论文部分内容阅读
21世纪是知识经济的世纪,是科学技术高速发展的世纪,随着电脑的普及,Internet的迅猛发展,网络已成为与人们的生活息息相关的主题。但是,计算机感染病毒、木马,以及黑客的入侵,常常造成资料的泄密、损坏,甚至系统的崩溃,给计算机带来严重的损害。因此,在日常生活中,我们必须懂得一些计算机病毒感染的知识,采取一些必要的防范措施对计算机进行保护。
1.病毒的定义和种类
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒可以分为系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒和捆绑机病毒等。只有正确认识和区分各种病毒的组成特征和破坏性,我们才能有效地进行反病毒技术的更新,才能保证计算机的安全。
2.计算机病毒的感染原理
不同感染途径的病毒,其感染机制也不相同。
2.1引导型病毒感染原理。
系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS引导扇区,其传染方式主要是通过使用病毒感染的软盘启动计算机而传染。
2.2文件型病毒感染原理。
可执行文件型病毒依附在可执行文件或覆盖于文件中,当病毒程序感染一个可执行文件时,病毒就会修改原文件的一些参数,并将病毒自身程序添加到原文件中。被感染病毒的文件执行时,首先执行病毒程序的一段代码,并将病毒程序驻留在内存中,以取得系统的控制权,从而完成病毒的复制和一些破坏操作。每个要被执行的程序文件都要先通过病毒“检查”是否已被感染,若未被感染则病毒感染该文件。
2.3混合型病毒感染原理。
混合型病毒不仅可以传染可执行文件,而且会传染硬盘引导区。混合型病毒先进入内存,找机会感染其它没受感染的磁盘,操作系统载入内存后,病毒再进行拦截INT 2IH,达到感染文件的目的。个别被感染的系统用Format格式化命令格式化硬盘都不能消除这种病毒。
2.4特洛伊木马、网络蠕虫、Internet语言病毒感染原理。
一些用Java、VB、ActiveX等撰写的病毒可通过网络窃取个人秘密信息或使计算机系统资源利用率下降,造成死机现象。蠕虫病毒感染的理论主要是通过主动或者被动方式进行扫描,然后利用系统漏洞侵入计算机隐藏起来等候指令,当指令出现时立刻开始感染系统并设法联系其他蠕虫节点,命令计算机接受其控制指令而大量发送其病毒指令信息包,造成网络拥堵瘫痪。病毒在计算机中还广开“后门”,造成计算机不受控制,删除计算机的文件和文档,生成大量病毒垃圾文件,造成计算机无法使用。蠕虫病毒的隐藏地点基本都在邮件中。
3.计算机病毒的诊断与分析处理
3.1计算机病毒的诊断。
如果发现计算机有疑似感染病毒的症状时,我们应该首先检查是否有异常的进程。先关闭所有的应用程序,然后右击任务栏空白区域,在弹出的菜单中选择“任务管理器”,打开“进程”标签,查看系统正在运行的进程,正常情况下系统进程应为22—28个,如果进程数目太多,就要认真查看有无非法进程或不熟悉的进程。
3.2计算机病毒的分析。
分析病毒的出现形式分为三类:有单独隐蔽的进程、服务;单独的进程、服务;无单独的进程、服务,注入一个正常的系统进程、驱动。
我们可从进程的层面入手,用Icesword,可以看到一个红色进程,然后到网上搜索,最好先备份,再将可疑的进程删除。
我们也可使用进程查看工具,如PE、Icesword、Prcview、隐藏进程管理工具等分析每一个可疑的进程,通过查看进程的属性,判断该进程的路径和服务。
从病毒层面入手,推荐使用hijackthis,对于传统的加载方式还是比较优秀的一款工具,将扫描的日志放入http://www.hijackthis.de/index.php,会自动帮助分析可疑的程序,找到病毒体,一般病毒体的关键字和它自身的服务相关联,再用Process Explorer可查找病毒体注入哪个进程里。
对于注入正常的系统进程、驱动里的病毒,我们可使用Autoruns可以分析出哪些文件注入驱动程序里,然后上网查这些文件的性质,将Option里有一项隐藏微软的登记选中,这样可以进一步减少查找的范围。
