计算机应用专业专科毕业论文.docx

1、【摘要】 随着计算机的快速普及和中国 Internet 的爆炸式发展，信息安全的内涵和范围也发生了很大的变化。它从针对性的防范变成一般性的防范，企业领域拓展到家庭领域。人们在享受计算机技术带来的各种便利的同时也在遭受计算机病毒带来的痛苦和烦恼。计算机病毒的特性不仅仅只是恶作剧，更使计算机用户蒙受巨大的损失。目前，计算机病毒可以渗透到信息社会的各个领域，从计算机延伸到手机等各种数码产品，无不受其害。因此，研究计算机病毒的防范技术是极其有必要的。【关键词】计算机病毒 病毒的特性 病毒防范技术目 录前 言4 第一章 什么是计算机病毒5 第一节 计算机病毒的定义5 第二节 计算机病毒的发展阶段6 一、

2、根据病毒的技术性划分6 二、根据病毒的特点划分9 第三节 计算机病毒的特征和分类11 一、 计算机病毒的特征11 二、计算机病毒的类型13 第二章 计算机病毒的检测方法和防范技术14 第一节 计算机病毒入侵的途径14 第二节 计算机病毒的检测方法14 一、 外观检测法14 二、 特征代码法15 三、 系统数据对比法15 四、 软件模拟法16 五、 其他病毒检测的新技术16 第三节 计算机病毒的防范技术16 一、 计算机病毒的防范16 二、 清理计算机病毒的基本技术21 三、 计算机系统的修复22 第三章 计算机病毒实例和解析23 第一节 Win32.StartPage 病毒分析与清除23 一、

3、病毒分析23 二、清除操作24 结 论25 结束语26 26参考文献27 空一行。前言空一个中文字符行。“前言”，分页，居中，加黑宋体二号。随着计算机的快速普及和中国 Internet 的爆炸式发展，信息安全的内涵和范围也发生了很大的变化。它从针对性的防范变成一般性的防范，企业领域拓展到家庭领域。人们在享受计算机技术带来的各种便利的同时也在遭受计算机病毒带来的痛苦和烦恼。计算机病毒的特性不仅仅只是恶作剧，更使计算机用户蒙受巨大的损失。目前，计算机病毒可以渗透到信息社会的各个领域，从计算机延伸到手机等各种数码产品，无不受其害。因此，研究计算机病毒的防范技术是极其有必要的。要做反计算机病毒技术的研

4、究，首先应搞清楚计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。因此，研究计算机病毒与防治就显得很有现实意义。本文将从计算机病毒的特点入手，初步探讨计算机的防范策略，分析了计算机病毒的表现形式，针对病毒对计算机及网络的破坏性，提出了防治的基本方法和处理措施。第一章什么是计算机病毒第一节计算机病毒的定义生物界的“病毒”（virus）是一种没有细胞结构、只有由蛋自质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物。如 HSN、0 一157大肠杆曲、HIV（艾滋病毒）、口蹄疫病毒、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒、埃博拉病毒等。绝大多数病毒只有在电

5、子显微镜下才能看得到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁俏后代因此给寄主生物造成极大的危害在人类或动物的传染性疾病中，有许多是由病毒感染引起的，如人类所患的病毒性肝炎、流行性感冒、艾滋病、脊仙灰质炎、SARS 等疾病，动物中的猪瘟、鸡瘟、牛瘟等瘟疫。我们通常所说的“计算机病毒”(Computer Virus)，实际应该被称做“为达到特殊目的而制作和传播的计算机代码或程序”，或者被称为“恶意代码”。这些程序之所以被称做病毒，主要是由于它们与生物医学上的病毒有着很多的相同点例如，它们都其有寄生性、传染性和破坏性有些恶意代码会像生物病毒隐藏和寄

