计算机病毒的预防技术探讨毕业设计.doc 47页

'温州职业技术学院成教学院2013届专科生毕业设计（论文）计算机病毒的预防技术探讨毕业设计目录1引言（或绪论）（作为正文第1章，小4号宋体，行距18磅，下同）…………12××××××（正文第2章）……………………………………………………Y2.1××××××（正文第2章第1条）…………………………………………Y2.2××××××（正文第2章第2条）…………………………………………Y2.X××××××（正文第2章第X条）…………………………………………Y3×××××（正文第3章）………………………………………………Y………………………………………（略）X×××××（正文第X章）………………………………………………………Y结论……………………………………………………………………………………Y致谢……………………………………………………………………………………Y参考文献………………………………………………………………………………Y附录A××××（必要时）…………………………………………………………Y附录B××××（必要时）…………………………………………………………Y图1×××××（必要时）…………………………………………………………Y图2×××××（必要时）…………………………………………………………Y表1×××××（必要时）…………………………………………………………Y表2×××××（必要时）…………………………………………………………Y47 温州职业技术学院成教学院2013届专科生毕业设计（论文）前言1引言（或绪论）（作为正文第1章标题，用小3号黑体，加粗，并留出上下间距为：段前0.5行，段后0.5行）在现在的网络中危害最大的就是计算机病毒，计算机病毒可以摧毁计算机和网络里的任何数据，计算机病毒能在无声无息的侵入，可以说是防不胜防，这篇文章讲述了如对于计算机病毒的防范，如何简单快捷的处理计算机病毒，讲述了计算机病毒的内涵和含义。还介绍了一下对于计算机病毒的一些应急计划和措施，根据病毒传染的方法可分为驻留型病毒和非驻留型病毒。（小4号宋体，1.5倍行距）×××××××××××××××××××××………1．1第一章计算机病毒的内涵、类型和特点（作为正文2级标题，用4号黑体，加粗）现在时代的发展，计算机已经在社会的各个领域广泛应用，进入了人们生活的各个领域，由于计算机的发展随之计算机病毒也在不断发展，因此计算机病毒的防范技术也在不断发展。根据报道，每年世界各国受到计算机病毒的攻击和威胁是数以万计，电脑病毒的出现可以最速到1983年，据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，可见计算机病毒的可怕性和威胁性。然后在特定的条件下破坏系统或骚扰用户。破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。（小4号宋体）××××××…………1.1.1计算机病毒的定义及内涵（作为正文3级标题，用小4号黑体，不加粗）计算机病毒对大多数的计算机使用者而言应该是再耳熟能详不过的名词,它是一个程序，一段可执行码，计算机的正常使用进行破坏，计算机病毒可以通过软盘、硬盘、光盘及网络等多种途径进行传播。当计算机因使用带病毒的软盘而遭到感染后，又会感染以后被使用的软盘，如此循环往复使传播的范围越来越大。当硬盘带毒后，又可以感染所使用过的软盘，在用软盘交换程序和数据时又会感染其它计算机上的硬盘。某些计算机病毒还有其他一些共同特性，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）计算机病毒一直是计算机用户和安全专家的心腹大患，它们通过计算机网络传播病毒已经成了感染计算机病毒的主流方式。这种方式传播病毒的速度极快，且范围特广。（小4号宋体）×××××××××××××××××××××××××××………2计算机病毒的特征（作为正文第2章标题，用小3号黑体，加粗，并留出上下间距为：段前0.5行，段后0.5行）计算机病毒的特征总共6个内容如下：感染性。计算机病毒的感染性也称为寄生性，是指计算机病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生成的特性。计算机病毒的感染性是计算机病毒的根本属性，是判断一个程序是否为病毒程序的主要依据。隐蔽性。隐蔽性是计算机病毒的基本特征之一。从计算机病毒隐藏的位置来看，不同的病毒隐藏在不同的位置，有的隐藏在扇区中，有的则以隐藏文件的形式出现，让人防不胜防。潜伏性。计算机病毒的潜伏性是指其具有依附于其他媒体而寄生的能力，通过修改其他程序而把自身的复制体嵌入到其他程序或者磁盘的引导区甚至硬盘的主引导区中寄生。可触发性。计算机病毒一般都具有一个触发条件：或者触发其感染，即在一定的条件下激活一个病毒的感染机制使之进行感染；或者触发其发作，即在一定的条件下激活病毒的表现攻击破坏部分。衍生性。计算机病毒的衍生性是指计算机病毒的制造者依据个人的主观愿望，对某一个已知病毒程序进行修改而衍生出另外一中或多种来源于同一种病毒，而又不同于源病毒程序的病毒程序，即源病毒程序的变种。这也许就是病毒种类繁多、复杂的原因之一。破坏性。计算机病毒的破坏性取决于计算机病毒制造者的目的和水平，它可以直接破坏计算机数据信息、抢占系统资源、影响计算机运行速度以及对计算机硬件构成破坏等。正是由于计算机病毒可怕的破坏性才使得计算机病毒令人如此恐怖。（小4号宋体）×××××××××××××××××××××××××××××××××××………1.3计算机病毒的分类根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：47 温州职业技术学院成教学院2013届专科生毕业设计（论文）1.3.1按病毒存在的媒体　　根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。1.3.2按病毒传染的方法　　根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。1.3.3按病毒破坏的能力　　无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。　　无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。　　危险型：这类病毒在计算机系统操作中造成严重的错误。　　非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。1.3.4按病毒的算法　　47 温州职业技术学院成教学院2013届专科生毕业设计（论文）伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。　　“蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。　　寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。　　诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。1.4计算机病毒的表现现状计算机受到病毒感染后，会表现出不同的症状。机器不能正常启动加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。运行速度降低如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由于病毒造成的。磁盘空间迅速变小由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。文件内容和长度有所改变一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。经常出现“死机”现象。正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那可能是由于系统被病毒感染了。外部设备工作异常因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。1.5计算机病毒的传播方式①.软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。②.光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。③.硬盘由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘传染并再扩散。④.BBS电子布告栏（BBS）因为上站容易、投资少，因此深受大众用户的喜爱。BBS是由计算机爱好者自发组织的通讯站点，用户可以在BBS上进行文件交换（包括自由软件、游戏、自编程序）。由于BBS站一般没有严格的安全管理，亦无任何限制，这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBS站间通过中心站间进行传送，传播面较广。随着BBS在国内的普及，给病毒的传播又增加了新的介质。⑤.网络现代通信技术的巨大进步已使空间距离不再遥远，数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送，工作站的距离可以短至并排摆放的计算机，也可以长达上万公里，正所谓“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”47 温州职业技术学院成教学院2013届专科生毕业设计（论文）。计算机病毒可以附着在正常文件中，当您从网络另一端得到一个被感染的程序，并在您的计算机上未加任何防护措施的情况下运行它，病毒就传染开来了。这种病毒的传染方式在计算机网络连接很普及的国家是很常见的，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。大量的国外病毒随着互联网络传入国内。第二章计算机病毒的保护手段及技术分析长期以来，人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则重视不够。计算机系统的各个组成部分，接口界面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑，软件方面也更易存在隐患和潜在威胁。对计算机系统的测试，目前尚缺乏自动化检测工具和系统软件的完整检验手段，计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机；全球万维网（www）使“地球一村化”，为计算机病毒创造了实施的空间；新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。