計算機病毒研究論文
隨著計算機和網際網路的日益普及,人們的學習、生活和工作都越來越離不開計算機。與此同時,在經歷數次計算機病毒爆發災難洗禮後,如何保障計算機的安全成為社會和學術界共同關注的問題。下面是小編為大家整理的,供大家參考。
範文一:計算機病毒課程實驗教學方法研究
計算機技術的飛速發展給我們的工作和生活帶來了極大的便利,然而伴隨而來的資訊保安問題也日益嚴峻,已經成為影響資訊科技應用和進一步發展的瓶頸。其中計算機病毒就是威脅資訊保安的重要因素之一,如感染可執行檔案的PE病毒、感染Word文件等資料檔案的巨集病毒、以U盤為寄生傳播物件的Auto病毒、利用郵件進行傳播的郵件型病毒、利用系統漏洞進行傳播破壞的蠕蟲、木馬等,無時無刻不在威脅著資訊的安全。然而,目前社會和企業都面臨著資訊保安人才配備嚴重不足的情況,因此,為了維護資訊保安,培養具備分析與對抗紛繁複雜的計算機病毒能力的高素質的應用型、創新型資訊保安人才是目前國家和社會必須面臨的重要問題。資訊保安專業是一個新興的專業,該專業的重要基礎課程“計算機病毒”也是一門隨著資訊科技發展而產生的全新課程,目前在教學環節和教學模式的設計等方面尚存在較多需要探索和改進的地方。“計算機病毒”是一門理論性和實踐性都很強的課程,傳統的“傳遞-接受式”、“重理論、輕實踐”的教學模式只適合培養知識型人才,距離培養面向工程應用的實用性、複合型的資訊保安反病毒專業人才還有很大的差距。因此,必須以“工程實踐創新”理念為導向,研究一種將計算機病毒理論與實踐教學相融合的教學模式和教學方法,以最終達到培養高素質的應用型、創新型資訊保安專業人才的目標。對此,本文重點從“計算機病毒”課程的教學環節與實驗、實踐教學過程設計等方面進行探索,並以計算機病毒中破壞力最為強大、技巧性極強的Win32PE病毒為例展開教學研究,進而為整個課程各個教學環節的改革提供良好的參考。
1課程實驗內容設定
“計算機病毒”課程不僅具有很強的理論性,同時具有很強的實踐性,許多病毒和反病毒技術必須在實踐過程中去認識、理解和掌握,因此,其教學過程必須注重原理和實踐的良好結合。目前,計算機病毒種類繁多,病毒特點與實現原理、執行機制各有不同,對此,本課程的實驗內容主要圍繞“DOS引導型病毒、Windows32PE病毒、Word巨集病毒、Java指令碼病毒、VB指令碼病毒、Outlook郵件病毒、蠕蟲、木馬”等典型的計算機病毒展開。雖然通過案例式的課堂理論教學可以讓學生在一定程度上對計算機病毒保持興趣,但是,如果沒有實踐的環節讓學生“近距離”地接觸病毒、感受病毒,那麼學生的興趣就會漸漸地變淡。因此,必須合理規劃和安排實驗時間,在學生還保持著興趣的情況下儘快安排實驗,使學生從對原理似懂非懂的狀態下親自實踐,深入理解病毒原理,並能夠激發學生想盡快實現分析病毒的“衝動”。為了更好地說明本課程各個實驗教學環節的教學內容安排、教學過程以及教學方法,本文以典型的Win32PE病毒為例進行闡述。
2Win32PE病毒實驗教學過程探索
目前所存在的各種型別的病毒中,Win32的PE病毒最為盛行,功能最強,分析難度也最大,因此,掌握Win32PE病毒的基本原理及其執行機制,並能進行合理的對抗與分析對於一名反病毒分析師非常重要。PE病毒原理複雜,如何既能使學生不會因為原理的複雜而嚇退、放棄,又能使學生激發並保持學習的熱情和興趣,就必須合理設計其教學過程與教學方法,本文主要從以下幾個教學環節展開討論。
2.1理論教學
如果沒有紮實的理論知識的支撐,就不可能有良好的實驗效果。對此,本文從以下幾個角度開展PE病毒的理論教學。
