計算機病毒原理及其檢測探析論文
計算機病毒原理及其檢測探析論文
根據病毒破壞性的大小分為良性病毒和惡性病毒。今天學習啦小編要與大家分享的是 :計算機病毒原理及其檢測探析的論文,具體內容如下,希望能幫助到大家!
計算機病毒原理及其檢測探析
計算機已在各個領域得到了廣泛的應用,以其快捷、方便給人們的生活帶來了很大的便利。但計算機病毒容易對計算機造成巨大的破壞和潛在的威脅。因此加強計算機安全工作勢在必行。對一般人來講,計算機病毒似乎是一個專業性很強的問題,但實際上稍加分析,計算機病毒的知識不像想象中的那么神秘。普通人只要認真學習一下,就能具備基本的知識,同時也能具備一些對抗計算機病毒能力,最大限度的保護自己的網絡安全。
1 計算機病毒的概述
1.1 概念
一般來講,計算機病毒是指編制或者在計算機程序中插入的對計算機的性能和數據造成破壞,進而影響計算機的正常使用并且具有自我復制功能的指令或者程序代碼。《中華人民共和國計算機信息系統安全保護條例》中明確規定:病毒指在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒旳實質是一組人為的程序或代碼,具有很強的破壞性、傳染性和自我復制性。
1.2 計算機病毒的特點
首先,計算機病毒具有很強的自我復制性,能夠隨著軟件、程序的運行而不斷進行自我繁殖和復制,這也是判斷計算機病毒的一個基本標志。其次,計算機病毒本身具有很強的傳染性,計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,如果一臺電腦被感染而沒有得到及時處理,病毒就會通過各種途徑和方式感染另一臺電腦。
第三,計算機病毒具有很強的破壞性,輕則導致數據的丟失和程序的不正常運轉,重則導致機器癱瘓、系統損壞,這也是病毒編制者所欲達到的目的。第四是潛伏性,即病毒會潛伏在電腦一段時間,當條件具備時會自動開啟,破壞電腦,而且還可以設定破壞的目標。第五,計算機病毒具有很強的隱蔽性,一般的病毒可以檢測出來,但是有一些卻檢測不出來,變化很多。
1.3 計算機病毒的分類
根據病毒破壞性的大小分為良性病毒和惡性病毒。良性病毒是指只是為了顯示自己的存在但并不對計算機造成任何破壞的病毒,這種病毒具有一般病毒的其他特點,但是具有很小的破壞性。惡性病毒是指以破壞數據或系統為目的的病毒,一般帶有很強的破壞性,有的雖然不破壞數據或系統,但是占用大量系統資源甚至導致死機現象。引導扇型病毒:一般出現在DOS的引導過程,開機時啟動。它不以文件的形式存在磁盤上,沒有文件名或命令顯示,具有極高的隱蔽性。
引導型病毒通常分為兩部分:第一部分放在磁盤引導扇區中;另一部分和原引導記錄放在磁盤上連續幾個簇中,其位置一般放在第一部分中。各類引導型病毒引入存儲過程大致相同。它們都要修改內存可用空間的大小,都植入內存的高端,并在內存高端為病毒傳播留出工作空間,否則在運行其它程序時可能被覆蓋;都要修改中斷向量表,以便將來有機會占領CPU,否則即使在內存也如同冬眠一樣,不能進行傳播和破壞。文件型病毒,也被稱為外殼型病毒。
這種病毒主要存在于文件擴展名為.COM和.EXE等的可執行文件的頭部和尾部。只要運行所在程序,病毒就會被激活,同時又傳染到其他文件上,而且病毒會控制相關程序。深入型病毒是一種比較復雜的病毒,也被稱之為混合型病毒,具有引導區病毒和文件型病毒兩種特征,二者相互促進共同進行傳染,所以傳播范圍比較廣、清除難度大。
2 計算機病毒的檢測
2.1 一般檢查步驟
首先是進程選項,這是第一個排查對象。開機后在不啟動任何程序的前提下打開任務管理器,查看一下是否存在可疑進程;其次查看系統進程的路徑是否正確。如果進程都正確則查看是否有可疑線程注入正常程序。進程排查完畢后開啟自啟動項目的排查。首先用msconfig察看是否有可疑的服務,切換到服務選項卡,勾選“隱藏所有Microsoft服務”復選框,然后逐一確認剩下的服務是否正常;
第二步:用msconfig察看是否有可疑的自啟動項,只要切換到啟動選項卡進行排查即可;最后,用Autoruns查看更詳細的啟動項信息。第二步開始檢查網絡連接,ADSL用戶可以嘗試使用虛擬撥號進行連接,之后用用冰刃的網絡連接查看有無可疑連接。第四步可以選擇安全模式安全模式開啟電腦,如果無法正常進入則可能存在病毒問題,第五,映像劫持:打開注冊表編輯器,查看有沒有可疑的映像劫持項目,如果存在可疑項則電腦很有可能中毒。最后,CPU時間也是機器是否中毒的一個重要標志。可以通過開機后系統運行時間作參考,CPU運行時間則是一個很好的參照。
2.2 具體方法
(1)特征代碼法。主要用來判斷文件是否感染病毒,要求兌現關軟件進行不斷的更新以適應要求。特征代碼法主要運用了比較法、分析法和掃描法。
(2)檢驗和法。通過計算正常文件內容校驗和,將該校驗和寫入文件中或寫入別的文件中保存。使用文件前通過對比前后檢驗和來確定文件是否感染病毒。它的弊端是不能識別病毒種類和病毒名稱,而且還會影響文件的運行速度,出現錯誤示警。
(3)行為監測法。這種方法主要利用病毒的特有行為特性來判斷是否存在病毒。每種病毒都會有自己獨一無二的特性,這種方法正好充分利用了這一點。這種方法具有很強的優勢,即對許多未知病毒都能夠有效發現,但缺點是不能識別病毒名稱,實現起來有一定的難度。
(4)軟件模擬法。主要是利用相關軟件來模式和分析程序的運行狀況,確定有無病毒。