計算機病毒解析與防范論文畢業(yè)論文

1、<p><b>　　本科畢業(yè)論文</b></p><p>　　論文題目： 計算機病毒解析與防范 </p><p>　　學生姓名： XXX </p><p>　　學號： XXXXXXXXXXXX </p><p>　　專業(yè)：

2、 計算機科學與技術 </p><p>　　指導教師： XXX </p><p>　　學 院： </p><p>　　XXX年 X 月 X 日</p><p>　　畢業(yè)論文（設計）內容介紹</p><p>　

3、　計算機病毒解析與防范</p><p><b>　　李靜文</b></p><p>　?。ㄉ綎|師范大學歷山學院計算機科學與技術2008級1班）</p><p>　　摘要：計算機病毒被喻為21世紀計算機犯罪的五大手段之一，并排序為第二。計算機病毒的攻擊性，在于它能夠破壞各種程序并蔓延于應用領域。目前世界上上億用戶受著計算機病毒的困擾，有些還陷入極

4、度的恐慌之中。因為計算機病毒不僅破壞文件，刪除有用數據，還可導致整個計算機系統癱瘓，給計算機用戶造成了巨大的損失。事實上人們產生上述不安的主要原因，在于對計算機病毒的誤解，廣大計算機用戶有必要對計算機病毒的一些知識有比較明確的認識和全面的科學態(tài)度。</p><p>　　關鍵詞：計算機病毒；解析；防范措施。</p><p><b>　　中圖分類號：</b></p&

5、gt;<p>　　Analysis and Prevention of Computer Viruses</p><p>　　Li Jingwen</p><p>　　(School of Li Shan, Shandong Normal University)</p><p>　　Abstract: Computer viruses are kno

6、w as the five ways for computer crimes in the 21st century and always stand at the secong place of the five.The harmfulness of the viruses is the production of various destructive programs and its quick pervasion into o

7、ther fields.Now millions of users are frequently harassed by the viruses and some are extremely frightened， because computer viruses not only undermine the file, delete the useful data, but also lead to paralysis of the

8、entire computer system to</p><p>　　Key words: Computer viruses;analyze;measure.</p><p><b>　　1. 引 言</b></p><p>　　隨著計算機時代的來領，我們進入了信息社會。計算機雖然給人們的工作和生活帶來了便利和效率，然而計算機系統并不安全。計

9、算機病毒就是最不安全的因素之一，它會造成資源和財富的巨大損失，人們稱計算機病毒為“21世紀最大的禍患”。目前由于計算機軟件的脆弱性與互聯網的開放性，我們將與病毒長期共存。因此，研究計算機病毒及防范技術具有重要意義。（1）基于“視窗”的計算機病毒越來越多； （2）新病毒層出不窮，感染發(fā)作有增無減； （3）網絡成為計算機病毒傳播的主要媒介；（4）病毒的破壞性不斷增加。近年來，中國計算機病毒的發(fā)病率高達55%。特別是在互聯網時代，病毒的傳播范

10、圍越來越廣。目前的計算機病毒廠商的消除方面，都是發(fā)現新一個病毒后，立即分析它的運行機制，感染原理，編制程序進行查殺，最后加入到反病毒軟件中，或放在網上供用戶下載。</p><p>　　2. 計算機病毒的解析</p><p>　　2.1計算機病毒的定義及特征</p><p>　　.計算病毒的定義 </p><p>　　計算機病毒（Comput

11、er Virus）在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。與醫(yī)學上的“病毒”不同，計算機病毒不是天然存在的，是某些人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質（或程序）里，當達到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或

12、者可能演化的形式放入其他程序中，從而感染其他程序，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大[1]！</p><p>　　圖1 計算機病毒的結構</p><p><b>　　.計算機病毒的特征</b></p><p><b>　?。?）繁殖性</b></p><p>　

13、　計算機病毒可以像生物病毒一樣進行繁殖，當正常程序運行的時候，它也進行運行自身復制，是否具有繁殖、感染的特征是判斷某段程序為計算機病毒的首要條件。 </p><p><b>　?。?）傳染性</b></p><p>　　計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產生變種，其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界，病毒通過傳染從

14、一個生物體擴散到另一個生物體。在適當的條件下，它可得到大量繁殖，并使被感染的生物體表現出病癥甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒

15、，如不及時處理，那么病毒會在這臺電腦上迅速擴散，計算機病毒可通過各種可能的渠道，如軟盤、硬盤、移動硬盤、計算機網絡去傳染其他的計算機。當您在一臺機器上發(fā)現了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。 </p><p><b>　　（3）潛伏性 </b></p>

