計算機反病毒論文大全11篇
時間:2022-04-30 06:29:01緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇計算機反病毒論文范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
計算機病毒也有著自身的特點。我們可以簡單地將其總結如下:①攻擊隱蔽性較強。一般,病毒在感染計算機系統的時候都不太會被警覺,往往是在后果嚴重的時候才被人發現。②較強的繁殖能力,一旦病毒入侵電腦,發作可以相當的快速。③廣泛的傳染途徑。無論是軟盤、硬件設備或者有線、無線網絡,都可能是病毒入侵電腦的途徑,而且會不斷地進行蔓延。④較長的潛伏期,有些病毒可以進行長期的潛伏,直到達到相關的條件之后再集中地爆發。⑤加強的破壞力,計算機病毒一旦發作,輕微的可能干擾到系統運行的正常性,也有可能會導致數據的破壞和刪除,乃至整個系統的完全癱瘓。⑥較強的針對性,計算機病毒可以經過精心的設計之后,根據環境和時機來準確地進行攻擊。
計算機病毒的感染原理
1引導型病毒感染原理。系統引導型病毒的感染對象是軟盤的引導扇區、硬盤的主引導扇區或者是DOS引導扇區。一旦計算機由被感染的軟盤而啟動,就將會受到感染。被感染的軟件啟動計算機的時候將會把病毒搶先于操作系統而自動裝入內存,從而對系統的讀寫等動作進行控制,并且找機會去感染其他的磁盤。
2文件型病毒感染原理。依附或者覆蓋在文件中的文件型病毒,會將被感染的文件進行一些參數上的修改,將其自身的病毒程序添加到原文件中去。因此,只要文件執行,那么病毒的程序代碼將會首先執行并且留在內存中,對系統進行破壞。對于各個執行的程序文件,病毒都會首先對其檢查是否被感染,對漏掉的立刻進行感染,增強破壞力。
3混合型病毒感染原理。混合型的病毒感染可執行文件之后,還可以將其串擾到硬盤的引導區。一旦感染了這樣的病毒,病毒會首先進入內存而伺機去感染其他的磁盤。操作系統載入內存之后,病毒通過攔截INT21H去感染文件。甚至有些被感染過的系統用format格式化硬盤都無法對病毒進行消除。
4計算機病毒感染的渠道。計算機病毒主要有以下幾種常見的傳播渠道:①電子郵件。電子郵件是信息社會中常見的一種通信手段,而且覆蓋面廣,也加劇了病毒的擴散性。②文件。病毒可以通過感染文件后隨著文件的傳播來擴散。而且還可能在局域網中反復地感染,受染計算機可能出現藍屏或者頻繁重啟以及數據被破壞的情況,甚至可能造成局域網中所有的系統受染、癱瘓。③通過系統設備感染。這種感染方式可能會造成硬盤內的數據破壞和丟失,或者逼迫其進行低級格式化。
5特洛伊木馬、網絡蠕蟲、Internet語言病毒感染原理。一些用Java、VB、ActiveX等撰寫出來的病毒往往通過網絡來對用戶的個人信息進行盜竊,亦或是使得計算機系統資源利用率下降從而造成死機。蠕蟲病毒是怎么感染的呢?它主要是通過掃描后發覺系統的漏洞進入計算機中隱藏起來,一旦收到指令,便開始進行大面積的系統感染并且去試圖聯系其他的蠕蟲節點,使得計算機被它控制后發送大量帶有病毒指令的信息包,最終使得網絡因為擁堵而癱瘓掉。這種病毒還會讓計算機失去控制般地對文件和文檔進行刪除,而產生非常多的病毒垃圾文件,讓計算機沒辦法正常使用。郵件往往是蠕蟲病毒隱藏的地方。幾種比較常見的而且具有巨大危害的蠕蟲病毒主要是:Nimda尼姆達病毒,郵件和IIS漏洞是其主要的傳播途徑,它利用IIS漏洞從而讓網絡擁堵,進而癱瘓。CodeRed紅色代碼,傳播途徑為IIS安全漏洞,對計算機主系統進行破壞從而使得計算機無法使用,而且利用命令使計算機發送大量的垃圾信息造成網絡阻斷。Happytime歡樂時光,利用郵件和共享文件傳播,或者out-look的自動預覽功能在網絡中進行大量的繁殖,主要危害是刪除文件和消耗資源,從而使得計算機失控。
計算機病毒的防范對策
對病毒的檢測技術進行完善。通過自身校驗、關鍵字和文件長度等等來對病毒的特征進行檢測。要想防護病毒,就要在病毒的檢測上更有作為,然后隨著病毒的種類和數量增加,對于古怪的代碼的識別過程也變得復雜起來。建立一個多層次的防御體系迫在眉睫,這個系統中應該包含了病毒的檢測,多層數據保護和集中管理等等多種多樣的功能。
篇(2)
①破壞性極大。在網絡環境下,計算機病毒結合其他技術對計算機進行入侵,造成的危害極大;
②傳染性強。對于計算機病毒而言,在網絡環境下,使其傳染的危害進一步擴大,這也是計算機病毒最麻煩的特性。而且,通常情況下,這類計算機病毒的復制能力非常快速,使得其傳播速度更快,感染范圍更廣。
2網絡環境下防范病毒的措施
2.1樹立良好的安全意識
在網絡環境下,要想安全的使用計算機,樹立良好的安全意識是一種最基本的防范要求。
2.2系統
、重要數據及時備份對于操作系統,要將其放置在硬盤的一個單獨分區內,與數據或者其他文件分區存放,并且做好系統和重要數據、文件等的備份,以便電腦在遭受病毒感染后能夠及時的恢復,降低病毒被入侵后的損失。
2.3設置用戶訪問權限
在不影響用戶正常工作的情況下,設置系統文件的訪問權限為最低限度,防止文件型病毒對系統的侵害。對于安裝在系統的程序,設置一定的管理權限才允許用戶查看,而且,對于許多常用軟件,分配一個臨時訪問程序的權限,這樣能大大降低病毒的入侵。
2.4主動修改注冊表
計算機病毒對系統進行攻擊時,一般需要一定的觸發條件。如果能夠成功阻止該條件,就能有效避免病毒程序的啟動。對于這類條件的阻止,最有效的方式就是主動修改注冊表。
篇(3)
1.2傳染性強、潛伏性好傳染原本是病毒的特征,在生物界,病毒通過一個生物擴散到另外一個生物,這個現象叫做傳染,并在一定環境下,得以大量繁殖,導致被傳染生物的死亡。同樣,人們形象的把通過網絡播散的一些能導致其他計算機癱瘓的程序稱之為計算機病毒,與生物病毒不同的是,這些病毒是人為編制或插入的程序,這些程序一旦被啟動,便會自動搜索傳染目標并插入自身代碼,如果不能及時被清除,便會以極快的速度進行擴散。計算機病毒傳染的渠道主要有:軟盤、計算機網絡,而現今狀況下,以網絡最為便捷、迅速。而這些病毒在進入到一臺宿主時,并不會立即發作,它可以隱藏在文件中幾周、幾個月甚至幾年后得以爆發,隱藏性越好的病毒,傳播范圍越廣。
1.3目的性和針對性強最早期計算機病毒設計者在設計這些程序時僅僅是為了顯示自己的水平,而當今這些設計者不僅僅是為了顯示水平,更多的是通過編撰病毒來獲得高額的經濟利益。譬如“盜號木馬”的出現,這些木馬潛伏在用戶的計算機中不被察覺,并通過這些病毒程序來盜取用戶信息,如:QQ號,銀行賬號等,并將其發送到黑客手中,給用戶造成了巨大經濟損失,而給黑客帶來了巨額的經濟利益。
2.網絡環境之下的計算機病毒及其防范措施
2.1完善計算機安全防護體系完善的安全防護體系,這不僅包括網關、防火墻、防病毒及殺毒軟件等產品。盡管病毒與黑客程序種類越來越繁多,感染形式多樣,發展和傳播逐漸迅速,日益之下對于計算機危害越來越大,因此我們要確保計算機的安全防御與控制,我們必須隨時更新各類殺毒軟件并安裝較新版本的個人防火墻,并隨系統啟動一起加載,進而防止黑客進入計算機偷取、盜密或放置病毒程序。
2.2應從軟件系統的使用以及硬件的配置、管理、維護、服務等相關環節制定嚴密的規章制度、對系統管理工作者及用戶加法制教育與職業道德教育,嚴懲從事非法活動的個人與集體,采用更為有效的新技術,規范工作程序與造作規章,建立“以防為主。防殺結合、軟硬互補、以殺為輔、標本兼治”的網絡環境下的計算機安全防護技術。
篇(4)
二、計算機感染病毒的現象
(一)操作系統無法正常啟動。啟動時操作系統報告缺少必要的啟動文件,或啟動文件被破壞,系統無法啟動。這很可能是計算機病毒感染系統文件后使得文件結構發生變化,無法作系統加載、引導。
(二)平時運行正常的計算機突然經常性無緣無故地死機或重啟。病毒感染了計算機系統后,將自身駐留在系統內并修改了中斷處理程序等,引起系統工作不穩定,造成死機或重啟的現象發生。
(三)以前正常運行的應用程序經常發生非法錯誤。在硬件和操作系統沒有進行改動的情況下,以前能夠正常運行的應用程序產生非法錯誤明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能,或者計算機病毒程序本身存在著兼容性方面的問題造成的。
(四)運行速度明顯變慢。在硬件設備沒有損壞或更換的情況下,本來運行速度很快的計算機,運行同樣應用程序,速度明顯變慢。這很可能是計算機病毒占用了大量的系統資源,并且自身的運行占用了大量的處理器時間,造成系統資源不足,運行變慢。
(五)系統文件的時間、日期、大小發生變化。這是最明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后,會將自身隱藏在原始文件的后面,文件大小大多會有所增加,文件的訪問和修改日期也會被改成感染時的時間。
(六)運行Word,打開Word文檔后,該文件另存時只能以模板方式保存。無法另存為一個DOC文檔,只能保存成模板文檔(DOT)。這往往是打開的Word文檔中感染了Word宏病毒的緣故。
(七)磁盤空間迅速減少。沒有安裝新的應用程序,而系統可用的磁盤空間減少得很快。這可能是計算機病毒感染造成的。
(八)Windows桌面圖標發生變化。把Windows缺省的圖標改成其他樣式的圖標,或者將其他應用程序、快捷方式的圖標改成Windows缺省圖標樣式,起到迷惑用戶的作用。
(九)鼠標自己在動。系統故障大多只符合上面的一點或幾點現象,而計算機病毒感染所出現的現象會多得多。根據上述幾點,就可以初步判斷計算機是否感染上了計算機病毒。
篇(5)
?
