计算机病毒分析论文
计算机病毒分析论文
伴随着科技日新月异的发展推动着社会在不断的进步,人们的生活水平也逐渐提高。计算机迅速地普及更是给我们的学习、生活以及工作都带来了翻天覆地的变化;当然,所有的事物都是有两面性的。计算机带给我们带来方便的同时,也给我们带来了安全问题。下面是学习啦小编为大家整理的计算机病毒分析论文,供大家参考。
计算机病毒分析论文范文一:网络环境下计算机病毒的防治
计算机病毒的种类是非常复杂的,根据传染方式的不同可以分为引导区型、文件型、混合型以及宏病型,根据连接方式的不同可以分为源码性、入侵型、操作性以及外壳型,这些病毒具有不同的传播途径,通过软盘、硬盘、文档、源程序、操作系统等破坏计算机的系统。
1网络环境下计算机病毒的特点
1.1传播范围大、速度快
如果计算机处无网络连接的情况下,病毒的传播范围很有限,一般以磁盘为媒介,但是在网络环境中,病毒可以选择更多传播渠道进行扩散,扩散范围非常广,在短时间内多地多部计算机会同时遭受感染。由于人们对网络的需求比较大,越来越多的病毒都通过网络进行非常快速传播,数小时内便可以传遍全球,而且病毒往往没有潜伏期,一旦感染,即可作用。
1.2传播方式多、渠道广
在一般情况下,网络环境中的病毒以“工作站-服务器-工作站”的途径进行传播,但是,随着网络技术的进一步发展,计算机病毒的传播方式也越来越多、渠道也越来越广。比如某一种病毒可以在几十天内产生五十多种变种,并通过浏览网页、下载文件、发送邮件等方式进行传播,隐蔽性极高,普通用户很难察觉,在对外交流的过程中加剧了病毒的传播感染。
1.3破坏性严重、难控制
网络环境下计算机病毒一个很重要的特征是破坏性强。计算机病毒往往融合着不同的技术,计算机一旦感染病毒,系统资源会被侵占,计算机系统就会受到严重破坏,干扰计算机的正常工作,降低运作功能,甚至会造成信息的丢失,用户资料可能被窃取,造成损失。
1.4清除难度大
计算机病毒的隐蔽性比较强,在单机状况下可以通过删除文件、格式化硬盘等方式进行解决,但是,在网络环境中,只要其中一台计算机中还存在病毒,其他的计算机就有再次被感染的风险,但是,对于整个网络而言,病毒清除的难度是显而易见的。再加上计算机病毒传播的速度快,根本来不及采取措施,即使将整个网络关闭,带来的损失远远超过病毒本身。
1.5黑客程序功能与挂马式传播
网络技术在不断发展,计算机病毒技术也在发展,它不仅能够通过自我复制感染计算机程序,同时还具有黑客程序功能,病毒的控制者能够利用病毒对感染病毒的计算机进行控制,同时,病毒也能够被植入网站中,一旦用户浏览感染病毒的网站,计算机就会感染病毒,在窃取用户信息的同时给用户造成损失。
2网络环境下计算机病毒的防治措施
网络环境中,计算机的发展给人们带来了生活的便利,与此同时,计算机也越来越容易受到病毒的影响,为了能够有效保护计算机的安全,就必须要采取相应的防治措施:
2.1加强用户计算机病毒的防护意识
防止计算机病毒的入侵比病毒侵入后进行消除更容易,因此,要努力将病毒隔绝在外。这就要求用户牢固树立病毒防范的意识,加强对计算机使用者的思想教育,提高他们对于计算机病毒危害性的认识,从根本上重视病毒的防护,进而养成自觉的意识,提高警惕,维护计算机的安全。要在计算机上安装正版的杀毒软件以及防火墙,并及时升级到最新版本;要加强对计算机系统以及软件的更新,并安装相应补丁程序;不要随意浏览不安全的网站,不要随意点开不明或者可疑的文件或者程序;要养成定时备份重要数据的习惯,养成良好的使用计算机习惯,掌握必要的相关技能。
2.2完善快速预警防范机制势在必行
