TCP`IP協议原理与应用论文.doc

计算机病毒的攻与防 课程论文 课程名称《TCP/IP协议原理与应用》 专 业 计算机科学与技术 年 级 2008级 姓 名 郑 重 学 号 122512008076 任课教师 王普彪 开课时间 2011年2月 教师评阅意见： 论文成绩 评阅日期 摘 要 ： 计算机技术不断进化创新，病毒技术也与时俱进。病毒己经成为一种社会现象，影响力与日俱增。 现在的视窗操作系统下的病毒己经非常完善了，它们使用汇编、高级和脚本语言编写，利用了系统的种种漏洞,使用先进的加密和隐藏算法，可以对杀毒软件进行攻击。全世界每年因病毒造成的损失不可估量。 在反病毒行业中，杀毒软件厂商迫于商业性的目的，不得不将一些很简单的问题隐藏在广告和宣传的迷雾之中。从Win32病毒所需基础知识开始，详细阐述了PE格式、重定位、API地址获取、遍历网络与硬盘、利用IRC,P2P,E-Mail传播病毒的原理与细节。 最后，本文讨论了反病毒的一些关键技术:样本的截获、特征码提取、特征字原理以及当前最流行的对抗变形和未知病毒的启发式扫描技术。 关键词： 病毒;多态;变形;扫描;启发式 1. 绪论 1 1.1 课题背景 1 1.1.1 什么是计算机病毒 1 1.1.2 目的与意义 2 2. 病毒基础知识 2 2.1 PE文件格式与计算机病毒 2 2.1.1 PE文件格式与Win32病毒的关系 2 2.1.2 PE文件格式介绍 3 2.2 地址与汇编指令的本质 4 2.2.1 地址的基本概念 4 2.2.2 映射的本质 4 2.2.3 重要汇编指令的含义与技巧 5 2.3 方汇编技术 6 2.4 小结 6 3. 病毒传播途径 7 3.1 通过1PC传播 7 3.2 通过电子邮件传播 7 3.2.1 原理 7 3.2.2 SMTP协议框架 8 3.3 利用Sniffer来建立信任关系 8 3.4 通过IRC聊天通道传播 9 4. 病毒的攻与防 9 4.l样本截获技术 9 4.2提取样本技术 10 4.3如何发现普通病毒 10 4.3.1 特征码扫描简介 10 4.3.2 特征字扫描 11 4.4如何发现变形病毒和未知病毒 11 4.4.1简单变形 11 4.4.2模拟器 (Emulator)原理 11 4.4.3传统扫描技术与启发式代码分析扫描技术的结合运用 14 4.5小结 14 5. 病毒预测 15 6. 结论 15 致谢 16 参考文献 17 1. 绪论 1.1 课题背景 人类进入了信息社会创造了电子计算机，同时也创造了计算机病毒。由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。而且，病毒主要朝着能够迅速传播、更好的隐蔽自己并对抗反病毒手段的方向发展。同时，病毒己被人们利用其特有的性质与其他功能相结合进行有目的的活动。 病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫传播更快更广，Windows病毒更加复杂，网络蠕虫成为病毒设计者的首选(也有人认为蠕虫并不是病毒，蠕虫和病毒是有分别的，见Internet标准RFC2828). 目前，计算机病毒之所以到处不断的泛滥，其一方面的原因就是查解病毒的手段总是跟在一些新病毒的后面发展，所以新病毒就能跳过传统的病毒特征代码分析、动态仿真跟踪、实时监控程序、自动解压缩技术等常用反病毒手段的监视而到处传染。 1.1.1 什么是计算机病毒 计算机病毒(Computer Virus)在 《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:11指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 简单精确的说，能够主动复制自身的一组指令就是病毒。这包含了两个要素，一个是主动，这是病毒传播特性的体现，如果可以四处传播但却是被动进的，就不是病毒，比如QQ，大家从腾讯网站上下载，QQ.exe得到四处传播，但因为是被动进行，所以不是病毒;另一个是一段指令，这体现了病毒的寄生性，也就是病毒这个名称的来历，因为生物界中的病毒都是寄生在细胞内，它不是细胞，不能单独生存，却可以在不同细胞中复制自身。病毒也一样，它的寄生体就是程序(文件)。那么，作为一个完整的文件来传播的，就类似于生物界中的细菌(细菌是细胞)，那就是蠕虫，现在也被广义地看作病毒。随着互联网的普及和迅猛发展，病毒也向着多元