计算机病毒及其防御措施.pdf

计算机病毒及其防御措施 本论文简要的说明的计算机病的的产生、特点和传播，并且举出了几个防护病毒的简单方法和几个影响比较大的病毒病毒、产生、传播、防护 1 计算机病毒的产生 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物它产生的背景是： 1.1 计算机病毒是计算机犯罪的一种新的衍化形式 计算机病毒是高技术犯罪 ,具有瞬时性、动态性和随机性不易取证 ,风险小破坏大 , 从而刺激了犯罪意识和犯罪活动是某些人恶作剧和报复心态在计算机应用领域的 表现； 1.2 计算机软硬件产品的脆弱性是根本的技术原因 计算机是电子产品数据从输入、存储、处理、输出等环节 , 易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式 , 效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误 , 只能在运行中发现、修改错误 , 并不知道还有多少错误和缺陷隐藏在其中这些脆弱性就为病毒的侵入提供了方便； 1.3 微机的普及应用是计算机病毒产生的必要环境 1983 年 11 月 3 日美国计算机专家首次提出了计算机病毒的概念并进行了验证。

几年前计 算机病毒就迅速蔓延，到我国才是近年来的事而这几年正是我国微型计算机普及应用热潮微机的广泛普及，操作系统简单明了，软、硬件透明度高，基本上没有什么安全措施 , 能够透彻了解它内部结构的用户日益增多，对其存在的缺点和易攻击处也了解的越来越清楚，不同的目的可以做出截然不同的选择 2 计算机病毒的特点 2.1 可执行性 计算机病毒和其它合法程序一样， 是一种可存储和可执行的非法程序，它可以直接或间接地运行，可以隐蔽在可执行程序和系统必须执行的程序段中，并且不易被人们察觉和发现 计算机病毒不是单独存在的 可执行程序，它必须寄生在其它可执行程序中，当执行这个程序时，病毒就会运行 2.2 传染性 计算机病毒的传染性是计算机病毒再生机制，病毒程序一旦进入系统与系统中的程序接在一 起，它就会在运行这一被传染的程序时开始传染其它程序和磁盘 这样一来病毒就会很快地传染到整个计算机系统或者扩散到硬盘以及在该系统上运行过的其它磁盘上面正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的 而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上 计算机病毒可通过各种可能的渠道，如软盘 、光盘、 U 盘、移动硬盘、应用软件、计算机网络去传染其他的计算机。

2.3 潜伏性 一个程序或系统感染了病毒后， 病毒不一定马上发作，而是有一个潜伏期，等待一定的时机 一个编制精巧的计算机病毒程序，可以在几周或者几个月甚至几年内隐蔽在合法文件或磁盘之中，对其它系统进行传染而不被人们发现 计算机病毒的潜伏期越长，其传播的范围也就越广，危害也就越大 2.4 可触发性 病毒因某个事件或数值的出现， 能诱使病毒实施感染或进行攻击的特性称之为可触发性 计算机病毒的发作一般都有一个触发条件，触发条件 可以是日期、时间等某一计数器或字母组合等 不满足触发条件时，计算机病毒除了传染外不做什么破坏 触发条件一旦得到满足，激活病毒的传染机制使病毒开始传染或激活病毒的表现部分或破坏部分，使其开始表现和破坏系统及文件 如 CIH 病毒发作于每个月的 26 日 2.5 破坏性 计算机中毒后， 可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 它的破坏力到底有多大，取决于病毒设计者的目的，如果病毒设计者的目的在于彻底破坏系统的正常运行，那么这种病毒对于计算机系统进行攻击所造成的后果 是难以设想的，它可以毁掉系统内的部分数据， 也可以破坏全部数据并使之无法恢复，这种病毒称为恶性病毒；另一种计算机病毒的设计者只是为了做一些恶做剧，病毒发作时在显示器上 显示一些图像或文字，或者通过计算机的喇叭发出一些音响和音乐，这些病毒称为良性病毒。

