木马病毒研究论文

自从美国学生弗里德-科恩以测试计算机安全为目的编写首个电脑病毒以来，全球电脑 病毒到本周迎来了二十周岁的“生日”，目前世界上约有6万多种电脑病毒，它们已经从最初给用户带来小麻烦发展到严重威胁电脑和网络的安全。 病毒写手已经开始利用最新的技术，而且病毒也开始通过网络进行更加快速的传播并引发混乱。科恩在南加州大学攻读博士学位期间编写了世界上第一个电脑病毒，他将病毒加载到了一个名为VD的图形软件中，然后病毒隐藏在VD软件中并通过电脑系统进行传播。 科恩编写这一电脑病毒的最初目的仅仅是为了实验，他发现自己的病毒可在不到一个小时内传播到系统的各个部分，最快的传播速度是5分钟。 科恩1983年11月10日在一个电脑安全研讨会上公布了自己的研究结果，科恩在论文中充满预见性地指出：“病毒可在电脑网络中象在电脑之间一样传播，这将给许多系统带来广泛和迅速的威胁。” 电脑病毒首先针对IBM电脑编写，此类电脑病毒中最早的一个是1986年出现的“Brain”病毒，它来自巴基斯坦，很明显编写人是为了监视对他们电脑程序的盗版行为。随着“Brain”电脑病毒的出现，此后名为“Lehigh”、“Jerusalem”、“Cascade”和“Miami”的病毒也纷纷问世。 希望采纳

计算机病毒与防范李 刚和一般的生物学病毒不同的是,计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。没有这样的条件,计算机病毒是不会传染的,因为计算机不启动、不运行时,就谈不上对磁盘的读写操作或数据共享,没有磁盘的读写,病毒就传播不到磁盘上或网络里。所以只要计算机运行,就会有磁盘读写动作,病毒传染的两个先决条件就很容易得到满足。系统运行为病毒驻留内存创造了条件,病毒传染的第一步是驻留内存,一旦进入内存之后,便寻找传染机会,寻找可攻击的对象,判断条件是否满足,决定是否可传染。当条件满足时进行传染,将病毒写入磁盘系统。而且,所有的计算机病毒都是人为地制造出来的,有时一旦扩散出去连制造者自己也无法控制。因此,病毒已经不是一个简单的纯计算机学术问题,而是一个严重的社会问题了。为此,了解计算机病毒的来源,认识计算机病毒的危害性,懂得防治计算机病毒的常用措施,就成为了目前比较急迫的问题。1 计算机病毒概述1. 1 计算机病毒的分类目前世界上估计有20多万种病毒,按照基本类型划分,可归结为6种类型: (1)引导型病毒; (2)可执行文件病毒;(3)宏病毒; (4)混合型病毒; (5)特洛伊木马型病毒; (6) In-ternet语言病毒。1. 2 计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:(1)计算机病毒是计算机犯罪的一种新的衍化形式。计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。(2)计算机软硬件产品的脆弱性是根本的技术原因。计算机是电子产品,数据从输入、存储、处理到输出等环节,易被误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。(3)微机的普及应用是计算机病毒产生的必要环境。1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。计算机病毒蔓延到我国才是近些年来的事。而这几年正是我国微型计算机普及应用的高潮期。1. 3 计算机病毒的传播途径计算机病毒之所以称之为病毒是因为其具有传染性的本质。传染渠道通常有以下几种:(1)可移动媒体。计算机病毒和其他恶意软件最初的也可能是最多的传送器是文件传输,开始于软盘,慢慢发展到一切移动介质。(2)网络共享。一旦为计算机提供了通过网络彼此直接连接的机制,就会为恶意软件编写者提供另一个传输机制,从而可以传播恶意代码。(3)对等(P2P)网络程序。QQ对等程序的出现,为P2P文件传输提供了途径,这种途径同样也被计算机病毒利用。目前,已经出现多种针对QQ对等程序的病毒。(4)电子邮件。电子邮件已成为许多恶意软件攻击所选择的传输机制。(5)远程利用。恶意软件可能会试图利用服务或应用程序的特定漏洞来复制,此行为在蠕虫中见到。2 计算机病毒的危害及防范2. 1 病毒的危害性级别计算机病毒绝大多数危害性不大,此类病毒又统称为良性病毒,它们占用一定的内存和磁盘空间,降低计算机系统的运行速度,干扰显示器屏幕的显示等,一般不会造成严重破坏。