通过电子邮件的反复传播和扩散而被泄漏出去,连扩散到了什么地方可能都不得而知。据外电报道,在北约对南联盟发动的战争行动中,证实“美丽杀手”病毒己使5万部电脑主机和几十万部电脑陷于瘫痪而无法工作,网络被空数据包阻塞,迫使许多用户关机避灾。
(2)“怕怕”(Papa)病毒。“怕怕”病毒是另一种Excel宏病毒,它能够绕开网络管理人员设置的保护措施进入计算机。这种病毒与“美丽杀手”病毒相类似,其区别在于“怕怕”病毒不但能象“美丽杀手”病毒一样迅速传播,拒绝服务和阻塞网络,而且更为严重的是它能使整个网络瘫痪,使被它感染的文件所具有的宏病毒预警功能丧失作用。
(3)“疯牛”(MadCow)和“怕怕B”病毒。这两种病毒分别是“美丽杀手”和“怕怕”病毒的新的变型病毒。正当美国紧急动员起来对付3月26日发现的“美丽杀手”和“怕怕”病毒时,在欧洲又出现了它们的新变种“美丽杀手B”(又叫作“疯牛”)和“怕怕B”,目前正横扫欧洲大陆,造成大规模破坏,而且还正在向全世界扩散蔓延。虽然这两种病毒变种的病毒代码不同,可能不是一个人所编写,但是,它们同样也是通过发送Word和Excel文件而传播。每次被激活后,这种病毒就会向用户电子邮件簿的前60个地址发送垃圾邮件;它还可以向一个外部网站发送网络请求,占用大量的带宽而阻滞网络的工作,其危害性比原型病毒有过之而无不及。
(4)“幸福1999”宏病毒。这是一种比“美丽杀手”的破坏作用小得多的病毒。“幸福1999”病毒会改变计算机中的微软公司Windows程序与Internet网工作。这种病毒还发送一个执行文件,激活焰火显示,使屏幕碎裂。
(5)“咻咻”(Ping)轰击病毒。“咻咻”轰击病毒的英文单词是“分组Internet搜索者”的缩写,指的是将一个分组信息发送到服务器并等待其响应的过程,这是用户用以确定一个系统是否在Internet网上运行的一种方法。据外电报道,运用“咻咻”(Ping)轰击病毒,发送大量的“咻咻”空数据包,使服务器过载,不能对其它用户作出响应。
归纳起来,计算机病毒有以下特点:一是攻击隐蔽性强。病毒可以无声无息地感染计算机系统而不被察觉,待发现时,往往已造成严重后果。二是繁殖能力强。电脑一旦染毒,可以很快“发病”。目前的三维病毒还会产生很多变种。三是传染途径广。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断蔓延。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作,待满足一定条件后,就激发破坏。五是破坏力大。计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,导致整个计算机系统的瘫痪。六是针对性强。计算机病毒的效能可以准确地加以设计,满足不同环境和时机的要求。
二、计算机病毒的技术分析
长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则重视不够。计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑,软件方面也更易存在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测工具和系统软件的完整检验手段,计算机系统的脆弱性,为计算机病毒的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为计算机病毒创造了实施的空间;新的计算机技术在电子系统中不断应用,为计算机病毒的实现提供了客观条件。国外专家认为,分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。
实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒注入方法主要有以下几种:
1.无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式,同时技术难度也最大。可能的途径有:①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进人信息网络。③寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。
