试述初探探讨计算机病毒及其预防和处理措施
最后更新时间:2024-03-15
作者:用户投稿
本站原创
点赞:9575
浏览:35018
本站原创
点赞:9575
浏览:35018
论文导读:
摘要:该文简要的介绍了计算机病毒的发展史,分析了计算机病毒及计算机网络病毒的特点、分类及其造成的危害。列出了几种典型的病毒,并对其进行技术分析,从而来初步探讨对付计算机病毒的方法和预防措施。
关键词:病毒;特点;防范;网络
1009-3044(2013)26-5843-11
现在网络高度发达,互联网日益成为全球性工具,为计算机病毒的大规模爆发提供了有效的传播途径,因此计算机病毒就成为信息系统安全的主要威胁 ,尤其是计算机网络病毒,通过网络特别是电子邮件传播的病毒,与传统计算机病毒相比,表现出了更快的传播速度以及更强的破坏性。有鉴于此,为了确保计算机系统及网络信息的安全,研究计算机病毒的性质特征、传染途径、防范措施等,对于防范计算机系统及网络信息的安全尤为重要。
1 计算机网络病毒的特点及危害
在计算机病毒刚出现时,人们对计算机病毒的认识不够,防范意识不强,还没来得及深刻认识它的作用,它就已经开始大量传播,肆意横行了。刚开始的计算机病毒只是在单机中传播,而如今随着计算机网络应用的日益普及,计算机病毒凭借互联网迅速的传播、繁殖,其速度和危害性已引起越来越多人的重视。目前,在网络信息安全领域,计算机病毒特别是网络病毒已经成为一种有效的攻击手段。
电脑病毒最初的历史,可以追溯至一九八二年,Rich Skerta撰写了一个名为:“Elk 源于:本科论文www.7ctime.com
Cloner”的电脑程序,到现在已经发现的计算机病毒近七十万个,极大地威胁着计算机信息安全。从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。1994年2月18日,我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》,在其中第二十八条中明确指出,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能,或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
这是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,造成被感染的计算机工作失常甚至瘫痪。是否具有感染性是判别一个程序是否为计算机病毒的重要条件。
2)隐蔽性
病毒通常附在正常程序中或磁盘较隐蔽的地方,也有的以隐含文件形式出现。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的。计算机病毒的源程序可以是一个独立的程序体,源程序经过扩散生成的再生病毒一般采用附加和插入的方式隐藏在可执行程序和数据文件中,采取分散和多处隐藏的方式,当有病毒程序潜伏的程序被合法调用时,病毒程序也合法进入,并可将分散的程序部分在所非法占用的存储空间进行重新分配,构成一个完整的病毒体投入运行。
3) 潜伏性
大部分病毒感染系统后,会长期隐藏在系统中,悄悄的繁殖和扩散而不被发觉,只有在满足其特定条件的时候才启动其表现(破坏)模块。
4) 破坏性(表现性)
任何病毒只要入侵系统,就会对系统及应用程序产生程度不同的影响。轻则会降低计算机工作效率,占用系统资源,重则可导致系统崩溃,根据病毒的这一特性可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或无关紧要的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒具有明确的目的,或破坏数据、删除文件,或加密磁盘、格式化磁盘,甚至造成不可挽回的损失。
5) 不可预见性
从病毒的监测方面看,病毒还有不可预见性。计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,而且病技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。
6) 触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行进攻的特性称为可触发性。病毒既要隐蔽又要维持攻击力,就必须有可触发性。
病毒的触发机制用于控制感染和破坏动作的频率。计算机病毒一般都有一个触发条件,它可以按照设计者的要求在某个点上激活并对系统发起攻击。
触发的条件有以下几种。
?以时间作为触发条件。计算机病毒程序读取系统内部时钟,当满足设计的时间时,开始启发。
?以计数器作为触发条件。计算机病毒程序论文导读:
内部设定一个计数单元,当满足设计者的特定值时就发作。
?以特定字符作为触发条件。当敲入某些特定字符时即发作。
?组合触发条件。综合以上几个条件作为计算机病毒的触发条件。
7) 针对性
有一定的环境要求,并不一定对任何系统都能感染。
8) 寄生性(依附性)
计算机病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在浸入到宿主程序后,一般会对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而进行自我复制。
通常认为,计算机病毒的主要特点是传染性、隐蔽性、潜伏性、寄生性、破坏性。
良性病毒是指其中不含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停的进行扩散,会使计算机程序工作异常,但不会破坏计算机内的数据。 良性病毒取得系统控制权后,会导致整个系统运行效率降低,可用内存容量减少,某些应用程序不能运行,还与操作系统和应用程序争抢CPU的控制权,有时还会导致整个系统死锁。常见的良性病毒有“小球”病毒、“台湾一号”、“维也纳”、“巴基斯坦”病毒等。
2) 恶性病毒
恶性病毒在其代码中包含有破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。恶性病毒感染后一般没有异常表现,会将自己隐藏的很深,但是一旦发作,就会破坏计算机数据、删除文件,有的甚至会对硬盘进行格式化,造成整个计算机瘫痪,等人们察觉时,已经对计算机数据或硬件造成了破坏,损失将难以挽回。
这种病毒很多,如“黑色星期五”病毒,“CIH系统毁灭者”病毒等。
1) 引导型病毒
引导型病毒是指开机启动时,病毒在DOS的引导过程中被载入内存,它先于操作系统运行,所依靠的环境是BIOS中断服务程序。引导区是磁盘的一部分,它在开机启动时控制计算机系统。引导型病毒正是利用了操作系统的引导区位置固定,且控制权的转交方式以物理地址为依据,而不是以引导区内容为依据这一特点,将真正的引导区内容进行转移或替换,待病毒程序被执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中等待传染和发作。
