毕业论文-计算机病毒的原理与防范研究

本科毕业论

论文题目： 计算机病毒的原理与防范研究

学生姓名：

学号：

专业：

指导教师：

学 院：

Xxxx 年 x 月 xx 日

文

毕业论文（设计）内容介绍

目 录

摘要.......................................................................................................................................... 1

Abstract .................................................................................................................................... 1

1. 引 言................................................................................................................................... 2

2. 简介

论文目录

3. 计算机病毒原理………………………………………

第一节 计算机病毒定义

3.11 计算机病毒的定义

3.12计算机病毒特点

第二节 病毒分类及主要类型

4. 计算机病毒的剖析

第一节 计算机病毒的检查

4.11 特征代码法

4.12 检验和法

4.13 行为监测法

4.14 软件模拟法

第二节 计算机病毒的攻击分析

5. 计算机病毒防范

5.11 计算机病毒防范的概述

5.12基于工作站的DOS 防毒技术

5.13基于服务器的NLM 防治技术

5.14基于网络安全体系的防毒管理措施

6. 结束语............................................................................................... 错误！未定义书签。

7. 参考文献........................................................................................... 错误！未定义书签。

计算机病毒的原理与防范研究

摘要：二十一世纪全世界的计算机都将通过Internet 联到一起，信息安全的内涵也就发生了根本的变化。他不仅从一般性的防卫变成了一种普通的防范，而且还从一种专门的领域变成了无处不在。在当今科技迅速发展的时代，计算机技术不仅给人们带来了便利与惊喜，同时也在遭受着计算机病毒带来的烦恼与无奈，因为计算机病毒不仅破坏文件，删除有用数据，还可导致整个计算机系统瘫痪，给计算机用户造成了巨大的损失。目前计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通，因此，研究计算机病毒的防范措施已迫在眉睫。本文从计算机病毒的原理入手，初步探讨计算机病毒的防范措施。

关键词：计算机病毒原理 检测 防范研究

Computer virus Principle and Prevention

Abstract : The twenty-first century will be the world’s computers go together through the Internet, information security; the content also has been a fundamental change. It is not only from the general ’s defense has become a very common precautions, but also from a specialized area became ubiquitous. In today ’s era of rapid technological development, computer and network technology not only brings convenience to people surprises, but also in terms suffer from boredom and frustration caused by viruses, because computer viruses not only undermine the file, delete the useful data, but also lead to paralysis of the entire computer system to give computer users to cause great losses. At present the computer virus can penetrate into the information society in various fields, to the computer system brought tremendous damage and potential threat. In order to ensure the safety and smooth flow of information, and therefore the study computer virus precautions imminent. In this paper, the characteristics of the computer and try to deal with computer viruses preliminary study methods and measures.

Key words: Computer virus Principle; Testing; Prevention

1. 引 言

目前计算机的应用遍及到社会的各个领域，同时计算机病毒也给我们带来了巨大的破坏和潜在的威胁，因此为了确保计算机能够安全工作，计算机病的的防范工作，已经迫在眉睫。从计算机病毒的定义入手，浅谈计算机病毒的原理及防范措施。对于大多数计算机用户来说，谈到“计算机病毒”似乎觉得他深不可测，无法琢磨。其实计算机病毒是可以预防的，随着计算机病毒的普及与深入，对计算机病毒的防范也在越来越受到计算机用户的重视。

计算机病毒现在已成为影响计算机安全的罪魁祸首，对信息社会造成了严重威胁。迄今为止，世界上已发现的计算机病毒已超过数万种，给全球经济造成的损失每年高达数十亿美元。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到人们的高度重视。

