計算機病毒畢業(yè)論文-- 計算機病毒解析與防范技術(shù)研究

1、<p>　　2013屆本科畢業(yè)論文(設(shè)計)</p><p>　　計算機病毒解析與防范技術(shù)研究</p><p>　　學 院：計算機科學技術(shù)學院 </p><p>　　專業(yè)班級：2008級維計算機科學與技術(shù)本科班 </p><p>　　學生姓名：

2、 </p><p>　　指導教師： </p><p>　　答辯日期： 2013年5月2日 </p><p><b>　　目 錄</b></p><p><b>　　1. 引言1</b><

3、;/p><p>　　1.1 選題意義1</p><p>　　1.2選題的研究現(xiàn)狀1</p><p>　　2.計算機病毒解析3</p><p>　　2.1計算機病毒的定義3</p><p>　　2.2 計算機病毒的特征3</p><p>　　2.3 計算機病毒的分類3</p>

4、<p><b>　　2.4 癥狀5</b></p><p>　　2.5 蠕蟲病毒舉例5</p><p>　　2.5.1蠕蟲概述6</p><p>　　2.5.2蠕蟲的結(jié)構(gòu)7</p><p><b>　　3．防范技術(shù)9</b></p><p><b&

5、gt;　　3.1防火墻9</b></p><p>　　3.1.1 防火墻的基本定義9</p><p>　　3.1.2 防火墻的類型9</p><p>　　3.1.3 防火墻的基本特性9</p><p>　　3.1.4 防火墻的基本功能10</p><p>　　3.2殺毒軟件的介紹10</p

6、><p>　　3.2.1殺毒軟件的定義10</p><p>　　3.2.2 常見的幾種殺毒軟件10</p><p>　　3.2.3 殺毒軟件的主要功能11</p><p>　　4.計算機病毒的檢測和預(yù)防12</p><p>　　4.1 計算機病毒的檢測12</p><p>　　4.2瑞星的

7、檢測過程12</p><p>　　4.3 計算機病毒的預(yù)防13</p><p>　　4.3.1特征判定技術(shù)14</p><p>　　4.3.2靜態(tài)判定技術(shù)14</p><p><b>　　參考文獻15</b></p><p><b>　　致謝1</b></p

8、><p>　　計算機病毒解析與防范技術(shù)研究</p><p>　　摘要:隨著計算機在社會生活各個領(lǐng)域的廣泛運用，以及電腦的普及和網(wǎng)絡(luò)的迅猛發(fā)展，計算機病毒呈現(xiàn)愈演愈烈的趨勢，嚴重地干擾了正常的人類社會生活，給計算機系統(tǒng)帶來了巨大的潛在威脅和破壞。目前，病毒已成為困擾計算機系統(tǒng)安全和計算機應(yīng)用的重大問題。為了確保信息的安全與暢通，從計算機病毒的概念入手，分析計算機病毒的內(nèi)涵及類型，并對計算機病毒來

9、源進行分析，最后介紹計算機病毒的主要防護措施。一般認為，計算機網(wǎng)絡(luò)系統(tǒng)安全運行的主要威脅來自計算機病毒的攻擊。因此，研究計算機病毒及其防范技術(shù)就顯得很有現(xiàn)實意義。</p><p>　　關(guān)鍵字 ：計算機 ；病毒 ；防范技術(shù)</p><p>　　ABSTRACTS:As the computer is widely used in social life each domain, and th

10、e rapid development of the popularization of computer and network, computer virus intensified trends, seriously interfere with the normal human social life, to the computer system are of great potential threat and destru

11、ction. At present, the virus has become a major problem in computer system security and computer application. In order to ensure information safety and smooth, from the concept of computer virus, analysis </p><

12、;p>　　Key words: Computer; Virus; Prevention Technology</p><p><b>　　引言</b></p><p><b>　　1.1 選題意義</b></p><p>　　隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，病毒等惡意程序?qū)W(wǎng)絡(luò)用戶帶來的麻煩和損失也越來越嚴重，因此網(wǎng)絡(luò)在各種信息

13、系統(tǒng)中的作用也變得越來越重要，人們開始關(guān)注網(wǎng)絡(luò)上的信息安全及防范技術(shù)，方法。全球信息網(wǎng)絡(luò)的建設(shè)和發(fā)展，對整個社會的科學與技術(shù)、經(jīng)濟與文化、軍事帶來了巨大的推動和沖擊，同時也給網(wǎng)絡(luò)的安全運行帶來更多的挑戰(zhàn)。一般認為，計算機網(wǎng)絡(luò)系統(tǒng)安全運行的主要威脅來自計算機病毒的攻擊。因此，研究計算機病毒及其防范技術(shù)就顯得很有現(xiàn)實意義。</p><p>　?、?從用戶的角度來說，他們希望涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受

