計算機病毒解析與防範論文
下面是小編和大家分享的一篇計算機病毒解析與防範的論文,希望對各位要準備寫論文的朋友們有幫助。
計算機病毒解析與防範
摘要: 目前計算機病毒可以滲透到資訊社會的各個領域,給計算機系統帶來了巨大的破壞和潛在的威脅。為了確保資訊的安全與暢通,因此,研究計算機病毒的防範措施已迫在眉睫。本文從計算機的特點入手,來初步探討對付計算機病毒的方法和措施。
關鍵詞:計算機、防範/病毒/分析
隨著計算機在社會生活各個領域的廣泛運用,計算機病毒攻擊與防範技術也在不斷拓展。據報道,世界各國遭受計算機病毒感染和攻擊的事件數以億計,嚴重地干擾了正常的人類社會生活,給計算機網路和系統帶來了巨大的潛在威脅和破壞。與此同時,病毒技術在戰爭領域也曾廣泛的運用,在海灣戰爭、近期的科索沃戰爭中,雙方都曾利用計算機病毒向敵方發起攻擊,破壞對方的計算機網路和武器控制系統,達到了一定的政治目的與軍事目的。可以預見,隨著計算機、網路運用的不斷普及、深入,防範計算機病毒將越來越受到各國的高度重視。
一、計算機病毒的內涵、型別及特點
計算機病毒是一組通過複製自身來感染其它軟體的程式。當程式執行時,嵌入的病毒也隨之執行並感染其它程式。一些病毒不帶有惡意攻擊性編碼,但更多的病毒攜帶毒碼,一旦被事先設定好的環境激發,即可感染和破壞。自80年代莫里斯編制的第一個“蠕蟲”病毒程式至今,世界上已出現了多種不同型別的病毒。在最近幾年,又產生了以下幾種主要病毒:
***1***“美麗殺手”***Melissa***病毒。這種病毒是專門針對微軟***伺服器MS Exchange和***收發軟體0ut1ookExpress的Word巨集病毒,是一種拒絕服務的攻擊型病毒,能夠影響計算機執行微軟word97、word2000和0utlook。這種病毒是一種Word文件附件,由E-mall攜帶傳播擴散。由於這種病毒能夠自我複製,一旦使用者開啟這個附件,“美麗殺手”病毒就會使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動複製傳送,從而過載E-mai1伺服器或使之損壞。“美麗殺手”病毒的擴散速度之快可達幾何級數,據計算,如果“美麗殺手”病毒能夠按照理論上的速度傳播,只需要繁殖5次就可以讓全世界所有的網路使用者都都收到一份。“美麗殺手”病毒的最令人恐怖之處還不僅是拒絕***伺服器,而是使使用者的非常敏感和核心的機密資訊在不經意間通過***的反覆傳播和擴散而被洩漏出去,連擴散到了什麼地方可能都不得而知。據外電報道,在北約對南聯盟發動的戰爭行動中,證實“美麗殺手”病毒己使5萬部電腦主機和幾十萬部電腦陷於癱瘓而無法工作,網路被空資料包阻塞,迫使許多使用者關機避災。
***2***“怕怕”***Papa***病毒。“怕怕”病毒是另一種Excel巨集病毒,它能夠繞開網路管理人員設定的保護措施進入計算機。這種病毒與“美麗殺手”病毒相類似,其區別在於“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播,拒絕服務和阻塞網路,而且更為嚴重的是它能使整個網路癱瘓,使被它感染的檔案所具有的巨集病毒預警功能喪失作用。
***3***“瘋牛”***Mad Cow***和“怕怕B”病毒。 這兩種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。正當美國緊急動員起來對付3月26日發現的“美麗殺手”和“怕怕”病毒時,在歐洲又出現了它們的新變種“美麗殺手B”***又叫作“瘋牛”***和“怕怕B”,目前正橫掃歐洲大陸,造成大規模破壞,而且還正在向全世界擴散蔓延。雖然這兩種病毒變種的病毒程式碼不同,可能不是一個人所編寫,但是,它們同樣也是通過傳送Word和Excel檔案而傳播。每次被啟用後,這種病毒就會向用戶***簿的前60個地址傳送垃圾郵件;它還可以向一個外部網站傳送網路請求,佔用大量的頻寬而阻滯網路的工作,其危害性比原型病毒有過之而無不及。
