计算机病毒入侵检测与防治研究（设计）完整版.doc

《计算机病毒入侵检测与防治研究（设计）完整版.doc》由会员分享，可在线阅读，更多相关《计算机病毒入侵检测与防治研究（设计）完整版.doc（20页珍藏版）》请在沃文网上搜索。

1、毕业论文论 文 题 目： 计算机病毒入侵检测与防治研究 专 业 班 级： 计应093 学 生 姓 名： 指 导 教 师： 设 计 时 间：2012年5月14日2012年6月8日重庆工程职业技术学院重庆工程职业技术学院毕业论文任务书任务下达日期：论文题目：论文主要内容和要求：教研室主任签字： 指导教师签字：年 月 日 年 月 日重庆工程职业技术学院毕业设计（论文）指导教师评语评语：成绩：指导教师签名：年 月 日重庆工程职业技术学院毕业设计（论文）答辩记录学生姓名系别计算机系专业班级计应093设计（论文）题目计算机病毒入侵检测与防治研究说明书共 页，图纸共 张答 辩 情 况提 出 问 题回 答 问

2、 题正确基本正确有一般性错误有原则性错误回答不清12345678答辩委员会评语及建议成绩：答辩委员会主任：年 月 日摘要随着计算机及计算机网络的发展，伴随而来的计算机病毒的传播越来越引起人们的注重了，尤其是近年来Internet的流行，有些计算机病毒借助网络爆发流行。目前计算机的应用深入到社会的各行各业，计算机与人们的生产生活密切相关已然成为人们生活的一部分或者说一种生活方式。每件事物都有它的好处和它的坏处，对于计算来说它丰富了我们的生活、方便了我们的工作、提高了生产率、创造了更高的财富价值这是它的好处，但同时伴随计算机的深入应用计算机病毒产生或发展也给我们带来了巨大的破坏和潜在的威胁，这是坏

3、处。对于大多数一般的计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨。其实计算机病毒是可以预防的，随着计算机的普及与深入，对计算机病毒的防范也在越来越受到计算机用户的重视。作为计算机的使用者，应了解计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作，计算机病毒的防范工作，已经迫在眉睫。本论文从计算机病毒概述及入侵途径、计算机病毒防范、计算机病毒治理清楚入手，浅谈计算机病毒的特点及其应对手法。关键词：计算机病毒、计算机安全、入侵途径、病毒防治。1、 计算机病毒的概述计算机病毒与生物界的病毒不一样，它不是天然存在的，而是经过某些人根据计算

4、机软硬件的脆弱性编制出来的一种具有特殊功能的程序。它跟生物界的病毒一样具有破坏性和传染性，如：具有自我复制能力、很强的感染能力、还有一定的潜伏性和特定的触发性等，因此人们称之为计算机病毒。计算机的信息需要存取、复制和传送，而计算机病毒作为信息的一种形式可以随机繁殖、感染和破坏。当计算机病毒取得控制权后，它会主动的去寻找感染目标，广泛的传播。随着计算机技术的发展越来越快，计算机病毒和计算机反病毒技术的对抗也愈发激烈。1.1计算机病毒的定义能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例的第二十八条中

5、指出：“计算机病毒是指编制或者在计算机程序中插入破坏计算机功能或数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码”。1.2计算机病毒的发展计算机病毒是所有软件中最先利用操作系统底层功能，以及最先采用复杂的加密和反跟踪技术的软件之一。操作系统的升级时，就会伴随着一种新的计算机病毒技术的产生。计算机病毒技术也经历了几个阶段：在20世纪6070年代早期的大型计算机时代，因为开发人员的失误或恶作剧，一种早期的病毒程序就诞生了，它就是被称之“兔子”的程序。它在系统中可以分裂出替身，占用系统资源，影响正常的工作。随着“爬行者”这种计算机病毒可以通过网络传播出现在一种叫做Tenex的操作系统中时