14、到機密性，完整性和真實性的保護，避免其他人或其他對于利用竊聽，募改，抵賴等手段對用戶的利益和隱私造成損害和侵犯。同時也希望用戶的信息保存在某個計算機系統(tǒng)上時，不受其他非法用戶的非法授權(quán)訪問和破壞。</p><p>　?、茝木W(wǎng)絡(luò)運行和管理者的角度來說，他們希望對本地網(wǎng)絡(luò)信息的訪問，讀，寫操作受到保護和控制，避免出現(xiàn)“陷門”。</p><p>　?、菍Π踩Ｃ懿块T來說，他們希望對非法的，有害的

15、或者涉及國家機密的信息進行過濾和防毒,避免與這類信息的泄露對社會產(chǎn)生危害，對國家總成巨大的經(jīng)濟損失。</p><p>　　1.2選題的研究現(xiàn)狀</p><p>　　隨著互聯(lián)網(wǎng)的日益發(fā)展，計算機病毒的傳播途徑，傳播手段等都發(fā)生了變化，從而呈現(xiàn)了新的發(fā)展狀況。</p><p>　?、爬镁W(wǎng)絡(luò)傳播的病毒為主要的病毒類型?；ヂ?lián)網(wǎng)改變了人們的生活方式同時也改變了病毒的傳播途徑

16、。隨著網(wǎng)絡(luò)覆蓋的不斷延伸，利用網(wǎng)絡(luò)進行傳播成為病毒制造者的首選途徑，通過網(wǎng)絡(luò)傳播的病毒在短時間內(nèi)就能通過網(wǎng)絡(luò)遍布整個互聯(lián)網(wǎng)，而造成巨大損害。</p><p>　?、颇抉R病毒日益突顯。木馬病毒與普通病毒破壞性不同，木馬病毒并不直接感染主機，而想間諜一樣潛伏在主機中，通過遠程控制，通過另一臺計算機來受控主機進行破壞，盜取有用的機密信息。木馬并不會復制自身，也不會直接造成破壞，它只充當一個橋梁的作用，為遠程駭客主機提供

17、方便。</p><p>　?、遣《炯夹g(shù)不斷發(fā)展。病毒制造則善于利用一些先進的計算機技術(shù)。當一個新的計算機技術(shù)出現(xiàn)時，病毒制造者就不會迅速學習該技術(shù)并將其融入程序的編寫中，使得病毒程序具有更大的破壞力且不易被反病毒程序檢測到。</p><p>　?、然旌闲筒《镜奈：^大?；旌闲筒《臼侵改切┘湎x，木馬，病毒等多種病毒技術(shù)集于自身的病毒。如：“熊貓燒香”，“磁碟機”，“機器狗”。這種病毒功能強

18、大，不僅可以感染一些特殊格式的文件，而且能對抗殺毒軟件，甚至還可以感染網(wǎng)頁文件。</p><p>　　病毒由被動防御轉(zhuǎn)變?yōu)橹鲃舆M攻 當前，許多病毒已不再以躲避反病毒軟件的檢測為目的，而是由被動防御轉(zhuǎn)變?yōu)橹鲃舆M擊，主動爭斗了控制權(quán)。一旦病毒程序取得了控制權(quán)，就可以隨心所欲，甚至可以屏蔽掉殺毒軟件的功能。</p><p>　?、蓮纳鐣逃鸵庾R形態(tài)角度來說，網(wǎng)絡(luò)上因病毒等惡意程序產(chǎn)生的不健康的

19、內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行預(yù)防。</p><p><b>　　2.計算機病毒解析</b></p><p>　　2.1計算機病毒的定義</p><p>　　計算機病毒（Computer Virus）在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒是指“編制或者在計算機程序中插入的，破壞計算機功能或者數(shù)據(jù)

20、，影響計算機正常使用并且能夠自身復制的一組計算機指令或者程序代碼”。</p><p>　　2.2 計算機病毒的特征</p><p>　　計算機病毒具有以下幾個特點：</p><p><b>　?、牌茐男?lt;/b></p><p>　　這是絕大多數(shù)病毒最主要的特點，病毒制作者一般將病毒作為破壞他人計算機或計算機中存放的重要的

21、數(shù)據(jù)和文件的一種工具或手段，在網(wǎng)絡(luò)時代則通過病毒阻塞網(wǎng)絡(luò)，導致網(wǎng)絡(luò)服務(wù)中斷甚至整個網(wǎng)絡(luò)系統(tǒng)癱瘓 。</p><p><b>　?、苽魅拘?lt;/b></p><p>　　計算機病毒的自身復制功能，并能將自身不斷復制到其他文件內(nèi)，達到不斷擴散的目的，尤其在網(wǎng)絡(luò)時代，更是通過Internet中網(wǎng)頁的瀏覽和電子郵件的收發(fā)而迅速傳播。</p><p>&l

