計算機病毒防範論文

　　為了確保計算機網路安全,保護計算機使用者切身利益,瞭解計算機病毒,並採取有效措施進行病毒防範,在當下計算機技術發展過程中,尤為重要。下面是小編為大家整理的，供大家參考。

　　範文一：計算機病毒防範研究

　　一、重寫病毒是不能從系統中徹底刪掉的

　　只能刪掉被感染的檔案，然後再從備份介質恢復。一般來說，重寫病毒不是非常成功的威脅，因為病毒造成的威脅明顯太容易被發現了。然而，這種病毒效果如果基於網路的傳播技術結合起來，可能產生很大的威脅，比如:VBS/LoveLetter.A@mm通過群發郵件把病毒傳送到其他系統中，當該病毒執行時，它會用自己的拷貝重寫本地所有下面副檔名的檔案:.vbs，.vbe，.js，.css，.wsh，.sct，.gta，.jpg，.jpeg，.wav，.txt，.gif，.doc，.htm，.html，.xls，.ini，.bat，，.avi，.mpg，.mpeg，.cpp，.c，.h，.swd，.psd，.wri，.mp3，.and，.mp2等。重寫技術的另一種罕見形式是不改變檔案頂部的程式碼，而是在宿主檔案中隨機找一個位置把自己寫進去。顯然，這種病毒不太可能獲得控制權，它通常會導致宿主在執行到病毒程式碼之前就崩潰了。這種病毒的例子是俄羅斯的Omud。現在的反病毒掃描程式會為了提高效能而減少磁碟I/O，因此如果可能的話，只查詢已知的位置。掃描器在查詢隨機重寫病毒時有一定的問題，因為掃描器必須搜尋宿主程式的全部內容，這種操作的I/O開銷太大了。有些比較簡單的而病毒並不主動駐留在記憶體中，最先感染IBMPC的檔案感染型別病毒Virdem和Vienna就是這樣，通常，直接感染型病毒的傳播速度比較慢，傳播範圍也比較窄。直接感染型病毒隨著宿主程式一起裝入記憶體中。在取得系統控制權後，他們以搜尋新檔案的方式搜尋可能感染的物件。很多常見的計算機病毒都使用直接感染方式的傳播引擎，這種病毒在各個平臺都很容易構造，無論是二進位制還是指令碼形式。歷史上曾經有過這樣的例子。Borland公司在DOS環境下開發的Quattrospreadsheet系統的第一個版本是全部使用Hungary組合語言開發的。在系統的開發過程中發生了意見非常有趣的事情。有時候，系統命名在執行一個迴圈，可是系統的實際流程和控制流程的期望值剛好相反。程式碼本身並沒有什麼錯誤，因此通過閱讀程式碼的方式根本不可能解釋發生這種現象的原因。最後發現產生這個錯誤的原因是因為一個時鐘程式偶爾會改變系統的執行流程，原因是時鐘程式改變了方向標記，而有時又忘記恢復這個標記，結果，時鐘程式五一地破壞了spreadsheets系統的內容，當然它也會對其他程式造成破壞。這個具有破壞性的時鐘程式就是一個TSR程式。病毒採用各種方式入侵電腦程式和伺服器程式，大部分電腦書籍對病毒檢測的討論都停留在相當淺的層次上，就連一些比較新的書都把防毒掃描器描述為“在檔案和記憶體中檢索病毒特徵位元組序列的普通程式”。這種說法所描述的當然是最流行的計算機病毒檢測方法之一———這種方法也很有效，但當今最先進的防毒軟體使用了更多出色的方法檢測僅用第一代掃描器無法對付的複雜病毒。例如:字串掃描、萬用字元掃描、不匹配位元組數、通用檢測法、書籤、首位掃描、***點固定點掃描等等。隨著時代的進步第二代掃描器也隨之來臨，第二代掃描器採用近似精確識別法***nearlyexactidentification***和精確識別法***exactidentifica-tion***，有助於提高對計算機病毒和惡意程式的檢測精度。第二代掃描器同樣包括很多種方式，例如:智慧掃描、骨架掃描法、近似精確識別法和精確識別法等。掃描技術的多樣性清楚地表明:給予對一隻病毒的識別能力來檢測病毒是多麼困難。因此，看來採取更為通用的方法———如給予檔案和可執行物件的完整性來檢測和預防病毒對其內容的篡改———可以更好的解決病毒檢測這個問題。手工啟動型完整性掃描工具需要使用一個校驗和資料庫，該資料庫要麼在受保護的系統中生成的，要麼是一個遠端線上資料庫。完整性檢查工具每次檢查系統中是否有新生成物件，或者是否有任何物件的校驗值發生變化，都用到該資料庫。通過檢驗出新的或發生了變化的物件，顯然最容易發現病毒感染及系統受到的其他侵害。然而，這種方法也有很多缺點，例如:

　　***1***虛警;

　　***2***要有乾淨的初始化狀態，而實際上不一定會有這麼一個狀態;

　　***3***速度。完整性檢查通常很慢;

　　***4***特殊物件。工作需要懂得一些特殊物件;

　　***5***必須有物件發生改變等等。還有一些方案試圖基於應用程式的行為來阻斷病毒傳染。最早的反病毒軟體之一FluShot就是屬於這一類病毒防護方案。如果一個應用程式以寫入模式打開了可執行檔案，則阻斷工具就會顯示一條警告，要求使用者授權寫操作。不幸的是這種低級別時間可能會引起太多的警告，因而阻斷工具受使用者歡迎的程度常常還不如完整性檢測工具。而且，不同型別的計算機病毒的行為可能差異很大，因而可能導致感染的行為模式數量有無窮多種。

　　二、結語

　　由於WindowsNT的記憶體管理器會回收未使用分介面，而記憶體中頁面只有當被訪問的時候才會被讀取，因此記憶體掃描的速度大體上取決於記憶體的大小，一臺計算機的記憶體越大則記憶體掃描器的速度就會越快———如果計算機擁有的實體記憶體非常有限，則頁面錯誤數量將會大很多。每當SCANPROC.EXE對所有執行中的程序掃描時，這些程序的記憶體會明顯提高。對於病毒的防範也更加規範。

　　範文二：計算機病毒防範技術的應用

　　一、網路安全攻擊技術

　　1.1計算機受侵犯的常見方法步驟

　　計算機受侵犯的常見方法雖然多種多樣、變化無窮，但是縱覽其被入侵的全經過，也還是有章法可循的，一般來說，可以分為以下幾個步驟：入侵前準備、開始入侵、深度控制、入侵深化幾個過程。

　　1.1.1入侵前準備

　　尋找入侵物件：在網路上有很多主機，常用IP地址標識主機。入侵者先要尋找他找的站點，然後通過域名和IP地址很容易找到入侵物件。收集有關係統資訊：入侵者在收集到物件的有關網路資訊後，通過對每臺主機的系統分析，來找到目標主機的安全弱點或漏洞。入侵者先要了解入侵物件使用的作業系統以及版本，假如目標開放telnet服務，只要telnetxx.xx.xx.xx.***目標主機***，就會顯示“digitalunlx***xx.xx.xx.******ttypl***login：”這樣的資訊。接下來入侵者會查驗目標開放埠並開始分析，看看有沒有可利用的服務。網上的主機多數都提供www、mail、ftp、等網路服務，一般情況下80是www服務的埠，23是telnet服務和ftp服務的埠。使用像traceroute程式、whois、snmp等服務來尋找網路路由器的路由表，由此知曉入侵物件所在網路的拓撲結構和它的內部情況，利用traceroute程式可以獲取到達入侵物件需要通過的網路及路由器數，利用whois服務可以獲得相關的dns域及有關的引數，finger協議服務能提供某個指定物件上的使用者們的所有資訊***如使用者註冊名、註冊時間、、電話號碼等等***。因此在沒有這些需求的情況下，管理員應儘量不開放這些服務。另外，入侵者常常利用安全掃描器來協助他們發現系統的若干漏洞，像各種服務漏洞，應用軟體的一些漏洞，以及口令較弱使用者等等。

　　1.1.2DoS入侵

　　DoS入侵的方式一般是通過合理的服務請求，來達到佔用過多的網路頻寬和伺服器資源，最終導致正常的連線請求得不到到迴應的目的。通常情況下，DoS入侵方法有：Land入侵、Smurf入侵、SYNFlood入侵、UDP入侵等。