对于注入系统进程里的病毒,以DLL、SYS文件注入Explorer、IExplore等进程的情况,我们可以手动搜索硬盘上的DLL文件和SYS文件,查看其文件大小、创建、修改时间和版本等信息,判断是否可疑,对无版本信息或版本信息描述不正规的DLL文件和SYS文件尤其要关注。
3.3计算机病毒的查杀。
查杀病毒即通过停进程、删文件、删服务三步骤来完成。
3.3.1停进程。我们应首先处理容易的,必须先用Icesword、Process Explorer、Unlocker、Super Rabbit等在常规状态下停止或挂起进程的工具,否则病毒就会占用资源,无法删除。
3.3.2删文件。Unloker小巧方便,它能轻易删除十分棘手的病毒。同时,如果有些文件被某个进程占用,它会弹出一个窗口,选择解锁。对于实在不能删除的文件,如c:windowssystem32svchost.exe挂在系统层,我们可以在重新启动后删除。
3.3.3删服务,对于系统服务,我们首先要停止服务,然后删除注册表,如果注册表项不能删,要修改注册表项属性,分配权限给所有人。我们应重启到安全模式,删除对应文件,再新建同名空文件,并修改属性为只读。一般来说,我们可用Hijack来分析服务,看看有没有看起来不太熟悉的服务,也要注意那些熟悉的进程,名字是否被改动,以及进程所在的目录是否正确。
在网络安全策略之系统策略中,反病毒技术亦是网络安全一重点,只有深病毒的攻击原理,才能针对性建立起强大的防护体系,才能开发出具有杀伤力的反病毒技术,只有这样才能保证网络的安全,保證网络数据的完整性和安全性。总之,进行反病毒工作,用户不仅需要利用杀毒工具来提供一个安全的网络使用环境,而且要拥有高度的安全意识和进行系统安全设置,并及时进行病毒库、系统和其他应用程序的升级,只有这样拥有一个安全、稳定的无毒空间,才能保证网络安全性、高效性、开放性和实时性。
参考文献:
[1]高阳.计算机网络原理与应用技术.北京:电子工业出版社,2005.3.
[2]关于计算机病毒和选择杀毒软件.江民科技,http://www. jiang min.com .cn/tip/0215-8htm.
1.病毒的定义和种类
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒可以分为系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒和捆绑机病毒等。只有正确认识和区分各种病毒的组成特征和破坏性,我们才能有效地进行反病毒技术的更新,才能保证计算机的安全。
2.计算机病毒的感染原理
不同感染途径的病毒,其感染机制也不相同。
2.1引导型病毒感染原理。
系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS引导扇区,其传染方式主要是通过使用病毒感染的软盘启动计算机而传染。
2.2文件型病毒感染原理。
可执行文件型病毒依附在可执行文件或覆盖于文件中,当病毒程序感染一个可执行文件时,病毒就会修改原文件的一些参数,并将病毒自身程序添加到原文件中。被感染病毒的文件执行时,首先执行病毒程序的一段代码,并将病毒程序驻留在内存中,以取得系统的控制权,从而完成病毒的复制和一些破坏操作。每个要被执行的程序文件都要先通过病毒“检查”是否已被感染,若未被感染则病毒感染该文件。
2.3混合型病毒感染原理。
混合型病毒不仅可以传染可执行文件,而且会传染硬盘引导区。混合型病毒先进入内存,找机会感染其它没受感染的磁盘,操作系统载入内存后,病毒再进行拦截INT 2IH,达到感染文件的目的。个别被感染的系统用Format格式化命令格式化硬盘都不能消除这种病毒。
2.4特洛伊木马、网络蠕虫、Internet语言病毒感染原理。
