篇一:计算机病毒及其防范措施
计算机病毒及其防范措施
【摘要】目前,计算机病毒已成为困扰计算机系统安全和网络发
展的重要问题。全面认识计算机病毒并掌握一些防范措施已迫在眉
睫。本文从计算机病毒的特点出发,来初步探讨防范计算机病毒的
方法和措施。
【关键词】计算机;病毒;防范
随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问
题越来越引起人们的关注。目前,病毒已成为困扰计算机系统安全
和网络发展的重要问题。据国家信息安全办公室与公安部发布的调
查报告显示,全国只有27%的计算机用户没有被病毒侵害过。再对
计算机病毒有一个全面的认识并掌握一些防毒方法和措施,就完全
有理由让病毒远离我们。
1什么是计算机病毒
计算机病毒(computer virus)在《中华人民共和国计算机信息系
统安全保护条例》中被明确定义为:“指编制或者在计算机程序中
插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自
我复制的一组计算机指令或者程序代码”。具有可执行性、传染性、
破坏性、潜伏性、可触发性、攻击的主动性、针对性、隐蔽性等特
性,它能影响计算机软件、硬件的正常运行,破坏数据的正确与完
整。
2计算机病毒的破坏性
不同病毒有不同的破坏行为,其中有代表性的行为如下。攻击系
统数据区,攻击计算机硬盘的主引寻扇区、boot扇区、fat表;攻
击文件,删除文件、修改文件名称、替换文件内容、删除部分程序
代码;攻击内存 、占用大量内存、改变内存总量、禁止分配内存;
干扰系统运行、干扰指令的运行、内部栈溢出、占用特殊数据区、
时钟倒转、自动重新启动计算机、死机;速度下降,迫使计算机空
转,计算机速度明显下降; 更改cmos区数据,破坏系统cmos中
的数据;扰乱屏幕显示,字符显示错乱、光标下跌、滚屏、抖动、
吃字;攻击磁盘 ,攻击磁盘数据、不写盘、写操作变读操作;攻
击键盘 响铃、封锁键盘、换字、抹掉缓存区字符、重复输入;干
扰打印机 间断性打印、更换字。
3常见计算机病毒防范措施
防御是对付计算机病毒的积极而又有效的措施,比等待计算机病
毒出现之后再去扫描和清除更有效地保护计算机系统。为了将病毒
拒之门外,就要做好防范措施。
3.1新购置的计算机其病毒防范。新购置的计算机是有可能携带计
算机病毒的,新购置计算机的硬盘可以进行检测或进行低级格式化
来确保没有计算机病毒存在。对硬盘只在dos下做format格式化
是不能去除主引导区(分区表)计算机病毒的。
3.2引导型计算机病毒防范。引导型病毒主要是感染磁盘的引导
区,我们在使用受感染的磁盘启动计算机时它们就会首先取得系统
控制权,驻留内存之后再引导系统,并伺机传染其它软盘或硬盘的
引导区,它一般不对磁盘文件进行感染。通常采用以下一些方法:
1. 坚持从不带计算机病毒的硬盘引导系统。2 安装能够实时监控
引导扇区的防杀计算机病毒软件,或经常用能够查杀引导型计算机
病毒的防杀计算机病毒软件进行检查。 3 经常备份系统引导扇区。
4.某些底板上提供引导扇区计算机病毒保护功能(virus protect),
启用它对系统引导扇区也有一定的保护作用。5.使用防杀计算机病
毒软件加以清除,或者在“干净的”系统启动软盘引导下,用备份
的引导扇区覆盖。
3.3 文件型计算机病毒防范。文件型病毒一般只传染磁盘上的可
执行文件(com,exe),在用户调用染毒的可执行文件时,病毒首
先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文
件。一般采用以下一些方法:1.安装最新版本的、有实时监控文件
系统功能的防杀计算机病毒软件。2.及时更新查杀计算机病毒引
擎,在有计算机病毒突发事件的时候及时更新。3. 经常使用防杀
计算机病毒软件对系统进行计算机病毒检查。4.当使用windows
98/2000/nt操作系统时,修改文件夹窗口中的确省属性。
3.4 宏病毒防范。宏病毒应该算是一种特殊的文件型病毒,宏病
毒主要是使用某个应用程序自带的宏编程语言编写的病毒,如感染
word系统的word宏病毒、感染excel系统的excel宏病毒和感染
lotus ami pro的宏病毒等。一般采用以下一些方法识别,首先在
使用的word“工具”菜单中看不到“宏”这个字,或看到“宏”但
光标移到”宏”,鼠标点击无反应,这种情况肯定有宏病毒。再打
开一个文档,不进行任何操作,退出word,如提示存盘,这极可能
是word中的normal.dot模板中带宏病毒。感染了宏病毒后,也可
以采取对付文件型计算机病毒的方法,用防杀计算机病毒软件查
杀。
4计算机被病毒感染后采取的处理措施
计算机一旦被病毒破坏了,采取恰当的措施可以杀除大多数的计
算机病毒,恢复被计算机病毒破坏的系统。修复前,要先备份重要
