計算機病毒分析論文
伴隨著科技日新月異的發展推動著社會在不斷的進步,人們的生活水平也逐漸提高。計算機迅速地普及更是給我們的學習、生活以及工作都帶來了翻天覆地的變化;當然,所有的事物都是有兩面性的。計算機帶給我們帶來方便的同時,也給我們帶來了安全問題。下面是小編為大家整理的,供大家參考。
範文一:網路環境下計算機病毒的防治
計算機病毒的種類是非常複雜的,根據傳染方式的不同可以分為引導區型、檔案型、混合型以及巨集病型,根據連線方式的不同可以分為原始碼性、入侵型、操作性以及外殼型,這些病毒具有不同的傳播途徑,通過軟盤、硬碟、文件、源程式、作業系統等破壞計算機的系統。
1網路環境下計算機病毒的特點
1.1傳播範圍大、速度快
如果計算機處無網路連線的情況下,病毒的傳播範圍很有限,一般以磁碟為媒介,但是在網路環境中,病毒可以選擇更多傳播渠道進行擴散,擴散範圍非常廣,在短時間內多地多部計算機會同時遭受感染。由於人們對網路的需求比較大,越來越多的病毒都通過網路進行非常快速傳播,數小時內便可以傳遍全球,而且病毒往往沒有潛伏期,一旦感染,即可作用。
1.2傳播方式多、渠道廣
在一般情況下,網路環境中的病毒以“工作站-伺服器-工作站”的途徑進行傳播,但是,隨著網路技術的進一步發展,計算機病毒的傳播方式也越來越多、渠道也越來越廣。比如某一種病毒可以在幾十天內產生五十多種變種,並通過瀏覽網頁、下載檔案、傳送郵件等方式進行傳播,隱蔽性極高,普通使用者很難察覺,在對外交流的過程中加劇了病毒的傳播感染。
1.3破壞性嚴重、難控制
網路環境下計算機病毒一個很重要的特徵是破壞性強。計算機病毒往往融合著不同的技術,計算機一旦感染病毒,系統資源會被侵佔,計算機系統就會受到嚴重破壞,干擾計算機的正常工作,降低運作功能,甚至會造成資訊的丟失,使用者資料可能被竊取,造成損失。
1.4清除難度大
計算機病毒的隱蔽性比較強,在單機狀況下可以通過刪除檔案、格式化硬碟等方式進行解決,但是,在網路環境中,只要其中一臺計算機中還存在病毒,其他的計算機就有再次被感染的風險,但是,對於整個網路而言,病毒清除的難度是顯而易見的。再加上計算機病毒傳播的速度快,根本來不及採取措施,即使將整個網路關閉,帶來的損失遠遠超過病毒本身。
1.5黑客程式功能與掛馬式傳播
網路技術在不斷髮展,計算機病毒技術也在發展,它不僅能夠通過自我複製感染計算機程式,同時還具有黑客程式功能,病毒的控制者能夠利用病毒對感染病毒的計算機進行控制,同時,病毒也能夠被植入網站中,一旦使用者瀏覽感染病毒的網站,計算機就會感染病毒,在竊取使用者資訊的同時給使用者造成損失。
2網路環境下計算機病毒的防治措施
網路環境中,計算機的發展給人們帶來了生活的便利,與此同時,計算機也越來越容易受到病毒的影響,為了能夠有效保護計算機的安全,就必須要採取相應的防治措施:
2.1加強使用者計算機病毒的防護意識
防止計算機病毒的入侵比病毒侵入後進行消除更容易,因此,要努力將病毒隔絕在外。這就要求使用者牢固樹立病毒防範的意識,加強對計算機使用者的思想教育,提高他們對於計算機病毒危害性的認識,從根本上重視病毒的防護,進而養成自覺的意識,提高警惕,維護計算機的安全。要在計算機上安裝正版的防毒軟體以及防火牆,並及時升級到最新版本;要加強對計算機系統以及軟體的更新,並安裝相應補丁程式;不要隨意瀏覽不安全的網站,不要隨意點開不明或者可疑的檔案或者程式;要養成定時備份重要資料的習慣,養成良好的使用計算機習慣,掌握必要的相關技能。
2.2完善快速預警防範機制勢在必行