一些用Java、VB、ActiveX等撰写的病毒可通过网络窃取个人秘密信息或使计算机系统资源利用率下降,造成死机现象。蠕虫病毒感染的理论主要是通过主动或者被动方式进行扫描,然后利用系统漏洞侵入计算机隐藏起来等候指令,当指令出现时立刻开始感染系统并设法联系其他蠕虫节点,命令计算机接受其控制指令而大量发送其病毒指令信息包,造成网络拥堵瘫痪。病毒在计算机中还广开“后门”,造成计算机不受控制,删除计算机的文件和文档,生成大量病毒垃圾文件,造成计算机无法使用。蠕虫病毒的隐藏地点基本都在邮件中。
3.计算机病毒的诊断与分析处理
3.1计算机病毒的诊断。
如果发现计算机有疑似感染病毒的症状时,我们应该首先检查是否有异常的进程。先关闭所有的应用程序,然后右击任务栏空白区域,在弹出的菜单中选择“任务管理器”,打开“进程”标签,查看系统正在运行的进程,正常情况下系统进程应为22—28个,如果进程数目太多,就要认真查看有无非法进程或不熟悉的进程。
3.2计算机病毒的分析。
分析病毒的出现形式分为三类:有单独隐蔽的进程、服务;单独的进程、服务;无单独的进程、服务,注入一个正常的系统进程、驱动。
我们可从进程的层面入手,用Icesword,可以看到一个红色进程,然后到网上搜索,最好先备份,再将可疑的进程删除。
我们也可使用进程查看工具,如PE、Icesword、Prcview、隐藏进程管理工具等分析每一个可疑的进程,通过查看进程的属性,判断该进程的路径和服务。
从病毒层面入手,推荐使用hijackthis,对于传统的加载方式还是比较优秀的一款工具,将扫描的日志放入http://www.hijackthis.de/index.php,会自动帮助分析可疑的程序,找到病毒体,一般病毒体的关键字和它自身的服务相关联,再用Process Explorer可查找病毒体注入哪个进程里。
对于注入正常的系统进程、驱动里的病毒,我们可使用Autoruns可以分析出哪些文件注入驱动程序里,然后上网查这些文件的性质,将Option里有一项隐藏微软的登记选中,这样可以进一步减少查找的范围。
对于注入系统进程里的病毒,以DLL、SYS文件注入Explorer、IExplore等进程的情况,我们可以手动搜索硬盘上的DLL文件和SYS文件,查看其文件大小、创建、修改时间和版本等信息,判断是否可疑,对无版本信息或版本信息描述不正规的DLL文件和SYS文件尤其要关注。
3.3计算机病毒的查杀。
查杀病毒即通过停进程、删文件、删服务三步骤来完成。
3.3.1停进程。我们应首先处理容易的,必须先用Icesword、Process Explorer、Unlocker、Super Rabbit等在常规状态下停止或挂起进程的工具,否则病毒就会占用资源,无法删除。
3.3.2删文件。Unloker小巧方便,它能轻易删除十分棘手的病毒。同时,如果有些文件被某个进程占用,它会弹出一个窗口,选择解锁。对于实在不能删除的文件,如c:windowssystem32svchost.exe挂在系统层,我们可以在重新启动后删除。
3.3.3删服务,对于系统服务,我们首先要停止服务,然后删除注册表,如果注册表项不能删,要修改注册表项属性,分配权限给所有人。我们应重启到安全模式,删除对应文件,再新建同名空文件,并修改属性为只读。一般来说,我们可用Hijack来分析服务,看看有没有看起来不太熟悉的服务,也要注意那些熟悉的进程,名字是否被改动,以及进程所在的目录是否正确。
在网络安全策略之系统策略中,反病毒技术亦是网络安全一重点,只有深病毒的攻击原理,才能针对性建立起强大的防护体系,才能开发出具有杀伤力的反病毒技术,只有这样才能保证网络的安全,保證网络数据的完整性和安全性。总之,进行反病毒工作,用户不仅需要利用杀毒工具来提供一个安全的网络使用环境,而且要拥有高度的安全意识和进行系统安全设置,并及时进行病毒库、系统和其他应用程序的升级,只有这样拥有一个安全、稳定的无毒空间,才能保证网络安全性、高效性、开放性和实时性。
参考文献:
[1]高阳.计算机网络原理与应用技术.北京:电子工业出版社,2005.3.
[2]关于计算机病毒和选择杀毒软件.江民科技,http://www. jiang min.com .cn/tip/0215-8htm.