国外专家认为，分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。2.1计算机病毒的危害（1）病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SKKILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning!!Don"tturnoffpowerorremovediskettewhileDiskKillerisProsessing！”（警告！D1SKKILLERll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SKKILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。（2）占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。（3）抢占系统资源除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。（4）影响计算机运行速度病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。（5）计算机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误，乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。（6）计算机病毒的兼容性对系统运行的影响兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）（7）计算机病毒给用户造成严重的心理压力据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60％以上。经检测确实存在病毒的约占70％，另有30％情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。2.2计算机病毒的自我保护手段（1）掩盖技术：不断修改标志、传染方式、表现方式：不通过传统的方式，如以热键激活取代中断激活方式Alabama病毒可拦截INT9，若发现用户使用热启动时，则调用其内部的Bootstrap子程序启动计算机，是自己继续潜伏在内存。避开中断请求而直接调用中断服务过程。用中断请求INT27H或INT31H来合法获取内存。不将非法占用的区域标为坏簇，而标为已分配的簇。（2）造假技术修改文件长度：如ZeroBug病毒。（3）加密技术对病毒源码加密：17011206病毒利用自身修改技术，每次传然后都有变化。（4）自灭技术YankeeDoodle病毒驻留内存后，若发现被传染的文件有被分析的可能，则用Debug调被传染的文件用Q命令删除。（5）嵌入技术拼接，成为合法程序的一部分，得到系统的认可例：EDDIE病毒将自己隐藏在操作系统中，随操作系统启动按随机格式复制成其他的程序。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）（6）反动态跟踪技术Pakistani病毒驻留内存后，可通过INT13H监视用户读取引导扇区的操作，当用户用debug读取0逻辑扇区时，病毒将存于它处的引导扇区显示出来。2.3如何识别计算机病毒很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。　　世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。　　一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>。　　病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等还有其他的。　　病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“Sasser”。　　病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强“_”），可以采用数字与字母混合表示变种标识。　　综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。　2.4计算机病毒的攻击技术分析47 温州职业技术学院成教学院2013届专科生毕业设计（论文）实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现状来看，病毒注入方法主要有以下几种：2.4.1无线电方式主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式，同时技术难度也最大。可能的途径有： （1）直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机上。（2）冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码，使之能够混在合法传输信号中，进入接收器，进而进入信息网络。（3）寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路，将病毒传染到被保护的链路或目标中。  2.4.2“固化”式方法即把病毒事先存放在硬件（如芯片）和软件中，然后把此硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统，在需要时将其激活，达到攻击目的。这种攻击方法十分隐蔽，即使芯片或组件被彻底检查，也很难保证其没有其他特殊功能。目前，我国很多计算机组件依赖进口，因此，很容易受到芯片的攻击。2.4.3后门攻击方式后门，是计算机安全系统中的一个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种，如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击，如目前普遍使用的WINDOWS98，就存在这样的后门。2.4.4、数据控制链侵入方式随着因特网技术的广泛应用，使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术，可以很容易地改变数据控制链的正常路径。2.5异常处理47 温州职业技术学院成教学院2013届专科生毕业设计（论文）病毒在运行过程中，由于环境的变化、程序设计上的失误等原因，有时候轻则弹出提示窗口，重则会导致程序、甚至系统崩溃。为礼物被发现，异常处理也经常用在计算机病毒中。2.5.1异常处理的方式Windows下异常处理有两种方式：筛选器异常处理和SHE异常处理。筛选器异常处理的方式有程序指定一个异常处理回调函数，当发生异常的时候，Windows系统将调用这个回调函数并根据回调函数的返回值决定下一步如何操作。于一个进程来说，只有一个筛选器回调函数。很明显，这种异常处理方式不便于模块的封装：由于筛选器回调函数是基于整个进程的，无法为一个线程或子程序单独设置一个异常处理回调函数，这样就无法将私有处理代码封装进某个模块中。SHE（“StructuredEsceptionHandling”）,即结构化异常处理，是操作系统提供给程序设计者的强有力处理程序错误或异常的武器。筛选器异常处理和SHE异常处理都是以回调函数的方式提供的：另外，系统都会根据回调函数的返回值选择不同的操作。但它们之间也有如下区别（1）SHE可以为每个线程设置不同的异常处理程序，而且可以为每个线程设置多个异常处理程序（2）两者的回调函数的参数定义和返回值的定义不一样（3）SHE使用了与硬件相关的数据指针，所以在不同的硬件平台中使用SHE的方法会有所不同2.5.2异常处理的过程当系统遇到一个它不知道如何处理的宜昌时，它就查找异常处理链表。当一个异常发生时，操作系统要向引起异常的线程的堆栈里压入3个结构，分别是EXCEPTION_RECORD、EXCEPTION_POINTERS、CONTEXT。EXCEPTION_RECORD结构包含有关已发生的独立与CPU的信息，CONTEXT结构包含已发生异常的依赖与CPU信息，EXCEPTION_POINTERS结构只有两个指正数据成员，分别指向被压入栈的EXCEPTION_RECORD和CONTEXT结构，CONTEXT结构包含了特定处理的寄存处器数据，系统使用该结构执行各种内部操作。CONTEXT结构非常重要，程序通过修改结构中的成员，改变了线程的运行环境，从而达到反跟踪的目的，从原程序的任意Eip制定位置开始执行。第三章几种常见病毒的识别和防范47 温州职业技术学院成教学院2013届专科生毕业设计（论文）3．1如何防止病毒感染使用经过更新的反病毒程序扫描您的计算机。从Microsoft Web 站点安装最新的安全修补程序。　　重新安装反病毒程序（如果它已停止工作）。  从反病毒供应商的 Web 站点获取最新的“件病毒签名文”。对于每种新病毒，反病毒供应商都会发布更新来对付新病毒。　　杀除病毒后，请再次扫描您的计算机以确保完全杀除病毒。　　安排反病毒程序在您睡觉期间检查系统。　　如果以下一个或多个条件为真，则您可能必须格式化计算机硬盘，并重新安装 Windows 以及您的所有计算机程序：　　反病毒软件显示一条无法修复或杀除病毒的消息。　　病毒损坏或删除了计算机上的一些重要文件。如果 Windows 或某些程序无法启动，或在启动时出现表明文件损坏或丢失的错误信息，则可能属于这种情况　　即使在您清理工作站之后，本文描述的症状依然存在，并且您能肯定问题是由病毒引起的。　　确保在您的计算机上安装了防火墙。有关安全性和防火墙的详细信息，请访问Microsoft Web 站点：　　对于基于 Windows XP的计算机，请打开 Internet连接防火墙 (ICF)。　　对于所有其他版本的 Windows，请安装密集架第三方防火墙。　　确保安装了 Microsoft Outlook电子邮件安全更新：　　默认情况下，Outlook 2000 SP2 post-SP2 和 Outlook XP SP1 包括此安全更新。　　Outlook 2000 pre-SR1 和 Outlook 98 不包括此功能，但可以通过安装 Outlook 电子邮件安全更新来获取。　　将 Outlook Express6 配置为禁止访问病毒附件。Outlook Express 的较早版本 (pre-Outlook Express 6) 不包含附件阻塞功能。