2. 简 介

计算机病毒对大多数的计算机使用者而言应该是再耳熟能详不过的名词, 有些人也许从来不曾真正碰到过计算机病毒, 而吃过计算机病毒亏的人却又闻毒色变, 其实在个人计算机这么普遍的今天, 即使您不是一个计算机高手, 也应该对计算机病毒有些基本的认识, 就好比我们每天都会关心周围所发生的人事物一样, 毕竟计算机病毒已经不再像过是遥不可及的东西, 在当今科技迅速发展的时代，计算机和网络技术不仅给人们带来了便利与惊喜，同时也在遭受着计算病毒带来的烦恼和无奈，自从Internet 潮流席卷全球以来, 计算机信息以每秒千里的速度在传送, 我们每天可以透过Internet 收到来自全球各地不同的消息, 。因为计算机病毒不仅破坏文件，删除有用的数据，还可导致整个计算机系统瘫痪，给计算机用户造成巨大的损失。随着计算机在社会生活各个领域的广泛运用, 计算机病毒攻击与防范技术也在不断拓展。据报道, 世界各国遭受计算机病毒感染和攻击的事件数以亿计, 严重地干扰了正常的人类社会生活, 给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时, 病毒技术在战争领域也曾广泛的运用, 在海湾战争、近期的科索沃战争中, 双方都曾利用计算机病毒向敌方发起攻击, 破坏对方的计算机网络和武器控制系统, 达到了一定的政治目的与军事目的。可以预见, 随着计算机、网络运用的不断普及、深入, 防范计算机病毒将越来越受到各国的高度重视。 但在享受信息便利的同时, 计算机安全问题也就显得格外重要了。那么计算机病毒的预防也就更显得重要了。为此本文就是计算机病毒的预防技术进行探讨，让大家清楚地认识到计算机病毒的发展和危害，并按相应的具体问题实施相应的保护措施。

3. 计算机病毒定义

第一节 计算机病毒定义

3.11 计算机病毒的定义

编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus ）。具有破坏性，复制性和传染性。

计算机病毒（Computer Virus ）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自

熊猫烧香病毒（尼姆亚病毒变种）

我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大！

3.12计算机病毒特点

繁殖性

计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。 传染性

计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过

传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫

计算机网络

痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

潜伏性

有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。

隐蔽性

计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

破坏性

计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。

可触发性

病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

第二节 病毒分类

计算机病毒的分类方法有多种，但最为流行且科学的分类方法则是按病毒对计算机破坏的程度和传染方式来分。按前者分类，主要有良性病毒和恶性两大种，若按后者，即病毒在计算机中的传播方式来分有引导型病毒、文件型病毒及深入型三种。

（1）、良性病毒

与生物学的良性病毒一样，计算机中的良性病毒是指那些只表现自己而不破坏系统数据的病毒。它多数是恶作剧者的产物，其目的不是为了对系统数据进行破坏，而是为了让使用这种被传染的计算机系统用户通过屏幕显示的表现形式，了解一下病毒程序编写者在计算机编程技术与技巧方面的超群才华。但这种病毒在一定程度上对系统也有破坏作用（称之为副作用）。

通常来说，良性病毒在发作时，仅占用CPU 的时间，进行与当前执行程序无关的事件来干扰系统工作（如小球病毒、巴基斯坦病毒）。

（2）、恶性病毒

恶性病毒的目的在于人为地破坏计算机系统的数据、删除文件或对硬盘进行格式化，甚至有些病毒既不删除计算机系统的数据，也不格式化硬盘，而只是对系统数据进行修改，这样的病毒所造成的危害具有较大破坏性，有的占用系统资源（如大麻病毒等），有的可能删除执行文件（如黑色星期五病毒等），甚至在某种条件下使机器死锁。

（3）、引导扇型病毒（BOOT Sector Virus）

开机启动时，在DOS 的引导过程中被引入内存的病毒称之为引导病毒。它不以文件的形式存在磁盘上，没有文件名，不能用DIR 命令显示，也不能用DEL 命令删除，十分隐蔽。常见圆点病毒、大麻病毒、巴基斯坦智囊病毒及BRAIN 病毒等均属这类。 由于引导区是磁盘的一部分，它在开机启动时控制计算机系统。而引导区病毒则用它自身来代替磁盘上原来的引导区代码，并将病毒装入内存。一旦装入内存，病毒就向其它磁盘或文件扩散。这类病毒通常将整个病毒或病毒的一部分装入引导扇区，而把原引导记录和病毒的其它部分转移到磁盘的其它扇区保存起来，这类病毒在系统启动时便可获得控制权，进行传播和破坏活动。

引导型病毒通常分为两部分：第一部分放在磁盘引导扇区中；另一部分和原引导记录放在磁盘上连续几个簇中，其位置一般放在第一部分中。这些簇在文件分配表FAT 中做上坏簇的标记，使其不被覆盖而永久地驻留在磁盘中（磁盘已使用的簇必须在文件分配表FAT 中做上簇的标记，否则会因其它文件的使用而被覆盖）。引导型病毒也可能驻留在硬盘的主引导记录中，其原理和驻留在引导扇区的病毒基本相同，因此这里只介绍驻留在引导扇区的病毒。

