病毒入侵微机的途径与防治研究计算机应用毕业论文(编辑修改稿)

病毒入侵微机的途径与防治研究计算机应用毕业论文(编辑修改稿)内容摘要：

运用校验和法检查病毒采用三种方式 : ① 在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和写入被查文件中或检测工具中，而后进行比较。 ② 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验 和。 实现应用程序的自检测。 ③ 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。 利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。 通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。 在正常程序中，这些行为比较罕见。 当程序运行时，监视其行为，如果发现了病毒行为，立即报警。 多态性病毒每次感染都会变化其病毒密码，对付这种病毒，特征代码法失效。 因为多态性病毒代码实施密码化，而且每次所用密钥不同， 把染毒的病毒代码相互比较，也各不相同，无法找出可能的作为特征的稳定代码。 虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做杀毒处理，由此出现了一种新的软件模拟法。 有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我可以按以下几个方法来判断。 （三）判断病毒的方法 这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑 14 战。 但随 着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。 但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、 KV300、 KILL、 PCcillin、 VRV、瑞星、诺顿等。 至于这些反病毒软件的使用在此就不必说叙了，我相信大家都有这个水平。 这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。 如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中 出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛。 对于如属病毒引起的我们可以从以下几个方面来观察： a、内存观察 这一方法一般用在 DOS 下发现的病毒，我们可用 DOS 下的“ mem/c/p”命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用“ mem/c/p”发现不了它，但可以看到总的基本内存 640K 之中少了那么区区 1k 或几 K。 b、注册表观察法 这类 方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce] 等等，在其中对注册表中可能出现的地方会有一个比较详尽的分析。 c、系统配置文件观察法 这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在 、 （ Win9x/WinME）和启动组中，在 文件中有一个 shell=”项，而在 文件中有“ load= ”、“ run= ”项，这些病毒一般就是在这些项目中加载它们自身的程 15 序的，注意有时是修改原有的某个程序。 我们可以运行 Win9x/WinME 中的 程序来一项一项查看。 具体也可参考我的《通通透透看木马》一文。 d、特征字符串观察法 这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如 CIH病毒就会 在入侵的文件中写入“ CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如 )运用 16 进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。 e、硬盘空间观察法 有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件（这方法应不需要我来说吧。 ），相信这个庞然大 物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。 到时删除它即可，这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在 C 盘之中几个 G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。 连续长时间读取、内存或者磁盘的空间突然减小、运行程序时候死机等异常症状，这时我们就要考虑是否遭遇到病毒感染了，接着需要通过杀毒软件来对整个硬盘进行彻底的检查。 经常对 Windows 进行更新可以有效地防止病毒的侵入 道高一尺，魔高一丈。 即使我们做的够多够好，仍然无法应 付最新的病毒爆发，这就需要我们在使用计算机的时候时刻保持清醒的头脑，要密切注意计算机的异常症状。 比如，电脑动作比平常迟钝，正常使用计算机的时候突然出现黑屏、运行一个小程序的时候出现硬盘连续长时间读取、内存或者磁盘的空间突然减小、运行程序时候死机等异常症状，这时我们就要考虑是否遭遇到病毒感染了，接着需要通过杀毒软件来对整个硬盘进行彻底的检查。 经常对 Windows 进行更新可以有效地防止病毒的侵入。 有了识别计算机病毒的方法，那计算机具体中毒都有哪些表现了。 根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现 现象分为三大类，即：计算机病毒发作前、发作时和发作后的表现现象 ： 首先， 计算机病毒发作前的表现现象 计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，直到激发条件满足，计算机病毒发作之前的一个阶段。 在这个阶段，计算机病毒的行为主要是以 16 潜伏、传播为主。 计算机病毒会以各式各样的手法来隐藏自己，在不被发现同时，又自我复制，以各种手段进行传播。 以下是一些计算机病毒发作前常见的表现现象： 1)平时运行正常的计算机突然经常性无缘无故地死机 病毒感染了计算机系统后，将自身驻 留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生 2)操作系统无法正常启动 关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。 