引导型病毒按其寄生对象的不同,又可分为主引导区病毒和引导区病毒。主引导区病毒又称分区病毒,此病毒寄生在硬盘分区主引导程序所占据的硬盘0磁头0柱面第1个扇区中。引导区病毒是将病毒寄生在硬盘逻辑0扇区或移动存储器的0扇区。
2) 文件型病毒
文件型病毒存放在可执行文件的头部或尾部。目前绝大多数的病毒都属于文件型病毒。
文件型病毒将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,引入内存,并占领CPU得到控制权。病毒会在磁盘中寻找未被感染的可执行文件,将自身放入其首部或尾部,并修改文件的长度使病毒程序合法化,它还能修改该程序,使该文件执行前首先挂靠病毒程序,在病毒程序的出口处再跳向原程序开始处,这样就使该执行文件成为新的病毒源。已感染病毒的文件执行速度会减缓,甚至会完全无法执行,有些文件遭感染后,一执行就会被删除。
文件型病毒按照传染方式的不同,又分为非常驻型、常驻型和隐形3钟。
?非常驻型病毒:非常驻型病毒将自己寄生在.com、.exe或是.sys文件中,当执行感染病毒的程序时,该病毒就会传染给其他文件。
?常驻型病毒:常驻型病毒躲藏在内存中,会对计算机造成更大的伤害,一旦它进入内存中,只要文件被执行,就会迅论文导读:毒蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。3)寄生型病毒除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型
速感染其他文件。
?隐形文件型病毒:把自己植入操作系统里,当程序向操作系统要求中断服务时,它就会感染这个程序,而且没有任何表现。
另外,需要注意的一点是,随着微软公司的Word字处理软件的广泛使用以及Internet的推广普及,又出现了一种新病毒,这就是宏病毒。宏病毒应该算是文件型病毒的一种。宏病毒已占目前全部病毒数量的80%以上,它是发展最快的病毒,而且宏病毒可以衍生出各种变种病毒。
3) 混合型病毒
混合型病毒通过技术手段把引导型病毒和文件型病毒组合成一体,使之具有引导型病毒和文件型病毒两种特征,以两者相互促进的方式进行传染。这种病毒既可以传染引导区又可以传染可执行文件,增加了病毒的传染性以及生存率,使其传播范围更广,更难于清除干净。
1)伴随型病毒
伴随型病毒并不改变文件本身,而是根据算法产生.exe文件的伴随体,与文件具有同样的名称和不同的扩展名。当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe文件。
2) 蠕虫型病毒
蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。
3) 寄生型病毒
除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型病毒、诡秘型病毒和变型病毒。
?练习型病毒自身包含错误,不能很好的传播,例如一些处在调试阶段的病毒。
?诡秘型病毒一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等进行DOS内部修改,由于该病毒使用比较高级的技术,所以不易清除。
?变型病毒又称幽灵病毒,这种病毒使用较复杂的算法,使自己每传播一份都具有不同的内容和长度。它们通过由一段混有无关指令的解码算法和变化过的病毒体组成。
1)源码型病毒
源码型病毒攻击的目标是源程序。在源程序编译之前源于:如何写论文www.7ctime.com
,将病毒代码插入源程序,编译后,病毒变成合法程序的一部分,成为以合法身份存在的非法程序。源码型病毒比较少见,在编写时要求源码病毒所用语言必须与被攻击源码程序语言相同。
2) 入侵型病毒
入侵型病毒可用自身代替宿主程序中的部分模块或堆栈区,因此这类病毒只攻击某些特定程序,针对性强,而且该病毒一旦入侵程序体后很难消除。
3) 外壳型病毒
外壳型病毒将其自身附在宿主程序的头部或尾部,相当于给宿主程序增加了一个外壳,但对宿主程序不做修改。这种病毒最为常见,易于编写,也易于被发现,通过测试文件的大小即可发现。大部分的文件型病毒都属于这一类。 源于:毕业小结www.7ctime.com
送垃圾邮件泄露、自动拨打电话、发短(彩)信等进行恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正常使用手机。
随着智能手机的不断普及,手机病毒成为了病毒发展的下一个目标。手机中的软件,嵌入式操作系统(固化在芯片中的操作系统,一般由 JA、C++等语言编写),相当于一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞来入侵手机的。
手机病毒通常有四种传播方式,一是利用蓝牙方式传播:“卡波尔”病毒会修改智能手机的系统设置,通过蓝牙自动搜索相邻的手机是否存在漏洞,并进行攻击。二是感染PC上的手机可执行文件:“韦拉斯科”病毒感染电脑后,会搜索电脑硬盘上的SIS可执行文件并进行感染。三是利用MMS多媒体信息服务方式来传播:一种新的手机病毒传播方式出现,通过MMS多媒体信息服务方式来传播。四是利用手机的BUG攻击:这类病毒一般是在便携式信息设备的“ EPOC”上运行,如“EPOC-ALARM”、“EPOC-BANDINFO.A”、“EPOC-FE.A”、“EPOC-GHOST.A”、“EPOC-ALIGHT.A”等。
手机病毒可以导致用户信息被窃、传播非法信息、破坏手机软硬件和造成通讯网络瘫痪。现在,清除手机病毒最好的方法就是删除带有病毒的短信。如源于:论文写法www.7ctime.com
果发现手机已经感染病毒,应立即关机,死机了,则可取下电池,然后将SIM卡取出并插入另一型号的手机中(手机品牌最好不一样),将存于SIM卡中的可疑短信删除后,重新将卡插回原手机。如果仍然无法使用,则可以与手机服务商联系,通过无线网站对手机进行杀毒,或通过手机的IC接入口或红外传输接口进行杀毒。
由于在我们国家手机的使用还在起步阶段,以手机目前的数字处理能力 (容量和运算),还不至于强大到可以独立处理、传播病毒。所以病毒只能通过电脑、WAP服务器、WAP网关来骚扰手机。所以大家只要注意不要接乱码电话,尽量少从网上下载信息就不会有大的问题了。
应对手机病毒应坚持预防、查杀相结合的原则。不随意查看乱码短信,不随意下载手机软件,不随意浏览危险网站,不随意接受陌生人的红外、蓝牙请求等。一旦手机感染病毒,应尽快选择专业权威的杀毒软件进行查杀。目前行业内受到普遍公认的杀毒软件有杀毒先锋、腾讯手机管家、360安全卫士等软件。
计算机网络病毒的具体危害主要表现在以下几个方面。
?病毒发作对计算机数据信息的直接破坏。比如格式化硬盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件等。