计算机病毒跟随着计算机而来,事实上计算机病毒本身并不难解决,但是,对于全社会而言,无法彻底的杜绝病毒,在这种形势下,建立健全快速预警防范机制势在必行。快速预警防范机制的建立需要政府以及计算机病毒防范行业、广大用户的配合,通过预警机制的建立,能够及时发现入侵计算机的病毒,当系统漏洞、攻击代码被发现时,用户能够及时捕获病毒,随后就需要政府和行业管理部门的配合,及时向用户发出警报,反病毒厂商及时提供相应的解决措施。如果病毒在较大范围内感染计算机,各相关部门便可以协作队用户进行救助。在建立快速预警机制的过程中,还需要具有专业素质的人员和技术的支持,有效对计算机病毒进行防治和管理。
2.3执行严格的计算机病毒防治技术
在思考计算机病毒防治时,制定并执行严格的防治技术规范是十分必要的,要通过相应的技术规范提高计算机病毒防治的有效性。要加强对计算机病毒的检测,要建立完善的监测机制,利用病毒的特有行为对各种病毒进行严格的监控和检测,并定期进行整理和统计;要发展特征代码技术,通过防毒软件对计算机病毒码进行剖析,并形成病毒码资料库,在计算机开启式以扫描的方式与资料库内的病毒码进行对比,以便及时发现病毒;要实现校验技术,针对依附于文档程序的病毒,要在安装防毒图案件时对计算机内的文档程序进行汇总记录,对正常文件进行校验并保存,使用文件前,通过与原来文件进行校验明确是否感染病毒。
2.4建立多层次、立体的计算机病毒防护体系
在复杂的网络环境下,计算机病毒的防护不仅仅限于单个计算机个体,而是针对整个网络,因此,必须要以网络整体为立足点,建立多层次、全面立体的防护网络,对病毒进行相应的检测和清除,这样才能有效的防止病毒的蔓延。建立整个网络的防护体系的第一步是加强对局域网安全的重视,在局域网内建立病毒防控体系,形成比较完整的立体的防治病毒的策略,对数据的输入输出、服务器的保护、文件完整性的保护、检验等等;同时,在建立防护体系时,还要充分考虑病毒的危害性和防护的实际能力,这样才能保证防护体系的完善。
2.5加强对计算机数据备份系统的管理
网络环境下的病毒防治工作是一项浩大的工程,很多时候,病毒不能得到及时的清除,会对计算机内的信息进行破坏,因此,要加强对数据备份系统的管理,这样能够在计算机受到病毒侵袭时有效的保护相关数据,并及时进行数据恢复,将病毒侵袭的危害性降到最低。
计算机病毒分析论文范文二:计算机病毒防范研究
一、重写病毒是不能从系统中彻底删掉的
只能删掉被感染的文件,然后再从备份介质恢复。一般来说,重写病毒不是非常成功的威胁,因为病毒造成的威胁明显太容易被发现了。然而,这种病毒效果如果基于网络的传播技术结合起来,可能产生很大的威胁,比如:VBS/LoveLetter.A@mm通过群发邮件把病毒发送到其他系统中,当该病毒执行时,它会用自己的拷贝重写本地所有下面扩展名的文件:.vbs,.vbe,.js,.css,.wsh,.sct,.gta,.jpg,.jpeg,.wav,.txt,.gif,.doc,.htm,.html,.xls,.ini,.bat,.com,.avi,.mpg,.mpeg,.cpp,.c,.h,.swd,.psd,.wri,.mp3,.and,.mp2等。重写技术的另一种罕见形式是不改变文件顶部的代码,而是在宿主文件中随机找一个位置把自己写进去。显然,这种病毒不太可能获得控制权,它通常会导致宿主在执行到病毒代码之前就崩溃了。这种病毒的例子是俄罗斯的Omud。现在的反病毒扫描程序会为了提高性能而减少磁盘I/O,因此如果可能的话,只查找已知的位置。扫描器在查找随机重写病毒时有一定的问题,因为扫描器必须搜索宿主程序的全部内容,这种操作的I/O开销太大了。有些比较简单的而病毒并不主动驻留在内存中,最先感染IBMPC的文件感染类型病毒Virdem和Vienna就是这样,通常,直接感染型病毒的传播速度比较慢,传播范围也比较窄。