这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。 3)运行速度明显变慢 在硬件设备没有损坏或更换的情况下，本来运行速度很快的计算机，运行同样应用程序，速度明显变慢，而且重启后依然很慢。 这很可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不 足，运行变慢。 4)以前能正常运行的软件经常发生内存不足的错误 某个以前能够正常运行的程序，程序启动的时候报系统内存不足，或者使用应用程序中的某个功能时报说内存不足。 这可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减小。 需要注意的是在 Windows 95/98 下，记事本程序所能够编辑的文本文件不超过 64Kb 字节，如果用 “ 复制／粘贴 ” 操作粘贴一段很大的文字到记事本程序时，也会报 “ 内存不足，不能完成操作 ” 的错误，但这不是计算机病毒在作怪。 5)打印和通讯发生异常 硬件没有 更改或损坏的情况下，以前工作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码。 串口设备无法正常工作，比如调制解调器不拨号。 这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序，使之不能正常工作。 6)无意中要求对软盘进行写操作 没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘，或者要求在读取、复制写保护的软盘上的文件时打开软盘的写保护。 这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。 需要注意的是有些编辑软件需要在打开文件的时候创建一个临 时文件，也有的安装程序（如 Office 97）对软盘有写的操作。 7)以前能正常运行的应用程序经常发生死机或者非法错误 17 在硬件和操作系统没有进行改动的情况下，以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。 这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。 8)系统文件的时间、日期、大小发生变化 这是最明显的计算机病毒感染迹象。 计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增 加，文件的访问和修改日期和时间也会被改成感染时的时间。 尤其是对那些系统文件，绝大多数情况下是不会修改它们的，除非是进行系统升级或打补丁。 对应用程序使用到的数据文件，文件大小和修改日期、时间是可能会改变的，并不一定是计算机病毒在作怪。 9)运行 Word，打开 Word 文档后，该文件另存时只能以模板方式保存无法另存为一个DOC 文档，只能保 存成模板文档（ DOT）。 这往往是打开的 Word 文档中感染了 Word 宏病毒的缘故。 10)磁盘空间迅速减少 没有安装新的应用程序，而系统可用的可用的磁盘空间减 少地很快。 这可能是计算机病毒感染造成的。 需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。 另一种情况是 Windows 95/98 下的内存交换文件的增长，在 Windows 95/98 下内存交换文件会随着应用程序运行的时间和进程的数量增加而增长，一般不会减少，而且同时运行的应用程序数量越多，内存交换文件就越大。 11)网络驱动器卷或共享目录无法调用 对于有读权限的网络驱动器卷、共享目录等无法打开、浏览，或者对 有写权限的网络驱动器卷、共享目录等无法创建、修改文件。 虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒，但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。 12)基本内存发生变化 在 DOS 下用 mem /c/p 命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的 640Kb 要小，一般少 1Kb～ 2Kb。 这通常是计算机系统感染了引导型计算机病毒所造成的。 13)陌生人发来的电子函件 收到陌生人发来的电子函件，尤其是那些标题很具诱惑力，比如一则笑话，或者 一封 18 情书等，又带有附件的电子函件。 当然，这要与广告电子函件、垃圾电子函件和电子函件炸弹区分开。 一般来说广告电子函件有很明确的推销目的，会有它推销的产品介绍；垃圾电子函件的内容要么自成章回，要么根本没有价值。 这两种电子函件大多是不会携带附件的。 电子函件炸弹虽然也带有附件，但附件一般都很大，少则上兆字节，多的有几十兆甚至上百兆字节，而电子函件计算机病毒的附件大多是脚本程序，通常不会超过 100Kb 字节。 当然，电子函件炸弹在一定意义上也可以看成是一种黑客程序，是一种计算机病毒。 14)自动链接到一些陌生的网站 没有在上网，计算机会自动拨号并连接到因特网上一个陌生的站点，或者在上网的时候发现网络特别慢，存在陌生的网络链接。 这种联接大多是黑客程序将收集到的计算机系统的信息 “ 悄悄地 ” 发回某个特定的网址，可以通过 stat 命令查看当前建立的网络链接，再比照访问的网站来发现。 需要注意的是有些网页中有一些脚本程序会自动链接到一些网页评比站点，或者是广告站点，这时候也会有陌生的网络链接出现。 当然，这种情况也可以认为是非法的。 一般的系统故障是有别于计算机病毒感染的。 系统故障大多只符合上面的一点或二点现象，而计 算机病毒感染所出现的现象会多的多。 根据上述几点，就可以初步判断计算机和网络是否感染上了计算机病毒。 其次， 计算机病毒发作时的表征现象 计算机病毒发作时是指满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的阶段。 计算机病毒发作时的表现大都各不相同，可以说一百个计算机病毒发作有一百种花样。 这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系。 以下列举了一些计算机病毒发作时常见的表现现象： 1)提示一些不相干的话 最常见的是提示一些不相干的话，比如打开感染了宏病毒的 Word 文档，如果满足了发作条件的话，它就会弹出对话框显示。