22、t;b>　　⑶隱蔽性</b></p><p>　　病毒程序在發(fā)作以前不容易被用戶察覺，它們將自身附加在其他可執(zhí)行的程序內(nèi)，或者隱藏在磁盤中較隱蔽處，有的隱藏在壓縮文件中，有些病毒還會將自己改名為系統(tǒng)文件名，不通過專門的查殺毒軟件一般很難發(fā)現(xiàn)它們。</p><p><b>　?、葷摲?lt;/b></p><p>　　有些病毒傳入給

23、合法的程序中和系統(tǒng)后，不是立即發(fā)作，而是等待一定的激發(fā)條件，如日期、時間、文件運行的次數(shù)等。</p><p><b>　?、煽捎|發(fā)性</b></p><p>　　計算機病毒一般都有一個或者幾個觸發(fā)條件，發(fā)作之前潛伏在機器內(nèi)并不斷繁殖自身，當病毒的觸發(fā)條件滿足時病毒就開始其破壞行為，不同的病毒其觸發(fā)的機制都不同，例如“黑色星期五”病毒就是每逢13日星期五這一天發(fā)作。&l

24、t;/p><p>　　2.3 計算機病毒的分類</p><p>　　根據(jù)多年對計算機病毒的研究，按照科學的、系統(tǒng)的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據(jù)下面的屬性進行分類： </p><p><b>　?、虐床《緜魅镜姆椒?lt;/b></p><p>　　根據(jù)病毒傳染的方法可分為

25、駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，他處于激活狀態(tài)，一直到關(guān)機或重新啟動。非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。</p><p><b>　?、瓢床《镜乃惴?lt;/b></p>&l

26、t;p>　　伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 </p><p>　　“蠕蟲”型病毒，通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)?/p>

27、播到其它機器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)中存在，一般除了內(nèi)存不占用其它資源。 </p><p>　　寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播，按其算法不同可分為：練習型病毒。病毒自身包含錯誤，不能進行很好的傳播，例如處于調(diào)試階段的一些病毒。 </p><p>　　詭秘型病毒它們一般

28、不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。 </p><p>　　變型病毒（又稱幽靈病毒）這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。</p><p><b>　　⑶按病毒存在的媒體<

29、;/b></p><p>　　根據(jù)病毒存在的媒體病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導型病毒。網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計算機中的文件（如：COM，EXE，DOC等），引導型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規(guī)的辦法侵入系

30、統(tǒng)，同時使用了加密和變形算法。 </p><p><b>　　2.4 癥狀</b></p><p>　　1.計算機系統(tǒng)運行速度減慢。 </p><p>　　2.計算機系統(tǒng)經(jīng)常無故發(fā)生死機。 </p><p>　　3.計算機系統(tǒng)中的文件長度發(fā)生變化。 </p><p>　　4.計算機存儲的容量異常減

31、少。 </p><p>　　5.系統(tǒng)引導速度減慢。 </p><p>　　6.丟失文件或文件損壞。 </p><p>　　7.計算機屏幕上出現(xiàn)異常顯示。 </p><p>　　8.計算機系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。 </p><p>　　9.磁盤卷標發(fā)生變化。 </p><p>　　10.系統(tǒng)不識

32、別硬盤。 </p><p>　　11.對存儲系統(tǒng)異常訪問。 </p><p>　　12.鍵盤輸入異常。 </p><p>　　13.文件的日期、時間、屬性等發(fā)生變化。 </p><p>　　14.文件無法正確讀取、復制或打開。 </p><p>　　15.命令執(zhí)行出現(xiàn)錯誤。 </p><p>&

33、lt;b>　　16.虛假報警。 </b></p><p>　　17.換當前盤。有些病毒會將當前盤切換到C盤。 </p><p>　　18.時鐘倒轉(zhuǎn)。有些病毒會命名系統(tǒng)時間倒轉(zhuǎn)，逆向計時。 </p><p>　　19.WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯誤。 </p><p>　　20.系統(tǒng)異常重新啟動。 </p>

34、<p>　　21.一些外部設(shè)備工作異常。 </p><p>　　22.異常要求用戶輸入密碼。 </p><p>　　23.WORD或EXCEL提示執(zhí)行“宏”。 </p><p>　　24.使不應(yīng)駐留內(nèi)存的程序駐留內(nèi)存。</p><p>　　2.5 蠕蟲病毒舉例</p><p>　　針對蠕蟲病毒傳播速度快，