2.6 主动性 计算机病毒设计者的目的在于对计算机系统进行破坏， 所有病毒对系统的攻击都是主动的，不以人的意志为转移的，计算机无论采取多么严密的保护措施都不可能彻底排除病毒对系统的攻击，而保护措施只能是一种预防的手段而已 2.7 针对性 计算机病 毒是针对特定的计算机和特定的操作系统的， 不是对所有计算机系统都有传染和破坏，计算机病毒的效能可以准确地加以设计，满足不同环境和时机的要求 3 病毒的传播 3.1 通过 Emile 进行传播 通过将病毒代码附属在 Emall 中进行传播是网络病毒传播的一个主要途径 "由于电子邮箱使用的广泛性 ,使得这种传播方式深受许多病毒制造者的青睐 "病毒通过 Email 进行传播的方法有两种 ,一是直接将恶意代码本身加入到 Email 中 ,二是将恶意代码的 URL 连接加入到 Email中 "病毒利用 Email 进行传播的过程如下 : (1)寻找目标地址 病毒在感染主机的 Email 地址簿 !历史记录或硬盘中搜索可用的 Email 地址 "如 Intemct 临时文件夹中存放的 html 文件就可能包含有效的 Email 地址 "如果用户安装了诸如 Outlook 的邮件收发软件 ,病毒还能从中提取出邮件地址 " (2)将自身复制并发送出去 病毒扫描到可用的目标地址后 ,就将自身复制并发送出去 "然而 ,有的病毒非常隐蔽 ,它并不直接发送带毒的电子邮件 ,而是感染用户的信纸 ,并通过修改系统的设置 ,使得邮件的默认信纸格式为 html 格式 "当用户发送邮件时 ,病毒就会自动感染邮件正文 " (3)激活病毒代码 病毒代码到达接收端后 ,并不会自动运行 ,而是需要用户的激活 "因此 ,病毒要想尽办法诱导用户激活病毒代码 "病毒会用各种各样具有欺骗性的标题和内容来诱骗人们〔 ,5,"例如 /爱虫 0病毒 ,就是利用人们对其标题的好奇心 ,引诱用户打开附件 ,从而激活病毒代码 " 3.2 通过扫描系统漏洞传播 蠕虫病毒代码是以独立程序的方式存在的 ,它不嵌入到任何宿主文件中 "其传播过程是靠远程扫描 Intemct 中存在漏洞的主机 ,利用这些漏洞将自己注入远程计算机中并取得系统控制权 "然后就可以对受控主机进行攻击破坏了 "蠕虫取得系统权限的方法主要有以下 几种 : (l)利用系统漏洞 蠕虫常利用一些系统或应用软件的漏洞进行传播 "如某些版本的浏览器为了实 现预览功能 ,会自动执行其中的 EML 文件 "与 Email 传播不同的是 ,利用系统漏 洞 ,蠕虫常常可以在远程获得联网主机的控制权 "也就是说 ,它们首先控制目标主 机 ,再将自己复制过去 ,进而实施攻击破坏 " (2)利用局域网传播 有些局域网的管理员由于缺乏安全意识或工作疏忽 ,使得某些机器上的系统文 件夹是远程可写的 "这往往会给蠕虫病毒留下了一个可利用的空子 "蠕虫可以直接 拷贝自身到局域网中可写的启动目录中 ,从而进行传播 "有些 病毒通过在局域网中 寻找可写的 win.ha 或修改注册表 ,使得下次重新启动后蠕虫被自动运行 " (3)利用服务器漏洞 蠕虫还可以利用一些常见的服务器漏洞 ,如 115 漏洞 ,IFrame 漏洞等 ,获取远 程服务器的控制权 "之后 ,蠕虫就可以随意将恶意代码上传至服务器 "从而导致所 有访问该服务器的客户机都感染该蠕虫病毒 " 4 计算机病毒的防护 在平时的计算机使用中只要注意做到以下几个方面，就会大大减少病毒感染的机会。

4.1 建立良好的安全习惯 一些来历不明的邮件及附件不要打开，并尽快删除，不要上一些不太了解的网站 ，尤其是那些诱人名称的网页，更不要轻易打开，不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全 4.2 关闭或删除系统中不需要的服务 默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、 Telner 和 Web 服务器这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除他们，就能大大减少被攻击的可能性 4.3 经常升级操作系统的安全补丁 据统计，有 80%的网络病毒是通过系统安全漏洞进行传播的，像红色代码、尼姆达、冲击波等病毒， 所以应该定期到微软网站去下载最新的安全补丁，以防患于未然 4.4 使用复杂的密码 有许多网络病毒就是通过猜测简单密码的方式攻击系统的因此使用复杂的密码，将会大大提高计算机的安全系数 4.5 迅速隔离受感染的计算机 当您的计算机发现病毒或异常时应立即中断网络，然后尽快采取有效的查杀病毒措施，以防止计算机受到更多的感染，或者成为传播源感染其他计算机 4.6 安装专业的防病毒软件进行全面监控 在病毒日益增多的今天，使用杀毒软件进行防杀病毒，是简单有效并且是越来越经济的选择。

用户在安装了反 病毒软件后，应该经常升级至最新版本，并定期查杀计算机将杀毒软件的各种防病毒监控始终打开（如邮件监控和网页 监控等），可以很好地保障计算机的安全 4.7 及时安装防火墙 安装较新版本的个人防火墙，并随系统启动一同加载，即可防止多数黑客进入计算机偷窥、窃密或放置黑客程序 5 破坏性大的几种病毒举例 5.1“武汉男生”病毒 俗称“熊猫烧香”，这是一种经过多次变种后的蠕虫病毒，当机器感染该病毒时，其可执行文件会出现“熊猫烧香” 图案，故因此而得名 5.2 CIH 病毒 在 CIH 病毒没 有被发现之前，人们认为计算机病毒仅仅破坏计算机中的软件资源，在1999 年的 4 月 26 日， CIH 病毒的大规模暴发，使人们认识到计算机病毒不仅能破坏计算机的软件资源也能破坏计算机中的硬件 5.3 电子邮件炸弹（ E-mail Bomber） 这是一种恶作剧式的计算机病毒具体是指发送者用来历不明的地址，在很短时间内连续不断地将大容量的邮件发送给同一个人，而一般收信人的邮箱容量是有限的，在这些数以千计的大容量信件面前肯定是不堪重负，而最终“爆炸身亡”。

5.4“台湾 1 号”宏病毒 它的发作日期是每个月 13 日 ，此时若打开一个感染该病毒的文档，病毒会被激活，在屏幕正中央会弹出一个对话框，给出一个心算题目要求用户回答，如果回答错误，它将无限制地打开文件，直到内存不够，系统出错为止；如果回答正确，便继续提问：“什么是巨集病毒 (宏病毒 )?”，回答是“我就是巨集病毒”，再提问：“如何预防巨集病毒 ?”，回答是“不要看我” 参考文献： [1]曹天杰、张永平、苏成，《计算机系统安全》，高等 教育 出版社， 2003 年 9 月第 1 版 . [2]旗立研究室，《计算机概论》，中国铁道出版社， 2002 年 2 月第 1 版 . [3]宗根华 ， 《科学教育家》 2009 年第 1 期 [4]韩筱卿，计算机病毒分析与防范大全 [M].北京：电子工业出版社 . [5]邓清华，计算机病毒传播模型及防御策略研究，华中师范大学， 2009 年 5 月 . 。