还有少数计算机病毒会破坏磁盘甚至只读存储器(ROM)芯片里的数据,使计算机系统瘫痪,它们具有可运行性、复制性、传染性、潜伏性、破坏性、欺性、精巧性、可触发性、隐藏性和顽固性等特点,这类病毒又统称为恶性计算机病毒,它们可通过不同的途径潜伏或寄生在存储媒体(磁盘)、内存或程序里,当某种条件或时机成熟时,便会自身复制并传播,使计算机资源、程序或数据受到损坏。通常它们对计算机资源的破坏情况及破坏程度完全不一样。2. 2 防范病毒的感染计算机病毒防治最有效的方法是以预防为主。防止病毒入侵要比病毒入侵后再去检测和清除更重要,所以病毒的防治重点应该放在预防上。消灭传染源、堵塞传染途径、保护易感染部分是防治病毒入侵的有效方法。虽然计算机病毒有成千上万种,但它们有一定的共性,即传播途径基本相同,只要把好关口,就可以防患于未然。使用软盘、光盘和移动磁盘时要慎重,更不能用来历不明的磁盘,特别是游戏程序盘,应养成先清查病毒后再使用的习惯。不轻易从不可靠的网站下载软件,不要打开或浏览来历不明的电子邮件,定期检测操作系统及应用软件,将自己的重要数据定期备份保存,给系统盘和文件盘加上写保护,常备一张真正“干净”的引导盘,将其写保护,尽可能做几个备份,在以后准备查、杀病毒或相应场合时用这张干净引导盘启动你的计算机。有时仅仅通过人工预防还是远远不够的,还应该在计算机中安装防病毒软件,仔细研究所使用的反病毒软件的各项功能及不同模块各负担什么样的职责、都有哪些应用组合、不同的运行命令(选项设置)参数具有怎样不同的查杀效果等,最大限度地发挥该反病毒工具的作用。在计算机中设置病毒防火墙,实现在线检测。将病毒防治软件常驻内存,它对操作系统当前的文件实时检测病毒,以保证在病毒试图感染你的系统前发现病毒并报警。这样无论你是从软盘拷贝文件、光盘安装程序还是从网上下载文件,病毒在线检测软件会首先将它检测一遍以确保没有病毒。3 整体防御病毒的实施方案[M].北京:清华大学出版社, 2004.

木马和病毒同为恶意代码。木马又称为特洛伊木马，是具有远程控制功能，不易被傀儡机发现的程序。主控端通过控制被控端，可以盗取用户帐号，密码等资料，甚至完全控制客户端。病毒为可以自我复制的一段恶意代码，往往对染毒机器造成损害。蠕虫是病毒的一种，表现为通过网络自动传播。两者概念都不一样。更没有木马病毒的说法。不过有些恶意代码同时具有病毒和木马的特征。

去"90论文"网吧，他们在这个领域相当专业的DSB自己百度搜索哦

计算机病毒是一种在用户不知情或批淮下，能自我复制及运行的计算机程序；计算机病毒往往会影响受感染的计算机的正常运作。法律定义 此条目仅具一部分地域的观点或资料，尚需补充世界性的内容。欢迎改善本文，或讨论本文任何问题。 病毒的定义一直存在着争议[1]，不少人包括世界各国的反病毒厂商都将基于网络的木马、后门程序以及恶意软件也归在电脑病毒之列查杀。以下内容是中国大陆的电脑病毒的法律定义，司法部门凭这个就可以逮捕病毒制作和散播者。1994年2月18日《中华人民共和国计算机信息系统安全保护条例》第二十八条[2]计算机病毒，是指编制或者在计算机程序中插入的“破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。截止2007年12月，中国仍然沿用此条例，没有新的修订。中国互联网协会关于恶意软件的定义[3]恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件，但已被我国现有法律法规规定的计算机病毒除外。[编辑] 病毒作者参见：被捕黑客列表 有不少病毒制作者黑客们被逮捕并予以起诉，判决的轻重各国都有所不同，如罗马尼亚西欧班尼花费15分钟写的MSBlast.F变种大约只感染了1000台计算机，按他们国家的法律他就有可能最高会被判15年有期徒刑，而1998年台湾病毒作者陈盈豪写的CIH病毒被一些人认为“迄今为止危害最大的病毒”[4]，使全球6000万台计算机瘫痪，但他因为在被逮捕后无人起诉而免于法律制裁，在2001年有人以CIH受害者的身份起诉陈盈豪，才使他再次被逮捕，按照台湾当时的法律，他会被判损毁罪面临最高只3年以下的有期徒刑。