引导程序放在磁盘的引导扇区中。开机启动时，磁盘引导扇区的程序会读到内存中，如果是健康盘，得到控制权的引导程序把两个隐含文件（IBMBIO.COM ）和COMMAND.COM 引入内存, 启动完成。如果是染上病毒的盘，读到内存的是病毒程序的第一部分，它得到控制权后修改内存可用空间的大小，在内存高端辟出一块区域, 并把第一部分移至该区, 接着读入放在磁盘”坏簇”中的第二部分，并和第一部分拼起来，使病毒程序全部驻留在内存的高端，然后修改INT13H 的中断向量或其它中断向量，使其向高端的病毒程序，这时即可把原引导程序读到内存中，并把控制权交给它以完成系统的启动。由于修改了中断向量，病毒程序在计算机的运行中经常能得到CPU 的控制权。

各类引导型病毒引入存储过程大致相同。它们都要修改内存可用空间的大小，都植入内存的高端，并在内存高端为病毒传播留出工作空间，否则在运行其它程序时可能被覆盖；都要修改中断向量表，以便将来有机会占领CPU ，否则即使在内存也如同冬眠一样，不能进行传播和破坏。带病毒系统盘启动后，病毒程序就安装到内存的高端，如仅此而已，只耗去部分内存空间，对系统没有什么影响，那么病毒是如何传播的呢？ 病毒是一段程序，必须占领CPU ，运行时才能传播。由于在病毒装入内存时，中断向量表已被修改，其入口地址指向内存高端的病毒程序，因此读写盘或产生其它中断时首先运行的是病毒程序，造成了传播机会。传播前一般要先判断磁盘是否已感染过，若已感染，则不再感染，否则就搜索盘中连续几个未用簇，把第二部分和原引导记录写到这些簇中，把这几簇的位置和病毒标志记载在第一部分，在FAT 表中给这几个簇

置上坏簇标记，再把在内存高端的病毒程序第一部分写到磁盘的引导扇区，就完成了传播。由于中断向量表已被修改，因此读写盘或产生其它中断时，病毒程序占领了CPU ，就可以发作。为了尽可能地扩散，一般在感染后一段时间内，病毒只悄悄地传播而不发作，不易察觉。只有在一定条件下才会发作，条件多半和时间有关，病毒常使用1NT 1AH 中断读取计算机系统的时间，满足一定条件就会发作。

（4）、文件型病毒

文件型病毒也常称之为外壳型病毒。这种病毒的载体是可执行文件, 即文件扩展名为.COM 和.EXE 等的程序，它们存放在可执行文件的头部或尾部。将病毒的代码加载到运行程序的文件中，只要运行该程序，病毒就会被激活，同时又会传染给其它文件。这类病毒主要只传染可执行文件，并且当染有该灯病毒的文件运行时，病毒即可得到控制权，进行传播得控制破坏活动。

这类病毒的载体是可执行程序，只有用户键入该程序名，或用其它方法运行该程序，病毒方能引入内存，并占领CPU ，运行病毒程序。

一旦用户键入染上这种病毒的可执行文件名，该文件就会进入内存并运行，但首先执行的是藏在其中的病毒程序。病毒会在磁盘中寻找尚未染上此病毒的可执行文件，将自身植入其首部或尾部，修改文件的长度使病毒程序合法化，还修改该程序，使执行该文件前首先挂靠病毒程序，在病毒程序的出口处再跳向原程序开始处。该可执行文件就成为了新的病毒源。一旦病毒占领了CPU ，运行后随时可又以发动攻击。

这种病毒依附在源程序等不可执行的文件中是没有意义的，其传染的目的是可执行文件，只有运行该可执行程序时病毒才能调入内存运行，因此文件型病毒激活的机会少。可执行程序分为应用类和系统类。应用类由用户编写，进入内存的机会少，而系统类由系统提供，如COMMAND.COM 、FILE1.EXE 、CCCC.EXE 等，是常驻内存或经常引入内存的。为了有更多的“作案”机会，这种病毒常传染系统文件。此外如EDLIN.COM 、PCTOOLS.EXE 、DEBUG.COM 、DISKCOPY.COM 以及一些编译、汇编、链接程序，它们进入内存的机会较多，因此也被传染，诊治时首先要从这些文件入手。

