关于文件型计算机病毒的论文.docVIP

课程名称： 关于文件型计算机病毒的论文 学 院： 信息工程与自动化学院 专 业： 计算机科学与技术 年 级： 2009级 学生姓名： 日 期： 2011年11月25日 摘要 计算机病毒的主要来源： 　　1．搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒，例如像圆点一类的良性病毒。 　 2．软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁， 不如在其中藏有病毒对非法拷贝的打击大， 这更加助长了各种病毒的传播。 　　3．旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒， 就是雇员在工作中受挫或被辞退时故意制造的。它针对性强， 破坏性大， 产生于内部， 防不胜防。 　　4．用于研究或有益目的而设计的程序， 由于某种原因失去控制或产生了意想不到的效果。 文件型病毒系计算机病毒的一种，主要通过感染计算机中的可执行文件（.exe）和命令文件(.com)。文件型病毒是对计算机的源文件进行修改，使其成为新的带毒文件。一旦计算机运行该文件就会被感染，从而达到传播的目的。 　　文件型病毒分两类：一种是将病毒加在COM前部,一种是加在文件尾部。 　　文件型病毒传染的对象主要是.COM和.EXE文件。 详细说明 　　我们把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，所以这是一类数目非常巨大的病毒。理论上可以制造这样一个病毒，该病毒可以感染基本上所有操作系统的可执行文件。目前已经存在这样的文件病毒，可以感染所有标准的DOS可执行文件：包括批处理文件、DOS下的可加载驱动程序（.SYS）文件以及普通的COM/EXE可执行文件。当然还有感染所有视窗操作系统可执行文件的病毒，可感染文件的种类包括：视窗3.X版本，视窗9X版本，视窗NT和视窗2000版本下的可执行文件，后缀名是EXE、DLL或者VXD、SYS。 　　除此之外，还有一些病毒可以感染高级语言程序的源代码，开发库和编译过程所生成的中间文件。病毒也可能隐藏在普通的数据文件中，但是这些隐藏在数据文件中的病毒不是独立存在的，必须需要隐藏在普通可执行文件中的病毒部分来加载这些代码。从某种意义上，宏病毒—隐藏在字处理文档或者电子数据表中的病毒也是一种文件型病毒。 防止方法 　　针对文件型病毒是通过文件进行传播，所以当使用来历不明文件的时候，先用最新升级过的杀毒软件进行检查，确认没有文件型病毒之后方可使用。切忌不要双击打开或复制。 分类 寄生病毒 　　这类病毒在感染的时候，将病毒代码加入正常程序之中，原来程序的功能部分或者全部被保留。根据病毒代码加入的方式不同，寄生病毒可以分为“头寄生”、“尾寄生”、“中间插入”和“空洞利用”四种： 　　“头寄生”： 　　实现将病毒代码放到程序的头上有两种方法，一种是将原来程序的前面一部分拷贝到程序的最后，然后将文件头用病毒代码覆盖；另外一种是生成一个新的文件，首先在头的位置写上病毒代码，然后将原来的可执行文件放在病毒代码的后面，再用新的文件替换原来的文件从而完成感染。使用“头寄生”方式的病毒基本上感染的是批处理病毒和COM格式的文件，因为这些文件在运行的时候不需要重新定位，所以可以任意调换代码的位置而不发生错误。 　　当然，随着病毒制作水平的提高，很多感染DOS下的EXE文件和视窗系统的EXE文件的病毒也是用了头寄生的方式，为使得被感染的文件仍然能够正常运行，病毒在执行原来程序之前会还原出原来没有感染过的文件用来正常执行，执行完毕之后再进行一次感染，保证硬盘上的文件处于感染状态，而执行的文件又是一切正常的。 　　“尾寄生”： 　　由于在头部寄生不可避免的会遇到重新定位的问题，所以最简单也是最常用的寄生方法就是直接将病毒代码附加到可执行程序的尾部。对于DOS环境下COM可执行文件来说，由于COM文件就是简单的二进制代码，没有任何结构信息，所以可以直接将病毒代码附加到程序的尾部，然后改动COM文件开始的3个字节为跳转指令： 　　JMP [病毒代码开始地址] 　　对于DOS环境下的EXE文件，有两种处理的方法，一种是将EXE格式转换成COM格式再进行感染，另外一种需要修改EXE文件的文件头，一般会修改EXE文件头的下面几个部分： 　　代码的开始地址 　　可执行文件的长度 　　文件的CRC校验值 　　堆栈