计算机病毒的原理与防治

计算机病毒的原理与防治

2018年校研究性学习成果 三等奖

2017级高一（5）班 董圣炜研究小组 指导教师：林荣辉

小组成员：严鑫 蔡颖辉 梁玮峰 潘镜桓 黄嘉枫 王炜

一、课题的由来

计算机病毒的定义简单的讲，是一种人为编制的计算机程序，一般是编制者为了达到某种特定的目的，编制的一种具有破坏计算机信息系统、毁坏数据，影响计算机使用的计算程序代码，这种程序一般来说是一种比较精巧严谨的代码，按照严格的逻辑组织起来，在大多数的情况下，这种程序不能存在的，它依附于其他的计算机程序，之所以称之为病毒，是因为其与生物病毒一样，能够进行自我复制功能和破坏功能，其既有破坏性，又有传染和潜伏性，给用户带来巨大的损失。所以，我们小组决定对此展开探究。

二、课题的价值

计算机病毒对计算机的影响尤为严重，它能窃取用户数据隐私，甚至危及安全，通过探究病毒防治，我们可以有效预防病毒，安全使用计算机，并且可以教授一些处理病毒的技巧，为安全上网提供好的环境。

三、人员分工

组长 ：董圣炜（负责统筹安排人员，制定活动计划）

记录员：王炜（负责记录活动的过程）

组员 ：严鑫，蔡颖辉，潘镜恒，梁纬峰，黄嘉枫（负责整理资料）

指导老师：林荣辉

四、课题的内容

（一）具体目标

通过各种搜索引擎寻找各种病毒的相关资料，并且尝试自己编写相关的，简易病毒。

（二）实行方案

（1）通过收集资料，确定课题方向，制定研究计划，写出开题报告；

（2）根据我们的计划制定详细的研究方案

（3）各组员分别自己进行学习，了解相关资料。

（4）后期图文资料整理。汇报成果。

（5）将所有资料整理进结题报告论文，结束此次研究性学习

五、课题基础

主要内容包括计算机病毒工作机制和表现，新型计算检测技术，典型计算机病毒的原理、清除和防治，网络安全，常用反病毒软件的使用技巧，计算机病毒法律和制度建设等内容。 本书可以作为高等学校信息安全本科专业基础教程，也适合信息管理和其他计算机应用专业作为选修课教程，同时也适合广大计算机爱好者自学使用。

病毒不是来源于突发的原因。电脑病毒的制造却来自于一次偶然的事件，那时的研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞，有时一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒．

计算机病毒（Computer Virus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大！

接下来是一些我们小组搜集的一些病毒的简要介绍。

伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。

寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播.

诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。

变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

六、课题的开展

（一）前期准备工作

我们研究性学习小组利用每周二下午的研究性学习时间进行全组的谈论，来制定出我们的调查计划，最终确定了通过以网络调查和实际操作相结合的形式进行研究。

（二）网络调查情况

（1）计算机病毒具有以下几个特点：

①寄生性 计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。

②传染性 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现

了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序；

③ 潜伏性 有些病毒像定时一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。 潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等；

④ 隐蔽性 计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

⑤破坏性 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏 ；

⑥计算机病毒的可触发性 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直

潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

了解了计算机病毒的原理和发作特点我们才能对症下药对计算机病毒做出防治，随着网络的普及，人们的生活越来越离不开网络。但随着其发展以网络传播的病毒利用网络全球互联的优势和计算机系统及网络系统安全性上的漏洞，已经成为计算机系统安全的最大威胁，给人们的生活带来了很大的困惑和损失。因而研究计算机病毒入侵途径和防治，对于我们构建网络安全，保障人们的生活和财产安全有重要的意义和价值。

（三）实际操作情况

我们小组经过网络调查和实际操作成功设计出了一种白屏病毒，过程中虽然有很多困难，但都被我们一一克服。后面，经过安装防火墙等安全软件，我们成功消灭了病毒，恢复计算机的正常模式。