计算机病毒解析与防范毕业论文(4)

4.1外观检测法

病毒侵入计算机系统后, 会使计算机系统的某些部分发生变化, 引起一些异常现网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Fi象,如屏幕显示的异常现象、系统运行速度的异常、打印机并行端口的异常、通信串行口的异常等等。我们可以根据这些异常现象来判断病毒的存在, 尽早地发现病毒, 并作适当处理。外观检测法是病毒防治过程中起着重要辅助作用的一个环节[6]。

（1） 屏幕显示异常 （2） 声音异常 （3） 键盘工作异常

（4） 打印机、软驱等外部设备异常 （5） 系统工作异常 （6） 文件异常 4.2比较法

主比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单（比如DEBUG的D命令输出格式）进行比较，或用程序来进行比较（如DOS的DISKCOMP、FC或PCTOOLS等其它软件）。这种比较法不需要专用的查计算机病毒程序，只要用常规DOS软件和PCTOOLS等工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查计算机病毒程序发现的计算机病毒。因为计算机病毒传播得很快，新的计算机病毒层出不穷，由于目前还没有做出通用的能查出一切计算机病毒，或通过代码分析，可以判定某个程序中是否含有计算机病毒的查毒程序，发现新计算机病毒就只有靠比较法和分析法，有时必须结合这两者来一同工作[7]。

使用比较法能发现异常，如文件的长度有变化，或虽然文件长度未发生变化，但文件内的程序代码发生了变化。对硬盘主引导扇区或对DOS的引导扇区做检查，比较法能发现其中的程序代码是否发生了变化。由于要进行比较，保留好原始备份是非常重要的，制作备份时必须在无计算机病毒的环境里进行，制作好的备份必须妥善保管，写好标签，并加上写保护。

比较法的好处是简单、方便，不需专用软件。缺点是无法确认计算机病毒的种类名称。另外，造成被检测程序与原始备份之间差别的原因尚需进一步验证，以查明是由于计算机病毒造成的，或是由于DOS数据被偶然原因，如突然停电、程序失控、恶意程序等破坏的。这些要用到以后讲的分析法，查看变化部分代码的性质，以此来确证是否存在计算机病毒。另外，当找不到原始备份时，用比较法就不能马上得到结论。

11

从这里可以看到制作和保留原始主引导扇区和其它数据备份的重要性。 4.3加总对比法

根据每个程序的档案名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附于程序的后面，或是将所有检查码放在同一个数据库中，再利用此加总对比系统，追踪并记录每个程序的检查码是否遭更改，以判断是否感染了计算机病毒。一个很简单的例子就是当您把车停下来之后，将里程表的数字记下来。那么下次您再开车时，只要比对一下里程表的数字，那么您就可以断定是否有人偷开了您的车子。这种技术可侦测到各式的计算机病毒，但最大的缺点就是误判断高，且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到[8]。 4.4分析法

一般使用分析法的人不是普通用户，而是防杀计算机病毒技术人员。使用分析法的目的在于：

1. 确认被观察的磁盘引导扇区和程序中是否含有计算机病毒；

2. 确认计算机病毒的类型和种类，判定其是否是一种新的计算机病毒； 3. 搞清楚计算机病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到计算机病毒代码库供计算机病毒扫描和识别程序用；

4. 详细分析计算机病毒代码，为制定相应的防杀计算机病毒措施制定方案。 上述四个目的按顺序排列起来，正好是使用分析法的工作顺序。使用分析法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用以及关于计算机病毒方面的各种知识，这是与其他检测计算机病毒方法不一样的地方[9]。 5. 计算机病毒的防范 5.1 日常简单的防范措施

计算机病毒感染的传播感染是需要借助各种载体实现的，所以日常良好的使用计算机的习惯往往能很好的防范计算机病毒的入侵。

(1)使用新软件时, 先用杀毒程序检查, 可减少中毒机会。

(2)不要在互联网上随意下载软件。病毒的一大传播途径, 就是Internet 。 (3)不要轻易打开来历不明的邮件或软件。

(4)重要的系统和文件应备份, 以便在遭到病毒入侵后, 可检查、比对, 并可帮助及时清除病毒、恢复系统; 重要资料, 必须备份[8]。

(5)重要的文件盘和重要的带后缀.COM 和.EXE 的文件赋予只读功能, 避免病毒写到磁盘上或可执行文件中。

12

(6)选择一款留驻型杀毒软件，并及时更新病毒库。

(7)及时更新系统漏洞，许多病毒可以通过系统漏洞攻击计算机。 5.2 引导性病毒的预防

引导型病毒一般在启动计算机时, 优先取得控制权, 强占内存。通常情况下, 只要尽量不用软盘或用干净的软盘启动系统, 是不会染上引导型病毒的。对软盘进行写保护, 可以很好的保护软盘不被非法写入, 从而不感染上引导型病毒。

预防引导型计算机病毒，通常采用以下一些方法： （1）坚持从不带计算机病毒的硬盘引导系统。

（2）安装能够实时监控引导扇区的防杀计算机病毒软件，或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。