（5）深入型病毒

深入型病毒也称之为混合型病毒，具有引导区病毒和文件型病毒两种特征，以两促方式进行传染。这种病毒它们既可以传染引导扇区又可以传染可执行文件，从而使它们的传播范围更广。也更难于被消除干净（如FILP 病毒就属此类）。

这类病毒不仅感染引导记录，也感染磁盘文件。如果只将病毒从被感染的文件中清除掉，当系统重新启动时，病毒将从硬盘引导记录进入内存，这之后文件又会被感染；如果只将隐藏在引导记录里的病毒消除掉，当文件运行时，引导记录又会被重新感染。

例如，侵入者、3544幽灵等就属于这类病毒。

深入型病毒的传染过程与引导型病毒和文件型病毒的传染过程类似，只不它既感染磁盘的引导扇区又感染磁盘文件。

4. 计算机病毒的剖析 第一节 计算机病毒的检查

如何检查笔记本是否中了病毒？以下就是? 检查步骤：

一、进程

首先排查的就是进程了，方法简单，开机后，什么都不要启动！

第一步：直接打开任务管理器，查看有没有可疑的进程，不认识的进程可以Google 或者百度一下。

第二步：打开冰刃等软件，先查看有没有隐藏进程（冰刃中以红色标出），然后查看系统进程的路径是否正确。

第三步：如果进程全部正常，则利用Wsyscheck 等工具，查看是否有可疑的线程注入到正常进程中。

二、自启动项目

进程排查完毕，如果没有发现异常，则开始排查启动项。

第一步：用msconfig 察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有Microsoft 服务”复选框，然后逐一确认剩下的服务是否正常（可以凭经验识别，也可以利用搜索引擎）。

第二步：用msconfig 察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。

第三步，用Autoruns 等，查看更详细的启动项信息（包括服务、驱动和自启动项、IEBHO 等信息）。

三、网络连接

ADSL 用户，在这个时候可以进行虚拟拨号，连接到Internet 了。然后直接用冰刃的网络连接查看，是否有可疑的连接，对于IP 地址如果发现异常，不要着急，关掉系统中可能使用网络的程序（如迅雷等下载软件、杀毒软件的自动更新程序、IE 浏览器等），再次查看网络连接信息。

四、安全模式

重启，直接进入安全模式，如果无法进入，并且出现蓝屏等现象，则应该引起警

惕，可能是病毒入侵的后遗症，也可能病毒还没有清除！

五、映像劫持

打开注册表编辑器，定位：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti ，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。

六、CPU 时间

如果开机以后，系统运行缓慢，还可以用CPU 时间做参考，找到可疑进程，方法如下：

打开任务管理器，切换到进程选项卡，在菜单中点“查看”，“选择列”，勾选“CPU时间”，然后确定，单击CPU 时间的标题，进行排序，寻找除了SystemIdleProcess 和SYSTEM 以外，CPU 时间较大的进程，这个进程需要引起一定的警惕。

4.11特征代码法

此法判断文件是否感染了病毒是通过检查文件中是否有病毒数据库中的病毒特征码。由于新的病毒不断的出现，所以采用这种方法就必须不断的更新检测工具版本，否则就会被淘汰。特征代码法用到了比较法、扫描法和分析法。

（1）比较法：将原始备份与可能的感染对象进行比较，如果发现不一致则说明有被感染的可能。这种比较法只需要具有比较功能的工具软件就可以进行，不但可以发现已知病毒甚至可以发现未知病毒。如果比较的结果可靠，必须保证原始备份是干净的，否则比较法就没有作用了。比较法简单易行，但是无法确定发现的异常是否是病毒，即使是病毒也无法识别其名称和种类。

（2）扫描法：就是对被检测的对象用每种病毒的特征代码进行扫描，如果在被检测的对象内容中发现了某种特征代码，则表明发现了该特征代码代表的病毒。能够实现这种扫描的软件称为特征扫描器，病毒特征码库扫描引擎和组成了特征扫描器，其中已知病毒的特征代码由病毒特征码库提供，扫描引擎是利用病毒特征码库对检测对象进行匹配性扫描，如果有匹配便发出警告。特征扫描器能准确地查出病毒并确定病毒的名称和种类，但无法查出未载入病毒特征码库的未知病毒。