?占用磁盘空间和对信息的破坏。例如引导型病毒会占据引导扇区,把原来的引导区转移到其他扇区,被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒一般不会破坏磁盘上的原有数据,只是非法侵占磁盘空间,个别文件型病毒传染速度很快,在短时间内感染大量文件,使每个文件都不同程度的加长,造成磁盘空间的严重浪费。
?抢占系统资源。大多数病毒在活动状态下是常驻内存的,会导致内存减少,使一部分较大的软件不能运行。此外,病毒还抢占中断,计算机操作系统的很多功能是通过中断调用技术来实现的,病毒为了传染发作,总是修改一些有关的中断地址,从而干扰系统的正常运行。网络病毒会占用大量的网络资源,使网络通信变得极为缓慢,甚至无法使用。
?影响计算机的运行速度。病毒为了判断传染发作条件,总要对计算机的工作状态进行监视,这对计算机的正常运行既多余又有害。
?计算机病毒错误与不可预见的危害。病毒通常是个别人在一台计算机上匆匆编制调试后就向外抛出。绝大多数的病毒都存在不同程度的错误。另外,有些计算机初学者出于好奇修改别人的病毒,生产变种病毒,其中就隐含着很多错误,这些错误所产生的后果往往是不可预见的,有可能比病毒本身的危害还要大。
?计算机病毒给用户造成严重的心理论文导读:通过网络传播的恶性病毒,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。2.1.2蠕虫病毒的基本结构和传播过程蠕虫的基本程序结构包括以下三个模块?传播模块:负责蠕虫的传播,传播模块又可分为三个基本模块,即扫描模块、攻击模块和复制模块。?隐藏模块:浸入主机后,隐藏蠕虫程
压力。据有关计算机销售部门统计,用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60%以上。经检测确实有病毒的约占70%,其余的情况只是用户怀疑有病毒。大多数用户对病毒采取宁可信其有的态度,往往要付出大量的时间、金钱等代价去防护。另外,仅仅因为怀疑有病毒而格式化磁盘所带来的损失更是难以弥补。
总之,计算机病毒像幽灵一样笼罩在广大计算机用户的心头,给人们造成巨大的心理压,极大地影响了计算机的使用效率,由此带来的无形损失是难以估量的。
2 几种典型病毒的分析
计算机病毒有上万种,下面介绍几种常见的典型的计算机病毒。 [3]
2.
?传播模块:负责蠕虫的传播,传播模块又可分为三个基本模块,即扫描模块、攻击模块和复制模块。
?隐藏模块:浸入主机后,隐藏蠕虫程序,防止被用户发现。
?目的功能模块:实现对计算机的控制、监视或破坏等功能。
蠕虫程序的一般传播过程为:
1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
2)攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
3)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
由此可见,传播模块实现的实际上是自动入侵的功能,所以蠕虫的传播技术是蠕虫技术的核心。
2.
震荡波病毒的发作过程主要是,首先随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,若该计算机存在MS04-01漏洞,将会自动运行后门程序,打开9996端口,然后使远程计算机连接病毒打开的FTP端口5554,下载病毒并运行。病毒运行后,将自身复制为%WinDir%\napatch.exe,并在注册表启动项HKEY LOCAL MACHINE\SOFTWARE\Micro源于:论文模板www.7ctime.com
soft\Windows\Current Version\Run下创建:”napatch.exe”=%WinDir%\napatch.exe;这样,病毒在Windows启动时就可以自动运行。另外,病毒还会利用漏洞攻击LSASS.EXE进程,使该进程瘫痪,Windows系统会在1分钟倒计时结束时重新启动。同时在C:\win
应对措施是下载并断网安装微软的安全更新KB837001,KB828741,KB835732。终止serve和*****_up进程,并删除注册表中与serve和_up相关的健值。当然也可以下载专杀工具进行杀毒。论文导读:清除木马v2.2服务器程序、路径用户是可以随意定义的,写入注册表的键名也可以自己定义。因此,不能明确说明。你可以察看注册表,把可疑的文件路径
2.2
其他的一些方法,例如在正常操作计算机时,发现计算机的处理速度明显变慢、硬盘不停读写、鼠标不听使唤、键盘无效、一些窗口自动关闭或打开……这一切都表明可能是木马客户端在远程控制计算机。
1)冰河v1.1 v
清除木马v1.1
打开注册表Regedit,点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run查找以下的两个路径,并删除
" C:\windows\system\ kernel3
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序,重新启动。 [3][4]清除木马v2.2
服务器程序、路径用户是可以随意定义的,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows,清除完毕。
2)Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expio论文导读::\WINDOWS\Cmctl32.exe"关闭Regedit,重新启动到MSDOS系统中删除C:\WINDOWS\Cmctl32.exe清除完毕。2.3宏病毒2.3.1宏病毒简介宏病毒是一种使用宏编辑语言编写的病毒,主要寄生于Word文档或模板的宏中。一旦打开这样的文档,宏病毒就会被激活,进入计算机内存并驻留在Normal模板上,从而感染所有自动保存
rer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动,清除完毕。
3)AttackFTP
清除木马的步骤:
打开win.ini文件
在【WINDOWS】下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
清除完毕。
4)Back Construction1.0 -
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl3
删除C:\WINDOWS\Cmctl32.exe
清除完毕。
宏病毒通常使用VB脚本,影响微软的Office组建或类似的应用软件,大多通过邮件传播。
?多平台交叉感染。当Word、Excel这类软件在不同平台(如Windows、OS/2和MacinTosh)上运行时,会被宏病毒交叉感染。
?容易编写。宏病毒以源代码形式出现,所以编写和修改宏病毒就更容易了。这也是宏病毒的数量居高不下的原因。
源于:毕业设计论文网www.7ctime.com
?容易传播。只要打开带有宏病毒的电子邮件,计算机就会被宏病毒感染。此后,打开或新建文件都会感染宏病毒。
2.