計算機病毒跟隨著計算機而來,事實上計算機病毒本身並不難解決,但是,對於全社會而言,無法徹底的杜絕病毒,在這種形勢下,建立健全快速預警防範機制勢在必行。快速預警防範機制的建立需要政府以及計算機病毒防範行業、廣大使用者的配合,通過預警機制的建立,能夠及時發現入侵計算機的病毒,當系統漏洞、攻擊程式碼被發現時,使用者能夠及時捕獲病毒,隨後就需要政府和行業管理部門的配合,及時向用戶發出警報,反病毒廠商及時提供相應的解決措施。如果病毒在較大範圍內感染計算機,各相關部門便可以協作隊使用者進行救助。在建立快速預警機制的過程中,還需要具有專業素質的人員和技術的支援,有效對計算機病毒進行防治和管理。
2.3執行嚴格的計算機病毒防治技術
在思考計算機病毒防治時,制定並執行嚴格的防治技術規範是十分必要的,要通過相應的技術規範提高計算機病毒防治的有效性。要加強對計算機病毒的檢測,要建立完善的監測機制,利用病毒的特有行為對各種病毒進行嚴格的監控和檢測,並定期進行整理和統計;要發展特徵程式碼技術,通過防毒軟體對計算機病毒碼進行剖析,並形成病毒碼資料庫,在計算機開啟式以掃描的方式與資料庫內的病毒碼進行對比,以便及時發現病毒;要實現校驗技術,針對依附於文件程式的病毒,要在安裝防毒圖案件時對計算機內的文件程式進行彙總記錄,對正常檔案進行校驗並儲存,使用檔案前,通過與原來檔案進行校驗明確是否感染病毒。
2.4建立多層次、立體的計算機病毒防護體系
在複雜的網路環境下,計算機病毒的防護不僅僅限於單個計算機個體,而是針對整個網路,因此,必須要以網路整體為立足點,建立多層次、全面立體的防護網路,對病毒進行相應的檢測和清除,這樣才能有效的防止病毒的蔓延。建立整個網路的防護體系的第一步是加強對區域網安全的重視,在區域網內建立病毒防控體系,形成比較完整的立體的防治病毒的策略,對資料的輸入輸出、伺服器的保護、檔案完整性的保護、檢驗等等;同時,在建立防護體系時,還要充分考慮病毒的危害性和防護的實際能力,這樣才能保證防護體系的完善。
2.5加強對計算機資料備份系統的管理
網路環境下的病毒防治工作是一項浩大的工程,很多時候,病毒不能得到及時的清除,會對計算機內的資訊進行破壞,因此,要加強對資料備份系統的管理,這樣能夠在計算機受到病毒侵襲時有效的保護相關資料,並及時進行資料恢復,將病毒侵襲的危害性降到最低。
範文二:計算機病毒防範研究
一、重寫病毒是不能從系統中徹底刪掉的
只能刪掉被感染的檔案,然後再從備份介質恢復。一般來說,重寫病毒不是非常成功的威脅,因為病毒造成的威脅明顯太容易被發現了。然而,這種病毒效果如果基於網路的傳播技術結合起來,可能產生很大的威脅,比如:VBS/LoveLetter.A@mm通過群發郵件把病毒傳送到其他系統中,當該病毒執行時,它會用自己的拷貝重寫本地所有下面副檔名的檔案:.vbs,.vbe,.js,.css,.wsh,.sct,.gta,.jpg,.jpeg,.wav,.txt,.gif,.doc,.htm,.html,.xls,.ini,.bat,,.avi,.mpg,.mpeg,.cpp,.c,.h,.swd,.psd,.wri,.mp3,.and,.mp2等。重寫技術的另一種罕見形式是不改變檔案頂部的程式碼,而是在宿主檔案中隨機找一個位置把自己寫進去。顯然,這種病毒不太可能獲得控制權,它通常會導致宿主在執行到病毒程式碼之前就崩潰了。這種病毒的例子是俄羅斯的Omud。現在的反病毒掃描程式會為了提高效能而減少磁碟I/O,因此如果可能的話,只查詢已知的位置。掃描器在查詢隨機重寫病毒時有一定的問題,因為掃描器必須搜尋宿主程式的全部內容,這種操作的I/O開銷太大了。有些比較簡單的而病毒並不主動駐留在記憶體中,最先感染IBMPC的檔案感染型別病毒Virdem和Vienna就是這樣,通常,直接感染型病毒的傳播速度比較慢,傳播範圍也比較窄。直接感染型病毒隨著宿主程式一起裝入記憶體中。在取得系統控制權後,他們以搜尋新檔案的方式搜尋可能感染的物件。很多常見的計算機病毒都使用直接感染方式的傳播引擎,這種病毒在各個平臺都很容易構造,無論是二進位制還是指令碼形式。歷史上曾經有過這樣的例子。Borland公司在DOS環境下開發的Quattrospreadsheet系統的第一個版本是全部使用Hungary組合語言開發的。在系統的開發過程中發生了意見非常有趣的事情。有時候,系統命名在執行一個迴圈,可是系統的實際流程和控制流程的期望值剛好相反。程式碼本身並沒有什麼錯誤,因此通過閱讀程式碼的方式根本不可能解釋發生這種現象的原因。最後發現產生這個錯誤的原因是因為一個時鐘程式偶爾會改變系統的執行流程,原因是時鐘程式改變了方向標記,而有時又忘記恢復這個標記,結果,時鐘程式五一地破壞了spreadsheets系統的內容,當然它也會對其他程式造成破壞。這個具有破壞性的時鐘程式就是一個TSR程式。病毒採用各種方式入侵電腦程式和伺服器程式,大部分電腦書籍對病毒檢測的討論都停留在相當淺的層次上,就連一些比較新的書都把防毒掃描器描述為“在檔案和記憶體中檢索病毒特徵位元組序列的普通程式”。這種說法所描述的當然是最流行的計算機病毒檢測方法之一———這種方法也很有效,但當今最先進的防毒軟體使用了更多出色的方法檢測僅用第一代掃描器無法對付的複雜病毒。例如:字串掃描、萬用字元掃描、不匹配位元組數、通用檢測法、書籤、首位掃描、***點固定點掃描等等。隨著時代的進步第二代掃描器也隨之來臨,第二代掃描器採用近似精確識別法***nearlyexactidentification***和精確識別法***exactidentifica-tion***,有助於提高對計算機病毒和惡意程式的檢測精度。第二代掃描器同樣包括很多種方式,例如:智慧掃描、骨架掃描法、近似精確識別法和精確識別法等。掃描技術的多樣性清楚地表明:給予對一隻病毒的識別能力來檢測病毒是多麼困難。因此,看來採取更為通用的方法———如給予檔案和可執行物件的完整性來檢測和預防病毒對其內容的篡改———可以更好的解決病毒檢測這個問題。手工啟動型完整性掃描工具需要使用一個校驗和資料庫,該資料庫要麼在受保護的系統中生成的,要麼是一個遠端線上資料庫。完整性檢查工具每次檢查系統中是否有新生成物件,或者是否有任何物件的校驗值發生變化,都用到該資料庫。通過檢驗出新的或發生了變化的物件,顯然最容易發現病毒感染及系統受到的其他侵害。然而,這種方法也有很多缺點,例如:
***1***虛警;
***2***要有乾淨的初始化狀態,而實際上不一定會有這麼一個狀態;
***3***速度。完整性檢查通常很慢;
***4***特殊物件。工作需要懂得一些特殊物件;
***5***必須有物件發生改變等等。還有一些方案試圖基於應用程式的行為來阻斷病毒傳染。最早的反病毒軟體之一FluShot就是屬於這一類病毒防護方案。如果一個應用程式以寫入模式打開了可執行檔案,則阻斷工具就會顯示一條警告,要求使用者授權寫操作。不幸的是這種低級別時間可能會引起太多的警告,因而阻斷工具受使用者歡迎的程度常常還不如完整性檢測工具。而且,不同型別的計算機病毒的行為可能差異很大,因而可能導致感染的行為模式數量有無窮多種。
二、結語
由於WindowsNT的記憶體管理器會回收未使用分介面,而記憶體中頁面只有當被訪問的時候才會被讀取,因此記憶體掃描的速度大體上取決於記憶體的大小,一臺計算機的記憶體越大則記憶體掃描器的速度就會越快———如果計算機擁有的實體記憶體非常有限,則頁面錯誤數量將會大很多。每當SCANPROC.EXE對所有執行中的程序掃描時,這些程序的記憶體會明顯提高。對於病毒的防範也更加規範。