6、就奠定了计算机病毒的思想基础。DOS引导阶段： 20世纪八十年代程序员的职业趋势化，一些独立程序员就写了很多游戏或者其他小程序的，通过电子公告版流传，窃取相关的帐号和密码，这时就诞生了无数的特洛伊木马病毒。1982年在苹果机上诞生了最早的引导区计算机病毒埃尔科克隆者。DOS可执行阶段： 可执行文件型病毒的出现是在1989年,它们利用DOS系统加载执行文件的机制工作,代表为耶路撒冷,星期天病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。 伴随、批次型阶段：1992年

7、,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。这类计算机病毒的特点是不改变原来的文件内容、日期及属性。而在非DOS系统中，伴随型计算机病毒利用操作系统的描述语言进行工作，它在得到执行时，询问用户名称和口令，然后返回一个错误信息，将自身删除。而批次型计算机病毒是工作在DOS系统下的文件型、引导型以及文件/引导复合型计算机病毒。幽灵、多形阶段 ：1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。多态型计算机病毒是一种综合性病毒，它既能感染引导扇区又能感染程序

8、区，多数具有解码算法，一种计算机病毒往往需要两段以上的子程序才能解除。生成器、变体机阶段 ：1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。1992年早期第一个多台计算机病毒生成器“MtE”开发出来，计算机病毒爱好者就利用这一工具生成了很多新型的多态计算机病毒。与此同时，第一个计算机病毒构造工具集“计算机病毒创建库”开发成功，这是一个非常著名的计算机病毒制造工具。网络、蠕虫阶段： 1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DO

9、S操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 Windows病毒阶段 ：随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,清除方法也比较复杂。1996年，第一个真正OS/2下计算机病毒“AEP”计算机病毒出现，这一计算机病毒首次可以将自己附着在OS/2可执行文件的后面，实现了计算机病毒真正定义感染。 宏病毒阶段

10、：随着微软新的操作系统windows95、windowsNT和office的流行，计算机病毒制造者又开始使用新的感染和隐藏方法，制造出了在新的环境下可以自我复制和传播的计算机病毒。随着windows Word的功能增强，使用Word宏语言也可以编制出计算机病毒，这种病毒可以感染Word的文件。互连网阶段 ：随着Internet的发展，各种计算机病毒也可是利用Internet进行传播，一些携带计算机病毒的数据包和邮件越来越多。如果不小心打开了这些邮件,机器就有可能中毒。而第一个使用文件传输协议进行传播的蠕虫病毒就是Homer。1.3计算机病毒的生物特性生物病毒是一种独特的传染因子，它能够利用宿主

11、的营养物资来进行自我复制；而计算机病毒要复杂的多，计算机病毒是指编制或者在计算机程序中插入破坏计算机功能或数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码”。计算机病毒与生物病毒有着一些极为相似的性质：1、 宿主生物病毒必须存活在宿主细胞中才能繁殖，计算机病毒则是将自身的代码插入一段异己的程序代码中去，利用宿主的程序代码被执行或复制时，复制自己或产生效应，令系统瘫痪或破坏计算机资源。2、 感染性复制后的生物病毒裂解宿主细胞而被释放出去感染新的宿主细胞，而被复制计算机病毒代码也要寻找特定的宿主程序代码并感染。3、 危害性生物病毒可以给人类带来很大的危害，如HIV等可以给人带来生命危险

12、。而一些恶性计算机病毒也是会给计算机系统带来毁灭性的破坏的，使计算机系统资源招致无法修复性的破坏。也可能对硬件参数做修改。4、 简单性生物病毒颗粒过于微小，无法携带病毒复制全部信息，所以只能靠宿主细胞来合成自身的所需。计算机病毒也是一样的，计算机病毒一般都不具备可执行文件的完整结构，因此也不可以被单独激活、执行和复制，必须将其代码的不同部分嵌入到宿主程序代码中去，才能使其具有传染和破坏性。5、 特异性不同的生物病毒具有不同的感染机制。计算机病毒也是如此，如：Macro计算机病毒只能攻占数据表格文件，Invol计算机病毒只能感染*.SYS的文件。6、 顽固性由于计算机病毒的变异，使得消灭计算机病