6、生在其他生物细胞中那样寄生在计算机用户的正常文件中，而且会伺机发作， 并大量地复制病毒体感染本机的其他文件和网络中的计算机。而且绝大多教的恶意代码郁会对人类社会生活造成不利的影响，造成的经济损失数以亿计。由此可见，“计算机病毒”这一名词是由生物医学上的病毒概念引申而来的。与生物病毒不同的是，计算机病毒并不是天然存在的，它们是别有用心的人利用计算机软、硬件所固有的安全上的缺陷有目的地编制而成的。干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的可自我复制的计算机程序或指令集合都是计算机病毒。依据此定义，诸如逻辑炸弹蠕虫，木马程序等均可成为计算机病毒。国务院颁布的中华人民共和国计算机信

7、息系统安全保护条例， 以及公安部出台的计算机病毒防治管理办法将计算机病毒均定义如下：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这是目前官方最权威的关于计算机病毒的定义，此定义也被目前通行的计算机病毒防治产品评级准则的国家标准所采纳。第二节 计算机病毒的发展阶段一、根据病毒的技术性划分1、第一代病毒第一代病毒的产生可追溯到 1986 年一 1989 年之间，这一时期出现的病毒可以称之为传统病毒是计算机病毒的萌芽和滋生时期。由于当时计算机的应用软件较少，而且大多是单机运行环境因此病毒没有大量流行，且流行病毒的种

8、类也很有限病毒的消除工作相对来说比较容易。这一阶段的计算机病毒具有如下一些特点： 病毒攻击的目林比较单一或者是传染磁盘引导扇区，或者是传染可执行文件。病毒程序主要采取截获系统中断向量的方式监视系统的运行状态，并在一定条件下对目标进行传染。 病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可执行文件的长度增加，文件建立日期与时间发生变化，等等这些特征很容易通过人工或查毒软件发现 病毒程序不具有自我保护措施，容易被分析和解剖从而使得人们容易编制相应的清毒软件。 然而，随若计算机反病毒技术的提高和反病毒产品的不断捅现病毒编制者也在不断地总结编程技巧和经验于方百计地逃避反病毒产品的分析、检侧和解毒

9、从而出现了第二代计算机病毒。2、第二代病毒第二代病毒又称为混合型病毒，其产生的年限可以认为在 1989 年一 l991 年之间，这一时期是计算机病毒由简单到复杂、由单纯走向成热的阶段。在此期间计算机局域网开始应用与普及，许多单机应用软件开始转向网络环境，应用软件更加成熟由于网络系统尚未有安全防护愈识因此缺乏在网络环境下防御病毒的思想准备与方法对策，从而导致计算机病毒的第一次流行高峰。这一阶段的计算机病毒且有如下特点： 病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可传染可执行文件。 病毒程序不采用明显截获中断向量的方法监视系统的运行，而采取更为隐蔽的方法驻留在内存和传染目标中。

10、病毒传染目标后没有明显的特征，如进盘上不出现坏扇区，可执行文件长度的增加不明显，不改变被传染文件原来的键立日期和时间，等等。 病毒程序往往采取一些自我保护措施如加密技术、反跟踪技术，制造障碍。增加人们对其进行分析和解剖的难度，同时也增加了软件检测和解毒的难度。出现许多病毒的变种，这些变种病毒比原病母的传染性更隐蔽，破坏性更大。总之这一时期出现的病毒不仅在数量上急剧增加，更重要的是在病毒编制的方式方法、驻留内存以及对宿主程序的传染方式方法等方面部有了较大变化。一级标题“一、”，左对齐，加黑宋体三号。3、第三代病毒第三代病毒的产生年限可以认为是从 1992 年到 1995 年，此类病毒称为”变形”

11、病毒或“幽灵”病毒。所谓“变形”是指此类病毒在每次传染目标时放入宿主程序中的病毒程序大部分都是可变的，即在搜集到同二种病毒的多个样本中病毒种序的代码绝大多数是不同的，这是此类病毒的重要特点。正足由于这二特点，传统的利用特征码检侧病毒产品的方法不能检测出此类病毒。据资料介绍，此类病毒的首创者是 Mark Washbum，他井不是病毒的有意制造者，而是一位反病毒的技术专家他编写的 1260 病毒就是一种变形病毒。此病毒于 l990 年 1 月问世。有极强的传染力，被传染的文件被加密，每次传染时都更换加密密钥，而且病毒程序都进行了相当大的改动。他编写此类病毒是为了研究的目的，他将此类病毒散发给他的同

