浅谈病毒入侵微机的途径与防治研究.doc

该【浅谈病毒入侵微机的途径与防治研究 】是由【帅气的小哥哥】上传分享，文档一共【19】页，该文档可以免费在线阅读，需要了解更多关于【浅谈病毒入侵微机的途径与防治研究 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。2浅谈病毒入侵微机的途径与防治研究摘要:随着科技的进步计算机不断普及,其利用率越来越高,应用领域也越来越广。不管是日常的工作中,还是学****生活都带来了巨大的改变。但是计算机的产生也是一把双刃剑,在给人们带来方便的同时却也随着计算机参加网络系统而计算机平安受到了越来越多的威胁。目前计算机系统漏洞不断被发现,病毒与黑客的技巧和破坏能力不断提高,处于网络中的计算机受到了越来越多的攻击。阻塞甚至中断网络,破坏计算机系统或丧失个人重要信息等;这些威胁越来越给个人和企业都造成巨大的损失,而对于上述威胁,如何有效的动态保护计算机的应用,不被病毒等恶意信息攻击,早已引起了社会的极大关注。为了加强目前计算机防护能力,我们需要深入研究病毒入侵计算机系统的路径,以及如何在这些路径上进行相应的防治手段的执行。这种根据路径而进行的拦截式防治的思路,无疑是最适宜的计算机系统平安防范思路。而这种思路的深入探讨对于保障计算机的运行可靠性和完整性有着极为重要的意义。关键词:计算机;病毒;防范措施;原理putervirusesandControlAbstract:puter,itsusefactorisgettinghigherandhigher,,'sproductionisalsoadouble-edgedsword,puter,'sskillanddestructivecapabilityenhancedunceasingly,,putersystemorlosesindividualimportantinformationandsoon;Thesethreatsgiveindividualmoreandmoreandtheenterprisecreatethemassiveloss,butregardingtheabovethreat,puter'sapplication,bymaliciousinformationattacksandsoonvirus,alreadytohavebeencausedhowsociety',putersystem'sway,,'puter'smovementreliabilityandtheintegrityhasthegreatimportancethesignificance2puter;viruses;precautions;principle3目录1计算机病毒概述......................................,................................................................................................................... .............................................................................. ..................................................................................................................................................................................................................................................................................................................92计算机病毒动态防御详细分析..............................................................................................................................................................................................................................................................................................133计算机病毒防范措施..........................................................................................................................15 ..........................................***病毒的预防措施..................................、在线交易的预防措施............................ ........................174结束语......................................................185参考文献....................................................19 。电脑病毒的产生要经过这几个过程:程序设计→传播→潜伏→触发→运行→实施攻击。究其产生的原因不外乎以下几种:病毒制造者对病毒程序的好奇与偏好。也有的是为了满足自己的表现欲,成心编制出一些特殊的计算机程序,让别人的电脑出现一些动画,或播放声音,或提出问题让使用者答复。而此种程序流传出去就演变成计算机病毒,此类病毒破坏性一般不大;个别人的报复心理。如台湾的学生陈盈豪,就是出于此种情况,他因为曾经购置的一些杀病毒软件的性能并不如厂家所说的那么强大,于是处于报复目的,自己编写了一个能避过当时的各种杀病毒软件并且破坏力极强的CIH病毒,曾一度使全球的电脑用户造成了巨大灾难和损失;一些商业软件公司为了不让自己的软件被非法复制和使用,在软件上运用了加密和保护技术,并编写了一些特殊程序附在正版软件上,如遇到非法使用,那么此类程序将自动激活并对盗用者的电脑系统进行干扰和破坏,这实际上也是一类新的病毒,如巴基斯坦病毒;恶作剧的心理。