13、毒的工作十分不易，从目前情况来看想要真正征服病毒还是具有相当大的困难的。除此之外，计算机病毒还具有传染性、潜伏性、隐蔽性、破坏性、不可预见性、衍生性、针对性、欺骗性、持久性等特点。正是由于计算机病毒具有这些特点，给计算机病毒的预防、检测与清除工作带来了很大的难度。 随着计算机应用的不断发展，病毒也不断的表现出它的新特性：利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动。1.4计算机病毒的分类根据计算机病毒的特点和特性它的分类也比较多，因此同一种病毒的分类也有多种不同的分法：1) 按照计算机病毒的寄生部

14、位或传染对象分类l 磁盘引导区传染的计算机病毒磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其 他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权， 其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护， 则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。l 操作系统传染的计算机病毒操作系统是一个计算机系统得以运行的支持环境，它包括。COM、。EXE等许多可执行程序及程序模块。操作系统

15、传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。l 可执行程序传染的计算机病毒可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。2) 按照传播媒介的分类l 单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统

16、。l 网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。3) 按照病毒破坏能力的分类l 无害型除了传染时减少磁盘的可用空间外，对系统没有其它影响。l 无危险型这类病毒仅仅是减少内存、显示图像等。l 危险型这类病毒在计算机系统操作中造成严重的错误。l 非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版

17、的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上能引发大量的数据丢失。4) 按照病毒的算法l 伴随型病毒这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。l “蠕虫”型病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的

18、内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。l 寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒本身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。l 诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。l 变型病毒这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法

19、和被变化过的病毒体组成。1.5计算机病毒的传播途径随着社会的不断进步科学的不断发展计算机病毒的种类也越来越多，但终究万变不离其宗！那他们是靠什么途径传播的了？目前病毒入侵的途径主要有以下几种：1、 木马的入侵木马有可能是黑客在已经获取我们操作系统可写权限的前提下，由黑客上传的;也可能是我们不小心，运行了包含有木马的程序，最多的情况还是我们防范意识不强，随便运行了别人发来的“好玩”的程序。所以，我们自己要多加注意，不要随意打开来历不明的电子邮件及文件，不要随便运行别人发来的软件，要先查毒再打开。安装木马查杀软件并及时更新。2、 共享入侵为了方便远程管理而开放的共享，这个功能对个人用户来说用处不大

20、，反而给黑客入侵提供了便利。个人用户应禁止自动打开默认共享，给自己的帐户设置复杂密码，最好是数字、字母以及特殊符号相结合，安装防火墙。3、 网页恶意代码入侵在我们浏览网页的时候不可避免的会遇到一些不正规的网站，当打开一个网页后，就发现注册表和IE设置被修改了，这就是网页恶意代码造成的破坏，但是这种网页恶意代码有着更大的危害，很有可能在我们不知道的情况下下载木马，蠕虫等病毒，同时把我们的私人信息，如银行帐号，QQ帐号，游戏帐号泄露出去。要避免被网页恶意代码感染，首先关键是不要轻易去访问一些并不信任的站点，不去打开那些自动弹跳出来的网页广告，尽量避免从Internet下载不知名的软件、游戏程序，即

21、使从知名的网站下载的软件也要及时用最新的木马查杀程序对软件和系统进行扫描，这样才能减少误中病毒的机会。4、 通过光盘入侵由于光盘的容量大，对于只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。为了使软件及相关的数字资源的传播而得到广泛应用。一些不法分子将病毒刻录到光盘中让用户在不知不觉中被隐藏与其上的病毒感染从而入侵你的电脑系统。5、 通过U盘等可移动存储介质入侵U盘、可移动硬盘等作为当前人们最方便、最常用的存储介质和文件拷贝、携带工具，同时为病毒的传播中发挥了重要的作用。6、 通过网络入侵计算机网络特别是Internet的普及，给病毒的传播提供了便捷的途径。计算机病毒可以附着在正常文件中