16、<p>　　有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。一個編制精巧的計算機病毒程序，進入系統之后一般不會馬上發(fā)作，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續(xù)危害。潛伏性的第二種表現是指，計算機病毒的內部往往有一種觸發(fā)機制，不滿足觸發(fā)條件時，計算

17、機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執(zhí)行破壞系統的操作，如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。 </p><p><b>　?。?）隱蔽性</b></p><p>　　計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現、變化無常，這類病

18、毒處理起來通常很困難。 </p><p><b>　　（5）破壞性</b></p><p>　　計算機中毒后，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞。通常表現為：增、刪、改、移。 </p><p><b>　　（6）可觸發(fā)性</b></p><p>　　病毒因某個事件

19、或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時，觸發(fā)機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；

20、如果不滿足，使病毒繼續(xù)潛伏。</p><p>　　2.2計算機病毒的分類</p><p>　　根據多年對計算機病毒的研究，按照科學的、系統的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據下面的屬性進行分類：</p><p>　　一、按病毒存在的媒體</p><p>　　根據病毒存在的媒體，病毒可以劃分

21、為網絡病毒，文件病毒，引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執(zhí)行文件，文件病毒感染計算機中的文件（如：COM，EXE，DOC等），引導型病毒感染啟動扇區(qū)（Boot）和硬盤的系統引導扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規(guī)的辦法侵入系統，同時使用了加密和變形算法。 </p><p>　　二、按病毒傳

22、染的方法</p><p>　　根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內存駐留部分放在內存（RAM）中，這一部分程序掛接系統調用并合并到操作系統中去，他處于激活狀態(tài)，一直到關機或重新啟動.非駐留型病毒在得到機會激活時并不感染計算機內存，一些病毒在內存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。 </p><p>　　

23、三、按病毒破壞的能力</p><p>　　無害型：除了傳染時減少磁盤的可用空間外，對系統沒有其它影響。 </p><p>　　無危險型：這類病毒僅僅是減少內存、顯示圖像、發(fā)出聲音及同類音響。 </p><p>　　危險型：這類病毒在計算機系統操作中造成嚴重的錯誤。 </p><p>　　非常危險型：這類病毒刪除程序、破壞數據、清除系統內存區(qū)和

24、操作系統中重要的信息。這些病毒對系統造成的危害，并不是本身的算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數據丟失

25、[4]。 </p><p><b>　　四、按病毒的算法</b></p><p>　　伴隨型病毒，這一類病毒并不改變文件本身，它們根據算法產生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE

26、文件。 </p><p>　　“蠕蟲”型病毒，通過計算機網絡傳播，不改變文件和資料信息，利用網絡從一臺機器的內存?zhèn)鞑サ狡渌鼨C器的內存，計算網絡地址，將自身的病毒通過網絡發(fā)送。有時它們在系統存在，一般除了內存不占用其它資源。 </p><p>　　寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區(qū)或文件中，通過系統的功能進行傳播，按其算法不同可分為：練習型病

27、毒，病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段[3]。 </p><p>　　詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數據，而是通過設備技術和文件緩沖區(qū)等DOS內部修改，不易看到資源，使用比較高級的技術。利用DOS空閑的數據區(qū)進行工作。 </p><p>　　變型病毒（又稱幽靈病毒）這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是

28、一段混有無關指令的解碼算法和被變化過的病毒體組成。</p><p>　　2.3計算機病毒的癥狀</p><p>　　計算機病毒的一般癥狀：</p><p>　　1.計算機系統運行速度減慢。 </p><p>　　2.計算機系統經常無故發(fā)生死機。 </p><p>　　3.計算機系統中的文件長度發(fā)生變化。 </p&

29、gt;<p>　　4.計算機存儲的容量異常減少[5]。 </p><p>　　5.系統引導速度減慢。 </p><p>　　6.丟失文件或文件損壞。 </p><p>　　7.計算機屏幕上出現異常顯示。 </p><p>　　8.計算機系統的蜂鳴器出現異常聲響。 </p><p>　　9.磁盤卷標發(fā)生變化

30、。 </p><p>　　10.系統不識別硬盤。 </p><p>　　11.對存儲系統異常訪問。 </p><p>　　12.鍵盤輸入異常。 </p><p>　　13.文件的日期、時間、屬性等發(fā)生變化。 </p><p>　　14.文件無法正確讀取、復制或打開。</p><p>　　15.命