（3）分析法：此法是针对未知的新病毒所采用的方法。它先确定被检查的对象中是否有病毒，若有则确认病毒的名称和类型并判断是否是一种新的病毒。若是，将特征代码添加到病毒特征码库中。最后通过分析病毒的详细结构来制定相应的反病毒措施。此法要求使用者不但要具有专业的病毒方面的知识，还要具有较全面的计算机操作系统的知识。反病毒技术人员监测系统通常使用这种方法。特征代码法检测可识别

病毒的名称、准确快速、误报警率低、并可根据检测结果来自动解毒，但收集已知病毒的特征代码时开销很大，而且无法对付隐蔽型病毒。

4.12检验和法

对正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。它既可发现已知病毒又可发现未知病毒。但是，它不能识别病毒种类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的排它性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。

4.13行为监测法

行为监测法是通过病毒的特有行为特性来监测病毒的方法。多年对病毒的观察、研究，人们发现病毒有一些共同的行为，而且比较特殊。在正常程序中，这些行为比较罕见，当程序运行时监视其行为，如果发现了病毒行为便立即报警。行为监测法的优点是能够发现未知病毒，可相当准确地预报未知的多数病毒；行为监测法的缺点是不能识别病毒名称，可能误报警，实现时有一定难度。

4.14软件模拟法

利用软件来模拟和分析程序的运行，它是一种软件分析器。每次实施感染后的多态性病毒都会变化其病毒密码。特征代码法是无法检测的，虽然行为检测法虽然能够检测到，但是不知病毒的种类，所以无法做清毒处理。新型检测工具纳入了软件模拟法，该类工具运行中使用特征代码法了，如果发现有隐蔽病毒或多态病毒的嫌疑时就启动软件模拟板块来监视病毒的运行，待病毒自身的密码译码后用特征代码法来识别病毒的类型。 第二节 计算机病毒的攻击分析

命名

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就蒙了，那么长一串的名字，我怎么知道是什么病毒啊？

其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了：一般格式为：..

病毒后缀>

木马病毒

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH 病毒的家族名都是统一的“ CIH ”，振荡波蠕虫病毒的家族名是“ Sasser ”。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B ，因此一般称为 “振

荡波B 变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。

主名称

病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k 大小的文件可以命名为“Small”。

版本信息

版本信息只允许为数字，对于版本信息不明确的不加版本信息。

主名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a —z ，如：aa 、ab 、aaa 、aab 以此类推。由系统自动计算，不需要人工输入或选择。

附属名称

病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到病毒库中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：

Client 说明：后门程序的控制端

KEY_HOOK 说明：用于挂接键盘的模块

API_HOOK 说明：用于挂接API 的模块

Install 说明：用于安装病毒的模块

Dll 说明：文件为动态库，并且包含多种功能

（空） 说明：没有附属名称，这条记录是病毒主体记录

附属名称变种号

如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a —z ，如果一位版本号不够用则最多可以扩展3位，如：aa 、ab 、aaa 、aab 以此类推。由系统自动计算，不需要人工输入或选择。

病毒长度

病毒长度字段只用于主行为类型为感染型（Virus ）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。

途径

计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：

(1）通过软盘

通过使用外界被感染的软盘，例如，不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘，使机器感染病毒发病，并传染给未被感染的“干净”的软盘。大量的软盘交换，合法或非法的程序拷贝，不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。

(2）通过硬盘

通过硬盘传染也是重要的渠道，由于带有病毒机器移到其它地方使用、维修等，将干净的软盘传染并再扩散。

(3）通过光盘

因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。

(4）通过网络

这种传染扩散极快，能在很短时间内传遍网络上的机器。

随着Internet 的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet 带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet 邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。

(5）通过U 盘

5. 计算机病毒防范

5.11 计算机病毒防范的概述

1：及时为WINDOWS 打补丁，方法：打开IE ——/工具(T)/——/ Windows Update(U) / ——并按步骤更新原因：为WINDOWS 打补丁是很很重要的，因为许多病毒都是根据WINDOWS 的漏洞写出来的。 当然360的修复漏洞更方便，不过刚刚看到有网友说有时候不能及时检查出漏洞，不知道大家有没有遇到过。