?禁止所有宏的执行。在打开Word文档时,按住Shift键,即可禁止自动宏,从而达到防治宏病毒的目的。
?检查是否存在可疑的宏。若发现有一些奇怪名字的宏,肯定就是病毒无疑了,将它立即删除即可。即便删错了也不会对Word文档内容产生任何影响。具体做法是,选择【工具】|【宏】命令,打开【宏】对话框,选择要删除的宏,单击【删除】按钮即可。
?按照自己的习惯设置。重新安装Word后,建立一个新文档,将Word的工作环境按照自己的使用习惯进行设置,并将需要使用的宏一次编制好,做完后保存新文档。这时候的Normal.dot模板绝对没有宏病毒,可将其备份起来。在遇到宏病毒时,用备份的Normal.dot模板覆盖当前的模板,可以消除宏病毒。
?使用Windows自带的写字板。在使用可能有宏病毒的Word文档时,先用Windows自带的写字板打开文档,将其转换为写字板格式的文件保存后,再用Word调用。因为写字板不调用、不保存宏,文档经过这样的转换,所有附带的宏(包括宏病毒)都将丢失。
?提示保存Normal模板。选择【工具】|【选项】命令,在【选项】对话框中打开【保存】选项卡,选中【提示保存Normal模板】复选框。一旦宏病毒感染了Word文档,退出Word时,Word就会出现“更改的内容会影响到公用模板Normal,是否保存这些修改内容?”的提示信息,此时应选择“否”,退出后进行杀毒。
?使用.rtf和.csv格式代替.doc和.xls。因为.rtf和.csv格式不支持宏功能,所以交换文件时候,用.rtf格式的文档代替.doc格式,用.csv格式的电子表格代替.xls格式。这样就可以避免论文导读:
宏病毒的传播。
源于:职称论文www.7ctime.com
源于:论文开题报告范文www.7ctime.com
摘要:该文简要的介绍了计算机病毒的发展史,分析了计算机病毒及计算机网络病毒的特点、分类及其造成的危害。列出了几种典型的病毒,并对其进行技术分析,从而来初步探讨对付计算机病毒的方法和预防措施。
关键词:病毒;特点;防范;网络
1009-3044(2013)26-5843-11
现在网络高度发达,互联网日益成为全球性工具,为计算机病毒的大规模爆发提供了有效的传播途径,因此计算机病毒就成为信息系统安全的主要威胁 ,尤其是计算机网络病毒,通过网络特别是电子邮件传播的病毒,与传统计算机病毒相比,表现出了更快的传播速度以及更强的破坏性。有鉴于此,为了确保计算机系统及网络信息的安全,研究计算机病毒的性质特征、传染途径、防范措施等,对于防范计算机系统及网络信息的安全尤为重要。
1 计算机网络病毒的特点及危害
在计算机病毒刚出现时,人们对计算机病毒的认识不够,防范意识不强,还没来得及深刻认识它的作用,它就已经开始大量传播,肆意横行了。刚开始的计算机病毒只是在单机中传播,而如今随着计算机网络应用的日益普及,计算机病毒凭借互联网迅速的传播、繁殖,其速度和危害性已引起越来越多人的重视。目前,在网络信息安全领域,计算机病毒特别是网络病毒已经成为一种有效的攻击手段。
1.1 计算机病毒的概念
计算机病毒是根据计算机软、硬件所固有的弱点,编制出的具有特殊功能的程序。电脑病毒最初的历史,可以追溯至一九八二年,Rich Skerta撰写了一个名为:“Elk 源于:本科论文www.7ctime.com
Cloner”的电脑程序,到现在已经发现的计算机病毒近七十万个,极大地威胁着计算机信息安全。从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。1994年2月18日,我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》,在其中第二十八条中明确指出,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能,或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
1.2 计算机病毒的特点
1)传染性这是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,造成被感染的计算机工作失常甚至瘫痪。是否具有感染性是判别一个程序是否为计算机病毒的重要条件。
2)隐蔽性
病毒通常附在正常程序中或磁盘较隐蔽的地方,也有的以隐含文件形式出现。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的。计算机病毒的源程序可以是一个独立的程序体,源程序经过扩散生成的再生病毒一般采用附加和插入的方式隐藏在可执行程序和数据文件中,采取分散和多处隐藏的方式,当有病毒程序潜伏的程序被合法调用时,病毒程序也合法进入,并可将分散的程序部分在所非法占用的存储空间进行重新分配,构成一个完整的病毒体投入运行。
3) 潜伏性
大部分病毒感染系统后,会长期隐藏在系统中,悄悄的繁殖和扩散而不被发觉,只有在满足其特定条件的时候才启动其表现(破坏)模块。
4) 破坏性(表现性)
任何病毒只要入侵系统,就会对系统及应用程序产生程度不同的影响。轻则会降低计算机工作效率,占用系统资源,重则可导致系统崩溃,根据病毒的这一特性可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或无关紧要的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒具有明确的目的,或破坏数据、删除文件,或加密磁盘、格式化磁盘,甚至造成不可挽回的损失。
5) 不可预见性
从病毒的监测方面看,病毒还有不可预见性。计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,而且病技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。
6) 触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行进攻的特性称为可触发性。病毒既要隐蔽又要维持攻击力,就必须有可触发性。