2.“固化”式方法。即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他特殊功能。目前,我国很多计算机组件依赖进口,困此,很容易受到芯片的攻击。
3.后门攻击方式。后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击,如目前普遍使用的WINDOWS98,就存在这样的后门。
4.数据控制链侵入方式。随着因特网技术的广泛应用,使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术,可以很容易地改变数据控制链的正常路径。
除上述方式外,还可通过其他多种方式注入病毒。
三、对计算机病毒攻击的防范的对策和方法
1.建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。
2.严把收硬件安全关。国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。
2常见的计算机病毒传播途径
2.1电子邮件传播
一些恶意电子邮件HTML正文中嵌入恶意脚本,或电子邮件附件中携带病毒的压缩文件,这些病毒经常利用社会工程学进行伪装,增大病毒传播机会。2.2网络共享传播一些病毒会搜索本地网络中存在的共享,包括默认共享,通过空口令或弱口令猜测,获得完全访问权限,并将自身复制到网络共享文件夹中,通常以游戏,CDKEY等相关名字命名,不易察觉。
2.3P2P共享软件传播
随着P2P软件的普遍应用,也成为计算机病毒传播的重要途径,通常把病毒代码植入到音频、视频、游戏软件中,诱使用户下载。
2.4系统漏洞传播
随着互联网的发展,我们的企业和个人用户在享受网络带来的快捷和商机的同时,也面临无时不在的计算机病毒威胁,计算机病毒也由全球性爆发逐渐向地域性爆发转变。本文主要简述计算机病毒的特点和防治方法,以及数据机密技术的应用。摘要由于操作系统固有的一些设计缺陷,导致被恶意用户通过畸形的方式利用后,可执行任意代码,病毒往往利用系统漏洞进入系统,达到传播的目的。常被利用的漏有RPC-DCOM缓冲区溢出(MS03-026)、WebDAV(MS03-007)、LSASS(MS04-011)。
2.5移动设备传播
一些使用者的优盘、移动硬盘等移动存储设备,常常携带电脑病毒,当插入电脑时没有使用杀毒软件对病毒进行查杀,可能导致病毒侵入电脑。
3计算机病毒的防治策略
3.1计算机病毒的预防
计算机病毒防治,要采取预防为主的方针,安装防病毒软件,定期升级防病毒软件,不随便打开不明来源的邮件附件,尽量减少其他人使用你的计算机,及时打系统补丁,从外面获取数据先检察,建立系统恢复盘,定期备份文件,综合各种防病毒技术,防火墙与防毒软件结合,达到病毒检测、数据保护、实时监控多层防护的目的。
3.2病毒的检测
对于普通用户,使用杀毒软件即可对计算机进行常规的病毒检测,但由于病毒传播快、新病毒层出不穷,杀毒软件不能对新病毒有效的查杀,对于专业人员进行查毒。常见的病毒检测方法有比较法、特征代码扫描法、效验和法、分析法,当有新病毒出现时,需要同时使用分析法和比较法,搞清楚病毒体的大致结构,提取特征代码或特征字,用于增添到病毒代码库供病毒扫描和识别程序用;详细分析病毒代码,为制定相应的反病毒措施制定方案。
3.3病毒的清除
使用windows自带的任务管理器或第三方的进程管理工具,中止病毒进程或服务,根据病毒修改的具体情况,删除或还原相应的注册表项,检查Win.ini配置文件的[windows]节中的项和System.ini配置文件的[boot]节中的项,删除病毒相关的部分。常用的工具有:系统诊断(SIC,HijackThis)、分析进程(ProcessExplorer)、分析网络连接(TCPView)、监视注册表(Regmon,InstallRite)、监视文件系统(Filemon,InstallRite)。
3.4杀毒软件的选择