隨著計算機在社會生活各個領域的廣泛運用,計算機病毒攻擊與防范技術也在不斷拓展。據報道,世界各國遭受計算機病毒感染和攻擊的事件屢屢發生,嚴重地干擾了正常的人類社會生活,給計算機網絡和系統帶來了巨大的潛在威脅和破壞。最近幾年,出現了許多危害極大的郵件型病毒,如“LOVEYOU”病毒、“庫爾尼科娃”病毒、“Homepage”病毒以及“求職信”病毒等,這些病毒主要是利用電子郵件作為傳播途徑,而且一般都是選擇Microsoft Outlook侵入,利用Outlook的可編程特性完成發作和破壞。因此,防范計算機病毒已經越來越受到世界各國的高度重視。?
計算機病毒是人為編制的具有破壞性的計算機程序軟件,它能自我復制并破壞其它軟件的指令,從而擾亂、改變或銷毀用戶存貯在計算機中的信息,造成無法挽回的損失。通過采取技術上和管理上的措施,計算機病毒是完全可以防范的。只要在思想上有反病毒的警惕性,依靠使用反病毒技術和管理措施,新病毒就無法逾越計算機安全保護屏障,從而不能廣泛傳播。?
計算機網絡中最主要的軟硬件實體就是服務器和工作站,所以防治計算機網絡病毒應該首先考慮這兩個部分,另外加強綜合治理也很重要。下面就從三個方面談談計算機病毒的防范措施:?
一、基于工作站的防治技術?
工作站就像是計算機網絡的大門。只有把好這道大門,才能有效防止病毒的侵入。工作站防治病毒的方法有三種:一是軟件防治,即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力,但需人為地經常去啟動軟盤防病毒軟件,因而不僅給工作人員增加了負擔,而且很有可能在病毒發作后才能檢測到。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的,但防病毒卡的升級不方便,從實際應用的效果看,對工作站的運行速度有一定的影響。三是在網絡接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護合二為一,可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題,而且對網絡的傳輸速度也會產生一定的影響。?
下載防病毒軟件要到知名度高、信譽良好的站點,通常這些站點軟件比較安全。不要過于相信和隨便運行別人給的軟件。要經常檢查自己的系統文件,注冊表、端口等,多注意安全方面的信息,再者就是改掉Windows 關于隱藏文件擴展名的默認設置,這樣可以讓我們看清楚文件真正的擴展名。當前許多反病毒軟件都具有查殺“木馬”或“后門”程序的功能,但仍需更新和采用先進的防病毒軟件。如果突然發現自己的計算機硬盤莫名其妙的工作,或者在沒有打開任何連接的情況下Modem 還在“眨眼睛”就立刻斷開網絡連接,進行木馬的搜索。?
二、基于服務器的防治技術?
網絡服務器是計算機網絡的中心,是網絡的支柱。網絡癱瘓的—個重要標志就是網絡服務器癱瘓。網絡服務器—旦被擊垮,造成的損失是災難性的、難以挽回和無法估量。目前基于服務器的防治病毒的方法大都采用防病毒可裝載模塊(NLM),以提供實時掃描病毒的能力。有時也結合利用在服務器上的插防毒卡等技術,目的在于保護服務器不受病毒的攻擊,從而切斷病毒進一步傳播的途徑。?
郵件病毒主要是通過電子郵件進行傳染的,而且大多通過附件夾帶,了解了這一點,對于該類病毒的防范就比較明確和容易:?
第一,不要輕易打開陌生人來信中的附件,尤其是一些EXE 類的可執行文件。?
第二,對于比較熟悉的朋友發來的郵件,如果其信中帶有附件卻未在正文中說明,也不要輕易打開附件,因為它的系統也許已經染毒。?
第三,不要盲目轉發郵件。給別人發送程序文件甚至電子賀卡時,可先在自己的電腦中試一試,確認沒有問題后再發,以免無意中成為病毒的傳播者。?
第四,如果收到主題為“I LOVE YOU”的郵件后立即刪除,更不要打開附件。?
第五,隨時注意反病毒警報,及時更新殺毒軟件的病毒代碼庫。從技術手段上,可安裝具有監測郵件系統的反病毒實時監控程序,隨時監測系統行為,如使用最新版本的殺毒實時軟件來查殺該附件中的文件。?
三、加強計算機網絡的管理?
計算機網絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網絡系統的安全運行。目前在網絡病毒防治技術方面,基本處于被動防御的地位,但管理上應該積極主動。應從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度、對網絡系統的管理員及用戶加強法制教育和職業道德教育,規范工作程序和操作規程,嚴懲從事非法活動的集體和個人。盡可能采用行之有效的新技術、新手段,建立”防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治”的最佳網絡病毒安全模式。必須采取有效的管理措施和技術手段,防止病毒的感染和破壞,力爭將損失降到最小。?
計算機病毒在形式上越來越難以辨別,造成的危害也日益嚴重,這就要求網絡防毒產品在技術上更先進,功能上更全面。從目前病毒的演化趨勢來看,網絡防病毒產品的發展趨勢主要體現在以下幾個方面:一是反黑與殺毒相結合;二是從入口攔截病毒;三是提供全面解決方案;四是客戶化定制模式;五是防病毒產品技術由區域化向國際化轉變。?
隨著計算機網絡、數字技術及互聯網技術的發展,計算機病毒的危害更是與日俱增。因此,加強計算機病毒的防治、確保計算機信息安全是當前計算機應用過程中的一項重要、迫切的研究課題。我們一方面要掌握對現在的計算機病毒的防范措施,切實抓好病毒防治工作;另一方面要加強對未來病毒發展趨勢的研究,探討新時期科學防治計算機病毒的新策略,真正做到防患于未然。??
