浅谈计算机病毒研究的论文
计算机病毒随着互联网的出现,变得越来越泛滥,各种新型的病毒层出不穷,如果用户不注重对病毒的防范,就很容易让计算机被病毒入侵,给自己带来巨大的损失。下面是学习啦小编为大家整理的浅谈计算机病毒研究的论文,供大家参考。
浅谈计算机病毒研究的论文篇一
计算机病毒防范艺术研究
摘要:随着网络的快速兴起,计算机领域有了全新的前景。但是,随之而来的还有各种让人防不胜防的病毒,本文主要就计算机病毒为研究对象,分析病毒的传播以及防范病毒的措施。
关键词:计算机;病毒;防范
何为病毒,对于病毒,我们所了解的只是破坏计算机环境的软件。为了深刻地理解计算机病毒,最重要的步骤之一,就是要了解病毒执行所需要的特定执行环境。理论上,对于任何给定的符号序列,我们都可以定义一个环境,该序列号可以在其中进行自我复制。在实际操作中,我们必须能够找到这样的环境,在此环境中符号序列可以执行,并证明它的确利用自身代码进行自我复制,并且递归的复制下去。只有当恶意代码所依赖的各种条件与可能的环境相匹配的时候,病毒代码才能够成功地渗透系统。完美的恶意代码常见环境是很难用二维的形式画出来的。大部分计算机病毒是以可执行的、二进制的形式(又称作编译过的形式)进行传播的。例如:引导区病毒将自己的代码复制到一个或几个扇区中,并接管计算机的引导顺序。
在最早有记录的计算机病毒事件中,AppleII上的ElkCloner就是一个引导区病毒。Elkcloner修改了加载的操作系统,加入了一个和自己关联的钩子(hook),就这样ElkClo-ner拦截了磁盘的访问,利用其自身代码的拷贝覆盖新插入的磁盘的系统引导扇区来感染新插入的磁盘。Brain是最早知道的PC上的计算机病毒。还有另外一种形式的病毒是CPU依赖型病毒,当某一特定的处理器对其之前版本并不是100%的向下兼容,而且对之前版本的特性并不是很好的支持或是完全不支持的时候,便会发生这种情况。有些病毒只是从磁盘上找一个文件,然后简单的用自己的拷贝改写该文件。当然,这是一种非常初级的而技术,不过确实是最为简单的方法。如果这种简单的病毒重写磁盘上所有文件的话,可能造成很大的破坏。重写病毒是不能从系统中彻底删掉的,只能删掉被感染的文件,然后再从备份介质恢复。一般来说,重写病毒不是非常成功的威胁,因为病毒造成的威胁明显太容易被发现了。然而,这种病毒效果如果基于网络的传播技术结合起来,可能产生很大的威胁,比如:VBS/LoveLetter.A@mm通过群发邮件把病毒发送到其他系统中,当该病毒执行时,它会用自己的拷贝重写本地所有下面扩展名的文件:.vbs,.vbe,.js,.css,.wsh,.sct,.gta,.jpg,.jpeg,.wav,.txt,.gif,.doc,.htm,.html,.xls,.ini,.bat,.com,.avi,.mpg,.mpeg,.cpp,.c,.h,.swd,.psd,.wri,.mp3,.and,.mp2等。重写技术的另一种罕见形式是不改变文件顶部的代码,而是在宿主文件中随机找一个位置把自己写进去。显然,这种病毒不太可能获得控制权,它通常会导致宿主在执行到病毒代码之前就崩溃了。