12、事，其目的是为了向他们证明特征代码检侧法不是在任何场合下都是有效的。然而，遗撼的是，为研究病毒而发明的此种病毒超出了反病毒的技术范围，而变成了制造病毒的技术。1992 年上半年在保加利亚发现了黑夜复仇者（ DarkAvenger ）病街的变种“ MutationoDark Avenger。这是世界上最早发现的多态性的实战病毒，它可用独特的加密算法产生几乎无数的不同形态的同一病毒据悉该病毒作者还散布了一种名为“多态性发发生器”的软件工具，利用此工其对将普通病毒进行编译即可使之变为多态性病毒。我国在 1994 年底就发现了变形病毒“幽灵”病毒迫使许多反病毒技术部门开发了相应的检测和杀毒产品。由此可

13、见，第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展，病毒开始向多维化方向发展，即传统病毒传染的过程与病毒自身运行的时间和空间无关，而新型计算机病毒的传染过程则与病毒自身运行的时间、空间和宿主程序紧密相关，这无疑将使计算机病毒的检侧和消除变得更加困难。4、第四代病毒20 世纪 90 年代中后期，随着远程网及远程访问服务的开通病毒的流行面更加广泛，其范围迅速突破地域的限制，首先通过广城网传播至局城网内，再在局域网内传播扩散。1996 年下半年随着我国 Internet 和 Email 使用的普及，夹杂于 Email 内的 Word 宏病毒己成为当前病毒的主流。由于宏病毒编

14、写简单，破坏性强，清除困难。加上徽软对 DOC 文档结构没有公开，因而给直接基于文档结构清除宏病毒的方法带来了诸多不便。从某种意义上讲，微软 Word Basic 的公开性以及 DOC 文档结构的封闭性，使宏病毒对文档的破坏己经不仅仅属于普通病毒的范畴。如果放任宏病毒泛滥，不采取有力的彻底解决方法，将会对信息产业产生不测的后果。这一时期病毒的最大特点是利用 Internet 作为主要传播途径，因而病毒传播快，隐蔽性强，破坏性大。此外，随着 Windows 95 的应用，出现了 Windows 环境下的病毒。这些部给病毒防治和传统 DOS 版杀毒软件带来了新的挑战。诚然，计算机病毒的发展必然会促

15、进计耸机反病毒技术的发展，也就是说新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战，致使原有的反病毒技术和产品在新型计算机病毒面前无能为力。从而势必使人们认识到现有反病毒产品在对抗新型计算机病毒方面的局限性迫使人们对反病毒技术和产品进行更新换代。到目前为止，反病毒技术己经成为计算机安全的一种新兴的计算机产业或称反病毒工业5、第五代病毒跨入 21 世纪后，随着计算机软硬件技术的发展和在学习、生话、工作中的空前普及以及互联网的不断成熟，计算机病毒在技术，传播和表现形式上都发生了很多变化。以往需要几个月甚至几年才能

16、传播开的病毒，现在只需几个小时就可以遍及全球的每个角落。新病毒的出现经常会形成一个重大的社会事件。这对从事反病毒工作的专家和企业来讲提高反应速度、完善反应机制成为阻止病毒传播和企业生存的关键。二、根据病毒的特点划分1、DOS 引导型病毒1987 年，计算机病毒主要是引导型病毒，具有代表性的是“石头”病毒。当时的计算机需要通过软盘启动后使用，引导型病毒利用软盘的启动原理工作。它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。1989 年，引导型病毒发展为可以感染硬盘，代表有“石头”病毒。2、DOS 可执行阶段病毒198

