计算机病毒的预防技术探讨
 
随着人们对计算机安全要求的不断提高,计算机病毒作为计算机安全的主要威胁,正在受到人们广泛的关注。只有透彻理解病毒的内在机理,知己知彼,才能更好的防范病毒。本论文研究总结了网页病毒、宏病毒、邮件病毒的感染、传播及如何获得系统控制权机理,总结了防治脚本病毒、宏病毒、邮件病毒的一般做法,并针对这些病毒的特点提出了基于命令式的预防病毒方案。
当前,病毒的传播途径主要依赖于网络,网络是主机感染病毒的主要来源,并给出了常见的病毒检测技术并简要介绍了防火墙的概念。
关键词: 脚本病毒;蠕虫病毒;木马;病毒检测;防火墙

 
      I
1绪论    1
2计算机病毒特征    1
2.1计算机病毒的定义和特征    1
2.1.1基本定义    1
2.1.2基本特征    1
3计算机病毒的分类    2
3.1按病毒攻击对象的机型分类    2
3.2按病毒攻击计算机的操作系统分类    2
3.3按计算机病毒的传染方式分类    2
3.4按计算机病毒破坏情况分类    2
3.5按计算机病毒寄生方式分类    2
4病毒对抗技术    2
4.1病毒的检测技术    3
4.1.1检查磁盘的主引导扇区    3
4.1.2检查可执行文件    3
4.1.3检查内存空间    3
4.2特征值检测技术    3
4.3校验和检测技术    3
4.4行为监测技术    4
4.5启发式扫描技术    4
4.6防火墙技术概述    5
5异常处理    5
5.1 异常处理的方式    5
5.2 异常处理的过程    6
6计算机病毒预防    6
6.1杜绝传染渠道    6
6.2设置传染对象的属性    7
6.3关于宏病毒    7
6.3.1检测宏病毒    7
6.3.2预防宏病毒    7
7结论    8
参考文献    9

1绪论
1949年计算机刚刚诞生,就有了计算机病毒的概念。计算机之父冯.诺依曼在《复杂自动机组织论》中便定义了病毒的基本概念,他提出“一部事实上足够复杂的机器能够复制自身”。20世纪60年代初,在美国贝尔实验里,3个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。198311月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算上进行了实验,世界上第一个计算机病毒就这样出生在实验室里。80年代后期,微机的普及和Internet的应用,计算机病毒的发展步伐大大加快。1986年,巴基斯坦的两个软件人员为了搞清楚自己编制的软件究竟都跑到了谁的手里,于是炮制了一个“巴基斯坦智囊”病毒,这可能是最早广泛流行的计算机病毒。从此,以PC为主要传播对象的计算机病毒开始疯狂传播大肆泛滥。
2计算机病毒特征
由于DOS系统的源码是对外开放的,而且作为单机系统在安全性方面也未做充分的考虑,所以在DOS时代,病毒数量多,技巧性强。但随着微软windows系统的推出,绝大多数电脑用户选择了界面友好的windows操作系统,宣告了DOS时代的终结,同时DOS系统下的病毒也就没有了用武之地。因此本论文选择了windows病毒作为研究对象。
2.1计算机病毒的定义和特征
2.1.1基本定义
计算机病毒(computer virus)最早由美国计算机病毒研究专家F.Cohen博士提出。计算机病毒的定义有多种,目前流行的定义为:计算机病毒是一段附着在其他程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其它程序的功能。
在其生命周期中,病毒一般会经历如下四个阶段:潜伏阶段;传染阶段;触发阶段;发作阶段。
2.1.2基本特征
计算机病毒各种各样,其特征各异,但只要是计算机病毒,就必然具备如下7个基本特征:传染性;潜伏性;非授权性;隐蔽性;破坏性;不可预见性;可触发性。
3计算机病毒的分类
自第一例计算机病毒于20世纪80年代初面世以来,伴随着计算机技术、信息技术及其应用突飞猛进,获得令人瞩目的空前的同时,也促进了计算机病毒技术亦步亦趋的发展。面对这种纷繁杂乱的表面现象,针对如此众多的计算机病毒进行科学系统的分类既有学术研究方面的重要意义,又有防止计算机病毒的现实应用意义。
3.1按病毒攻击对象的机型分类
计算机病毒的定义针对病毒攻击的机型而异,目前出现的病毒被分为如下4种:
(1)攻击微型计算机的病毒 (2)攻击小型计算机的病毒 (3)攻击大、中型计算机的病毒 (4)攻击计算机网络的病毒
例如20017月出现的Code Red(红代码)病毒和同年8月出现的Code RedⅡ病毒,它们针
对因特网上的服务器突施攻击,且能迅速传播,造成网络访问速度的下降乃至断;20038月出现的冲击波蠕虫病毒造成大批计算机瘫痪和网络连接速度减慢,该病毒认为是当年出现的破坏力最强的病毒之一等。
3.2按病毒攻击计算机的操作系统分类
(1)攻击DOS系统的病毒(2)攻击Windows系统的病毒 (3)攻击UNIX系统的病毒
3.3按计算机病毒的传染方式分类
(1)引导型病毒 (2)文件型病毒 (3)混合型即引导型兼文件型病毒(4)网络型病毒
3.4按计算机病毒破坏情况分类
(1)良性病毒 (2)恶性病毒
3.5按计算机病毒寄生方式分类
(1)覆盖式寄生病毒(2)链接式寄生病毒 (3)填充式寄生病毒 (4)转储式寄生病毒
计算机病毒数量剧增,花样更新,传播迅速。根据其不同的特征进行分类,以掌握各种类型病毒的工作原理,是防范、遏制病毒蔓延的前提。
4病毒对抗技术
计算机病毒危害计算机本身的安全和信息安全。自第一个病毒出现后,人们通过与病毒长期的斗争,积累了大量反病毒的经验,掌握了很多实用的反病毒技术,并开发出了一些优秀的抗病毒产品。病毒对抗主要研究病毒的检测、病毒的清除和病毒的预防。病毒的检测技术主要有特征植检测技术、校验和检测技术、行为监测技术、启发式扫描技术、虚拟机技术。
4.1病毒的检测技术
常规计算机病毒的检测是对主引导区、可执行文件、内存空间和病毒特征值进行对比分析,寻病毒感染后留下的痕迹。
4.1.1检查磁盘的主引导扇区
硬盘的主引导扇区,分区表以及文件分配表,文件目录区是病毒攻击的主要目标。引导病毒
主要攻击磁盘上的引导扇区。硬盘存放主引导记录的主引导扇区一般位于001扇区。病毒侵犯引导扇区的重点是前面的几十个字节。发现与引导扇区信息有关的异常现象,可通过检查主引导扇区的内容来诊断故障。
4.1.2检查可执行文件
主要是检查后缀为COMEXE等可执行文件的长度、内容、属性等来判断是否感染了病毒。一般检查这些程序的头部,即前面的20个左右字节,因为大多数病毒会改变文件首部。
4.1.3检查内存空间
计算机病毒在传染或执行时,必然要占有一定内存空间,并驻留在内存中,等待时机进行攻击或传染。病毒占据的内存空间一般是用户不能覆盖的,因此可通过检查内存的大小和内存中的数据来判断是否有病毒。可采取一些常用的简单工具如DEBUGPCTOOLSG来检查。