計算機病毒原理及其檢測探析論文

  根據病毒破壞性的大小分為良性病毒和惡性病毒。今天小編要與大家分享的是 :計算機病毒原理及其檢測探析的論文,具體內容如下,希望能幫助到大家!
 

  計算機病毒原理及其檢測探析
 

  計算機已在各個領域得到了廣泛的應用,以其快捷、方便給人們的生活帶來了很大的便利。但計算機病毒容易對計算機造成巨大的破壞和潛在的威脅。因此加強電腦保安工作勢在必行。對一般人來講,計算機病毒似乎是一個專業性很強的問題,但實際上稍加分析,計算機病毒的知識不像想象中的那麼神祕。普通人只要認真學習一下,就能具備基本的知識,同時也能具備一些對抗計算機病毒能力,最大限度的保護自己的網路安全。
 

  1 計算機病毒的概述

  1.1 概念

  一般來講,計算機病毒是指編制或者在計算機程式中插入的對計算機的效能和資料造成破壞,進而影響計算機的正常使用並且具有自我複製功能的指令或者程式程式碼。《中華人民共和國計算機資訊系統安全保護條例》中明確規定:病毒指在計算機程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式程式碼”。計算機病毒旳實質是一組人為的程式或程式碼,具有很強的破壞性、傳染性和自我複製性。

  1.2 計算機病毒的特點

  首先,計算機病毒具有很強的自我複製性,能夠隨著軟體、程式的執行而不斷進行自我繁殖和複製,這也是判斷計算機病毒的一個基本標誌。其次,計算機病毒本身具有很強的傳染性,計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,如果一臺電腦被感染而沒有得到及時處理,病毒就會通過各種途徑和方式感染另一臺電腦。

  第三,計算機病毒具有很強的破壞性,輕則導致資料的丟失和程式的不正常運轉,重則導致機器癱瘓、系統損壞,這也是病毒編制者所欲達到的目的。第四是潛伏性,即病毒會潛伏在電腦一段時間,當條件具備時會自動開啟,破壞電腦,而且還可以設定破壞的目標。第五,計算機病毒具有很強的隱蔽性,一般的病毒可以檢測出來,但是有一些卻檢測不出來,變化很多。

  1.3 計算機病毒的分類

  根據病毒破壞性的大小分為良性病毒和惡性病毒。良性病毒是指只是為了顯示自己的存在但並不對計算機造成任何破壞的病毒,這種病毒具有一般病毒的其他特點,但是具有很小的破壞性。惡性病毒是指以破壞資料或系統為目的的病毒,一般帶有很強的破壞性,有的雖然不破壞資料或系統,但是佔用大量系統資源甚至導致宕機現象。引導扇型病毒:一般出現在DOS的引導過程,開機時啟動。它不以檔案的形式存在磁碟上,沒有檔名或命令顯示,具有極高的隱蔽性。

  引導型病毒通常分為兩部分:第一部分放在磁碟引導扇區中;另一部分和原引導記錄放在磁碟上連續幾個簇中,其位置一般放在第一部分中。各類引導型病毒引入儲存過程大致相同。它們都要修改記憶體可用空間的大小,都植入記憶體的高階,並在記憶體高階為病毒傳播留出工作空間,否則在執行其它程式時可能被覆蓋;都要修改中斷向量表,以便將來有機會佔領CPU,否則即使在記憶體也如同冬眠一樣,不能進行傳播和破壞。檔案型病毒,也被稱為外殼型病毒。

  這種病毒主要存在於副檔名為.COM和.EXE等的可執行檔案的頭部和尾部。只要執行所在程式,病毒就會被啟用,同時又傳染到其他檔案上,而且病毒會控制相關程式。深入型病毒是一種比較複雜的病毒,也被稱之為混合型病毒,具有引導區病毒和檔案型病毒兩種特徵,二者相互促進共同進行傳染,所以傳播範圍比較廣、清除難度大。
 

  2 計算機病毒的檢測

  2.1 一般檢查步驟

  首先是程序選項,這是第一個排查物件。開機後在不啟動任何程式的前提下開啟工作管理員,檢視一下是否存在可疑程序;其次檢視系統程序的路徑是否正確。如果程序都正確則檢視是否有可疑執行緒注入正常程式。程序排查完畢後開啟自啟動專案的排查。首先用msconfig察看是否有可疑的服務,切換到服務選項卡,勾選“隱藏所有Microsoft服務”複選框,然後逐一確認剩下的服務是否正常;

  第二步:用msconfig察看是否有可疑的自啟動項,只要切換到啟動選項卡進行排查即可;最後,用Autoruns檢視更詳細的啟動項資訊。第二步開始檢查網路連線,ADSL使用者可以嘗試使用虛擬撥號進行連線,之後用用冰刃的網路連線檢視有無可疑連線。第四步可以選擇安全模式安全模式開啟電腦,如果無法正常進入則可能存在病毒問題,第五,映像劫持:開啟登錄檔編輯器,檢視有沒有可疑的映像劫持專案,如果存在可疑項則電腦很有可能中毒。最後,CPU時間也是機器是否中毒的一個重要標誌。可以通過開機後系統執行時間作參考,CPU執行時間則是一個很好的參照。

  2.2 具體方法

  1特徵程式碼法。主要用來判斷檔案是否感染病毒,要求兌現關軟體進行不斷的更新以適應要求。特徵程式碼法主要運用了比較法、分析法和掃描法。

  2檢驗和法。通過計算正常檔案內容校驗和,將該校驗和寫入檔案中或寫入別的檔案中儲存。使用檔案前通過對比前後檢驗和來確定檔案是否感染病毒。它的弊端是不能識別病毒種類和病毒名稱,而且還會影響檔案的執行速度,出現錯誤示警。

  3行為監測法。這種方法主要利用病毒的特有行為特性來判斷是否存在病毒。每種病毒都會有自己獨一無二的特性,這種方法正好充分利用了這一點。這種方法具有很強的優勢,即對許多未知病毒都能夠有效發現,但缺點是不能識別病毒名稱,實現起來有一定的難度。

  4軟體模擬法。主要是利用相關軟體來模式和分析程式的執行狀況,確定有無病毒。