31、令執(zhí)行出現錯誤。 </p><p><b>　　16.虛假報警。 </b></p><p>　　17.換當前盤。有些病毒會將當前盤切換到C盤。 </p><p>　　18.時鐘倒轉。有些病毒會命名系統時間倒轉，逆向計時。 </p><p>　　19.WINDOWS操作系統無故頻繁出現錯誤。 </p><

32、;p>　　20.系統異常重新啟動。 </p><p>　　21.一些外部設備工作異常。 </p><p>　　22.異常要求用戶輸入密碼。 </p><p>　　23.WORD或EXCEL提示執(zhí)行“宏”。 </p><p>　　24.使不應駐留內存的程序駐留內存。</p><p><b>　　3. 防火

33、墻技術</b></p><p>　　3.1 防火墻的定義</p><p>　　所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵

34、入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成，防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。 </p><p>　　圖2 防火墻位置示意圖</p><p>　　3.2 防火墻的類型</p><p>　　（1）網絡層防火墻 </p><p>　　網絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 T

35、CP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置的規(guī)則。 </p><p>　　我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。 </p><p

36、>　　較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。</p><p>　　（2）應用層防火墻 </p><p>　　應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用 FT

37、P 時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。 </p><p>　　防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。 </p>

38、;<p>　　XML 防火墻是一種新型態(tài)的應用層防火墻。</p><p>　　3.3 防火墻的基本特性</p><p>　　內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻 </p><p>　　這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網內部網絡不受侵害。 <

39、;/p><p>　　根據美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網絡系統的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間連接、和其它業(yè)務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。 &l

40、t;/p><p>　　典型的防火墻體系網絡結構如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內部的局域網，而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。 </p><p>　　只有符合安全策略的數據流才能通過防火墻 </p><p>　　防火墻最基本的功能是確保網絡流量的合法性，并在此前提下將網絡的流量快速的從一條鏈路轉發(fā)到另外的鏈路上去。

41、從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網絡接口，同時擁有兩個網絡層地址。防火墻將網絡上的流量通過相應的網絡接口接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網絡接口>=2）轉發(fā)設備，它跨接于多個分離的物理網段

42、之間，并在報文轉發(fā)過程之中完成對報文的審查工作。如下圖[2]</p><p>　　圖3 防火墻自身應具有非常強的抗攻擊免疫力 </p><p>　　這是防火墻之所以能擔當企業(yè)內部網絡安全防護重任的先決條件。防火墻處于網絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統本身是關鍵，只有自身具有完

43、整信任關系的操作系統才可以談論系統的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。 </p><p>　　目前國內的防火墻幾乎被國外的品牌占據了一半的市場，國外品牌的優(yōu)勢主要是在技術和知名度上比國內產品高。而國內防火墻廠商對國內用戶了解更加透徹，價格上也更具有優(yōu)勢。防火墻產品中，國外主流廠商為思科（Cisco）、Che

44、ckPoint、NetScreen等，國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等，它們都提供不同級別的防火墻產品。</p><p><b>　　防火墻的優(yōu)點</b></p><p>　?。?）防火墻能強化安全策略。 </p><p>　?。?）防火墻能有效地記錄Internet上的活動。 </p><p

45、>　?。?）防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。 </p><p>　　（4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。</p><p>　　3.4 防火墻的功能</p><p>　　防火墻最基本的功能

46、就是控制在計算機網絡中，不同信任程度區(qū)域間傳送的數據流。例如互聯網是不可信任的區(qū)域，而內部網絡是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務在不同信任的區(qū)域。 典型信任的區(qū)域包括互聯網(一個沒有信任的區(qū)域) 和一個內部網絡(一個高信任的區(qū)域) 。 最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據最少特權原則。</p><p>　

47、　防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。</p><p><b>　　網絡安全的屏障</b></p><p>　　一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的

48、安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。 </p><p>&l

49、t;b>　　強化網絡安全策略</b></p><p>　　通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火墻一身上。 </p><p><b>　　監(jiān)控

50、網絡存取和訪問</b></p><p>　　如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發(fā)生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和

51、威脅分析等而言也是非常重要的。 </p><p><b>　　防止內部信息的外泄</b></p><p>　　通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部nger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shel

52、l類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。</p><p>　　4. 計算病毒的檢測</p><p><b>　　4.1外觀檢測法</b></p&