打开非您要求的带有附件的电子邮件附件时要格外小心。　　在 Outlook 和 Outlook Express 中禁用活动脚本。3．2计算机病毒的技术预防措施下面总结出一系列行之有效的措施供参考。　　（1）新购置的计算机硬软件47 温州职业技术学院成教学院2013届专科生毕业设计（论文）系统的测试　　新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后下面总结出一系列行之有效的措施供参考。（2）新购置的计算机硬软件系统的测试新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方再使用新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS下做FORMAT格式化是不能去除主引导区（分区表）计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。　　新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件，可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性，更不要说盗版软件了。这在国内、外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒，还要用人工检测和实验的方法检测。　　（3）计算机系统的启动　　在保证硬盘无计算机病毒的情况下，尽量使用硬盘引导系统。启动前，一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下，只要软盘在启动时被读过，计算机病毒仍然会进入内存进行传染。很多计算机中，可以通过设置CMOS参数，使启动时直接从硬盘引导启动，而根本不去读软盘。这样即使软盘驱动器中插着软盘，启动时也会跳过软驱，尝试由硬盘进行引导。很多人认为，软盘上如果没有COMMAND.COM等系统启动文件，就不会带计算机病毒，其实引导型计算机病毒根本不需要这些系统文件就能进行传染。（4）单台计算机系统的安全使用　　在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘，再在自己的计算机上使用前，也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭的使用环境中是不会自然产生计算机病毒的。　（5）重要数据文件要有备份　　硬盘分区表、引导扇区等的关键数据应作备份工作，并妥善保管。在进行系统维护和修复工作时可作为参考。　　重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件47 温州职业技术学院成教学院2013届专科生毕业设计（论文）出现故障，使用户数据受到损伤时再去急救。　　对于软盘，要尽可能将数据和应用程序分别保存，装应用程序的软盘要有写保护。　　在任何情况下，总应保留一张写保护的、无计算机病毒的、带有常用DOS命令文件的系统启动软盘，用以清除计算机病毒和维护系统。常用的DOS应用程序也有副本，计算机修复工作就比较容易进行了。　（6）不要随便直接运行或直接打开电子邮件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office文档。即使下载了，也要先用最新的防杀计算机病毒软件来检查。　（7）计算机网络的安全使用　　以上这些措施不仅可以应用在单机上，也可以应用在作为网络工作站的计算机上。而对于网络计算机系统，还应采取下列针对网络的防杀计算机病毒措施：a安装网络服务器时应，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。b在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。如果系统卷受到某种损伤，导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时，系统卷是不受影响的，不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限，保证网络系统不受计算机病毒感染和破坏。c一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。　　d为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，屏蔽其它网络用户对系统卷除读和执行以外的所有其它操作，如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的，不经授权、不经计算机病毒检测，就不允许在共享的应用程序卷中安装程序。保证除系统管理员外，其它网络用户不可能将计算机病毒感染到系统中，使网络用户总有一个安全的联网工作环境。　　e在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施，可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。3．3引导型计算机病毒的识别和防范47 温州职业技术学院成教学院2013届专科生毕业设计（论文）引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说的磁盘的BOOT区。我们在使用被感染的磁盘（无论是软盘还是硬盘）启动计算机时它们就会首先取得系统控制权，驻留内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。纯粹的引导型计算机病毒一般不对磁盘文件进行感染。感染了引导型计算机病毒后，引导记录会发生变化。当然，通过一些防杀计算机病毒软件可以发现引导型计算机病毒，在没有防杀计算机病毒软件的情况下可以通过以下一些方法判断引导扇区是否被计算机病毒感染：(1)先用可疑磁盘引导计算机，引导过程中，按F5键跳过CONFIG.SYS和AUTOEXEC.BAT中的驱动程序和应用程序的加载，这时用MEM或MI等工具查看计算机的空余内存空间（FreeMemorySpace）的大小；再用与可疑磁盘上相同版本的、未感染计算机病毒的DOS系统软盘启动计算机，启动过程中，按F5键跳过CONFIG.SYS和AUTOEXEC.BAT中的驱动程序和应用程序的加载，然后用MEM或MI等工具查看并记录下计算机空余内存空间的大小，如果上述两次的空余内存空间大小不一致，则可疑磁盘的引导扇区肯定已被引导型计算机病毒感染。(2)用硬盘引导计算机，运行DOS中的MEM，可以查看内存分配情况，尤其要注意常规内存（ConventionalMemory）的总数，一般为640Kb字节，装有硬件防杀计算机病毒芯片的计算机有的可能为639Kb字节。如果常规内存总数小于639Kb字节，那么引导扇区肯定被感染上引导型计算机病毒。(3)机器在运行过程中刚设定好的时间、日期，运行一会儿被修改为缺省的时间、日期，这种情况下，系统很可能带有引导型计算机病毒。　(4)在开机过程中，CMOS中刚设定好的软盘配置（即1.44Mb或1.2Mb），用“干净的”软盘启动时一切正常，但用硬盘引导后，再去读软盘则无法读取，此时CMOS中软盘设定情况为None，这种情况肯定带有引导型计算机病毒。　　(5)硬盘自引导正常，但用“干净的”DOS系统软盘引导时，无法访问硬盘如C：盘（某些需要特殊的驱动程序的大硬盘和FAT32、NTFS等特殊分区除外），这肯定感染上引导型计算机病毒。　(6)系统文件都正常，但Windows95/98经常无法启动，这有可能是感染上了引导型计算机病毒。上述介绍的仅是常见的几种情况。计算机被感染了引导型计算机病毒，最好用防杀计算机病毒软件加以清除，或者在“干净的”系统启动软盘引导下，用备份的引导扇区覆盖。预防引导型计算机病毒，通常采用以下一些方法：　　（1)坚持从不带计算机病毒的硬盘引导系统。　　（2)安装能够实时监控引导扇区的防杀计算机病毒软件，或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。　　（3)经常备份系统引导扇区。（4)某些底板上提供引导扇区计算机病毒保护功能（Virus47 温州职业技术学院成教学院2013届专科生毕业设计（论文）Protect），启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这功能可能会造成一些需要改写引导扇区的软件（如Windows95/98，WindowsNT以及多系统启动软件等）安装失败。3．4文件型计算机病毒的识别和防范大多数的计算机病毒都属于文件型计算机病毒。文件型计算机病毒一般只传染磁盘上的可执行文件（COM，EXE），在用户调用染毒的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存伺机传染其他文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。文件型计算机病毒通过修改COM、EXE或OVL等文件的结构，将计算机病毒代码插入到宿主程序，文件被感染后，长度、日期和时间等大多发生变化，也有些文件型计算机病毒传染前后文件长度、日期、时间不会发生任何变化，称之为隐型计算机病毒。隐型计算机病毒是在传染后对感染文件进行数据压缩，或利用可执行文件中有一些空的数据区，将自身分解在这些空区中，从而达到不被发现的目的。通过以下方法可以判别文件型计算机病毒：(1)在用未感染计算机病毒的DOS启动软盘引导后，对同一目录列目录（DIR）后文件的总长度与通过硬盘启动后所列目录内文件总长度不一样，则该目录下的某些文件已被计算机病毒感染，因为在带毒环境下，文件的长度往往是不真实的。　　(2)有些文件型计算机病毒（如ONEHALF、NATAS、3783、FLIP等），在感染文件的同时也感染系统的引导扇区，如果磁盘的引导扇区被莫名奇妙地破坏了，则磁盘上也有可能有文件型计算机病毒。(3)系统文件长度发生变化，则这些系统文件上很有可能含有计算机病毒代码。应记住一些常见的DOS系统的IO.SYS、MSDOS.SYS、COMMAND.COM、KRNL386.EXE等系统文件的长度。　　(4)计算机在运行过外来软件后，经常死机，或者Windows95/98无法正常启动，运行经常出错，等等，都有可能是感染上了文件型计算机病毒。(5)微机速度明显变慢，曾经正常运行的软件报内存不足，或计算机无法正常打印，这些现象都有可能感染上文件型计算机病毒。(6)有些带毒环境下，文件的长度和正常的完全一样，但是从带有写保护的软盘拷贝文件时，会提示软盘带有写保护，这肯定是感染了计算机病毒。