35、破壞性強等特點，解釋蠕蟲的結(jié)構(gòu)和模塊，分析它的實體結(jié)構(gòu)。將蠕蟲在結(jié)構(gòu)上分初始化模塊，內(nèi)核模塊，隱藏模塊，受控模塊和外在模塊等幾個部分。通過蠕蟲基本結(jié)構(gòu)和運行機制來解釋病毒程序的感染過程（機制）。</p><p><b>　　2.5.1蠕蟲概述</b></p><p>　　繁殖，繁殖，再繁殖，利用系統(tǒng)漏洞，通過網(wǎng)絡(luò)感染其他計算機。此類病毒深得“乾坤生兩儀，兩儀生四象，四

36、象生八卦”之能，每臺受感染的機器，本身又以病毒發(fā)送者的身份將蠕蟲病毒送向四面八方。</p><p>　　愛情后門（Worm.lovegate）是一種破壞性極大的蠕蟲病毒,其發(fā)作時間是隨機的，主要通過網(wǎng)絡(luò)和電子郵件來傳播，感染對象為硬盤文件。它的基本特征之一就是透過網(wǎng)絡(luò)主動進行感染，本身不具有太多破壞特性，以消耗系統(tǒng)帶寬、內(nèi)存、CPU為主。這類病毒最大的破壞之處不是對終端用戶造成的麻煩，而是對網(wǎng)絡(luò)的中間設(shè)備無謂耗用

37、。例如網(wǎng)絡(luò)中的交換機/路由器/DNS服務(wù)器/郵件服務(wù)器常常是蠕蟲病毒爆發(fā)的最大受害者——“互聯(lián)網(wǎng)癱瘓了”—2003年1月的SQL蠕蟲病毒爆發(fā)就是最好的例證。</p><p>　　圖2.1網(wǎng)絡(luò)蠕蟲病毒</p><p>　　在以前，編寫蠕蟲病毒的技術(shù)要求相當高。1988年，前面提到的“磁芯大戰(zhàn)”之子羅伯特.莫里斯在發(fā)現(xiàn)了幾個系統(tǒng)漏洞后，編寫了一個精巧的程序，短短時間便將當時的大半個互聯(lián)網(wǎng)癱瘓。

38、由以上可以看出，蠕蟲的出現(xiàn)，傳播，感染是需要系統(tǒng)漏洞和獲得系統(tǒng)權(quán)限的。莫里斯不愧為技術(shù)高手，不光在于對病毒的編寫，更在于對系統(tǒng)漏洞的發(fā)掘上。隨著時間的推移，操作系統(tǒng)的進步，在功能完善的同時，漏洞也隨之增加。</p><p>　　2.5.2蠕蟲的結(jié)構(gòu)</p><p>　　圖2.2蠕蟲病毒功能模塊</p><p>　　由于通過網(wǎng)絡(luò)感染，蠕蟲病毒都會大量占用網(wǎng)絡(luò)帶寬。由于

39、現(xiàn)在普通pc的性能相當不錯，因此一些新興的蠕蟲病毒在大肆占用網(wǎng)卡發(fā)送封包的同時，本機速度不會變的太緩慢，這給計算機的自查帶來了一定麻煩。檢查到內(nèi)網(wǎng)中有用戶染毒后，電話通知他，結(jié)果被反問：“我運行單機程序的時候這么快，只有上網(wǎng)的時候才覺得慢，</p><p>　　蠕蟲成功地進攻目標主機之后,首先進行初始化操作,完成蠕蟲的代碼重定位和系統(tǒng)所需API函數(shù)的地址獲取;隨后執(zhí)行蠕蟲駐留操作,主要包括蠕蟲副本的注入,進程的隱

40、藏和通訊的隱藏;然后啟動控制模塊,接受蠕蟲釋放者下達的命令,并根據(jù)事先約定的格式進行解析,將解析的指令寫入到指定的參數(shù)存儲位置中;而后參數(shù)配置模塊將獲得的指令寫入到指定的功能模塊位置中。蠕蟲在執(zhí)行過程中，需要進行一定的動態(tài)配置，因此需要準確定位蠕蟲的動態(tài)配置位置；與此同時，蠕蟲的功能模塊中包含有蠕蟲自身變異和加密可以使得蠕蟲在傳播和感染過程中產(chǎn)生新一代的蠕蟲變身體，而前述的蠕蟲配置位置也隨之改變。</p><p>

41、;　　在蠕蟲的具體實現(xiàn)時，通過把參數(shù)寫入模塊中來實現(xiàn)參數(shù)的獲取，即可通過參數(shù)配置模塊來實現(xiàn)。</p><p>　　首先在初始化時，對于PE可執(zhí)行文件而言，它的執(zhí)行一般都是windows加載的，而蠕蟲的則不能被windows來完成。這主要是因為蠕蟲是一段純粹的二進制代碼，它不像PE文件有導入表，導出表以及重定位表等結(jié)構(gòu)，無法由操作系統(tǒng)獲取地址信息，</p><p>　　無法由系統(tǒng)加載執(zhí)行，而