（3）经常备份系统引导扇区。

（4）某些底板上提供引导扇区计算机病毒保护功能（Virus Protect），启用它对系统引导扇区也有一定的保护作用。不过要注意的是启用这功能可能会造成一些需要改写引导扇区的软件（如Windows 95/98，Windows NT以及多系统启动软件等）安装失败。

考虑对硬盘进行写保护, 它运行以后驻留内存,当有对硬盘的写操作时, 将暂停程序执行, 在屏幕上显示当前将要操作的硬盘物理位置, 即磁头号、磁盘号和扇区号, 等待用户进行选择。在对硬盘的写操作很少的情况下, 最好把此程序放在主批处理的首部。

程序清单： code segment

assume cs∶code ,ds∶code org 100h be :j mp i ntt popp macro pop ds

pop es pop di pop si pop dx pop cx pop bx pop ax popf

13

end m

buff db 0 dat db ‘CH:’ ch1 db 0 ch2 db 0 db ‘CL :’ c11 db 0 c12 db 0 db ‘DH:’ dh1 db 0 dh2 db 0

mseg db ‘请选择 w/ r/ 空格’ ol dint13 dd 0 code ends

end be

5.3文件型病毒的预防

凡是文件型病毒, 都要寻找一个宿主, 寄生在宿主“体内”, 然后随着宿主的活动到处传播。这些宿主基本都是可执行文件。可执行文件被感染, 其表现症状为文件长度增加或文件头部信息被修改、文件目录表中信息被修改、文件长度不变而内部信息被修改等[10]。

预防文件型病毒方法的核心就是使可执行文件具有自检功能, 在被加载时检测本身的几项指标———文件长度、文件头部信息、文件内部抽样信息、文件目录表中有关信息。其实现的过程是在使用汇编语言或其他高级语言时, 先把上述有关的信息定义为若干大小固定的几个变量, 给每个变量先赋一个值, 待汇编或编译之后, 根据可执行文件中的有关信息, 把源程序中的有关变量进行修改, 再重新汇编或编译, 就得到了所需的可执行文件。

对于文件型计算机病毒的防范，一般采用以下一些方法：

（1) 安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件。 （2) 及时更新查杀计算机病毒引擎，一般要保证每月至少更新一次，有条件的可以每周更新一次，并在有计算机病毒突发事件的时候及时更新。 （3）经常使用防杀计算机病毒软件对系统进行计算机病毒检查。

（4）对关键文件，如系统文件、保密的数据等等，在没有计算机病毒的环境下经常备份。

（5）在不影响系统正常工作的情况下对系统文件设置最低的访问权限，以防止计

14

算机病毒的侵害。

（6）当使用Windows 95/98/2000/NT操作系统时，修改文件夹窗口中的确省属性。具体操作为：鼠标左键双击打开“我的电脑”，选择“查看”菜单中的“选项”命令。然后在“查看”中选择“显示所有文件”以及不选中”隐藏已知文件类型的文件扩展名”，按“确定”按钮。注意不同的操作系统平台可能显示的文字有所不同。 5.4宏病毒的预防

宏病毒（Macro Virus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件，只要使用这些应用程序的计算机就都有可能传染上宏病毒，并且大多数宏病毒都有发作日期。轻则影响正常工作，重则破坏硬盘信息，甚至格式化硬盘，危害极大。目前宏病毒在国内流行甚广，已成为计算机病毒的主流，因此用户应时刻加以防范。

通过以下方法可以判别宏病毒：

（1） 在使用的Word中从“工具”栏处打开“宏”菜单，选中Normal.dot模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就极可能是感染了宏病毒了，因为Normal模板中是不包含这些宏的。

（2）在使用的Word“工具”菜单中看不到“宏”这个字，或看到“宏”但光标移到“宏”，鼠标点击无反应，这种情况肯定有宏病毒。

（3）打开一个文档，不进行任何操作，退出Word，如提示存盘，这极可能是Word中的Normal.dot模板中带宏病毒。

（4） 打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘，也可能带有Word宏病毒。

（5）在运行Word过程中经常出现内存不足，打印不正常，也可能有宏病毒。 （6）在运行Word 97时，打开DOC文档出现是否启动“宏”的提示，该文档极可能带有宏病毒。 5.5个性化预防措施

病毒的感染总是带有普遍性的或大众化的, 以使感染的范围尽可能广, 所以有时一些个性化的处理可能对病毒的预防或免疫具有非常好的效果。例如给一些系统文件改名( 或扩展名) 、对一些文件( 甚至子目录) 加密, 使得病毒搜索不到这些系统文件。 6. 结束语

随着计算机技术的不断发展，计算机被应用于不同领域，病毒带来的危害也变得越来越大。所以认识并学会计算机病毒的防范措施变得尤为重要。本论文围绕着计算

15

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库计算机病毒解析与防范毕业论文(4)在线全文阅读。