欢迎访问发表云网!为您提供杂志订阅、期刊咨询服务!
首页 期刊杂志 科普杂志 SCI杂志 经营许可 购物车(0)
免费咨询
首页 精选范文 计算机反病毒论文

计算机反病毒论文大全11篇

时间:2022-04-30 06:29:01

绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇计算机反病毒论文范文,希望它们能为您的写作提供参考和启发。

计算机反病毒论文

篇(1)

计算机病毒也有着自身的特点。我们可以简单地将其总结如下:①攻击隐蔽性较强。一般,病毒在感染计算机系统的时候都不太会被警觉,往往是在后果严重的时候才被人发现。②较强的繁殖能力,一旦病毒入侵电脑,发作可以相当的快速。③广泛的传染途径。无论是软盘、硬件设备或者有线、无线网络,都可能是病毒入侵电脑的途径,而且会不断地进行蔓延。④较长的潜伏期,有些病毒可以进行长期的潜伏,直到达到相关的条件之后再集中地爆发。⑤加强的破坏力,计算机病毒一旦发作,轻微的可能干扰到系统运行的正常性,也有可能会导致数据的破坏和删除,乃至整个系统的完全瘫痪。⑥较强的针对性,计算机病毒可以经过精心的设计之后,根据环境和时机来准确地进行攻击。

计算机病毒的感染原理

1引导型病毒感染原理。系统引导型病毒的感染对象是软盘的引导扇区、硬盘的主引导扇区或者是DOS引导扇区。一旦计算机由被感染的软盘而启动,就将会受到感染。被感染的软件启动计算机的时候将会把病毒抢先于操作系统而自动装入内存,从而对系统的读写等动作进行控制,并且找机会去感染其他的磁盘。

2文件型病毒感染原理。依附或者覆盖在文件中的文件型病毒,会将被感染的文件进行一些参数上的修改,将其自身的病毒程序添加到原文件中去。因此,只要文件执行,那么病毒的程序代码将会首先执行并且留在内存中,对系统进行破坏。对于各个执行的程序文件,病毒都会首先对其检查是否被感染,对漏掉的立刻进行感染,增强破坏力。

3混合型病毒感染原理。混合型的病毒感染可执行文件之后,还可以将其串扰到硬盘的引导区。一旦感染了这样的病毒,病毒会首先进入内存而伺机去感染其他的磁盘。操作系统载入内存之后,病毒通过拦截INT21H去感染文件。甚至有些被感染过的系统用format格式化硬盘都无法对病毒进行消除。

4计算机病毒感染的渠道。计算机病毒主要有以下几种常见的传播渠道:①电子邮件。电子邮件是信息社会中常见的一种通信手段,而且覆盖面广,也加剧了病毒的扩散性。②文件。病毒可以通过感染文件后随着文件的传播来扩散。而且还可能在局域网中反复地感染,受染计算机可能出现蓝屏或者频繁重启以及数据被破坏的情况,甚至可能造成局域网中所有的系统受染、瘫痪。③通过系统设备感染。这种感染方式可能会造成硬盘内的数据破坏和丢失,或者逼迫其进行低级格式化。

5特洛伊木马、网络蠕虫、Internet语言病毒感染原理。一些用Java、VB、ActiveX等撰写出来的病毒往往通过网络来对用户的个人信息进行盗窃,亦或是使得计算机系统资源利用率下降从而造成死机。蠕虫病毒是怎么感染的呢?它主要是通过扫描后发觉系统的漏洞进入计算机中隐藏起来,一旦收到指令,便开始进行大面积的系统感染并且去试图联系其他的蠕虫节点,使得计算机被它控制后发送大量带有病毒指令的信息包,最终使得网络因为拥堵而瘫痪掉。这种病毒还会让计算机失去控制般地对文件和文档进行删除,而产生非常多的病毒垃圾文件,让计算机没办法正常使用。邮件往往是蠕虫病毒隐藏的地方。几种比较常见的而且具有巨大危害的蠕虫病毒主要是:Nimda尼姆达病毒,邮件和IIS漏洞是其主要的传播途径,它利用IIS漏洞从而让网络拥堵,进而瘫痪。CodeRed红色代码,传播途径为IIS安全漏洞,对计算机主系统进行破坏从而使得计算机无法使用,而且利用命令使计算机发送大量的垃圾信息造成网络阻断。Happytime欢乐时光,利用邮件和共享文件传播,或者out-look的自动预览功能在网络中进行大量的繁殖,主要危害是删除文件和消耗资源,从而使得计算机失控。

计算机病毒的防范对策

对病毒的检测技术进行完善。通过自身校验、关键字和文件长度等等来对病毒的特征进行检测。要想防护病毒,就要在病毒的检测上更有作为,然后随着病毒的种类和数量增加,对于古怪的代码的识别过程也变得复杂起来。建立一个多层次的防御体系迫在眉睫,这个系统中应该包含了病毒的检测,多层数据保护和集中管理等等多种多样的功能。

篇(2)

①破坏性极大。在网络环境下,计算机病毒结合其他技术对计算机进行入侵,造成的危害极大;

②传染性强。对于计算机病毒而言,在网络环境下,使其传染的危害进一步扩大,这也是计算机病毒最麻烦的特性。而且,通常情况下,这类计算机病毒的复制能力非常快速,使得其传播速度更快,感染范围更广。

2网络环境下防范病毒的措施

2.1树立良好的安全意识

在网络环境下,要想安全的使用计算机,树立良好的安全意识是一种最基本的防范要求。

2.2系统

、重要数据及时备份对于操作系统,要将其放置在硬盘的一个单独分区内,与数据或者其他文件分区存放,并且做好系统和重要数据、文件等的备份,以便电脑在遭受病毒感染后能够及时的恢复,降低病毒被入侵后的损失。

2.3设置用户访问权限

在不影响用户正常工作的情况下,设置系统文件的访问权限为最低限度,防止文件型病毒对系统的侵害。对于安装在系统的程序,设置一定的管理权限才允许用户查看,而且,对于许多常用软件,分配一个临时访问程序的权限,这样能大大降低病毒的入侵。

2.4主动修改注册表

计算机病毒对系统进行攻击时,一般需要一定的触发条件。如果能够成功阻止该条件,就能有效避免病毒程序的启动。对于这类条件的阻止,最有效的方式就是主动修改注册表。

篇(3)

1.2传染性强、潜伏性好传染原本是病毒的特征,在生物界,病毒通过一个生物扩散到另外一个生物,这个现象叫做传染,并在一定环境下,得以大量繁殖,导致被传染生物的死亡。同样,人们形象的把通过网络播散的一些能导致其他计算机瘫痪的程序称之为计算机病毒,与生物病毒不同的是,这些病毒是人为编制或插入的程序,这些程序一旦被启动,便会自动搜索传染目标并插入自身代码,如果不能及时被清除,便会以极快的速度进行扩散。计算机病毒传染的渠道主要有:软盘、计算机网络,而现今状况下,以网络最为便捷、迅速。而这些病毒在进入到一台宿主时,并不会立即发作,它可以隐藏在文件中几周、几个月甚至几年后得以爆发,隐藏性越好的病毒,传播范围越广。

1.3目的性和针对性强最早期计算机病毒设计者在设计这些程序时仅仅是为了显示自己的水平,而当今这些设计者不仅仅是为了显示水平,更多的是通过编撰病毒来获得高额的经济利益。譬如“盗号木马”的出现,这些木马潜伏在用户的计算机中不被察觉,并通过这些病毒程序来盗取用户信息,如:QQ号,银行账号等,并将其发送到黑客手中,给用户造成了巨大经济损失,而给黑客带来了巨额的经济利益。