42、且對不同的操作系統(tǒng)來說它的函數(shù)地址也不是固定的。初始化模塊就是解決蠕蟲在操作系統(tǒng)中的API函數(shù)的獲取地址問題。駐留模塊確保蠕蟲留在目標主機上，這樣，當被感染的主機重新啟動時，蠕蟲病毒可以得到執(zhí)行的機會。駐留模塊用于將內(nèi)存中正在執(zhí)行的蠕蟲二進制代碼構(gòu)造成合法的PE文件格式的可執(zhí)行文件。并采用改變注冊表，修改系統(tǒng)啟動目錄等多種方法來實現(xiàn)再次啟動時能夠自身加載執(zhí)行蠕蟲的功能。 </p><p>　　下面簡單介紹一下各個

43、功能模塊：</p><p><b>　?、艗呙枘K</b></p><p>　　完成對特定主機的脆弱性檢測，決定采用何種攻擊方式。</p><p><b>　?、乒裟K</b></p><p>　　該模塊根據(jù)掃描模塊獲取的安全漏洞，建立傳播途徑，該模塊在攻擊方法上是開放的，是可擴充的。</p

44、><p><b>　?、莻鞑ツK</b></p><p>　　傳播模塊是整個蠕蟲程序的核心組成部分，可以采用各種形式生成各種形態(tài)的蠕蟲副本傳遞。</p><p><b>　　⑷隱藏模塊</b></p><p>　　包括蠕蟲對各個實體組成部分的隱藏，變形，加密以及進程的駐留，隱藏，主要提高蠕蟲的生存能力和

45、抗查殺能力。</p><p><b>　?、商囟üδ苣K</b></p><p>　　該模塊用于摧毀或者破壞被感染主機，破壞網(wǎng)絡(luò)正常運行。在被感染主機上駐留后門，感染可執(zhí)行文件，修改刪除數(shù)據(jù)，格式化硬盤等操作。</p><p><b>　?、市畔⑺鸭K</b></p><p>　　該模塊決定采用何

46、種搜索算法對蠕蟲的控制模塊與其它模塊在執(zhí)行流程上相互關(guān)聯(lián)，因此蠕蟲是按照一定的流程執(zhí)行。</p><p><b>　　3．防范技術(shù)</b></p><p><b>　　3.1防火墻</b></p><p>　　防火墻(英文：firewall)是一項協(xié)助確保信息安全的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻

47、可以是一臺專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。</p><p>　　3.1.1 防火墻的基本定義</p><p>　　防火墻：一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet

48、之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則，驗證工具，包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。</p><p>　　3.1.2 防火墻的類型</p><p>　　目前防火墻產(chǎn)品非常之多，劃分的標準也比較雜。 主要

49、分類如下： ⑴從軟、硬件形式上分為 軟件防火墻和硬件防火墻以及芯片級防火墻。 ⑵從防火墻技術(shù)分為 “包過濾型”和“應(yīng)用代理型”兩大類。⑶從防火墻結(jié)構(gòu)分為 < 單一主機防火墻，路由器集成式防火墻和分布式防火墻三種。 </p><p>　?、?按防火墻的應(yīng)用部署位置分為 邊界防火墻，個人防火墻和混合防火墻三大類。 ⑸ 按防火墻性能分為 百兆級防火墻和千兆級防火墻兩類。</p><

50、p>　　3.1.3 防火墻的基本特性</p><p>　　⑴內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過它。</p><p>　?、浦挥蟹习踩呗缘臄?shù)據(jù)流才能 通過它。</p><p>　　⑶防火墻自身應(yīng)具有抗政免疫力。</p><p>　　3.1.4 防火墻的基本功能</p><p>　?、疟O(jiān)控和審計網(wǎng)絡(luò)

51、的存取和訪問，過濾進出網(wǎng)絡(luò)的數(shù)據(jù)，管理進出網(wǎng)絡(luò)的訪問行為。</p><p>　?、撇渴鹩诰W(wǎng)絡(luò)邊界，兼?zhèn)?提供網(wǎng)絡(luò)地址翻譯（NAT），虛擬專用網(wǎng)等功能。</p><p>　?、欠啦《?，入侵檢測，認證加密 ，遠程管理 ，代理等。</p><p>　?、壬疃葯z測對某些協(xié)議進行相關(guān)監(jiān)控。</p><p>　?、晒舴婪?，掃描檢測等。</p&

52、gt;<p>　　3.2殺毒軟件的介紹</p><p>　　3.2.1殺毒軟件的定義</p><p>　　殺毒軟件，也稱反病毒軟件或防毒軟件，是用于消除電腦病毒，特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復等功能，是計算機防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和其他惡意軟件的查殺程序，入侵預(yù)防系統(tǒng)等）