的数据文件;启动防杀计算机病毒软件,并对整个硬盘进行扫描。
某些计算机病毒在windows 状态下无法完全清除,此时我们应使用
事先准备的未感染计算机病毒的dos系统软盘启动系统,然后在dos
下运行相关杀毒软件进行清除;发现计算机病毒后,我们一般应利
用防杀计算机病毒软件清除文件中的计算机病毒,如果可执行文件
中的计算机病毒不能被清除,一般应将其删除,然后重新安装相应
的应用程序。杀毒完成后,重启计算机,再次用防杀计算机病毒软
件检查系统中是否还存在计算机病毒,并确定被感染破坏的数据确
实被完全恢复;如果受破坏的大多是系统文件和应用程序文件,并
且感染程度较深,那么可以采取重装系统的办法来达到清除计算机
病毒的目的。而对感染的是关键数据文件,或比较严重的时候,比
如硬件被cih计算机病毒破坏,就可以考虑请防杀计算机病毒专家
来进行清除和数据恢复工作。
5计算机病毒防范经验总结
我们总结了平时的反病毒经验,将其归纳如下。写保护所有系统
盘,绝不把用户数据写到系统盘上;一定要将硬盘引导区和主引导
扇区备份下来,并经常对重要数据进行备份,防患于未然;安装真
正有效的防毒软件,并经常进行升级,不使用盗版或来历不明的软
件,特别不能使用盗版的杀毒软件对外来程序要使用尽可能多的查
毒软件进行检查,未经检查的可执行文件不能拷入硬盘,更不能使
用;随时注意计算机的各种异常现象,一旦发现,应立即用杀毒软
件仔细检查;计算机病毒经常会以人们预料不到的方式入侵到电脑
系统中,所以即使使用了反病毒软件,也不能忽略了平时的预防工
作。建议采用“防、杀”结合的方式对付计算机病毒,将病毒对系
统的破坏可能性减到最少。参考文献
[1]卓新建,计算机病毒原理及防治,北京邮电大学出版社,2004.
[2]张小磊,计算机病毒诊断与防治,中国环境科学出版社,2003.
篇二:计算机病毒及防范的措施
浅议计算机病毒
计算机病毒对计算机网络影响是灾难性的。从80年的“蠕虫”“小球”病毒起至今,计算机使用者都在和计算机病毒斗争,创造了形形色色的病毒产品和方案。但是随着近年Internet的发展,E-MAIL和一批网络工具的出现改变了人类信息的传播方式和生活,同时也使计算机病毒的种类迅速增加,扩散速度大大加快,出现了一批新的传播方式和表现力的病毒,对企业及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。病毒的主发地点和传播方式己经由以往的单机之间的介质传染完成了向网络系统的转化,类似于“CIH,Melisa,Exploer”网络传染性质的病毒大量出现,一旦企业或单位被病毒侵入并发作,造成的损失和责任是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。企业或单位只有拒病毒于网络之外,才能保证数据的真正安全。
一、计算机病毒的产生
新的计算机病毒在世界范围内不断出现,传播速度之快和扩散之广,其原因决不是偶然的,除了与计算机应用环境等外部原因有关以外,主要是由计算机系统的内部原因所决定的。
(一)、计算机系统自身的缺陷
计算机系统及其网络是一个结构庞大复杂的人机系统,分布地域广,涉及的系统内部因素及环境复杂。这无论在物理上还是在使用环境上都难以严格地统一标准、协议、控制、管理和监督。
(二)、人为的因素
计算机病毒是一段人为制造的程序。可以认为,病毒由以下几个原因产生:
2.1某些人为表现自己的聪明才智,自认为手段高明,编制了一些具有较高技巧,但破坏性不大的病毒;
2.2某些入偏离社会、法律或道德,以编制病毒来表示不满;
2.3某些人因受挫折,存有疯狂的报复心理,设计出一些破坏性极强的病毒,造成针对性的破坏;
2.4在美国等发达国家,计算机深入家庭,现在的青年一代被称作“在计算机中泡大”的一代,他们了解计算机,以编制并广泛传播病毒程序为乐,他们非法进入网络,以破获网络口令,窃取秘密资料为荣,这都给计算机系统带来了不安定因素;
(三)、计算机法制不健全
各国现有的法律和规定大都是在计算机“病毒’尚未肆虐和泛滥之前制定的,所以法律和规定中“病毒”均没有作为计算机犯罪而制定应有的处治条款,因此各国开始研究和制定或修走已有的计算机法规。
二、计算机病毒的特征
计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序,但它和通的计算机程序不同,具有以下特点。
(1)计算机病毒的程序性(可执行性)计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有—切程序所能得到的权力;
(2)计算机病毒的传染性:传染性是病毒的基本特征,计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的;
(3)计算机病毒的潜伏性:一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中。对其他系统进行传染,而不被人发现;
(4)计算机病毒的可触发性:病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性;
(5)计算机病毒的破坏性系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏;
(6)攻击的主动性:病毒对系统的攻击是主动的,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施充其量是一种预防的手段而已;
(7)病毒的针对性计算机病毒是针对特定的计算机和特定的操作系统的。例如,有针对IBM PC机及其兼容机的,有针对Apple公司的Macintosh的,还有针对UNIX操作系统的。例如小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。
三,计算机病毒的种类
根据病毒破坏的能力可划分为以下几种:
无害型 通常指的是良性病毒,是指其不包含有立即对电脑系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台电脑传染到另一台,并不破坏电脑内的数据。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权,导致整个系统死锁,给正常操作带来麻烦。而且整个电脑系统也由于多种病毒寄生于其中而无法正常工作。除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型
这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型,这类病毒在计算机系统操作中造成严重的错误。
非常危险型
这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
下面着重介绍一两种病毒。
熊猫烧香
其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份
文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。江苏等地区成为“熊猫烧香”重灾区。
这是中国近些年来,发生比较严重的一次蠕虫病毒发作。影响较多公司,造成较大的损失。且对于一些疏于防范的用户来说,该病毒导致较为严重的损失。
CIH病毒已给中国计算机用户造成了巨大的损失。近来又出现了CIH病毒的一种升级版本CIHvl-2病毒。CIHvl-2病毒会攻击硬盘及pc机的bios芯片,造成系统崩溃,甚至损坏硬件。CIHvl-2病毒被定时在4月26 日对被感染计算机的bios芯片和硬盘驱动器发起攻击。该病毒发作后,会造成硬盘数据的明显减少,不能开机或不能重新启动计算机。CIH病毒基本上是通过互联网络或盗版软件来感染windows 95或98的.exe文件的。在执行被感染文件后,CIH病毒就会随之感染与被执行文件接触到的其他程序。病毒在4月26日被触发后,它将硬盘上最起决定性作用的部分用垃圾代码覆盖,同时,它试图改写bioso如果bios是可写的,像当前大多数计算机一样,那么bios将会被病毒破坏。一旦bios被破坏,系统将由于无法启动而不能使用。实际上,CIH病毒对硬盘的攻击能力也特别强,可能会使硬盘E的数据丢失,甚至使硬盘不得不进行低级恪式化。
四、计算机病毒的防范措施
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病
毒应该首先考虑这两个部分,另外加强综合治理也很重要。
(一)、基于工作站的防治技术
工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题;而且对网络的传输速度也会产生一定的影响。
(二)、 基于服务器的防治技术
网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。
(三)、加强计算机网络的管理
计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,已就要求网络防毒产品在技术上更先进,功能上更全面。从目前病毒的演化趋势来看,网络防病毒产品的发展趋势主要体现在以下几个方面。
(1) 反黑与杀毒相结合;(2)从入口拦截病毒;(3)提供全面解决方案;(4)客户化定制模式;(5)防病毒产品技术由区域化向国际化转盘。单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人尽可能采用行之有效的新技术、新手段,建立”防杀结合、以防
篇三:(3)多种方法防范病毒
实验2 多种方法防范计算机病毒
2.1 实验目的
?