2.网络环境之下的计算机病毒及其防范措施

2.1完善计算机安全防护体系完善的安全防护体系,这不仅包括网关、防火墙、防病毒及杀毒软件等产品。尽管病毒与黑客程序种类越来越繁多,感染形式多样,发展和传播逐渐迅速,日益之下对于计算机危害越来越大,因此我们要确保计算机的安全防御与控制,我们必须随时更新各类杀毒软件并安装较新版本的个人防火墙,并随系统启动一起加载,进而防止黑客进入计算机偷取、盗密或放置病毒程序。

2.2应从软件系统的使用以及硬件的配置、管理、维护、服务等相关环节制定严密的规章制度、对系统管理工作者及用户加法制教育与职业道德教育,严惩从事非法活动的个人与集体,采用更为有效的新技术,规范工作程序与造作规章,建立“以防为主。防杀结合、软硬互补、以杀为辅、标本兼治”的网络环境下的计算机安全防护技术。

篇(4)

二、计算机感染病毒的现象

(一)操作系统无法正常启动。启动时操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法作系统加载、引导。

(二)平时运行正常的计算机突然经常性无缘无故地死机或重启。病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机或重启的现象发生。

(三)以前正常运行的应用程序经常发生非法错误。在硬件和操作系统没有进行改动的情况下,以前能够正常运行的应用程序产生非法错误明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。

(四)运行速度明显变慢。在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢。这很可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。

(五)系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期也会被改成感染时的时间。

(六)运行Word,打开Word文档后,该文件另存时只能以模板方式保存。无法另存为一个DOC文档,只能保存成模板文档(DOT)。这往往是打开的Word文档中感染了Word宏病毒的缘故。

(七)磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘空间减少得很快。这可能是计算机病毒感染造成的。

(八)Windows桌面图标发生变化。把Windows缺省的图标改成其他样式的图标,或者将其他应用程序、快捷方式的图标改成Windows缺省图标样式,起到迷惑用户的作用。

(九)鼠标自己在动。系统故障大多只符合上面的一点或几点现象,而计算机病毒感染所出现的现象会多得多。根据上述几点,就可以初步判断计算机是否感染上了计算机病毒。

篇(5)

?

随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件屡屡发生,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。最近几年,出现了许多危害极大的邮件型病毒,如“LOVEYOU”病毒、“库尔尼科娃”病毒、“Homepage”病毒以及“求职信”病毒等,这些病毒主要是利用电子邮件作为传播途径,而且一般都是选择Microsoft Outlook侵入,利用Outlook的可编程特性完成发作和破坏。因此,防范计算机病毒已经越来越受到世界各国的高度重视。?

计算机病毒是人为编制的具有破坏性的计算机程序软件,它能自我复制并破坏其它软件的指令,从而扰乱、改变或销毁用户存贮在计算机中的信息,造成无法挽回的损失。通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。?

计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。下面就从三个方面谈谈计算机病毒的防范措施:?

一、基于工作站的防治技术?

工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。?

下载防病毒软件要到知名度高、信誉良好的站点,通常这些站点软件比较安全。不要过于相信和随便运行别人给的软件。要经常检查自己的系统文件,注册表、端口等,多注意安全方面的信息,再者就是改掉Windows 关于隐藏文件扩展名的默认设置,这样可以让我们看清楚文件真正的扩展名。当前许多反病毒软件都具有查杀“木马”或“后门”程序的功能,但仍需更新和采用先进的防病毒软件。如果突然发现自己的计算机硬盘莫名其妙的工作,或者在没有打开任何连接的情况下Modem 还在“眨眼睛”就立刻断开网络连接,进行木马的搜索。?

二、基于服务器的防治技术?

网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮,造成的损失是灾难性的、难以挽回和无法估量。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。?

邮件病毒主要是通过电子邮件进行传染的,而且大多通过附件夹带,了解了这一点,对于该类病毒的防范就比较明确和容易:?

第一,不要轻易打开陌生人来信中的附件,尤其是一些EXE 类的可执行文件。?

第二,对于比较熟悉的朋友发来的邮件,如果其信中带有附件却未在正文中说明,也不要轻易打开附件,因为它的系统也许已经染毒。?

第三,不要盲目转发邮件。给别人发送程序文件甚至电子贺卡时,可先在自己的电脑中试一试,确认没有问题后再发,以免无意中成为病毒的传播者。?

第四,如果收到主题为“I LOVE YOU”的邮件后立即删除,更不要打开附件。?

第五,随时注意反病毒警报,及时更新杀毒软件的病毒代码库。从技术手段上,可安装具有监测邮件系统的反病毒实时监控程序,随时监测系统行为,如使用最新版本的杀毒实时软件来查杀该附件中的文件。?

三、加强计算机网络的管理?

计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人。尽可能采用行之有效的新技术、新手段,建立”防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。必须采取有效的管理措施和技术手段,防止病毒的感染和破坏,力争将损失降到最小。?

计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,这就要求网络防毒产品在技术上更先进,功能上更全面。从目前病毒的演化趋势来看,网络防病毒产品的发展趋势主要体现在以下几个方面:一是反黑与杀毒相结合;二是从入口拦截病毒;三是提供全面解决方案;四是客户化定制模式;五是防病毒产品技术由区域化向国际化转变。?

随着计算机网络、数字技术及互联网技术的发展,计算机病毒的危害更是与日俱增。因此,加强计算机病毒的防治、确保计算机信息安全是当前计算机应用过程中的一项重要、迫切的研究课题。我们一方面要掌握对现在的计算机病毒的防范措施,切实抓好病毒防治工作;另一方面要加强对未来病毒发展趋势的研究,探讨新时期科学防治计算机病毒的新策略,真正做到防患于未然。??

篇(6)

一、计算机病毒

    计算机病毒对计算机网络影响是灾难性的。从80年的“蠕虫”“小球”病毒起至今,计算机使用者都在和计算机病毒斗争,创造了形形的病毒产品和方案。但是随着近年internet的发展,e-mail和一批网络工具的出现改变了人类信息的传播方式和生活,同时也使计算机病毒的种类迅速增加,扩散速度大大加快,出现了一批新的传播方式和表现力的病毒,对企业及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。病毒的主发地点和传播方式己经由以往的单机之间的介质传染完成了向网络系统的转化,类似于“cih,melisa,exploer”网络传染性质的病毒大量出现,一旦企业或单位被病毒侵入并发作,造成的损失和责任是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。企业或单位只有拒病毒于网络之外,才能保证数据的真正安全。

二、几种反病毒技术研究

1.cpu反病毒

之所以病毒和黑客能非常容易地攻击计算机,原因在于网络都是互通的,交换信息的过程中,计算机网络中会建立许多通道,但是设计者并没有过多考虑这个问题,所以只要是信息在通道中通过,都可能被认为是安全信息给予“放行”,

所以这就给计算机带来了极大风险。经过多年努力,俄罗斯科学院计算系统微处理研究所的鲍利斯·巴巴扬通讯院士开发出了一种新型微处理器(cpu),被反病毒界认为成功实现了cpu反病毒,这种cpu可以识别病毒程序,对含有病毒程序的信息给予“抵抗”,同时将这些含有病毒的程序“监禁”起来,同时还可以给这些病毒程序一些数据让它去执行,以免因为空闲而危害计算机,所以这种方法基本上隔离了病毒,让病毒失去了传播的机会。

