計(jì)算機(jī)病毒原理及其檢測(cè)探析論文
計(jì)算機(jī)病毒原理及其檢測(cè)探析論文
根據(jù)病毒破壞性的大小分為良性病毒和惡性病毒。今天學(xué)習(xí)啦小編要與大家分享的是 :計(jì)算機(jī)病毒原理及其檢測(cè)探析的論文,具體內(nèi)容如下,希望能幫助到大家!
計(jì)算機(jī)病毒原理及其檢測(cè)探析
計(jì)算機(jī)已在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用,以其快捷、方便給人們的生活帶來(lái)了很大的便利。但計(jì)算機(jī)病毒容易對(duì)計(jì)算機(jī)造成巨大的破壞和潛在的威脅。因此加強(qiáng)計(jì)算機(jī)安全工作勢(shì)在必行。對(duì)一般人來(lái)講,計(jì)算機(jī)病毒似乎是一個(gè)專(zhuān)業(yè)性很強(qiáng)的問(wèn)題,但實(shí)際上稍加分析,計(jì)算機(jī)病毒的知識(shí)不像想象中的那么神秘。普通人只要認(rèn)真學(xué)習(xí)一下,就能具備基本的知識(shí),同時(shí)也能具備一些對(duì)抗計(jì)算機(jī)病毒能力,最大限度的保護(hù)自己的網(wǎng)絡(luò)安全。
1 計(jì)算機(jī)病毒的概述
1.1 概念
一般來(lái)講,計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的對(duì)計(jì)算機(jī)的性能和數(shù)據(jù)造成破壞,進(jìn)而影響計(jì)算機(jī)的正常使用并且具有自我復(fù)制功能的指令或者程序代碼?!吨腥A人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確規(guī)定:病毒指在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒旳實(shí)質(zhì)是一組人為的程序或代碼,具有很強(qiáng)的破壞性、傳染性和自我復(fù)制性。
1.2 計(jì)算機(jī)病毒的特點(diǎn)
首先,計(jì)算機(jī)病毒具有很強(qiáng)的自我復(fù)制性,能夠隨著軟件、程序的運(yùn)行而不斷進(jìn)行自我繁殖和復(fù)制,這也是判斷計(jì)算機(jī)病毒的一個(gè)基本標(biāo)志。其次,計(jì)算機(jī)病毒本身具有很強(qiáng)的傳染性,計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī),如果一臺(tái)電腦被感染而沒(méi)有得到及時(shí)處理,病毒就會(huì)通過(guò)各種途徑和方式感染另一臺(tái)電腦。
第三,計(jì)算機(jī)病毒具有很強(qiáng)的破壞性,輕則導(dǎo)致數(shù)據(jù)的丟失和程序的不正常運(yùn)轉(zhuǎn),重則導(dǎo)致機(jī)器癱瘓、系統(tǒng)損壞,這也是病毒編制者所欲達(dá)到的目的。第四是潛伏性,即病毒會(huì)潛伏在電腦一段時(shí)間,當(dāng)條件具備時(shí)會(huì)自動(dòng)開(kāi)啟,破壞電腦,而且還可以設(shè)定破壞的目標(biāo)。第五,計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性,一般的病毒可以檢測(cè)出來(lái),但是有一些卻檢測(cè)不出來(lái),變化很多。
1.3 計(jì)算機(jī)病毒的分類(lèi)
根據(jù)病毒破壞性的大小分為良性病毒和惡性病毒。良性病毒是指只是為了顯示自己的存在但并不對(duì)計(jì)算機(jī)造成任何破壞的病毒,這種病毒具有一般病毒的其他特點(diǎn),但是具有很小的破壞性。惡性病毒是指以破壞數(shù)據(jù)或系統(tǒng)為目的的病毒,一般帶有很強(qiáng)的破壞性,有的雖然不破壞數(shù)據(jù)或系統(tǒng),但是占用大量系統(tǒng)資源甚至導(dǎo)致死機(jī)現(xiàn)象。引導(dǎo)扇型病毒:一般出現(xiàn)在DOS的引導(dǎo)過(guò)程,開(kāi)機(jī)時(shí)啟動(dòng)。它不以文件的形式存在磁盤(pán)上,沒(méi)有文件名或命令顯示,具有極高的隱蔽性。
