[计算机软件及应用]病毒与病毒防护毕业论文.doc

湖南警察学院学生毕业论文(设计/调研报告)题 目计算机病毒的现状及发展趋势研究姓名颜愁学号1007030637所属系部信息技术（网监）系专业计算机网络指导教师常卫东 副教授完成时间2012年11月04日目 录摘 要1第1章 综述与分析21.1 计算机病毒简介22.1 谈计算机病毒与防护措施43.1 2007 年恶意代码情况综述74.1 2008 年恶意代码趋势分析10第2章 处理工作121.1 对策和建议122.1 计算机病毒的种类、清除方法及防治策略133.1 谈计算机病毒与防护措施14第3章 “多姿多彩”的病毒年171.1 病毒厂商眼中的大趋势172.1 反病毒市场竞争加剧，厂商业务重新调整233.1 目前反病毒市场远未饱和244.1 大众安全意识：最短的那根板255.1 免费：真正的午餐还是竞争手段？27第4章 病毒的影响281.1 “病毒制造业”其毒深远282.1 反病毒厂商能否合纵联横30第5章 2008 年大预测32附录36名词解释36参考文献38致 谢38计算机病毒的现状及发展趋势研究摘 要复杂网络的研究是一门跨学科, 多交叉的研究, 是近年来兴起的一个研究热点 。本文使用复杂网络这个研究工具来研究计算机病毒的传播过程, 并以最常见的WORD宏病毒为例,从它在Internet上的传播途径出发，通过对计算机病毒的基本属性以及结构的介绍，提高网络用户对计算机病毒的理解。分析和总结计算机病毒的发展趋势，介绍计算机病毒所采用的隐藏、多形性、社会工程、动态更新、混合攻击、数据关联、新型媒介、速度为王、恶意攻击、跨越平台等十大技术及发展方向，为科研技术人员和反病毒厂商防治计算机病毒提供有价值的参考。 关键词：计算机病毒；病毒结构；病毒演变；病毒感染；计算机病毒传染、检测、消除39第1章 综述与分析1.1 计算机病毒简介计算机病毒是指那些具有自我复制能力的计算机程序, 它能影响计算机软件、硬件的正常运行, 破坏数据的正确与完整。计算机病毒的来源多种多样, 有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的; 有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚, 因为他们发现病毒比加密对付非法拷贝更有效且更有威胁, 这种情况助长了病毒的传播。还有一种情况就是蓄意破坏, 它分为个人行为和政府行为两种, 个人行为多为雇员对雇主的报复行为, 而政府行为则是有组织的战略战术手段。另外有的病毒还是用于研究或实验而设计的“有用”程序, 由于某种原因失去控制扩散出实验室, 从而成为危害四方的计算机病毒。1计算机病毒的发展历史及趋势1987 年, 计算机用户忽然发现, 在世界的各个角落, 几乎同时出现了形形色色的计算机病毒。Brain, Lenig h, IBM 圣诞树, 黑色星期五, 特别是近期发现的几种病毒, 其名气也最大, 它们是: 台湾一号病毒、DIR- 病毒、幽灵病毒、米开朗基罗病毒等, 至今, 病毒种类已超过一万种。1988 年底, 我国国家统计系统发现小球病毒。随后, 中国有色金属总公司所属昆明、天津、成都等地的一些单位, 全国一些科研部门和国家机关也相继发现病毒入侵。自从“中国炸弹”病毒出现后,已发现越来越多的国产病毒。比如目前国内主要有:感染Window s3. x 的“V3783”,感染Window s95/ 98的“CIH”病毒。纵观计算机病毒的发展历史, 我们不难看出, 计算机病毒已从简单的引导型、文件型病毒或它们的混合型发展到了多形性病毒、欺骗性病毒、破坏性病毒。已从攻击安全性较低的DOS 平台发展到攻击安全性较高的Window s95/ 98 平台; 从破坏磁盘数据发展到直接对硬件芯片进行攻击。1995 年宏病毒的出现, 使病毒从感染可执行文件过渡到感染某些非纯粹的数据文件。最近有资料显示已发现JAVA病毒, 各种迹象表明病毒正向着各个领域渗透, 这些新病毒更隐秘, 破坏性更强。计算机病毒的种类很多, 不同种类的病毒有着各自不同的特征, 它们有的以感染文件为主、有的以感染系统引导区为主, 大多数病毒只是开个小小的玩笑, 但少数病毒则危害极大( 如臭名昭著的CIH 病毒) , 这就要求人们采用适当的方法对病毒进行分类, 以进一步满足日常操作的需要。1.1 按传染方式分类按传染方式分类可分为引导型病毒、文件型病毒和混合型病毒3种。引导型病毒主要是感染磁盘的引导区, 系统从包含了病毒的磁盘启动时传播, 它一般不对磁盘文件进行感染; 文件型病毒一般只传染磁盘上的可执行文件( COM, EXE) , 其特点是附着于正常程序文件, 成为程序文件的一个外壳或部件; 混合型病毒则兼有以上两种病毒的特点, 既感染引导区又感染文件, 因此扩大了这种病毒的传染途径。1.2 按连接方式分类按连接方式分类可分为源码型病毒、入侵型病毒和操作系统型病毒等3 种。其中源码型病毒主要攻击高级语言编写的源程序, 它会将自己插入到系统的源程序中, 并随源程序一起编译、连接成可执行文件, 从而导致刚刚生成的可执行文件直接带毒; 入侵型病毒用自身代替正常程序中的部分模块或堆栈区的病毒, 它只攻击某些特定程序, 针对性强; 操作系统型病毒是用其自身部分加入或替代操作系统的部分功能, 危害性较大。1.3 按程序运行平台分类病毒按程序运行平台分类可分为DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它们分别是发作于DOS,Windows9X,WindowsNT, OS/2等操作系统平台上的病毒。1.4 新型病毒部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类,如宏病毒( 使用某个应用程序自带的宏编程语言编写的病毒) 、黑客软件、电子邮件病毒等。2 计算机病毒的主要危害不同的计算机病毒有不同的破坏行为, 其中有代表性的行为如下: 一是攻击系统数据区, 包括硬盘的主引导扇区、Boot 扇区、FAT 表、文件目录。一般来说, 攻击系统数据区的病毒是恶性病毒, 受损的数据不易恢复。二是攻击文件, 包括删除、改名、替换文件内容、删除部分程序代码、内容颠倒、变碎片等等。三是攻击内存, 内存是计算机的重要资源, 也是病毒的攻击目标, 其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等。四是干扰系统运行, 例如不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机、强制游戏等。五是速度下降, 病毒激活时, 其内部的时间延迟程序启动, 在时钟中纳入了时间的循环计数, 迫使计算机空转, 计算机速度明显下降。六是攻击磁盘, 攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。七是攻击CMOS, 能够对CMOS 区进行写入动作, 破坏系统CMOS 中的数据。3 对计算机病毒的预防措施计算机病毒的预防措施是安全使用计算机的要求, 对计算机病毒的预防措施有: 一是不使用来路不明的磁盘, 对所有磁盘文件要先检测后使用; 二是为系统打上补丁; 三是对重要文件或数据事先备份; 四是要安装防病毒软件及防火墙; 五是要及时关注流行病毒以及下载专杀工具; 六是要注意使用电脑时的异状; 七是尽量不要在局域网内共享文件; 八是要注意网页邮件病毒, 不要轻易打开陌生人来信中的附件文件; 九是要注意定期扫描系统。通过采取技术和管理上的措施, 计算机病毒是完全可以防范的。虽然难免仍有新出现的病毒, 采用更隐避的手段, 利用现有计算机操作系统安全防护机制的漏洞, 以及反病毒防御技术上尚存在的缺陷, 使病毒能够一时得以在某一台计算机上存活并进行某种破坏, 但是只要在思想上有反病毒的警惕性, 使用反病毒技术和管理措施, 新病毒就无法逾越计算机安全保护屏障, 从而不能广泛传播。病毒一旦被捕捉到, 反病毒防御系统就可以立即改进性能, 提供对计算机的进一步保护功能。随着各种反病毒技术的发展和人们对病毒各种特性的了解, 通过对各条传播途径的严格控制, 来自病毒的侵扰会越来越少。2.1 谈计算机病毒与防护措施随着计算机的广泛普及，家用电脑用户的不断扩大，以及网络的迅猛发展，计算机病毒对电脑的攻击与防护技术也在不断更新。全球遭受计算机病毒感染和攻击的事件数以亿计，不仅严重的影响了正常的工作和生活，同时也给计算机系统带来了很大的潜在威胁和破坏。目前，计算机病毒已经波及到社会的各个领域，人尽皆知，所以计算机病毒的防护已成为计算机工作者和计算机使用者的一个重要问题，解决问题刻不容缓。怎样才能彻底防范计算机病毒的攻击呢？首先我们要了解计算机病毒是什么？所谓知彼知己百战不殆，那么到底计算机病毒是什么呢？计算机病毒是一个人为编写的程序，或一段指令代码。我们强调这里的人为性，计算机病毒具有独特的复制能力。因为计算机病毒的可复制性，所以计算机病毒得以迅速地蔓延，并且往往难以根除。计算机病毒能把自身附着在各种类型的文件上，这就是我们所说的寄生性，就像我们学习生物的中的寄生虫一样。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起扩散开来。所以说计算机病毒的最本质的功能就是复制功能。当然，如果计算机出现故障，并不完全是计算机病毒的原因。家用电脑使用过程中出现各种故障也有很多原因是因为电脑本身的软件或是硬件故障引起的，如果是网络上的故障，也有一些是因为涉及到权限问题引起的。所以我们只有充分地了解两者的区别与联系，才能够做出正确的判断，以便根据故障原因进行处理。一、如何判断计算机是否感染病毒1、电脑感染病毒最明显的特点就是电脑运行速度比平常慢。例如，上午打开一个网页还很快，下午开机打开网页的速度明显变慢，最大可能就是感染病毒。特别是有些病毒能控制程序或系统的启动程序，所以开机系统启动或是打开一个应用程序，这些病毒就执行他们的动作，因此会需要更多时间来打开程序。如果你的电脑在使用过程中出现了以上现象，很有可能是感染了计算机病毒，需要进行全盘查毒和杀毒。2、在电脑的运行过程中经常出现死机的现象：这种现象应该是我们最常见的，是什么原因呢？原因就是计算机病毒打开了多个文件或是占用了大量内存空间，运行了大容量的软件，测试软件的使用也会造成一定的硬盘空间不够等等。3、计算机操作系统无法启动：原因是计算机病毒修改了硬盘的引导信息，或是一些启动文件被破坏或是被删除。引导区病毒会破坏硬盘引导区信息，使电脑无法正常启动，硬盘分区丢失，或是人为地操作错误，误删除了系统文件等原因造成的系统无法启动。4、系统经常出现提示信息显示内存不够：计算机病毒非法占用了大量内存空间；打开了大量的软件；运行了需内存资源的软件；系统配置不正确等。5、文件打不开：引起文件打不开的原因可能是计算机病毒篡改了文件格式；文件链接位置因为计算机病毒发生改变。文件遭到损坏；硬盘受到损坏；文件快捷方式所对应的链接位置发生了改变；原来编辑文件的软件被删除了等。6、系统提示硬盘空间不够：因为计算机病毒具有复制性这个特点，所以计算机病毒复制了大量的病毒文件，以至于影响了内存空间的大小，所以安装软件时系统就出现提示信息硬盘空间不够。硬盘的分区太小，并且安装了一些大容量的软件，这些软件都集中安装在一个硬盘分区中，或是硬盘本身容量就小等等原因造成的。7、电脑中出现了大量来历不明的文件：计算机病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录等。8、启动黑屏：计算机病毒感染，显示器故障；显卡故障；主板故障；超频过度；CPU损坏等等原因。9、数据丢失：计算机病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是上传到网络上的文件，其他用户的误删除也会导致数据的丢失。综上所述，除以上几种原因外，还有一种重要的原因，因特网引入了新的病毒传送机制。随着网络的出现，电子邮件被作为一个重要的信息工具，计算机病毒借助网络的广泛传播得以迅速蔓延。附着在电子邮件中的计算机病毒，瞬间就可以感染整个企业的电脑系统，甚至可以让整个公司在生产上遭受巨大损失，在清除病毒方面开花费数百万元。二、计算机病毒的主要来源1、学习、从事、爱好计算机专业的人员并非出于恶意而制造出来的小病毒。例如像圆点一类的良性病毒。2、一些软件公司及用户为保护自己的软件不被复制，进而采取的非善意的措施。原因是他们发现对产品软件上锁，和在其软件中隐藏病毒对非法复制软件者的打击更大，正是由于这样的原因就更加助了计算机病毒的传播。3、攻击和摧毁计算机信息系统和计算机系统而制造的病毒就是蓄意进行破坏。4、用于科学研究或是用于设计的程序： 由于某种人为因素或是非人为因素的原因而失去了控制，或是产生了意想不到的结果。例如，千年虫病毒。三、如何防范计算机病毒1、不用原始软盘或其他介质引导计算机，对系统等原始盘实行保护。2、不随意使用外来软盘或其他介质，对外来软盘或其他介质必须先查毒后使用。3、做好系统软件，应用软件的备份，一些重要的文件或数据定期进行数据文件备份，供系统恢复使用。4、计算机的使用要做到专机专用，特别是一些工作用机，要避免使用盗版软件，如游戏软件等，以便减少被病毒感染几率。5、网上接收或是传送数据的时候，要养成好的习惯，先检查后使用，接收邮件的计算机要与系统计算机区别开来。6、定期对计算机进行查毒杀毒，对于联网的计算机应安装实时检测病毒软件，以便防范计算机病毒的感染。7、如发现有计算机被病毒感染，需立即将该计算机从网上撤下，防止计算机病毒继续蔓延。总之，以上总结了对计算机病毒的一些看法和防范措施。这是信息技术的发展所带来的切身感受。作为一名计算机工作者，与计算机病毒的斗争将更加严峻，我们必须不断努力学习，提高自身专业知识。相信未来的计算机病毒会更加厉害，防不胜防。但是，更加相信邪不胜正，总有解决它的办法。尽管现在的病毒种类各种各样，杀毒软件也逐步更新。但病毒的更新，换代速度也非常之快，我们不要掉以轻心。要树立良好的安全意识，才能在计算机病毒的防护方面做到尽量避免损失。2007 年恶意代码情况综述1. 木马成为网络安全主要危害根据公安部发布的“2007 年全国信息网络安全状况与计算机病毒疫情调查分析报告”显示，木马已成为我国当前网络安全的主要威胁。并且，在2007 年“十大流行病毒”中，主要是木马、后门程序，其中“木马代理”蝉联了2007 年最流行病毒的榜首，这也是自2001 年开始病毒疫情调查工作以来，首次出现同一种病毒连续两年成为十大病毒榜首的情况，充分表明木马具有强大的生存能力。随着网络的发展，信息交换共享的渠道和方式更加便捷多样化，但随之带来恶意代码传播方式的多样化。木马可以通过网上挂马、漏洞攻击、移动存储设备、网络共享、网络下载、即时通讯工具(IM)等多种方式传播。继病毒、蠕虫之后，木马已经成为网络安全的主要危害。2. ARP 欺骗类病毒危害局域网安全前几年，A R P 欺骗方式就开始被应用到恶意代码的编制中。在2007 年，国内出现了多种带有ARP 欺骗的病毒，这类病毒往往与网络盗取活动有关，多被用于盗取用户名、密码等敏感信息，给被感染用户造成很大危害。这类病毒对于局域网用户影响尤为明显，局域网中的计算机很快被恶意代码感染，受到黑客的远程控制。而且由于在局域网中ARP欺骗的源头不容易查出，所以这种攻击方式具有极大的危害性。A R P 欺骗病毒主要通过A R P 欺骗实施破坏行为。A R P 欺骗通常分两种，一种是对路由器ARP 表的欺骗；另一种是对内网PC 的网关欺骗。第一种ARP 欺骗的原理是截获网关数据，它通知路由器一系列错误的内网M A C 地址，并按照一定的频率不断地更新学习，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送错误的M A C 地址，造成正常的P C无法收到信息。第二种ARP 欺骗原理是通过交换机的MAC 地址学习机制，伪造网关，它的原理是建立假的网关，让被它欺骗的PC 向假网关发送数据，而不是通过正常的路由器或交换途径寻找网关，造成在同一网关的所有PC 在访问网络时出现各种异常现象。如局域网中任何一台计算机被A R P 病毒感染后，就通过发送大量的A R P 欺骗包声称自身是网关将数据包劫持，病毒会对所有的数据包进行分析，过滤出HTTP 应答包，并在包里面插入网页攻击代码，使用户看到的网页最前面被插入网页攻击代码，该网页会利用系统漏洞下载并运行木马程序，或者使用户浏览器自动访问黑客预设的网站来下载恶意程序。3. AV 终结者类病毒愈演愈烈该类病毒通过多种途径进行传播，包括利用局域网共享、猜测弱口令以及优盘等移动存储介质等。病毒传播速度快、影响范围广，并且可以对计算机系统中的文件造成破坏，因此危害严重。这类病毒最典型的特征就是自我保护机制加强，能够与安全软件进行对抗。由于各种杀毒软件的功能越来越强大，病毒为了隐藏自身提高存活率，对杀毒软件采取关闭等操作使之失效。通过监测发现A V 终结者病毒变种近期还在不断出现。这类病毒一般都会在逻辑盘产生auto 文件，使病毒能够在用户打开盘符时自动运行。并在系统盘的多个目录下生成大量病毒文件。而且病毒会通过映像劫持、修改杀毒软件设置、损伤杀毒软件的配置文件甚至直接关闭杀毒软件等方法，造成系统的安全防御系统失效。这类病毒以“A V 终结者”、“熊猫烧香”为代表。4. 病毒爆发频度高，传播范围广2007 年的病毒疫情发作的频率较高，每个月都有多个新的病毒出现，并且恶性病毒所占比例较大，病毒对计算机用户的危害日趋明显和复杂。