病毒的触发机制用于控制感染和破坏动作的频率。计算机病毒一般都有一个触发条件,它可以按照设计者的要求在某个点上激活并对系统发起攻击。
触发的条件有以下几种。
?以时间作为触发条件。计算机病毒程序读取系统内部时钟,当满足设计的时间时,开始启发。
?以计数器作为触发条件。计算机病毒程序论文导读:
内部设定一个计数单元,当满足设计者的特定值时就发作。
?以特定字符作为触发条件。当敲入某些特定字符时即发作。
?组合触发条件。综合以上几个条件作为计算机病毒的触发条件。
7) 针对性
有一定的环境要求,并不一定对任何系统都能感染。
8) 寄生性(依附性)
计算机病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在浸入到宿主程序后,一般会对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而进行自我复制。
通常认为,计算机病毒的主要特点是传染性、隐蔽性、潜伏性、寄生性、破坏性。
1.3 计算机病毒的分类
计算机病毒的分类方法有许多种,所以,同一种病毒可能有多重不同的分法。1.3.1 基于破坏程度分类
基于破坏程度分类是最流行、最科学的分类方法之一、按照此种分类方法,病毒可以分为良性病毒和恶性病毒。
1) 良性病毒良性病毒是指其中不含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停的进行扩散,会使计算机程序工作异常,但不会破坏计算机内的数据。 良性病毒取得系统控制权后,会导致整个系统运行效率降低,可用内存容量减少,某些应用程序不能运行,还与操作系统和应用程序争抢CPU的控制权,有时还会导致整个系统死锁。常见的良性病毒有“小球”病毒、“台湾一号”、“维也纳”、“巴基斯坦”病毒等。
2) 恶性病毒
恶性病毒在其代码中包含有破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。恶性病毒感染后一般没有异常表现,会将自己隐藏的很深,但是一旦发作,就会破坏计算机数据、删除文件,有的甚至会对硬盘进行格式化,造成整个计算机瘫痪,等人们察觉时,已经对计算机数据或硬件造成了破坏,损失将难以挽回。
这种病毒很多,如“黑色星期五”病毒,“CIH系统毁灭者”病毒等。
1.3.2 基于传染方式分类
按照传染方式不同,病毒可分为引导型病毒、文件型病毒和混合型病毒三种。1) 引导型病毒
引导型病毒是指开机启动时,病毒在DOS的引导过程中被载入内存,它先于操作系统运行,所依靠的环境是BIOS中断服务程序。引导区是磁盘的一部分,它在开机启动时控制计算机系统。引导型病毒正是利用了操作系统的引导区位置固定,且控制权的转交方式以物理地址为依据,而不是以引导区内容为依据这一特点,将真正的引导区内容进行转移或替换,待病毒程序被执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中等待传染和发作。
引导型病毒按其寄生对象的不同,又可分为主引导区病毒和引导区病毒。主引导区病毒又称分区病毒,此病毒寄生在硬盘分区主引导程序所占据的硬盘0磁头0柱面第1个扇区中。引导区病毒是将病毒寄生在硬盘逻辑0扇区或移动存储器的0扇区。
2) 文件型病毒
文件型病毒存放在可执行文件的头部或尾部。目前绝大多数的病毒都属于文件型病毒。
文件型病毒将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,引入内存,并占领CPU得到控制权。病毒会在磁盘中寻找未被感染的可执行文件,将自身放入其首部或尾部,并修改文件的长度使病毒程序合法化,它还能修改该程序,使该文件执行前首先挂靠病毒程序,在病毒程序的出口处再跳向原程序开始处,这样就使该执行文件成为新的病毒源。已感染病毒的文件执行速度会减缓,甚至会完全无法执行,有些文件遭感染后,一执行就会被删除。
文件型病毒按照传染方式的不同,又分为非常驻型、常驻型和隐形3钟。
?非常驻型病毒:非常驻型病毒将自己寄生在.com、.exe或是.sys文件中,当执行感染病毒的程序时,该病毒就会传染给其他文件。
?常驻型病毒:常驻型病毒躲藏在内存中,会对计算机造成更大的伤害,一旦它进入内存中,只要文件被执行,就会迅论文导读:毒蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。3)寄生型病毒除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型
速感染其他文件。
?隐形文件型病毒:把自己植入操作系统里,当程序向操作系统要求中断服务时,它就会感染这个程序,而且没有任何表现。
另外,需要注意的一点是,随着微软公司的Word字处理软件的广泛使用以及Internet的推广普及,又出现了一种新病毒,这就是宏病毒。宏病毒应该算是文件型病毒的一种。宏病毒已占目前全部病毒数量的80%以上,它是发展最快的病毒,而且宏病毒可以衍生出各种变种病毒。
3) 混合型病毒
混合型病毒通过技术手段把引导型病毒和文件型病毒组合成一体,使之具有引导型病毒和文件型病毒两种特征,以两者相互促进的方式进行传染。这种病毒既可以传染引导区又可以传染可执行文件,增加了病毒的传染性以及生存率,使其传播范围更广,更难于清除干净。
1.3.3 基于算法分类
按照病毒特有的算法,可以划分为伴随型病毒、蠕虫型病毒和寄生型病毒。1)伴随型病毒
伴随型病毒并不改变文件本身,而是根据算法产生.exe文件的伴随体,与文件具有同样的名称和不同的扩展名。当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe文件。
2) 蠕虫型病毒
蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。
3) 寄生型病毒
除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型病毒、诡秘型病毒和变型病毒。
?练习型病毒自身包含错误,不能很好的传播,例如一些处在调试阶段的病毒。
