《計算機病毒防范技術論文.doc》由會員分享,可在線閱讀,更多相關《計算機病毒防范技術論文.doc(10頁珍藏版)》請在裝配圖網上搜索。
1、 畢業(yè)論文(設計)題 目: 計算機病毒防范技術 近年來,因特網引入了新的病毒傳送機制,通過電子郵件這個傳播途徑,病毒已成為當今網絡業(yè)發(fā)展的最大危害。今年以來,在中國大規(guī)模爆發(fā)的多種病毒,全部都是通過互聯(lián)網傳播的。隨著互聯(lián)網日益成為全球性工具,病毒也正在成為全球性殺手。而通過網絡特別是電子郵件傳播的病毒與傳統(tǒng)病毒相比,表現(xiàn)出了更快的傳播速度以及更強有力的殺傷力。 以下我們在分析網絡時代計算機病毒特點的基礎上探討一下如何有效地防范病毒,以“把好網絡時代的大門”。 關鍵詞:病毒、特點、防范第一章 計算機病毒的概述1.1計算機病毒的產生 計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發(fā)展
2、到一定階段的必然產物。它產生的背景是: (1)計算機病毒是計算機犯罪的一種新的衍化形式。 計算機病毒是高技術犯罪,具有瞬時性、動態(tài)性和隨機性。不易取證,風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態(tài)在計算機應用領域的表現(xiàn); (2)計算機軟硬件產品的脆弱性是根本的技術原因。 計算機是電子產品。數(shù)據(jù)從輸入、存儲、處理、輸出等環(huán)節(jié), 易誤入、篡改、丟失、作假和破壞;程序易被刪除、改寫;計算機軟件設計的手工方式, 效率低下且生產周期長;人們至今沒有辦法事先了解一個程序有沒有錯誤, 只能在運行中發(fā)現(xiàn)、修改錯誤, 并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了
3、方便; (3)微機的普及應用是計算機病毒產生的必要環(huán)境。 1983年11月3日美國計算機專家首次提出了計算機病毒的概念并進行了驗證。幾年前計算機病毒就迅速蔓延,到我國才是近年來的事。而這幾年正是我國微型計算機普及應用熱潮。微機的廣泛普及,操作系統(tǒng)簡單明了,軟、硬件透明度高,基本上沒有什么安全措施, 能夠透徹了解它內部結構的用戶日益增多,對其存在的缺點和易攻擊處也了解的越來越清楚,不同的目的可以做出截然不同的選擇。 1.2 計算機病毒的特點 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里,當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。廣義的計算機病毒
4、還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱入口等等。計算機病毒雖是一個小小程序,但它和通的計算機程序不同,具有以下特點。 寄生性: 計算機病毒寄生在其他程序之中,當執(zhí)行這個程序時,病毒就起破壞作用,而在未啟動這個程序之前,它是不易被人發(fā)覺的。 傳染性: 計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當?shù)臈l件下,它可得到大量繁殖,井使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計
5、算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的計算機程序代碼,這段程序代碼一旦進入計算機井得以執(zhí)行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標后再將自身代碼插入其中,達到自我繁殖的目的。只要一臺計算機染毒,如不及時處理,那么病毒會在這臺機子上迅速擴散,其中的大量文件(一般是可執(zhí)行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數(shù)據(jù)交換或通過網絡接觸,病毒會繼續(xù)進行傳染。 正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道,如軟盤
6、、U盤、計算機網絡去傳染其他的計算機。當您在一臺機器上發(fā)現(xiàn)了病毒時,往往曾在這臺計算機上用過的U盤等載體已感染上了病毒,而與這臺機器相聯(lián)網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。病毒程序通過修改磁盤扇區(qū)信息或文件內容并把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序。 潛伏性: 有些病毒像定時炸彈一樣,讓它什么時間發(fā)作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統(tǒng)進行破壞。一個編制精巧的計算機病毒程序,進入系統(tǒng)之后一般不會馬上發(fā)作,可以在幾周或者幾個月內甚至幾年
7、內隱藏在合法文件中,對其他系統(tǒng)進行傳染,而不被人發(fā)現(xiàn),潛伏性愈好,其在系統(tǒng)中的存在時間就會愈長,病毒的傳染范圍就會愈大。 潛伏性的第一種表現(xiàn)是指,病毒程序不用專用檢測程序是檢查不出來的,因此病毒可以靜靜地躲在磁盤等載體里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續(xù)為害。 潛伏性的第二種表現(xiàn)是指,計算機病毒的內部往往有一種觸發(fā)機制,不滿足觸發(fā)條件時,計算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執(zhí)行破壞系統(tǒng)的操作,如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。 隱蔽性: 計算機病毒具有很