中国的木马程序“证券大盗”作者张勇因使用其木马程序截获股民账户密码，盗卖股票价值1141.9万元，非法获利38.6万元人民币，被逮捕后以盗窃罪与金融犯罪起诉，最终的判决结果是无期徒刑。一公司的分析报告称，目前全世界现有200万有能力写较成熟电脑病毒的程序员。[5][编辑] 历史主条目：知名病毒及蠕虫的历史年表“病毒”一词最早用来表达此意是在弗雷德·科恩（Fred Cohen）1984年的论文《电脑病毒实验》。而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德（David Gerrold）的《When H.A.R.L.I.E. was One》，描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序；另一部是约翰·布鲁勒尔（John Brunner）1975年的小说《震荡波骑士（ShakewaveRider）》，描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。[6]1960年代初，美国麻省理工学院的一些青年研究人员，在做完工作后，利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序，然后输入到计算机中运行，并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。[编辑] 运行环境以及传播途径由于世界操作系统桌面环境90%的市场都由是使用微软Windows系列产品[7] ，所以病毒作者纷纷把病毒攻击对象选为Windows。制作病毒者首先应该确定要攻击的操作系统版本有何漏洞，这才是他所写的病毒能够利用的关键，而Windows没有行之有效的固有安全功能，且用户常以管理员权限运行未经安全检查的软件，这也为Windows下病毒的泛滥提供了温床。对于Linux、Mac OS等操作系统，使用的人群比较少，病毒一般不容易扩散。大多病毒发布作者的目的有多种，包括恶作剧、想搞破坏、报复及想出名与对研究病毒有特殊嗜好。病毒主要通过网络浏览以及下载，盗版CD或DVD以及可移动磁盘等途径迅速传播。[8][编辑] 命名以下表格所示是国际上对病毒命名惯例的前缀释义，DOS下的病毒一般无前缀：前缀 含义 WM Word6.0、Word95宏病毒 WM97 Word97宏病毒 XM Excel5.0、Excel95宏病毒 X97M Excel5.0和Excel97版本下发作 XF Excel程序病毒 AM Access95宏病毒 AM97M Access97宏病毒 W95 Windows95、98病毒 Win Windows3.x病毒 W32 32位病毒，感染所有32位Windows系统 WINT 32位Windows病毒，只感染Windows NT Trojan/Troj 特洛伊木马 VBS VBScript程序语言编写的病毒 VSM 感染 Visio VBA（Visual Basic for Applications）宏或script的宏或script病毒 JS JScript编程语言编写的病毒 PE 32位寻址的Windows病毒 OSX Mac OSX的病毒 中间部分指的是病毒的英文名，而后缀一般是变种代号。[编辑] 特征在计算机科学里，电脑病毒是类似生物病毒一样的程序，它会复制自己并传播到其他宿主，并对宿主造成损害。宿主也是程序，通常是操作系统，从而进一步传染到其他程序、其他的电脑。电脑病毒在传播期间一般会隐蔽自己，由特定的条件触发，并开始产生破坏。电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[9]、表现性或破坏性，通常表现两种以上所述的特征就可以认定该程序是病毒。计算机病毒的生命周期为开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期。[8][10][编辑] 主要特征详解[编辑] 传播性病毒一般会自动利用25电子邮件端口传播，利用对象为微软操作系统捆绑的Outlook的某个漏洞。将病毒自动复制并群发给存储的通讯录名单成员。邮件标题较为吸引人点击，大多利用社会工程学如“我爱你”这样家人朋友之间亲密的话语，以降低人的警戒性。如果病毒制作者再应用脚本漏洞，将病毒直接嵌入邮件中，那么用户一点邮件标题打开邮件就会中病毒。