对普通的单机和网络用户来说感染文件型计算机病毒后，最好的办法就是用防杀计算机病毒软件清除，或者干脆删除带毒的应用程序，然后重新安装。需要注意的是用防杀计算机病毒软件清除计算机病毒的时候必须保证内存中没有驻留计算机病毒，否则老的计算机病毒是清除了，可又感染上新的了。对于文件型计算机病毒的防范，一般采用以下一些方法：　　（1)安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件。（2)47 温州职业技术学院成教学院2013届专科生毕业设计（论文）及时更新查杀计算机病毒引擎，一般要保证每月至少更新一次，有条件的可以每周更新一次，并在有计算机病毒突发事件的时候及时更新。（3)经常使用防杀计算机病毒软件对系统进行计算机病毒检查。　　（4)对关键文件，如系统文件、保密的数据等等，在没有计算机病毒的环境下经常备份。（5)在不影响系统正常工作的情况下对系统文件设置最低的访问权限，以防止计算机病毒的侵害。（6)当使用Windows95/98/2000/NT操作系统时，修改文件夹窗口中的确省属性。具体操作为：鼠标左键双击打开“我的电脑”，选择“查看”菜单中的“选项”命令。然后在“查看”中选择“显示所有文件”以及不选中”隐藏已知文件类型的文件扩展名”，按“确定”按钮。注意不同的操作系统平台可能显示的文字有所不同。3．5宏病毒的识别和防范宏病毒（MacroVirus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件，只要使用这些应用程序的计算机就都有可能传染上宏病毒，并且大多数宏病毒都有发作日期。轻则影响正常工作，重则破坏硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在国内流行甚广，已成为计算机病毒的主流，因此用户应时刻加以防范。　　通过以下方法可以判别宏病毒：　(1)在使用的Word中从“工具”栏处打开“宏”菜单，选中Normal.dot模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就极可能是感染了宏病毒了，因为Normal模板中是不包含这些宏的。(2)在使用的Word“工具”菜单中看不到“宏”这个字，或看到“宏”但光标移到“宏”，鼠标点击无反应，这种情况肯定有宏病毒。(3)打开一个文档，不进行任何操作，退出Word，如提示存盘，这极可能是Word中的Normal.dot模板中带宏病毒。(4)打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘，也可能带有Word宏病毒。(5)在运行Word过程中经常出现内存不足，打印不正常，也可能有宏病毒。　(6)在运行Word97时，打开DOC文档出现是否启动“宏”的提示，该文档极可能带有宏病毒。感染了宏病毒后，也可以采取对付文件型计算机病毒的方法，用防杀计算机病毒软件查杀，如果手头一时没有防杀计算机病毒软件的话，对付某些感染Word文档的宏病毒也是可以通过手工操作的方法来查杀的。下面以Word47 温州职业技术学院成教学院2013届专科生毕业设计（论文）97为例简单介绍一下如何进行手工查杀：首先，必须保证Word97本身是没有感染宏病毒的，也就是Word97安装目录下Startup目录下的文件和Normal.dot文件没有被宏病毒感染。　　然后只打开Word97，而不是直接双击文档，选择“工具”菜单中的“选项”命令。再在“常规”中选中“宏病毒防护”，在“保存”中不选中“快速保存”，按确定按钮。打开文档，此时系统应该提示是否启用“宏”，选“否”，不启用宏而直接打开文档。再选择“工具”菜单的“宏”子菜单的“宏”命令，将可疑的宏全部删除。然后将文档保存。宏病毒被清除。有些宏可能会屏蔽掉“宏”菜单，使得上述方法无法实施，这个时候可以试试下面这种方法：首先保证Word97不受宏病毒的感染，只打开Word97并新建一个空文档，然后在“工具”菜单中选择“选项”命令，在“常规”中选中“宏病毒防护”，在“保存”中选择“提示保存Normal模板”，按确定按钮。接着再启动一个Word97应用程序，然后用新启动的这个Word97打开感染宏病毒的文档，应当也会出现是否启用宏的提示，选“否”；然后选择“编辑”菜单中的“全选”命令；然后再选择“编辑”菜单中的“复制”命令；再切换到先前的Word97中，选择“编辑”菜单中的“粘贴”命令，可以发现原来的文档被粘贴到先前Word97新建的文档里。切换回打开带宏病毒文档的Word97中，选择“文件”菜单中的“退出”命令，退出Word97，如果提示说是否保存Normal.dot模板，则选“否”。再切换回先打开的Word97中，选择“文件”菜单中的“保存”命令，将文件保存。由于宏病毒不会随剪贴板功能而被复制，所以这种办法也能起到杀灭宏病毒的效果。对宏病毒的预防是完全可以做到的，只要在使用Office套装软件之前进行一些正确的设置，就基本上能够防止宏病毒的侵害。任何设置都必须在确保软件未被宏病毒感染的情况下进行：（1)在Word中打开“选项”中的“宏病毒防护”（Word97及以上版本才提供此功能）和“提示保存Normal模板”；清理“工具”菜单中“模板和加载项”中的“共用模板及加载项”中预先加载的文件，不必要的就不加载，必须加载的则要确保没有宏病毒的存在，并且确认没有选中“自动更新样式”选项；退出Word，此时会提示保存Normal.dot模板，按“是”按钮，保存并退出Word；找到Normal.dot文件，将文件属性改成“只读”。　　（2)在Excel中选择“工具”菜单中的“选项”命令，在“常规”中选中“宏病毒防护功能”。　　（3)在PowerPoint中选择“工具”菜单中的“选项”命令，在“常规”中选中“宏病毒防护”。　　（4)其他防范文件型计算机病毒所做的工作。做了防护工作后，对打开提示有是否启用宏，除非能够完全确信文档中只包含明确没有破坏意图的宏，否则都不执行宏；而对退出时提示保存除文档以外的文件，如Normal.dot模板等，一律不予保存。　　以上这些防范宏病毒的方法可以说是最简单实用的，而且效果最明显。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）3．6电子邮件计算机病毒的识别和防范风靡全球的“美丽莎”（Melissa）、Papa和HAPPY99等计算机病毒正是通过电子邮件的方式进行传播、扩散，其结果导致邮件服务器瘫痪，用户信息和重要文档泄密，无法收发E-mail，给个人、企业和政府部门造成严重的损失。为此有必要介绍一下电子邮件计算机病毒。　　电子邮件计算机病毒实际上并不是一类单独的计算机病毒，严格来说它应该划入到文件型计算机病毒及宏病毒中去，只不过由于这些计算机病毒采用了独特的电子邮件传播方式（其中不少种类还专门针对电子邮件的传播方式进行了优化），因此我们习惯于称将它们为电子邮件计算机病毒。　　所谓电子邮件计算机病毒就是以电子邮件作为传播途径的计算机病毒，实际上该类计算机病毒和普通的计算机病毒一样，只不过是传播方式改变而已。该类计算机病毒的特点：　　(1)电子邮件本身是无毒的，但它的内容中可以有Unix下的特殊的换码序列，就是通常所说的ANSI字符，当用Unix智能终端上网查看电子邮件时，有被侵入的可能。(2)电子邮件可以夹带任何类型的文件作为附件（Attachment），附件文件可能带有计算机病毒。　　(3)利用某些电子邮件收发器特有的扩充功能，比如Outlook/OutlookExpress能够执行VBA指令编写的宏，等等，在电子邮件中夹带有针对性的代码，利用电子邮件进行传染、扩散。　　(4)利用某些操作系统所特有的功能，比如利用Windows98下的WindowsScriptingHost，利用*.SHS文件来进行破坏。　　(5)超大的电子邮件、电子邮件炸弹也可以认为是一种电子邮件计算机病毒，它能够影响邮件服务器的正常服务功能。　　通常对付电子邮件计算机病毒，只要删除携带电子邮件计算机病毒的信件就能够删除它。但是大多数的电子邮件计算机病毒在一被接收到客户端时就开始发作了，基本上没有潜伏期。所以预防电子邮件计算机病毒是至关重要的。以下是一些常用的预防电子邮件计算机病毒的方法：　　(1)不要轻易执行附件中的EXE和COM等可执行程序。这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子邮件中的可执行程序附件都必须检查，确定无异后才可使用。(2)不要轻易打开附件中的文档文件。对方发送过来的电子邮件及相关附件的文档，首先要用“另存为…”命令（“SaveAs…”）保存到本地硬盘，待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档，会自动启用Word或Excel，如有附件中有计算机病毒则会立刻传染，如有“是否启用宏”47 温州职业技术学院成教学院2013届专科生毕业设计（论文）的提示，那绝对不要轻易打开，否则极有可能传染上电子邮件计算机病毒。(3)对于文件扩展名很怪的附件，或者是带有脚本文件如*.VBS、*.SHS等的附件，千万不要直接打开，一般可以删除包含这些附件的电子邮件，以保证计算机系统不受计算机病毒的侵害。(4)如果是使用Outlook作为收发电子邮件软件的话，应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“安全”中设置“附件的安全性”为“高”；在“其他”中按“高级选项”按钮，按“加载项管理器”按钮，不选中“服务器脚本运行”。最后按“确定”按钮保存设置。(5)如果是使用OutlookExpress作为收发电子邮件软件的话，也应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。这样可以防止有些电子邮件计算机病毒利用OutlookExpress的缺省设置自动运行，破坏系统。(6)对于使用Windows98操作系统的计算机，在“控制面板”中的“添加/删除程序”中选择检查一下是否安装了WindowsScriptingHost。如果已经安装的，请卸载，并且检查Windows的安装目录下是否存在Wscript.exe文件，如果存在的话也要删除。因为有些电子邮件计算机病毒就是利用WindowsScriptingHost进行破坏的。(7)对于自己往外传送的附件，也一定要仔细检查，确定无毒后，才可发送，虽然电子邮件计算机病毒相当可怕，只要防护得当，还是完全可以避免传染上计算机病毒的，仍可放心使用。对付电子邮件计算机病毒，还可以在计算机上安装有电子邮件实时监控功能的防杀计算机病毒软件。有条件的还可以在电子邮件服务器上安装服务器版电子邮件计算机病毒防护软件，从外部切断电子邮件计算机病毒的入侵途径，确保整个网络的安全。结论病毒程序的种类繁多，发展和传播迅速，感染形式多样，危害极大，但还是可以预防和灭杀的。