8、強的隱蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時隱時現(xiàn)、變化無常,這類病毒處理起來通常很困難。 破壞性: 計算機中毒后,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞。 可觸發(fā)性: 病毒因某個事件或數(shù)值的出現(xiàn),誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發(fā)條件,這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運行時,觸
9、發(fā)機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續(xù)潛伏。 第二章 計算機病毒的檢測和防范 2.1計算機病毒防范技術的工作原理 目前,計算機病毒防范技術的工作原理主要有簽名掃描和啟發(fā)式掃描兩種。 (1)簽名掃描:通過搜索目標(宿主計算機、磁盤驅動器或文件)來查找表示惡意軟件的模式。 (2)啟發(fā)式掃描:通過查找通用的惡意軟件特征,來嘗試檢測新形式和已知形式的惡意軟件。 2.1.1最容易受到惡意軟件攻擊的區(qū)域: 外部網絡; 來賓客戶端; 可執(zhí)行文件; 文檔; 電子郵件; 可移動媒體。2.2 檢測和防范 用防病毒軟件來防范病毒需要定期自動更新或者下載
10、最新的病毒定義、病毒特 征。但是防病毒軟件的問題在于它只能為防止已知的病毒提供保護。因此,病毒軟件只是在檢測已知的特定模式的病毒和蠕蟲方面發(fā)揮作用。對惡意代碼的查找和分類的根據(jù)是: 對惡意代碼的理解和對惡意代碼“簽名”的定位來識別惡意代碼。然后將這 簽名加入到識別惡意代碼的簽名列表中,這就是防病毒軟件的工作原理。防病 軟件成功的關鍵是它是否能夠定位“簽名”。 轉貼于惡意代碼基本上可以分為兩類: 腳本代碼和自執(zhí)行代碼。實現(xiàn)對腳本蠕蟲的防護很簡單,例如,VBScript蠕蟲的傳播是有規(guī)律的,因此常??梢酝ㄟ^運行一個應用程序的腳本來控制這塊代碼或者讓這個代碼失效。 惡意軟件防護方法: 在針對惡意軟件
11、嘗試組織有效的防護之前,需要了解組織基礎結構中存在風險的各個部分以及每個部分的風險程度。Microsoft強烈建議您在開始設計防病毒解決方案之前,進行完整的安全風險評估。 深層防護安全模型: 在發(fā)現(xiàn)并記錄了組織所面臨的風險后,下一步就是檢查和組織您將用來提供防病毒解決方案的防護措施。深層防護安全模型是此過程的極好起點。此模型識別出七級安全防護,它們旨在確保損害組織安全的嘗試將遇到一組強大的防護措施。每組防護措施都能夠阻擋多種不同級別的攻擊。 (1)數(shù)據(jù)層。 數(shù)據(jù)層上的風險源自這樣的漏洞:攻擊者有可能利用它們獲得對配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設備獨有的任何數(shù)據(jù)的訪問。 (2)應用程序層。 應用程
12、序層上的風險源自這樣的漏洞:攻擊者有可能利用它們訪問運行的應用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都可能用來攻擊系統(tǒng)。 (3)主機層。 提供Service Pack 和修復程序以處理惡意軟件威脅的供應商通常將此層作為目標。此層上的風險源自利用主機或服務所提供服務中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動攻擊。 (4)內部網絡層。 組織內部網絡所面臨的風險主要與通過此類型網絡傳輸?shù)拿舾袛?shù)據(jù)有關。這些內部網絡上客戶端工作站的連接要求也具有許多與其關聯(lián)的風險。 (5)外圍網絡層。 與外圍網絡層(也稱為DMZ、網絡隔離區(qū)域或屏幕子網)關聯(lián)的風險源自可以訪問廣域網(WA
13、N)以及它們所連接的網絡層的攻擊者。模型此層上的主要風險集中于網絡可以使用的傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報協(xié)議(UDP)端口。 (6)物理安全層。 物理層上的風險源自可以物理訪問物理資產的攻擊者。此層包括前面的所有層。攻擊者可能只是通過某個物理可移動媒體(如USB磁盤設備)將感染文件直接復制到主機。 (7)策略、過程和意識層。 圍繞安全模型所有層的是,您的組織為滿足和支持每個級別的要求需要制定的策略和過程。最后,提高組織中對所有相關方的意識是很重要的。在許多情況下,忽視風險可以導致安全違反。由于此原因,培訓也應該是任何安全模型的不可缺少的部分。 結論從目前病毒的演化趨勢來看,網絡防病毒產品的發(fā)展趨勢主要體現(xiàn)在以下幾個方面: (1)反黑與反病毒相結合 (2)從入口攔截病毒 (3)全面解決方案 (4)客戶化定制 (5)區(qū)域化到國際化 目前我們所能夠采取的最好的防病毒方法仍然是保證防病毒軟件的及時更新,但是能夠從操作系統(tǒng)和微處理器設計的角度出發(fā)來提高計算機防病毒的能力才是防范病毒正確的途徑。參考文獻1.計算機安全的意義 出版社:北京大學出版社2.計算機網絡安全與防御【J】.中國西部科技,2006,(4)3.計算機病毒分析與防范大全 出版社:電子工業(yè)出版社4計算機病毒與反病毒技術 出版社:清華大學出版社5.信息安全與實踐教程【M】.北京:清華大學出版社,2005,(11)