[编辑] 隐蔽性最大的病毒不过1MB，一般的病毒仅在1KB左右，这样除了传播快速之外，隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中(工作管理员中的处理程序内，无法关闭的就是了)，所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后，就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中，这样的文件夹通常有上千个系统文件，如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注，将病毒和一个吸引人的文件捆绑合并成一个文件，那么运行正常吸引他的文件时，病毒也在我们的操作系统中悄悄的运行了。[编辑] 感染性某些病毒具有感染性，比如感染中毒用户计算机上的可执行文件，如exe、bat、scr、com格式，通过这种方法达到自我复制，对自己生存保护的目的。通常也可以利用网络共享的漏洞，复制并传播给邻近的计算机用户群，使邻里通过路由器上网的计算机或网吧的计算机的多台计算机的程序全部受到感染。[编辑] 潜伏性部分病毒有一定的“潜伏期”，在特定的日子，如某个节日或者星期几按时爆发。如1999年破坏BIOS的CIH病毒就在每年的4月26日爆发。如同生物病毒一样，这使电脑病毒可以在爆发之前，以最大幅度散播开去。[编辑] 可激发性根据病毒作者的“需求”，设置触发病毒攻击的“玄机”。如CIH病毒的制作者陈盈豪曾打算设计的病毒，就是“精心”为简体中文Windows系统所设计的。病毒运行后会主动检测中毒者操作系统的语言，如果发现操作系统语言为简体中文，病毒就会自动对计算机发起攻击，而语言不是简体中文版本的Windows，那么你即使运行了病毒，病毒也不会对你的计算机发起攻击或者破坏。[11][编辑] 表现性病毒运行后，如果按照作者的设计，会有一定的表现特征，如CPU占用率100%，在用户无任何操作下读写硬盘或其他磁盘数据，蓝屏死机，鼠标右键无法使用等。但这样明显的表现特征，反倒帮助被感染病毒者发现自己已经感染病毒并对清除病毒很有帮助，隐蔽性就不存在了。[编辑] 破坏性某些威力强大的病毒，运行后直接格式化用户的硬盘数据，更为厉害一些可以破坏引导扇区以及BIOS，已经在硬件环境造成了相当大的破坏。[编辑] 分类病毒类型根据中国国家计算机病毒应急处理中心发表的报告统计，占近45%的病毒是木马程序，蠕虫占病毒总数的25%以上，占15%以上的是脚本病毒，其余的病毒类型分别是：文件型病毒、破坏性程序和宏病毒。[编辑] 木马/僵尸网络主条目：特洛伊木马一般也叫远程监控软件，如果木马能连通的话，那么可以说已经得到了远程计算机的全部操作权限，操作远程计算机与操作自己计算机没什么大的区别，这类程序可以监视被控用户的摄像头与截取密码。而Windows NT以后的版本自带的“远程桌面连接”，如果被不良用户利用的话，那么也与木马没什么区别。 主条目：僵尸网络用户一旦中毒，就会成为“丧尸”或被称为“肉鸡”，成为黑客手中的“机器人”，通常黑客或脚本小孩（script kids）可以利用数以万计的“丧尸”发送大量伪造包或者是垃圾数据包对预定目标进行拒绝服务攻击，造成被攻击目标瘫痪。 [编辑] 有害软件主条目：蠕虫病毒蠕虫病毒漏洞利用类，也是我们最熟知的病毒，通常在全世界范围内大规模爆发的就是它了。如针对旧版本未打补丁的Windows XP的冲击波病毒和震荡波病毒。有时与僵尸网络配合，主要使用缓存溢出技术。 主条目：灰色软件间谍软件和流氓软件，是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。这种软件本身对计算机的危害性不是很大，只是中毒者隐私遭到泄露被收集走和一旦安装上它就无法正常删除卸载了。比如对Internet Explorer的广告软件会自动修改并锁定用户缺省主页以及加载广告公司的工具条。 主条目：恶意软件恶作剧软件，如破坏性很大的“格盘炸弹”，运行程序后自动格式化硬盘，原本只为“愚人”目的，但这种恶意程序运行后就会对用户重要数据造成很大的损失。与此相同的还有文件感染器（File infector）以及在DOS下的根扇区病毒。 [编辑] 脚本病毒主条目：宏病毒宏病毒的感染对象为Microsoft开发的办公系列软件。