这种病毒的例子是俄罗斯的Omud。现在的反病毒扫描程序会为了提高性能而减少磁盘I/O,因此如果可能的话,只查找已知的位置。扫描器在查找随机重写病毒时有一定的问题,因为扫描器必须搜索宿主程序的全部内容,这种操作的I/O开销太大了。有些比较简单的而病毒并不主动驻留在内存中,最先感染IBMPC的文件感染类型病毒Virdem和Vienna就是这样,通常,直接感染型病毒的传播速度比较慢,传播范围也比较窄。直接感染型病毒随着宿主程序一起装入内存中。在取得系统控制权后,他们以搜索新文件的方式搜索可能感染的对象。很多常见的计算机病毒都使用直接感染方式的传播引擎,这种病毒在各个平台都很容易构造,无论是二进制还是脚本形式。历史上曾经有过这样的例子。Borland公司在DOS环境下开发的Quattrospreadsheet系统的第一个版本是全部使用Hungary汇编语言开发的。在系统的开发过程中发生了意见非常有趣的事情。有时候,系统命名在执行一个循环,可是系统的实际流程和控制流程的期望值刚好相反。代码本身并没有什么错误,因此通过阅读代码的方式根本不可能解释发生这种现象的原因。最后发现产生这个错误的原因是因为一个时钟程序偶尔会改变系统的执行流程,原因是时钟程序改变了方向标记,而有时又忘记恢复这个标记,结果,时钟程序五一地破坏了spreadsheets系统的内容,当然它也会对其他程序造成破坏。这个具有破坏性的时钟程序就是一个TSR程序。
病毒采用各种方式入侵电脑程序和服务器程序,大部分电脑书籍对病毒检测的讨论都停留在相当浅的层次上,就连一些比较新的书都把防毒扫描器描述为“在文件和内存中检索病毒特征字节序列的普通程序”。这种说法所描述的当然是最流行的计算机病毒检测方法之一———这种方法也很有效,但当今最先进的防毒软件使用了更多出色的方法检测仅用第一代扫描器无法对付的复杂病毒。例如:字符串扫描、通配符扫描、不匹配字节数、通用检测法、书签、首位扫描、入口点固定点扫描等等。随着时代的进步第二代扫描器也随之来临,第二代扫描器采用近似精确识别法(nearlyexactidentification)和精确识别法(exactidentifica-tion),有助于提高对计算机病毒和恶意程序的检测精度。第二代扫描器同样包括很多种方式,例如:智能扫描、骨架扫描法、近似精确识别法和精确识别法等。扫描技术的多样性清楚地表明:给予对一只病毒的识别能力来检测病毒是多么困难。因此,看来采取更为通用的方法———如给予文件和可执行对象的完整性来检测和预防病毒对其内容的篡改———可以更好的解决病毒检测这个问题。手工启动型完整性扫描工具需要使用一个校验和数据库,该数据库要么在受保护的系统中生成的,要么是一个远程在线数据库。完整性检查工具每次检查系统中是否有新生成对象,或者是否有任何对象的校验值发生变化,都用到该数据库。通过检验出新的或发生了变化的对象,显然最容易发现病毒感染及系统受到的其他侵害。然而,这种方法也有很多缺点,例如:(1)虚警;(2)要有干净的初始化状态,而实际上不一定会有这么一个状态;(3)速度。完整性检查通常很慢;(4)特殊对象。工作需要懂得一些特殊对象;(5)必须有对象发生改变等等。还有一些方案试图基于应用程序的行为来阻断病毒传染。
最早的反病毒软件之一FluShot就是属于这一类病毒防护方案。如果一个应用程序以写入模式打开了可执行文件,则阻断工具就会显示一条警告,要求用户授权写操作。不幸的是这种低级别时间可能会引起太多的警告,因而阻断工具受用户欢迎的程度常常还不如完整性检测工具。而且,不同类型的计算机病毒的行为可能差异很大,因而可能导致感染的行为模式数量有无穷多种。由于WindowsNT的内存管理器会回收未使用分界面,而内存中页面只有当被访问的时候才会被读取,因此内存扫描的速度大体上取决于内存的大小,一台计算机的内存越大则内存扫描器的速度就会越快———如果计算机拥有的物理内存非常有限,则页面错误数量将会大很多。每当SCANPROC.EXE对所有运行中的进程扫描时,这些进程的内存会明显提高。对于病毒的防范也更加规范。
参考文献:
[1]PeterSzor,“TheNew32-bitMedusa,”VirusBulletin,December2013,pp.8-10.