22、，当你从网上下载一个被感染的程序或文件，并在你的计算机上未加任何防护措施的情况下运行它，病毒就传染过来了。1.6计算机病毒的入侵方式计算机病毒的入侵方式主要有以下几种：l 源代码嵌入攻击型从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。l 代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特

23、定的程序，针对性较强，但是不易被发现，清除起来也较困难。l 系统修改型这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。l 外壳附加型这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。2、计算机病毒的检测技术2.1计算机反病毒的发展历程随着计算机技术的发展，计算机病毒技术和计算机反病毒技术的对抗越来越尖锐。计算机反病毒技术是从防计算机病毒卡开始的。防计算机病

24、毒卡的核心实际上是一个固化在ROM中的软件，它通过动态驻留内存来监视计算机运行情况，根据总结出来的计算机病毒行为规则和经验来判断计算机是否有计算机病毒运行。通过截获中断控制权规则和经验来判定是否有计算机病毒在活动，并可以截获中断控制权来使内存中的计算机病毒瘫痪，使其失去传染和破坏其他信息的能力。防计算机病毒卡的主要不足是与正常的、特别是国产的软件有不兼容的现象，误报、漏报计算机病毒的现象时有发生，降低的计算机运行速度，升级困难等。随着技术的不断发展，计算机病毒层出不穷，技术手段也越来越高。若是以一种不变的技术对付计算机病毒是不可能的，但是从反计算机病毒卡的动态监视技术、计算机病毒行为规则的研究

25、，一种新的反计算机病毒的技术逐渐的发展起来了，它就是反计算机病毒软件。反计算机病毒软件最重要的功能就是检测并清除病毒。第一代反计算机病毒技术是采取单纯的计算机病毒特征判断，将计算机病毒从带毒文件中清除。这种方式可以准确的清除病毒，可靠性很高。但是随着计算机病毒技术的发展，特别是加密和变形技术的应用，这种简单的静态扫描方式逐渐失去了作用。第二代反计算机病毒技术是静态广谱特征扫描方法检测计算机病毒，这种方式可以更多的检测出变形计算机病毒，但是误报率也有提高。因此，使用这种不严格的特征判定方式去清除计算机病毒的风险大，容易造成文件和数据的破坏。第三代反计算机病毒技术将静态扫描技术和动态仿真跟踪技术结

26、合起来，查找计算机病毒和清除计算机病毒二合一，形成一个整体解决方案，能够全面实现预防、检测和清除等反计算机病毒所必备的各种手段，以驻留内存的方式防止计算机病毒的入侵。凡是检测到的计算机病毒都能清除，不会破坏文件和数据。但是随着计算机病毒的数量的增加 和新型病毒技术的发展，依靠静态扫描技术反计算机病毒技术查毒效率降低，驻留内存也容易产生误报。第四代反计算机病毒技术则是针对计算机病毒的发展而逐步建立起来的基于计算机病毒家族体系的命名规则、基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块、内存解毒模块和自身免疫模块等先进的解毒技术，较好的解决了以前防毒技术顾此失彼、此消彼长的问

27、题。2.2计算机病毒检测原理计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。计算机病毒检测技术主要有两种，一种是根据计算机病毒程序中的关键字、计算机病毒的特征及感染方式和文件长度的变化，在特征分类的基础上建立的检测技术。另一种则是不针对计算机病毒的自身检验技术，而是对某个文件或数据段进行检验和计算，并保存结果，以后定期或不定期的对保存的数据文件进行检测，若发现有差异，则文件或数据遭到破环，从而检测到病毒的存在。2.2.1计算机病毒检测技术的基本原理计算机病毒感染正常文件后会引起正常文件的特征性变化，从这些变化中寻找本质的变化，将其作为计算机病毒的判断依据。国内外的主流反病毒

28、技术通常使用下述一种或者几种原理：l 反病毒程序计算各个可执行程序的校验和这些反病毒程序有些脱线运行，可以在启动时运行，也可以依照用户的愿望定期运行。还有一些采用在线运行方式，在被调用的程序被允许投入运行之前，先产生其校验和，然后与原程序的校验和做比较，如果一致则运行，否则将不被允许运行。l 某些反病毒程序是常驻内存程序这些反病毒程序是常驻在内存当中，它搜索可能进入系统的病毒。这些工具的目的是阻止病毒去感染计算机系统。l 少数的工具可以从感染病毒的程序中清除病毒少数反病毒工具可以将染病毒的程序修复好，但是，有些修复程序的修复效果并不能保证。修复后的程序执行时可能出现问题。某些反病毒工具在执行某

29、个将产生病毒感染的程序时，会向用户报警。若处置不当，会产生虚假报警。2.2.2检测病毒的基本方法l 借助简单工具检测简单工具就是指Debug等常规软件工具。用简单工具检测病毒要求检测者具备以下方面知识：1. 分析工具的性能2. 磁盘内部结构（如boot区、主引导分区、FAT表和文件目录等有关知识）3. 磁盘文件结构4. 中断矢量表5. 内存管理（内存控制块、环境参数和文件的PSP结构等）6. 阅读汇编程序的能力7. 有关病毒的信息由于工具简陋，用这种检测方法的用户需要有一定的专业知识，并不适合一般人群使用，而且检测效率低。l 借助专用工具检测专用工具指专门的计算机病毒检测工具。由于专用工具的开

30、发商对多种病毒进行剖析研究，掌握有多种病毒的特征特性，可用于计算机病毒的诊断。专用工具具备自动扫描磁盘的功能，可以诊断磁盘是否感染病毒。这类工具自身功能强大，所以检测者不一定需要专业的知识。2.3计算机病毒主要检测技术和特点计算机病毒主要检测技术有：外观检测法、特征代码法、系统数据对比法、实时监控法等。这些方法依据原理不同，检测范围也不同，各有所长。2.3.1外观检测法计算机病毒入侵系统后，会使计算机系统的某些部位发生变化，进而引发一些异常现象，如屏幕显示的异常现象、系统运行速度异常、通信串行口的异常等。根据这些异常现象来判断病毒的存在，尽早发现病毒，使得及时的进行处理。2.3.2系统数据对比

31、法计算机系统的重要数据一般存放在硬盘的主引导扇区、FAT表、DOS分区引导扇区等地方。硬盘的主引导扇区中通常会有一段主引导记录程序代码和硬盘分区表。主引导记录用于在系统引导时装载硬盘引导扇区中的数据，以引导系统、分区表确定硬盘的分区结构。硬盘DOS分区的引导扇区除了首部的基本输入输出系统参数块不同外，其余的引导代码是相同的。FAT表是磁盘空间分配的信息，其记录着已分配、待分配和坏簇的信息。一般系统数据对比法分为：1. 长度比较法和内容比较法计算机病毒感染系统或文件，必然会引起系统或文件的变化，包括长度的变化和内容的变化。因此将雾都的文件或系统与被检测的系统或文件长度和内容进行比较，即可发现是否