2.实时反病毒

实时反病毒技术一向为反病毒界所看好,被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约,一方面是因为它需要占用一部分系统资源而降低系统性能,使用户不堪忍受;另一方面是因为它与其他软件(特别是操作系统)的兼容性问题始终没有得到很好的解决。

    实时反病毒概念最大的优点是解决了用户对病毒的“未知性”,或者说是“不确定性”问题。不借助病毒检测工具,普通用户只能靠感觉来判断系统中有无病毒存在。而实际上等到用户感觉系统中确实有病毒在做怪的时候,系统已到了崩溃的边缘。而实时反病毒技术能及时地向用户报警,督促用户在病毒疫情大规模爆发以前采取有效措施。

实时监测是先前性的,而不是滞后性的。任何程序在调用之前都先被过滤一遍。一有病毒侵入,它就报警,并自动杀毒,将病毒拒之门外,做到防患于未然。相对病毒入侵甚至破坏以后再去采取措施来挽救的做法,实时监测的安全性更高。

3.虚拟机技术

    事实上,更为智能的做法是:用程序代码虚拟一个系统运行环境,包括虚拟内存空间、cpu的各个寄存器,甚至将硬件端口也虚拟出来。用调试程序调入需调试的程序“样本”,将每一条语句放到虚拟环境中执行,这样我们就可以通过内存、寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个虚拟机。虚拟现实技术在系统底层也借鉴了虚拟机技术。

    既然虚拟机中可以反映程序的任何动态,那么,将病毒放到虚拟机中执行,病毒的传染动作一定可以反映出来。如果能做到这样,未知病毒的查出概率将有可能大大提高。

    但是因为虚拟机太慢,大约会比正常的程序执行的速度慢几十倍甚至更多,所以事实上我们无法虚拟执行程序的全部代码。目前个别反病毒软件选择了虚拟执行样本代码段的前几k个字节,其查出概率已高达95%左右。

4.主动内核技术

    主动内核技术,用通俗的说法:是从操作系统内核这一深度,给操作系统和网络系统本身打了一个补丁,而且是一个“主动”的补丁,这个补丁将从安全的角度对系统或网络进行管理和检查,对系统的漏洞进行修补;任何文件在进入系统之前,作为主动内核的反毒模块都将首先使用各种手段对文件进行检测处理。

三、网络防病毒方案分析

1.病毒的预防

网络病毒的预防措施主要有:

(1)除非必要,尽可能地拆除工作站上的软盘驱动器,采用无盘工作站代替有盘工作站,这样能减少网络感染病毒的机会。

(2)如果软件运行环境许可,还可以进一步把工作站的硬盘拆除,使之成为一个真正的无盘工作站。只要在工作站的网卡上安装一块远程复位eprom芯片即可。开机后,工作站通过网卡上的这个芯片完成系统引导工作,并直接运行入网程序。这样,工作站既不能从服务器上拷贝文件,也不能向服务器拷贝文件,而只能运行服务器上的文件,杜绝了病毒通过工作站感染服务器的可能性,提高了系统的安全性。

(3)被当做网络服务器使用的机器只专门用来当作服务器,而不再作为工作站使用,也不作为单机使用。

(4)规定只有专业的网络管理人员使用超级用户用户名登录。因为超级用户对于整个网络系统拥有全部权力(包括读、写、建立、删除等),如果工作站上已经感染了病毒,再用超级用户登录,就会感染整个网络服务器。

(5)为用户规定不同的权限,实行专有目录专人使用,防止越权行为,这样即使服务器下的某个用户的子目录感染了病毒,其他的用户如果不执行这个目录下的文件,就不会被病毒感染。

2.病毒防火墙

病毒防火墙,实际上是“广义”防火墙中一个方面的具体实现。它是安装在用户计算机系统之中的反病毒监控软件,它在用户计算机本地系统与外部环境之间完成实时过滤有害病毒的工作,能够有效地阻止来自本地资源和外部网络资源的病毒侵害.病毒防火墙对病毒的“过滤”应当具有相当好的实时性,这种实时性表现在一旦病毒入侵系统或者从系统向其它资源感染,病毒防火墙会立刻检测到并加以清除。而传统的单机版反病毒软件则更注重于“静态”反病毒,即对本地和远程资源以静态分析扫描的方式检测、清除病毒。病毒防火墙的“双向过滤”保证了本地系统不会向远程网络资源传播病毒,这一特点是传统单机版反病毒产品根本无法实现的。

3.网络反病毒软件

反病毒解决方案要求包括一套统一全面的实施软件,能够进行中央控制,能对病毒特征码进行自动更新,并且要能支持多平台、多协议和多种文件类型。nai(美国网络联盟公司)反病毒软件产品占有国际市场超过60%的份额,它提供了适合各类企业网络及个人台式机全面的反病毒解决方案tvd(toltal virus defense) 。tvd包含3个套装软件:vss(virusscansecuritysuite),桌面反病毒解决方案;nss (netshieldsecuritysuite),服务器级反病毒方案;iss(internetsecuritysuite),internet网关反病毒解决方案。tvd中所具有的分发控制台(distributionconsole),可以自动接收来自nai的最新病毒特征文件和升级软件。利用这些套装软件,可以建立符合企业需求的病毒防御系统。

参考文献:

[1]陈荻玲,web服务安全通信机制的研究和实现,北京航天航空大学硕士论文,2003 

篇(7)

在《中华人民共和国计算机信息系统安全保护条例》中,计算机病毒(ComputerVirus)被明确定义为:“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷,由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。

历史上,计算机病毒最早出现在70年代DavidGerrold科幻小说WhenH.A.R.L.I.E.wasOne.最早科学定义出现在1983:在FredCohen(南加大)的博士论文“计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。

其实,和其他生物病毒一样,计算机病毒有独特的复制能力,它可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。

(二)计算机病毒的特点

1、寄生性:计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。

2、传染性:计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序;

3、潜伏性:有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等;

4、隐蔽性:计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。

5、破坏性:计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。通常表现为:增、删、改、移。

6、计算机病毒的可触发性:病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。

(三)计算机病毒的分类

1、根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。

2、根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

3、根据病毒破坏的能力可划分为以下几种:

无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。

无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响.

危险型:这类病毒在计算机系统操作中造成严重的错误.