***4***“幸福1999”巨集病毒。 這是一種比“美麗殺手”的破壞作用小得多的病毒。“幸福1999”病毒會改變計算機中的微軟公司Windows程式與Internet網工作。這種病毒還發送一個執行檔案,啟用焰火顯示,使螢幕碎裂。
***5***“咻咻”***Ping***轟擊病毒。“咻咻”轟擊病毒的英文單詞是“分組Internet搜尋者”的縮寫,指的是將一個分組資訊傳送到伺服器並等待其響應的過程,這是使用者用以確定一個系統是否在Internet網上執行的一種方法。據外電報道,運用“咻咻”***Ping***轟擊病毒,傳送大量的“咻咻”空資料包,使伺服器過載,不能對其它使用者作出響應。
歸納起來,計算機病毒有以下特點:一是攻擊隱蔽性強。病毒可以無聲無息地感染計算機系統而不被察覺,待發現時,往往已造成嚴重後果。二是繁殖能力強。電腦一旦染毒,可以很快“發病”。目前的三維病毒還會產生很多變種。三是傳染途徑廣。可通過軟盤、有線和無線網路、硬體裝置等多渠道自動侵入計算機中,並不斷蔓延。四是潛伏期長。病毒可以長期潛伏在計算機系統而不發作,待滿足一定條件後,就激發破壞。五是破壞力大。計算機病毒一旦發作,輕則干擾系統的正常執行,重則破壞磁碟資料、刪除檔案,導致整個計算機系統的癱瘓。六是針對性強。計算機病毒的效能可以準確地加以設計,滿足不同環境和時機的要求。
二、計算機病毒的技術分析
長期以來,人們設計計算機的目標主要是追求資訊處理功能的提高和生產成本的降低,而對於安全問題則重視不夠。計算機系統的各個組成部分,介面介面,各個層次的相互轉換,都存在著不少漏洞和薄弱環節。硬體設什缺乏整體安全性考慮,軟體方面也更易存在隱患和潛在威脅。對計算機系統的測試,目前尚缺乏自動化檢測工具和系統軟體的完整檢驗手段,計算機系統的脆弱性,為計算機病毒的產生和傳播提供了可乘之機;全球全球資訊網***www***使“地球一村化”,為計算機病毒創造了實施的空間;新的計算機技術在電子系統中不斷應用,為計算機病毒的實現提供了客觀條件。國外專家認為,分散式數字處理、可重程式設計嵌入計算機、網路化通訊、計算機標準化、軟體標準化、標準的資訊格式、標準的資料鏈路等都使得計算機病毒侵入成為可能。
實施計算機病毒入侵的核心技術是解決病毒的有效注入。其攻擊目標是對方的各種系統,以及從計算機主機到各式各樣的感測器、網橋等,以使他們的計算機在關鍵時刻受到誘騙或崩潰,無法發揮作用。從國外技術研究現狀來看,病毒注入方法主要有以下幾種:
1.無線電方式。主要是通過無線電把病毒碼發射到對方電子系統中。此方式是計算機病毒注入的最佳方式,同時技術難度也最大。可能的途徑有:①直接向對方電子系統的無線電接收器或裝置發射,使接收器對其進行處理並把病毒傳染到目標機上。②冒充合法無線傳輸資料。根據得到的或使用標準的無線電傳輸協議和資料格式,發射病毒碼,使之能夠混在合法傳輸訊號中,進入接收器,進而進人資訊網路。③尋找對方資訊系統保護最差的地方進行病毒注放。通過對方未保護的資料鏈路,將病毒傳染到被保護的鏈路或目標中。
2.“固化”式方法。即把病毒事先存放在硬體***如晶片***和軟體中,然後把此硬體和軟體直接或間接交付給對方,使病毒直接傳染給對方電子系統,在需要時將其啟用,達到攻擊目的。這種攻擊方法十分隱蔽,即使晶片或元件被徹底檢查,也很難保證其沒有其他特殊功能。目前,我國很多計算機元件依賴進口,困此,很容易受到晶片的攻擊。
3.後門攻擊方式。後門,是計算機安全系統中的一個小洞,由軟體設計師或維護人發明,允許知道其存在的人繞過正常安全防護措施進入系統。攻擊後門的形式有許多種,如控制電磁脈衝可將病毒注入目標系統。計算機入侵者就常通過後門進行攻擊,如目前普遍使用的WINDOWS98,就存在這樣的後門。
4.資料控制鏈侵入方式。隨著因特網技術的廣泛應用,使計算機病毒通過計算機系統的資料控制鏈侵入成為可能。使用遠端修改技術,可以很容易地改變資料控制鏈的正常路徑。
除上述方式外,還可通過其他多種方式注入病毒。