53、的重要組成部分。</p><p>　　3.2.2 常見的幾種殺毒軟件</p><p><b>　?、?60安全衛(wèi)士</b></p><p>　　360的大面積普及還是最近3年的事情，一個具有一定殺毒和防木馬能力的軟件能走進千家萬戶實在是給國人長臉。360殺毒主要是靠病毒庫里病毒文件名，如果你把病毒改個名字它絕對老眼昏花。另外由于不屬于殺軟，所以

54、病毒庫更多的是貼近國內(nèi)最流行的一線小木馬，對于一些不知名的小蠕蟲病毒什么的就無力招架了。</p><p><b>　　⑵瑞星</b></p><p>　　瑞型殺毒軟件（Rising Antivirus簡稱RAV）采用獲得歐盟及中國專利的六項核心技術(shù)，形成全新軟件內(nèi)核代碼；具有八大絕技和多種應(yīng)用特性；是目前國內(nèi)外同類產(chǎn)品中最具實用價值和安全保障的殺毒軟件產(chǎn)品。</

55、p><p><b>　　⑶金山</b></p><p>　　專業(yè)高品質(zhì)的典范，至今共12次通過VB100國際權(quán)威認證,國內(nèi)排名第一，還通過英國西海岸三項國際權(quán)威認證和OESIS·OK認證等，是國內(nèi)首個通過三黃標認證的中國名牌產(chǎn)品，之前一直收費，2010年11月10日開始永久免費，是迄今最好的免費殺毒軟件下載產(chǎn)品。2009年金山殺毒軟件免費版順利通過微軟Win7兼

56、容認證。2010年獲得AV-C掃描速度排行榜金獎，是現(xiàn)今國內(nèi)第一家微軟病毒信息聯(lián)盟成員。</p><p><b>　?、瓤ò突?lt;/b></p><p>　　卡巴基斯殺毒軟件是一款來自俄羅斯的殺毒軟件。該軟件能夠保護家庭用戶，工作站，郵件系統(tǒng)和文件服務(wù)器以及網(wǎng)關(guān)。除此之外，還提供集中管理工具，反垃圾郵件系統(tǒng)，個人防火墻和移動設(shè)備的保護，包括 Palm 操作系

57、統(tǒng)，手提電腦和智能手機。</p><p><b>　?、山?lt;/b></p><p>　　北京江民新科技術(shù)有限公司（簡稱江民科技），成立于1996年，注冊資金二千萬元人民幣，是國家認定的高新技術(shù)企業(yè)，國內(nèi)知名的計算機反病毒軟件公司，國際反病毒協(xié)會理事單位。研發(fā)和經(jīng)營范圍涉及單機，網(wǎng)絡(luò)反病毒軟件；單機，網(wǎng)絡(luò)黑客防火墻；郵件服務(wù)器防病毒軟件等一系列信息安全產(chǎn)品。江民科技擁

58、有旗下所有產(chǎn)品的完全自主知識產(chǎn)權(quán)。</p><p>　　3.2.3 殺毒軟件的主要功能</p><p>　　⑴查毒：計算機染上病毒就像人得了病一樣，需要進行了“治病”，如果“病因”都不知道，“治病”就無從談起。因此計算機殺毒軟件首要功能就是殺毒，尤其要針對存儲設(shè)備進行查找病毒，查出計算機感染上什么病毒才是殺毒的先決。 </p><p>　?、茪⒍荆簹⒍拒浖菍ｉT用來

59、對付計算機病毒的。不但要查找出病毒，還應(yīng)該對這些病毒進行消除，這才是殺毒軟件的重要功能。 </p><p>　?、欠蓝荆簹⒍臼侵螛耍蓝静攀歉?，因此殺毒軟件對計算機的輸入輸出進行監(jiān)視和防治防止病毒的侵入計算機系統(tǒng)。</p><p>　　⑷數(shù)據(jù)的恢復：殺毒軟件僅有查毒和殺毒功能是遠遠不夠的，它還需要對計算機被破壞后能夠采取一定的補救措施，特別是對存儲器設(shè)備修復功能，因此目前有些殺毒軟件也提

60、供對硬盤數(shù)據(jù)的恢復功能。</p><p>　　4.計算機病毒的檢測和預(yù)防</p><p>　　4.1 計算機病毒的檢測 </p><p>　　計算機病毒的檢測技術(shù)是指通過一定的技術(shù)手段判定出特定計算機病毒的一種技術(shù)。它有兩種：一種是根據(jù)計算機病毒的關(guān)鍵字，特征程序段內(nèi)容，病毒特征及傳染方式，文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。另一種是不針對具體病毒