有些编程人员在无聊时处于游戏的心理编制了一些有一定破坏性小程序,并用此类程序相互制造恶作剧,于是形成了一类新的病毒,如最早的“磁芯大战〞就是这样产生的;用于研究或实验某种计算机产品而设计的“有专门用途的〞程序,比方远程监控程序代码,就是由于某种原因失去控制而扩散出来,经过用心不良的人改编后会成为具有很大危害的木马病毒程序;由于政治、经济和军事等特殊目的,一些组织或个人编制的一些病毒程序用于攻击敌方电脑,给敌方造成灾难或直接性的经济损失。:用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而成心调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。隐蔽性:计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户觉察。5传染性:传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益兴旺,计算机病毒可以在极短的时间内,这样的网络传遍世界。潜伏性:计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不觉察的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。表现性或破坏性:无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丧失。病毒程序的表现性或破坏性表达了病毒设计者的真正意图。可触发性:计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现局部或破坏局部。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器到达一定次数等[1]。,可以将计算机病毒的表现现象分为三大类,即:计算机病毒发作前、发作时和发作后的表现现象。计算机病毒发作前的表现现象:平时运行正常的计算机突然经常性无缘无故地死机;操作系统无法正常启动;运行速度明显变慢;以前能正常运行的软件经常发生内存缺乏的错误;打印和通讯发生异常;无意中要求对软盘进行写操作;以前能正常运行的应用程序经常发生死机或者非法错误;系统文件的时间、日期、大小发生变化;运行Word,翻开Word文档后,该文件另存时只能以模板方式保存;磁盘空间迅速减少;网络驱动器卷或共享目录无法调用;根本内存发生变化;陌生人发来的电子函件。7计算机病毒发作时的表现现象:提示一些不相干的话;无原无故发出一段的音乐;产生特定的图像;硬盘灯不断闪烁;进行游戏算法;Windows桌面图标发生变化;计算机无原无故突然死机或重启;自动发送电子函件;鼠标自己在动或动不了。计算机病毒发作后的表现现象:硬盘无法启动,数据丧失;系统文件丧失或被破坏;文件目录发生混乱;局部文档丧失或被破坏;局部文档自动加密码;,增加FormatC:一项,导致计算机重新启动时格式化硬盘;使局部可软件升级主板的BIOS程序混乱,主板被破坏;网络瘫痪,无法提供正常的效劳。。这些病毒通常感染可执行代码,例如:.。当受感染的程序从软盘、U盘或硬盘上运行时,可以感染其他文件。这些病中有许多是内存驻留型病毒。内存受到感染之后,运行的任何未感染的可执行文件都会受到感染。文件传染源病毒包括Jerusalem、Cascade等。。在启动期间,病毒是加载到内存。一旦在内存,病毒将感染由系统访问得任何非感染磁盘。引导扇区病毒例如是Michelangelo和Stoned。引导扇区病毒通过引导,或试图从感染了软盘引导,分布到计算机系统。即使如果磁盘不包含需要,成功启动MS-DOC系统文件试图从感染磁盘启动将加载到内存病毒。在内当作设备驱动程序病毒挂钩本身。病毒移动中断12返回,允许本身在内存中保持即使热启动。病毒将然后感染硬盘上首系统中。,它感染磁盘的方式与引导扇区病毒相同。两种病毒类型的区别在于病毒代码的位置。主引导刻录感染源通常将主引导记录的合法副本保存在另一个位置,受到引导扇区病毒或主引导记录病毒感染的WindowsNT/2000/2024计算机将不能启动,这是由于WindowsNT/2000/2024操作系统访问其引导信息的方式与Windows9x不同。主引导记录病毒主要有NYB、AntiExe和Unashamed等。。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、去除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行去除。虽然好似是去除了,但还留有隐患,这种经过消毒后的“洁净〞系统更赋有攻击性。这种病毒有Flip病毒、新世7纪病毒、One-half病毒等。,它主要感染数据文件。随着MicrosoftOffice97中VisualBasic的出现。编写的宏病毒不仅可以感染数据文件,还可以感染其他文件。宏病毒可以感染MicrosoftOfficeWord、Excel、ess文件。这些病毒很容易创立,现在传播着的就的几千种,、、[2]。〔pingofdeath〕:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。 泪滴〔teardrop〕:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP〔包括servicepack4以前的NT〕在收到含有重叠偏移的伪造分段时将崩溃。UDP洪水〔UDPflood〕:各种各样的假冒攻击利用简单的TCP/IP效劳,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen效劳之间的一次的UDP连接,回复地址指向开着Echo效劳的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的效劳攻击。 SYN洪水〔SYNflood〕:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创立连接,如果这一缓冲区充满了虚假连接的初始信息,该效劳器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创立连接不受限制的实现里,SYN洪水具有类似的影响。Land攻击:在Land攻击中,一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个效劳器地址,此举将导致接受效劳器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创立一个空连接,每一个这样的连接都将保存直到超时掉,对Land攻击反响不同,许多UNIX实现将崩溃,NT变的极其缓慢〔大约持续五分钟〕。