直接感染型病毒随着宿主程序一起装入内存中。在取得系统控制权后,他们以搜索新文件的方式搜索可能感染的对象。很多常见的计算机病毒都使用直接感染方式的传播引擎,这种病毒在各个平台都很容易构造,无论是二进制还是脚本形式。历史上曾经有过这样的例子。Borland公司在DOS环境下开发的Quattrospreadsheet系统的第一个版本是全部使用Hungary汇编语言开发的。在系统的开发过程中发生了意见非常有趣的事情。有时候,系统命名在执行一个循环,可是系统的实际流程和控制流程的期望值刚好相反。代码本身并没有什么错误,因此通过阅读代码的方式根本不可能解释发生这种现象的原因。最后发现产生这个错误的原因是因为一个时钟程序偶尔会改变系统的执行流程,原因是时钟程序改变了方向标记,而有时又忘记恢复这个标记,结果,时钟程序五一地破坏了spreadsheets系统的内容,当然它也会对其他程序造成破坏。这个具有破坏性的时钟程序就是一个TSR程序。病毒采用各种方式入侵电脑程序和服务器程序,大部分电脑书籍对病毒检测的讨论都停留在相当浅的层次上,就连一些比较新的书都把防毒扫描器描述为“在文件和内存中检索病毒特征字节序列的普通程序”。这种说法所描述的当然是最流行的计算机病毒检测方法之一———这种方法也很有效,但当今最先进的防毒软件使用了更多出色的方法检测仅用第一代扫描器无法对付的复杂病毒。例如:字符串扫描、通配符扫描、不匹配字节数、通用检测法、书签、首位扫描、入口点固定点扫描等等。随着时代的进步第二代扫描器也随之来临,第二代扫描器采用近似精确识别法(nearlyexactidentification)和精确识别法(exactidentifica-tion),有助于提高对计算机病毒和恶意程序的检测精度。第二代扫描器同样包括很多种方式,例如:智能扫描、骨架扫描法、近似精确识别法和精确识别法等。扫描技术的多样性清楚地表明:给予对一只病毒的识别能力来检测病毒是多么困难。因此,看来采取更为通用的方法———如给予文件和可执行对象的完整性来检测和预防病毒对其内容的篡改———可以更好的解决病毒检测这个问题。手工启动型完整性扫描工具需要使用一个校验和数据库,该数据库要么在受保护的系统中生成的,要么是一个远程在线数据库。完整性检查工具每次检查系统中是否有新生成对象,或者是否有任何对象的校验值发生变化,都用到该数据库。通过检验出新的或发生了变化的对象,显然最容易发现病毒感染及系统受到的其他侵害。然而,这种方法也有很多缺点,例如:
(1)虚警;
(2)要有干净的初始化状态,而实际上不一定会有这么一个状态;
(3)速度。完整性检查通常很慢;
(4)特殊对象。工作需要懂得一些特殊对象;
(5)必须有对象发生改变等等。还有一些方案试图基于应用程序的行为来阻断病毒传染。最早的反病毒软件之一FluShot就是属于这一类病毒防护方案。如果一个应用程序以写入模式打开了可执行文件,则阻断工具就会显示一条警告,要求用户授权写操作。不幸的是这种低级别时间可能会引起太多的警告,因而阻断工具受用户欢迎的程度常常还不如完整性检测工具。而且,不同类型的计算机病毒的行为可能差异很大,因而可能导致感染的行为模式数量有无穷多种。
二、结语
由于WindowsNT的内存管理器会回收未使用分界面,而内存中页面只有当被访问的时候才会被读取,因此内存扫描的速度大体上取决于内存的大小,一台计算机的内存越大则内存扫描器的速度就会越快———如果计算机拥有的物理内存非常有限,则页面错误数量将会大很多。每当SCANPROC.EXE对所有运行中的进程扫描时,这些进程的内存会明显提高。对于病毒的防范也更加规范。
计算机病毒分析论文相关文章: