浅析计算机病毒的传播与防御.docVIP

精品论文 参考文献 浅析计算机病毒的传播与防御 白涛 (辽阳职业技术学院成教分院) 摘要：计算机病毒通过窃取机密信息、破坏文件系统、修改注册表或系统指令等手段给用户的工作和生活造成了严重的危害。本文在分析基于网络的病毒传播模式基础上，对于计算机病毒防御策略进行分析，以其提高网络计算机病毒防御能力。 关键词：计算机病毒 传播模式 防御策略 网络 0 引言 计算机病毒的出现由来已久，关于计算机病毒的研究也一直是一个热门的研究课题。随着互联网的发展，现有的计算机病毒绝大多数是基于网络进行传播的病毒了[1]。人们关于计算机病毒的研究也取得了一定的成果，不仅揭示了病毒传播的一些特性，也提出了相应的对抗措施。 1 基于网络的病毒传播模式 1.1 通过Email进行传播 通过将病毒代码附属在Email中进行传播是网络病毒传播的一个主要途径。由于电子邮箱使用的广泛性，使得这种传播方式深受许多病毒制造者的青睐。病毒通过Email进行传播的方法有两种，一是直接将恶意代码本身加入到Email中，二是将恶意代码的URL连接加入到Email中。病毒利用Email进行传播的过程如下： 1.1.1 寻找目标地址。病毒在感染主机的Email地址簿、历史记录或硬盘中搜索可用的Email地址。 如Internet临时文件夹中存放的html文件就可能包含有效的Email地址。如果用户安装了诸如Outlook的邮件收发软件，病毒还能从中提取出邮件地址。 1.1.2 将自身复制并发送出去。病毒扫描到可用的目标地址后，就将自身复制并发送出去。然而，有的病毒非常隐蔽，它并不直接发送带毒的电子邮件，而是感染用户的信纸，并通过修改系统的设置，使得邮件的默认信纸格式为html格式。当用户发送邮件时，病毒就会自动感染邮件正文。 1.1.3 激活病毒代码。病毒代码到达接收端后，并不会自动运行，而是需要用户的激活。因此，病毒要想尽办法诱导用户激活病毒代码。病毒会用各种各样具有欺骗性的标题和内容来诱骗人们。例如“爱虫”病毒，就是利用人们对其标题的好奇心，引诱用户打开附件，从而激活病毒代码。 1.2 通过扫描系统漏洞传播 蠕虫病毒代码是以独立程序的方式存在的，它不嵌入到任何宿主文件中。其传播过程是靠远程扫描Intemet中存在漏洞的主机，利用这些漏洞将自己注入远程计算机中并取得系统控制权。然后就可以对受控主机进行攻击破坏了。 蠕虫取得系统权限的方法主要有以下几种： 1.2.1 利用系统漏洞。蠕虫常利用一些系统或应用软件的漏洞进行传播。如某些版本的浏览器为了实现预览功能，会自动执行其中的EML文件。与Email传播不同的是，利用系统漏洞，蠕虫常常可以在远程获得联网主机的控制权。也就是说，它们首先控制目标主机，再将自己复制过去，进而实施攻击破坏。 1.2.2 利用局域网传播。有些局域网的管理员由于缺乏安全意识或工作疏忽，使得某些机器上的系统文件夹是远程可写的。这往往会给蠕虫病毒留下了一个可利用的空子。蠕虫可以直接拷贝自身到局域网中可写的启动目录中，从而进行传播。有些病毒通过在局域网中寻找可写的win.ini或修改注册表，使得下次重新启动后蠕虫被自动运行。 1.2.3 利用服务器漏洞。蠕虫还可以利用一些常见的服务器漏洞，如IIS漏洞，IFrame漏洞等，获取远程服务器的控制权。之后，蠕虫就可以随意将恶意代码上传至服务器。从而导致所有访问该服务器的客户机都感染该蠕虫病毒。 2 计算机病毒防御策略 解决病毒攻击的理想办法是对病毒进行预防，即抑制病毒在网络中的传播，但由于受网络复杂性和具体技术的制约，预防病毒仍很难实现[2]。当前，对计算机病毒的防治还仅仅是以检测和清除为主[2]。目前的病毒防御措施主要有两种：基于主机的病毒防治策略和基于网络的病毒防治策略。 2.1 基于主机的检测策略 基于主机的病毒防治策略主要有：特征码匹配技术、权限控制技术和完整性验证技术三大类。 2.1.1 特征码匹配：通过对到达主机的代码进行扫描，并与病毒特征库中的特征码进行匹配以判断该代码是否是恶意的。特征码扫描技术认为“同一种病毒或同类病毒具有部分相同的代码”。也就是说，如果病毒及其变种具有某种共性，则可以将这种共性描述为“特征码”，并通过比较程序体和“特征码”来查找病毒。采用病毒特征码扫描法的检测工具，对于出现的新病毒，必须不断进行更新，否则检测就会失去价值。病毒特征码扫描法不认识新病毒的特征代码，自然也就无法检测出新病毒。 2.1.