浅谈计算机病毒研究的论文篇二
计算机病毒进程隐藏思考
在计算机技术飞速发展的今天,计算机病毒作为影响计算机系统正常运行的主要因素之一,其不断演变发展已让众多计算机系统遭受瘫痪和失控的危害。计算机病毒的隐藏性增加了人们发现和消除病毒的难度,但技术人员往往可以通过查看系统中的活动进程来发现潜在的计算机病毒,在其传染和潜伏过程中主动进行分析和处理,避免更多计算机系统遭受病毒破坏。
1计算机病毒基本概念和特征
在已知的计算机病毒中,只有少部分病毒不带有恶意攻击,绝大多数病毒都会携带致命的有毒代码,在一定环境下破坏计算机系统。计算机病毒具有以下特征。(1)隐蔽性。病毒进程总是会通过某些外来程序或网络链接感染计算机系统,使用者往往毫不知情。而等到病毒效应发作,就会带来严重的后果。(2)传播性。计算机病毒具有很强的传染和繁殖能力,导致计算机一旦感染,就会立刻发作,显示出系统无法识别的错误。其传播途径广泛,可以通过U盘、网络连接等完成自动侵入。(3)潜伏期较长。一般情况下,计算机病毒进程可以在系统中长期潜伏而不发作,需要满足一定的外部激发条件,才能攻击计算机系统。(4)破坏性强。计算机病毒一旦发作,计算机系统就会遭受严重的破坏,首先计算机系统不再受使用者控制,导致数据丢失,文件损坏,系统瘫痪,用户容易泄露计算机中的隐私信息,造成巨大的困惑和麻烦。(5)针对性明确。计算机病毒进程的开发,往往具有明确的针对性,其可以在用户的某次动作后,实施环境启动,并开始攻击目标对象。
2计算机病毒在进程中的产生运行状态
2.1无线电传播
无线电传播是通过无线电将计算机病毒进程发射到计算机系统中。主要可能的渠道包括通过发射机的无线发射,病毒直接由接收机器处理和盲点复制到整台设备中;计算机病毒伪装成合法的程度代码,通过规范的标准协议和数据格式,同其他合法信号一同进入接收装置;病毒还能通过不断寻找接收装置中安全防护等级薄弱的点射入数据链路中,迅速进行非法繁殖,成功感染设备。
2.2硬件连接传播
计算机病毒通过感染便于携带的硬盘和软件等,通过这些硬件设备与计算机的连接,直接传染到计算机系统中。需要动作时,只需等待进程激活就能达到破坏的目的。
2.3利用计算机漏洞
后门是计算机安全系统的一个漏洞,病毒经常以攻击后门的形式破坏计算机系统。攻击后门的形式较多,如控制电磁脉冲,将病毒注入目标系统。
2.4远程修改数据链路
计算机病毒可以通过使用远程修改技术,利用计算机系统数据链路层的控制功能完成入侵。病毒进程能完整地隐藏在计算机操作系统的正常进程序列中,并在系统启动运行过程中全面运行。
3计算机病毒进程隐藏方式
3.1冒充正常进程
计算机系统中,常见的进程主要有:explorer.exe,winlogon.exe,svchost.exe,ieplore.exe等。但有时点击进程序列,能发现诸如explore.exe,winlogin.exe,svch0st.exe,ieplorer.exe的进程,看似属于正常进程,实际已被病毒侵染。这些进程可以迷惑用户,通过修改某些字母来更改自身的文件名称,使其近似于正常进程,若用户不注意,很难对这些细微变化做出反应,这样情况下,计算机病毒就入侵成功。
3.2盗用正常进程名
第一种情形,很多细心的用户能很快发现并手动删除。于是,病毒制造者更新了隐藏病毒的方法。如将进程名称改成与正常进程一致。其利用计算机的“任务管理器”无法对一切可执行的文件进行一一查看的设计缺陷,加大了计算机中毒的风险。
3.3强行插入进程
有些病毒程序能将病毒运行必需的dll文件利用进程插入技术,在正常进程序列中插队排列。一旦插入,计算机系统就宣告中毒,只有借助专业的自动检测工具才能找到其中深藏的计算机病毒进程。
4计算机病毒在进程中的隐藏处理
4.1explorer.exe