?诡秘型病毒一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等进行DOS内部修改,由于该病毒使用比较高级的技术,所以不易清除。
?变型病毒又称幽灵病毒,这种病毒使用较复杂的算法,使自己每传播一份都具有不同的内容和长度。它们通过由一段混有无关指令的解码算法和变化过的病毒体组成。
1.3.4 基于链接方式分类
按照病毒的链接方式,可以分为源码型病毒、入侵型病毒、外壳型病毒和操作系统型病毒。1)源码型病毒
源码型病毒攻击的目标是源程序。在源程序编译之前源于:如何写论文www.7ctime.com
,将病毒代码插入源程序,编译后,病毒变成合法程序的一部分,成为以合法身份存在的非法程序。源码型病毒比较少见,在编写时要求源码病毒所用语言必须与被攻击源码程序语言相同。
2) 入侵型病毒
入侵型病毒可用自身代替宿主程序中的部分模块或堆栈区,因此这类病毒只攻击某些特定程序,针对性强,而且该病毒一旦入侵程序体后很难消除。
3) 外壳型病毒
外壳型病毒将其自身附在宿主程序的头部或尾部,相当于给宿主程序增加了一个外壳,但对宿主程序不做修改。这种病毒最为常见,易于编写,也易于被发现,通过测试文件的大小即可发现。大部分的文件型病毒都属于这一类。 源于:毕业小结www.7ctime.com
1.6.3 捆绑器病毒(Binder)
捆绑器病毒是一个很新的概念,人们编写这种程序的最初目的是希望通过一次点击可以同时运行多个程序,然而这一工具却成了病毒传播的新帮凶。例如,将一个小游戏和病毒通过捆绑器程序捆绑,当用户运行游戏时,病毒也会悄悄的运行。1.6.4 网页病毒
网页病毒是利用网页中的恶意代码来进行破坏的病毒。它容易编写和修改,使用户防不胜防,最好的方法是选用有网页监控功能的杀毒软件以防万一。1.6.5 手机病毒
手机种病毒是一种具有传染性、破坏性的手机程序。其可利用发送短信、彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播,会导致用户手机死机、关机、个人资料被删、向外发论文导读:侵占磁盘空间,个别文件型病毒传染速度很快,在短时间内感染大量文件,使每个文件都不同程度的加长,造成磁盘空间的严重浪费。?抢占系统资源。大多数病毒在活动状态下是常驻内存的,会导致内存减少,使一部分较大的软件不能运行。此外,病毒还抢占中断,计算机操作系统的很多功能是通过中断调用技术来实现的,病毒为了传染发作,总送垃圾邮件泄露、自动拨打电话、发短(彩)信等进行恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正常使用手机。
随着智能手机的不断普及,手机病毒成为了病毒发展的下一个目标。手机中的软件,嵌入式操作系统(固化在芯片中的操作系统,一般由 JA、C++等语言编写),相当于一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞来入侵手机的。
手机病毒通常有四种传播方式,一是利用蓝牙方式传播:“卡波尔”病毒会修改智能手机的系统设置,通过蓝牙自动搜索相邻的手机是否存在漏洞,并进行攻击。二是感染PC上的手机可执行文件:“韦拉斯科”病毒感染电脑后,会搜索电脑硬盘上的SIS可执行文件并进行感染。三是利用MMS多媒体信息服务方式来传播:一种新的手机病毒传播方式出现,通过MMS多媒体信息服务方式来传播。四是利用手机的BUG攻击:这类病毒一般是在便携式信息设备的“ EPOC”上运行,如“EPOC-ALARM”、“EPOC-BANDINFO.A”、“EPOC-FE.A”、“EPOC-GHOST.A”、“EPOC-ALIGHT.A”等。
手机病毒可以导致用户信息被窃、传播非法信息、破坏手机软硬件和造成通讯网络瘫痪。现在,清除手机病毒最好的方法就是删除带有病毒的短信。如源于:论文写法www.7ctime.com
果发现手机已经感染病毒,应立即关机,死机了,则可取下电池,然后将SIM卡取出并插入另一型号的手机中(手机品牌最好不一样),将存于SIM卡中的可疑短信删除后,重新将卡插回原手机。如果仍然无法使用,则可以与手机服务商联系,通过无线网站对手机进行杀毒,或通过手机的IC接入口或红外传输接口进行杀毒。
由于在我们国家手机的使用还在起步阶段,以手机目前的数字处理能力 (容量和运算),还不至于强大到可以独立处理、传播病毒。所以病毒只能通过电脑、WAP服务器、WAP网关来骚扰手机。所以大家只要注意不要接乱码电话,尽量少从网上下载信息就不会有大的问题了。
应对手机病毒应坚持预防、查杀相结合的原则。不随意查看乱码短信,不随意下载手机软件,不随意浏览危险网站,不随意接受陌生人的红外、蓝牙请求等。一旦手机感染病毒,应尽快选择专业权威的杀毒软件进行查杀。目前行业内受到普遍公认的杀毒软件有杀毒先锋、腾讯手机管家、360安全卫士等软件。
1.7 计算机网络病毒的危害
由于计算机网络系统的各个组成部分,接口以及各连接层次的相互转换环节都不同程度存在着某些漏洞和薄弱环节,同时各防护软件也无法做到真正完善,使得病毒可以通过感染网络服务器,进而在网络上快速蔓延。所以计算机网络病毒,其影响要远比单机染毒更大,破坏性也更大。计算机网络病毒的具体危害主要表现在以下几个方面。
?病毒发作对计算机数据信息的直接破坏。比如格式化硬盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件等。
?占用磁盘空间和对信息的破坏。例如引导型病毒会占据引导扇区,把原来的引导区转移到其他扇区,被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒一般不会破坏磁盘上的原有数据,只是非法侵占磁盘空间,个别文件型病毒传染速度很快,在短时间内感染大量文件,使每个文件都不同程度的加长,造成磁盘空间的严重浪费。
?抢占系统资源。大多数病毒在活动状态下是常驻内存的,会导致内存减少,使一部分较大的软件不能运行。此外,病毒还抢占中断,计算机操作系统的很多功能是通过中断调用技术来实现的,病毒为了传染发作,总是修改一些有关的中断地址,从而干扰系统的正常运行。网络病毒会占用大量的网络资源,使网络通信变得极为缓慢,甚至无法使用。