非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。

4、根据病毒特有的算法,病毒可以划分为:(1)伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。(2)“蠕虫”型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。(3)寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。(4)诡秘型病毒它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。(5)变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

二、计算机病毒传播途径及中毒之后的主要症状

(一)计算机病毒的藏身之处和传播途径

病毒隐藏在它们认为有可能被执行的地方。它们经常隐藏在下列地方:

可执行文件:病毒“贴附”在这些文件上,使其能被执行。

引导扇区:这是磁盘和硬盘中的一个特别扇区,它包含一个程序,当启动电脑时该程序将被执行。

表格和文档:某些程序允许内置一些宏文件,宏文件随着该文件的打开而被执行。病毒利用宏的存在进入其中。

Java小程序和ActiveX控件:这是两个最新隐藏病毒的地方。Java小程序和ActiveX控件都是与网页相关的小程序,通过访问包含它们的网页,可以执行这些程序。

压缩文件:压缩文件是一个包含其他文件的文件。压缩文件包含的任何一个文件都可能被病毒感染,因为这些文件不是处于正常格式下,所以很难发现其中的病毒。

电子邮件:电子邮件信息可能包含感染病毒的文件。此外,电子邮件信息通常属于一个信息数据库,所有这一切使侦测病毒变得非常困难。

(二)计算机中病毒之后的主要症状

1、计算机系统运行速度突然明显减慢。

2、计算机系统经常无故发生死机现象。

3、计算机系统中的文件长度突然发生变化。

4、计算机存储的容量异常减少。

5、系统引导速度减慢。

6、丢失文件或文件损坏。

7、计算机屏幕上出现异常显示。

8、计算机系统的蜂鸣器出现异常声响。

9、磁盘卷标发生变化。

10、系统不识别硬盘。

11、对存储系统异常访问。

12、键盘输入异常。

13、文件的日期、时间、属性等发生变化。

14、文件无法正确读取、复制或打开。

15、命令执行出现错误。

16、虚假报警。

17、换当前盘。有些病毒会将当前盘切换到C盘。

18、时钟倒转。有些病毒会命名系统时间倒转,逆向计时。

19、WINDOWS操作系统无故频繁出现错误。

20、系统异常重新启动。

21、一些外部设备工作异常。

22、异常要求用户输入密码。

23、WORD或EXCEL提示执行“宏”。

24、是不应驻留内存的程序驻留内存。

三、计算机病毒的发展趋势

从某种意义上说,21世纪是计算机病毒与反病毒激烈角逐的时代,而智能化、人性化、隐蔽化、多样化也在逐渐成为新世纪计算机病毒的发展趋势。

1、智能化

与传统计算机病毒不同的是,许多新病毒(包括蠕虫、黑客工具和木马等恶意程序)是利用当前最新的编程语言与编程技术实现的,它们易于修改以产生新的变种,从而逃避反病毒软件的搜索。例如,“爱虫”病毒是用VBScript语言编写的,只要通过Windows下自带的编辑软件修改病毒代码中的一部分,就能轻而易举地制造出病毒变种,从而可以躲避反病毒软件的追击。

另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。“Kakworm”病毒虽然早在2004年1月就被发现,但它的感染率一直居高不下,原因就是由于它利用ActiveX控件中存在的缺陷进行传播,因此装有IE5或Office2000的计算机都可能被感染。这个病毒的出现使原来不打开带毒邮件附件而直接予以删除的防邮件病毒的方法完全失效。更令人担心的是,一旦这种病毒被赋予其他计算机病毒的特性,其危害很有可能超过任何现有的计算机病毒。

2、人性化

更确切地说,也可以将人性化称为诱惑性。现在的计算机病毒越来越注重利用人们的心理因素,如好奇、贪婪等。前一阵肆虐一时的“裸妻”病毒邮件的主题就是英文的“裸妻”,邮件正文为“我的妻子从未这样”,邮件附件中携带一个名为“裸妻”的可执行文件,用户一旦执行这个文件,病毒就被激活。最近出现的My-babypic病毒是通过可爱的宝宝照片传播病毒的。而“库尔尼科娃”病毒的大流行则是利用了“网坛美女”库尔尼科娃难以抵挡的魅力。

3、隐蔽化

相比较而言,新一代病毒更善于隐藏和伪装自己。其邮件主题会在传播中改变,或者具有极具诱惑性的主题和附件名。许多病毒会伪装成常用程序,或者在将病毒代码写入文件内部的同时不改变文件长度,使用户防不胜防。

主页病毒的附件homepagehtmlvbs并非一个HTML文档,而是一个恶意的VB脚本程序,一旦被执行,就会向用户地址簿中的所有电子邮件地址发送带毒的电子邮件副本。再比如“维罗纳”病毒,该病毒将病毒写入邮件正文,而且主题和附件名极具诱惑性,其主题众多,更替频繁,使用户很容易由于麻痹大意而感染。此外,matrix等病毒会自动隐藏和变形,甚至阻止受害用户访问反病毒网站和向记录病毒的反病毒地址发送电子邮件,无法下载经过更新和升级后的相应杀毒软件或病毒警告消息。

4、多样化

在新病毒层出不穷的同时,老病毒依然充满活力,并呈现多样化的趋势。1999年对普遍发作的计算机病毒分析显示,虽然新病毒不断产生,但较早的病毒发作仍很普遍。1999年报道最多的病毒是1996年就首次发现并到处传播的宏病毒Laroux。新病毒具有可执行程序、脚本文件、HTML网页等多种形式,并正向电子邮件、网上贺卡、卡通图片、ICQ、OICQ等发展。

更为棘手的是,新病毒的手段更加阴狠,破坏性更强。据计算机经济研究中心的报告显示,在2000年5月“爱虫”病毒大流行的前5天,病毒就已经造成了67亿美元的损失。而该中心1999年的统计数据显示,到1999年末病毒损失只是120亿美元。

5、专用病毒生成工具的出现

以前的病毒制作者都是专家,编写病毒的目的是想表现自己高超的技术。但是“库尔尼科娃”病毒的设计者不同,他只是修改了下载的VBS蠕虫孵化器。据报道,VBS蠕虫孵化器被人们从VXHeavens上下载了15万次以上。正是由于这类工具太容易得到,使得现在新病毒出现的频率超出以往的任何时候。

6、攻击反病毒软件

病毒发展的另一个趋势表现为专门攻击反病毒软件和其他安全措施的病毒的出现。目前被发现的“求职信”病毒就能够使许多反病毒软件瘫痪。越来越多的病毒能够在反病毒软件对其查杀之前获取比反病毒软件更高的运行等级,从而阻碍反病毒软件的运行并使之瘫痪。

正如计算机病毒的出现本身就是人祸而非天灾一样,目前病毒泛滥的一个很重要的原因就是计算机用户的防范意识薄弱,因此一定要防患于未然,及时掌握反病毒知识,更新自己的反病毒软件及病毒库。

四、计算机病毒的判别方式

长期以来,人们把杀毒软件作为最主要的反病毒工具,杀毒软件几乎成了所有反病毒产品的代名词,杀毒软件赖以生存的“特征值扫描技术”也几乎成了所有反病毒技术的代名词。正因如此,杀毒软件对新病毒的防范始终滞后于病毒出现的重大缺陷,似乎成为既合情又合理的逻辑,导致人们普遍认为反病毒产品不可能主动防御新病毒,甚至有人认为,想研制一种主动防御的反病毒产品,就如同要为一种未知的疾病制作特效药一样异想天开。

然而杀毒软件本身基本上不能发现新病毒,这是众所周知的客观事实。但是,如果人不能发现新病毒,同为自然人的反病毒公司研发人员也就不可能发现新病毒,由此带来的问题是,杀毒软件每天升级的是什么,反病毒公司每次宣称发现的新病毒又是谁来发现的?回答是肯定的,人可以发现新病毒。新病毒一定是人通过相应的方法判断出来的。

从上个世纪八十年代病毒出现后,反病毒技术就有两种思路,一种是采用静态扫描方式,即特征值扫描技术,另一种采用动态分析方法。特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库,杀毒软件将用户计算机中的文件或程序等目标,与病毒特征库中的特征值逐一比对,判断该目标是否被病毒感染。反病毒公司把捕获到并已处理的病毒称为已知病毒,否则就称为未知病毒。只有采用特征值扫描技术时,才区分已知和未知病毒。业界常常有人用人类病毒的医治来解释计算机病毒防范。然而,与生物界的病毒复杂性不同,计算机病毒是人编写的,远比生物界的病毒简单。计算机病毒概念是人依据程序行为来定义的,因此识别病毒的另一种方法是采用动态分析,直接通过程序的行为判断它是否是病毒。尽管杀毒软件主要采用静态扫描方式,但是反病毒公司发现新病毒并不是采用静态扫描方式,而恰恰是采用动态分析方法。即便是反病毒公司收集到可疑程序时,也不能确定是不是新病毒,为了做出准确判断,必须先运行可疑程序,然后再根据程序的行为判断是否是病毒。

篇(8)

0引言

    办公自动化系统(oas)是办公业务中采用intemet/intranet技术,基于工作流的概念,使企业内部人员方便快捷地共享信息,高效地协同工作,实现迅速、全方位的信息采集、信息处理,为企业的管理和决策提供科学的依据。一个企业实现办公自动化的程度是衡量其现代化管理水平的标准。oas从最初的以大规模采用复印机等办公设备为标志的初级阶段,发展到今天的以运用网络和计算机为标志的阶段,oas对企业办公方式的改变和效率的提高起到了积极的促进作用。近年来,办公自动化系统都是架设在网络之上的,它是一个企业与外界联系的渠道,企业的imranet最终都会接人internet,这种接人一方面方便了企业信息、共享资源、对外交流和提高办事效率,另一方面也带来了来自外部网络的各种安全威胁。

1办公自动化系统存在的安全晚息

    随着internet的迅速发展,如何保证信息和网络的自身安全性问题,尤其是在开放互联环境中进行商务等机密信息的交换时,如何保证信息存取中不被窃取篡改,已成为企业非常关注的问题。在国际上,计算机犯罪案件正在以几何级数增长。计算机犯罪是一种高技术型犯罪,由于妇汀日罪的隐蔽侄,因川,寸办公自动化系统安全构成了很大的威胁。

    目前,办公自动化系统的安全隐患主要存在以下几个方面:

    假冒内网的ip地址登录内网窃取信息;软件系统自身的问题:利用网络传输协议或操作系统的漏洞攻击网络;获得网络的超级管理员权限,窃取信息或破坏系统;在传输链路上截取信息,或者进人系统进行物理破坏;病毒破坏,计算机病毒是一种人为制造的,在计算机运行中对计算机信息或者系统起破坏作用的程序。它通常隐蔽在其它程序或者文件中,按照病毒设计者设定的条件引发,从而对系统或信息起到破坏作用;黑客人侵;防范技术落后,网络安全管理不力,管理人员混乱,权限混乱等等。

2系统安全的防范

    针对目前系统安全的上述问题,在办公自动化系统安全上提出下面几类主要的防范方法。

2.1加强机房管理

    对目前大多数办公自动化系统来说,存在的一个很大的不安全因素是网络管理员的权力太大,据有关资料报道,80%的计算机犯罪来自内部,所以对机房工作人员要做好选择和日常考察,妾采取一定的手段来限制或者削弱网络管理员的权力,对机房工作人员,要结合机房、硬件、软件、数据和网络等各个方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;要加强业务、技术等方面的定期培训,提高管理人员的技术水平。

2.2设里访问控制

    访问控制是保证网络安全最重要的策略之一。访问控制策略包括人网访问控制策略、操作权限控制策略等几个方面的内容。首先,网络管理员应该对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户账户应只有网络管理员才能建立,用户口令是用户访问网络所必须提交的准人证。针对用户登录时多次输人口令不正确的情况,系统应按照非法用户人人口令的次数给予给出报警信息,同时应该能够对允许用户输其次,用户名和口令通过验证之后,系统需要进一步对用户账户的默认权限进行检查。最后,针对用户和用户组赋予一定的操作权限。网络管理员能够通过设置,指定用户和用户组可以访问网络中的哪些资源,可以在服务器上进行何种类型的操作。网络管理员要根据访问权限将用户分为特殊用户、普通用户和审计用户等等。

2.3数据加密

    主要针对办公自动化系统中的数据进行加密。它是通过网络中的加密系统,把各种原始的数据信息(明文)按照某种特定的加密算法变换成与明文完全不同的数据信息(密文)的过程。目前常用的数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密对用户来说比较容易实现,使用的密钥较少,而端到端加密比较灵活,对用户可见,在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。数据存储加密主要就是针对系统数据库中存储的数据本身进行加密,这样即使数据不幸泄露或者丢失,也难以被人破译。数据存储加密的关键是选择一个好的加密算法。

2.4建立工作日志

    对所有合法登录用户的操作情况进行跟踪记录;对非法用户,要求系统能够自动记录其登录次数,时间,ip地址等信息,以便网络管理员能够根据日志信息监控系统使用状态,并针对恶意行为采取相应的措施。

2.5加强邮件安全

    在众多的通信工具中,电子邮件以其方便、快捷的特点已成了广大网络用户的首选。然而这也给网络安全带来了很大的隐患,目前垃圾邮件数量巨大、邮件病毒防不胜防,而关于邮件泄密的报道更是层出不穷。面对电子邮件存在的巨大安全隐患,可以采取如下的防御措施:

1)加强防御,一般用户会经常忽略使用电邮安全的基本常识,因此教育用户一些常识是非常有必须的。例如,勿开启来自未知寄件者的附件;勿点选不熟悉来源的任何内容;封锁陌生人的实时讯息等。

    2)对邮件进行加密,由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性和不被其他人截取和偷阅也变得日趋重要。据调查,74%邮件泄密是因为邮件中的机密信息未做任何加密措施引起的。因此,邮件加密是一种比较有效的、针对邮件内容的安全防范措施,采取先进的加密算法可以有效地保障数据的安全。

    3)反垃圾邮件,垃圾邮件经常与病毒有关,因此用户需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含恶意软件的网站,而且病毒经常通过电子邮件传播。大大减轻邮件病毒肆虐的方法是使用反病毒软件,例如只使用提供自动病毒保护功能的电子邮箱,只打开来源可信的电子邮件,或在打开邮件附件之前用反病毒软件进行扫描等等。

2.6设置网络防火墙

    通过安装并启用网络防火墙,可以有效地建立起计算机与外界不安全因素的第一道屏障,做到实时监控网路中的数据流,保护本地计算机不被病毒或者黑客人侵。

2.7保护传输线路安全

篇(9)

这种病毒及其变种把感染的程序文件图标统统改成熊猫举着三根香的模样,还可以盗取用户账号、密码,并且破坏文件系统等。到2007年2月,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。

2月12日,湖北省公安厅宣布,已经成功侦破“熊猫烧香”病毒案,并抓获六名犯罪嫌疑人。但截至《财经》发稿,新的变种仍在出现,“熊猫烧香”仍然余烟缭绕。

其实何止“熊猫烧香”,如今电脑病毒已是一个进化得无比复杂和庞大的家族。它们是一个个程序,但可以自我复制,并且在电脑主人不注意或者未经许可的情况下,感染其他程序,进而自动寻找下一个宿主。因其病理学特征与在人体上肆虐的生物病毒一样,故而名之为“电脑病毒”。

