計(jì)算機(jī)病毒原理及其檢測(cè)探析論文

計(jì)算機(jī)病毒原理及其檢測(cè)探析論文

　　根據(jù)病毒破壞性的大小分為良性病毒和惡性病毒。今天學(xué)習(xí)啦小編要與大家分享的是 :計(jì)算機(jī)病毒原理及其檢測(cè)探析的論文,具體內(nèi)容如下,希望能幫助到大家!

　　計(jì)算機(jī)病毒原理及其檢測(cè)探析

　　計(jì)算機(jī)已在各個(gè)領(lǐng)域得到了廣泛的應(yīng)用，以其快捷、方便給人們的生活帶來(lái)了很大的便利。但計(jì)算機(jī)病毒容易對(duì)計(jì)算機(jī)造成巨大的破壞和潛在的威脅。因此加強(qiáng)計(jì)算機(jī)安全工作勢(shì)在必行。對(duì)一般人來(lái)講，計(jì)算機(jī)病毒似乎是一個(gè)專業(yè)性很強(qiáng)的問(wèn)題，但實(shí)際上稍加分析，計(jì)算機(jī)病毒的知識(shí)不像想象中的那么神秘。普通人只要認(rèn)真學(xué)習(xí)一下，就能具備基本的知識(shí)，同時(shí)也能具備一些對(duì)抗計(jì)算機(jī)病毒能力，最大限度的保護(hù)自己的網(wǎng)絡(luò)安全。

　　1 計(jì)算機(jī)病毒的概述

　　1.1 概念

　　一般來(lái)講，計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的對(duì)計(jì)算機(jī)的性能和數(shù)據(jù)造成破壞，進(jìn)而影響計(jì)算機(jī)的正常使用并且具有自我復(fù)制功能的指令或者程序代碼?！吨腥A人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確規(guī)定：病毒指在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒旳實(shí)質(zhì)是一組人為的程序或代碼，具有很強(qiáng)的破壞性、傳染性和自我復(fù)制性。

　　1.2 計(jì)算機(jī)病毒的特點(diǎn)

　　首先，計(jì)算機(jī)病毒具有很強(qiáng)的自我復(fù)制性，能夠隨著軟件、程序的運(yùn)行而不斷進(jìn)行自我繁殖和復(fù)制，這也是判斷計(jì)算機(jī)病毒的一個(gè)基本標(biāo)志。其次，計(jì)算機(jī)病毒本身具有很強(qiáng)的傳染性，計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，如果一臺(tái)電腦被感染而沒(méi)有得到及時(shí)處理，病毒就會(huì)通過(guò)各種途徑和方式感染另一臺(tái)電腦。

　　第三，計(jì)算機(jī)病毒具有很強(qiáng)的破壞性，輕則導(dǎo)致數(shù)據(jù)的丟失和程序的不正常運(yùn)轉(zhuǎn)，重則導(dǎo)致機(jī)器癱瘓、系統(tǒng)損壞，這也是病毒編制者所欲達(dá)到的目的。第四是潛伏性，即病毒會(huì)潛伏在電腦一段時(shí)間，當(dāng)條件具備時(shí)會(huì)自動(dòng)開啟，破壞電腦，而且還可以設(shè)定破壞的目標(biāo)。第五，計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性，一般的病毒可以檢測(cè)出來(lái)，但是有一些卻檢測(cè)不出來(lái)，變化很多。

　　1.3 計(jì)算機(jī)病毒的分類

　　根據(jù)病毒破壞性的大小分為良性病毒和惡性病毒。良性病毒是指只是為了顯示自己的存在但并不對(duì)計(jì)算機(jī)造成任何破壞的病毒，這種病毒具有一般病毒的其他特點(diǎn)，但是具有很小的破壞性。惡性病毒是指以破壞數(shù)據(jù)或系統(tǒng)為目的的病毒，一般帶有很強(qiáng)的破壞性，有的雖然不破壞數(shù)據(jù)或系統(tǒng)，但是占用大量系統(tǒng)資源甚至導(dǎo)致死機(jī)現(xiàn)象。引導(dǎo)扇型病毒：一般出現(xiàn)在DOS的引導(dǎo)過(guò)程，開機(jī)時(shí)啟動(dòng)。它不以文件的形式存在磁盤上，沒(méi)有文件名或命令顯示，具有極高的隱蔽性。