***1***病毒案例的演示與簡單功能說明。由於PE病毒原理非常複雜,如果一開始就進入複雜枯燥的原理講解,必定會使學生的學習興趣消失殆盡。因此,為了保持學生的學習興趣,採用病毒案例演示和簡單講解的方式進行導課,從而激發學生學習的“衝動”。
***2***詳解PE檔案格式。PE檔案格式是Win32環境自身所帶的執行體檔案格式,是PE病毒感染的物件。PE格式的講解比較枯燥,但是內容卻很重要,是學習、理解和掌握PE病毒工作原理的關鍵,為了使學生能聽得進去,就不能僅僅講解PE的結構構成,而要邊講結構邊藉助PPT的動畫演示功能對照一個PE檔案的二進位制資訊進行說明,這樣可以使學生對PE檔案有一個更加直觀的認識。此外,對於PE病毒所關心的PE檔案關鍵欄位要結合病毒的執行機制和行為特點進行講解,告訴學生這個欄位的作用是什麼,病毒如何來利用它,這樣學生不會孤立地學習PE格式,也就不會覺得學得無趣。
***3***講解PE病毒的一般行為及其工作原理。這部分是理解PE病毒行為特點、工作原理、執行機制的核心部分。重點介紹PE病毒的重定位技術、獲取API函式地址的多種方法、獲取感染目標檔案的方法、檔案的多種感染技術等等。
2.2驗證型實驗教學
本課程的病毒驗證型實驗的開展主要是藉助了資訊保安實驗教學平臺,該平臺針對實驗內容提供了詳細的指導,包括實驗基礎、實驗原理及其動畫演示、實驗步驟和思考問題等,並提供了針對性的實驗輔助工具,可以更好地幫助學生理解每類病毒的執行機制。PE病毒的驗證型實驗主要是利用PE檔案資訊檢視工具、二進位制檔案檢視工具、動態除錯工具等多種工具相結合,來驗證PE病毒的基本原理。具體的實驗過程和實驗內容包括:
***1***以一個簡單的PE檔案為例,採用UltraEdit等工具,手動檢視PE檔案的詳細二進位制資訊,以深入理解PE檔案格式。
***2***在虛擬機器中執行病毒,觀察病毒的感染機制、感染前後宿主檔案的變化等,對PE病毒有一個直觀的認識。
***3***以案例病毒為樣本進行分析。首先,使用LordPE等PE檔案資訊檢視工具,分別讀取病毒感染前後宿主檔案的PE頭資訊、資料目錄表、節表等資訊,記錄下病毒所關心欄位的關鍵數值,並分析其不同的原因;然後,使用UltraEdit工具的檔案比較功能,開啟病毒感染前後的檔案,檢視其二進位制資訊,並將UltraEdit視窗中用不同顏色標記的二進位制欄位進行詳細分析,思考病毒修改該欄位的目的所在,進而理解病毒的工作原理和執行機制。最後,結合使用OllyDBG等動態除錯工具將樣本病毒載入進記憶體,分析其在記憶體中的執行過程。
2.3設計型實驗教學
通過驗證型實驗環節使學生對PE病毒的基本原理、執行機制有了一定的理解,但是如果不親自動手實現一個病毒,那麼這種理解不會太深刻,也會有很多的細節無法解釋,對此,設計型實驗教學環節就變的更加重要,本課程需要學生獨立完成以下幾個工作。
***1***簡單PE病毒的設計與實現。請學生從病毒編寫者的角度出發,設計簡單PE病毒的執行過程,並實現一些PE病毒的基本行為和簡單功能,以使學生更深入地理解和掌握PE病毒的一些共性行為特徵和個性的行為特徵,以及這些行為的實現方式。
***2***搭建病毒分析實驗室,分析簡單病毒樣本。搭建病毒分析實驗室,即安裝病毒執行環境-虛擬機器,並將要用到的病毒行為監控工具、病毒分析工具等都裝入其中,如Filemon、Regmon、ProcessExplorer、Tcpview、IceSword、OllDBG、IDA等,然後將最常用的工具執行起來,完成各種配置,最後在虛擬機器中製作快照,以便病毒分析時直接還原快照。在搭建好的病毒分析實驗室中,學生可以獨立分析自己編寫的病毒和教師提供的病毒樣本。病毒分析實驗室的搭建不僅可以督促學生掌握虛擬機器、常用病毒行為監控工具、分析工具等的使用方法,而且可以更方便地執行和分析病毒。
2.4課程拓展-創新型實踐教學