大约20年前,当时更多地作为技术炫耀而产生的电脑病毒,如今却在如此深刻地影响着整个行业,乃至整个世界,并俨然已经形成一个自成一体的“黑色产业”。

“幽灵”兴起

早在1972年,美国著名科幻小说家大卫杰洛德(David Gerrold),就在一本小说中虚构了一种像真正的病毒一样运行的电脑程序“病毒”(Virus),并且引入了另外一种叫做“疫苗”(Vaccine)的程序与之相抗衡。

1982年,风靡一时的漫画书《X战警》(X-MEN)中,更是首次出现了“电脑病毒”(computer virus)这个名词。

但直到1983年,当时还在美国南加州大学攻读电子工程的弗雷德科恩(Fred Cohen)在其博士论文里,才给出了电脑病毒的第一个学术定义,这也是今天公认的标准。

不过,这一论文并没有引起太多人的注意,似乎只有他和很少一部分人认为这种可以自我复制的程序,日后会成为电脑世界的大患。

一般认为,早在1981年,在苹果电脑上就诞生了首个电脑病毒。这个病毒完全是一个美国高中生的恶作剧:病毒被附着在游戏上,游戏一旦启动50次后,就会出现黑屏,并且显示一首作者自创的诗歌。和早期其他病毒一样,这看上去更像技术爱好者的“行为主义”艺术,并不会对被感染的电脑造成实质性损害。

第一个针对个人电脑(PC)的病毒,是1986年一对巴基斯坦兄弟巴斯特(Basit)和阿姆贾德(Amjad)出于防止盗版的目的所写的C-BRAIN病毒。这段写在软盘启动扇区中的病毒,被称为“巴基斯坦”病毒。

一开始,电脑病毒被很多人看成仅仅是一种“创造性的娱乐”,并没有太多的恶意成分。但很快就显示出了其另一面――巨大的破坏性。

1988年,让人们至今记忆犹新的“黑色星期五”病毒(实际上叫耶路撒冷病毒)爆发。它可以感染所有后缀为.省略的可执行文件,并在每个是星期五的13号删除所有运行中的程序。

在这一年,中国也出现了“小球”病毒。

弗雷德科恩目前是美国纽黑文大学教授,还担任其创立的专业信息安全机构Fred Cohen & Associates的CEO。他在接受《财经》记者采访时表示,电脑病毒具有如此巨大的潜在破坏性,其实并不奇怪。由于个人电脑操作系统本身存在的漏洞,加之用户缺乏对系统文件有效的控制,病毒可以改写系统文件甚至操作系统本身。即便是安全系数较高的UNIX系统,在他看来,一个软件高手八个小时内就可以编制一个可以攻破它的病毒。

在上世纪80年代,电脑主要为DOS操作系统时期,病毒主要依存于.EXE、COM等可执行文件。进入90年代,微软公司的视窗(WINDOWS)逐渐成为个人电脑的标准操作系统之后,通过文档文件传播的宏病毒和专门针对32位文件的32位病毒也随之出现。

其中,最著名的32位病毒是台湾青年陈盈豪于1998年编写的CIH病毒。它在每个月26日发作,将用户的硬盘格式化,甚至还可能破坏主板BIOS内的资料,导致电脑无法开启。

互联网的兴起以及逐渐普及,则成为下一个转折点,通过网络传播的第二代病毒开始出现。其本质与基于文件的第一代病毒有很大差异,它的传播基于网络、邮件和浏览器,蠕虫(worm)和木马(Trojan horse)无疑更是网络病毒中的代表。

与通常需要依附在某个程序上不同,蠕虫是一段独立的代码,它像寄生虫一样生存在宿主计算机内部。它的“头部”是一段用以取得系统许可的密码或ID,可以利用宿主计算机的资源对自身进行改写,把其数据加到自己身上,让自己变得越来越大,并控制计算机上可以传输文件或信息的功能,而后继续沿着网络传播。蠕虫病毒一旦进入计算机网络中,就可能造成系统瘫痪、网络中断。

“木马病毒”是一些表面上看似有用的电脑软件,实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制这台计算机的“后门”,从而窃取用户的信息。

进化之路

目前已成长为电脑大国的中国,也成为电脑病毒的“主战场”之一。

根据国家计算机病毒应急处理中心的统计,截至2006年5月,感染病毒的电脑比例约为74%,比高峰时下降了14个百分点。但分析人士指出,随着电脑总量的迅速增加,以及互联网在中国社会、经济生活中的普及,电脑病毒尤其是通过网络传播的新型病毒的危害却更加严峻。

中国互联网络信息中心公布的最新数据显示,截至2006年上半年,中国的互联网用户已经接近1.4亿,上网电脑总量也接近了6000万台。与上一年同期相比,这两个数字都保持了两成以上的增速。这无疑为网络传播病毒的滋生和迅速蔓延提供了难得的温床。

国家计算机网络应急技术处理协调中心(CNCERT/CC)抽样监测结果显示,2006年,中国大陆地区约4.5万个IP 地址的主机被植入“木马”,与2005年同期相比增长一倍。

单纯从技术而言,自电脑病毒上世纪80年代被创造出来后,其本身并没有太多实质性的进步。科恩对《财经》记者指出,“在最近这15年里,病毒制造者从他们的知识上和技术上都没有明显的进步。”

但他也承认,从传播方式和手段上说,电脑病毒实现了一个质的飞跃。

以“熊猫烧香”病毒为例,北京盼达信息安全技术有限公司总经理金楷在接受《财经》记者采访时表示,“熊猫烧香”确实没有太多技术创意,之所以能够造成如此大的破坏,很大程度上是因为它感染了多个访问量高的大型门户网站和论坛,并通过这些网站大面积传播,造成了此次大规模的爆发。

“它主要是利用了这个特殊的位置,而没有革命性的技术。”金楷强调。

显然,虽然技术上没有革命性的突破,但电脑病毒本身也在不断进化,以便更好地适应新的传播途径,以及生存环境。

金山软件股份有限公司反病毒实验室主管戴光剑告诉《财经》记者,“熊猫烧香”病毒在很短的时间内就出现了120多个变种。这种“自我更新机制”使得不少反病毒软件都难以一一应对。

除了自我更新,病毒还通过欺骗、伪装等手段来增加其生存能力。一些论坛上的帖子,会要求打算浏览特定图片的用户点击下载一个压缩包;但这些貌似图片的东西,其实是“灰鸽子病毒”,用户一旦中毒,释放“灰鸽子”的人就可以远程控制这台计算机。这种社会工程学类型的攻击方式,也会出现在游戏外挂、QQ等即时通信工具上。

在戴光剑看来,目前很多病毒都已经发展到了“混合型”的阶段,无论是在传播渠道还是制作水平上。

“熊猫烧香”就集合了多种不同的传播方式,包括U盘传染、文件感染、局域网感染等。它不仅可以实现多重目的,而且可以不断自我更新,这让反病毒软件难以锁定它的特征。

更重要的是,病毒制造和传播现在越来越容易,它已经不再是只有技术高手才能涉足的“禁地”了。

目前在黑客中间颇为流行的Rootkit,为网络攻击者提供了从获得网络上传输的用户名和密码,到安装“木马”程序、为攻击者提供后门,以至隐藏攻击者目录和进程的程序,甚至日志清理程序等一整套技术。

这些未知的病毒,很难通过以病毒特征为主要手段的常规方式加以预防。虽然众多厂商已经推出了实时扫描用户电脑等服务,但由于会对电脑本身的运行速度造成影响,所以,还无法取代传统的杀毒手段。

黑色产业

在科恩看来,对于电脑病毒,也许最严峻的挑战还不是因传播方式变化而带来的质变,而是传播目的所发生的变化。

他对《财经》记者指出,当病毒从破坏文件系统演化到窃取商业信息以后,实质上“就已经从一个技术游戏变成了一个犯罪工具”。

如今,越来越多的新病毒被设计用来传播间谍软件、制造垃圾邮件、实施“钓鱼”欺诈等。现在病毒制造者是出于个人的私利,而不是技术探索目的,来编写病毒。

“现在病毒爆发同以往最大的变化,是病毒制造者从单纯的炫耀技术,转变成以获利为目的;前者希望病毒尽量被更多的人知道,但后者希望最大程度地隐蔽病毒,以更多地获利。”金楷说。

金山反病毒实验室主管戴光剑则对《财经》记者透露,在业界,一个可以被控制的电脑被叫做“肉鸡”。在国内可以卖到0.5元到1元人民币一只,这样的“肉鸡”可以使用几天;如果可以使用半个月以上,则可以卖到几十元一只。对于病毒制造者和“经纪人”而言,如果控制了几十万甚至上百万台这样的“肉鸡”,盈利空间是可以想象的。

这样的“肉鸡”构成的“僵尸网络”(BotNet)既可以用来对企业网络实施集中攻击,还可以发送垃圾邮件,以及点击广告等。

CNCERT/CC抽样监测发现,中国大陆地区约有1000多万个IP地址的主机被植入僵尸程序;境外约1.6万个IP对中国境内的僵尸主机实施控制,这些IP主要位于美国、韩国和中国台湾等。

“熊猫烧香”病毒可以实现的一个重要功能,就是盗取用户账号和密码,从而窃取用户的虚拟财产;而一旦盗取了诸如装备、点卡等虚拟财产,就可以通过很多网上交易平成“销赃”,并从中获利。

据悉,2006年金山截获的各类病毒中,专门盗取网银/网游等网络财产和QQ号的“木马”占了51%。病毒的绝大多数变化都围绕此中心展开,已成为众多网民面临的第一大威胁。

北京江民新科技术有限公司技术总监严绍文在接受《财经》记者采访时强调,金钱诱惑往往比个人爱好更持久、更有吸引力,这也在很大程度上导致了现在病毒遍地开花的严峻局面。

与此同时,部分杀毒软件厂商,到底在这个“黑色产业”中扮演着什么样的角色?电脑病毒市场上是否也在真实演绎着另类“无间道”,这或许仍然是个谜团。

长期以来,不少网络用户一直在指责某些杀毒软件厂商实际上在暗地参与制造以及传播新的电脑病毒,从而维持公众对于病毒的“恐慌心态”,以便从中获利。

毕竟,根据上海艾瑞市场咨询有限公司(iResearch)的研究,与电脑病毒的斗争也意味着一个同样庞大的市场。据其预测,到2007年,网络版和单机版杀毒软件的市场规模有望超过30亿元人民币。

但无论如何,电脑病毒的威胁都将长期存在。

篇(10)

关键词:计算机病毒检测技术

1研究背景

计算机网络是信息社会的基础,已经进入了社会的各个角落,经济、文化、军事和社会生活越来越多的依赖计算机网络。然而,计算机在给人们带来巨大便利的同时,也带来了不可忽视的问题,计算机病毒给网络系统的安全运行带来了极大的挑战。2003年1月25日,突如其来的“蠕虫王”病毒,在互联网世界制造了类似于“9.11”的恐怖袭击事件,很多国家的互联网也受到了严重影响。同样,前两年的“熊猫烧香”病毒再次为计算机网络安全敲起了警钟。那么,面对网络世界的威胁,人类总在试图寻找各种方面来进行克服和攻关。入侵检测技术作为解决计算机病毒危害的方法之一,对其进行研究就成为可能。

2计算机病毒的发展趋势

计算机病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特洛依木马等有害代码大量涌现。据《中华人民共和国工业和信息化部信息安全协调司》计算机病毒检测周报(2009.3.29—2009.4.4)公布的消息称:“木马”及变种、“木马下载者”及变种、“灰鸽子”及变种、“U盘杀手”及变种、网游大盗“及变种等病毒及变种对计算机安全网络的安全运行构成了威胁。对计算机病毒及变种的了解可以使我们站在一定的高度上对变种病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。变种病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗反病毒手段和有目的的方向发展。

3计算机病毒检测的基本技术

3.1计算机病毒入侵检测技术。计算机病毒检测技术作为计算机病毒检测的方法技术之一,它是一种利用入侵者留下的痕迹等信息来有效地发现来自外部或者内部的非法入侵技术。它以探测与控制为技术本质,起着主动防御的作用,是计算机网络安全中较重要的内容。

3.2智能引擎技术。智能引擎技术发展了特征代码扫描法的优点,同时也对其弊端进行了改进,对病毒的变形变种有着非常准确的智能识别功能,而且病毒扫描速度并不会随着病毒库的增大而减慢。

3.3嵌入式杀毒技术。嵌入式杀毒技术是对病毒经常攻击的应用程序或者对象提供重点保护的技术,它利用操作系统或者应用程序提供的内部接口来实现。它能对使用频率高、使用范围广的主要的应用软件提供被动式的保护。

3.4未知病毒查杀技术。未知病毒查杀技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。

4计算机病毒检测技术的发展现状

目前,国外一些研究机构已经研发出了应用于不同操作系统的几种典型的计算机病毒检测技术。这些计算机病毒检测技术基本上是基于服务器、网络以及变种病毒的。基于服务器的入侵检测技术采用服务器操作系统的检测序列作为主要输入源来检测侵入行为,而大多数基于计算机变种病毒的检测技术则以预防和消除计算机病毒作为终结目标的。早期的计算机病毒检测技术主要用来预防和消除传统的计算机病毒;然而,为了更好地应对计算机病毒的花样不断翻新,编程手段越来越高的形势,最新的计算机病毒检测方法技术更多地集中用于预防和消除计算机变种病毒,打好计算机病毒对抗与反对抗的攻坚战。总之,由于计算机病毒的变种更新速度加快,表现形式也更加复杂,那么计算机病毒检测技术在计算机网络安全运行防护中所起的作用就显得至关重要,因此受到了广泛的重视。相信随着计算机病毒检测技术的不断改进和提高,将会有更加安全可靠的计算机病毒检测技术问世,更好维护网络安全,造福于全世界。

5计算机病毒检测方法技术的作用

计算机病毒检测技术在计算机网络安全防护中起着至关重要的作用,主要有:①堵塞计算机病毒的传播途径,严防计算机病毒的侵害;②计算机病毒的可以对计算机数据和文件安全构成威胁,那么计算机病毒检测技术可以保护计算机数据和文件安全;③可以在一定程度上打击病毒制造者的猖獗违法行为;④最新病毒检测方法技术的问世为以后更好应对多变的计算机病毒奠定了方法技术基础。

虽然,计算机病毒检测技术的作用很大,但并不能完全防止计算机病毒的攻击,我们必须提高警惕,充分发挥主观能动性。因此,加强IT行业从业人员的职业道德教育、加快完善计算机病毒防止方面的法律法规、加强国际交流与合作同样显得刻不容缓。也许只有这样计算机计算机病毒检测技术才能更好发挥作用,我们才能更好防止日益变化和复杂的计算机病毒的攻击。

6结语

随着计算机网络技术的不断发展,计算机给人类经济、文化、军事和社会活动带来更多便利的同时,也带来了相当巨大的安全挑战。现代信息网络面临着各种各样的安全威胁,有来自网络外面的攻击,比如网络黑客、计算机病毒及变种等。因此合理有效的计算机病毒检测技术是防治计算机病毒最有效,最经济省力,也是最应该值得重视的问题。研究计算机病毒检测技术有利于我们更好地防止计算机病毒的攻击,有利于我们更好地维护计算机网络世界的安全,使得计算机网络真正发挥其积极的作用,促进人类经济、文化、军事和社会活动的健康。

参考文献:

[1]卓新建,郑康锋,辛阳.《计算机病毒原理与防治》,北京邮电大学出版社,2007年8月第二版.

[2]郝文化.《防黑反毒技术指南》,机械工业出版社,2004年1月第一版.

[3]程胜利,谈冉,熊文龙等.《计算机病毒与其防治技术》,清华大学出版社,2004年9月第一版.

[4]张仁斌,李钢,侯.《计算机病毒与反病毒技术》.清华大学出版社,2006年6月.

[5]傅建明,彭国军,张焕国.《计算机病毒与对抗》.武汉大学出版社,2004年版.

篇(11)

措施仍有待加强

当然,Nigam所做的努力并不足以安抚MySpace的批评人士。另一个国际传媒业巨头维旺迪公司旗下的环球唱片公司就提出了MySpace侵犯版权的诉讼,此案不可能很容易了结。今年1月份,又有四户家庭MySpace,索赔数百万美元,指控各自的未成年女儿遭到她们在该网站上结识的成年男子的待。

美国众议院已通过立法,要求公立学校和图书馆限制未成年人使用网络社区,美国参议院也在考虑此立法。而各州首席检察官组成的团队扬言要采取法律措施,他们并没有改变“MySpace需要实施年龄核查机制”的看法。

美国北卡罗来纳州首席检察官办公室的Chaudhuri说:“他们所做的所有变化当然都是积极的,但正如我们向他们表明的那样,这些并不是在网上保护儿童的最有效手段。它们都是无关紧要的小变化,并没有关注设法将儿童与成年人或者将成年人与儿童区别开来这一关键问题。”

MySpace在色狼数据库方面的合作伙伴Sentinel Tech称,它确实提供年龄核查机制。Nigam说:“我们与提供这种机制的公司进行合作,这应当具有说服力。要核查年龄不足18岁的用户的真实年龄是极为困难的,也没有公开的数据可以使用。我们确实认为家长们在这方面可以发挥作用,我们正在分析家长的干预会起到什么作用。”此后不久,MySpace就宣布它在开发一款免费软件,到时家长可以安装到家用电脑上,监控子女们在该网站上填写的是什么姓名、年龄和位置。

接下来的问题是,Nigam带来的变化(也是他继续要推行的变化)会不会实际上大大提高了该网站的安全性,又不会影响网站的吸引力?

用安全来推进业务

与竞争网站相比,MySpace的用户年龄已经明显偏大。据评测互联网使用量的comScore Media Metrix公司声称,从百分比来看,竞争网站Xanga年龄不足18岁的会员所占的比例差不多是MySpace的两倍,前者欢迎年龄低至12岁的用户。

安全控制加强引起的用户年龄发生变化可能是死神之吻,也可能是上帝的赐福。德勤咨询公司的Openshaw说:“现在有两种观点:一是如果你提高安全、控制和过滤级别,可能会导致采用率下降;二是采用率也有可能会提高,因为你的网站会因而受到愿意使用的另一个用户群的欢迎,即希望与亲朋好友共享信息,但又希望保证隐私和安全的成年人。”comScore称,已经有多达一半的MySpace用户年龄不低于35岁。而MySpace也宣布,其增长最快的用户群年龄在35~42岁之间。

不论MySpace是在朝哪个方向发展,网络社区都不会只是流行一阵子。我们认为,现在已真正进入了消费者与消费者在网上交互的时代,我们当然希望Nigam能够在安全和业务之间找到恰当的平衡。失踪及被剥削儿童中心的Allen说:“我们可以让这些网站绝对安全,但那样我们是否会把人们赶到不受法律监管的MySpace国外版网站?”

Allen说:“如果你看一下MySpace已经解决或者改进的问题,这非常鼓舞人心。但还有更多的事要做,任务非常艰巨,这种任务将需要不断努力、不断关注、不断沟通。这是不会迅速得到解决的任务之一。”

Nigam倒是乐观地认为,他所做的不但会提高其网站的安全性,还会改善业务。虽然他喜欢把自己所做的工作称为一项公共服务,但他也坚持认为,自己的角色对业务有极大帮助。

Nigam说:“跟我们接洽的广告商说,‘如果你的网站上有人成为受害者或者遭到病毒攻击,并存在诸多危险,那么我们不想让自己的品牌与你们的品牌放在一起。’所以,出于商业原因做好安全和因为这是要做的正确事情而做好安全之间存在效果非常好的增效作用。网站越安全,信誉度就越高;信誉度越高,会有越多的广告商放心地与网站上的1.5亿用户进行互动。否则,你要承担这么多用户带来的管理成本,而这无疑是最糟糕的投资项目之一。”

在几周后进行的一次电话采访中,他详细叙述了这个问题,说关于加强MySpace安全背后商业理由的各种说法让他想到了当初让自己走上职业生涯的理由。

他说:“我记得在洛杉矶地方检察官办公室第一天接受培训时的情景,副检察官站起来向我们介绍在地方检察官办公室工作是什么样的。快讲完时他说,‘你们要知道,你们会发现这项工作最吸引人的一个方面就是,每一天你来上班是为了做正确的事情。’听了这句话后,我想自己不会轻易走人。于是每当我接手一份新工作,总是要考虑一下――我来此是不是做正确的事情?来到MySpace前,我不停地问自己,我来此工作是不是可以做正确的事情。确保我们的会员安全,这是做正确的事情。确保我们的网站安全,这也是做正确的事情。我们做了这些事情后,对业务带来了重大影响,这只会使业务变得更好。”

提高安全、控制和过滤的级别,可能导致网络社区吸引力下降。

安全扫描

“灰鸽子”大规模集中爆发

连续三年染指年度十大病毒、被反病毒专家称为最危险的后门程序“灰鸽子”病毒随着“灰鸽子2007”的,正在大规模集中爆发。据金山毒霸全球反病毒中心统计,仅3月1日至13日,金山截获的灰鸽子变种数就达到521个。仅2007年2月,中国约有258235台计算机感染灰鸽子,而同期国内感染病毒的计算机总共才2065873台,也就是说中国每10台感染病毒的计算机中,就有超过一台感染了灰鸽子。金山总裁雷军表示,“灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!”

计算机网络安全应急年会将举办

近日记者获悉,2007中国计算机网络安全应急年会暨中国互联网协会网络安全工作年会将于4月5日~7日在无锡举办,这是继2004年2月在海南、2005年3月在广西、2006年3月在北京连续三届成功举办中国计算机网络安全应急年会之后,第四次由国家计算机网络应急技术处理协调中心举办的全国性计算机网络安全应急高峰论坛及技术研讨会。这次年会的主题定为“服务信息社会,共建和谐网络”,希望通过广泛的沟通,通过信息与经验的分享,使得所有参会的组织和人员都能够从中获益。

上一篇 博物馆调研报告 下一篇 村书记转正党员工作
返回列表
推荐精选
推荐范文
相关期刊