篇(6)
一、計算機病毒
計算機病毒對計算機網絡影響是災難性的。從80年的“蠕蟲”“小球”病毒起至今,計算機使用者都在和計算機病毒斗爭,創造了形形的病毒產品和方案。但是隨著近年internet的發展,e-mail和一批網絡工具的出現改變了人類信息的傳播方式和生活,同時也使計算機病毒的種類迅速增加,擴散速度大大加快,出現了一批新的傳播方式和表現力的病毒,對企業及個人用戶的破壞性和傳染力是以往的病毒類型所不可比擬的。病毒的主發地點和傳播方式己經由以往的單機之間的介質傳染完成了向網絡系統的轉化,類似于“cih,melisa,exploer”網絡傳染性質的病毒大量出現,一旦企業或單位被病毒侵入并發作,造成的損失和責任是難以承受的。病毒和防病毒之間的斗爭已經進入了由“殺”病毒到“防”病毒的時代。企業或單位只有拒病毒于網絡之外,才能保證數據的真正安全。
二、幾種反病毒技術研究
1.cpu反病毒
之所以病毒和黑客能非常容易地攻擊計算機,原因在于網絡都是互通的,交換信息的過程中,計算機網絡中會建立許多通道,但是設計者并沒有過多考慮這個問題,所以只要是信息在通道中通過,都可能被認為是安全信息給予“放行”,
所以這就給計算機帶來了極大風險。經過多年努力,俄羅斯科學院計算系統微處理研究所的鮑利斯·巴巴揚通訊院士開發出了一種新型微處理器(cpu),被反病毒界認為成功實現了cpu反病毒,這種cpu可以識別病毒程序,對含有病毒程序的信息給予“抵抗”,同時將這些含有病毒的程序“監禁”起來,同時還可以給這些病毒程序一些數據讓它去執行,以免因為空閑而危害計算機,所以這種方法基本上隔離了病毒,讓病毒失去了傳播的機會。
2.實時反病毒
實時反病毒技術一向為反病毒界所看好,被認為是比較徹底的反病毒解決方案。多年來其發展之所以受到制約,一方面是因為它需要占用一部分系統資源而降低系統性能,使用戶不堪忍受;另一方面是因為它與其他軟件(特別是操作系統)的兼容性問題始終沒有得到很好的解決。
實時反病毒概念最大的優點是解決了用戶對病毒的“未知性”,或者說是“不確定性”問題。不借助病毒檢測工具,普通用戶只能靠感覺來判斷系統中有無病毒存在。而實際上等到用戶感覺系統中確實有病毒在做怪的時候,系統已到了崩潰的邊緣。而實時反病毒技術能及時地向用戶報警,督促用戶在病毒疫情大規模爆發以前采取有效措施。
實時監測是先前性的,而不是滯后性的。任何程序在調用之前都先被過濾一遍。一有病毒侵入,它就報警,并自動殺毒,將病毒拒之門外,做到防患于未然。相對病毒入侵甚至破壞以后再去采取措施來挽救的做法,實時監測的安全性更高。
3.虛擬機技術
事實上,更為智能的做法是:用程序代碼虛擬一個系統運行環境,包括虛擬內存空間、cpu的各個寄存器,甚至將硬件端口也虛擬出來。用調試程序調入需調試的程序“樣本”,將每一條語句放到虛擬環境中執行,這樣我們就可以通過內存、寄存器以及端口的變化來了解程序的執行。這樣的一個虛擬環境就是一個虛擬機。虛擬現實技術在系統底層也借鑒了虛擬機技術。
既然虛擬機中可以反映程序的任何動態,那么,將病毒放到虛擬機中執行,病毒的傳染動作一定可以反映出來。如果能做到這樣,未知病毒的查出概率將有可能大大提高。
但是因為虛擬機太慢,大約會比正常的程序執行的速度慢幾十倍甚至更多,所以事實上我們無法虛擬執行程序的全部代碼。目前個別反病毒軟件選擇了虛擬執行樣本代碼段的前幾k個字節,其查出概率已高達95%左右。
4.主動內核技術
主動內核技術,用通俗的說法:是從操作系統內核這一深度,給操作系統和網絡系統本身打了一個補丁,而且是一個“主動”的補丁,這個補丁將從安全的角度對系統或網絡進行管理和檢查,對系統的漏洞進行修補;任何文件在進入系統之前,作為主動內核的反毒模塊都將首先使用各種手段對文件進行檢測處理。
三、網絡防病毒方案分析
1.病毒的預防
網絡病毒的預防措施主要有:
(1)除非必要,盡可能地拆除工作站上的軟盤驅動器,采用無盤工作站代替有盤工作站,這樣能減少網絡感染病毒的機會。
(2)如果軟件運行環境許可,還可以進一步把工作站的硬盤拆除,使之成為一個真正的無盤工作站。只要在工作站的網卡上安裝一塊遠程復位eprom芯片即可。開機后,工作站通過網卡上的這個芯片完成系統引導工作,并直接運行入網程序。這樣,工作站既不能從服務器上拷貝文件,也不能向服務器拷貝文件,而只能運行服務器上的文件,杜絕了病毒通過工作站感染服務器的可能性,提高了系統的安全性。
(3)被當做網絡服務器使用的機器只專門用來當作服務器,而不再作為工作站使用,也不作為單機使用。
(4)規定只有專業的網絡管理人員使用超級用戶用戶名登錄。因為超級用戶對于整個網絡系統擁有全部權力(包括讀、寫、建立、刪除等),如果工作站上已經感染了病毒,再用超級用戶登錄,就會感染整個網絡服務器。
(5)為用戶規定不同的權限,實行專有目錄專人使用,防止越權行為,這樣即使服務器下的某個用戶的子目錄感染了病毒,其他的用戶如果不執行這個目錄下的文件,就不會被病毒感染。
2.病毒防火墻
病毒防火墻,實際上是“廣義”防火墻中一個方面的具體實現。它是安裝在用戶計算機系統之中的反病毒監控軟件,它在用戶計算機本地系統與外部環境之間完成實時過濾有害病毒的工作,能夠有效地阻止來自本地資源和外部網絡資源的病毒侵害.病毒防火墻對病毒的“過濾”應當具有相當好的實時性,這種實時性表現在一旦病毒入侵系統或者從系統向其它資源感染,病毒防火墻會立刻檢測到并加以清除。而傳統的單機版反病毒軟件則更注重于“靜態”反病毒,即對本地和遠程資源以靜態分析掃描的方式檢測、清除病毒。病毒防火墻的“雙向過濾”保證了本地系統不會向遠程網絡資源傳播病毒,這一特點是傳統單機版反病毒產品根本無法實現的。
3.網絡反病毒軟件
反病毒解決方案要求包括一套統一全面的實施軟件,能夠進行中央控制,能對病毒特征碼進行自動更新,并且要能支持多平臺、多協議和多種文件類型。nai(美國網絡聯盟公司)反病毒軟件產品占有國際市場超過60%的份額,它提供了適合各類企業網絡及個人臺式機全面的反病毒解決方案tvd(toltal virus defense) 。tvd包含3個套裝軟件:vss(virusscansecuritysuite),桌面反病毒解決方案;nss (netshieldsecuritysuite),服務器級反病毒方案;iss(internetsecuritysuite),internet網關反病毒解決方案。tvd中所具有的分發控制臺(distributionconsole),可以自動接收來自nai的最新病毒特征文件和升級軟件。利用這些套裝軟件,可以建立符合企業需求的病毒防御系統。
參考文獻:
[1]陳荻玲,web服務安全通信機制的研究和實現,北京航天航空大學碩士論文,2003
篇(7)
在《中華人民共和國計算機信息系統安全保護條例》中,計算機病毒(ComputerVirus)被明確定義為:“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。而在一般教科書及通用資料中被定義為:利用計算機軟件與硬件的缺陷,由被感染機內部發出的破壞計算機數據并影響計算機正常工作的一組指令集或程序代碼。
歷史上,計算機病毒最早出現在70年代DavidGerrold科幻小說WhenH.A.R.L.I.E.wasOne.最早科學定義出現在1983:在FredCohen(南加大)的博士論文“計算機病毒實驗”“一種能把自己(或經演變)注入其它程序的計算機程序”啟動區病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機制同生物病毒類似.生物病毒是把自己注入細胞之中。
其實,和其他生物病毒一樣,計算機病毒有獨特的復制能力,它可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。
(二)計算機病毒的特點
1、寄生性:計算機病毒寄生在其他程序之中,當執行這個程序時,病毒就起破壞作用,而在未啟動這個程序之前,它是不易被人發覺的。
2、傳染性:計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,并使被感染的生物體表現出病癥甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的計算機程序代碼,這段程序代碼一旦進入計算機并得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標后再將自身代碼插入其中,達到自我繁殖的目的。只要一臺計算機染毒,如不及時處理,那么病毒會在這臺機子上迅速擴散,其中的大量文件(一般是可執行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數據交換或通過網絡接觸,病毒會繼續進行傳染。正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道,如軟盤、計算機網絡去傳染其他的計算機。當您在一臺機器上發現了病毒時,往往曾在這臺計算機上用過的軟盤已感染上了病毒,而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。病毒程序通過修改磁盤扇區信息或文件內容并把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序;
3、潛伏性:有些病毒像定時炸彈一樣,讓它什么時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程序,進入系統之后一般不會馬上發作,可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中,對其他系統進行傳染,而不被人發現,潛伏性愈好,其在系統中的存在時間就會愈長,病毒的傳染范圍就會愈大。潛伏性的第一種表現是指,病毒程序不用專用檢測程序是檢查不出來的,因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什么破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等;
4、隱蔽性:計算機病毒具有很強的隱蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
5、破壞性:計算機中毒后,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
6、計算機病毒的可觸發性:病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
(三)計算機病毒的分類
1、根據病毒存在的媒體,病毒可以劃分為網絡病毒,文件病毒,引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件,文件病毒感染計算機中的文件(如:COM,EXE,DOC等),引導型病毒感染啟動扇區(Boot)和硬盤的系統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有復雜的算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形算法。
2、根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機后,把自身的內存駐留部分放在內存(RAM)中,這一部分程序掛接系統調用并合并到操作系統中去,他處于激活狀態,一直到關機或重新啟動.非駐留型病毒在得到機會激活時并不感染計算機內存,一些病毒在內存中留有小部分,但是并不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
3、根據病毒破壞的能力可劃分為以下幾種:
無害型:除了傳染時減少磁盤的可用空間外,對系統沒有其它影響。
無危險型:這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響.