32、有计算机病毒。2. 内存比较法内存比较法是一种对内存驻留计算机病毒进行检测的方法。计算机病毒驻留内存，必须要在内存申请一定的空间，并对空间进行占用与保护，因此通过对内存的检测，观察其空间的变化，与正常系统内存的占用和空间进行比较，可以判定是否有计算机病毒。3. 中断比较法计算机病毒为实现其隐蔽性和传染破坏目的，常采用“截留盗用”技术，更改、接管中断向量，让系统中断向量转向执行计算机病毒控制部分。因此将正常的系统中断向量与被检测系统的中断向量做比较，就可以发现是否有计算机病毒修改和盗用中断向量。2.3.3病毒签名检测法计算机病毒感染标记是宿主程序已被感染的标记，不同计算机病毒感染宿主程序时，在宿

33、主程序不同位置放入特殊的感染标记，这些标记可以是一些数字或字符串。不同计算机病毒的计算机病毒签名内容不同，放置签名的位置也不同。计算机病毒签名检测法的特点：l 必须预先知道计算机病毒签名的内容和位置要想知道计算机病毒签名的内容和位置就必须剖析计算机病毒，这种方法要花费很大开销。l 可能造成虚假警报如果一个正常程序在特定位置具有和计算机病毒签名完全相同的代码，计算机病毒检测法就不能判断，就可能造成错误警报。2.3.4特征代码检测法有些计算机病毒判断主程序是否收到感染，是以宿主程序中是否有某些可执行代码段落做判断，因此用类似的检测法在可疑程序中搜索某些特殊代码，即为特征代码检测法。计算机病毒通常具

34、有明显的特征代码，特征代码可能是计算机病毒的感染标记，特征代码也可能是一小段计算机程序，由若干个计算机指令组成。特征代码不一定是连续性的，也可以用一些通配符或模糊代码来表示任意代码。2.3.5实时监控法通过对计算机病毒的多年研究和观察，人们发现计算机病毒有一些行为是计算机病毒的共同行为，而且较特殊。在正常程序中这些行为比较罕见，当程序运行时，监视其行为，如果发现了这些计算机病毒行为，立即报警，这种方法称为实时监控法。实时监控法可以针对指定类型文件或所有类型文件，也可以针对内存和硬盘等。近来发展为脚本实时监控、邮件实时监控、注册表实时监控等。1、检测病毒的行为特征，如：修改DOS系统数据区的内存

35、总量、计算机病毒与宿主程序的绑定与切换、格式化磁盘、扫描试探特定网络端口、发送网络广播、修改文件或文件夹属性等。2、病毒防火墙计算机病毒防火墙的概念是基于实时反病毒技术之上提出来的，其宗旨就是对系统实施实时监控，对流入流出系统的数据中可能含有的计算机病毒代码进行过滤。与传统的防杀毒模式相比，计算机病毒防火墙有着明显的优越性。首先它对计算机病毒的过滤有着良好的实时性，当计算机病毒入侵系统或从系统向其它资源感染时，它就会自动检测到并加以清除，最大的避免了计算机病毒对数据的破坏。其次计算机病毒防火墙能有效的阻止计算机病毒从网络向本地计算机系统的入侵。还有就是计算机病毒防火墙的“双向过滤”功能保证了本

36、地系统不会向远程资源传播计算机病毒。最后计算机病毒防火墙操作简便、更透明的优点。3计算机病毒防范和清除的基本原则和技术计算机病毒的存在和传播对用户造成了很大的危害，为了减少信息资料的丢失和破坏，这就需要在日常使用计算机时，养成良好的习惯，预防计算机病毒。并且需要用户掌握一些查杀病毒的知识，在发现病毒时，及时保护好资料，并清除病毒3.1计算机病毒防范的概念和原则计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。原则以防御计算机病毒为主动，主要表现在检测行为的动态性和防范方法的广泛性。3.2