引導(dǎo)型病毒通常分為兩部分:第一部分放在磁盤(pán)引導(dǎo)扇區(qū)中;另一部分和原引導(dǎo)記錄放在磁盤(pán)上連續(xù)幾個(gè)簇中,其位置一般放在第一部分中。各類(lèi)引導(dǎo)型病毒引入存儲(chǔ)過(guò)程大致相同。它們都要修改內(nèi)存可用空間的大小,都植入內(nèi)存的高端,并在內(nèi)存高端為病毒傳播留出工作空間,否則在運(yùn)行其它程序時(shí)可能被覆蓋;都要修改中斷向量表,以便將來(lái)有機(jī)會(huì)占領(lǐng)CPU,否則即使在內(nèi)存也如同冬眠一樣,不能進(jìn)行傳播和破壞。文件型病毒,也被稱(chēng)為外殼型病毒。
這種病毒主要存在于文件擴(kuò)展名為.COM和.EXE等的可執(zhí)行文件的頭部和尾部。只要運(yùn)行所在程序,病毒就會(huì)被激活,同時(shí)又傳染到其他文件上,而且病毒會(huì)控制相關(guān)程序。深入型病毒是一種比較復(fù)雜的病毒,也被稱(chēng)之為混合型病毒,具有引導(dǎo)區(qū)病毒和文件型病毒兩種特征,二者相互促進(jìn)共同進(jìn)行傳染,所以傳播范圍比較廣、清除難度大。
2 計(jì)算機(jī)病毒的檢測(cè)
2.1 一般檢查步驟
首先是進(jìn)程選項(xiàng),這是第一個(gè)排查對(duì)象。開(kāi)機(jī)后在不啟動(dòng)任何程序的前提下打開(kāi)任務(wù)管理器,查看一下是否存在可疑進(jìn)程;其次查看系統(tǒng)進(jìn)程的路徑是否正確。如果進(jìn)程都正確則查看是否有可疑線程注入正常程序。進(jìn)程排查完畢后開(kāi)啟自啟動(dòng)項(xiàng)目的排查。首先用msconfig察看是否有可疑的服務(wù),切換到服務(wù)選項(xiàng)卡,勾選“隱藏所有Microsoft服務(wù)”復(fù)選框,然后逐一確認(rèn)剩下的服務(wù)是否正常;
第二步:用msconfig察看是否有可疑的自啟動(dòng)項(xiàng),只要切換到啟動(dòng)選項(xiàng)卡進(jìn)行排查即可;最后,用Autoruns查看更詳細(xì)的啟動(dòng)項(xiàng)信息。第二步開(kāi)始檢查網(wǎng)絡(luò)連接,ADSL用戶可以嘗試使用虛擬撥號(hào)進(jìn)行連接,之后用用冰刃的網(wǎng)絡(luò)連接查看有無(wú)可疑連接。第四步可以選擇安全模式安全模式開(kāi)啟電腦,如果無(wú)法正常進(jìn)入則可能存在病毒問(wèn)題,第五,映像劫持:打開(kāi)注冊(cè)表編輯器,查看有沒(méi)有可疑的映像劫持項(xiàng)目,如果存在可疑項(xiàng)則電腦很有可能中毒。最后,CPU時(shí)間也是機(jī)器是否中毒的一個(gè)重要標(biāo)志??梢酝ㄟ^(guò)開(kāi)機(jī)后系統(tǒng)運(yùn)行時(shí)間作參考,CPU運(yùn)行時(shí)間則是一個(gè)很好的參照。
2.2 具體方法
(1)特征代碼法。主要用來(lái)判斷文件是否感染病毒,要求兌現(xiàn)關(guān)軟件進(jìn)行不斷的更新以適應(yīng)要求。特征代碼法主要運(yùn)用了比較法、分析法和掃描法。
(2)檢驗(yàn)和法。通過(guò)計(jì)算正常文件內(nèi)容校驗(yàn)和,將該校驗(yàn)和寫(xiě)入文件中或?qū)懭雱e的文件中保存。使用文件前通過(guò)對(duì)比前后檢驗(yàn)和來(lái)確定文件是否感染病毒。它的弊端是不能識(shí)別病毒種類(lèi)和病毒名稱(chēng),而且還會(huì)影響文件的運(yùn)行速度,出現(xiàn)錯(cuò)誤示警。
(3)行為監(jiān)測(cè)法。這種方法主要利用病毒的特有行為特性來(lái)判斷是否存在病毒。每種病毒都會(huì)有自己獨(dú)一無(wú)二的特性,這種方法正好充分利用了這一點(diǎn)。這種方法具有很強(qiáng)的優(yōu)勢(shì),即對(duì)許多未知病毒都能夠有效發(fā)現(xiàn),但缺點(diǎn)是不能識(shí)別病毒名稱(chēng),實(shí)現(xiàn)起來(lái)有一定的難度。
(4)軟件模擬法。主要是利用相關(guān)軟件來(lái)模式和分析程序的運(yùn)行狀況,確定有無(wú)病毒。