17、9 年，可执行文件型病毒出现，它们利用 DOS 系统加载执行文件的机制工作，代表为“耶路撒冷”，“星期天”病毒，病毒代码在系统执行文件时取得控制权，修改 DOS 中断，在系统调用时进行传染，并将自己附加在可执行文件中， 使文件长度增加。1990 年，发展为复合型病毒，可感染 COM 和 EXE 文件。3、伴随、批次型阶段病毒1992 年，伴随型病毒出现，它们利用 DOS 加载文件的优先顺序进行工作， 具有代表性的是“金蝉”病毒，它感染 EXE 文件时生成一个和 EXE 同名但扩展名为 COM 的伴随体。它感染文件时,改原来的 COM 文件为同名的 EXE 文件，再产生一个原名的伴随体，文件扩展

18、名为 COM，这样，在DOS 加载文件时，病毒就取得控制权。这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非 DOS 操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工作在DOS 下的和“海盗旗”病毒类似的一类病毒。4、变形型病毒1994 年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成， 这些方式的组合使一段看似随机的代码产生相同的运算结果。它有一个特点，就是病毒体程序都是静态的。这些变形技术实际上就是单纯地依靠加密手

19、段对病毒体进行保护，也就是说无论密钥如何变化，对于静态的病毒体，只要破译了解密器，解密后得到的原始病毒体代码就被打回成本来面目。5、生成机病毒1995 年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关指令，也不影响运算的结果，这样一段解码算法就可以由生成器生成，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器” ，而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出成千上万种不同的病毒，查解时就不能使用传统的特征识别法，需要在宏观上分析指令，解码后查解病毒。6、网络蠕虫病毒19

20、95 年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在非 DOS 操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。7、Windows 阶段随着 Windows 和 Windows95 的日益普及，利用 Windows 进行工作的病毒开始发展，它们修改（NE,PE）文件，典型的代表是 DS.3873，这类病毒的机制更为复杂，它们利用保护模式和 API 调用接口工作，解除方法也比较复杂。8、宏病毒1996 年，随着 Windows Word 功能的增强

21、，使用 Word 宏语言也可以编制病毒，这种病毒使用类 Basic 语言、编写容易、感染 Word 文档等文件，在 Excel 和AmiPro 出现的相同工作机制的病毒也归为此类，由于Word 文档格式没有公开， 这类病毒查解比较困难。9、因特网病毒1997 年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，机器就有可能中毒。10、Java、邮件炸弹阶段1997 年，随着万维网上 Java 的普及，利用 Java 语言进行传播和资料获取的病毒开始出现。具有代表性的是 JavaSnake 病毒。此外还有一些利用邮件服务器进行传播

22、和破坏的病毒，例如 Mail-Bomb 病毒，该病毒严重影响到了因特网的效率。11、跨平台病毒2006 年，卡巴斯基全球反病毒监测网发现了了一个特别的病毒:Bi 病毒（Parasite.Bi）。该病毒是全球首个能够同时感染 Windows 系统和 Linux 系统下文件的跨平台病毒。该病毒采用汇编语言编写，通过感染可执行文件传播。病毒运行后将搜寻当前目录下所有的可执行文件，并试图感染它们。该病毒既可以感染 Windows 下的 PE 格式可执行文件，也可以感染 Linux 下 ELF 格式可执行文件， 是全球首个可以同时感染这两个系统的跨平台病毒。这个病毒为实验性质，破坏能力有限，但是一旦该病

23、毒的源代码公开，将有可能衍生出危害性很强的变种病毒。第三节 计算机病毒的特征和分类一、计算机病毒的特征计算机病毒各种各样，其特征各异，但可概括为一下特征：传染性计算机病毒的传染性是指病毒具把自身复制到其他程序的能力。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行， 它会搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。正常的计算机程序一般是不会将自身的代码强行链接到其他程序上的。因此是否具有传染性是判别一个程序是否为计算机病毒的最重要的条件之一。非授权性一般正常的程序是由用户调用，再由系统分配资源，完成用户交代的任务。对用户是可见的、透明的。而病毒是未经用

24、户允许或是以欺骗形式执行的，因此对系统而言是未授权的。隐蔽性计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中 ,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。 潜伏性计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后不立即发作， 而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。破坏性无论何种病毒程序一旦侵