危險型:這類病毒在計算機系統操作中造成嚴重的錯誤.
非常危險型:這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害,并不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統造成破壞。例如:在早期的病毒中,有一個“Denzuk”病毒在360K磁盤上很好的工作,不會造成任何破壞,但是在后來的高密度軟盤上卻能引起大量的數據丟失。
4、根據病毒特有的算法,病毒可以劃分為:(1)伴隨型病毒,這一類病毒并不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是。病毒把自身寫入COM文件并不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。(2)“蠕蟲”型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一臺機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在系統存在,一般除了內存不占用其它資源。(3)寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播,按其算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。(4)詭秘型病毒它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。(5)變型病毒(又稱幽靈病毒)這一類病毒使用一個復雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
二、計算機病毒傳播途徑及中毒之后的主要癥狀
(一)計算機病毒的藏身之處和傳播途徑
病毒隱藏在它們認為有可能被執行的地方。它們經常隱藏在下列地方:
可執行文件:病毒“貼附”在這些文件上,使其能被執行。
引導扇區:這是磁盤和硬盤中的一個特別扇區,它包含一個程序,當啟動電腦時該程序將被執行。
表格和文檔:某些程序允許內置一些宏文件,宏文件隨著該文件的打開而被執行。病毒利用宏的存在進入其中。
Java小程序和ActiveX控件:這是兩個最新隱藏病毒的地方。Java小程序和ActiveX控件都是與網頁相關的小程序,通過訪問包含它們的網頁,可以執行這些程序。
壓縮文件:壓縮文件是一個包含其他文件的文件。壓縮文件包含的任何一個文件都可能被病毒感染,因為這些文件不是處于正常格式下,所以很難發現其中的病毒。
電子郵件:電子郵件信息可能包含感染病毒的文件。此外,電子郵件信息通常屬于一個信息數據庫,所有這一切使偵測病毒變得非常困難。
(二)計算機中病毒之后的主要癥狀
1、計算機系統運行速度突然明顯減慢。
2、計算機系統經常無故發生死機現象。
3、計算機系統中的文件長度突然發生變化。
4、計算機存儲的容量異常減少。
5、系統引導速度減慢。
6、丟失文件或文件損壞。
7、計算機屏幕上出現異常顯示。
8、計算機系統的蜂鳴器出現異常聲響。
9、磁盤卷標發生變化。
10、系統不識別硬盤。
11、對存儲系統異常訪問。
12、鍵盤輸入異常。
13、文件的日期、時間、屬性等發生變化。
14、文件無法正確讀取、復制或打開。
15、命令執行出現錯誤。
16、虛假報警。
17、換當前盤。有些病毒會將當前盤切換到C盤。
18、時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。
19、WINDOWS操作系統無故頻繁出現錯誤。
20、系統異常重新啟動。
21、一些外部設備工作異常。
22、異常要求用戶輸入密碼。
23、WORD或EXCEL提示執行“宏”。
24、是不應駐留內存的程序駐留內存。
三、計算機病毒的發展趨勢
從某種意義上說,21世紀是計算機病毒與反病毒激烈角逐的時代,而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀計算機病毒的發展趨勢。
1、智能化
與傳統計算機病毒不同的是,許多新病毒(包括蠕蟲、黑客工具和木馬等惡意程序)是利用當前最新的編程語言與編程技術實現的,它們易于修改以產生新的變種,從而逃避反病毒軟件的搜索。例如,“愛蟲”病毒是用VBScript語言編寫的,只要通過Windows下自帶的編輯軟件修改病毒代碼中的一部分,就能輕而易舉地制造出病毒變種,從而可以躲避反病毒軟件的追擊。
另外,新病毒利用Java、ActiveX、VBScript等技術,可以潛伏在HTML頁面里,在上網瀏覽時觸發。“Kakworm”病毒雖然早在2004年1月就被發現,但它的感染率一直居高不下,原因就是由于它利用ActiveX控件中存在的缺陷進行傳播,因此裝有IE5或Office2000的計算機都可能被感染。這個病毒的出現使原來不打開帶毒郵件附件而直接予以刪除的防郵件病毒的方法完全失效。更令人擔心的是,一旦這種病毒被賦予其他計算機病毒的特性,其危害很有可能超過任何現有的計算機病毒。
2、人性化
更確切地說,也可以將人性化稱為誘惑性。現在的計算機病毒越來越注重利用人們的心理因素,如好奇、貪婪等。前一陣肆虐一時的“裸妻”病毒郵件的主題就是英文的“裸妻”,郵件正文為“我的妻子從未這樣”,郵件附件中攜帶一個名為“裸妻”的可執行文件,用戶一旦執行這個文件,病毒就被激活。最近出現的My-babypic病毒是通過可愛的寶寶照片傳播病毒的。而“庫爾尼科娃”病毒的大流行則是利用了“網壇美女”庫爾尼科娃難以抵擋的魅力。
3、隱蔽化
相比較而言,新一代病毒更善于隱藏和偽裝自己。其郵件主題會在傳播中改變,或者具有極具誘惑性的主題和附件名。許多病毒會偽裝成常用程序,或者在將病毒代碼寫入文件內部的同時不改變文件長度,使用戶防不勝防。
主頁病毒的附件homepagehtmlvbs并非一個HTML文檔,而是一個惡意的VB腳本程序,一旦被執行,就會向用戶地址簿中的所有電子郵件地址發送帶毒的電子郵件副本。再比如“維羅納”病毒,該病毒將病毒寫入郵件正文,而且主題和附件名極具誘惑性,其主題眾多,更替頻繁,使用戶很容易由于麻痹大意而感染。此外,matrix等病毒會自動隱藏和變形,甚至阻止受害用戶訪問反病毒網站和向記錄病毒的反病毒地址發送電子郵件,無法下載經過更新和升級后的相應殺毒軟件或病毒警告消息。
4、多樣化
在新病毒層出不窮的同時,老病毒依然充滿活力,并呈現多樣化的趨勢。1999年對普遍發作的計算機病毒分析顯示,雖然新病毒不斷產生,但較早的病毒發作仍很普遍。1999年報道最多的病毒是1996年就首次發現并到處傳播的宏病毒Laroux。新病毒具有可執行程序、腳本文件、HTML網頁等多種形式,并正向電子郵件、網上賀卡、卡通圖片、ICQ、OICQ等發展。
更為棘手的是,新病毒的手段更加陰狠,破壞性更強。據計算機經濟研究中心的報告顯示,在2000年5月“愛蟲”病毒大流行的前5天,病毒就已經造成了67億美元的損失。而該中心1999年的統計數據顯示,到1999年末病毒損失只是120億美元。
5、專用病毒生成工具的出現
以前的病毒制作者都是專家,編寫病毒的目的是想表現自己高超的技術。但是“庫爾尼科娃”病毒的設計者不同,他只是修改了下載的VBS蠕蟲孵化器。據報道,VBS蠕蟲孵化器被人們從VXHeavens上下載了15萬次以上。正是由于這類工具太容易得到,使得現在新病毒出現的頻率超出以往的任何時候。
6、攻擊反病毒軟件
病毒發展的另一個趨勢表現為專門攻擊反病毒軟件和其他安全措施的病毒的出現。目前被發現的“求職信”病毒就能夠使許多反病毒軟件癱瘓。越來越多的病毒能夠在反病毒軟件對其查殺之前獲取比反病毒軟件更高的運行等級,從而阻礙反病毒軟件的運行并使之癱瘓。
