毕业论文计算机病毒解析与防范.doc

《毕业论文计算机病毒解析与防范.doc》由会员分享，可在线阅读，更多相关《毕业论文计算机病毒解析与防范.doc（22页珍藏版）》请在三一办公上搜索。

1、本科毕业论文论文题目： 计算机病毒解析与防范 学生姓名： XXX 学号： XXXXXXXXXXXX 专业： 计算机科学与技术 指导教师： XXX 学 院： XXX年 X 月 X 日毕业论文（设计）内容介绍论文（设计）题 目计算机病毒解析与防范选题时间完成时间论文（设计）字数11000关 键 词计算机病毒；解析；防范措施； 论文（设计）题目的来源、理论和实践意义：随着计算机在社会生活各个领域的广泛运用，以及电脑的普及和网络的迅猛发展，计算机病毒呈现愈演愈烈的趋势，严重地干扰了正常的人类社会生活，给计算机系统带来了巨大的潜在威胁和破坏。目前，病毒已成为困扰计算机系统安全和计算机应用的重大问题。为了

2、确保信息的安全与畅通，论文从计算机病毒的概念入手，分析计算机病毒的内涵及类型，分析和探讨了计算机病毒的产生机理、寄生特点、传播方式、危害表现以及计算机病毒的预防，检测和对抗等方面的技术，并对计算机病毒来源进行分析，以便构建自己的计算机病毒防范体系。论文（设计）的主要内容及创新点：论文首先讲述了计算机病毒的定义、病毒的特征、病毒的分类以及计算机病毒的各种症状。然后讲述了计算机防范病毒的第一道关卡（防火墙）。简单说明防火墙的定义、结构以及功能工作原理。之后列举检测计算机病毒的一些方法如：外观检测发，比较法，分析法等。最后主要讲述了对计算机病毒的防范，从日常的操作习惯与计算机病毒防范的关系开始说起，

3、之后具体讲述了对于不同病毒所要采取的不同的防范措施。附：论文（设计）本人签名： 年 月 日计算机病毒解析与防范李静文（山东师范大学历山学院计算机科学与技术2008级1班）摘要：计算机病毒被喻为21世纪计算机犯罪的五大手段之一，并排序为第二。计算机病毒的攻击性，在于它能够破坏各种程序并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰，有些还陷入极度的恐慌之中。因为计算机病毒不仅破坏文件，删除有用数据，还可导致整个计算机系统瘫痪，给计算机用户造成了巨大的损失。事实上人们产生上述不安的主要原因，在于对计算机病毒的误解，广大计算机用户有必要对计算机病毒的一些知识有比较明确的认识和全面的科学态度。

4、关键词：计算机病毒；解析；防范措施。中图分类号：Analysis and Prevention of Computer VirusesLi Jingwen (School of Li Shan, Shandong Normal University)Abstract: Computer viruses are know as the five ways for computer crimes in the 21st century and always stand at the secong place of the five.The harmfulness of the viruses is

5、 the production of various destructive programs and its quick pervasion into other fields.Now millions of users are frequently harassed by the viruses and some are extremely frightened， because computer viruses not only undermine the file, delete the useful data, but also lead to paralysis of the en

6、tire computer system to give computer users to cause great losses. At present the computer virus Tn fact,theharassment comes from the misunderstanding of the viruses.So usersof computer ought to have further clear knowledge and all sided scientific view of viruses.Key words: Computer viruses;analyze

7、;measure.1. 引 言随着计算机时代的来领，我们进入了信息社会。计算机虽然给人们的工作和生活带来了便利和效率，然而计算机系统并不安全。计算机病毒就是最不安全的因素之一，它会造成资源和财富的巨大损失，人们称计算机病毒为“21世纪最大的祸患”。目前由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长期共存。因此，研究计算机病毒及防范技术具有重要意义。（1）基于“视窗”的计算机病毒越来越多； （2）新病毒层出不穷，感染发作有增无减； （3）网络成为计算机病毒传播的主要媒介；（4）病毒的破坏性不断增加。近年来，中国计算机病毒的发病率高达55%。特别是在互联网时代，病毒的传播范围越来越广。目前

8、的计算机病毒厂商的消除方面，都是发现新一个病毒后，立即分析它的运行机制，感染原理，编制程序进行查杀，最后加入到反病毒软件中，或放在网上供用户下载。2. 计算机病毒的解析2.1计算机病毒的定义及特征.计算病毒的定义 计算机病毒（Computer Virus）在中华人民共和国计算机信息系统安全保护条例中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程