61、程序的自身校驗技術(shù)。即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭到破壞，感染上了病毒，從而檢測到病毒的存在。</p><p>　　4.2瑞星的檢測過程</p><p>　　一個殺毒軟件的構(gòu)造的復雜程度要遠遠高于木馬或病毒，所以其原理也比較復雜。而且鑒于現(xiàn)在木馬病毒越來越向系統(tǒng)底層發(fā)展，殺毒

62、軟件的編譯技術(shù)也在不斷向系統(tǒng)底層靠近。例如瑞星中現(xiàn)在的“主動防御”技術(shù)，就是應(yīng)用RING0層的編譯技巧。一個殺毒軟件一般由掃描器，病毒庫與虛擬機組成，并由主程序?qū)⑺麄兘Y(jié)為一體。</p><p>　　瑞星支持主流的XP，Win7，Win8操作系統(tǒng)，并支持目前用戶群越來越多的64</p><p>　　圖4.1瑞星殺毒軟件</p><p>　　位操作系統(tǒng)。擁有成熟的主動防

63、御技術(shù)以及特有的變頻殺毒，云查殺技術(shù)，煥然一新的UI皮膚布局讓使用者輕松上手。另外新產(chǎn)品在系統(tǒng)資源占用方面進行了優(yōu)化，在保證殺毒，主動防御，惡意攻擊攔截等功能的同時，還提高了產(chǎn)品整體運行性能。</p><p>　　掃描器是瑞星殺毒軟件（所有殺毒軟件）的核心，用于發(fā)現(xiàn)病毒。一個殺毒軟件的殺毒效果好壞就直接取決于它的掃描器編譯技術(shù)與算法是否先進，而且殺毒軟件不同的功能往往對應(yīng)著不同的掃描器，也就是說，大多數(shù)殺毒軟件都

64、是由多個掃描器組成的。而病毒庫存儲的特征碼形式則取決于掃描器采用哪種掃描技術(shù)。它里面存儲著很多病毒所具有的獨一無二的特征字符，我們稱之為“特征碼”。特征碼總的分來只有兩個，文件特征碼與內(nèi)存特征碼。文件特征碼存在于一些未執(zhí)行的文件里，例如EXE文件，RMVB文件，jpg文件甚至是txt文件中都有可能存在文件特征碼，也都有可能被查殺。而內(nèi)存特征碼僅僅存在于內(nèi)存中已運行的應(yīng)用程序。而虛擬機則是最近引進的概念，它可以使病毒在一個由殺毒軟件構(gòu)建的

65、虛擬環(huán)境中執(zhí)行，與現(xiàn)實的CPU，硬盤等完全隔離，從而可以更加深入的檢測文件的安全性。 簡單地說，殺毒軟件的原理就是匹配特征碼。當掃描得到一個文件時，殺毒軟件會檢測這個文件里是否包含病毒庫里所包含的特征碼，如果有，則報病毒查殺，如果沒有，縱然這個文件確實是一個病毒，它也會把它當作正常文件來看待。 打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)</p><p>　　4.3 計算機病毒的預(yù)防</p

66、><p>　　計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說，計算機病毒的預(yù)防是通過阻止計算機病毒進入系統(tǒng)內(nèi)存或阻止計算機病毒對磁盤的操作，尤其是寫操作。預(yù)防病毒技術(shù)包括：磁盤引導區(qū)保護，加密可執(zhí)行程序，讀寫控制技術(shù)，

67、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令，并且判斷磁盤當前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技

68、術(shù)。</p><p>　　下面介紹一下這兩種判定技術(shù)：</p><p>　　4.3.1特征判定技術(shù)</p><p>　　在為了監(jiān)視對象物的特征而測得的波形數(shù)據(jù)或特征參數(shù)即使不按照正態(tài)分布，仍能利用統(tǒng)計檢驗等方法高精度地診斷和預(yù)測對象物的特征，另外，在測得的對象物的信號是脈動信號的情況下，要能實時地檢測存在于信號的局部處的特異分量，有效地判定對象物的特征。本發(fā)明提供一

69、種方法和裝置，它在將測得的波形數(shù)據(jù)，或從波形數(shù)據(jù)算出的特征參數(shù)按照已知概率分布（例如正態(tài)分布）變換后，利用統(tǒng)計檢驗等方法進行對象物的特征判定和特征預(yù)測，還提供一種方法和裝置，它在測得的對象物的信號是脈動信號時，通過求得除去噪聲后的信號的包絡(luò)線波形數(shù)據(jù)等，檢測信號中的特異分量，進行對象物的特征判定。</p><p>　　4.3.2靜態(tài)判定技術(shù)</p><p>　　靜態(tài)判定技術(shù)是指不運行被測程

70、序本身，僅通過分析或檢查源程序的語法，結(jié)構(gòu)，過程，接口等來檢查程序的正確性。對需求規(guī)格說明書，軟件設(shè)計說明書，源程序做結(jié)構(gòu)分析，流程圖分析，符號執(zhí)行來找錯。靜態(tài)方法通過程序靜態(tài)特性的分析，找出欠缺和可疑之處，例如不匹配的參數(shù)，不適當?shù)难h(huán)嵌套和分支嵌套，不允許的遞歸，未使用過的變量，空指針的引用和可疑的計算等。靜態(tài)判定結(jié)果可用于進一步的查錯，并為測試用例選取提供指導。</p><p>　　靜態(tài)測試包括代碼檢查，靜

71、態(tài)結(jié)構(gòu)分析，代碼質(zhì)量度量等。它可以由人工進行，充分發(fā)揮人的邏輯思維優(yōu)勢，也可以借助軟件工具自動進行。代碼檢查包括代碼走查，桌面檢查，代碼審查等，主要檢查代碼和設(shè)計的一致性，代碼對標準的遵循，可讀性，代碼的邏輯表達的正確性，代碼結(jié)構(gòu)的合理性等方面；可以發(fā)現(xiàn)違背程序編寫標準的問題，程序中不安全，不明確和模糊的部分，找出程序中不可移植部分，違背程序編程風格的問題，包括變量檢查，命名和類型審查，程序邏輯審查，程序語法檢查和程序結(jié)構(gòu)檢查等內(nèi)容。

72、</p><p><b>　　參考文獻 </b></p><p>　　[1] 態(tài)志光 、 張鳳力、 劉嶠 .計算機病毒原理及防范技術(shù)[M].科學技術(shù)出版社. 2009年 </p><p>　　[2] 王倍昌 .計算機病毒揭秘與對抗[M].電子工程出版社.2010年 </p><p&g

73、t;　　[3] Febouza A Forouzan<美> .Cryptography and Network Security[M]. 清華大學出版社 2007年 </p><p>　　[4] 李聯(lián)寧 陸李娜.網(wǎng)絡(luò)工程[M].清華大學出版社.2010年</p><p>　　[5] 鄭成興 網(wǎng)絡(luò)入侵防范的理

74、論與實踐[M].機械工程出版社.2008年</p><p>　　[6] 唐正軍 李建華.入侵檢測技術(shù)[M].清華大學出版社. 2009年 </p><p>　　[7]算機病毒的技術(shù)于防范.（畢業(yè)論文）.考試吧(百度文庫).2008年</p><p>　　[8] 劉志祥.絡(luò)環(huán)境下計算機病毒的檢測與防御技術(shù)研究.中華科技大學.<百度文庫>.2011年 &

75、lt;/p><p>　　[9]Computer Virus. <百度文庫>.武漢大學2011屆畢業(yè)論文.2011年</p><p>　　[10] 陳志德、許力.網(wǎng)絡(luò)安全原理及應(yīng)用[M].電子工程出版社.2009年 </p><p><b>　　致謝</b></p><p>　　本論文能夠順利地寫完是在我們的導師*

76、**老師的細心指導下進行的。在每次遇到問題時老師不辭辛苦的講解才使得我的論文順利地進行。從選題到資料的搜集直至最后設(shè)計的修改的整個過程中，花費了老師的很多寶貴時間和精力，在此向?qū)煴硎局孕牡馗兄x！導師嚴謹?shù)闹螌W態(tài)度，開拓進取的精神和高度的責任心都將使學生受益終生！</p><p>　　還要感謝和我同一設(shè)計小組的同學，是你們在我平時寫論文中和我一起探討問題，并指出我的誤區(qū)，使我能及時的發(fā)現(xiàn)問題把設(shè)計順利的進行下去，

77、沒有你們的幫助我不可能這樣順利地結(jié)稿，在此表示深深的謝意。</p><p>　　我要感謝全體同學，共同的學習總讓我倍受啟發(fā)，因為大家的共同努力與相互幫助，才使得我們學業(yè)不斷的向前發(fā)展，取得了不錯的成果，也使得我們的友情日益深厚，時間雖不長，卻視彼此為良師益友。</p><p>　　另外，我要特別地感謝我的家人。感謝你們陪伴我成長，感謝你們培養(yǎng)了我良好的生活習慣，感謝你們對我求學的寬容與理解

78、，感謝你們對我學習上一如既往的默默支持。千言萬語也難以表達我對你們的感激之情與深深的敬意，祝你們身體健康，萬事如意！</p><p>　　同時，感謝百忙之中抽出寶貴時間審閱我論文的各位評委老師。謝謝您們對我論文所提出的寶貴意見！</p><p>　　由于才疏學淺，論文中難免有不足之處，懇請批評指正。</p><p>　　最后，感謝所有關(guān)心、支持和幫助過我的人們!&l