37、计算机病毒预防基本技术预防是对付计算机病毒的积极而又有效的措施，比等计算机中病毒后再去扫描清除更能有效的保护计算机系统。计算机病毒预防技术是指通过一定的技术手段防止计算机病毒对系统进行感染和破坏。也就是说计算机病毒的预防是根据计算机病毒程序的特征对计算机病毒进行分类处理，而后在程序运行中，若检测到有类似特征点出现则认定为计算机病毒。计算机病毒预防是在病毒尚未入侵或者刚刚入侵时就拦截、阻击计算机病毒的入侵或立即报警。现在预防计算机病毒的工具中采用的技术有：1. 将大量的软件汇集在一体，检查是否有计算机病毒的存在，如在开机时或在执行每一个可执行文件前执行扫描程序。2. 检测一些计算机病毒经常更改系

38、统的信息，如引导扇区、内存空间等来检测是否存在计算机病毒。3. 检测写盘操作，对主引导区和引导区的写操作报警，若有一个程序对可执行文件进行写操作，则说明有计算机病毒存在。4. 对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证，在程序执行前或定期对程序密码校验，若有不匹配的则立即报警。5. 智能判断型，设计计算机病毒行为过程判定知识库，应用人工智能技术有效区分正常程序和计算机病毒程序。6. 智能监察型，设计计算机病毒特征库，计算机病毒行为知识库，受保护程序存取行为知识库等多个知识库及相应的可变推理机制。3.3清除计算机病毒的一般性原则清除计算机病毒不仅是清除计算机病毒程序，还要尽可

39、能的修复计算机病毒破坏了的系统或文件，将损失降到最低程度。只要搞清楚计算机病毒的感染原理，清除计算机病毒是很容易的，根据计算机病毒种类不同，清除计算机病毒的方法也不同，目前国内外的硬软件清除计算机病毒工具很多，虽然操作的中采取的方法不同，但却都遵循一定的原则：1. 清除计算机病毒时必须在无毒的环境下进行操作，以确保清除计算机病毒的有效性。2. 在启动系统的系统盘和杀毒软件的盘符上写保护标签，防止其在清除计算机病毒过程中感染计算机病毒。3. 清除计算机病毒之前，要确认系统或文件确实存在病毒，并且准确判断出计算机病毒的类型，以保证清除计算机病毒的有效性，还要对杀毒的系统或文件进行备份。4. 搞清楚

40、计算机病毒感染的是引导区还是文件，或者是两者都被感染了，还要搞清楚计算机病毒感染宿主程序的方法，对自身加密的计算机病毒要引起重视，把修改过的文件转换过来。5. 尽量不要使用激活计算机病毒的检测方法，因为在激活计算机病毒的同时可能计算机系统已经遭到破坏了。6. 不能用计算机病毒标识免疫方法清楚计算机病毒。7. 一定要干净彻底的清楚计算机及磁盘上的计算机病毒，对于混合型计算机病毒要清除文件中的计算机病毒代码和引导区中的计算机病毒代码。以防治这些代码重新生成计算机病毒。8. 对于同一宿主程序被几个计算机病毒交叉感染或重复感染的要按感染的逆顺序从后向前依次清楚计算机病毒。3.4清除计算机病毒的基本方法

41、l 简单的工具疗法简单工具治疗是指使用Debug等简单的工具，借助检测者对某种计算机病毒的具体知识，从感染计算机病毒的软件中摘除计算机代码。但是，这种方法同样对检测者自身的专业素质要求较高，而且治疗效率也较低。l 专用工具疗法使用专用工具治疗被感染的程序时通常使用的治疗方法。专用计算机治疗工具，根据对计算机病毒特征的记录，自动清除感染程序中的计算机病毒代码，使之得以恢复。使用专用工具治疗计算机病毒时，治疗操作简单、高效。从探索与计算机病毒对刚的全过程来看，专用工具的开发商也是先从使用简单工具进行治疗开始，当治疗获得成功后，再研制相应的软件产品，使计算机自动地完成全部治疗操作。4、参考文献计算机病毒原理与防范作者： 秦志光出版社： 人民邮电出版社 出版时间： 2007 致谢在论文即将完成之际，在这里感谢各位老师和同学们，谢谢你们对我的帮助。