此进程是我们常用到的“资源管理器”,作用是管理计算机中的一切资源。常见的被冒充的进程名有:iexplorer.exe,expiorer.exe,explore.exe,explorer.exe等。如果在“任务管理器”中关闭explorer.exe进程,计算机桌面及任务栏和当前打开的文件都会消失不见。但当依次单击“任务管理器—文件—新建任务”后,输入explorer.exe,就会重新显示消失的画面。总体来讲,正常的explorer.exe进程采取的是系统默认值,启动随系统一起进行,在“C:\Windows”目录路径下,能找到其对应的可执行文件。一旦不符合上述条件则是病毒进程。
4.2spoolsv.exe
spoolsv.exe进程作为系统打印服务“PrintSpooler”所对应的可执行程序,其作用是管理与计算机关联的所有本地和网络打印队列的打印工作。其常被干扰病毒冒充和顶替的进程名有:spoo1sv.exe,spolsv.exe,spoolsv.exe等。如果停用“PrintSpooler”服务,计算机所有关联的打印功能将不能正常运行,同时,点开进程列表发现spoolsv.exe进程也消失不见。如果安装计算机后需要打印机设备,那么,为节省计算机系统资源,可以把“PrintSpooler”服务关闭掉。停止并关闭“PrintSpooler”服务后,如果发现系统进程中还存在spoolsv.exe进程,那就可以肯定该进程是病毒进程伪装的。
5结语
计算机病毒虽然在进程中能进行很好的伪装隐藏,但只要多加留意,认真检查就能及时清除病毒。用户在检查计算机系统进程时,可根据两点来及时判断隐藏的可疑病毒进程:第一是观察核实不确定的进程文件名;二是检查正在运行的进程对应执行的文件路径。通过上述方法,能及时发现并处理隐藏在计算机系统进程中的病毒,从而有效确保用户的计算机系统安全运行。
浅谈计算机病毒研究的论文篇三
计算机病毒传播防范
1引言
在对计算机产生安全隐患的各类因素中,计算机病毒的潜在危害是十分大的。随着中国对外开放程度的增大和计算机进出口贸易的开展,国际上的计算机病毒也越来越多地流入中国。计算机病毒的危害十分广泛,可以对信息系统的安全造成危害,使计算机系统不能正常运行。比如,计算机病毒会造成自动柜员机的混乱,使航班延误甚至出现重大事故,延误或截断警务部门的报警信号,严重危害人民的财产和生命安全。计算机用户应当加深对计算机病毒的认识,要深刻理解计算机病毒的特点和传播方式,对计算机病毒的传播开展一系列必不可少的防范措施,以便减少计算机病毒对计算机的感染机会。
2加深对计算机病毒的认识计算机病毒的特点
1)计算机病毒具有传染性。传染性是病毒最基本的特征,计算机病毒能够自动复制,并将所复制的病毒传播到计算机的其他程序上或者未被感染的计算机上。病毒在复制、传染过程中有可能会发生变种,导致病毒的危害力和传染速度均大大增加,严重时甚至会造成计算机瘫痪。
2)计算机病毒具有破坏性。破坏性是计算机病毒最直接的表现,当计算机感染病毒后,病毒会泄露用户信息和隐私,还会使计算机系统不能正常运行,甚至会导致系统的崩溃。
3)计算机病毒具有隐蔽性。计算机病毒的存在十分隐蔽,一般存在于计算机正常程序中,通过计算机防病毒软件可以将一部分病毒检查出来,但是还有相当部分的病毒不能被检查出来。
4)计算机病毒具有寄生和潜伏性。寄生和潜伏性是计算机病毒产生危害的基本保证,计算机病毒通过寄生存在于电脑程序中,并且为了尽可能地隐蔽,一般都会潜伏,在一开始感染时不会发作。
5)计算机病毒具有可触发性。计算机病毒不可能一直处于潜伏的状态,否则便失去存在的意义。当病毒自我复制的数量达到一定规模时或者满足某种触发机制时,就会大规模扩散,对计算机产生破坏。计算机病毒的产生原因计算机病毒在一开始产生时,最主要的就是软件开发商用来保护版权。软件开发商为了保护自己的利益,会在开发的产品中植入另外设计的程序,来防止用户非法传播自己的软件。
有些计算机爱好者,他们凭借自身对软硬件的了解,编制特殊的程序,向人们炫耀和展示自己的才智。还有些怀有报复心理的人,故意制造并传播病毒,使得这种病毒比其他途径产生的病毒具有更大的危险性。此外,某些军事、政府或研究秘密项目等的组织或个人为达到特殊目的,对政府机构、单位的系统进行暗中破坏,窃取机密文件或数据。总之,计算机病毒是社会信息化的必然产物,是计算机犯罪的一种形式。由于它的风险比较小,却具有非常大的破坏性,并且不易取证,这些特点都刺激了犯罪意识和犯罪活动。由于计算机病毒总是在时刻变化,会产生以前没有的新型病毒。当计算机产品软硬件本身具有不安全性和脆弱性时,也会导致计算机病毒的产生。