8Smurf攻击:一个简单的smurf攻击通过使用将回复地址设置成受害网络的播送地址的ICMP应答请求〔ping〕数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞,比pingofdeath洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。Fraggle攻击:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP电子邮件炸弹:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。畸形消息攻击:各类操作系统上的许多效劳都存在此类问题,由于这些效劳在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。?特洛伊木马:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做***程序,Bus、BackOrifice和BO2k,cat、VNC、pcAnywhere。理想的***程序透明运行。?缓冲区溢出:由于在很多的效劳程序中大意的程序员使用像strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步翻开平安豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。?信息收集型攻击:信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。?假消息攻击:用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。DNS高速缓存污染:由于DNS效劳器与其他名称效劳器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。伪造电子邮件:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。9脚本攻击:是一件艺术而不是漏洞!首先我们先要知道什么是脚本,脚本就是运行在网页效劳器上的文本程序,是利用这些文件的设置和编写时的错误或者疏忽不当,攻击者就可以利用这些来到达自己攻击目的脚本攻击就是针对这些数据库来配合脚本对一些变量的过滤不严的问题来到达得到用户密码等敏感信息,修改数据库等目的[3]。,推荐8-16位数字+大小写字符+特殊符号;win2k/xp可考虑把administrator用户改名;尽量使用网络共享,采用ftp等更平安的方式代替〔默认共享目录,列举用户名,空密码漏洞是著名的容易被利用〕;如果必要情况下需要使用,请一定设置上8位以上的复杂密码,并制定文件目录确实实需要的最小权限〔例如提供资料让人下载的,就只需要设置成只读权限就行了〕及时升级系统和工具补丁;〔这点我在此文中一直在强调,但事实上是——不少用户宁可每天花10个小时的时间玩游戏,也不愿意花10分钟去访问一下windows的update站点,安装杀毒软件/防火墙是治标,打patch才是治本,随时打好patch是每日必修功课〕;安装带有病毒即时监控/邮件监控的杀毒程序,并及时升级病毒库;〔很多朋友强调自己用的是正版杀毒软件,但一直忽略了购置正版杀毒软件的最必要因素——获得良好的升级支持效劳,不升级病毒库的杀毒软件是无法捕捉到新病毒的。因此天缘个人建议每天2次升级最新病毒库是比拟适合的,一次在早上开机时,一次在下午开机时〕;使用更优秀的软件代替产品;〔例如用myie2代替ie,mand代替资源浏览器。不是说微软自身的产品不能用——有时候就是因为微软的产品功能太多,众多的功能中有可能有存在漏洞的,就会危机到系统平安了,所以推荐使用代替产品。而事实上不少第三方软件确实相当好用的〕使用个人版网络防火墙,将icmp反响禁止,再根据自己需要把敏感端口全部禁止掉;〔在金山、瑞星、kv、天网的防火墙设置中,很容易找到“禁止icmp回应〞,“禁止ping响应〞这样的规那么,勾选上就行了〕win2k/xp自带的ipsec也能实现,不过比拟繁复一些,个人感觉适合系统管理员而不是普通用户,另外winxp自带的防火墙也能作到禁止ping回应,各位可以试着开启它〕修改xp/win2000的默认设置,在效劳中禁止掉自己不需要的一些效劳。如messager和远程操作注册表都是常常被利用的效劳程序;〔在中文版本中,都有详细的中文提示,yesky网站上的介绍文章也相当多,各位可以搜索一下〕10养成平安意识。网络前辈说过一句名言“平安,从来都不是技术问题,而是一个意识〞前面几条都是在第8条的根底上得到表达的,如果没有了平安意识,即使用再昂贵的杀毒软件也懒于升级、用再优秀的操作系统也懒于打patch,那么一切都是白费了。特别是对待目前逐渐成为主流的病毒/攻击欺骗而言,如果用户不在主观上保持“存疑〞的态度,那么随意接受/翻开外来的文件,中毒的可能性是相当大的。另外补充一句,网络上只有“本地〞和“远程〞2个概念,不管是不是朋友的计算机,是不是同一个工作组内的机器,它始终是台远程机器发送过来的数据——保持必要的疑心,不管该计算机是谁拥有。在金山,瑞星和kv3000的主页,对待流行病毒,都有专杀工具和注册表修复工具免费下载,如果用户能确认自己所中的是何种病毒时,使用专杀工具能获得更高的杀毒效率;而且在这些站点上,还有最新的病毒预报可以看到,方便用户提前作好准备以及了解攻击细节。:这类病毒的编写者的技术水平可说相当高超,此类病毒大多用汇编/c编写,利用被感染程序中的空隙,将自身拆分为数段藏身其中,在可执行文件运行的同时进驻到内存中并进行感染工作,dos下大多为此类病毒居多,在windows下由于win95时期病毒编写者对pe32的格式没吃透,那段时间比拟少,之后在win98阶段这类病毒才扩散开来,其中大家广为熟悉的CIH病毒就是一例;在windows开展的中后期,互联网络开始兴盛,此类病毒开始结合网络漏洞进行传播,其中的杰出代表为funlove传播——由于windows的操作系统的局网共享协议存在默认共享漏洞,以及大局部用户在设置共享的时候贪图方便不设置复杂密码甚至根本就没有密码,共享权限也开启的是“完全访问〞。导致funlove病毒通过简单尝试密码利用网络疯狂传播。病毒浅析:由于此类病毒的编写对作者要求很高,对运行环境的要求也相当严格,在编写不完善的时候,会导致系统异常〔例如CIH的早期版本会导致winzip出错和无法关闭计算机等问题;funlove在nt4上会导致mssqlserver的前台工具无法调出界面等问题〕。这类病毒赖以生存的制约是系统的运行时间和隐蔽性。运行时间——系统运行的时间越长,对其感染其他文件越有利,因此此类病毒中一般不含有恶意关机等代码,染毒后短期内〔一般24小时内〕也不会导致系统崩溃〔如果你是25日感染cih除外〕,和其他病毒相比用户有足够的处理时间。破坏引导区的大脑病毒、择日发作的星期五病毒、直接读写主板芯片,采用驱动技术的CIH病毒都是其中的代表。