只要我们增强计算机和计算机网络的安全意识，采取有效的防杀措施，随时注意工作中计算机的运行情况，发现异常及时处理，就可以大大减少病毒的危害，计算机病毒及其防御措施都是在不停的发展和更新的，因此我们应该做到认识病毒，了解病毒，及早发现病毒并采取相应的措施从而确保我们的计算机能安全工作。建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开，并尽快删除，不要上一些不太了解的网站，尤其是那些诱人名称的网页，更不要轻易打开，不要执行从Internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）参考文献1、唐常杰、胡军．计算机反病毒技术[M]．北京：电子工业出版社,1933：43-512、王锡林．计算机信息系统安全与反病毒[M]．北京：电子工业出版社,1955：33-403、卢开澄．计算机密码学——计算机网络中的数据安全[M]．北京：清华大学出版社,2001：16-184、余建斌．黑客的攻击手段及用户对策[M]．北京：北京人名邮电出版社，2001：30-365、刘远生．计算机网络安全[M]．北京：清华大学出版社，2006：20-286、刘功申、李建华．计算机病毒机器防范技术[M]．北京：清华大学出版社，2008：41-467、李旭华．计算机病毒——病毒机制与防范技术[M]．重庆：重庆大学出版社，2002：36-418、王路群．计算机病毒原理及防范技术[M]．北京：中国水利水电出版社，2002：56-609、赵树升．计算机病毒分析与防治简明教程[M]．北京：清华大学出版社，2007：32-3810、张仁斌．计算机病毒与反病毒[M]．北京：清华大学出版社，2010：27-3211、张永平．计算机系统安全[M]．北京：高等教育出版社，2003：134-21912、瓮正科．计算机维护技术[M]．北京：清华大学出版社，2004：387-41613、殷伟．计算机安全与病毒防治[M]．合肥：安徽科学技术出版社，2004：46-7814、周立．病毒检测技术白皮书[M]．北京：启明星辰技术有限公司出版，2004：64-9715、陈爱民．计算机的安全与保密[M]．北京：北京出版社，2002：58-6947 温州职业技术学院成教学院2013届专科生毕业设计（论文）致谢首先要感谢导师在这段时间里对我的细心指导，他无论在理论上还是在实践中，都给与我很大的帮助，对我的毕业设计提出了许多的好建义,对我的论文也提出了宝贵的意见,才使我的毕业设计得以顺利完成,在这我要送上我深深的谢意。其次还要感谢寝室里的每一个同学，在这两个月的时间里，大家都相互帮助，使的大家都在一个良好的气氛中学习。最后还要感谢计算机系领导、老师们的热心关怀与帮助，谢谢您们为我们提供了一个良好的硬件、软件环境，使我们的毕业设计能按时按量的完成！谢谢您们！一引言对于大多数计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨。其实计算机病毒是可以预防的，随着计算机的普及与深入，对计算机病毒的防范也在越来越受到计算机用户的重视。二正文2．1计算机病毒的概述计算机病毒就是最不安全的因素之一，各种计算机病毒的产生和全球性蔓延已经给计算机系统的安全造成了巨大的威胁和损害。随着计算机网络的发展，计算机病毒对信息安全的威胁日益严重，鉴于此，人们开始了反计算机病毒的研究，一方面要掌握对当前计算机病毒的防范措施，另一方面要加强对病毒未来发展趋势的研究，真正做到防患于未然。2.1.1计算机病毒的定义47 温州职业技术学院成教学院2013届专科生毕业设计（论文）“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。从广义上讲，一切危害用户计算机数据，偷窃用户隐私，损害他人利益及影响用户正常操作的程序或者代码都可以被定义为计算机病毒。2.1.2计算机病毒的特性1．寄生性：计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。2．传染性：计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。3．.潜伏性：有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。4．隐蔽性：计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。5．破坏性：计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏6．衍生性：病毒的传染破坏部分被其他掌握原理的人以其个人的企图进行任意的改动。从而又衍生出一种不同于原版本的新的计算机病毒（也成为变种病毒）这就是计算机病毒的衍生性。7．不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。2.1.3计算机的历史47 温州职业技术学院成教学院2013届专科生毕业设计（论文）自从80所代中期发现第一例计算机病毒以来，计算机病毒的数量急剧增长。目前，世界上发现的病毒数量己超过15000种，国内发现的种类也达600多种。1998年流行的CIH病毒更使计算机用户感到极大恐慌。那么，电脑病毒是怎么来的，其发展状况又如何呢?1983年11月，美国计算机安全专家费雷德.科恩博士研制出一种能够自我复制的计算机程序，随后该程序在VAX/11机上进行了攻击试验，并获成功，第一例计算机病毒就此诞生。随着世界范围内计算机系统的迅速普及，这一技术被众多的计算机应用人员、计算机爱好者等滥用，并不断发展，到80年代中后期，这一技术逐步成熟，最终造成了计算机病毒在世界范围内的大肆泛滥。1986年巴基斯坦有兄弟两人为追踪非法盗版者而编制了Brain（大麻）病毒，同年10月在美国本土出现该病毒，并以强劲的势头开始蔓延，个人计算机开始有了病毒。1988年11月2日美国康乃尔大学一年级研究生罗伯特.莫里斯（Robbet.T.morris）制作了一个蠕虫计算机病毒（TapWorm），并将其投入美国Internet计算机网络，使美国军事系统计算机网络中的6000多台计算机工作站受到感染，许多联网机被迫停机，直接损失达9600万美元。莫里斯因此受到法律制裁。1988年我国发现首例计算机病毒Pingpang（乒乓病毒）。1990年在美国出现第一例多形性病毒260病毒，又称幽灵病毒、千面人病毒，而在保加利亚出现用于病毒交换的VXBBS。1991年初欧洲出现病毒编写小组和俱乐部，如米兰的意大利人病毒研究实验室，英、美、澳等国家也先后成立了这样的组织。同年6月出现了第一本病毒杂志──40-HEX。1992年初由国外传入我国的一种危害性较大的文件型病毒DIR-Ⅱ，其传染速度、播范围及其隐蔽性堪称当时己发现的病毒之最。这是莫里斯事件之后的第二起重大病毒。同年还出现了第一个能把普通病毒改造成多形病毒的变形引擎MtE，8月份出现了第一个病毒开发软件包。同年还有人开始出售病毒软件包，黑色星期五、米开朗基罗等病毒也在国内外广泛流行。1993年美国财政部一个BBS站上存放有几百个病毒原代码，引起了国际舆论的批评。1993年到1994年多形性病毒越来越多，越来越容易编写，有许多病毒开发软件包能直接生成多形病毒。1995年幽灵病毒流行中国，6月份国际上又出现了第一个感染数据文件的宏病毒。1998年台湾大同工学院学生刘盈豪编制了CIH病毒，6月份首先在台湾流行，此后通过网络，相继在澳大利亚、瑞士、荷兰、美国、俄罗斯等国出现。同年8月此病毒传入我国内地，很多计算机用户的机器受到破坏，影响了计算机信息系统的安全运行。CIH47 温州职业技术学院成教学院2013届专科生毕业设计（论文）病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时，不仅破坏硬盘的引导区和分区表，而且破坏计算机系统FIASHBIOS芯片中的系统程序，导致主板损坏。目前该病毒己有三个版本，即1.2、1.3、1.4，发作日期分别是4月26日，6月26日和每月26日。2000年以来出现了不少通过网络传播的诸如“爱丽沙”、“尼姆达”等新病毒。但是不管计算机病毒多猖狂，总有办法对付的，即使象CIH这样的病毒，现在己经有了好几种查杀它的反病毒软件。2.1.4计算机病毒的主要危害1．病毒激发对计算机数据信息的直接破坏作用大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒（D1SKKILLER），内含计数器，在硬盘染毒后累计开机时间48小时内激发，激发的时候屏幕上显示“Warning!!Don"tturnoffpowerorremovediskettewhileDiskKillerisProsessing！”（警告！D1SKKILLERll1在工作，不要关闭电源或取出磁盘），改写硬盘数据。被D1SKKILLER破坏的硬盘可以用杀毒软件修复，不要轻易放弃。2．占用磁盘空间和对信息的破坏寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，而把原来的引导区转移到其他扇区，也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢复。文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。3．抢占系统资源47 温州职业技术学院成教学院2013届专科生毕业设计（论文）除VIENNA、CASPER等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发，总是修改一些有关的中断地址，在正常中断过程中加入病毒的“私货”，从而干扰了系统的正常运行。4．影响计算机运行速度病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：（1）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。（2）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态，CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行；而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。（3）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。5．计算机病毒错误与不可预见的危害计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力，出于好奇或其他原因修改别人的病毒，造成错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在9处错误，乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）6．计算机病毒的兼容性对系统运行的影响兼容性是计算机软件的一项重要指标，兼容性好的软件可以在各种计算机环境下运行，反之兼容性差的软件则对运行条件“挑肥拣瘦”，要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。7．计算机病毒给用户造成严重的心理压力据有关计算机销售部门统计，计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60％以上。经检测确实存在病毒的约占70％，另有30％情况只是用户怀疑，而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢？多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是，实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度，这对于保护计算机安全无疑是十分必要的，然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户，在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头，给人们造成巨大的心理压力，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估量的。计算机病毒出现什么样的表现症状，是由计算机病毒的设计者决定的，而计算机病毒的设计者的思想又是不可判定的，所以计算机病毒的具体表现形式也是不可判定的，然而可以肯定的是病毒症状是在计算机系统的资源上表现出来的，具体出现哪些异常现象和所感染病毒的种类直接相关。可能的症状中下：1．键盘、打印、显示有异常现象。2．运行速度突然减慢。3．计算机系统出现异常死机或死机频繁。4．文件的长度内容、属性、日期无故改变。5．丢失文件、丢失数据。6．系统引导过程变慢。7．计算机存储系统的存储容量异常减少或有不明常驻程序。8．系统不认识磁盘或是硬盘不能开机。9．整个目录变成一堆乱码。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）10．硬盘的指示灯无缘无故亮了。11．计算机系统蜂鸣器出现异常声响。12．没做写操作时出现“磁盘写保护”信息。13．.异常要求用户输入口令。14．.程序运行出现异常现象或不合理的结果。总之，任何的异常现象都可以怀疑计算机病毒的存在，但异常情况并不一定说明系统内肯定有病毒，要真正的确定，必须通过适当的检测手段来确认。2.2计算机病毒的分类2.2.1计算机病毒的基本分类传统开机型计算机病毒纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统，然后再伺机感染其他的软盘或者硬盘，例如：“Stoned3”（米开朗基罗）。隐形开机型计算机病毒此类计算机病毒感染的系统，再行检查开机区，得到的将是正常的磁区资料，就好像没有中毒一样，此类计算机病毒不容易被杀毒软件所查杀，而防毒软件对于未知的此类型计算机病毒，必须具有辨认磁区资料真伪的能力。此类计算机病毒已出现的尚有“Fish”.档案感染型兼开机型计算机病毒档案感染型兼开机型计算机病毒时利用档案感染时司机感染开机区，因而具有双中的行动能力，此类型较著名的计算机病毒有“Cancer”。目录型计算机病毒本类型计算机病毒的感染方式非常独特，“Dir2”即其代表，此类计算机病毒仅修改目录区（Root），便可达到其感染目的。传统档案型计算机病毒传统档案型计算机病毒最大的特征，便是将计算机病毒本身植入档案，使档案膨胀，以达到散播传染的目的。代表有“13Firday”。千面人计算机病毒千面人计算机病毒是指具有自我编码能力的计算机病毒，“1701下雨”47 温州职业技术学院成教学院2013届专科生毕业设计（论文）等，为这种类型主要代表，此种计算机病毒编码的目的，是使其感染的每一个档案，看起来皆不一样，干扰杀毒软件的侦测，不过千面人计算机病毒仍会留下的这个“小辫子”，将其绳之以法。突变引擎病毒有鉴于前面人计算机病毒一个接一个被截获，边有人编写出一种突变式计算机病毒，使原本千面人计算机病毒无法解决的程序开头相同的问题得到克服，并编写成OBJ副程序，供他人植草此类计算机病毒，即Mctationengine。尽管如此，这类计算机病毒仅干扰了扫毒式软件，对其他方式的防毒软件并没有太大的影响。隐形档案型计算机病毒此类病毒可以避开去多防毒软件，因为隐形计算机病毒能直接植入DOS系统的作业环境中，当外部程序呼叫DOS中断服务时，便同时执行到计算机病毒本身，使得计算机病毒能从容地将受其感染的档案，粉饰成正常无毒的样子。此类计算机病毒有“4096”等。终结型计算机病毒终结性计算机病毒能追踪磁盘操作终端的原始进入点，当计算机病毒取得磁盘原始中断时，便可任意再磁盘上修改资料或普哦坏资料，而不会惊动防毒程序，这就是说，装有防毒程序和美妆防毒程序的情况是一样的危险。这类计算机病毒有的采用INT1单步执行的方式，逐步追踪磁盘中断的过程，找出BIOS磁盘中断的部分，供计算机病毒内部使用；有的采用死机的方式，记录几个BIOS版本的磁盘中断原始进入点，当计算机病毒遭到熟悉的BIOS版本，便可直接呼叫磁盘中断，对磁盘予取予求；有的则分析磁盘中断的程序片段，找出BIOS中的相似部分便可直接呼叫磁盘中断。其代表有“Hammer6”等。Word巨集计算机病毒Word巨集计算机病毒可以说时目前最新的计算机病毒种类了，它是文件型计算机病毒，异于以往以感染磁盘区或可执行的档案为主的计算机病毒，此类病毒时利用Word提供的巨集功能来感染文件。目前已经在Internet及BBS网络中发现不少Word巨集计算机病毒，而且此类计算机病毒是用类似Basic程序编写出来的，易学，其反战速度一定很快。2.2.2病毒的传播方式1．不可移动的计算机硬件设备即利用专用集成电路芯片（ASIC）进行传播。这种计算机病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。2．存储设备（包括软盘、磁带等）47 温州职业技术学院成教学院2013届专科生毕业设计（论文）可移动式磁盘包括软盘、CD-ROMs、ZIP和JAZ磁盘，后两者仅仅是存储容量比较大的特殊磁盘。其中软盘是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生的"温床"。盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径。随着大容量可移动存储设备如Zip盘、可擦写光盘、磁光盘（MO）等的普遍使用，这些存储介质也将成为计算机病毒寄生的场所。硬盘是现在数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬盘传播计算机病毒的途径体现在：硬盘向软盘上复制带毒文件，带毒情况下格式化软盘，向光盘上刻录带毒文件，硬盘之间的数据复制，以及将带毒文件发送至其他地方等。3．网络网络是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网络中的计算机。局域网络技术的应用为企业的发展作出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。特别是国际互联网，已经越来越多地被用于获取信息、发送和接收文件、接收和发布新的消息以及下载文件和程序。随着因特网的高速发展，计算机病毒也走上了高速传播之路，已经成为计算机病毒的第一传播途径。除了传统的文件型计算机病毒以文件下载、电子邮件的附件等形式传播外，新兴的电子邮件计算机病毒，如"美丽莎"计算机病毒，"我爱你"计算机病毒等则是完全依靠网络来传播的。甚至还有利用网络分布计算技术将自身分成若干部分，隐藏在不同的主机上进行传播的计算机病毒。以上的所有操作是基于遍布全球的数百万台计算机互联进行数据的传输。这意味着您在接收数据的同时，也有可能接收一个隐藏于其中的计算机病毒。其感染计算机病毒的途径有以下几种：电子邮件：计算机病毒主要是以附件的形式进行传播，由于人们可以将任何类型的文件做为附件发送，而大部分计算机病毒防护软件在这方面的功能也不是十分完善，使得电子邮件成为当今世界上传播计算机病毒最主要的媒介。BBS：BBS作为深受大众欢迎的栏目存在于网络中已经有相当长的时间，在BBS上用户除了可以讨论问题外，还能够进行各种文件的交换，加之BBS一般没有严格的安全管理，甚至有专门讨论和传播计算机病毒技术的BBS站点，使之成为计算机病毒传播的场所。WWW浏览：您可能已经发现，现在的网页比起以往来要漂亮的多，这全要拜JavaApplets和ActiveX47 温州职业技术学院成教学院2013届专科生毕业设计（论文）Control所赐，但是，只要是任何可执行的程序都可能被计算机病毒编制者利用，上述二者也没有能逃脱，目前互联网上已经有一些利用JavaApplets和ActiveXControl编写的计算机病毒，因此，WWW浏览感染计算机病毒的可能性也在不断地增加。FTP文件下载：FTP的含义是文件传输协议。通过这一协议，您可以将文件放置到世界上的任何一台计算机上，或者从这些计算机中将文件复制到您本地的计算机中，这一过程就称为下载。当然，这些下载文件可能被恶意的计算机病毒代码感染。新闻组：通过这一服务，您可以与世界上的任何人讨论某个话题，或选择接收您感兴趣的有关的新闻的邮件。这些信息当中包含的附件有可能使您的计算机感染计算机病毒。4、通过点对点通信系统和无线通信系统传播。可以预见随着WAP等技术的发展和无线上网的普及，通过这种途径传播的计算机病毒也将占有一定的比例。2.3计算机病毒防范和清除的基本原则和技术2.3.1计算机病毒防范的概念和原则计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，即使发现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，回复受影响的计算机系统和数据。原则以防御计算机病毒为主动，主要表现在检测行为的动态性和防范方法的广谱性。2.3.2计算机病毒防范基本技术计算机病毒预防是在计算机病毒尚未入侵或刚刚入侵，就拦截、阻击计算机病毒的入侵或立即警报。目前在预防计算机病毒工具中采用的主要技术如下：2.3.3清除计算机病毒的基本方法1．简单的工具治疗简单工具治疗是指使用Debug等简单的工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除计算机代码。但是，这种方法同样对检测者自身的专业素质要求较高，而且治疗效率也较低。2．专用工具治疗47 温州职业技术学院成教学院2013届专科生毕业设计（论文）使用专用工具治疗被感染的程序时通常使用的治疗方法。专用计算机治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的计算机病毒代码，使之得以恢复。使用专用工具治疗计算机病毒时，治疗操作简单、高效。从探索与计算机病毒对刚的全过程来看，专用工具的开发商也是先从使用简单工具进行治疗开始，当治疗获得成功后，再研制相应的软件产品，使计算机自动地完成全部治疗操作。2.4典型计算机病毒的原理、防范和清除2.4.1引导区计算机病毒系统引导区时在系统引导的时候，进入到系统中，获得对系统的控制权，在完成其自身的安装后才去引导系统的。称其为引导区计算机病毒时因为这类计算机病毒一般是都侵占系统硬盘的主引导扇区I/O分区的引导扇区，对于软盘则侵占了软盘的引导扇区。它会感染在该系统中进行读写操作的所有软盘，然后再由这些软盘以复制的方式和引导进入到其他计算机系统，感染其他计算机的操作系统。如何检测呢？1．查看系统内存的总量与正常情况进行比较2．检查系统内存高端的内容3．检查系统的INT13H中断向量4．检查硬盘的主引导扇区、DOS分区引导扇区以及软盘的引导扇区清除：用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。此时，如果用户事先提取并保存了自己硬盘中分区表的信息和DOS分区引导扇区信息，那么，恢复工作变得非常简单。可以直接用Debug将这两种引导扇区的内容分别调入内存，然后分别回它的原来位置，这样就消除了计算机病毒。2.4.2文件型计算机病毒文件型计算机病毒程序都是依附在系统可执行文件或覆盖文件上，当文件装入系统执行的时候，引导计算机病毒程序也进入到系统中。只有极少计算机病毒程序感染数据文件。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）此类病毒感染对象大多是系统的可执行文件，也有一些还要对覆盖文件进行传染，而对数据进行传染的则少见。清除：1．确定计算机病毒程序的位置，是驻留在文件尾部还是在文件首部。2．找到计算机病毒程序的首部位置（对应于在文件尾部驻留方式），或者尾部位置（对应于在文件首部驻留方式）。3．恢复原文件头部的参数。4．修改文件长度，将源文件写回。2.4.3脚本型计算机病毒主要采用脚本语言设计的病毒称其为脚本病毒。实际上在早期的系统中，计算机病毒就已经开始利用脚本进行传播和破坏，不过专门的脚本病毒并不常见。但是在脚本应用无所不在的今天，脚本病毒却成为危害最大，最为广泛的病毒，特别是当他和一些传统的恶性病毒相结合时，其危害就更为严重了。其主要有两种类型，纯脚本型，混合型。它的特点：编写简单破坏力大感染力强传播范围大（多通过E-mail，局域网共享，感染网页文件的方式传播）计算机病毒源码容易被获取，变种多欺骗性强使得计算机病毒生产机事先起来非常容易清除：1．禁用文件系统对象FileSystemObject47 温州职业技术学院成教学院2013届专科生毕业设计（论文）2．卸载WindowsScriptingHost3．删除vbs，vbe，js，jse文件后缀与应用程序映射4．在Windows目录中，找到WScript.exe，更改名称或者删除5．要彻底防止vbs网络蠕虫病毒，还需要设置一下浏览器6．禁止OE的自动收发电子邮件功能7．显示所有文件类型的扩展名称8．将系统的网络连接的安全级别设置至少为“中等”2.4.4特洛伊木马计算机病毒特洛伊木马也叫黑客程序或后门病毒，是指吟唱在正常程序中的一段具有特殊功能的程序，其隐蔽性及好，不易察觉，是一种极为危险的网络攻击手段。其第一代：伪装性病毒，第二代：AIDS型木马，第三代：网络传播性木马如何检查？1．稽查注册表2．检查你的系统配置文件3．清除：4．备份重要数据5．立即关闭身背电源6．备份木马入侵现场7．修复木马危害2.4.5蠕虫计算机病毒蠕虫是一种通过网络传播的恶性计算机病毒，它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等。同时自己有自己一些特征，如利用文件寄生，对网络造成拒绝服务以及和黑客技术相结合等。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）简单点说，蠕虫就是使用危害的代码来攻击网络上的受害主机，并在受害主机上自我复制，再攻击其他的受害主机的计算机病毒。其特征：自我繁殖利用软件漏洞造成网络拥堵消耗系统资源留下安全隐患清除：与防火墙互动交换机联动通知HIDS（基于主机的入侵检测）报警2.4.6病毒的查杀目前，大部分杀毒软件对网页病毒的预防性能不太好，因此导致很多用户中毒，而且杀毒软件查不出病毒所在。对于网页病毒，我们一般手动来清除网页病毒。目前，常见的网页病毒主要有以下几种：1．默认主页被修改(1)病毒特征：默认的主页被修改成某一网站的地址(2)．表现形式：IE浏览器的默认主页被修改成为http://www.***.com，而且收藏夹中也加入了一些非法的站点。IE浏览器被修改后的主页，是一些黄色非法站点，打开IE后会不断打开下一级网页，还有一些广告窗口，使计算机资源耗尽。（3）．清除方法：47 温州职业技术学院成教学院2013届专科生毕业设计（论文）①我们要看一下被病毒修改后的主页地址是多少，记录下来。②打开“控制面板”中的“Internet选项”，在“Internet选项”“常规”中，找到“Internet临时文件”菜单，选择“删除Cookies(I)”和“删除文件”菜单，将IE的临时文件和所有的Cookies删除。③在“开始”菜单中“运行”中输入“Regedit”打开注册表编辑器，查找注册表Run下面的键值。打开注册表编辑器，查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run选项，在右面空白处查找加载的ttp://www.***.com选项并删除。④在注册表编辑器中，使用查找命令，查找http://www.***.com（该键值就是被病毒修改后的主页地址，为了防止用户中毒，特用*代替中间的字母，下同）键值并删除。重新查找整个注册表中的http://www.***.com键值并删除，然后退出注册表编辑器。2．主页设置被屏蔽锁定，且设置选项无效不可更改（1）．病毒特征：将IE浏览器主页设置禁用（2）．表现形式：IE的主页被修改为http://www.***.com，IE浏览器“Internet选项”“常规”选项中的“主页”变成了灰色，无法更改当前的主页。（3）、清除方法：在“开始”菜单的“运行”中输入“Regedit”打开注册表编辑器，HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。4、清除IE浏览器的临时文件和Cookies文件。3．QQ尾巴病毒（1）病毒特征：这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。中毒后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词。（2）47 温州职业技术学院成教学院2013届专科生毕业设计（论文）表现形式：机器中毒后，在运行QQ聊天时，会自动向QQ中的好友发送以下信息，①HoHo~~www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。②呵呵，其实我觉得这个网站真的不错，你看看http://www.XXX.com③http://ni***.126.com看看啊.我最近照的照片~才扫描到网上的。看看我是不是变了样?这些信息加载到聊天内容后，当用户接收到消息后，有的用户出于好奇，打开了上面的网址，结果中毒成为下一个病毒传播者。由于QQ用户众多，因此这个病毒传播速度比较快3、清除方法：①在“运行”中输入“msconfig”，找到“启动”选项，查找其中的可疑启动选项。②将可疑文件名字记录下来，用“查找”菜单在“我的电脑”中查找这些程序，将查找到的程序删除。③利用上面叙述的方法，将IE浏览器的设置恢复，并删除注册表中加载的可疑程序，名字参考在Msconfig中得到的程序名字。④检查“开始”菜单“程序”中的“启动”选项，看是否有可疑程序并加载。如果有可疑程序，记录下名字，并删除快捷方式用源程序。⑤安装IE的补丁程序，重新启动计算机。2.5“熊猫烧香”病毒剖析“熊猫烧香”病毒感染机理熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。2.文件病毒运行后,会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe47 温州职业技术学院成教学院2013届专科生毕业设计（论文）添加注册表自启动病毒会添加自启动项　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvcshare->C:WINDOWSSystem32Driversspoclsv.exe3:病毒行为　　a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：　　QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、SymantecAntiVirus、Duba、esteemproces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、SystemSafetyMonitor、WrappedgiftKiller、WinsockExpert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword，并使用的键盘映射的方法关闭安全软件IceSword。　　添加注册表使自己自启动HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvcshare->C:WINDOWSSystem32Driversspoclsv.exe并中止系统中以下的进程:　　Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。　　b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行netshare命令关闭admin$共享。　　