25、入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据 ,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。不可预见性不可预见是对病毒的检测来说的，不同病毒的代码千差万别的。可触发性计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制，使之进行传染，或者激活病毒的表现部分或破坏部分。触发的实质是一种

26、条件的控制，病毒程序可以依据设计者的要求，在一定条件下实施攻击。这个条件可以是敲入特定字符，使用特定文件，某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。二、计算机病毒的类型1、按照计算机病毒攻击的操作系统来分类攻击 DOS 系统类病毒、Windows 系统类病毒、UNIX 类病毒、OS/2 系统类病毒，手机病毒等。2、按照计算机病毒攻击类型来分类攻击微型计算机病毒、小型计算机病毒、工作站病毒等。3、按照计算机病毒链接方式来分类源码型病毒、嵌入型病毒、shell 病毒、译码型病毒、操作系统型病毒等等。4、按照计算机病毒的破坏程度来分类良性病毒：除了传染时减少磁盘的可用空间外，对系

27、统没有其它影响。恶性病毒：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。5、按照寄生方式和传染途径类型来分类引导型病毒利用操作系统的引导模块放在某个固定区域，并且控制权的转接方式是以物理地址为依据，而不是以操作系统引导区的内容作为依据，因而病毒占据该物理位置即可获得控制权。文件型病毒文件型病毒寄生在其他文件中，常常通过对病毒的编码加密或是使用其他技术来隐藏自己。引导型兼文件型病毒该病毒利用文件感染时伺机感染引导区，因而具有双重的传播能力。第二章计算机病毒的检测方法和防范技术第一节 计算机病毒入侵的途径要想熟悉检测方法必须先了解计算机病毒入侵的方式，随着计算机技术的不断发展，

28、病毒入侵的途径也不断更新改变。可移动的存储设备移动硬盘，u 盘，光盘传染是重要的渠道, 由于带有病毒的存储工具移到其它地方使用、维修等, 将干净的计算机传染并再扩散。对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中， 不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。 通过网络 这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着 Internet 的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet 带来两种不同的安全威胁，一种威

29、胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数 Internet 邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。第二节 计算机病毒的检测方法根据计算机病毒的特点，人们找到了许多检测计算机病毒，但是任何一种检测方法都不是万能的，综合运用这些检测方法在此基础上根据病毒的特点才能准确地发现病毒。一、外观检测法病毒侵入系统之后，会使计算机系统的某些部分发生变化，引起一些异常现象。我们可以根据这些异常现象来尽早判断病毒的存在，并且发现病毒。屏幕

30、显示异常出现异常滚动，或是有规律的异常现象：异常图形、字符不全、无光标显示等等。键盘工作异常无法使用，键盘功能偷换。声音异常计算机的蜂鸣器出现异常声响，异常地发成声音或音乐。外部设备异常，如打印机。打印机打印速度降低或失控。系统工作异常系统工作速度降低，磁盘引导出现死机现象，计算机存储系统的存储设备容量异常减少，或出现不能存入读写现象。文件异常丢失文件，文件长度发生变化，出现莫名其妙的文件，文件的属性发生变化等等。二、特征代码法一种病毒可能感染很多文件或系统的多个地方，并且在每个被感染的文件 中，病毒程序所在的位置也不同，但是计算机病毒程序一般具有明显的特征代码， 这些特征代码，可能是病毒的感

31、染标记。特征代码不一定是连续的，也可以用一些通配符或模糊代码来表示任意代码，只要是同一种病毒，在任何一个被该病毒感染的文件或计算机中，总能找到这些特征代码。特征代码法的实现步骤：采集病毒样本；在病毒样本中抽取特征代码；将特征代码纳入病毒数据库；打开被检测文件，在计算机系统搜索，检查计算机系统中是否含有病毒数据库中的病毒特征代码。三、系统数据对比法对比法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如 DEBUG 的 D 命令输出格式）进行比较，或用程序来进行比较（如 DOS 的 DISKCOMP/FC 或 PCTOOLS 等其它软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规 DOS 软件和 PCTOOLS 等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠对比法和分析法，有时必须结