淺談計算機病毒研究的論文

　　計算機病毒隨著網際網路的出現,變得越來越氾濫,各種新型的病毒層出不窮,如果使用者不注重對病毒的防範,就很容易讓計算機被病毒入侵,給自己帶來巨大的損失。下面是小編為大家整理的，供大家參考。

　　篇一

　　計算機病毒防範藝術研究

　　摘要:隨著網路的快速興起，計算機領域有了全新的前景。但是，隨之而來的還有各種讓人防不勝防的病毒，本文主要就計算機病毒為研究物件，分析病毒的傳播以及防範病毒的措施。

　　關鍵詞:計算機;病毒;防範

　　何為病毒，對於病毒，我們所瞭解的只是破壞計算機環境的軟體。為了深刻地理解計算機病毒，最重要的步驟之一，就是要了解病毒執行所需要的特定執行環境。理論上，對於任何給定的符號序列，我們都可以定義一個環境，該序列號可以在其中進行自我複製。在實際操作中，我們必須能夠找到這樣的環境，在此環境中符號序列可以執行，並證明它的確利用自身程式碼進行自我複製，並且遞迴的複製下去。只有當惡意程式碼所依賴的各種條件與可能的環境相匹配的時候，病毒程式碼才能夠成功地滲透系統。完美的惡意程式碼常見環境是很難用二維的形式畫出來的。大部分計算機病毒是以可執行的、二進位制的形式***又稱作編譯過的形式***進行傳播的。例如:引導區病毒將自己的程式碼複製到一個或幾個扇區中，並接管計算機的引導順序。

　　在最早有記錄的計算機病毒事件中，AppleII上的ElkCloner就是一個引導區病毒。Elkcloner修改了載入的作業系統，加入了一個和自己關聯的鉤子***hook***，就這樣ElkClo-ner攔截了磁碟的訪問，利用其自身程式碼的拷貝覆蓋新插入的磁碟的系統引導扇區來感染新插入的磁碟。Brain是最早知道的PC上的計算機病毒。還有另外一種形式的病毒是CPU依賴型病毒，當某一特定的處理器對其之前版本並不是100%的向下相容，而且對之前版本的特性並不是很好的支援或是完全不支援的時候，便會發生這種情況。有些病毒只是從磁碟上找一個檔案，然後簡單的用自己的拷貝改寫該檔案。當然，這是一種非常初級的而技術，不過確實是最為簡單的方法。如果這種簡單的病毒重寫磁碟上所有檔案的話，可能造成很大的破壞。重寫病毒是不能從系統中徹底刪掉的，只能刪掉被感染的檔案，然後再從備份介質恢復。一般來說，重寫病毒不是非常成功的威脅，因為病毒造成的威脅明顯太容易被發現了。然而，這種病毒效果如果基於網路的傳播技術結合起來，可能產生很大的威脅，比如:VBS/LoveLetter.A@mm通過群發郵件把病毒傳送到其他系統中，當該病毒執行時，它會用自己的拷貝重寫本地所有下面副檔名的檔案:.vbs，.vbe，.js，.css，.wsh，.sct，.gta，.jpg，.jpeg，.wav，.txt，.gif，.doc，.htm，.html，.xls，.ini，.bat，，.avi，.mpg，.mpeg，.cpp，.c，.h，.swd，.psd，.wri，.mp3，.and，.mp2等。重寫技術的另一種罕見形式是不改變檔案頂部的程式碼，而是在宿主檔案中隨機找一個位置把自己寫進去。顯然，這種病毒不太可能獲得控制權，它通常會導致宿主在執行到病毒程式碼之前就崩潰了。

　　這種病毒的例子是俄羅斯的Omud。現在的反病毒掃描程式會為了提高效能而減少磁碟I/O，因此如果可能的話，只查詢已知的位置。掃描器在查詢隨機重寫病毒時有一定的問題，因為掃描器必須搜尋宿主程式的全部內容，這種操作的I/O開銷太大了。有些比較簡單的而病毒並不主動駐留在記憶體中，最先感染IBMPC的檔案感染型別病毒Virdem和Vienna就是這樣，通常，直接感染型病毒的傳播速度比較慢，傳播範圍也比較窄。直接感染型病毒隨著宿主程式一起裝入記憶體中。在取得系統控制權後，他們以搜尋新檔案的方式搜尋可能感染的物件。很多常見的計算機病毒都使用直接感染方式的傳播引擎，這種病毒在各個平臺都很容易構造，無論是二進位制還是指令碼形式。歷史上曾經有過這樣的例子。Borland公司在DOS環境下開發的Quattrospreadsheet系統的第一個版本是全部使用Hungary組合語言開發的。在系統的開發過程中發生了意見非常有趣的事情。有時候，系統命名在執行一個迴圈，可是系統的實際流程和控制流程的期望值剛好相反。程式碼本身並沒有什麼錯誤，因此通過閱讀程式碼的方式根本不可能解釋發生這種現象的原因。最後發現產生這個錯誤的原因是因為一個時鐘程式偶爾會改變系統的執行流程，原因是時鐘程式改變了方向標記，而有時又忘記恢復這個標記，結果，時鐘程式五一地破壞了spreadsheets系統的內容，當然它也會對其他程式造成破壞。這個具有破壞性的時鐘程式就是一個TSR程式。

　　病毒採用各種方式入侵電腦程式和伺服器程式，大部分電腦書籍對病毒檢測的討論都停留在相當淺的層次上，就連一些比較新的書都把防毒掃描器描述為“在檔案和記憶體中檢索病毒特徵位元組序列的普通程式”。這種說法所描述的當然是最流行的計算機病毒檢測方法之一———這種方法也很有效，但當今最先進的防毒軟體使用了更多出色的方法檢測僅用第一代掃描器無法對付的複雜病毒。例如:字串掃描、萬用字元掃描、不匹配位元組數、通用檢測法、書籤、首位掃描、***點固定點掃描等等。隨著時代的進步第二代掃描器也隨之來臨，第二代掃描器採用近似精確識別法***nearlyexactidentification***和精確識別法***exactidentifica-tion***，有助於提高對計算機病毒和惡意程式的檢測精度。第二代掃描器同樣包括很多種方式，例如:智慧掃描、骨架掃描法、近似精確識別法和精確識別法等。掃描技術的多樣性清楚地表明:給予對一隻病毒的識別能力來檢測病毒是多麼困難。因此，看來採取更為通用的方法———如給予檔案和可執行物件的完整性來檢測和預防病毒對其內容的篡改———可以更好的解決病毒檢測這個問題。手工啟動型完整性掃描工具需要使用一個校驗和資料庫，該資料庫要麼在受保護的系統中生成的，要麼是一個遠端線上資料庫。完整性檢查工具每次檢查系統中是否有新生成物件，或者是否有任何物件的校驗值發生變化，都用到該資料庫。通過檢驗出新的或發生了變化的物件，顯然最容易發現病毒感染及系統受到的其他侵害。然而，這種方法也有很多缺點，例如:***1***虛警;***2***要有乾淨的初始化狀態，而實際上不一定會有這麼一個狀態;***3***速度。完整性檢查通常很慢;***4***特殊物件。工作需要懂得一些特殊物件;***5***必須有物件發生改變等等。還有一些方案試圖基於應用程式的行為來阻斷病毒傳染。

　　最早的反病毒軟體之一FluShot就是屬於這一類病毒防護方案。如果一個應用程式以寫入模式打開了可執行檔案，則阻斷工具就會顯示一條警告，要求使用者授權寫操作。不幸的是這種低級別時間可能會引起太多的警告，因而阻斷工具受使用者歡迎的程度常常還不如完整性檢測工具。而且，不同型別的計算機病毒的行為可能差異很大，因而可能導致感染的行為模式數量有無窮多種。由於WindowsNT的記憶體管理器會回收未使用分介面，而記憶體中頁面只有當被訪問的時候才會被讀取，因此記憶體掃描的速度大體上取決於記憶體的大小，一臺計算機的記憶體越大則記憶體掃描器的速度就會越快———如果計算機擁有的實體記憶體非常有限，則頁面錯誤數量將會大很多。每當SCANPROC.EXE對所有執行中的程序掃描時，這些程序的記憶體會明顯提高。對於病毒的防範也更加規範。

　　參考文獻:

　　[1]PeterSzor，“TheNew32-bitMedusa，”VirusBulletin，December2013，pp.8-10.

　　篇二

　　計算機病毒程序隱藏思考

　　在計算機技術飛速發展的今天，計算機病毒作為影響計算機系統正常執行的主要因素之一，其不斷演變發展已讓眾多計算機系統遭受癱瘓和失控的危害。計算機病毒的隱藏性增加了人們發現和消除病毒的難度，但技術人員往往可以通過檢視系統中的活動程序來發現潛在的計算機病毒，在其傳染和潛伏過程中主動進行分析和處理，避免更多計算機系統遭受病毒破壞。

　　1計算機病毒基本概念和特徵

　　在已知的計算機病毒中，只有少部分病毒不帶有惡意攻擊，絕大多數病毒都會攜帶致命的有毒程式碼，在一定環境下破壞計算機系統。計算機病毒具有以下特徵。***1***隱蔽性。病毒程序總是會通過某些外來程式或網路連結感染計算機系統，使用者往往毫不知情。而等到病毒效應發作，就會帶來嚴重的後果。***2***傳播性。計算機病毒具有很強的傳染和繁殖能力，導致計算機一旦感染，就會立刻發作，顯示出系統無法識別的錯誤。其傳播途徑廣泛，可以通過U盤、網路連線等完成自動侵入。***3***潛伏期較長。一般情況下，計算機病毒程序可以在系統中長期潛伏而不發作，需要滿足一定的外部激發條件，才能攻擊計算機系統。***4***破壞性強。計算機病毒一旦發作，計算機系統就會遭受嚴重的破壞，首先計算機系統不再受使用者控制，導致資料丟失，檔案損壞，系統癱瘓，使用者容易洩露計算機中的隱私資訊，造成巨大的困惑和麻煩。***5***針對性明確。計算機病毒程序的開發，往往具有明確的針對性，其可以在使用者的某次動作後，實施環境啟動，並開始攻擊目標物件。

　　2計算機病毒在程序中的產生執行狀態

　　2.1無線電傳播

　　無線電傳播是通過無線電將計算機病毒程序發射到計算機系統中。主要可能的渠道包括通過發射機的無線發射，病毒直接由接收機器處理和盲點複製到整臺裝置中;計算機病毒偽裝成合法的程度程式碼，通過規範的標準協議和資料格式，同其他合法訊號一同進入接收裝置;病毒還能通過不斷尋找接收裝置中安全防護等級薄弱的點射入資料鏈路中，迅速進行非法繁殖，成功感染裝置。

　　2.2硬體連線傳播

　　計算機病毒通過感染便於攜帶的硬碟和軟體等，通過這些硬體裝置與計算機的連線，直接傳染到計算機系統中。需要動作時，只需等待程序啟用就能達到破壞的目的。

　　2.3利用計算機漏洞

　　後門是計算機安全系統的一個漏洞，病毒經常以攻擊後門的形式破壞計算機系統。攻擊後門的形式較多，如控制電磁脈衝，將病毒注入目標系統。

　　2.4遠端修改資料鏈路

　　計算機病毒可以通過使用遠端修改技術，利用計算機系統資料鏈路層的控制功能完成入侵。病毒程序能完整地隱藏在計算機作業系統的正常程序序列中，並在系統啟動執行過程中全面執行。

　　3計算機病毒程序隱藏方式

　　3.1冒充正常程序

　　計算機系統中，常見的程序主要有：explorer.exe，winlogon.exe，svchost.exe，ieplore.exe等。但有時點選程序序列，能發現諸如explore.exe，winlogin.exe，svch0st.exe，ieplorer.exe的程序，看似屬於正常程序，實際已被病毒侵染。這些程序可以迷惑使用者，通過修改某些字母來更改自身的檔名稱，使其近似於正常程序，若使用者不注意，很難對這些細微變化做出反應，這樣情況下，計算機病毒就入侵成功。

　　3.2盜用正常程序名

　　第一種情形，很多細心的使用者能很快發現並手動刪除。於是，病毒製造者更新了隱藏病毒的方法。如將程序名稱改成與正常程序一致。其利用計算機的“工作管理員”無法對一切可執行的檔案進行一一檢視的設計缺陷，加大了計算機中毒的風險。

　　3.3強行插入程序

　　有些病毒程式能將病毒執行必需的dll檔案利用程序插入技術，在正常程序序列中插隊排列。一旦插入，計算機系統就宣告中毒，只有藉助專業的自動檢測工具才能找到其中深藏的計算機病毒程序。

　　4計算機病毒在程序中的隱藏處理

　　4.1explorer.exe

　　此程序是我們常用到的“資源管理器”，作用是管理計算機中的一切資源。常見的被冒充的程序名有：iexplorer.exe，expiorer.exe，explore.exe，explorer.exe等。如果在“工作管理員”中關閉explorer.exe程序，計算機桌面及工作列和當前開啟的檔案都會消失不見。但當依次單擊“工作管理員—檔案—新建任務”後，輸入explorer.exe，就會重新顯示消失的畫面。總體來講，正常的explorer.exe程序採取的是系統預設值，啟動隨系統一起進行，在“C：\Windows”目錄路徑下，能找到其對應的可執行檔案。一旦不符合上述條件則是病毒程序。

　　4.2spoolsv.exe

　　spoolsv.exe程序作為系統列印服務“PrintSpooler”所對應的可執行程式，其作用是管理與計算機關聯的所有本地和網路列印佇列的列印工作。其常被幹擾病毒冒充和頂替的程序名有：spoo1sv.exe，spolsv.exe，spoolsv.exe等。如果停用“PrintSpooler”服務，計算機所有關聯的列印功能將不能正常執行，同時，點開程序列表發現spoolsv.exe程序也消失不見。如果安裝計算機後需要印表機裝置，那麼，為節省計算機系統資源，可以把“PrintSpooler”服務關閉掉。停止並關閉“PrintSpooler”服務後，如果發現系統程序中還存在spoolsv.exe程序，那就可以肯定該程序是病毒程序偽裝的。

　　5結語

　　計算機病毒雖然在程序中能進行很好的偽裝隱藏，但只要多加留意，認真檢查就能及時清除病毒。使用者在檢查計算機系統程序時，可根據兩點來及時判斷隱藏的可疑病毒程序：第一是觀察核實不確定的程序檔名;二是檢查正在執行的程序對應執行的檔案路徑。通過上述方法，能及時發現並處理隱藏在計算機系統程序中的病毒，從而有效確保使用者的計算機系統安全執行。

　　篇三

　　計算機病毒傳播防範

　　1引言

　　在對計算機產生安全隱患的各類因素中，計算機病毒的潛在危害是十分大的。隨著中國對外開放程度的增大和計算機進出口貿易的開展，國際上的計算機病毒也越來越多地流入中國。計算機病毒的危害十分廣泛，可以對資訊系統的安全造成危害，使計算機系統不能正常執行。比如，計算機病毒會造成自動櫃員機的混亂，使航班延誤甚至出現重大事故，延誤或截斷警務部門的報警訊號，嚴重危害人民的財產和生命安全。計算機使用者應當加深對計算機病毒的認識，要深刻理解計算機病毒的特點和傳播方式，對計算機病毒的傳播開展一系列必不可少的防範措施，以便減少計算機病毒對計算機的感染機會。

　　2加深對計算機病毒的認識計算機病毒的特點

　　1***計算機病毒具有傳染性。傳染性是病毒最基本的特徵，計算機病毒能夠自動複製，並將所複製的病毒傳播到計算機的其他程式上或者未被感染的計算機上。病毒在複製、傳染過程中有可能會發生變種，導致病毒的危害力和傳染速度均大大增加，嚴重時甚至會造成計算機癱瘓。

　　2***計算機病毒具有破壞性。破壞性是計算機病毒最直接的表現，當計算機感染病毒後，病毒會洩露使用者資訊和隱私，還會使計算機系統不能正常執行，甚至會導致系統的崩潰。

　　3***計算機病毒具有隱蔽性。計算機病毒的存在十分隱蔽，一般存在於計算機正常程式中，通過計算機防病毒軟體可以將一部分病毒檢查出來，但是還有相當部分的病毒不能被檢查出來。

　　4***計算機病毒具有寄生和潛伏性。寄生和潛伏性是計算機病毒產生危害的基本保證，計算機病毒通過寄生存在於電腦程式中，並且為了儘可能地隱蔽，一般都會潛伏，在一開始感染時不會發作。

　　5***計算機病毒具有可觸發性。計算機病毒不可能一直處於潛伏的狀態，否則便失去存在的意義。當病毒自我複製的數量達到一定規模時或者滿足某種觸發機制時，就會大規模擴散，對計算機產生破壞。計算機病毒的產生原因計算機病毒在一開始產生時，最主要的就是軟體開發商用來保護版權。軟體開發商為了保護自己的利益，會在開發的產品中植入另外設計的程式，來防止使用者非法傳播自己的軟體。

　　有些計算機愛好者，他們憑藉自身對軟硬體的瞭解，編制特殊的程式，向人們炫耀和展示自己的才智。還有些懷有報復心理的人，故意製造並傳播病毒，使得這種病毒比其他途徑產生的病毒具有更大的危險性。此外，某些軍事、政府或研究祕密專案等的組織或個人為達到特殊目的，對政府機構、單位的系統進行暗中破壞，竊取機密檔案或資料。總之，計算機病毒是社會資訊化的必然產物，是計算機犯罪的一種形式。由於它的風險比較小，卻具有非常大的破壞性，並且不易取證，這些特點都刺激了犯罪意識和犯罪活動。由於計算機病毒總是在時刻變化，會產生以前沒有的新型病毒。當計算機產品軟硬體本身具有不安全性和脆弱性時，也會導致計算機病毒的產生。

　　3計算機病毒的傳播和防範措施

　　計算機病毒的傳播方式計算機病毒的傳播途徑有很多種，可以將它們分為依靠裝置傳播和依靠網路傳播兩大類。計算機病毒的裝置傳播主要是靠U盤、硬碟、光碟等進行，這些裝置是計算機使用者最經常使用的儲存和讀取裝置，可以用於不同計算機之間進行資訊的交換和傳遞，在無形當中為病毒的傳播提供了便利的條件，增加了計算機感染病毒和傳播病毒的機會。計算機病毒的網路傳播方式是依靠網際網路、區域網和無線傳播三種方式。隨著計算機技術的迅速發展，越來越多的人們使用網路實現資訊的快速傳遞，為學習、工作和生活帶來極大的便利。

　　在使用網際網路的過程中，人們會進行瀏覽網頁、傳送***和下載軟體等活動，通過網路下載的檔案中或者通過***和其他通訊工具之間傳遞的資訊很有可能含有計算機病毒，會引起計算機病毒的廣泛傳播。比如，有些網路論壇有很高的訪問量，由於網路論壇缺乏必要的管理，論壇上釋出的一些檔案或者程式的安全性得不到保證，為病毒的傳播提供了便利條件。計算機病毒的防範措施在網路時代，計算機病毒日益氾濫，威脅系統資源，對於那些通過網路進行傳播的病毒，能以迅雷不及掩耳之勢使計算機整個網路癱瘓，造成巨大的損失。

　　因此，防止計算機病毒的侵入具有十分重要的意義。可以針對計算機病毒的傳播方式，制定相應的措施來對計算機病毒進行防範。首先，對於計算機病毒的防範，最基本的就是要做到以預防為主、防毒為輔。在使用計算機過程中，及時備份需要的檔案和升級病毒防護體系。對廣大計算機使用者來說，使用不含有病毒的軟盤啟動計算機系統，可以避免受到引導性病毒的傳染。

　　計算機使用者在使用計算機時，應當建立有效的病毒防護體系。有些網路病毒的傳播是依靠系統的安全漏洞進行的，計算機使用者應該定期下載最新的安全補丁，以防計算機病毒的出現和對計算機的破壞。一定要對計算機的作業系統進行升級，保證所有系統漏洞得到修補。要安裝質量過關的、能夠進行升級、防病毒和木馬的防毒軟體。使用者在使用計算機和網路的過程中，發現病毒要立即進行防毒，而且要經常升級防毒軟體，及時更新病毒庫，並對計算機進行全面防毒。

　　其次，使用者要時刻保持警惕。計算機病毒之所以能夠傳播，究其原因，最主要的是計算機使用者在使用計算機和網路的過程中防範意識淡薄，警惕性不高，只有當自己的計算機出現問題才意識到病毒的存在，導致那些可以避免的計算機病毒感染計算機。為了將病毒拒之千里，計算機使用者在日常使用計算機和網路的過程中，應當增強安全責任感，提高防範意識，避免存在僥倖心理，養成良好的安全習慣。

　　計算機使用者在使用電腦的過程中，養成良好的使用習慣，做到定期查毒、防毒;在使用光碟、U盤、硬碟等裝置之前必須進行病毒掃描，確保使用的安全性;上網時要開啟計算機的防火牆，不隨便登入不明網頁;來往的郵件要進行安全檢測，不隨便開啟來歷不明的***中的附件檔案;下載軟體時，要通過可靠的渠道進行;不輕易共享自己的硬碟，避免感染病毒;在往外發送檔案時，要仔細檢查檔案的安全性，確定無計算機病毒後再進行傳送。

　　只有做好防範工作，提高安全意識，才能防止由於防範不到位而出現的經濟損失。此外，相應的法律法規對計算機病毒的防治也具有十分重要的作用。政府部門應當健全相應的法律法規，充分發揮法律法規的作用，加強對計算機行業人員的職業道德教育，使他們充分認識到法律法規的強制力和約束力，避免計算機病毒的傳播，保障計算機的安全。

　　4結束語

　　隨著計算機網路的發展和應用，計算機病毒呈現出越來越多的種類，傳播的途徑越來越廣泛，廣大的計算機使用者面臨日益嚴峻的電腦保安問題。所以，採取有效措施對計算機病毒進行防範，避免遭受病毒的侵擾已經成為計算機使用者的共識。只有對計算機病毒進行合理的防範，才能使計算機的優勢得到更好的發揮，從而為廣大計算機使用者提供高效率的服務。

有關推薦：