9、序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大1！图1 计算机病毒的结构.计算机病毒的特征（1）繁殖性计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。 （2）传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件

10、下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上

11、了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 （3）潜伏性 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，

12、有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。 （4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。 （5）破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。 （6）可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去

13、了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。2.2计算机病毒的分类 根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：一、按病毒存在的媒体根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染

14、网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。 二、按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存

15、中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。 三、按病毒破坏的能力无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。 无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型：这类病毒在计算机系统操作中造成严重的错误。 非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Wi

16、ndows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失4。 四、按病毒的算法伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络

17、地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。 寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段3。 诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和

18、被变化过的病毒体组成。2.3计算机病毒的症状计算机病毒的一般症状：1.计算机系统运行速度减慢。 2.计算机系统经常无故发生死机。 3.计算机系统中的文件长度发生变化。 4.计算机存储的容量异常减少5。 5.系统引导速度减慢。 6.丢失文件或文件损坏。 7.计算机屏幕上出现异常显示。 8.计算机系统的蜂鸣器出现异常声响。 9.磁盘卷标发生变化。 10.系统不识别硬盘。 11.对存储系统异常访问。 12.键盘输入异常。 13.文件的日期、时间、属性等发生变化。 14.文件无法正确读取、复制或打开。15.命令执行出现错误。 16.虚假报警。 17.换当前盘。有些病毒会将当前盘切换到C盘。 18.时钟

19、倒转。有些病毒会命名系统时间倒转，逆向计时。 19.WINDOWS操作系统无故频繁出现错误。 20.系统异常重新启动。 21.一些外部设备工作异常。 22.异常要求用户输入密码。 23.WORD或EXCEL提示执行“宏”。 24.使不应驻留内存的程序驻留内存。3. 防火墙技术3.1 防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，

20、防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。 图2 防火墙位置示意图3.2 防火墙的类型（1）网络层防火墙 网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。 我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功

21、能。 较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。（2）应用层防火墙 应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序

22、的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。 XML 防火墙是一种新型态的应用层防火墙。3.3 防火墙的基本特性内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。 根据美国国家安全局制定的信息保障技术框架，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户

23、内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。 只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流

24、量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。如下图2图3 防火墙自身应具有非常强的抗攻击免疫力 这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有

25、这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。 目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。防火墙的优点（1）防火

26、墙能强化安全策略。 （2）防火墙能有效地记录Internet上的活动。 （3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 （4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。3.4 防火墙的功能防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一

27、个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众

28、所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。 监控网络存取和访问如果所有的访问都经过防火墙，那么，

29、防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部nger，DNS等服务。Finger显示了主机的所有用户的注册

30、名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。4. 计算病毒的检测4.1外观检测法 病毒侵入计算机系统后, 会使计算机系统的某些部分发生变化, 引起一些异常现网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Fi象,如屏幕显示的异常现象、系统运行速度的

31、异常、打印机并行端口的异常、通信串行口的异常等等。我们可以根据这些异常现象来判断病毒的存在, 尽早地发现病毒, 并作适当处理。外观检测法是病毒防治过程中起着重要辅助作用的一个环节6。 （1）屏幕显示异常（2）声音异常（3）键盘工作异常（4）打印机、软驱等外部设备异常（5）系统工作异常（6）文件异常4.2比较法主比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如DEBUG的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP、FC或PCTOOLS等其它软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规DOS软件和PCTOOLS

32、等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠比较法和分析法，有时必须结合这两者来一同工作7。使用比较法能发现异常，如文件的长度有变化，或虽然文件长度未发生变化，但文件内的程序代码发生了变化。对硬盘主引导扇区或对DOS的引导扇区做检查，比较法能发现其中的程序代码是否发生了变化。由于要进行比较，保留好原始备份是非常重要的，制作备份时必须在无计算机病毒的环境里进行

33、，制作好的备份必须妥善保管，写好标签，并加上写保护。比较法的好处是简单、方便，不需专用软件。缺点是无法确认计算机病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是由于计算机病毒造成的，或是由于DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确证是否存在计算机病毒。另外，当找不到原始备份时，用比较法就不能马上得到结论。从这里可以看到制作和保留原始主引导扇区和其它数据备份的重要性。4.3加总对比法根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或是将所

34、有检查码放在同一个数据库中，再利用此加总对比系统，追踪并记录每个程序的检查码是否遭更改，以判断是否感染了计算机病毒。一个很简单的例子就是当您把车停下来之后，将里程表的数字记下来。那么下次您再开车时，只要比对一下里程表的数字，那么您就可以断定是否有人偷开了您的车子。这种技术可侦测到各式的计算机病毒，但最大的缺点就是误判断高，且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到8。4.4分析法一般使用分析法的人不是普通用户，而是防杀计算机病毒技术人员。使用分析法的目的在于：1. 确认被观察的磁盘引导扇区和程序中是否含有计算机病毒；2. 确认计算机病毒的类型和种类，判定其是否是一种新的计

35、算机病毒；3. 搞清楚计算机病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到计算机病毒代码库供计算机病毒扫描和识别程序用；4. 详细分析计算机病毒代码，为制定相应的防杀计算机病毒措施制定方案。上述四个目的按顺序排列起来，正好是使用分析法的工作顺序。使用分析法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用以及关于计算机病毒方面的各种知识，这是与其他检测计算机病毒方法不一样的地方9。5. 计算机病毒的防范5.1 日常简单的防范措施计算机病毒感染的传播感染是需要借助各种载体实现的，所以日常良好的使用计算机的习惯往往能很好的防范计算机病毒的入侵。(1)使用新软

36、件时, 先用杀毒程序检查, 可减少中毒机会。(2)不要在互联网上随意下载软件。病毒的一大传播途径, 就是Internet 。(3)不要轻易打开来历不明的邮件或软件。(4)重要的系统和文件应备份, 以便在遭到病毒入侵后, 可检查、比对, 并可帮助及时清除病毒、恢复系统; 重要资料, 必须备份8。(5)重要的文件盘和重要的带后缀.COM 和.EXE 的文件赋予只读功能, 避免病毒写到磁盘上或可执行文件中。(6)选择一款留驻型杀毒软件，并及时更新病毒库。(7)及时更新系统漏洞，许多病毒可以通过系统漏洞攻击计算机。5.2 引导性病毒的预防引导型病毒一般在启动计算机时, 优先取得控制权, 强占内存。通常

37、情况下, 只要尽量不用软盘或用干净的软盘启动系统, 是不会染上引导型病毒的。对软盘进行写保护, 可以很好的保护软盘不被非法写入, 从而不感染上引导型病毒。预防引导型计算机病毒，通常采用以下一些方法：（1）坚持从不带计算机病毒的硬盘引导系统。（2）安装能够实时监控引导扇区的防杀计算机病毒软件，或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。（3）经常备份系统引导扇区。（4）某些底板上提供引导扇区计算机病毒保护功能（Virus Protect），启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这功能可能会造成一些需要改写引导扇区的软件（如Windows 95/98，Wind

38、ows NT以及多系统启动软件等）安装失败。考虑对硬盘进行写保护, 它运行以后驻留内存,当有对硬盘的写操作时, 将暂停程序执行, 在屏幕上显示当前将要操作的硬盘物理位置, 即磁头号、磁盘号和扇区号, 等待用户进行选择。在对硬盘的写操作很少的情况下, 最好把此程序放在主批处理的首部。程序清单：code segment assume cscode ,dscode org 100hbe :j mp i nttpopp macro pop dspop espop dipop sipop dxpop cxpop bxpop axpopfend mbuff db 0dat db CH:ch1 db 0ch

39、2 db 0 db CL :c11 db 0c12 db 0 db DH:dh1 db 0dh2 db 0mseg db 请选择 w/ r/ 空格ol dint13 dd 0code endsend be5.3文件型病毒的预防 凡是文件型病毒, 都要寻找一个宿主, 寄生在宿主“体内”, 然后随着宿主的活动到处传播。这些宿主基本都是可执行文件。可执行文件被感染, 其表现症状为文件长度增加或文件头部信息被修改、文件目录表中信息被修改、文件长度不变而内部信息被修改等10。 预防文件型病毒方法的核心就是使可执行文件具有自检功能, 在被加载时检测本身的几项指标文件长度、文件头部信息、文件内部抽样信息、文

40、件目录表中有关信息。其实现的过程是在使用汇编语言或其他高级语言时, 先把上述有关的信息定义为若干大小固定的几个变量, 给每个变量先赋一个值, 待汇编或编译之后, 根据可执行文件中的有关信息, 把源程序中的有关变量进行修改, 再重新汇编或编译, 就得到了所需的可执行文件。对于文件型计算机病毒的防范，一般采用以下一些方法：（1) 安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件。（2) 及时更新查杀计算机病毒引擎，一般要保证每月至少更新一次，有条件的可以每周更新一次，并在有计算机病毒突发事件的时候及时更新。（3）经常使用防杀计算机病毒软件对系统进行计算机病毒检查。（4）对关键文件，如系统