正如計算機病毒的出現本身就是人禍而非天災一樣,目前病毒泛濫的一個很重要的原因就是計算機用戶的防范意識薄弱,因此一定要防患于未然,及時掌握反病毒知識,更新自己的反病毒軟件及病毒庫。
四、計算機病毒的判別方式
長期以來,人們把殺毒軟件作為最主要的反病毒工具,殺毒軟件幾乎成了所有反病毒產品的代名詞,殺毒軟件賴以生存的“特征值掃描技術”也幾乎成了所有反病毒技術的代名詞。正因如此,殺毒軟件對新病毒的防范始終滯后于病毒出現的重大缺陷,似乎成為既合情又合理的邏輯,導致人們普遍認為反病毒產品不可能主動防御新病毒,甚至有人認為,想研制一種主動防御的反病毒產品,就如同要為一種未知的疾病制作特效藥一樣異想天開。
然而殺毒軟件本身基本上不能發現新病毒,這是眾所周知的客觀事實。但是,如果人不能發現新病毒,同為自然人的反病毒公司研發人員也就不可能發現新病毒,由此帶來的問題是,殺毒軟件每天升級的是什么,反病毒公司每次宣稱發現的新病毒又是誰來發現的?回答是肯定的,人可以發現新病毒。新病毒一定是人通過相應的方法判斷出來的。
從上個世紀八十年代病毒出現后,反病毒技術就有兩種思路,一種是采用靜態掃描方式,即特征值掃描技術,另一種采用動態分析方法。特征值掃描是目前國際上反病毒公司普遍采用的查毒技術。其核心是從病毒體中提取病毒特征值構成病毒特征庫,殺毒軟件將用戶計算機中的文件或程序等目標,與病毒特征庫中的特征值逐一比對,判斷該目標是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱為已知病毒,否則就稱為未知病毒。只有采用特征值掃描技術時,才區分已知和未知病毒。業界常常有人用人類病毒的醫治來解釋計算機病毒防范。然而,與生物界的病毒復雜性不同,計算機病毒是人編寫的,遠比生物界的病毒簡單。計算機病毒概念是人依據程序行為來定義的,因此識別病毒的另一種方法是采用動態分析,直接通過程序的行為判斷它是否是病毒。盡管殺毒軟件主要采用靜態掃描方式,但是反病毒公司發現新病毒并不是采用靜態掃描方式,而恰恰是采用動態分析方法。即便是反病毒公司收集到可疑程序時,也不能確定是不是新病毒,為了做出準確判斷,必須先運行可疑程序,然后再根據程序的行為判斷是否是病毒。
篇(8)
0引言
辦公自動化系統(oas)是辦公業務中采用intemet/intranet技術,基于工作流的概念,使企業內部人員方便快捷地共享信息,高效地協同工作,實現迅速、全方位的信息采集、信息處理,為企業的管理和決策提供科學的依據。一個企業實現辦公自動化的程度是衡量其現代化管理水平的標準。oas從最初的以大規模采用復印機等辦公設備為標志的初級階段,發展到今天的以運用網絡和計算機為標志的階段,oas對企業辦公方式的改變和效率的提高起到了積極的促進作用。近年來,辦公自動化系統都是架設在網絡之上的,它是一個企業與外界聯系的渠道,企業的imranet最終都會接人internet,這種接人一方面方便了企業信息、共享資源、對外交流和提高辦事效率,另一方面也帶來了來自外部網絡的各種安全威脅。
1辦公自動化系統存在的安全晚息
隨著internet的迅速發展,如何保證信息和網絡的自身安全性問題,尤其是在開放互聯環境中進行商務等機密信息的交換時,如何保證信息存取中不被竊取篡改,已成為企業非常關注的問題。在國際上,計算機犯罪案件正在以幾何級數增長。計算機犯罪是一種高技術型犯罪,由于婦汀日罪的隱蔽侄,因川,寸辦公自動化系統安全構成了很大的威脅。
目前,辦公自動化系統的安全隱患主要存在以下幾個方面:
假冒內網的ip地址登錄內網竊取信息;軟件系統自身的問題:利用網絡傳輸協議或操作系統的漏洞攻擊網絡;獲得網絡的超級管理員權限,竊取信息或破壞系統;在傳輸鏈路上截取信息,或者進人系統進行物理破壞;病毒破壞,計算機病毒是一種人為制造的,在計算機運行中對計算機信息或者系統起破壞作用的程序。它通常隱蔽在其它程序或者文件中,按照病毒設計者設定的條件引發,從而對系統或信息起到破壞作用;黑客人侵;防范技術落后,網絡安全管理不力,管理人員混亂,權限混亂等等。
2系統安全的防范
針對目前系統安全的上述問題,在辦公自動化系統安全上提出下面幾類主要的防范方法。
2.1加強機房管理
對目前大多數辦公自動化系統來說,存在的一個很大的不安全因素是網絡管理員的權力太大,據有關資料報道,80%的計算機犯罪來自內部,所以對機房工作人員要做好選擇和日常考察,妾采取一定的手段來限制或者削弱網絡管理員的權力,對機房工作人員,要結合機房、硬件、軟件、數據和網絡等各個方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;要加強業務、技術等方面的定期培訓,提高管理人員的技術水平。
2.2設里訪問控制
訪問控制是保證網絡安全最重要的策略之一。訪問控制策略包括人網訪問控制策略、操作權限控制策略等幾個方面的內容。首先,網絡管理員應該對用戶賬戶的使用、用戶訪問網絡的時間和方式進行控制和限制。用戶賬戶應只有網絡管理員才能建立,用戶口令是用戶訪問網絡所必須提交的準人證。針對用戶登錄時多次輸人口令不正確的情況,系統應按照非法用戶人人口令的次數給予給出報警信息,同時應該能夠對允許用戶輸其次,用戶名和口令通過驗證之后,系統需要進一步對用戶賬戶的默認權限進行檢查。最后,針對用戶和用戶組賦予一定的操作權限。網絡管理員能夠通過設置,指定用戶和用戶組可以訪問網絡中的哪些資源,可以在服務器上進行何種類型的操作。網絡管理員要根據訪問權限將用戶分為特殊用戶、普通用戶和審計用戶等等。
2.3數據加密
主要針對辦公自動化系統中的數據進行加密。它是通過網絡中的加密系統,把各種原始的數據信息(明文)按照某種特定的加密算法變換成與明文完全不同的數據信息(密文)的過程。目前常用的數據加密技術主要分為數據傳輸加密和數據存儲加密。數據傳輸加密主要是對傳輸中的數據流進行加密,常用的有鏈路加密、節點加密和端到端加密三種方式。鏈路加密對用戶來說比較容易實現,使用的密鑰較少,而端到端加密比較靈活,對用戶可見,在對鏈路加密中各節點安全狀況不放心的情況下也可使用端到端加密方式。數據存儲加密主要就是針對系統數據庫中存儲的數據本身進行加密,這樣即使數據不幸泄露或者丟失,也難以被人破譯。數據存儲加密的關鍵是選擇一個好的加密算法。
2.4建立工作日志
對所有合法登錄用戶的操作情況進行跟蹤記錄;對非法用戶,要求系統能夠自動記錄其登錄次數,時間,ip地址等信息,以便網絡管理員能夠根據日志信息監控系統使用狀態,并針對惡意行為采取相應的措施。
2.5加強郵件安全
在眾多的通信工具中,電子郵件以其方便、快捷的特點已成了廣大網絡用戶的首選。然而這也給網絡安全帶來了很大的隱患,目前垃圾郵件數量巨大、郵件病毒防不勝防,而關于郵件泄密的報道更是層出不窮。面對電子郵件存在的巨大安全隱患,可以采取如下的防御措施:
1)加強防御,一般用戶會經常忽略使用電郵安全的基本常識,因此教育用戶一些常識是非常有必須的。例如,勿開啟來自未知寄件者的附件;勿點選不熟悉來源的任何內容;封鎖陌生人的實時訊息等。
2)對郵件進行加密,由于越來越多的人通過電子郵件進行重要的商務活動和發送機密信息,因此保證郵件的真實性和不被其他人截取和偷閱也變得日趨重要。據調查,74%郵件泄密是因為郵件中的機密信息未做任何加密措施引起的。因此,郵件加密是一種比較有效的、針對郵件內容的安全防范措施,采取先進的加密算法可以有效地保障數據的安全。
3)反垃圾郵件,垃圾郵件經常與病毒有關,因此用戶需要反垃圾郵件和反病毒保護。垃圾郵件中的鏈接經常指向包含惡意軟件的網站,而且病毒經常通過電子郵件傳播。大大減輕郵件病毒肆虐的方法是使用反病毒軟件,例如只使用提供自動病毒保護功能的電子郵箱,只打開來源可信的電子郵件,或在打開郵件附件之前用反病毒軟件進行掃描等等。
2.6設置網絡防火墻
通過安裝并啟用網絡防火墻,可以有效地建立起計算機與外界不安全因素的第一道屏障,做到實時監控網路中的數據流,保護本地計算機不被病毒或者黑客人侵。
2.7保護傳輸線路安全
篇(9)
這種病毒及其變種把感染的程序文件圖標統統改成熊貓舉著三根香的模樣,還可以盜取用戶賬號、密碼,并且破壞文件系統等。到2007年2月,已有上百萬個人用戶、網吧及企業局域網用戶遭受感染和破壞。
2月12日,湖北省公安廳宣布,已經成功偵破“熊貓燒香”病毒案,并抓獲六名犯罪嫌疑人。但截至《財經》發稿,新的變種仍在出現,“熊貓燒香”仍然余煙繚繞。
其實何止“熊貓燒香”,如今電腦病毒已是一個進化得無比復雜和龐大的家族。它們是一個個程序,但可以自我復制,并且在電腦主人不注意或者未經許可的情況下,感染其他程序,進而自動尋找下一個宿主。因其病理學特征與在人體上肆虐的生物病毒一樣,故而名之為“電腦病毒”。
大約20年前,當時更多地作為技術炫耀而產生的電腦病毒,如今卻在如此深刻地影響著整個行業,乃至整個世界,并儼然已經形成一個自成一體的“黑色產業”。
“幽靈”興起
早在1972年,美國著名科幻小說家大衛杰洛德(David Gerrold),就在一本小說中虛構了一種像真正的病毒一樣運行的電腦程序“病毒”(Virus),并且引入了另外一種叫做“疫苗”(Vaccine)的程序與之相抗衡。
1982年,風靡一時的漫畫書《X戰警》(X-MEN)中,更是首次出現了“電腦病毒”(computer virus)這個名詞。
但直到1983年,當時還在美國南加州大學攻讀電子工程的弗雷德科恩(Fred Cohen)在其博士論文里,才給出了電腦病毒的第一個學術定義,這也是今天公認的標準。
不過,這一論文并沒有引起太多人的注意,似乎只有他和很少一部分人認為這種可以自我復制的程序,日后會成為電腦世界的大患。
一般認為,早在1981年,在蘋果電腦上就誕生了首個電腦病毒。這個病毒完全是一個美國高中生的惡作劇:病毒被附著在游戲上,游戲一旦啟動50次后,就會出現黑屏,并且顯示一首作者自創的詩歌。和早期其他病毒一樣,這看上去更像技術愛好者的“行為主義”藝術,并不會對被感染的電腦造成實質性損害。
第一個針對個人電腦(PC)的病毒,是1986年一對巴基斯坦兄弟巴斯特(Basit)和阿姆賈德(Amjad)出于防止盜版的目的所寫的C-BRAIN病毒。這段寫在軟盤啟動扇區中的病毒,被稱為“巴基斯坦”病毒。
一開始,電腦病毒被很多人看成僅僅是一種“創造性的娛樂”,并沒有太多的惡意成分。但很快就顯示出了其另一面――巨大的破壞性。
1988年,讓人們至今記憶猶新的“黑色星期五”病毒(實際上叫耶路撒冷病毒)爆發。它可以感染所有后綴為.省略的可執行文件,并在每個是星期五的13號刪除所有運行中的程序。
在這一年,中國也出現了“小球”病毒。
弗雷德科恩目前是美國紐黑文大學教授,還擔任其創立的專業信息安全機構Fred Cohen & Associates的CEO。他在接受《財經》記者采訪時表示,電腦病毒具有如此巨大的潛在破壞性,其實并不奇怪。由于個人電腦操作系統本身存在的漏洞,加之用戶缺乏對系統文件有效的控制,病毒可以改寫系統文件甚至操作系統本身。即便是安全系數較高的UNIX系統,在他看來,一個軟件高手八個小時內就可以編制一個可以攻破它的病毒。
在上世紀80年代,電腦主要為DOS操作系統時期,病毒主要依存于.EXE、COM等可執行文件。進入90年代,微軟公司的視窗(WINDOWS)逐漸成為個人電腦的標準操作系統之后,通過文檔文件傳播的宏病毒和專門針對32位文件的32位病毒也隨之出現。
其中,最著名的32位病毒是臺灣青年陳盈豪于1998年編寫的CIH病毒。它在每個月26日發作,將用戶的硬盤格式化,甚至還可能破壞主板BIOS內的資料,導致電腦無法開啟。
互聯網的興起以及逐漸普及,則成為下一個轉折點,通過網絡傳播的第二代病毒開始出現。其本質與基于文件的第一代病毒有很大差異,它的傳播基于網絡、郵件和瀏覽器,蠕蟲(worm)和木馬(Trojan horse)無疑更是網絡病毒中的代表。
與通常需要依附在某個程序上不同,蠕蟲是一段獨立的代碼,它像寄生蟲一樣生存在宿主計算機內部。它的“頭部”是一段用以取得系統許可的密碼或ID,可以利用宿主計算機的資源對自身進行改寫,把其數據加到自己身上,讓自己變得越來越大,并控制計算機上可以傳輸文件或信息的功能,而后繼續沿著網絡傳播。蠕蟲病毒一旦進入計算機網絡中,就可能造成系統癱瘓、網絡中斷。
“木馬病毒”是一些表面上看似有用的電腦軟件,實際上卻是危害計算機安全并導致嚴重破壞的程序。它可以成為別人控制這臺計算機的“后門”,從而竊取用戶的信息。
進化之路
目前已成長為電腦大國的中國,也成為電腦病毒的“主戰場”之一。
根據國家計算機病毒應急處理中心的統計,截至2006年5月,感染病毒的電腦比例約為74%,比高峰時下降了14個百分點。但分析人士指出,隨著電腦總量的迅速增加,以及互聯網在中國社會、經濟生活中的普及,電腦病毒尤其是通過網絡傳播的新型病毒的危害卻更加嚴峻。
中國互聯網絡信息中心公布的最新數據顯示,截至2006年上半年,中國的互聯網用戶已經接近1.4億,上網電腦總量也接近了6000萬臺。與上一年同期相比,這兩個數字都保持了兩成以上的增速。這無疑為網絡傳播病毒的滋生和迅速蔓延提供了難得的溫床。
國家計算機網絡應急技術處理協調中心(CNCERT/CC)抽樣監測結果顯示,2006年,中國大陸地區約4.5萬個IP 地址的主機被植入“木馬”,與2005年同期相比增長一倍。
單純從技術而言,自電腦病毒上世紀80年代被創造出來后,其本身并沒有太多實質性的進步。科恩對《財經》記者指出,“在最近這15年里,病毒制造者從他們的知識上和技術上都沒有明顯的進步。”
但他也承認,從傳播方式和手段上說,電腦病毒實現了一個質的飛躍。
以“熊貓燒香”病毒為例,北京盼達信息安全技術有限公司總經理金楷在接受《財經》記者采訪時表示,“熊貓燒香”確實沒有太多技術創意,之所以能夠造成如此大的破壞,很大程度上是因為它感染了多個訪問量高的大型門戶網站和論壇,并通過這些網站大面積傳播,造成了此次大規模的爆發。
“它主要是利用了這個特殊的位置,而沒有革命性的技術。”金楷強調。
顯然,雖然技術上沒有革命性的突破,但電腦病毒本身也在不斷進化,以便更好地適應新的傳播途徑,以及生存環境。
金山軟件股份有限公司反病毒實驗室主管戴光劍告訴《財經》記者,“熊貓燒香”病毒在很短的時間內就出現了120多個變種。這種“自我更新機制”使得不少反病毒軟件都難以一一應對。
除了自我更新,病毒還通過欺騙、偽裝等手段來增加其生存能力。一些論壇上的帖子,會要求打算瀏覽特定圖片的用戶點擊下載一個壓縮包;但這些貌似圖片的東西,其實是“灰鴿子病毒”,用戶一旦中毒,釋放“灰鴿子”的人就可以遠程控制這臺計算機。這種社會工程學類型的攻擊方式,也會出現在游戲外掛、QQ等即時通信工具上。
在戴光劍看來,目前很多病毒都已經發展到了“混合型”的階段,無論是在傳播渠道還是制作水平上。
“熊貓燒香”就集合了多種不同的傳播方式,包括U盤傳染、文件感染、局域網感染等。它不僅可以實現多重目的,而且可以不斷自我更新,這讓反病毒軟件難以鎖定它的特征。
更重要的是,病毒制造和傳播現在越來越容易,它已經不再是只有技術高手才能涉足的“禁地”了。
目前在黑客中間頗為流行的Rootkit,為網絡攻擊者提供了從獲得網絡上傳輸的用戶名和密碼,到安裝“木馬”程序、為攻擊者提供后門,以至隱藏攻擊者目錄和進程的程序,甚至日志清理程序等一整套技術。