?
?
?
?
?
?
?
? 了解Windows系统漏洞的概念。 掌握使用微软MBSA工具和360安全卫士扫描系统漏洞并下载、安装补丁的方法。 理解端口的概念。 掌握查看端口开放状态的方法和启用与关闭端口的方法。 了解常用的杀毒软件的种类。 掌握使用杀毒软件和专杀工具查杀计算机病毒的方法。 了解防火墙的概念。 掌握使用Windows防火墙和专业的第三方防火墙程序抵御黑客攻击的方法。 了解通过制定不同的组策略来动态的维护系统安全的方法。
2.2 实验环境
接通Internet的PC机;安装Windows XP操作系统,并且安装有TCP/IP协议;独立操作。
2.3 准备知识
一、Windows系统漏洞是指Windows操作系统本身所存在的技术缺陷。系统漏洞往往会被病毒用来侵入并攻击用户计算机。Windows操作系统供应商将定期对已知的系统漏洞发布补丁程序,用户只要定期下载并安装补丁程序,即可保证计算机不会轻易被病毒入侵。
MBSA是微软公司发布的一款系统漏洞检测工具,除了检测漏洞外,还提供了详细解决方案以及补丁下载地址,是Windows系统用户首选漏洞检测工具。360安全卫士是一款可以自动扫描漏洞和自动下载补丁的免费软件,用户可以到/downloads/details.aspx?FamilyID=b1e76bbe-71df-41e8-8b52-c871d012ba78&displaylang=en#filelist。下载后安装MBSA软件。安装完成后,进入主界
面,如图2-1所示。
图2-1 MBSA主界面
步骤2:在主界面中,选择“Scan a computer”,根据需要选择相应的扫描选项,如图2-2所示。
图2-2 MBSA扫描选项配置界面
步骤3:设置完成后,单击“Start Scan”按钮,开始对系统进行扫描,如图2-3所示。
图2-3 MBSA扫描进行中
步骤4:扫描完成后,生成一个简单的报告列表,标记红色叉号的项目代表隐含漏洞,如图2-4所示。
图2-4 系统漏洞报告列表
步骤5:单击“what was scanned”链接,可以查看详细信息,如图2-5所示。
图2-5 详细信息列表
步骤6:单击“Result Details”链接,可以打开补丁列表界面,如图2-6所示。
图2-6 补丁列表界面
步骤8:单击补丁代号,启动浏览器下载补丁,选择适合自己的操作系统,接着选择语言选项(Chinese Simplified),最后单击“Download”按钮开始下载。
步骤9:下载完成后,会自动安装补丁程序,修补系统漏洞,安装完成后,重新启动计算机即可。
2.下载并使用360安全卫士扫描系统漏洞并安装补丁。
步骤1:先进入360官方网站下载/retype/zoom/e799de4f6c175f0e7cd13777?pn=5&x=0&y=7&raww=800&rawh=571&o=png_6_0_0_252_300_388_277_892.979_1262.879&type=pic&aimh=342.59999999999997&md5sum=314f1cd9b958c22ac9ced91eb732c884&sign=449173f445&zoom=&png=572469-876272&jpg=0-0" target="_blank">点此查看
图2-7 360安全卫士主界面
步骤2:点击查看并修复,可以自动检测漏洞并打开补丁列表界面,如图2-8所示。
图2-8 补丁列表界面
步骤3:选中需修复的漏洞,点击修复按钮,360安全卫士会自动下载并安装补丁程序,修补系统漏洞,安装完成后,重新启动计算机即可。
二、查看本机开放端口,启用或禁用某些端口。
1.使用Windows自带的Netstat命令来查看本机开放的所有端口或可疑端口程序。
步骤1:选择“开始→运行”命令,打开“运行”对话框,输入“cmd”命令,单击“确定”按钮,打开“命令提示符”窗口。
步骤2:在命令提示符后输入“netstat -an”命令,按Enter键,即可在窗口中显示本机开放的所有端口,如图2-9所示。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有