41、文件、保密的数据等等，在没有计算机病毒的环境下经常备份。（5）在不影响系统正常工作的情况下对系统文件设置最低的访问权限，以防止计算机病毒的侵害。（6）当使用Windows 95/98/2000/NT操作系统时，修改文件夹窗口中的确省属性。具体操作为：鼠标左键双击打开“我的电脑”，选择“查看”菜单中的“选项”命令。然后在“查看”中选择“显示所有文件”以及不选中”隐藏已知文件类型的文件扩展名”，按“确定”按钮。注意不同的操作系统平台可能显示的文字有所不同。5.4宏病毒的预防宏病毒（Macro Virus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件，

42、只要使用这些应用程序的计算机就都有可能传染上宏病毒，并且大多数宏病毒都有发作日期。轻则影响正常工作，重则破坏硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在国内流行甚广，已成为计算机病毒的主流，因此用户应时刻加以防范。通过以下方法可以判别宏病毒：（1） 在使用的Word中从“工具”栏处打开“宏”菜单，选中Normal.dot模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就极可能是感染了宏病毒了，因为Normal模板中是不包含这些宏的。 （2）在

43、使用的Word“工具”菜单中看不到“宏”这个字，或看到“宏”但光标移到“宏”，鼠标点击无反应，这种情况肯定有宏病毒。（3）打开一个文档，不进行任何操作，退出Word，如提示存盘，这极可能是Word中的Normal.dot模板中带宏病毒。 （4） 打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘，也可能带有Word宏病毒。 （5）在运行Word过程中经常出现内存不足，打印不正常，也可能有宏病毒。 （6）在运行Word 97时，打开DOC文档出现是否启动“宏”的提示，该文档极可能带有宏病毒。5.5个性化预防措施病毒的感染总是带有普遍性的或大众化的, 以使感染的范围尽可能广, 所以有时一些

44、个性化的处理可能对病毒的预防或免疫具有非常好的效果。例如给一些系统文件改名( 或扩展名) 、对一些文件( 甚至子目录) 加密, 使得病毒搜索不到这些系统文件。6. 结束语随着计算机技术的不断发展，计算机被应用于不同领域，病毒带来的危害也变得越来越大。所以认识并学会计算机病毒的防范措施变得尤为重要。本论文围绕着计算机病毒解析与防范来写，讲述病毒的各种特征与表现，简单的介绍了各种计算机病毒的防范措施。参考文献1百度百科EB 计算机病毒2王伟,宁宇鹏等. 防火墙原理与技术M.北京：机械工业出版社,2006.3沈国土.病毒与数据安全M上海：上海科学技术出版社，2006.4程胜利. 计算机病毒及其防治技

45、术M 北京： 清华大学出版杜，2004.5张仁斌等计算机病毒与反病毒技术M.北京：清华大学出版社，2006.6卓文健. 计算机病毒原理及防治M. 北京：北京邮电大学出版社,2004.7宋西军. 计算机网络安全技术M.北京：北京大学出版社，2009.8杜雷.计算机病毒解析与防范J.硅谷，2008（22）：23-24.9邢国春.浅谈计算机病毒检测与清除J.长春师范学院学报，1997.10（美）斯泽.计算机病毒防范艺术M.北京：机械工业出版社，2007.指导教师意见该论文较为全面的收集了计算机病毒及防范措施的资料，写作过程中能综合运用所学知识，全面分析计算机病毒问题，综合运用知识能力较强。文章篇幅符

46、合学院规定，内容较为完整，层次结构安排科学，主要观点突出，逻辑关系清楚，但缺乏个人见解。文题相符，论点突出，论述紧扣主题。语言表达流畅，格式完全符合规范要求；参考了较为丰富的文献资料，其时效性较强，切合现实的需要,较好地解决了现实生产生活工作中对计算机病毒及防范措施的需求。综合以上分析，该生论文符合毕业论文设计的要求，同意参加大学本科毕业论文答辩。成绩： 指导教师（签名）： 年 月 日注：成绩按优、良、中、合格、不合格五级分制计。评阅人意见 本文介绍了病毒的定义，分类及症状等，并且计算机病毒防范的相关措施。论文整体上语言流畅，构思新颖，结构合理、完整，论点正确、论据充分、论述详细，符合论文格式要求，语句通顺，修辞得当，观点突出。文题完全相符，论点突出，论述紧扣主题。参考了丰富的文献资料，其时效性较强。论文符合论文要求。 成绩：