1、 專 科 生 畢 業 論 文 學 院 商丘職業技術學院 專 業 計算機應用技術 屆 別 2012屆 題 目 淺談計算機病毒的正確防御探討 學生姓名 潘靜 學 號 20081630227 指導教師 張曉軍 目錄前言.2 一、計算機病毒概述.3 1.1 計算機病毒的特點.3 1.2 計算機病毒所采用的技術.3二、計算機病毒對系統的危害.4 2.1 病毒直接對計算機數據信息進行破壞.4 2.2 破壞磁盤的引導區.4 2.3 搶占系統資源.4 2.4 影響計算機運行速度.4 2.5 計算機病毒對系統兼容性的影響.4 2.6 計算機病毒在經濟方面的危害.43、 計算機病毒的防御方法.5 3.1 設計病毒

2、階段的防御措施.5 3.2 病毒傳播階段的防御措施.5 3.3 病毒運行階段的防御措施.54、 非授權web訪問.65、 總結與展望.6前言摘要：隨著計算機在工作已經生活中進一步廣泛的應用，計算機病毒的危害也在與日俱增。如何正確防范計算機病毒是一個長期而艱巨的課題，計算機病毒大部分都采用了反代碼分析、欺騙隱身、規避檢測以及暴力對抗等先進技術對抗安全軟件，反病毒技術與計算機病毒之間的斗爭將更加激烈。 計算機病毒借助網絡的發展，呈現出爆發流行的趨勢，如cih病毒、“愛蟲”病毒，曾經給廣大的計算機用戶帶來極大的損失。計算機病毒一旦侵入沒有副本的文件，并進行破壞后，可能導致數據丟失，造成嚴重的后果。計

3、算機病毒的隱蔽性和多態性使用戶難以檢測。在用戶與計算機病毒的斗爭中，如果用戶能采取有效的防范措施，可以使系統中毒的幾率降到最低，并減少病毒造成的損失。1 計算機病毒概述計算機病毒可以通過復制自身來感染其他軟件的程序。當被感染的程序運行時，嵌入在其中的病毒也隨之運行并有可能感染其他程序。少數病毒不會對系統或數據產生危害，但更多的病毒攜帶毒碼，一旦被事先設定好的環境所激發，就可以感染和破壞系統。計算機病毒防御，是通過建立有效的計算機病毒防范體系和制度，第一時間發現計算機病毒侵入，并立即采取有效的措施阻止計算機病毒的傳播和破壞，并恢復受影響的系統和數據。計算機病毒防御工作，首先是防御體系的建設和制度

4、的建立。只有一個完善的防范體系和制度，才能有效的將病毒擋在系統大門之外。1.1 計算機病毒的特點狹義的計算機病毒是指將自身嵌入其他程序或文件的一種程序，廣義的計算機病毒包括邏輯炸彈，特洛伊木馬以及系統陷阱入口等等。計算機病毒雖是一個很小的程序，但它和普通的計算機程序有很大不同，并且具有以下特點：1) 計算機病毒有自我復制的功能，并且可以隱藏在合法程序的內部，并隨著用戶的操作而不斷地進行自我復制。2) 計算機病毒能破壞系統程序或系統數據，并且有可能造成硬件設備的損壞。3) 計算機病毒不像生物病毒一樣自然產生，它是由人為故意編制而成，并且為了達成一定的目的，如灰鴿子軟件，既可用于遠程控制，也可作為

5、病毒。4) 計算機病毒有潛在的破壞能力。在系統遭受病毒感染后，病毒一般不會立即發作，而是潛藏在系統中，等滿足病毒中設置的條件時，則立即發作，給系統帶來災難性的破壞。5) 計算機病毒具有傳染性，通過非法拷貝或網絡進行傳染。計算機病毒通常附著在其他軟件上，在病毒發作時，有一些病毒是進行自我復制，并在一定條件下通過網絡、u盤等傳染給其他計算機，另一部分則在特定條件下執行某種特殊的行為。1.2 計算機病毒所采用的技術反病毒技術與計算機病毒在激烈的斗爭中各自不斷的發展。行為判斷(generic)、啟發式殺毒(heuristic)、特征碼掃描、入侵保護系統(hips)、主動防御(proactive def