?影响计算机的运行速度。病毒为了判断传染发作条件,总要对计算机的工作状态进行监视,这对计算机的正常运行既多余又有害。
?计算机病毒错误与不可预见的危害。病毒通常是个别人在一台计算机上匆匆编制调试后就向外抛出。绝大多数的病毒都存在不同程度的错误。另外,有些计算机初学者出于好奇修改别人的病毒,生产变种病毒,其中就隐含着很多错误,这些错误所产生的后果往往是不可预见的,有可能比病毒本身的危害还要大。
?计算机病毒给用户造成严重的心理论文导读:通过网络传播的恶性病毒,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。2.1.2蠕虫病毒的基本结构和传播过程蠕虫的基本程序结构包括以下三个模块?传播模块:负责蠕虫的传播,传播模块又可分为三个基本模块,即扫描模块、攻击模块和复制模块。?隐藏模块:浸入主机后,隐藏蠕虫程
压力。据有关计算机销售部门统计,用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60%以上。经检测确实有病毒的约占70%,其余的情况只是用户怀疑有病毒。大多数用户对病毒采取宁可信其有的态度,往往要付出大量的时间、金钱等代价去防护。另外,仅仅因为怀疑有病毒而格式化磁盘所带来的损失更是难以弥补。
总之,计算机病毒像幽灵一样笼罩在广大计算机用户的心头,给人们造成巨大的心理压,极大地影响了计算机的使用效率,由此带来的无形损失是难以估量的。
2 几种典型病毒的分析
计算机病毒有上万种,下面介绍几种常见的典型的计算机病毒。 [3]
2.1 蠕虫病毒
2.1.1 蠕虫病毒的定义
蠕虫(Worm)是一种通过网络传播的恶性病毒,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。2.
1.2 蠕虫病毒的基本结构和传播过程
蠕虫的基本程序结构包括以下三个模块?传播模块:负责蠕虫的传播,传播模块又可分为三个基本模块,即扫描模块、攻击模块和复制模块。
?隐藏模块:浸入主机后,隐藏蠕虫程序,防止被用户发现。
?目的功能模块:实现对计算机的控制、监视或破坏等功能。
蠕虫程序的一般传播过程为:
1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
2)攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
3)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
由此可见,传播模块实现的实际上是自动入侵的功能,所以蠕虫的传播技术是蠕虫技术的核心。
2.
1.3 蠕虫病毒实例——震荡波
震荡波(Worm.Sasser)是一种危害性很强的蠕虫病毒,主要是利用微软的MS04-01漏洞入侵计算机,主要影响Windows 2000/NT/XP/2003系统。震荡波病毒的发作过程主要是,首先随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,若该计算机存在MS04-01漏洞,将会自动运行后门程序,打开9996端口,然后使远程计算机连接病毒打开的FTP端口5554,下载病毒并运行。病毒运行后,将自身复制为%WinDir%\napatch.exe,并在注册表启动项HKEY LOCAL MACHINE\SOFTWARE\Micro源于:论文模板www.7ctime.com
soft\Windows\Current Version\Run下创建:”napatch.exe”=%WinDir%\napatch.exe;这样,病毒在Windows启动时就可以自动运行。另外,病毒还会利用漏洞攻击LSASS.EXE进程,使该进程瘫痪,Windows系统会在1分钟倒计时结束时重新启动。同时在C:\win
2.log中记录其感染的计算机数目和IP地址。
病毒感染的症状是进程中出现serve.exe和*****_up.exe(*****为0-65535之间的随机数字),占用大量的资源。出现LSA Shell错误。导致系统进程lsass.exe错误,强迫计算机重启等。应对措施是下载并断网安装微软的安全更新KB837001,KB828741,KB835732。终止serve和*****_up进程,并删除注册表中与serve和_up相关的健值。当然也可以下载专杀工具进行杀毒。论文导读:清除木马v2.2服务器程序、路径用户是可以随意定义的,写入注册表的键名也可以自己定义。因此,不能明确说明。你可以察看注册表,把可疑的文件路径
2.2
2.1 的定义
木马全称为特洛伊木马(Trojan Horse,英文则简称Trojan),在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,同时又含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为计算机病毒。2.2 工作原理
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的,即时通信软件和用户上网等),甚至可以利用这些打开的端口进入电脑系统。2.3 的检测
查看system.ini、win.ini、启动组中的启动项目。在【开始】|【运行】命令,输入msconfig,运行Windows自带的“系统配置实用程序”。选中system.ini标签,展开【boot】目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是,就有可能中了。选中win.ini标签,展开【windows】目录项,查看“run=”和“load=”行,等号后面应该为空。再看看有没有非正常启动项目,要是有类似netbus、netspy、bo等关键词,就极有可能是中了木马。其他的一些方法,例如在正常操作计算机时,发现计算机的处理速度明显变慢、硬盘不停读写、鼠标不听使唤、键盘无效、一些窗口自动关闭或打开……这一切都表明可能是木马客户端在远程控制计算机。