2：不浏览不安全的网站，把“INTERNET 安全性 属性”的安全级别调高级。方法：双击IE 右下方的小地球，按一下默认级别，向上移动滑块，然后确定。原因：禁止网页使用的控件，它就不能在你背后搞小动作了。说明：有些网页是要使用正常的控件的，比如听歌的看电影的网页等等，这时你得把‘INTERNET 安全性属性’调回中级。

3：下载后和安装软件前一定要杀毒，不明白那是什么东西不要打开他。原因：或许你下载的网站不会放病毒的软件，但不排除它可能被人入侵，然后被放置带病毒的软件，总之安全第一。说明：下载后安装前杀是个好习惯。下载软件最好去官方。华军的软件还经常有捆绑什么的，特别烦。

4：经常更新毒库杀毒。原因：病毒的发展是会不停止的，更新毒库才能杀新的病毒。 所以说啊，不是说装完了个杀毒软件就万事大吉了，不更新病毒库等于没装！！ 5：不要安装太多的IE 的辅佐工具。原因：IE 的辅佐工具之间可能有冲突，而且会占用一定的内存。说明：所谓请神容易送神难，在按‘确定’前一定要想清楚。 6：不需要安装太多的杀毒软件。原因：杀毒软件之间也可能有冲突，而且会占用较多的内存。说明：一般来说要‘求精不求多’，通常安装三样功能：防病毒、防火

墙、防木马。

7：对电脑认识有一定水平的人可以对电脑的进行手动捡查方法：系统盘中的Autoexec.bat windows 中的Msconfig.exe 和注册表中Run 启动项说明（如果发现新的加载项目那你就得小心点了）。

8：重要文档不要放在系统盘中，而且要备份好。

9：有能力的可以为系统盘做一个映象文件。如果碰到新的病毒，连杀毒软件也没能为力，只得还原映象了。总结：及时打补丁，经常升毒库杀毒，不要打开不明的连接，上不安全的网站要调高级别，时常查看启动项，不要打开或安装来历不明的文件，做好备份。建个系统盘映象。

10：建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒遏制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系, 须有有效的硬件和软件技术的支持, 如安全设计及规范操作。

11：严把收硬件安全关。国家的机密信息系统所用设备和系列产品, 应建立自己的生产企业, 实现计算机的国产化、系列化；对引进的计算机系统要在进行安全性检查后才能启用, 以预防和限制计算机病毒伺机入侵。

12：防止电磁辐射和电磁泄露。采取电磁屏蔽的方法, 阻断电磁波辐射, 这样, 不仅可以达到防止计算机信息泄露的目的, 而且可以防止“电磁辐射式”病毒的攻击。 13：加强计算机应急反应分队建设。应成立自动化系统安全支援分队, 以解决计算机防御性的有关问题。早在1994年, 美国软件工程学院就成立了计算机应急反应分队。 计算机病毒攻击与防御手段是不断发展的, 要在计算机病毒对抗中保持领先地位, 必须根据发展趋势, 在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行：一是计算机病毒的数学模型。二是计算机病毒的注入方式, 重点研究“固化”病毒的激发。三是计算机病毒的攻击方式, 重点研究网络间无线传递数据的标准化, 以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。

5.12 基于工作站的DOS 防毒技术

工作站是网络的门，只要将这扇门户关好，就能有效地防止病毒的入侵。工作站防毒主要有以下几种方法：

（1）使用防毒杀毒软件：很多DOS 防毒杀毒软件都兼顾网络上的DOS 病毒。比如：CPA V 中的VSAFE 就能探测网络的安全性，设置相应的参数后，只要遇到网络访问时，它就提供安全检测。CPA V 中还有ISCPSTSR.EXE （网络支撑文件），用于检测

VSAFE 是否常驻内存。美国McAfee Associates防毒协会推出的扫毒软件中也有一个网络扫毒程序NETSCAN.EXE ，该程序适用于3COM, 3/Open和AT&T，DEC Path works, Microsoft LAN Manager, Star LAN,Banyan VINES, No vell Net Ware, 以及其它与NETBIOS 或IBMNET 兼容的网络操作系统。该程序用于扫描网络文件服务器，如果发现病毒也可用相应的CLEAN 清除病毒。这种方法的特点是：防毒软件实时监测、软件版本升级容易以及查毒杀毒软件能够发现病毒并加以清除。但与DOS 防毒杀毒软件一样，防毒软件有兼容性问题，杀毒软件有被动性问题。