我国大陆地区正成为全球计算机病毒主要攻击的地区。最具代表性的就是“熊猫烧香”病毒，该病毒在出现后的几个月内疯狂传播，利用局域网共享、猜测弱口令以及优盘等移动存储介质进行多种途径传播，传播速度极快，影响范围极广，危害严重。随着“熊猫烧香”病毒制作者浮出水面，以及对其获取暴利的病毒产业链的揭示，在巨大利益的驱使下更多病毒制作者开始纷纷效仿。“金猪报喜”、“仇英”等病毒纷纷问世。近期又出现了类似“熊猫烧香”病毒的“小浩”、“小猪”、“大猩猩”等蠕虫病毒。而且该类病毒属于复合型病毒，不仅具有蠕虫的特征而且可以下载执行多种木马。木马通过蠕虫进行广泛传播，病毒制作者通过木马窃取用户的敏感信息或卖流量给挂马的黑客赚取利益，使得该类病毒渐成为网络主要威胁。5. 优盘等移动存储介质已成为病毒和木马程序传播的主要途径优盘等移动存储介质已成为病毒和木马程序传播的主要途径之一。根据2007 年上半年的统计，以优盘等移动存储介质为主要传播途径的“AV 终结者”病毒成为新的毒王。近期在互联网络上传播比较严重的病毒，比如：“熊猫烧香”病毒、“优盘破坏者”病毒等同样具有通过优盘等移动存储介质传播的功能。此类病毒主要是依赖微软操作系统Windows 的自动运行功能，使得计算机用户在双击打开优盘等移动存储介质或是计算机系统逻辑磁盘的时候，自动执行磁盘中的病毒或是木马程序。由于移动优盘等移动存储介质使用方便，很多计算机用户都选择使用它来进行数据文件的存储和交换，无形中使这些移动存储介质成为这些病毒和木马程序传播的主要载体，严重危害计算机用户的数据和系统安全。6. 木马程序更具有针对性、隐蔽性近两年来，黑客和病毒制造者越来越狡猾，他们正改变以往的病毒编写方式，研究各种网络平台系统和网络应用的流程，甚至杀毒软件的查杀和防御技术，寻找各种漏洞进行攻击。除了在病毒程序编写上越来越巧妙外，他们还更加注重攻击“策略”和传播、入侵流程，通过各种手段躲避杀毒软件的追杀和安全防护措施，达到获取经济利益的目的。新的木马程序具有更强的针对性和隐蔽性。比如：视频剪辑文件中夹带恶意网页木马程序，使得计算机用户难以发现，隐蔽性很强，操作系统被感染后没有明显的被木马程序入侵的现象，点击或是下载播放的同时，计算机系统即被感染。7. 网页挂马问题严重通过对互联网的监测发现，网上黑客越来越活跃，网页挂马也越来越多，令广大计算机用户防不胜防。互联网中存在大量的问题网站，如缺乏管理的小型网站，含有色情、暴力等内容的非法网站，都是病毒、木马传播的温床。它们或是通过诱使用户访问进行主动传播，或是通过挂马，采取守株待兔方式等待用户访问进行攻击。但无论是主动方式还是被动方式，都为病毒、木马的滋生和传播提供了温床，相当数量的病毒、木马变种都来自于这类网站。同时，通过对互联网的监测我们发现被挂马的网站几乎覆盖各行各业，包括政府网站、新闻网站、软件下载网站、娱乐网站等。网页挂马很多都是通过IE 或系统漏洞进行传播，比如近期的ANI(动态光标漏洞)等。由于很多用户对系统漏洞修补不及时，造成大量用户被感染。8. 利用病毒敲诈钱财，造成用户数据丢失2006 年出现了一种以敲诈钱财为目的的病毒“敲诈者”，该病毒先删除被感染用户的重要数据，以“可以帮助恢复”为由敲诈用户钱财。继“敲诈者”病毒和“删除者”之后，2007 年初在海底光缆损毁导致国外杀毒软件无法升级的两天时间中，又出现了“敲诈者变种”病毒。该类型病毒不仅使用户钱财损失，而且会使被感染用户有可能丢失重要数据并难以恢复，从而造成无法挽回的损失。9. 网络犯罪升级网络犯罪案件数量近年来呈逐年上升的趋势，其中利用病毒等恶意代码窃取、敲诈用户财产和信息成为网络犯罪的主要手段之一，同时，网上贩卖病毒、木马和僵尸网络的活动不断增多，且公开化。利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。因此，种种迹象表明，病毒的制造、传播者追求经济利益的目的越来越强，这种趋利性引发了大量的网络犯罪活动，危及网络的应用与发展。我们需要高度重视这一发展趋势，一方面加强安全技术和防范意识，另一方面提高对网络犯罪活动的发现和打击能力，遏制网络犯罪活动的上升势头。 2008 年恶意代码趋势分析1. 木马持续增长，成为恶意软件主流木马传播出现“批量挂马”和“批量下载”等新方式，当脚本木马侵入网站服务器之后，就会自动搜索硬盘上的所有网页文件，在其中批量插入网页木马，这样，当用户访问带毒网站时，就会被病毒感染。而且通过这种方式传播的大部分都是“木马下载者”类的木马，当用户在不知情的情况下下载运行了该木马后，还会继续用批量下载的其他各类木马感染用户的计算机。这样一来，黑客挂马的效率大大提高，成本降低了，盗取各类信息的成功率增大，其危害越来越大，防不胜防。预计2008 年木马还将会成为恶意软件的主流。2. 新型恶意代码的攻击影响较大的“熊猫烧香”病毒的攻击揭示了对计算机实施恶意攻击的一种新趋势：它结合了蠕虫、木马、病毒的特点，传播手段多样并且会改变被感染的一些特殊格式文件的代码(如：exe、html 等)，使保护存储在硬盘中的数据的安全技术很难封锁和清除这种感染。比如：“熊猫烧香”会感染硬盘中所有exe 文件，运行任何一个exe 文件等于运行了一遍病毒本身。由于病毒将自身和硬盘中的程序相绑定，使得杀毒软件很难保证在不破坏原文件的情况下将病毒体清除干净。并且它还会感染所有的网页文件，在文件中加入恶意脚本，但用户在查看这些文件时就会下载其指定的恶意代码。尤其是一些网站的维护者在被感染后，很容易将被感染的文件传播到网络中，成为网页挂马的一种手段。我们预计这种恶意软件数量在2008 年将会有所增加。3. 针对各类漏洞攻击的恶意代码将会增加安全漏洞在各种系统中广泛存在，危害性与时间紧密相关。因此利用最新发现的漏洞进行零日攻击最具威胁性。大量操作系统和各种应用程序的漏洞仍然是恶意用户发动攻击的重要途径之一，目前，病毒编制者主要利用的漏洞包括以下几类：(1) 操作系统漏洞。2007 年4 月，微软浏览器的“动画图标文件栈溢出漏洞”被曝光，其影响包括Vista 在内的Windows 主流操作系统产品。在微软发布补丁之前，利用该漏洞的攻击方法已经在互联网上传播，并且出现了利用该漏洞的“ANI 蠕虫”病毒。微软内部早已接到存在该漏洞的报告，却未能及时发布补丁，类似的已经被安全研究人员发现但微软没有提供补丁的安全漏洞并非只有这一个。事实上，“熊猫烧香”、“ANI 蠕虫”等病毒之所以猖獗，是因为它们充分利用微软的漏洞，并采用了一些特殊的手段。例如，“熊猫烧香”会在中毒机器的网页文件中加入恶意代码，如果中毒机器正被网络编辑使用，则这些文件被上传到网站之后，就会让浏览网站的人中毒。由于当时许多门户网站的编辑使用的电脑也被此病毒感染，导致这些门户网站带毒，用户浏览网站后中毒。(2) 应用软件漏洞。2007年陆续发现中文媒体播放器“暴风影音”中存在多个缓冲充溢漏洞，漏洞与“暴风影音”所使用的ActiveX 控制插件有关，用户只需要浏览一个隐藏攻击代码的网站就有可能受到攻击。在百度超级搜霸中的一个ActiveX 控件中存在一个远程代码执行漏洞，远程攻击者可利用此漏洞在被攻击者系统上以当前浏览器权限执行任意代码，进而可安装木马以及间谍程序。在压缩工具软件、办公处理软件，甚至各类安全软件也都存在安全漏洞，这些在互联网中广泛安装使用的各类软件所存在的安全漏洞造成的安全威胁不亚于操作系统漏洞。(3) Web 程序安全漏洞。这类漏洞包括SQL 注入漏洞、XSS 漏洞等等，许多大型网站，包括MySpace、谷歌和雅虎都曾经因为这些漏洞遭到攻击。病毒制造者侵入带有W e b 漏洞的网站，植入病毒。同时加强对博客的安全防范，防止利用博客内嵌恶意代码，通过吸引用户访问来进行病毒、木马传播。4. 利用DNS 服务器脆弱性的新型网络钓鱼将会出现当受害人访问一个带有恶意代码的W e b 站点或打开一个恶意的电子邮件附件时，黑客会利用用户计算机上存在的漏洞，进行入侵。然后攻击者们会修改Windows 注册表中的设置，对用户计算机的W e b 访问进行控制。当发现用户有网银等重要业务操作的过程中，他们会突然将用户引向钓鱼站点。因为这种攻击发生在DNS级别，所以反钓鱼软件可能无法有效识别仿冒的站点。黑客还可能利用“僵尸网络”对D N S 服务器进行攻击，他们利用大量的肉鸡攻击想要仿冒的网站服务器，使该网站服务器瘫痪。然后黑客用自身建立的虚假网站服务器向附近的D N S 服务器发送大量仿冒的D N S 包。欺骗D N S 服务器更改D N S 缓存，指向黑客指定的虚假网站，进行网络钓鱼诈骗。因为是针对于D N S 服务器的攻击，广大计算机用户很难进行防范。近期出现了多种针对D N S 服务器的攻击方式，这种攻击方式主要针对的是防御措施相对薄弱的D N S 服务器，属于D N S 级别的攻击，这样用户不仅很难做出有效的防御而且在大多数情况下很难发现。