53、gt;<p>　　病毒侵入計算機系統后, 會使計算機系統的某些部分發(fā)生變化, 引起一些異?，F網絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如Fi象,如屏幕顯示的異常現象、系統運行速度的異常、打印機并行端口的異常、通信串行口的異常等等。我們可以根據這些異?，F象來判斷病毒的存在, 盡早地發(fā)現病毒, 并作適當處理。外觀檢測法是病毒

54、防治過程中起著重要輔助作用的一個環(huán)節(jié)[6]。 </p><p>　?。?）屏幕顯示異常</p><p><b>　?。?）聲音異常</b></p><p>　　（3）鍵盤工作異常</p><p>　?。?）打印機、軟驅等外部設備異常</p><p>　　（5）系統工作異常</p&g

55、t;<p><b>　?。?）文件異常</b></p><p><b>　　4.2比較法</b></p><p>　　主比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進行比較，或用程序來進行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。

56、這種比較法不需要專用的查計算機病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進行。而且用這種比較法還可以發(fā)現那些尚不能被現有的查計算機病毒程序發(fā)現的計算機病毒。因為計算機病毒傳播得很快，新的計算機病毒層出不窮，由于目前還沒有做出通用的能查出一切計算機病毒，或通過代碼分析，可以判定某個程序中是否含有計算機病毒的查毒程序，發(fā)現新計算機病毒就只有靠比較法和分析法，有時必須結合這兩者來一同工作[7]。</p>&l

57、t;p>　　使用比較法能發(fā)現異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內的程序代碼發(fā)生了變化。對硬盤主引導扇區(qū)或對DOS的引導扇區(qū)做檢查，比較法能發(fā)現其中的程序代碼是否發(fā)生了變化。由于要進行比較，保留好原始備份是非常重要的，制作備份時必須在無計算機病毒的環(huán)境里進行，制作好的備份必須妥善保管，寫好標簽，并加上寫保護。</p><p>　　比較法的好處是簡單、方便，不需專用軟件。缺點是無法確認計

58、算機病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進一步驗證，以查明是由于計算機病毒造成的，或是由于DOS數據被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質，以此來確證是否存在計算機病毒。另外，當找不到原始備份時，用比較法就不能馬上得到結論。從這里可以看到制作和保留原始主引導扇區(qū)和其它數據備份的重要性。</p><p><b>　　

59、4.3加總對比法</b></p><p>　　根據每個程序的檔案名稱、大小、時間、日期及內容，加總為一個檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個數據庫中，再利用此加總對比系統，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否感染了計算機病毒。一個很簡單的例子就是當您把車停下來之后，將里程表的數字記下來。那么下次您再開車時，只要比對一下里程表的數字，那么您就可以斷定是否有人偷開了您的

60、車子。這種技術可偵測到各式的計算機病毒，但最大的缺點就是誤判斷高，且無法確認是哪種計算機病毒感染的。對于隱形計算機病毒也無法偵測到[8]。</p><p><b>　　4.4分析法</b></p><p>　　一般使用分析法的人不是普通用戶，而是防殺計算機病毒技術人員。使用分析法的目的在于：　　1. 確認被觀察的磁盤引導扇區(qū)和程序中是否含有計算機病毒；　　2. 確

61、認計算機病毒的類型和種類，判定其是否是一種新的計算機病毒；　　3. 搞清楚計算機病毒體的大致結構，提取特征識別用的字節(jié)串或特征字，用于增添到計算機病毒代碼庫供計算機病毒掃描和識別程序用；　　4. 詳細分析計算機病毒代碼，為制定相應的防殺計算機病毒措施制定方案?！　∩鲜鏊膫€目的按順序排列起來，正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關計算機、DOS、Windows、網絡等的結構和功能調用以及關于計算機病毒方面的各種

62、知識，這是與其他檢測計算機病毒方法不一樣的地方[9]。</p><p>　　5. 計算機病毒的防范</p><p>　　5.1 日常簡單的防范措施</p><p>　　計算機病毒感染的傳播感染是需要借助各種載體實現的，所以日常良好的使用計算機的習慣往往能很好的防范計算機病毒的入侵。</p><p>　　(1)使用新軟件時, 先用殺毒程序檢查,

63、 可減少中毒機會。</p><p>　　(2)不要在互聯網上隨意下載軟件。病毒的一大傳播途徑, 就是Internet 。</p><p>　　(3)不要輕易打開來歷不明的郵件或軟件。</p><p>　　(4)重要的系統和文件應備份, 以便在遭到病毒入侵后, 可檢查、比對, 并可幫助及時清除病毒、恢復系統; 重要資料, 必須備份[8]。</p><