一般的杀毒软件具有预防、检测、消除、免疫和破坏控制的功能,选择杀毒软件时应考虑软件的高侦测率、误报率、漏报率、操作管理和隔离政策等几个关键因素。
4计算机数据加密技术
4.1计算机数据加密的概述
密码技术通过信息的变换或编码,将机密的敏感消息变换成为难以读懂的乱码字符,使窃听者不可能由其截获的乱码中得到任何有意义的信息,同时使窃听者不可能伪造任何乱码型的信息。在计算机网络中,为了提高信息系统及数据的安全性和保密性,防止机密信息的泄露和信息源的真实性的认证,以及验证接收数据的完整性,防止被一些别有用心的人利用或破坏,需要对数据进行加密来保护机密数据不被窃取或篡改。
4.2计算机加密的分类
目前对网络数据加密主要有链路加密、节点对节点加密和端对端加密3种实现方式。
(1)链路加密
链路加密又称在线加密,它是对在两个网络节点间的某一条通信链路实施加密,是目前网络安全系统中主要采用的方式。
(2)节点对节点加密
节点对节点加密是在中间节点里装有用于加密和解密的保护装置,由这个装置来完成一个密钥向另一个密钥的交换,提高网络数据的安全性。
(3)端对端加密
端对端加密又称脱线加密或包加密,它允许数据在从源节点被加密后,到终点的传输过程中始终以密文形式存在,消息在到达终点之前不进行解密,只有消息到达目的节点后才被解密。因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。身份认证技术:通过身份认证可以验证消息的收发者是否持有身份认证符,同时验证消息的完整性,并对消息的序号性和时间性进行认证,有效防止不法分子对信息系统进行主动攻击。数字签名技术:数字签名是信息收发者使用公开密钥算法技术,产生别人无法伪造的一段数字串。发送者使用自己的私有密钥加密后将数据传送给接受者,接受者需要使用发送者的公钥解开数据,可以确定消息来自谁,同时是对发送者发送信息的真实性的一个证明。数字签名具有可验证、防抵赖、防假冒、防篡改、防伪造的特点,确保信息数据的安全。
2计算机病毒的特征
随着计算机网络技术的发展,编译人员的编程能力也在不断的变化和进步,所以计算机病毒的种类多种多样,其特征也各不相同。但总体来说,计算机病毒的主要特征主要包括了以下几个方面:传染性、可执行性、破坏性、隐蔽性、非授权性、可触发性等,随着计算机编译技术的发展,近年来的计算机病毒还新增了许多特性,如:诱骗性、变形性、抗分析性、远程控制性、攻击手段多样性、攻击目标多元性等,以下简单分析几种计算机病毒的特性。
1)非授权性我们知道正常的程序都是由用户主动进行调用
然后在计算机上给用户操作提供软件和硬件上的支持,直到用户完成操作,所以正常程序是符合用户主观意愿的,可见并透明的,而对于计算机病毒来说,病毒首先是隐藏的,用户一般是不知情的,当用户使用被感染的正常程序时,实践上病毒优先得到了计算机的控制权,病毒执行的操作也是用户不知情的,其执行的结果用户也是无法得知的。
2)破坏性计算机病毒的定义中就可以得知
计算机病毒具有破坏性,不仅会感染正常程序,严重的还会损坏计算机软硬件,它是一种恶性的破坏性软件,首先受到攻击的必然是计算机整个系统,最先受到破坏的也是计算机系统。
3计算机病毒的危害和分类
计算机病毒经过了这么多年的发展,人们对计算机病毒的认识和理解也在加深,但是至今没有一个完整的计算来定义计算机病毒,我们也知道计算机病毒的危害性,但是计算机病毒的危害可以提现在不同的层次,所以从不同角度去分析计算机病毒的危害,其结果迥然不同。根据我国计算机病毒应急处理中心的病毒危害分类依据以及近年来病毒的发展规律,该文提出了一种四维空间的方式进一步的阐述病毒的危害:U={U1,U2,U3,U4},其中的U1,U2,U3,U4表示的是感染规模、传播途径、破坏性和病毒本身的复杂性。如感染规模U1体现的就是病毒的危害情况,显然感染规模越大其危害性越大[6]。我们以一组指标来说明,感染的独立站点的数量U11,感染的计算机数量为U12,病毒爆发地区数目为U13,病毒感染的重点行业数为U14,那么该病毒的感染子规模空间就是U1={U11,U12,U13,U14}。同理,U2是病毒危害的途径,那么我们就列举几个途径作为例子,如互联网传播U21,文件系统传播U22,局域网传播U23,邮件方式传播U24,那么该病毒的感染途径子空间就为U2={U21,U22,U23,U24}。病毒的破坏性和本身复杂性上述同样,这里就不详细讨论。