因此，在2008 年这种攻击方式很可能大量增长。5. 围绕着奥运会的网络安全事件值得关注2008 年全世界最大的体育赛事奥运会将在中国召开，也将会吸引全世界的目光。2008 奥运会首次提出了“数字奥运”，与奥运会相关的场馆、赛事、宣传、售票等各项活动以及政府、媒体对外发布等都与网络相关。不难想象，奥运会的相关网站也将成为黑客们攻击的热点，尤其是缺乏安全保护的一些中小网站和个人博客肯定会成为黑客们攻击的重点对象。因此网络安全的重要性也凸显出来。关于奥运会的安全事件也将陆续出现，如制作病毒、假冒奥运网站、“网络钓鱼”、利用奥运赛事赌博、非法倒卖奥运门票等。2007年已经发现多起打着奥组委或者奥运会旗号的“钓鱼”网站，进行网上诈骗活动。预计2008 年随着奥运会的临近针对奥运会的网络攻安全事件也将会大量出现。第2章 处理工作1.1 对策和建议随着信息网络技术日益渗透到社会、经济生活的各个领域，信息资源和信息网络已经成为各国重要的战略资源和基础设施，信息化已成为经济社会发展的重要推动力量，并成为经济全球化的引擎。与此同时，信息安全问题也日益突显，已经成为全球共同关注的重大问题。面对日益严峻的信息安全形势，国家计算机病毒应急处理中心为了提高对病毒事件的监测预警和应急处理能力，在2007 年8 月份投资建设了计算机病毒应急指挥调度室。实现了实时监测我国网络病毒和攻击情况；汇总反病毒厂家上报的病毒动态监测数据；收集全球最新病毒和网络安全信息；指挥调度处置重大病毒事件。我们也深刻地认识到，做好计算机病毒的防治和应急处理工作，单靠国家计算机病毒应急处理中心和计算机病毒防治产品检验中心是不行的，单靠反病毒企业也不行。我们必须充分依靠社会力量，按照公安工作方针，采用专门工作与群众路线相结合的方法，动员反病毒企业和广大计算机用户的力量，将反病毒企业的力量有效地组织起来，形成我国应急处置小组，建立我国计算机病毒综合防控体系，实现群防群治，才能有效解决互联网面临的严峻的安全问题，提高防范、打击“利用计算机病毒技术进行的各种网络犯罪活动”的能力，提高我们通报工作的质量、水平。通过不断努力，以公安部公共信息网络安全监察局为统领，以各地网监部门为主要力量，以计算机病毒防治产品检验工作为依托，以国家计算机病毒应急处理中心为支撑，以反病毒企业、网络运营商和网络安全员为辅助，以警防网、技防网和民防网的“三张”网建设为主要载体，以加强对“虚拟社会”的管理和提高计算机病毒应急处理工作水平为目标，全面构建我国网络病毒综合防控体系。面对这些问题我们应该怎样做呢？ 1. 正确安装使用安全软件安装使用正版安全软件，以保证按时升级和得到相应的技术支持服务。同时，正确配置安全软件，打开实时监视功能，防止来自网络的攻击和破坏。2. 修改系统配置、增强系统自身安全性卸载、删除不必要的系统功能和服务。修改系统安全配置，提高系统安全性，如：关闭自动播放功能，防止各类Autorun 病毒；取消不必要的默认共享等。3. 修补系统漏洞，加强预警及时安装操作系统补丁和应用软件补丁。此外，还要经常关注安全机构和厂商发布的重大安全事件，做好预警防范措施。4. 定期安全检查用户使用安全检查工具或者请专业人员定期对系统的自启动项、进程等关键内容进行检查，及时发现存在的问题。5. 提高警惕性，抵制来自网络的各种诱惑信息黑客可能会利用社会工程学，使用各种诱惑性信息诱骗用户下载各种木马程序或者利用网络钓鱼诈骗计算机用户。尤其是临近奥运会，各类关于奥运会的欺骗信息也会越来越多，因此广大计算机用户应该提高警惕性，防止遭受损失。计算机病毒的种类、清除方法及防治策略计算机病毒从其产生至今, 世界上病毒的数量已经发展到近5 万种, 病毒的种类和编制技术也经历了几代的发展。在我国曾经广泛流行的计算机病毒有近千种, 并且有些病毒给计算机信息系统造成很大破坏,影响信息化的发展和应用。1 计算机病毒的分类计算机病毒包括引导型病毒、文件型病毒、网页病毒等, 详见表1。2 计算机病毒的清除原则及方法清除病毒之前, 一定要备份所有重要数据以防万一。清除病毒时, 要用洁净的系统引导机器, 保证整个消毒过程在无毒的环境下进行, 否则, 病毒会重新感染已消毒的文件。做好备用的保存磁盘引导扇区的文件, 在文件名上要反映出该盘的型号( 软盘、硬盘) 、容量和版本。