64、;p>　　(5)重要的文件盤和重要的帶后綴.COM 和.EXE 的文件賦予只讀功能, 避免病毒寫到磁盤上或可執(zhí)行文件中。</p><p>　　(6)選擇一款留駐型殺毒軟件，并及時更新病毒庫。</p><p>　　(7)及時更新系統漏洞，許多病毒可以通過系統漏洞攻擊計算機。</p><p>　　5.2 引導性病毒的預防</p><p>　

65、　引導型病毒一般在啟動計算機時, 優(yōu)先取得控制權, 強占內存。通常情況下, 只要盡量不用軟盤或用干凈的軟盤啟動系統, 是不會染上引導型病毒的。對軟盤進行寫保護, 可以很好的保護軟盤不被非法寫入, 從而不感染上引導型病毒。</p><p>　　預防引導型計算機病毒，通常采用以下一些方法：</p><p>　　（1）堅持從不帶計算機病毒的硬盤引導系統。</p><p>

66、　?。?）安裝能夠實時監(jiān)控引導扇區(qū)的防殺計算機病毒軟件，或經常用能夠查殺引導型計算機病毒的防殺計算機病毒軟件進行檢查。</p><p>　?。?）經常備份系統引導扇區(qū)。</p><p>　?。?）某些底板上提供引導扇區(qū)計算機病毒保護功能（Virus Protect），啟用它對系統引導扇區(qū)也有一定的保護作用。不過要注意的是啟用這功能可能會造成一些需要改寫引導扇區(qū)的軟件（如Windows 95

67、/98，Windows NT以及多系統啟動軟件等）安裝失敗。</p><p>　　考慮對硬盤進行寫保護, 它運行以后駐留內存,當有對硬盤的寫操作時, 將暫停程序執(zhí)行, 在屏幕上顯示當前將要操作的硬盤物理位置, 即磁頭號、磁盤號和扇區(qū)號, 等待用戶進行選擇。在對硬盤的寫操作很少的情況下, 最好把此程序放在主批處理的首部。</p><p><b>　　程序清單：</b>&

68、lt;/p><p>　　code segment</p><p>　　assume cs∶code ,ds∶code</p><p><b>　　org 100h</b></p><p>　　be :j mp i ntt</p><p>　　popp macro</p><p>

69、;<b>　　pop ds</b></p><p><b>　　pop es</b></p><p><b>　　pop di</b></p><p><b>　　pop si</b></p><p><b>　　pop dx</b>

70、</p><p><b>　　pop cx</b></p><p><b>　　pop bx</b></p><p><b>　　pop ax</b></p><p><b>　　popf</b></p><p><b>

71、　　end m</b></p><p><b>　　buff db 0</b></p><p>　　dat db ‘CH:’</p><p><b>　　ch1 db 0</b></p><p><b>　　ch2 db 0</b></p><p

72、><b>　　db ‘CL :’</b></p><p><b>　　c11 db 0</b></p><p><b>　　c12 db 0</b></p><p><b>　　db ‘DH:’</b></p><p><b>　　dh1

73、db 0</b></p><p><b>　　dh2 db 0</b></p><p>　　mseg db ‘請選擇 w/ r/ 空格’</p><p>　　ol dint13 dd 0</p><p><b>　　code ends</b></p><p>&l

74、t;b>　　end be</b></p><p>　　5.3文件型病毒的預防</p><p>　　凡是文件型病毒, 都要尋找一個宿主, 寄生在宿主“體內”, 然后隨著宿主的活動到處傳播。這些宿主基本都是可執(zhí)行文件?？蓤?zhí)行文件被感染, 其表現癥狀為文件長度增加或文件頭部信息被修改、文件目錄表中信息被修改、文件長度不變而內部信息被修改等[10]。</p><

75、;p>　　預防文件型病毒方法的核心就是使可執(zhí)行文件具有自檢功能, 在被加載時檢測本身的幾項指標———文件長度、文件頭部信息、文件內部抽樣信息、文件目錄表中有關信息。其實現的過程是在使用匯編語言或其他高級語言時, 先把上述有關的信息定義為若干大小固定的幾個變量, 給每個變量先賦一個值, 待匯編或編譯之后, 根據可執(zhí)行文件中的有關信息, 把源程序中的有關變量進行修改, 再重新匯編或編譯, 就得到了所需的可執(zhí)行文件。</p>