三、對計算機病毒攻擊的防範的對策和方法
1.建立有效的計算機病毒防護體系。有效的計算機病毒防護體系應包括多個防護層。一是訪問控制層;二是病毒檢測層;三是病毒遏制層;四是病毒清除層;五是系統恢復層;六是應急計劃層。上述六層計算機防護體系,須有有效的硬體和軟體技術的支援,如安全設計及規範操作。
2.嚴把收硬體安全關。國家的機密資訊系統所用裝置和系列產品,應建立自己的生產企業,實現計算機的國產化、系列化;對引進的計算機系統要在進行安全性檢查後才能啟用,以預防和限制計算機病毒伺機入侵。
3.防止電磁輻射和電磁洩露。採取電磁遮蔽的方法,阻斷電磁波輻射,這樣,不僅可以達到防止計算機資訊洩露的目的,而且可以防止“電磁輻射式”病毒的攻擊。
4、.加強計算機應急反應分隊建設。應成立自動化系統安全支援分隊,以解決計算機防禦性的有關問題。早在1994年,美國軟體工程學院就成立了計算機應急反應分隊。
計算機病毒攻擊與防禦手段是不斷髮展的,要在計算機病毒對抗中保持領先地位,必須根據發展趨勢,在關鍵技術環節上實施跟蹤研究。實施跟蹤研究應著重圍繞以下方面進行:一是計算機病毒的數學模型。二是計算機病毒的注入方式,重點研究“固化”病毒的激發。三是計算機病毒的攻擊方式,重點研究網路間無線傳遞資料的標準化,以及它的安全脆弱性和高頻電磁脈衝病毒槍置人病毒的有效性。四是研究對付計算機病毒的安全策略及防禦技術
分析法
一般使用分析法的人不是普通使用者,而是防殺計算機病毒技術人員。使用分析法的目的在於:
1. 確認被觀察的磁碟引導扇區和程式中是否含有計算機病毒;
2. 確認計算機病毒的型別和種類,判定其是否是一種新的計算機病毒;
3. 搞清楚計算機病毒體的大致結構,提取特徵識別用的位元組串或特徵字,用於增添到計算機病毒程式碼庫供計算機病毒掃描和識別程式用;
4. 詳細分析計算機病毒程式碼,為制定相應的防殺計算機病毒措施制定方案。
上述四個目的按順序排列起來,正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關計算機、DOS、Windows、網路等的結構和功能呼叫以及關於計算機病毒方面的各種知識,這是與其他檢測計算機病毒方法不一樣的地方。
要使用分析法檢測計算機病毒,其條件除了要具有相關的知識外,還需要反彙編工具、二進位制檔案編輯器等分析用工具程式和專用的試驗計算機。因為即使是很熟練的防殺計算機病毒技術人員,使用效能完善的分析軟體,也不能保證在短時間內將計算機病毒程式碼完全分析清楚。而計算機病毒有可能在被分析階段繼續傳染甚至發作,把軟盤硬碟內的資料完全毀壞掉,這就要求分析工作必須在專門設立的試驗計算機機上進行,不怕其中的資料被破壞。在不具備條件的情況下,不要輕易開始分析工作,很多計算機病毒採用了自加密、反跟蹤等技術,使得分析計算機病毒的工作經常是冗長和枯燥的。特別是某些檔案型計算機病毒的程式碼可達10Kb以上,與系統的牽扯層次很深,使詳細的剖析工作十分複雜。
計算機病毒檢測的分析法是防殺計算機病毒工作中不可缺少的重要技術,任何一個性能優良的防殺計算機病毒系統的研製和開發都離不開專門人員對各種計算機病毒的詳盡而認真的分析。
分析的步驟分為靜態分析和動態分析兩種。靜態分析是指利用反彙編工具將計算機病毒程式碼列印成反彙編指令後程序清單後進行分析,看計算機病毒分成哪些模組,使用了哪些系統呼叫,採用了哪些技巧,並將計算機病毒感染檔案的過程翻轉為清除該計算機病毒、修復檔案的過程;判斷哪些程式碼可被用做特徵碼以及如何防禦這種計算機病毒。分析人員具有的素質越高,分析過程越快、理解越深。動態分析則是指利用DEBUG等除錯工具在記憶體帶毒的情況下,對計算機病毒做動態跟蹤,觀察計算機病毒的具體工作過程,以進一步在靜態分析的基礎上理解計算機病毒工作的原理。在計算機病毒編碼比較簡單的情況下,動態分析不是必須的。但當計算機病毒採用了較多的技術手段時,必須使用動、靜相結合的分析方法才能完成整個分析過程。
計算機病毒解析與防範論文