c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行netshare命令关闭admin$共享。　　d:每隔6秒删除安全软件在注册表中的键值。　并修改以下值不显示隐藏文件47 温州职业技术学院成教学院2013届专科生毕业设计（论文）HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue->0x00　　删除以下服务:navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、SymantecCoreLC、NPFMntorMskService、FireSvc。　　e:感染文件　　病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html,asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：　　WINDOW、Winnt、SystemVolumeInformation、Recycled、WindowsNT、WindowsUpdate、WindowsMediaPlayer、OutlookExpress、InternetExplorer、NetMeeting、CommonFiles、ComPlusApplications、Messenger、InstallShieldInstallationInformation、MSN、MicrosoftFrontpage、MovieMaker、MSNGaminZone。　　g:删除文件　　病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。2.6计算机主要检测技术和特点（简介）1.外观检测法2.系统数据对比法3.病毒签名检测法4.特征代码法5.检查常规内存数6.校验和法7.行为监测法47 温州职业技术学院成教学院2013届专科生毕业设计（论文）1.软件模拟法2.启发式代码扫描技术3.主动内核技术4.病毒分析技术5.感染是研法2.7svchost.exe病毒svchost.exe是nt核心系统的非常重要的进程,在2000、XP里，不能缺少，这个进程在电脑里少则3个，多则6个，然而，木马，病毒也会吊用他，在XP的系统里svchost.exe文件在windows/system32/里面MicrosoftWindowsNTCurrentVersionSvchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLessBackDoor的木马程序，在服务列表中可以看到它的服务描述为“IntranetServices”，而它的文件版本、公司、描述信息更全部为空，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystem32svchost.exe-knetsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马，知道了其原理，清除方法也很简单了：先用服务管理专家停止该服务的运行，然后运行regedit.exe打开“注册表编辑器”，删除[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesIPRIP]主键，重新启动计算机，再删除%systemroot%System32目录中的木马源程序“svchostdll.dll”，通过按时间排序，又发现了时间完全相同的木马安装程序“PortlessInst.exe”，一并删除即可。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）清除Svchost.exe病毒方法：第一步：进入安全模式（电脑启动时按F8），打开我的电脑，搜索SVCHOST，将搜索到的文件除了%systemroot%System32这个文件夹里的之外的都删除。第二步：进入注册表，搜索SVCHOST，将搜索到的除开[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNT外，其他的都删除掉。最新变种svchost.exe查杀方法:/virus/ShowArticle.asp?ArticleID=196svchost.exe本是一个系统进程,但是有N多病毒木马来伪装这个进程.以前网上说的svchost.exe这个病毒,是一个很简单的,但是今天我写的这个,是复杂的.也很难清理掉.svchost.exe病毒症状：1、刚开始，我发现进程里有N多svchost.exe，其中system为用户的是正常的，但是也有好多以administrator为用户的。2、系统速度异常的慢，没有开任何IE，但是却有iexplore这个进程。重新启动还是有。3、重装了系统之后（只格了C盘），以为问题解决，驱动装好后可问题依然存在。4、在进程里把所有的以administrator为用户的svchost.exe进程结束，观察一段时间进程没有出来。然后我开我的FTP软件（flashFxp），进程马上就出来，而且ie进程也出来。清除svchost.exe1、svchost.exe很恶意的病毒，用金山，江民，瑞星，虽然都显示已经清除，重启之后问题还是没解决。2、我觉得肯定有一个文件是自己复制病毒，如：病毒被查的时候马上复制到另一个文件加，杀毒软件也没法，从svchost.exe病毒症状4来看，我觉得他自己可以自动下载网络上的病毒。3、在用过一些专杀工具之后，问题还是没解决。4、最后一招了：下载一个下载者监视器（很好用的软件哦，下载地址：下载者监视器）。用他来监视有没有下载，运行这个下载者监视器之后，才知道每隔一段时间这个病毒会在网上自己下载病毒到用户电脑上来。当然，监视器会提示这种下载者是通过还是拒绝，我们选“否”。这下可以安心的杀毒了。5、用在线杀毒功能（地址：在线杀毒），查出病毒所在，他的主要功能是可以找出一些病毒的路径（将记录的路径用一个记事本记下来，放桌面）6、下载一个瑞星（用最新版的，下载地址：瑞星47 温州职业技术学院成教学院2013届专科生毕业设计（论文）没有最新的版本，但是可以升级的，详细的看这个下载地址里的软件介绍）。7、然后把其他的杀毒软件卸载掉。安装上瑞星，然后按瑞星杀毒软件里的说明来升级，破解的，可以升到最新版。可能后面会用到这些软件，请备一下：360安全卫士落雪专杀以及其他一些专杀工具（下载地址：软件下载）8、拔了网线（不怕一万，只怕万一），重新启动电脑，进入安全模式（电脑启动时按F8，有的板子不同请看主板说明书），进入按全模式之后，先根据步骤5里记录的病毒的路径将所以的病毒文件都删除掉。然后用上瑞星，卡卡助手和360安全卫士，和其他专杀工具（绝对有必要，因为svchost.exe下载了网络上的好多病毒，我们根本无法判断是些什么病毒）。其中有一个软件可以查出svchost.exe的，将他删除去。9、仍然是在安全模式里：我们手动开始清除svchost.exe，首先进入到C：WINDOWS下，将svchost.exe删除去。（下一步小心）然后在电脑里搜索Sys。将Sys后面为自由组合的文件加全部删除，如：Sysdj2,C:Syswm1i、C:SysAd5D等等，这些文件夹有个共同特点，就是名称为Sys***（***是三到五位的随机字母），这种根本就不是系统的文件。打开注册表，展开注册表到以下位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun54pe.com删除右边所有用纯数字为名的键，如<66><333>10、重新启动电脑，进入正常模式。看还有没有问题`？？？注：1．正文中表格与插图的字体一律用5号宋体；2．正文各页的格式请以此页为标准复制，页眉中的页码用阿拉伯数字表示（本文档的页码已设置成自动格式）；3．为保证打印效果，学生在打印前，请将全文字体的颜色统一设置成黑色。4．论文字数要求3000—5000字左右。47 温州职业技术学院成教学院2013届专科生毕业设计（论文）（空2行）结论（小3号黑体，居中）经过两个多月的努力，计算机病毒的预防探讨论文终于完成在整个设计过程中，出现过很多的难题，但都在老师和同学的帮助下顺利解决了，在不断的学习过程中我体会到：写论文是一个不断学习的过程，从最初刚写论文时对计算机病毒面临的问题的模糊认识到最后能够对该问题有深刻的认识，我体会到实践对于学习的重要性，以前只是书面理论，没有经过深刻的理解，对知识的理解不够明确，通过这次的做，真正做到林论时间相结合。总之，通过毕业设计,我深刻体会到要做好一个完整的事情，需要有系统的思维方式和方法，对待要解决的问题，要耐心、要善于运用已有的资源来充实自己。同时我也深刻的认识到，在对待一个新事物时，一定要从整体考虑，完成一步之后再作下一步，这样才能更加有效。（小4号宋体，1.5倍行距）×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××…………47 温州职业技术学院成教学院2013届专科生毕业设计（论文）（空2行）致谢（小3号黑体，居中）经过我一个多月的准备和查找资料，在周媛媛老师的殷切关怀和指导下，我的毕业论文终于写完了。在此，我再次向关心我学习，并且在我完成论文过程中给与我帮助和支持的周媛媛老师和朋友们表示衷心的感谢和良好的祝愿！在这里我要特别感谢周媛媛老师,周媛媛老师为了我们毕业生操了很大的心血，我在此衷心祝福周老师他身体健康，工作顺利,事业节节高！本文虽已完成，但是仍然有很多不足之处，还望大家不吝赐教，多多指导，多多批评！我再次感谢关心和在我写作过程中给与我帮助和支持的朋友和老师！谢谢大家啦！大家辛苦啦！（小4号宋体，1.5倍行距）×××××××××××××××××××××…………47 温州职业技术学院成教学院2013届专科生毕业设计（论文）（空2行）参考文献（小3号黑体，居中）1《计算机病毒原理与防范》（小4号宋体，行距18磅）×××××2《计算机病毒与反病毒技术》××××××××××××××××××××××××××××3《计算机病毒分析与防范大全》×××××××4《计算机病毒分析与对抗》5《计算机反病毒技术》…………例如：1刘国钧，陈绍业，王凤翥.图书馆目录.第1版.北京：高等教育出版社，195747 温州职业技术学院成教学院2013届专科生毕业设计（论文）2傅承义，陈运泰，祁贵中.地球物理学基础.北京：科学出版社，1985，4473华罗庚，王元.论一致分布与近似分析.中国科学，1973（4）：339~3574张筑生.微分半动力系统的不变集研究：[学位论文]，北京：数学系统学研究所，19835BorkoH，BernierCL．Indexingconceptsandmethods.NewYork:AcademicPr,1978…………47'