4网络传播模型的稳定性研究
4.1计算机网络病毒离散型模型稳定性探索
1)计算机病毒模型描述研究
为了针对计算机病毒模型进行描述,我们将引进“当量日”,如果在一段时间内,某个计算机的病毒盛行,则网络中一定有易感染这类病毒的主机,且还会感染其他未感染的主机,此段时间则被称为当量日。可以看出来,假设病毒在一台计算机中传播,我们用S表示易感染主机,I表示被感染主机,A则表示未感染主机。其中S(n)、A(n)、(In)表示的是在第n个当量日中S、A、I数量。则表示为:N(n)=S(n)+A(n)+(In);b表示当第n当量日到n+1当量日新增加的易感主机数量;β则表示第n个当量日被传染者的平均基础概率;γ则表示第个当量日会由于故障等非染病因素所造成主机无法使用;u则表示第n当量日对被感染的主机杀毒之后,主机再次感染的概率,v则表示第n当量日主机杀毒之后,又被感染主机类的概率。则可以计算出n+1个当量日下易感染主机的数量S(n+1):S(n+1)=(1-γ)S(n)+u(In)+vA(n)-βS(n)(In)+b,n取0,1,2•••。
2)无病毒平衡点模型稳定性分析
针对无病毒平衡点的稳定性进行分析主要采用矩阵理论以及Lyapunov第一定理。若:0<u+m+θ-bβ/γ<1。如果是的无病毒模型逐渐的稳定则,u+m+θ-bβ/γ<0。如果采用李亚普诺夫的方法,当所有的特征值均不在单位圆之内,则此时的系统的无病毒平衡态不稳定,其成立的条件是u+m+θ-bβ/γ<0[7]。3)有病毒平衡点的稳定性分析计算时,我们将三维坐标系中的原点(Se,Ie,Ae)进行移动,则为位移之后的原点为u1(n)=S(n)-Se;U2(n)=I(n)-Ie;u3(n)=A(n)-Ae,则根据原点的移动来确定有病毒平衡点的稳定性。
4.2基于p2p网络化解中计算机病毒的传播模型
目前流行的p2p网络,主要包含了Kazaa、Gnutella和eDonkey等,在这种网络中每个网络节点都存在一个专门的共享文件夹,该文件夹的作用就是用户公开其他人下载的文件,由于网络的特殊性,用户可以从不同的节点去下载这些共享文件,我们可以将整个网络拓扑看成一个巨大的文件系统,病毒传播与文件被访问的频率和次数有很大关系,访问数量越大、频繁高那么病毒的传播速度越快。综合这些特点,我们考虑建立以下的传播模型,在该模型中,设共享文件的总数为N,每台主机平局共享的文件为n,那么主机的个数就是N/n,设所有共享文件病毒感染文件数为M,那么病毒感染的文件数是时间函数(ft),设共享文件被访问的次数即访问热度H(t)[8]。通过总的共享文件中的病毒感染文件数(ft)和平均每台主机染病毒的个数j,我们可以估算出整个网络的染病毒的主机个数I(t)大概有(ft)/j个。在某时刻t,系统中染病毒文件个数(ft),未被感染为M-(ft),在随后的t1内,系统中的某一个病毒文件访问的次数是H(t)*t1,那么新增染毒文件个数为H(t)*t1*α*(M-(ft))/N,α为病毒的出生率,又因为当前染毒文件的个数是(ft),那么网络中一共增加的病毒文件个数就是H(t)*t1*α*(M-(ft))/N*(ft),这段时间内有的文件被治愈个数为t1*β*(ft),其中β为治愈率,为此我们可以得到一个微分方程:d(ft)/dt-H(t)*α*(M-(ft))/N*(ft)-β*(ft),为了求得该方程,先取H(t)=C,C为常数,最后再进行方程解。对于模拟实验,主要利用的是趋势公司网站公布的数据作为基础数据,该公司是全球著名的杀毒软件公司,该公司通过长期的病毒数据统计,描绘出了实际病毒传播曲线[9],如图2所示。从图中可以看出当曲线A表示的是K1>0时,(ft)单调递增;B段表示的是k1=0时,病毒的出生率和治愈率将达到一个平衡,那么(ft)则不变,C段表示的是K1<0时,(ft)单调递减。A段因为携带的病毒文件刚成共享,这时的访问热度比较高,H(t)逐渐增大,则K1>0,当过了一定的时间后,访问的热度随之降低,最后达到一个平衡点,即是B段,K1=0,当方位频率进一步降低,达到C段,即K1<0,则(ft)将出现单调递减。