畢業(yè)論文(設(shè)計(jì))題 目: 計(jì)算機(jī)病毒防范技術(shù) 近年來，因特網(wǎng)引入了新的病毒傳送機(jī)制，通過電子郵件這個(gè)傳播途徑,病毒已成為當(dāng)今網(wǎng)絡(luò)業(yè)發(fā)展的最大危害。今年以來，在中國大規(guī)模爆發(fā)的多種病毒，全部都是通過互聯(lián)網(wǎng)傳播的。隨著互聯(lián)網(wǎng)日益成為全球性工具，病毒也正在成為全球性殺手。而通過網(wǎng)絡(luò)特別是電子郵件傳播的病毒與傳統(tǒng)病毒相比，表現(xiàn)出了更快的傳播速度以及更強(qiáng)有力的殺傷力。 以下我們在分析網(wǎng)絡(luò)時(shí)代計(jì)算機(jī)病毒特點(diǎn)的基礎(chǔ)上探討一下如何有效地防范病毒，以“把好網(wǎng)絡(luò)時(shí)代的大門”。 關(guān)鍵詞：病毒、特點(diǎn)、防范第一章 計(jì)算機(jī)病毒的概述1.1計(jì)算機(jī)病毒的產(chǎn)生 計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是： （1）計(jì)算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的衍化形式。 計(jì)算機(jī)病毒是高技術(shù)犯罪,具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證,風(fēng)險(xiǎn)小破壞大, 從而刺激了犯罪意識(shí)和犯罪活動(dòng)。是某些人惡作劇和報(bào)復(fù)心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)； （2）計(jì)算機(jī)軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因。 計(jì)算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲(chǔ)、處理、輸出等環(huán)節(jié), 易誤入、篡改、丟失、作假和破壞；程序易被刪除、改寫；計(jì)算機(jī)軟件設(shè)計(jì)的手工方式, 效率低下且生產(chǎn)周期長；人們至今沒有辦法事先了解一個(gè)程序有沒有錯(cuò)誤, 只能在運(yùn)行中發(fā)現(xiàn)、修改錯(cuò)誤, 并不知道還有多少錯(cuò)誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便； （3）微機(jī)的普及應(yīng)用是計(jì)算機(jī)病毒產(chǎn)生的必要環(huán)境。 1983年11月3日美國計(jì)算機(jī)專家首次提出了計(jì)算機(jī)病毒的概念并進(jìn)行了驗(yàn)證。幾年前計(jì)算機(jī)病毒就迅速蔓延，到我國才是近年來的事。而這幾年正是我國微型計(jì)算機(jī)普及應(yīng)用熱潮。微機(jī)的廣泛普及，操作系統(tǒng)簡單明了，軟、硬件透明度高，基本上沒有什么安全措施, 能夠透徹了解它內(nèi)部結(jié)構(gòu)的用戶日益增多，對其存在的缺點(diǎn)和易攻擊處也了解的越來越清楚，不同的目的可以做出截然不同的選擇。 1.2 計(jì)算機(jī)病毒的特點(diǎn) 計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)(或程序)里，當(dāng)達(dá)到某種條件時(shí)即被激活的具有對計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。廣義的計(jì)算機(jī)病毒還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱入口等等。計(jì)算機(jī)病毒雖是一個(gè)小小程序，但它和通的計(jì)算機(jī)程序不同，具有以下特點(diǎn)。 寄生性: 計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺的。 傳染性: 計(jì)算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，井使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計(jì)算機(jī)病毒也會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)井得以執(zhí)行，它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒，如不及時(shí)處理，那么病毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散，其中的大量文件（一般是可執(zhí)行文件）會(huì)被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會(huì)繼續(xù)進(jìn)行傳染。 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其他程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計(jì)算機(jī)病毒可通過各種可能的渠道，如軟盤、U盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。當(dāng)您在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過的U盤等載體已感染上了病毒，而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)也許也被該病毒染上了。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到病毒的傳染和擴(kuò)散。被嵌入的程序叫做宿主程序。 潛伏性： 有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒，不到預(yù)定時(shí)間一點(diǎn)都覺察不出來，等到條件具備的時(shí)候一下子就爆炸開來，對系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作，可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時(shí)間就會(huì)愈長，病毒的傳染范圍就會(huì)愈大。 潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤等載體里呆上幾天，甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就又要四處繁殖、擴(kuò)散，繼續(xù)為害。 潛伏性的第二種表現(xiàn)是指，計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。 隱蔽性： 計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時(shí)隱時(shí)現(xiàn)、變化無常，這類病毒處理起來通常很困難。 