6、ense)、網絡防火墻等安全產品的應用越來越廣泛，但是計算機病毒技術在攻防大戰中不斷升級，病毒技術更加復雜，普遍具備對抗性、欺騙性等特點。以下分析病毒的工作原理，為正確防治病毒做好準備。1) 反代碼分析，代碼分析師通過逆向工程來分析病毒樣本、提取病毒的特征碼、破解病毒的行為，是檢測、防范和清除的前提基礎。為了避開被反病毒軟件檢測出來，病毒從一開始就試圖通過各種手段避開代碼分析，包括：加密加殼，現在的病毒普遍采用了加殼(packer)的技術，在壓縮文件長度的同時，轉換病毒的特征碼，以規避安全軟件的檢測；反內存瀉出，通過自解除封鎖、二進制代碼模糊處理、頁面重定向方式等技術手段來針對內存瀉出；反調試

7、技術；虛擬機檢測技術。2) 規避檢測技術，病毒軟件并不修改系統，而是通過各種方式來避開檢測，使安全軟件無法檢測其存在，包括：特殊文件格式，病毒采用特殊的文件格式使其存在于系統中，利用系統的文件系統缺陷使其對系統透明，如ntfs的交替數據流技術；多媒體文件鏈接，病毒被嵌入到圖片、音頻、視頻等文件中，病毒不以文件的方式存放于磁盤上，從而繞過安全軟件的哈希過濾器和字符串匹配檢測；駐留磁盤扇區，病毒通過駐留在磁盤扇區，而不以文件的形式存在，安全軟件對其無法檢測；冒充系統文件，病毒程序運行的過程中以系統程序的身份運行，達到混淆視聽的目的。3) 欺騙隱身技術，病毒使用先進、底層的技術，通過修改系統的參數結

8、構，并設置系統鉤子( hook )，隱藏進程、文件、注冊表項、服務、鍵值和通信端口，使系統對其不可見（stealth）。4) 暴力對抗技術，安全軟件和病毒使用同樣的技術，病毒針對殺毒軟件的特點所采取的暴力手段進行反制，破解殺毒軟件的防護，包括：終止殺毒軟件運行，通過findwindowa來查找殺毒軟件在系統中的窗口句柄，并使用sendmessage函數來發送關閉消息，以達到關閉殺毒軟件的目的；鏡像劫持，通過修改注冊表鍵值，使殺毒軟件不能正常運行。2 計算機病毒對系統的危害在計算機病毒感染宿主計算機后，會對宿主計算機的系統安全，數據安全造成極大的危害，包括系統崩潰，數據丟失，網上銀行賬戶被盜等。

9、2.1 病毒直接對計算機數據信息進行破壞大多數病毒在激活的時候會對計算機系統的重要數據信息進行直接破壞，通過利用各種技術手段如：格式化磁盤、刪除重要文件、用垃圾數據改寫數據文件、破壞cmos設置、修改文件分配表和目錄區等。此類病毒如典型的磁盤殺手（disk killer）在感染后，會改寫硬盤數據。2.2 破壞磁盤的引導區引導型病毒通過病毒本身占據磁盤的引導扇區，而將原有的引導區轉移到其他扇區，也就是覆蓋原有的引導區。被覆蓋的引導區數據將會永久性丟失，而無法恢復，對系統的危害非常大，可能導致系統的崩潰。2.3 搶占系統資源除了少數病毒如vienna、casper之外，大部分病毒都是常駐內存中的，

10、這就導致系統資源的浪費。病毒在內存中所占用的空間與病毒本身長度相當，在病毒搶占內存空間后，導致內存空間減少，一部分軟件因為缺乏內存而無法運行，正在運行的軟件因為cpu占用而變慢。病毒除了搶占內存外，還會搶占中斷系統，從而干擾系統的運行。操作系統很多的系統功能都是通過中斷調用來實現的。病毒為了自我傳播，會修改一些有關的中斷地址，從而在正常的系統中斷中，加入病毒，達到傳播的目的。2.4 影響計算機運行速度病毒在內存中駐留后，不但干擾系統運行，占用內存空間，同時也影響系統運行速度。首先，病毒為了觸發傳染條件，會一直對計算機的運行狀態進行監控，這必然導致系統運行速度減緩。其次，有些病毒在磁盤上以靜態加

11、密數據的狀態保持，在加載到內存中后，會動態的處于加密狀態，cpu每次在運行病毒代碼前，都必須將這段代碼重新解密，這樣就增加了數千條甚至上萬條cpu指令。再次，病毒在傳染的同時要插入非法的額外操作，必然占用cpu的運行時間。2.5 計算機病毒對系統兼容性的影響由于計算機系統中存在多種軟件，兼容性稱為計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環境下運行，反之，兼容性差的軟件則容易造成系統內存泄露，軟件異常退出等問題，對計算機正常運行造成不利的影響。因為病毒不會在各種計算機環境下進行測試，所以病毒的兼容性較差，常常會導致計算機死機。2.6 計算機病毒在經濟方面的危害由于電子商務的發展，

12、在網上購物的人也越來越多，計算機病毒會對網上銀行賬戶造成極大的威脅，并可能竊取網上銀行的密碼，對計算機用戶造成巨大的經濟損失。 3 計算機病毒的防御方法要正確的防御計算機病毒帶來的威脅，必須建立健全的計算機安全體系，養成良好的計算機使用方法，定期的更換安全賬戶的密碼等。計算機病毒與普通的生物病毒一樣，也有一定的生命周期，包括四個部分：利用漏洞設計病毒、病毒潛伏和傳播、病毒運行、反病毒軟件查殺。通過了解軟件病毒的生命周期，從而更好的對其進行預防。3.1 設計病毒階段的防御措施計算機病毒軟件在設計階段，會根據現有系統中的漏洞，來對計算機系統進行攻擊。在本階段的防御工作主要包括：1) 使用正版的系統

13、軟件。由于正版軟件授權需要一定的費用，盜版軟件在市場上橫行，這在一定程度上助長了計算機病毒的傳播和發展。盜版系統軟件一般得不到廠商的有效技術支持，從而無法更新系統中的漏洞補丁，這給計算機病毒的傳播留下了巨大的空間。如果使用正版軟件，系統可以得到有效的更新，則計算機病毒在一定程度上無法侵入系統，這在系統級別上給用戶以安全保證。2) 及時更新系統漏洞補丁，大部分計算機病毒通過掃描系統漏洞，來對計算機系統進行攻擊。如果用戶及時更新系統安全補丁，則計算機病毒無法對系統進行有效的侵入，阻止了病毒對系統的進一步危害。3.2 病毒傳播階段的防御措施病毒之所以能大規模的爆發，一方面由于病毒利用了系統的安全漏洞

14、，另一方面在于用戶對計算機系統的使用方式。如果能正確的使用計算機，則能極大的降低病毒對計算機系統的感染幾率。本階段可以采用以下方式進行防御：1) 安裝正版的殺毒軟件。2) 不訪問陌生的、不安全的網站。3) 不運行網上不規范的可執行程序。3.3 病毒運行階段的防御措施如果計算機病毒已經侵入到計算機系統中，則用戶為了避免進一步的損失，應該及時對系統中的關鍵數據進行備份，并利用殺毒軟件對計算機病毒進行查殺，盡可能的將損失降低。代理防火墻的攻擊 代理防火墻運行在應用層,攻擊的方法很多。這里就以wingate為例。 wingate是以前應用非常廣泛的一種windows95/nt代理防火墻軟件，內部用戶可以通過一臺安裝有wingate的主機訪問外部網絡，但是它也存在著幾個安全脆弱點。 黑客經常利用這些安全漏洞獲得wingate的非授權web、socks和telnet的訪問，從而偽裝成wingate主機的身份對下一個攻擊目標發動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。 導致wingate安全漏洞的原因大多數是管理員沒有根據網絡的實際情況對wingate代理防火墻軟件進行合理的設置，只是簡單地從缺省設置安裝完畢后就讓軟件運行，這就讓攻擊者可從以下幾個方面攻擊： 4非授權web訪問 某些wingate版本（如運行在nt系統下的2.1d版本）在誤配置