因不同的磁盘的分区表不同, 引导记录的磁盘基数表( BPB) 也不同, 一旦恢复时不对应, 被恢复的磁盘将无法读写。操作中应谨慎处理, 对所读写的数据应进行多次检查核对, 确认无误后再进行有关操作。计算机病毒的清除方法:( 1) 消毒软件清除法 对于感染主引导型病毒的机器可采用事先备份的该硬盘的主引导扇区文件进行恢复, 恢复时可用DEBU G 或NORTON 软件实现。( 2) 程序覆盖法 该法适用于文件型病毒, 一旦发现文件被感染, 可将事先保留的无毒备份重新拷入系统即可。( 3) 低级格式化或格式化磁盘 该方法轻易不要使用, 它会破坏磁盘的所有数据, 并且低级格式对硬盘亦有损害, 在万不得已情况下, 才使用此方法。使用这种方法必须保证系统无病毒, 否则将前功尽弃。 谈计算机病毒与防护措施本节从计算机病毒的概念入手，分析了如何判断计算机是否感染病毒，以及计算机感染病毒的表现。阐述了计算机病毒的来源，并对计算机病毒的种类进行了技术分析，针对不同的计算机病毒提出了多种防范措施。随着计算机的广泛普及，家用电脑用户的不断扩大，以及网络的迅猛发展，计算机病毒对电脑的攻击与防护技术也在不断更新。全球遭受计算机病毒感染和攻击的事件数以亿计，不仅严重的影响了正常的工作和生活，同时也给计算机系统带来了很大的潜在威胁和破坏。目前，计算机病毒已经波及到社会的各个领域，人尽皆知，所以计算机病毒的防护已成为计算机工作者和计算机使用者的一个重要问题，解决问题刻不容缓。怎样才能彻底防范计算机病毒的攻击呢？首先我们要了解计算机病毒是什么？所谓知彼知己百战不殆，那么到底计算机病毒是什么呢？计算机病毒是一个人为编写的程序，或一段指令代码。我们强调这里的人为性，计算机病毒具有独特的复制能力。因为计算机病毒的可复制性，所以计算机病毒得以迅速地蔓延，并且往往难以根除。计算机病毒能把自身附着在各种类型的文件上，这就是我们所说的寄生性，就像我们学习生物的中的寄生虫一样。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起扩散开来。所以说计算机病毒的最本质的功能就是复制功能。当然，如果计算机出现故障，并不完全是计算机病毒的原因。家用电脑使用过程中出现各种故障也有很多原因是因为电脑本身的软件或是硬件故障引起的，如果是网络上的故障，也有一些是因为涉及到权限问题引起的。所以我们只有充分地了解两者的区别与联系，才能够做出正确的判断，以便根据故障原因进行处理。一、如何判断计算机是否感染病毒1、电脑感染病毒最明显的特点就是电脑运行速度比平常慢。例如，上午打开一个网页还很快，下午开机打开网页的速度明显变慢，最大可能就是感染病毒。特别是有些病毒能控制程序或系统的启动程序，所以开机系统启动或是打开一个应用程序，这些病毒就执行他们的动作，因此会需要更多时间来打开程序。如果你的电脑在使用过程中出现了以上现象，很有可能是感染了计算机病毒，需要进行全盘查毒和杀毒。2、在电脑的运行过程中经常出现死机的现象：这种现象应该是我们最常见的，是什么原因呢？原因就是计算机病毒打开了多个文件或是占用了大量内存空间，运行了大容量的软件，测试软件的使用也会造成一定的硬盘空间不够等等。3、计算机操作系统无法启动：原因是计算机病毒修改了硬盘的引导信息，或是一些启动文件被破坏或是被删除。引导区病毒会破坏硬盘引导区信息，使电脑无法正常启动，硬盘分区丢失，或是人为地操作错误，误删除了系统文件等原因造成的系统无法启动。4、系统经常出现提示信息显示内存不够：计算机病毒非法占用了大量内存空间；打开了大量的软件；运行了需内存资源的软件；系统配置不正确等。5、文件打不开：引起文件打不开的原因可能是计算机病毒篡改了文件格式；文件链接位置因为计算机病毒发生改变。文件遭到损坏；硬盘受到损坏；文件快捷方式所对应的链接位置发生了改变；原来编辑文件的软件被删除了等。6、系统提示硬盘空间不够：因为计算机病毒具有复制性这个特点，所以计算机病毒复制了大量的病毒文件，以至于影响了内存空间的大小，所以安装软件时系统就出现提示信息硬盘空间不够。硬盘的分区太小，并且安装了一些大容量的软件，这些软件都集中安装在一个硬盘分区中，或是硬盘本身容量就小等等原因造成的。7、电脑中出现了大量来历不明的文件：计算机病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录等。8、启动黑屏：计算机病毒感染，显示器故障；显卡故障；主板故