76、<p>　　對于文件型計算機病毒的防范，一般采用以下一些方法：　?。?) 安裝最新版本的、有實時監(jiān)控文件系統功能的防殺計算機病毒軟件?！　。?) 及時更新查殺計算機病毒引擎，一般要保證每月至少更新一次，有條件的可以每周更新一次，并在有計算機病毒突發(fā)事件的時候及時更新。　?。?）經常使用防殺計算機病毒軟件對系統進行計算機病毒檢查?！　。?）對關鍵文件，如系統文件、保密的數據等等，在沒有計算機病毒的環(huán)境下經常備份。　

77、　（5）在不影響系統正常工作的情況下對系統文件設置最低的訪問權限，以防止計算機病毒的侵害?！　。?）當使用Windows 95/98/2000/NT操作系統時，修改文件夾窗口中的確省屬性。具體操作為：鼠標左鍵雙擊打開“我的電腦”，選擇“查看”菜單中的“選項”命令。然后在“查看”中選擇“顯示所有文件”以及不選中”隱藏已知文件類型的文件擴展名”，按“確定”按鈕。注意不同的操作系統平臺可能顯示的文字有所不同。</p><

78、p><b>　　5.4宏病毒的預防</b></p><p>　　宏病毒（Macro Virus）傳播依賴于包括Word、Excel和PowerPoint等應用程序在內的Office套裝軟件，只要使用這些應用程序的計算機就都有可能傳染上宏病毒，并且大多數宏病毒都有發(fā)作日期。輕則影響正常工作，重則破壞硬盤信息，甚至格式化硬盤，危害極大。目前宏病毒在國內流行甚廣，已成為計算機病毒的主流，因此

79、用戶應時刻加以防范。　　通過以下方法可以判別宏病毒：　?。?） 在使用的Word中從“工具”欄處打開“宏”菜單，選中Normal.dot模板，若發(fā)現有AutoOpen、AutoNew、AutoClose等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就極可能是感染了宏病毒了，因為Normal模板中是不包含這些宏的?！?（2）在使用的Word“工具”

80、菜單中看不到“宏”這個字，或看到“宏”但光標移到“宏”，鼠標點擊無反應，這種情況肯定有宏病毒?！　。?）打開一個文檔，不進行任何操作，退出Word，如提示存盤，這極可能是Word中的Normal.dot模板中帶宏病毒?！?（4） 打</p><p>　　5.5個性化預防措施</p><p>　　病毒的感染總是帶有普遍性的或大眾化的, 以使感染的范圍盡可能廣, 所以有時一些個性化的處理可

81、能對病毒的預防或免疫具有非常好的效果。例如給一些系統文件改名( 或擴展名) 、對一些文件( 甚至子目錄) 加密, 使得病毒搜索不到這些系統文件。</p><p><b>　　6. 結束語</b></p><p>　　隨著計算機技術的不斷發(fā)展，計算機被應用于不同領域，病毒帶來的危害也變得越來越大。所以認識并學會計算機病毒的防范措施變得尤為重要。本論文圍繞著計算機病毒解析

82、與防范來寫，講述病毒的各種特征與表現，簡單的介紹了各種計算機病毒的防范措施。 </p><p><b>　　參考文獻</b></p><p>　　[1]百度百科[EB] 計算機病毒</p><p>　　[2]王偉,寧宇鵬等. 防火墻原理與技術[M].北京：機械工業(yè)出版社,2006.</p><p>　　[3]沈

83、國土.病毒與數據安全[M]．上海：上?？茖W技術出版社，2006.</p><p>　　[4]程勝利. 計算機病毒及其防治技術[M]． 北京： 清華大學出版杜，2004.</p><p>　　[5]張仁斌等．計算機病毒與反病毒技術[M].北京：清華大學出版社，2006.</p><p>　　[6]卓文健. 計算機病毒原理及防治[M]. 北京：北京郵電大學出版社,200

84、4.</p><p>　　[7]宋西軍. 計算機網絡安全技術[M].北京：北京大學出版社，2009.</p><p>　　[8]杜雷.計算機病毒解析與防范[J].硅谷，2008（22）：23-24.</p><p>　　[9]邢國春.淺談計算機病毒檢測與清除[J].長春師范學院學報，1997.</p><p>　　[10]（美）斯?jié)?計算機病

85、毒防范藝術[M].北京：機械工業(yè)出版社，2007.</p><p><b>　　指導教師意見</b></p><p>　　注：成績按優(yōu)、良、中、合格、不合格五級分制計。</p><p><b>　　評閱人意見 </b></p><p>　　注：成績按優(yōu)、良、中、合格、不合格五級分制計。</p&