3计算机病毒的传播和防范措施
计算机病毒的传播方式计算机病毒的传播途径有很多种,可以将它们分为依靠设备传播和依靠网络传播两大类。计算机病毒的设备传播主要是靠U盘、硬盘、光盘等进行,这些设备是计算机用户最经常使用的存储和读取设备,可以用于不同计算机之间进行信息的交换和传递,在无形当中为病毒的传播提供了便利的条件,增加了计算机感染病毒和传播病毒的机会。计算机病毒的网络传播方式是依靠互联网、局域网和无线传播三种方式。随着计算机技术的迅速发展,越来越多的人们使用网络实现信息的快速传递,为学习、工作和生活带来极大的便利。
在使用互联网的过程中,人们会进行浏览网页、发送电子邮件和下载软件等活动,通过网络下载的文件中或者通过电子邮件和其他通讯工具之间传递的信息很有可能含有计算机病毒,会引起计算机病毒的广泛传播。比如,有些网络论坛有很高的访问量,由于网络论坛缺乏必要的管理,论坛上发布的一些文件或者程序的安全性得不到保证,为病毒的传播提供了便利条件。计算机病毒的防范措施在网络时代,计算机病毒日益泛滥,威胁系统资源,对于那些通过网络进行传播的病毒,能以迅雷不及掩耳之势使计算机整个网络瘫痪,造成巨大的损失。
因此,防止计算机病毒的侵入具有十分重要的意义。可以针对计算机病毒的传播方式,制定相应的措施来对计算机病毒进行防范。首先,对于计算机病毒的防范,最基本的就是要做到以预防为主、杀毒为辅。在使用计算机过程中,及时备份需要的文件和升级病毒防护体系。对广大计算机用户来说,使用不含有病毒的软盘启动计算机系统,可以避免受到引导性病毒的传染。
计算机用户在使用计算机时,应当建立有效的病毒防护体系。有些网络病毒的传播是依靠系统的安全漏洞进行的,计算机用户应该定期下载最新的安全补丁,以防计算机病毒的出现和对计算机的破坏。一定要对计算机的操作系统进行升级,保证所有系统漏洞得到修补。要安装质量过关的、能够进行升级、防病毒和木马的杀毒软件。用户在使用计算机和网络的过程中,发现病毒要立即进行杀毒,而且要经常升级杀毒软件,及时更新病毒库,并对计算机进行全面杀毒。
其次,用户要时刻保持警惕。计算机病毒之所以能够传播,究其原因,最主要的是计算机用户在使用计算机和网络的过程中防范意识淡薄,警惕性不高,只有当自己的计算机出现问题才意识到病毒的存在,导致那些可以避免的计算机病毒感染计算机。为了将病毒拒之千里,计算机用户在日常使用计算机和网络的过程中,应当增强安全责任感,提高防范意识,避免存在侥幸心理,养成良好的安全习惯。
计算机用户在使用电脑的过程中,养成良好的使用习惯,做到定期查毒、杀毒;在使用光盘、U盘、硬盘等设备之前必须进行病毒扫描,确保使用的安全性;上网时要打开计算机的防火墙,不随便登录不明网页;来往的邮件要进行安全检测,不随便打开来历不明的电子邮件中的附件文件;下载软件时,要通过可靠的渠道进行;不轻易共享自己的硬盘,避免感染病毒;在往外发送文件时,要仔细检查文件的安全性,确定无计算机病毒后再进行发送。
只有做好防范工作,提高安全意识,才能防止由于防范不到位而出现的经济损失。此外,相应的法律法规对计算机病毒的防治也具有十分重要的作用。政府部门应当健全相应的法律法规,充分发挥法律法规的作用,加强对计算机行业人员的职业道德教育,使他们充分认识到法律法规的强制力和约束力,避免计算机病毒的传播,保障计算机的安全。
4结束语
随着计算机网络的发展和应用,计算机病毒呈现出越来越多的种类,传播的途径越来越广泛,广大的计算机用户面临日益严峻的计算机安全问题。所以,采取有效措施对计算机病毒进行防范,避免遭受病毒的侵扰已经成为计算机用户的共识。只有对计算机病毒进行合理的防范,才能使计算机的优势得到更好的发挥,从而为广大计算机用户提供高效率的服务。
有关浅谈计算机病毒研究的论文推荐:
