計(jì)算機(jī)病毒原理及其檢測探析論文
計(jì)算機(jī)病毒原理及其檢測探析論文
根據(jù)病毒破壞性的大小分為良性病毒和惡性病毒。今天學(xué)習(xí)啦小編要與大家分享的是 :計(jì)算機(jī)病毒原理及其檢測探析的論文,具體內(nèi)容如下,希望能幫助到大家!
計(jì)算機(jī)病毒原理及其檢測探析
計(jì)算機(jī)已在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用,以其快捷、方便給人們的生活帶來了很大的便利。但計(jì)算機(jī)病毒容易對計(jì)算機(jī)造成巨大的破壞和潛在的威脅。因此加強(qiáng)計(jì)算機(jī)安全工作勢在必行。對一般人來講,計(jì)算機(jī)病毒似乎是一個(gè)專業(yè)性很強(qiáng)的問題,但實(shí)際上稍加分析,計(jì)算機(jī)病毒的知識不像想象中的那么神秘。普通人只要認(rèn)真學(xué)習(xí)一下,就能具備基本的知識,同時(shí)也能具備一些對抗計(jì)算機(jī)病毒能力,最大限度的保護(hù)自己的網(wǎng)絡(luò)安全。
1 計(jì)算機(jī)病毒的概述
1.1 概念
一般來講,計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的對計(jì)算機(jī)的性能和數(shù)據(jù)造成破壞,進(jìn)而影響計(jì)算機(jī)的正常使用并且具有自我復(fù)制功能的指令或者程序代碼?!吨腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確規(guī)定:病毒指在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒旳實(shí)質(zhì)是一組人為的程序或代碼,具有很強(qiáng)的破壞性、傳染性和自我復(fù)制性。
1.2 計(jì)算機(jī)病毒的特點(diǎn)
首先,計(jì)算機(jī)病毒具有很強(qiáng)的自我復(fù)制性,能夠隨著軟件、程序的運(yùn)行而不斷進(jìn)行自我繁殖和復(fù)制,這也是判斷計(jì)算機(jī)病毒的一個(gè)基本標(biāo)志。其次,計(jì)算機(jī)病毒本身具有很強(qiáng)的傳染性,計(jì)算機(jī)病毒會通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī),如果一臺電腦被感染而沒有得到及時(shí)處理,病毒就會通過各種途徑和方式感染另一臺電腦。
第三,計(jì)算機(jī)病毒具有很強(qiáng)的破壞性,輕則導(dǎo)致數(shù)據(jù)的丟失和程序的不正常運(yùn)轉(zhuǎn),重則導(dǎo)致機(jī)器癱瘓、系統(tǒng)損壞,這也是病毒編制者所欲達(dá)到的目的。第四是潛伏性,即病毒會潛伏在電腦一段時(shí)間,當(dāng)條件具備時(shí)會自動開啟,破壞電腦,而且還可以設(shè)定破壞的目標(biāo)。第五,計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性,一般的病毒可以檢測出來,但是有一些卻檢測不出來,變化很多。
1.3 計(jì)算機(jī)病毒的分類
根據(jù)病毒破壞性的大小分為良性病毒和惡性病毒。良性病毒是指只是為了顯示自己的存在但并不對計(jì)算機(jī)造成任何破壞的病毒,這種病毒具有一般病毒的其他特點(diǎn),但是具有很小的破壞性。惡性病毒是指以破壞數(shù)據(jù)或系統(tǒng)為目的的病毒,一般帶有很強(qiáng)的破壞性,有的雖然不破壞數(shù)據(jù)或系統(tǒng),但是占用大量系統(tǒng)資源甚至導(dǎo)致死機(jī)現(xiàn)象。引導(dǎo)扇型病毒:一般出現(xiàn)在DOS的引導(dǎo)過程,開機(jī)時(shí)啟動。它不以文件的形式存在磁盤上,沒有文件名或命令顯示,具有極高的隱蔽性。
引導(dǎo)型病毒通常分為兩部分:第一部分放在磁盤引導(dǎo)扇區(qū)中;另一部分和原引導(dǎo)記錄放在磁盤上連續(xù)幾個(gè)簇中,其位置一般放在第一部分中。各類引導(dǎo)型病毒引入存儲過程大致相同。它們都要修改內(nèi)存可用空間的大小,都植入內(nèi)存的高端,并在內(nèi)存高端為病毒傳播留出工作空間,否則在運(yùn)行其它程序時(shí)可能被覆蓋;都要修改中斷向量表,以便將來有機(jī)會占領(lǐng)CPU,否則即使在內(nèi)存也如同冬眠一樣,不能進(jìn)行傳播和破壞。文件型病毒,也被稱為外殼型病毒。
這種病毒主要存在于文件擴(kuò)展名為.COM和.EXE等的可執(zhí)行文件的頭部和尾部。只要運(yùn)行所在程序,病毒就會被激活,同時(shí)又傳染到其他文件上,而且病毒會控制相關(guān)程序。深入型病毒是一種比較復(fù)雜的病毒,也被稱之為混合型病毒,具有引導(dǎo)區(qū)病毒和文件型病毒兩種特征,二者相互促進(jìn)共同進(jìn)行傳染,所以傳播范圍比較廣、清除難度大。
2 計(jì)算機(jī)病毒的檢測
2.1 一般檢查步驟
首先是進(jìn)程選項(xiàng),這是第一個(gè)排查對象。開機(jī)后在不啟動任何程序的前提下打開任務(wù)管理器,查看一下是否存在可疑進(jìn)程;其次查看系統(tǒng)進(jìn)程的路徑是否正確。如果進(jìn)程都正確則查看是否有可疑線程注入正常程序。進(jìn)程排查完畢后開啟自啟動項(xiàng)目的排查。首先用msconfig察看是否有可疑的服務(wù),切換到服務(wù)選項(xiàng)卡,勾選“隱藏所有Microsoft服務(wù)”復(fù)選框,然后逐一確認(rèn)剩下的服務(wù)是否正常;
第二步:用msconfig察看是否有可疑的自啟動項(xiàng),只要切換到啟動選項(xiàng)卡進(jìn)行排查即可;最后,用Autoruns查看更詳細(xì)的啟動項(xiàng)信息。第二步開始檢查網(wǎng)絡(luò)連接,ADSL用戶可以嘗試使用虛擬撥號進(jìn)行連接,之后用用冰刃的網(wǎng)絡(luò)連接查看有無可疑連接。第四步可以選擇安全模式安全模式開啟電腦,如果無法正常進(jìn)入則可能存在病毒問題,第五,映像劫持:打開注冊表編輯器,查看有沒有可疑的映像劫持項(xiàng)目,如果存在可疑項(xiàng)則電腦很有可能中毒。最后,CPU時(shí)間也是機(jī)器是否中毒的一個(gè)重要標(biāo)志??梢酝ㄟ^開機(jī)后系統(tǒng)運(yùn)行時(shí)間作參考,CPU運(yùn)行時(shí)間則是一個(gè)很好的參照。
2.2 具體方法
(1)特征代碼法。主要用來判斷文件是否感染病毒,要求兌現(xiàn)關(guān)軟件進(jìn)行不斷的更新以適應(yīng)要求。特征代碼法主要運(yùn)用了比較法、分析法和掃描法。
(2)檢驗(yàn)和法。通過計(jì)算正常文件內(nèi)容校驗(yàn)和,將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。使用文件前通過對比前后檢驗(yàn)和來確定文件是否感染病毒。它的弊端是不能識別病毒種類和病毒名稱,而且還會影響文件的運(yùn)行速度,出現(xiàn)錯(cuò)誤示警。
(3)行為監(jiān)測法。這種方法主要利用病毒的特有行為特性來判斷是否存在病毒。每種病毒都會有自己獨(dú)一無二的特性,這種方法正好充分利用了這一點(diǎn)。這種方法具有很強(qiáng)的優(yōu)勢,即對許多未知病毒都能夠有效發(fā)現(xiàn),但缺點(diǎn)是不能識別病毒名稱,實(shí)現(xiàn)起來有一定的難度。
(4)軟件模擬法。主要是利用相關(guān)軟件來模式和分析程序的運(yùn)行狀況,確定有無病毒。