2.4 实例
Internet上每天都有新的木马出现,所采取的隐蔽措施也是五花八门。下面介绍几种常见的的清除方法。1)冰河v
1.1 v2.2
冰河是最好的国产木马。
清除木马v1.1打开注册表Regedit,点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run查找以下的两个路径,并删除
" C:\windows\system\ kernel3
2.exe"
" C:\windows\system\ sysexplr.exe"关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序,重新启动。 [3][4]清除木马v2.2
服务器程序、路径用户是可以随意定义的,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows,清除完毕。
2)Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expio论文导读::\WINDOWS\Cmctl32.exe"关闭Regedit,重新启动到MSDOS系统中删除C:\WINDOWS\Cmctl32.exe清除完毕。2.3宏病毒2.3.1宏病毒简介宏病毒是一种使用宏编辑语言编写的病毒,主要寄生于Word文档或模板的宏中。一旦打开这样的文档,宏病毒就会被激活,进入计算机内存并驻留在Normal模板上,从而感染所有自动保存
rer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动,清除完毕。
3)AttackFTP
清除木马的步骤:
打开win.ini文件
在【WINDOWS】下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
清除完毕。
4)Back Construction
1.0 - 2.5
清除木马的步骤:
打开注册表Regedit点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl3
2.exe"
关闭Regedit,重新启动到MSDOS系统中删除C:\WINDOWS\Cmctl32.exe
清除完毕。
2.3 宏病毒
2.3.1 宏病毒简介
宏病毒是一种使用宏编辑语言编写的病毒,主要寄生于Word文档或模板的宏中。一旦打开这样的文档,宏病毒就会被激活,进入计算机内存并驻留在Normal模板上,从而感染所有自动保存的文档。如果网络上其他用户打开感染病毒的文档,宏病毒就会转移到他的计算机上。宏病毒通常使用VB脚本,影响微软的Office组建或类似的应用软件,大多通过邮件传播。
2.3.2 宏病毒的特点
?感染数据文件。一般病毒只感染程序,而宏病毒专门感染数据文件。?多平台交叉感染。当Word、Excel这类软件在不同平台(如Windows、OS/2和MacinTosh)上运行时,会被宏病毒交叉感染。
?容易编写。宏病毒以源代码形式出现,所以编写和修改宏病毒就更容易了。这也是宏病毒的数量居高不下的原因。
源于:毕业设计论文网www.7ctime.com
?容易传播。只要打开带有宏病毒的电子邮件,计算机就会被宏病毒感染。此后,打开或新建文件都会感染宏病毒。
2.3.3 宏病毒的预防
防治宏病毒的根本在于限制宏的执行。
?禁止所有宏的执行。在打开Word文档时,按住Shift键,即可禁止自动宏,从而达到防治宏病毒的目的。?检查是否存在可疑的宏。若发现有一些奇怪名字的宏,肯定就是病毒无疑了,将它立即删除即可。即便删错了也不会对Word文档内容产生任何影响。具体做法是,选择【工具】|【宏】命令,打开【宏】对话框,选择要删除的宏,单击【删除】按钮即可。
?按照自己的习惯设置。重新安装Word后,建立一个新文档,将Word的工作环境按照自己的使用习惯进行设置,并将需要使用的宏一次编制好,做完后保存新文档。这时候的Normal.dot模板绝对没有宏病毒,可将其备份起来。在遇到宏病毒时,用备份的Normal.dot模板覆盖当前的模板,可以消除宏病毒。
?使用Windows自带的写字板。在使用可能有宏病毒的Word文档时,先用Windows自带的写字板打开文档,将其转换为写字板格式的文件保存后,再用Word调用。因为写字板不调用、不保存宏,文档经过这样的转换,所有附带的宏(包括宏病毒)都将丢失。
?提示保存Normal模板。选择【工具】|【选项】命令,在【选项】对话框中打开【保存】选项卡,选中【提示保存Normal模板】复选框。一旦宏病毒感染了Word文档,退出Word时,Word就会出现“更改的内容会影响到公用模板Normal,是否保存这些修改内容?”的提示信息,此时应选择“否”,退出后进行杀毒。
?使用.rtf和.csv格式代替.doc和.xls。因为.rtf和.csv格式不支持宏功能,所以交换文件时候,用.rtf格式的文档代替.doc格式,用.csv格式的电子表格代替.xls格式。这样就可以避免论文导读:
宏病毒的传播。
2.3.4 宏病毒的清除
?手工清除。选取【工具】|【宏】命令,打开【宏】对话框,单击【管理器】命令按钮,打开【管理器】对话框,选择【宏方案项】选项卡,在【宏方案项的有效范围】下拉列表中选择要检查的文档,将来源不明的宏删除。退出Word,然后到C盘根目录下查看有没有Autoexec.dot文件,如果有这个文件就删除,再找到Normal.dot文件,删除它。Word会自动重新生成一个干净的Normal.dot文件。到目录C:\Program Files\Microsoft Office\Office\Startup下查看有没有模板文件,如果有而且不是用户自己建立的,则删除它。重启Word,这时Word已经恢复正常了。 [3][4][5]源于:论文致谢范文www.7ctime.com源于:职称论文www.7ctime.com
源于:论文开题报告范文www.7ctime.com