破壞性： 計(jì)算機(jī)中毒后，可能會(huì)導(dǎo)致正常的程序無法運(yùn)行，把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。 可觸發(fā)性： 病毒因某個(gè)事件或數(shù)值的出現(xiàn)，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動(dòng)作。如果完全不動(dòng)，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來控制感染和破壞動(dòng)作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。 第二章 計(jì)算機(jī)病毒的檢測和防范 2.1計(jì)算機(jī)病毒防范技術(shù)的工作原理 目前，計(jì)算機(jī)病毒防范技術(shù)的工作原理主要有簽名掃描和啟發(fā)式掃描兩種。 (1)簽名掃描:通過搜索目標(biāo)（宿主計(jì)算機(jī)、磁盤驅(qū)動(dòng)器或文件）來查找表示惡意軟件的模式。 (2)啟發(fā)式掃描:通過查找通用的惡意軟件特征，來嘗試檢測新形式和已知形式的惡意軟件。 2.1.1最容易受到惡意軟件攻擊的區(qū)域： 外部網(wǎng)絡(luò)； 來賓客戶端； 可執(zhí)行文件； 文檔； 電子郵件； 可移動(dòng)媒體。2.2 檢測和防范 用防病毒軟件來防范病毒需要定期自動(dòng)更新或者下載最新的病毒定義、病毒特 征。但是防病毒軟件的問題在于它只能為防止已知的病毒提供保護(hù)。因此，病毒軟件只是在檢測已知的特定模式的病毒和蠕蟲方面發(fā)揮作用。對惡意代碼的查找和分類的根據(jù)是： 對惡意代碼的理解和對惡意代碼“簽名”的定位來識(shí)別惡意代碼。然后將這 簽名加入到識(shí)別惡意代碼的簽名列表中，這就是防病毒軟件的工作原理。防病 軟件成功的關(guān)鍵是它是否能夠定位“簽名”。 轉(zhuǎn)貼于惡意代碼基本上可以分為兩類： 腳本代碼和自執(zhí)行代碼。實(shí)現(xiàn)對腳本蠕蟲的防護(hù)很簡單，例如，VBScript蠕蟲的傳播是有規(guī)律的，因此常常可以通過運(yùn)行一個(gè)應(yīng)用程序的腳本來控制這塊代碼或者讓這個(gè)代碼失效。 惡意軟件防護(hù)方法： 在針對惡意軟件嘗試組織有效的防護(hù)之前，需要了解組織基礎(chǔ)結(jié)構(gòu)中存在風(fēng)險(xiǎn)的各個(gè)部分以及每個(gè)部分的風(fēng)險(xiǎn)程度。Microsoft強(qiáng)烈建議您在開始設(shè)計(jì)防病毒解決方案之前，進(jìn)行完整的安全風(fēng)險(xiǎn)評(píng)估。 深層防護(hù)安全模型： 在發(fā)現(xiàn)并記錄了組織所面臨的風(fēng)險(xiǎn)后，下一步就是檢查和組織您將用來提供防病毒解決方案的防護(hù)措施。深層防護(hù)安全模型是此過程的極好起點(diǎn)。此模型識(shí)別出七級(jí)安全防護(hù)，它們旨在確保損害組織安全的嘗試將遇到一組強(qiáng)大的防護(hù)措施。每組防護(hù)措施都能夠阻擋多種不同級(jí)別的攻擊。 (1)數(shù)據(jù)層。 數(shù)據(jù)層上的風(fēng)險(xiǎn)源自這樣的漏洞：攻擊者有可能利用它們獲得對配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設(shè)備獨(dú)有的任何數(shù)據(jù)的訪問。 (2)應(yīng)用程序?qū)印?應(yīng)用程序?qū)由系娘L(fēng)險(xiǎn)源自這樣的漏洞：攻擊者有可能利用它們訪問運(yùn)行的應(yīng)用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都可能用來攻擊系統(tǒng)。 (3)主機(jī)層。 提供Service Pack 和修復(fù)程序以處理惡意軟件威脅的供應(yīng)商通常將此層作為目標(biāo)。此層上的風(fēng)險(xiǎn)源自利用主機(jī)或服務(wù)所提供服務(wù)中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動(dòng)攻擊。 (4)內(nèi)部網(wǎng)絡(luò)層。 組織內(nèi)部網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)主要與通過此類型網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)有關(guān)。這些內(nèi)部網(wǎng)絡(luò)上客戶端工作站的連接要求也具有許多與其關(guān)聯(lián)的風(fēng)險(xiǎn)。 (5)外圍網(wǎng)絡(luò)層。 與外圍網(wǎng)絡(luò)層（也稱為DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏幕子網(wǎng)）關(guān)聯(lián)的風(fēng)險(xiǎn)源自可以訪問廣域網(wǎng)(WAN)以及它們所連接的網(wǎng)絡(luò)層的攻擊者。模型此層上的主要風(fēng)險(xiǎn)集中于網(wǎng)絡(luò)可以使用的傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口。 (6)物理安全層。 物理層上的風(fēng)險(xiǎn)源自可以物理訪問物理資產(chǎn)的攻擊者。此層包括前面的所有層。攻擊者可能只是通過某個(gè)物理可移動(dòng)媒體（如USB磁盤設(shè)備）將感染文件直接復(fù)制到主機(jī)。 (7)策略、過程和意識(shí)層。 圍繞安全模型所有層的是，您的組織為滿足和支持每個(gè)級(jí)別的要求需要制定的策略和過程。最后，提高組織中對所有相關(guān)方的意識(shí)是很重要的。在許多情況下，忽視風(fēng)險(xiǎn)可以導(dǎo)致安全違反。由于此原因，培訓(xùn)也應(yīng)該是任何安全模型的不可缺少的部分。 結(jié)論從目前病毒的演化趨勢來看，網(wǎng)絡(luò)防病毒產(chǎn)品的發(fā)展趨勢主要體現(xiàn)在以下幾個(gè)方面： (1)反黑與反病毒相結(jié)合 (2)從入口攔截病毒 (3)全面解決方案 (4)客戶化定制 (5)區(qū)域化到國際化 目前我們所能夠采取的最好的防病毒方法仍然是保證防病毒軟件的及時(shí)更新，但是能夠從操作系統(tǒng)和微處理器設(shè)計(jì)的角度出發(fā)來提高計(jì)算機(jī)防病毒的能力才是防范病毒正確的途徑。參考文獻(xiàn)1.計(jì)算機(jī)安全的意義 出版社：北京大學(xué)出版社2.計(jì)算機(jī)網(wǎng)絡(luò)安全與防御【J】.中國西部科技，2006,（4）3.計(jì)算機(jī)病毒分析與防范大全 出版社：電子工業(yè)出版社4計(jì)算機(jī)病毒與反病毒技術(shù) 出版社：清華大學(xué)出版社5.信息安全與實(shí)踐教程【M】.北京：清華大學(xué)出版社，2005，（11）