Microsoft Word，Excel这些办公软件本身支持运行可进行某些文件操作的命令，所以也被Office文档中含有恶意的宏病毒所利用。openoffice.org对Microsoft的VBS宏仅进行编辑支持而不运行，所以含有宏病毒的MS Office文档在openoffice.org下打开后病毒无法运行。 [编辑] 免杀技术以及新特征免杀是指：对病毒的处理，使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说“病毒比杀毒软件还新，所以杀毒软件根本无法识别它是病毒”，但由于传播后部分用户中毒向杀毒软件公司举报的原因，就会引起安全公司的注意并将之特征码收录到自己的病毒库当中，病毒就会被杀毒软件所识别。病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文件加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。罗马尼亚的BitDefender，俄罗斯的Kaspersky Anti-Virus，Dr.Web，斯洛伐克的NOD32，美国的Norton Antivirus，McAfee，西班牙的Panda AntiVirus等产品在国际上口碑较好[12]，但杀毒、查壳能力都有限，目前病毒库总数量也都仅在数十万个左右。自我补丁性是近年来病毒的又一新特征。病毒可以借助于网络进行变种补丁，得到最新的免杀版本的病毒并继续在用户感染的计算机上运行，比如熊猫烧香病毒的作者就建立了“病毒升级服务器”，在最勤时一天要对病毒升级8次，比有些杀毒软件病毒库的补丁速度还快，所以就造成了杀毒软件无法识别病毒。除了自身免杀自我补丁之外，很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品，如病毒自身驱动级Rootkit保护强制检测并结束杀毒软件进程，可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗[13]，自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废，从而病毒生存能力更加强大。免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来，国际反病毒行业普遍开展了各种前瞻性技术研究，试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件，代表厂商NOD32，Dr.Web，和基于行为分析技术的主动防御软件，代表厂商中国的微点主动防御软件等。[编辑] 防范修补操作系统以及其捆绑的软件的漏洞 主条目：Microsoft Update安装系统以及其捆绑的软件如Internet Explorer、Windows Media Player的漏洞安全补丁，以操作系统Windows为例Windows NT以及以下版本可以在Microsoft Update补丁系统，Windows 2000SP2以上，Windows XP以及Windows 2003等版本可以用系统的“自动补丁”程序下载补丁进行安装。设置一个比较强的系统密码，关闭系统默认网络共享，防止局域网入侵或弱口令蠕虫传播。定期检查系统配置实用程序启动选项卡情况，并对不明的Windows服务予以停止。 安装并及时补丁杀毒软件与防火墙产品 保持最新病毒库以便能够查出最新的病毒，如一些反病毒软件的升级服务器每小时就有新病毒库包可供用户补丁。而在防火墙的使用中应注意到禁止来路不明的软件访问网络。由于免杀以及进程注入等原因，有个别病毒很容易穿过杀毒以及防火墙的双重防守，遇到这样的情况就要注意到使用特殊防火墙来防止进程注入，以及经常检查启动项、服务。一些特殊防火墙可以“主动防御”以及注册表实时监控，每次不良程序针对计算机的恶意操作都可以实施拦截阻断。 不要点来路不明连接以及运行不明程序[14] 来路不明的连接，很可能是蠕虫病毒自动通过电子邮件或即时通讯软件发过来的，如QQ病毒之一的QQ尾巴，大多这样信息中所带连接指向都是些利用IE浏览器漏洞的网站，用户访问这些网站后不用下载直接就可能会中更多的病毒。另外不要运行来路不明的程序，如一些“性诱惑”的文件名人吸引人去点击，点击后病毒就在系统中运行了。