　　引導(dǎo)型病毒通常分為兩部分：第一部分放在磁盤引導(dǎo)扇區(qū)中;另一部分和原引導(dǎo)記錄放在磁盤上連續(xù)幾個(gè)簇中，其位置一般放在第一部分中。各類引導(dǎo)型病毒引入存儲(chǔ)過(guò)程大致相同。它們都要修改內(nèi)存可用空間的大小，都植入內(nèi)存的高端，并在內(nèi)存高端為病毒傳播留出工作空間，否則在運(yùn)行其它程序時(shí)可能被覆蓋;都要修改中斷向量表，以便將來(lái)有機(jī)會(huì)占領(lǐng)CPU，否則即使在內(nèi)存也如同冬眠一樣，不能進(jìn)行傳播和破壞。文件型病毒，也被稱為外殼型病毒。

　　這種病毒主要存在于文件擴(kuò)展名為.COM和.EXE等的可執(zhí)行文件的頭部和尾部。只要運(yùn)行所在程序，病毒就會(huì)被激活，同時(shí)又傳染到其他文件上，而且病毒會(huì)控制相關(guān)程序。深入型病毒是一種比較復(fù)雜的病毒，也被稱之為混合型病毒，具有引導(dǎo)區(qū)病毒和文件型病毒兩種特征，二者相互促進(jìn)共同進(jìn)行傳染，所以傳播范圍比較廣、清除難度大。

　　2 計(jì)算機(jī)病毒的檢測(cè)

　　2.1 一般檢查步驟

　　首先是進(jìn)程選項(xiàng)，這是第一個(gè)排查對(duì)象。開機(jī)后在不啟動(dòng)任何程序的前提下打開任務(wù)管理器，查看一下是否存在可疑進(jìn)程;其次查看系統(tǒng)進(jìn)程的路徑是否正確。如果進(jìn)程都正確則查看是否有可疑線程注入正常程序。進(jìn)程排查完畢后開啟自啟動(dòng)項(xiàng)目的排查。首先用msconfig察看是否有可疑的服務(wù)，切換到服務(wù)選項(xiàng)卡，勾選“隱藏所有Microsoft服務(wù)”復(fù)選框，然后逐一確認(rèn)剩下的服務(wù)是否正常;

　　第二步：用msconfig察看是否有可疑的自啟動(dòng)項(xiàng)，只要切換到啟動(dòng)選項(xiàng)卡進(jìn)行排查即可;最后，用Autoruns查看更詳細(xì)的啟動(dòng)項(xiàng)信息。第二步開始檢查網(wǎng)絡(luò)連接，ADSL用戶可以嘗試使用虛擬撥號(hào)進(jìn)行連接，之后用用冰刃的網(wǎng)絡(luò)連接查看有無(wú)可疑連接。第四步可以選擇安全模式安全模式開啟電腦，如果無(wú)法正常進(jìn)入則可能存在病毒問(wèn)題，第五，映像劫持：打開注冊(cè)表編輯器，查看有沒(méi)有可疑的映像劫持項(xiàng)目，如果存在可疑項(xiàng)則電腦很有可能中毒。最后，CPU時(shí)間也是機(jī)器是否中毒的一個(gè)重要標(biāo)志。可以通過(guò)開機(jī)后系統(tǒng)運(yùn)行時(shí)間作參考，CPU運(yùn)行時(shí)間則是一個(gè)很好的參照。

　　2.2 具體方法

　　(1)特征代碼法。主要用來(lái)判斷文件是否感染病毒，要求兌現(xiàn)關(guān)軟件進(jìn)行不斷的更新以適應(yīng)要求。特征代碼法主要運(yùn)用了比較法、分析法和掃描法。

　　(2)檢驗(yàn)和法。通過(guò)計(jì)算正常文件內(nèi)容校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。使用文件前通過(guò)對(duì)比前后檢驗(yàn)和來(lái)確定文件是否感染病毒。它的弊端是不能識(shí)別病毒種類和病毒名稱，而且還會(huì)影響文件的運(yùn)行速度，出現(xiàn)錯(cuò)誤示警。

　　(3)行為監(jiān)測(cè)法。這種方法主要利用病毒的特有行為特性來(lái)判斷是否存在病毒。每種病毒都會(huì)有自己獨(dú)一無(wú)二的特性，這種方法正好充分利用了這一點(diǎn)。這種方法具有很強(qiáng)的優(yōu)勢(shì)，即對(duì)許多未知病毒都能夠有效發(fā)現(xiàn)，但缺點(diǎn)是不能識(shí)別病毒名稱，實(shí)現(xiàn)起來(lái)有一定的難度。

　　(4)軟件模擬法。主要是利用相關(guān)軟件來(lái)模式和分析程序的運(yùn)行狀況，確定有無(wú)病毒。