計算機病毒的分析與對抗能力是在大量的實踐過程中培養起來的,因此,在PE病毒課程結課之後,仍需利用國家、學校、學院、教師等創造的各種機會來培養和鍛鍊學生,即鼓勵學生積極參與國家和天津市的資訊保安競賽、科技立項、教師科研專案、知名企業實習實訓平臺、畢業設計等實踐活動,圍繞“病毒的分析與對抗”,自主命題、自主設計解決方案和實驗步驟,以促進學生自主學習與自主科研,提高學生的創新研究能力。
3結語
“計算機病毒”課程是資訊安全系列課程的專業基礎課程之一,對於資訊保安人才的培養具有舉足輕重的作用。為了培養具備分析與對抗紛繁複雜的計算機病毒能力的高素質的工程實踐型資訊保安人才,本文以“工程實踐創新”理念為導向,重點探索了計算機病毒課程實驗教學方面的幾個主要環節,並以Win32PE病毒為例,從理論教學、驗證型實驗教學、設計型實驗教學、創新型實踐教學幾個方面展開了探索,為本課程的後續改革以及資訊保安專業同類課程的教學改革提供參考。
範文二:計算機病毒的起源和發展探析
計算機病毒能夠在計算機執行的過程中破壞其正常的功能,同時還可能造成資料的損壞和丟失,計算機病毒的特性和生物病毒是非常相似的,它會直接複製計算機的命令,同時在短時間內就傳播到其他的地方,計算機病毒在傳播的過程中具有非常強的隱蔽性,在一定的條件下,它能夠對資料產生非常明顯的破壞。
1計算機病毒的起源
1.1科學幻想起源說
20世紀70年代,美國的科學家構想了一種能夠獨自完成複製,同時利用資訊傳播對計算機造成破壞,他將這種程式稱為計算機病毒,這也是人類構想出來的第一個計算機病毒。在這之後,人類通過多種方式對其進行發明和處理,所以從整體上來說也是通過這本書才開啟了計算機病毒的發展之旅。
1.2遊戲程式起源說
在20世紀的70年代,計算機在生產和生活當中的普及程度還不是很高,美國的程式設計師在實驗室當中編制出了能夠吃掉對方的程式,這樣就可以知道到底能否將對方的程式和相關的資料全部吃光,還有一些人認為這就是第一個病毒,但是這也只是一種假設。
1.3軟體商保護
軟體起源說計算機軟體是一種知識指向型的產品,因為人們在應用的過程中對軟體資源的使用和保護存在著非常明顯的不合理性,所以,也就出現了眾多軟體在沒有許可的情況下就被隨意複製,這樣一來也就使得軟體開發商的利益受到了極大的影響。
2計算機病毒的發展
2.1DOS引導階段
在20世紀的80年代,計算機病毒的主要型別是DOS引導型病毒,在這一過程中非常典型的兩種病毒是小球病毒和勢頭病毒,在那個階段,計算機硬體的種類不是很多,計算機本身也相對比較簡單,一般情況下都是需要對軟盤進行啟動處理之後才能啟動的。引導型病毒是藉助軟盤當中的啟動原理來是實現其目的的。它們會對系統啟動扇區進行全面的修改,在計算機啟動的時候一定要首先能夠對其進行全面的控制,這樣也就可以有效的減少系統當中的記憶體,嚴重的還有可能會導致軟盤讀取中斷,這樣也就使得系統自身的執行效率受到了非常大的影響。
2.2DOS可執行階段
20世紀80年代末期,出現了一種新型的病毒,這種病毒叫做可執行檔案型病毒。其在執行的過程中可以充分的利用DOS系統檔案執行的模式對檔案進行執行操作。這種病毒中比較有代表性的有耶路撒冷病毒和星期天病毒等等。病毒程式碼在系統執行檔案的過程中可以獲得非常強的控制權。DOS系統修改也被迫中斷,在系統進行調整和應用的過程中會出現非常明顯的感染現象,同時還將病毒本身加入到檔案當中,這樣一來,檔案的長度以及所佔的記憶體也會有明顯的增加,在這樣的情況下,我們必須要對其進行全面的控制。
2.3伴隨、批次型階段
