论文部分内容阅读
摘 要: 本文主要针对一类在学校、单位机房等广泛传播的计算机病毒——Auto类病毒(又称U盘类病毒、自动播放类病毒)进行研究。分析Auto类病毒类别、特征及 Auto类病毒的行为,并总结出它们共性的东西,之后有针对性地研究该类病毒的原理并找出应对方法,即分析出一种可行的办法使计算机免疫于Auto类病毒的侵扰。
关键词: 计算机病毒;自动播放;Auto病毒;病毒免疫
随着信息技术的不断发展,计算机已经成为人们生产生活所必不可少的工具之一。在人们使用计算机的过程中,计算机病毒却成为困扰计算机系统安全与阻碍计算机应用的重要问题。为了应对这些计算机病毒,各种反病毒技术也相继出现,作为对立双方,计算机病毒与反病毒技术无时无刻不在进行着魔高一尺道高一丈式的竞争发展。
一、Auto类病毒分析
1. 一般病毒的结构分析
计算机病毒是一段特殊的程序,其最大特点是具有感染能力和表现(破坏)能力。计算机病毒在程序結构、磁盘上的存储方式、感染目标的方式以及控制系统的方式既具有许多共同的特点,又有许多特殊的技巧和方法。
绝大多数病毒程序,都是由引导模块(或者叫安装模块)、传染模块和破坏表现模块这3个基本的功能模块所组成。其中,传染模块又由激活传染条件的判断部分和传染功能和实施部分组成;破坏表现模块由病毒触发条件判断部分和破坏表现功能的实施部分组成。
引导模块的功能是将病毒程序引入内存并使其后面的两个模块处于激活状态。
感染模块的功能是,在感染条件满足时把病毒感染到所攻击的对象上。
表现模块的功能是,在病毒发作条件满足时,实施对系统的干扰破坏活动。
需要注意的是,并不是所有的病毒都由这3大模块组成,例如有些良性病毒就没有破坏模块。
2. Auto类病毒的结构分析
由于本次研究的对象"Auto类病毒"是病毒的一个特殊的类型,所以Auto类病毒在结构上也是由引导模块、传染模块和破坏表现模块这3个基本的功能模块所组成。
破坏表现模块是不同病毒差别最大的部分,Auto类病毒一般由高级语言编写,很少有将系统完全破坏至无法启动或者使数据严重丢失的情况。此类病毒的破坏性基本上都表现为在各种细节上干扰计算机使用者正常工作的行为。最严重的就是破坏安全模式、关闭安全软件、无法打开指定的网站等等。
引导模块从程序角度上讲,其代码并不存在于病毒本身,而是系统的配置文件或者被修改过的其他程序。实际上病毒的引导模块是一个非常容易暴露的地方,为了实现在系统启动时进驻内存的目的,病毒必须要通过对系统或其他程序进行修改才能达到目的。很多杀毒软件都会在一些可以为病毒提供自启动服务的系统关键位置进行监控。
传染模块是Auto类病毒最具特点的地方,因为此类病毒都是利用了视窗操作系统的自动播放原理实现传染目的的。此类病毒在运行时会在每个磁盘的根目录下建立一个autorun.inf配置文件和自身的复制,当然,这两个文件肯定会是隐藏属性,而在这之后,病毒还会不断的遍历每个分区,一是检查每个分区根目录下的autorun.inf和自身的复制是不是还在,要是不在的话再复制一份。
所以,Auto类病毒的结构可以归纳如下。
二、Auto类病毒免疫
针对auto类病毒的特点,必需依赖视窗操作系统的自动播放功能,可以采取两种手段阻止此类病毒的传播。1、阻止病毒写入autorun.inf配置文件。2、关闭系统的自动播放功能
1. 实现在指定盘符下建立autorun免疫
在指定盘符下建立免疫的思路是在硬盘分区上建立不可操作的autorun.inf配置文件,这样当移动设备插入已经被感染的机器上时病毒无法写入,达到了免疫的目的。为了方便用户在可移动设备(如U盘、移动硬盘)上建立病毒免疫。首先由用户输入欲建立免疫的盘符,然后根据用户输入建立免疫。批处理实现如下
set /p choice=请输入选项并按Enter键确认(如: C回车):
del /f /q /a %choice%:\autorun.inf
rd /s /q %choice%:\autorun.inf
md %choice%:\autorun.inf
md %choice%:\autorun.inf\StopVirus..\
attrib +s +h %choice%:\autorun.inf
echo y|CACLS %choice%:\autorun.inf /p administrator:r)
2.2实现关闭系统的自动播放
关闭系统的自动播放可以说是一个根治办法,因为此类病毒就是利用了windows系统的自动播放原理实现自身的传播的。以下批处理语句通过修改注册表的键值来实现关闭自动播放的效果。
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
goto finish
3 结语
计算机病毒是利用了操作系统的漏洞进行传播和感染的。目前对于反病毒技术的研究都是只针对病毒本身的研究,本次研究也不利外,而且由于目前病毒的行为及代码特征非常复杂,很难有一条简单有效的办法对付所有病毒。
面对病毒的威胁,其实最好的解决之道应该是提升操作系统本身的健壮度和安全度,从根本上杜绝病毒的产生土壤。当然,这是一项任重而道远的工作,需要很多科技工作者坚持不懈的努力。
参考文献:
[1]韩筱卿,王建锋,钟玮.计算机病毒分析与防范大全[M].电子工业出版社.2008
[2]李涛.计算机免疫学[M].电子工业出版社.2004
关键词: 计算机病毒;自动播放;Auto病毒;病毒免疫
随着信息技术的不断发展,计算机已经成为人们生产生活所必不可少的工具之一。在人们使用计算机的过程中,计算机病毒却成为困扰计算机系统安全与阻碍计算机应用的重要问题。为了应对这些计算机病毒,各种反病毒技术也相继出现,作为对立双方,计算机病毒与反病毒技术无时无刻不在进行着魔高一尺道高一丈式的竞争发展。
一、Auto类病毒分析
1. 一般病毒的结构分析
计算机病毒是一段特殊的程序,其最大特点是具有感染能力和表现(破坏)能力。计算机病毒在程序結构、磁盘上的存储方式、感染目标的方式以及控制系统的方式既具有许多共同的特点,又有许多特殊的技巧和方法。
绝大多数病毒程序,都是由引导模块(或者叫安装模块)、传染模块和破坏表现模块这3个基本的功能模块所组成。其中,传染模块又由激活传染条件的判断部分和传染功能和实施部分组成;破坏表现模块由病毒触发条件判断部分和破坏表现功能的实施部分组成。
引导模块的功能是将病毒程序引入内存并使其后面的两个模块处于激活状态。
感染模块的功能是,在感染条件满足时把病毒感染到所攻击的对象上。
表现模块的功能是,在病毒发作条件满足时,实施对系统的干扰破坏活动。
需要注意的是,并不是所有的病毒都由这3大模块组成,例如有些良性病毒就没有破坏模块。
2. Auto类病毒的结构分析
由于本次研究的对象"Auto类病毒"是病毒的一个特殊的类型,所以Auto类病毒在结构上也是由引导模块、传染模块和破坏表现模块这3个基本的功能模块所组成。
破坏表现模块是不同病毒差别最大的部分,Auto类病毒一般由高级语言编写,很少有将系统完全破坏至无法启动或者使数据严重丢失的情况。此类病毒的破坏性基本上都表现为在各种细节上干扰计算机使用者正常工作的行为。最严重的就是破坏安全模式、关闭安全软件、无法打开指定的网站等等。
引导模块从程序角度上讲,其代码并不存在于病毒本身,而是系统的配置文件或者被修改过的其他程序。实际上病毒的引导模块是一个非常容易暴露的地方,为了实现在系统启动时进驻内存的目的,病毒必须要通过对系统或其他程序进行修改才能达到目的。很多杀毒软件都会在一些可以为病毒提供自启动服务的系统关键位置进行监控。
传染模块是Auto类病毒最具特点的地方,因为此类病毒都是利用了视窗操作系统的自动播放原理实现传染目的的。此类病毒在运行时会在每个磁盘的根目录下建立一个autorun.inf配置文件和自身的复制,当然,这两个文件肯定会是隐藏属性,而在这之后,病毒还会不断的遍历每个分区,一是检查每个分区根目录下的autorun.inf和自身的复制是不是还在,要是不在的话再复制一份。
所以,Auto类病毒的结构可以归纳如下。
二、Auto类病毒免疫
针对auto类病毒的特点,必需依赖视窗操作系统的自动播放功能,可以采取两种手段阻止此类病毒的传播。1、阻止病毒写入autorun.inf配置文件。2、关闭系统的自动播放功能
1. 实现在指定盘符下建立autorun免疫
在指定盘符下建立免疫的思路是在硬盘分区上建立不可操作的autorun.inf配置文件,这样当移动设备插入已经被感染的机器上时病毒无法写入,达到了免疫的目的。为了方便用户在可移动设备(如U盘、移动硬盘)上建立病毒免疫。首先由用户输入欲建立免疫的盘符,然后根据用户输入建立免疫。批处理实现如下
set /p choice=请输入选项并按Enter键确认(如: C回车):
del /f /q /a %choice%:\autorun.inf
rd /s /q %choice%:\autorun.inf
md %choice%:\autorun.inf
md %choice%:\autorun.inf\StopVirus..\
attrib +s +h %choice%:\autorun.inf
echo y|CACLS %choice%:\autorun.inf /p administrator:r)
2.2实现关闭系统的自动播放
关闭系统的自动播放可以说是一个根治办法,因为此类病毒就是利用了windows系统的自动播放原理实现自身的传播的。以下批处理语句通过修改注册表的键值来实现关闭自动播放的效果。
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /f
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
goto finish
3 结语
计算机病毒是利用了操作系统的漏洞进行传播和感染的。目前对于反病毒技术的研究都是只针对病毒本身的研究,本次研究也不利外,而且由于目前病毒的行为及代码特征非常复杂,很难有一条简单有效的办法对付所有病毒。
面对病毒的威胁,其实最好的解决之道应该是提升操作系统本身的健壮度和安全度,从根本上杜绝病毒的产生土壤。当然,这是一项任重而道远的工作,需要很多科技工作者坚持不懈的努力。
参考文献:
[1]韩筱卿,王建锋,钟玮.计算机病毒分析与防范大全[M].电子工业出版社.2008
[2]李涛.计算机免疫学[M].电子工业出版社.2004