這些未知的病毒,很難通過以病毒特征為主要手段的常規方式加以預防。雖然眾多廠商已經推出了實時掃描用戶電腦等服務,但由于會對電腦本身的運行速度造成影響,所以,還無法取代傳統的殺毒手段。
黑色產業
在科恩看來,對于電腦病毒,也許最嚴峻的挑戰還不是因傳播方式變化而帶來的質變,而是傳播目的所發生的變化。
他對《財經》記者指出,當病毒從破壞文件系統演化到竊取商業信息以后,實質上“就已經從一個技術游戲變成了一個犯罪工具”。
如今,越來越多的新病毒被設計用來傳播間諜軟件、制造垃圾郵件、實施“釣魚”欺詐等。現在病毒制造者是出于個人的私利,而不是技術探索目的,來編寫病毒。
“現在病毒爆發同以往最大的變化,是病毒制造者從單純的炫耀技術,轉變成以獲利為目的;前者希望病毒盡量被更多的人知道,但后者希望最大程度地隱蔽病毒,以更多地獲利。”金楷說。
金山反病毒實驗室主管戴光劍則對《財經》記者透露,在業界,一個可以被控制的電腦被叫做“肉雞”。在國內可以賣到0.5元到1元人民幣一只,這樣的“肉雞”可以使用幾天;如果可以使用半個月以上,則可以賣到幾十元一只。對于病毒制造者和“經紀人”而言,如果控制了幾十萬甚至上百萬臺這樣的“肉雞”,盈利空間是可以想象的。
這樣的“肉雞”構成的“僵尸網絡”(BotNet)既可以用來對企業網絡實施集中攻擊,還可以發送垃圾郵件,以及點擊廣告等。
CNCERT/CC抽樣監測發現,中國大陸地區約有1000多萬個IP地址的主機被植入僵尸程序;境外約1.6萬個IP對中國境內的僵尸主機實施控制,這些IP主要位于美國、韓國和中國臺灣等。
“熊貓燒香”病毒可以實現的一個重要功能,就是盜取用戶賬號和密碼,從而竊取用戶的虛擬財產;而一旦盜取了諸如裝備、點卡等虛擬財產,就可以通過很多網上交易平成“銷贓”,并從中獲利。
據悉,2006年金山截獲的各類病毒中,專門盜取網銀/網游等網絡財產和QQ號的“木馬”占了51%。病毒的絕大多數變化都圍繞此中心展開,已成為眾多網民面臨的第一大威脅。
北京江民新科技術有限公司技術總監嚴紹文在接受《財經》記者采訪時強調,金錢誘惑往往比個人愛好更持久、更有吸引力,這也在很大程度上導致了現在病毒遍地開花的嚴峻局面。
與此同時,部分殺毒軟件廠商,到底在這個“黑色產業”中扮演著什么樣的角色?電腦病毒市場上是否也在真實演繹著另類“無間道”,這或許仍然是個謎團。
長期以來,不少網絡用戶一直在指責某些殺毒軟件廠商實際上在暗地參與制造以及傳播新的電腦病毒,從而維持公眾對于病毒的“恐慌心態”,以便從中獲利。
畢竟,根據上海艾瑞市場咨詢有限公司(iResearch)的研究,與電腦病毒的斗爭也意味著一個同樣龐大的市場。據其預測,到2007年,網絡版和單機版殺毒軟件的市場規模有望超過30億元人民幣。
但無論如何,電腦病毒的威脅都將長期存在。
篇(10)
關鍵詞:計算機病毒檢測技術
1研究背景
計算機網絡是信息社會的基礎,已經進入了社會的各個角落,經濟、文化、軍事和社會生活越來越多的依賴計算機網絡。然而,計算機在給人們帶來巨大便利的同時,也帶來了不可忽視的問題,計算機病毒給網絡系統的安全運行帶來了極大的挑戰。2003年1月25日,突如其來的“蠕蟲王”病毒,在互聯網世界制造了類似于“9.11”的恐怖襲擊事件,很多國家的互聯網也受到了嚴重影響。同樣,前兩年的“熊貓燒香”病毒再次為計算機網絡安全敲起了警鐘。那么,面對網絡世界的威脅,人類總在試圖尋找各種方面來進行克服和攻關。入侵檢測技術作為解決計算機病毒危害的方法之一,對其進行研究就成為可能。
2計算機病毒的發展趨勢
計算機病毒的花樣不斷翻新,編程手段越來越高,防不勝防。特別是Internet的廣泛應用,促進了病毒的空前活躍,網絡蠕蟲病毒傳播更快更廣,Windows病毒更加復雜,帶有黑客性質的病毒和特洛依木馬等有害代碼大量涌現。據《中華人民共和國工業和信息化部信息安全協調司》計算機病毒檢測周報(2009.3.29—2009.4.4)公布的消息稱:“木馬”及變種、“木馬下載者”及變種、“灰鴿子”及變種、“U盤殺手”及變種、網游大盜“及變種等病毒及變種對計算機安全網絡的安全運行構成了威脅。對計算機病毒及變種的了解可以使我們站在一定的高度上對變種病毒有一個較清楚的認識,以便今后針對其采取強而有效的措施進行診治。變種病毒可以說是病毒發展的趨向,也就是說:病毒主要朝著能對抗反病毒手段和有目的的方向發展。
3計算機病毒檢測的基本技術
3.1計算機病毒入侵檢測技術。計算機病毒檢測技術作為計算機病毒檢測的方法技術之一,它是一種利用入侵者留下的痕跡等信息來有效地發現來自外部或者內部的非法入侵技術。它以探測與控制為技術本質,起著主動防御的作用,是計算機網絡安全中較重要的內容。
3.2智能引擎技術。智能引擎技術發展了特征代碼掃描法的優點,同時也對其弊端進行了改進,對病毒的變形變種有著非常準確的智能識別功能,而且病毒掃描速度并不會隨著病毒庫的增大而減慢。
3.3嵌入式殺毒技術。嵌入式殺毒技術是對病毒經常攻擊的應用程序或者對象提供重點保護的技術,它利用操作系統或者應用程序提供的內部接口來實現。它能對使用頻率高、使用范圍廣的主要的應用軟件提供被動式的保護。
3.4未知病毒查殺技術。未知病毒查殺技術是繼虛擬執行技術后的又一大技術突破,它結合了虛擬技術和人工智能技術,實現了對未知病毒的準確查殺。
4計算機病毒檢測技術的發展現狀
目前,國外一些研究機構已經研發出了應用于不同操作系統的幾種典型的計算機病毒檢測技術。這些計算機病毒檢測技術基本上是基于服務器、網絡以及變種病毒的。基于服務器的入侵檢測技術采用服務器操作系統的檢測序列作為主要輸入源來檢測侵入行為,而大多數基于計算機變種病毒的檢測技術則以預防和消除計算機病毒作為終結目標的。早期的計算機病毒檢測技術主要用來預防和消除傳統的計算機病毒;然而,為了更好地應對計算機病毒的花樣不斷翻新,編程手段越來越高的形勢,最新的計算機病毒檢測方法技術更多地集中用于預防和消除計算機變種病毒,打好計算機病毒對抗與反對抗的攻堅戰。總之,由于計算機病毒的變種更新速度加快,表現形式也更加復雜,那么計算機病毒檢測技術在計算機網絡安全運行防護中所起的作用就顯得至關重要,因此受到了廣泛的重視。相信隨著計算機病毒檢測技術的不斷改進和提高,將會有更加安全可靠的計算機病毒檢測技術問世,更好維護網絡安全,造福于全世界。
5計算機病毒檢測方法技術的作用
計算機病毒檢測技術在計算機網絡安全防護中起著至關重要的作用,主要有:①堵塞計算機病毒的傳播途徑,嚴防計算機病毒的侵害;②計算機病毒的可以對計算機數據和文件安全構成威脅,那么計算機病毒檢測技術可以保護計算機數據和文件安全;③可以在一定程度上打擊病毒制造者的猖獗違法行為;④最新病毒檢測方法技術的問世為以后更好應對多變的計算機病毒奠定了方法技術基礎。
雖然,計算機病毒檢測技術的作用很大,但并不能完全防止計算機病毒的攻擊,我們必須提高警惕,充分發揮主觀能動性。因此,加強IT行業從業人員的職業道德教育、加快完善計算機病毒防止方面的法律法規、加強國際交流與合作同樣顯得刻不容緩。也許只有這樣計算機計算機病毒檢測技術才能更好發揮作用,我們才能更好防止日益變化和復雜的計算機病毒的攻擊。
6結語
隨著計算機網絡技術的不斷發展,計算機給人類經濟、文化、軍事和社會活動帶來更多便利的同時,也帶來了相當巨大的安全挑戰。現代信息網絡面臨著各種各樣的安全威脅,有來自網絡外面的攻擊,比如網絡黑客、計算機病毒及變種等。因此合理有效的計算機病毒檢測技術是防治計算機病毒最有效,最經濟省力,也是最應該值得重視的問題。研究計算機病毒檢測技術有利于我們更好地防止計算機病毒的攻擊,有利于我們更好地維護計算機網絡世界的安全,使得計算機網絡真正發揮其積極的作用,促進人類經濟、文化、軍事和社會活動的健康。
參考文獻:
[1]卓新建,鄭康鋒,辛陽.《計算機病毒原理與防治》,北京郵電大學出版社,2007年8月第二版.