20世紀90年代初期,出現了一種新型的病毒,這種兵雕塑通常是利用DOS系統載入檔案的程式予以執行,這種病毒通常被我們乘坐是伴隨性的病毒。比較典型的代表就是金蟬病毒,它在EXE檔案當中會形成一個和EXE非常相似,但是其副檔名為COM的伴隨體。。這個時候檔案的副檔名就會變成COM,在DOS系統對檔案進行載入處理的過程中就能夠取得一定的控制權。這類病毒在執行的過程中對原有的檔案內容和日期屬性等都不會產生非常大的影響,所以只要對其進行刪除處理就能消除所有的病毒。在其他的作業系統當中,一些伴隨性的病毒可以藉助系統自身的操作模式和操作語言進行操作,這方面比較典型的代表是海盜旗病毒,其在執行的過程中可以對使用者的戶名和相關的操作指令進行詢問,之後再反饋出一個錯誤的資訊,再將其本身做刪除處理。
2.4多形階段
1994年,隨著組合語言的發展,實現同一功能可以用不同的方式進行,這些方式的組合使—些看似不同的程式碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次檔案就產生不同的程式碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程式,病毒體被隱藏在解碼前的資料中,查解這類病毒就必須先對這段資料進行解碼,這就加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程式區,多數具有解碼演算法,一種病毒往往要兩段以上的子程式方能解除。
2.5變種階段
1995年,在組合語言中,一些資料的運算放在不同的通用暫存器中,可運算出同樣的結果,隨機地插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼演算法就可以內生成器生成,當生成器的生成結果為病毒時,就產生了這種複雜的“病毒生成器”,而變體機就是增加解碼複雜程度的指令生成機制。這—階段的典型代表是“病毒製造機”VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在巨集觀上分析指令,解碼後查解病毒。
2.6網路螟蟲階段
1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是前幾代病毒的改進。在非DOS作業系統中“,蠕蟲”是典型的代表,它不佔用除記憶體以外的任何資源,不修改磁碟檔案,利用網路功能搜尋網路地址,將自身向下—個地址進行傳播,有時也在網路伺服器和啟動檔案中存在。
2.7視窗階段
1996年,隨著windows和wmdows95的日益普及,利用windows進行工作的病毒開始發展,它們修改***NE,PE***檔案,典型的代表是DS.3873,這類病毒的機制更為複雜,它們利用保護模式和API呼叫介面工作,解除方法也比較複雜。
2.8巨集病毒階段
1996年,隨著WindowsWord功能的增強,使用word巨集語言也可以編制病毒,這種病毒使用類DQstc語言、編寫容易,可以感染word文件等檔案,在Excel和AmiPro比現的相同工作機制的病毒也歸為此類,由於文件格式沒有公開,這類病毒查解比較網難。
2.9因特網階段
1997年以後,因特網迅速發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的資料包和郵件越來越多,如果不小心打開了這些郵件或登入了帶有病毒的網頁,計算機就有可能中毒。結束語當前,我國的科學技術在不斷的發展,同時在計算機方面發展也非常的明顯,在其發展的過程中我們也需要不斷的加強對計算機病毒的研究,只有這樣,才能更好的為計算機的平穩執行提供一個相對較為穩定的環境,從而為我國計算機網路技術的發展提供堅實的基礎。