　　1.1.3land入侵

　　由於DDoS入侵時常在網路出現，並且在應用中越來越完善。於是出現了一些較成熟的軟體產品，如DDoS攻擊器、Trinoo、land、TFN2K、DdoSe等，他們的攻擊思路是很相象的，下面就通過land對這類軟體做—介紹。land入侵是一種使用相同的源和目的主機及埠傳送資料包到目標主機的攻擊。最終使有漏洞的機器崩潰的一種入侵方法。在Land入侵過程中，會專門製造一個SYN包，把包中的源地址及目標地址都設成同一個伺服器地址，這時候接受伺服器會向它自己的地址傳送SYN一ACK訊息，而這個地址又會發回ACK訊息同時建立一個空連線，所有這樣的連線都將保持到超時掉。對Land入侵反應不同，會使很多UNIX最終崩潰，進而使系統變的特別緩慢***大約持續五分鐘***。Land入侵實現的條件是入侵者首先發送具有相同IP源地址、目標地址及TCP埠號的假的SYN資料包。並標註SYN標記。其結果是該主機系統嘗試向自己傳送響應資訊，致使受害系統受到干擾後癱瘓或重啟。目前發現WindowsXPSP2和Windows2003的系統對這種入侵的防範還很薄弱的。因為所有這些系統都共享於TCP/IP協議棧的BSD。要防範Land入侵，服務商可以在邊緣路由器的進入埠上加裝過濾裝置來逐一檢查進入資料包的IP源地址，如果該源地址的字首在預先設定的範圍之內，那麼該資料包會被轉發，否則將會被丟掉。這樣一來就可阻止出現在聚點後的LAND攻擊。

　　二、網路安全檢測與防範

　　2.1常規安全檢測與防範

　　2.1.1做好重要資料的備份

　　把備份的資料最好放在別的計算機上，這樣即使入侵者進入伺服器裡面，也只能破壞一部分資料，由於找不到備份的資料，那麼對伺服器就不會造成很嚴重的損壞。而主機一經受到入侵，管理者不僅要想法修復損壞的資料，而且還要馬上找到入侵者的來路及入侵手段，把被入侵者利用的漏洞迅速補掉，接著及時檢視系統中有沒有被入侵者安裝了特洛伊、worm以及管理者的賬號是否被入侵者開放，儘可能將入侵者留下任何痕跡及後門清除於淨，以防入侵者的再次進攻。

　　2.1.2資料傳輸要加密

　　現在網路上雖有各種各樣加密方法，但隨即也出現相應的的破解方法，所以在選擇加密的方法上應使用破解難度大的，比如像DES加密方法，就不易被破解。他的加密演算法是無法逆向破解，所以當入侵者碰到了使用這種加密處理的檔案時，就只能用暴力方法去破解了。每個使用者只要選用了一個好的的密碼，入侵者的破解工作就會在無數次的的試用後結束。

　　2.1.3如何檢測與防範DoS與DDoS入侵

　　因為DoS、DDoS的入侵是利用網路協議的漏洞來進行的，所以從理論上說要完全解決攻擊所帶來的危害是基本上不可能的。凡是伺服器資源有限的系統都有可能受到DoS或DDoS的威脅。另外對於使用暴力方式的DDoS入侵，防火牆雖然可以阻擋其入侵，使其無法越過從而避免內部網路中的伺服器系統受到破壞。但防火牆為了阻止這些入侵者的資料包，同樣會佔用大量的網路資源，這也會使網路效能大打折扣，以至於會使得網路不能使用，甚至使網路遭遇滅頂之災。但在實際使用時，我們可以採取某些方法預先檢測到其將進行的入侵情形，使用諸如更改配置等方法來緩解攻擊帶來的對網路安全及資料形成的破壞。

　　三、結束語

　　當下的網路攻擊極為頻繁和更為隱蔽，就使得其嚴重地威脅了網路的安全。為了防禦任何入侵者的惡意攻擊，有必要了解其入侵方式、方法及手段，學習更多的網路應用知識，這對於防範那些瘋狂的入侵者攻擊，有極其重要的意義。另外現在也有相當多的網路安全方案及各式防火牆來幫助那些對網路不是太瞭解的初學者。