（2）在工作站上插防毒卡：以单机为防毒对象的防毒卡虽说具有网络防毒功能，但其实质上只是解决与网络操作系统（如中断向量等）的冲突问题。另一方面，将防毒卡与产品加密合二为一，这样一个工作站必须安装一个防毒卡，给我们带来了许多不便。另外防毒卡会占用硬件资源，如扩I/O地址、充槽口等，易发生防病毒系统与其它系统的软硬件冲突，也影响电脑执行速度。

（3）在网络接口卡上安装防毒芯片：这种方法是将防毒程序集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。其基本原理：网络接口卡是网络上每个工作站都需要安装的，而网络接口卡上有一个Boot ROM 芯片，但是多数网卡的Boot ROM 并没有充分利用，都会剩余一些使用空间，如果防毒程序够小的话，就可以把它安装在网络的Boot ROM 的剩余空间内，而不必另插一块芯片。这样，将病毒保护能力与工作站存取控制合二为一插在网卡的EPROM 槽内，我们也可以免除许多繁琐的管理工作。Chipway 防病毒芯片就是采用安装防毒芯片，当工作站DOS 引导过程时，在Partition Table 装入之前，Extended BIOS、ROM BIOS装入之后，Chipway 将会获得控制权，这样可以防止引导型病毒。但是目前，Chipway 对防止网络上广为传播的文件型病毒能力还十分有限。

5.13 基于服务器的NLM 防治技术

基于服务器的NLM 防毒技术一般具备以下功能：

（1）实时在线扫描：网络防毒技术必须全天24小时监控网络，检测是否有带毒文件进入服务器。为了保证监测病毒的实时性，通常设计方法是采用多线索的，让检测程序成为一个随时可以激活的功能模块。并且在NetWare 运行环境中，不影响其它线索的运行。这是设计一个NLM 最重要的部分，即多线索的调度， 实时在线扫描能及时追踪病毒的活动，及时告之工作站用户和网络管理员。当网络用户将带毒文件拷入服务器中时，网络防毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时记入病毒档案。

（2）服务器扫描：这种方法是对服务器中的所有文件集中检查是否带毒。若有带

毒文件，则提供的处理方法是：删除带毒文件、允许用户清除病毒、更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。网络管理员可以定期检测服务器中是否带毒，可按每月、每星期、每天集中扫描一下网络服务器，这样网络用户拥有极大的操作选择余地。

（3）工作站扫描：基于服务器的防毒软件虽然不能保护本地工作站的硬盘，但是可以在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序，如LANClear For NetWare采用World 程序 ，而LANdesk Virus Protect采用LPSean 等。同DOS 防毒一样，服务器NLM 防毒也面临防毒系统如何能够对付不断出现的新病毒的问题。开放病毒特征数据库是典型的做法。用户随时将遇到的带毒文件，然后经过病毒特征分析程序后自动将病毒特征加入特征库，以随时增强抗毒能力。基于服务器的NLM 防毒方法表现在：能实现实时扫描功能、可以集中式扫毒、软件升级方便；当联网机器很多的话，利用这种方法比为每台工作站都安装防病毒产品要节省成本。

经过NOVELL 实验室认证的网络防毒管理系统LANDesk Virus Protect安装于文件服务器上，可以保护网络工作站，并随时监控工作站及文件服务器的病毒活动，使网络管理者远离病毒的侵扰。防毒系统一旦发现中毒文件，便会将之隔离。使用者可以选择将中毒文件更名为不可执行文件，或将中毒文件删除，或是搬至指定目录下。防毒系统还将详细记录中毒文件的时间、来源、LOGIN USER 的名字。通过工作站的常驻扫描程序，随时检查工作站所执行的程序是否为病毒携带者，与服务器的监控相辅相成，达到了全面防毒效果。

5.14 基于网络安全体系的防毒管理措施

针对网络上的病毒传播方式，我们通过网络操作系统本身提供的安全保护措施来加强网络安全管理。

网络操作系统 NetWare 中，提供了目录和文件访问权限与属性两种安全性措施。属性是优先访问权限的，根据用户对文件和目录的操作能力，要分配不同的属性和访问权限。如：公用目录中的工具软件和系统文件，应该只设置只读属性，系统程序所在的目录不授予S 超级用户权和M 修改权。这样病毒就无法对系统程序进行实施感染和寄生，其他用户也不会感染病毒。可以看出，网络上共享目录或公用目录的安全性措施可以防止病毒在网上传播。对于网络用户的私人目录，由于受限于个别使用，所以病毒很难传播给其它用户。采用网络目录和文件安全性的方法对预防病毒起到了一定作用，但毕竟是基于网络操作的安全性的设计还存在着局限性，现在还没有一种网络操作系统能够完全抵御病毒侵染，从网络安全性措施角度来看，在网络上也是无法

防止带毒文件的入侵。因此必须对计算机安全要有足够的重视，增强防范意识，加强网络管理，健全安全管理制度，使用正规合法的软件来减少病毒入侵机会，具体有以下几点加以注意：

（1）尽量少用有盘工作站：站在科学角度上来说，在一个网络上有两个有盘工作站就可以了。一个用来备份或向服务器内装入软件的工作站，另一个是是系统管理员操作的工作站。针对有盘工作站需特别管理，严禁任意将未经查毒的软件以及外来非法软件拷入网络。

（2）尽量多用无盘工作站：这种工作站完成系统引导工作是通过网卡上的远程复位PROM 。用户不能向服务器装入文件或从服务器下载文件，只能执行服务器允许执行的文件来减少病毒从无盘工作站入侵系统的机会。

（3）严格控制用户的网络使用权限：这样可以减少其它文件被传染的机，只能在这一被病毒侵入的用户使用权限范围内传染。不允许一个用户对其他用户私人目录的读和文件扫描权利来杜绝用户通过拷贝其他私人目录中带毒文件，将病毒传染至本地目录中。多个用户对同一目录有读写权利也是不允许的。当必须使多个用户以读写权存取同一目录时，应通知用户不能在共享目录下放置可执行文件。组目录只允许含有数据文件，要严格管理组中所有共享可执行文件目录，根据实际情况可以授予用户最小的文件访问权。

（4）尽量少用超级用户登录：系统管理员或有与系统管理员同等权力的用户一经登录，将被赋予整个服务器目录下的全部权力。若他的工作站被病毒侵入，有可能会感染整个网络服务器中的可执行文件。所以，系统管理员应将部分权力分别下放给打印队列操作员、组管理员、控制台操作员，可以让系统管理员解脱出来，这样也减少了以超级用户登录的次数，整个系统的安全性也被加强了。

（5）严格限制远程工作站的登录权限：一些远程工作站由于分布范围广泛以致难以统一管理，是病毒入侵的一个入口，因此按指定目录存放其发来的数据，待检查后方可使用，以防带入病毒。

（6）对非常重要或某些频繁使用的文件属性加以控制，以免被病毒传染。如：可以将某些经常使用的可执行文件的属性更改为只执行方式。

6. 结束语

随着计算机网络技术的不断发展，计算机给人类经济、文化、军事和社会活动带来更多便利的同时，也带来了相当巨大的安全挑战。现代信息网络面临着各种各样的安全威胁，有来自网络外面的攻击，比如网络黑客、计算机病毒等。因此合理有效的预防是防治计算机病毒最有效，最经济省力，也是最应该值得重视的问题。研究计算

机病毒与预防有利于我们正确认识、感知、防范计算机病毒的攻击，以保护计算机网络安全，使得计算机网络真正发挥其积极的作用，促进人类经济、文化、军事和社会活动的健康。

7. 参考文献：

[1]卓新建，郑康锋，辛阳. 计算机病毒原理与防治[M].北京邮电大学出版社，2007，

（8）：第二版.

[2]郝文化. 防黑反毒技术指南[M].机械工业出版社，2004，（1）：第一版.

[3]程胜利，谈冉，熊文龙等. 计算机病毒与其防治技术[M]. 清华大学出版社，2004，（9）：第一版.

[4]张仁斌，李钢，侯整风. 计算机病毒与反病毒技术[M].清华大学出版社，2006

（6）.

[5]傅建明，彭国军，张焕国. 计算机病毒与对抗[M].武汉大学出版社，2004.

[6]吴万钊，吴万铎. 计算机病毒分析与防治大全[M].学苑出版社，1993，（10）.