[2]郝文化.《防黑反毒技術指南》,機械工業出版社,2004年1月第一版.
[3]程勝利,談冉,熊文龍等.《計算機病毒與其防治技術》,清華大學出版社,2004年9月第一版.
[4]張仁斌,李鋼,侯.《計算機病毒與反病毒技術》.清華大學出版社,2006年6月.
[5]傅建明,彭國軍,張煥國.《計算機病毒與對抗》.武漢大學出版社,2004年版.
篇(11)
措施仍有待加強
當然,Nigam所做的努力并不足以安撫MySpace的批評人士。另一個國際傳媒業巨頭維旺迪公司旗下的環球唱片公司就提出了MySpace侵犯版權的訴訟,此案不可能很容易了結。今年1月份,又有四戶家庭MySpace,索賠數百萬美元,指控各自的未成年女兒遭到她們在該網站上結識的成年男子的待。
美國眾議院已通過立法,要求公立學校和圖書館限制未成年人使用網絡社區,美國參議院也在考慮此立法。而各州首席檢察官組成的團隊揚言要采取法律措施,他們并沒有改變“MySpace需要實施年齡核查機制”的看法。
美國北卡羅來納州首席檢察官辦公室的Chaudhuri說:“他們所做的所有變化當然都是積極的,但正如我們向他們表明的那樣,這些并不是在網上保護兒童的最有效手段。它們都是無關緊要的小變化,并沒有關注設法將兒童與成年人或者將成年人與兒童區別開來這一關鍵問題。”
MySpace在色狼數據庫方面的合作伙伴Sentinel Tech稱,它確實提供年齡核查機制。Nigam說:“我們與提供這種機制的公司進行合作,這應當具有說服力。要核查年齡不足18歲的用戶的真實年齡是極為困難的,也沒有公開的數據可以使用。我們確實認為家長們在這方面可以發揮作用,我們正在分析家長的干預會起到什么作用。”此后不久,MySpace就宣布它在開發一款免費軟件,到時家長可以安裝到家用電腦上,監控子女們在該網站上填寫的是什么姓名、年齡和位置。
接下來的問題是,Nigam帶來的變化(也是他繼續要推行的變化)會不會實際上大大提高了該網站的安全性,又不會影響網站的吸引力?
用安全來推進業務
與競爭網站相比,MySpace的用戶年齡已經明顯偏大。據評測互聯網使用量的comScore Media Metrix公司聲稱,從百分比來看,競爭網站Xanga年齡不足18歲的會員所占的比例差不多是MySpace的兩倍,前者歡迎年齡低至12歲的用戶。
安全控制加強引起的用戶年齡發生變化可能是死神之吻,也可能是上帝的賜福。德勤咨詢公司的Openshaw說:“現在有兩種觀點:一是如果你提高安全、控制和過濾級別,可能會導致采用率下降;二是采用率也有可能會提高,因為你的網站會因而受到愿意使用的另一個用戶群的歡迎,即希望與親朋好友共享信息,但又希望保證隱私和安全的成年人。”comScore稱,已經有多達一半的MySpace用戶年齡不低于35歲。而MySpace也宣布,其增長最快的用戶群年齡在35~42歲之間。
不論MySpace是在朝哪個方向發展,網絡社區都不會只是流行一陣子。我們認為,現在已真正進入了消費者與消費者在網上交互的時代,我們當然希望Nigam能夠在安全和業務之間找到恰當的平衡。失蹤及被剝削兒童中心的Allen說:“我們可以讓這些網站絕對安全,但那樣我們是否會把人們趕到不受法律監管的MySpace國外版網站?”
Allen說:“如果你看一下MySpace已經解決或者改進的問題,這非常鼓舞人心。但還有更多的事要做,任務非常艱巨,這種任務將需要不斷努力、不斷關注、不斷溝通。這是不會迅速得到解決的任務之一。”
Nigam倒是樂觀地認為,他所做的不但會提高其網站的安全性,還會改善業務。雖然他喜歡把自己所做的工作稱為一項公共服務,但他也堅持認為,自己的角色對業務有極大幫助。
Nigam說:“跟我們接洽的廣告商說,‘如果你的網站上有人成為受害者或者遭到病毒攻擊,并存在諸多危險,那么我們不想讓自己的品牌與你們的品牌放在一起。’所以,出于商業原因做好安全和因為這是要做的正確事情而做好安全之間存在效果非常好的增效作用。網站越安全,信譽度就越高;信譽度越高,會有越多的廣告商放心地與網站上的1.5億用戶進行互動。否則,你要承擔這么多用戶帶來的管理成本,而這無疑是最糟糕的投資項目之一。”
在幾周后進行的一次電話采訪中,他詳細敘述了這個問題,說關于加強MySpace安全背后商業理由的各種說法讓他想到了當初讓自己走上職業生涯的理由。
他說:“我記得在洛杉磯地方檢察官辦公室第一天接受培訓時的情景,副檢察官站起來向我們介紹在地方檢察官辦公室工作是什么樣的。快講完時他說,‘你們要知道,你們會發現這項工作最吸引人的一個方面就是,每一天你來上班是為了做正確的事情。’聽了這句話后,我想自己不會輕易走人。于是每當我接手一份新工作,總是要考慮一下――我來此是不是做正確的事情?來到MySpace前,我不停地問自己,我來此工作是不是可以做正確的事情。確保我們的會員安全,這是做正確的事情。確保我們的網站安全,這也是做正確的事情。我們做了這些事情后,對業務帶來了重大影響,這只會使業務變得更好。”
提高安全、控制和過濾的級別,可能導致網絡社區吸引力下降。
安全掃描
“灰鴿子”大規模集中爆發
連續三年染指年度十大病毒、被反病毒專家稱為最危險的后門程序“灰鴿子”病毒隨著“灰鴿子2007”的,正在大規模集中爆發。據金山毒霸全球反病毒中心統計,僅3月1日至13日,金山截獲的灰鴿子變種數就達到521個。僅2007年2月,中國約有258235臺計算機感染灰鴿子,而同期國內感染病毒的計算機總共才2065873臺,也就是說中國每10臺感染病毒的計算機中,就有超過一臺感染了灰鴿子。金山總裁雷軍表示,“灰鴿子已不再是一個單純的病毒,其背后是一條制造病毒、販賣病毒、病毒培訓為一體的黑色產業鏈,從某種意義上講,灰鴿子的危害超出熊貓燒香10倍!”
計算機網絡安全應急年會將舉辦
近日記者獲悉,2007中國計算機網絡安全應急年會暨中國互聯網協會網絡安全工作年會將于4月5日~7日在無錫舉辦,這是繼2004年2月在海南、2005年3月在廣西、2006年3月在北京連續三屆成功舉辦中國計算機網絡安全應急年會之后,第四次由國家計算機網絡應急技術處理協調中心舉辦的全國性計算機網絡安全應急高峰論壇及技術研討會。這次年會的主題定為“服務信息社會,共建和諧網絡”,希望通過廣泛的溝通,通過信息與經驗的分享,使得所有參會的組織和人員都能夠從中獲益。
