四肖赔多少钱
关于从行为认识计算机病毒
  • 关于从行为认识计算机病毒
  • 文章片段: 论文简介:关于从行为认识计算机病毒计算机论文

关于从行为认识计算机病毒

从行为?#27835;?#35748;识计算机病毒【摘要】本文从计算机病毒更改主机HOSTS文件、修改主机自启动项、篡改主机注册表信息和感染PE文件四个典型的行为特征进行?#27835;觶?#25552;供一种方便、快捷的病毒识别方案,有助于普通用户提高系统安全维护等级,帮助病毒?#27835;?#20154;员锁定病毒目标。
  【关键词】计算机病毒;行为特征;VMWare
  1.引言
  参照《中华人民共和国计算机信息系统安全保护条例?#33539;?#20041;,计算机病毒[1](Com-puter Virus)指“编?#26222;?#22312;计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。随着信息技术地不断发展,人们在享受其对生活带来便利的同?#20445;?#19968;种反面角色——计算机病毒,也在随着信息技术应用范围的扩大不断渗透,严重威胁着人们的个人隐私和财产安全。维护网络空间的安全人人有责,提高网民对计算机病毒行为特征的识别能力,有助于做到“早发现、早预防、早处理?#20445;?#21183;必能在很大程度上防止计算机病毒扩散,减少其破坏力。
  计算机病毒通常具有很强的隐蔽性,不易被人们发现。专业的?#27835;?#20154;员可能会通过提取病毒样本,采用逆向工程的技术对病毒可执行代码进行动态或静态反汇编?#27835;觶?#35782;别其调用的系统API函数,通过?#27835;?#36825;些API的逻辑关系[2,3],发现代码段具有的潜在威胁以识别是否为病毒代码。这种?#27835;?#25216;术难度大、门槛高,?#35789;?#26222;通程序员?#21442;?#27861;领会其中的精髓。本文从病毒代码的行为特征出发,在搭建的虚拟机环境下?#27835;?#30149;毒代码执行后对系统造成的影响来识别病毒,具有很强的通用性。
  2.基于VMWare的病毒?#27835;銎教?#25645;建
  从计算机病毒的定义可知,其运转结果通常会给我们的计算机带来不可预见的破坏结果。那么通常情况下都会借助VMWare软件搭建一个虚拟机?#25945;ǎ么治?#30149;毒运转在这个虚拟操作系统中。除非特殊情况下,一般不采用真实主机进行?#27835;?#27979;试。另外虚拟机?#25945;ǚ治?#26377;个好处是可以在预装完操作系统,配置好初始环境后做系统快照,完成一次样本?#27835;?#21518;?#25351;?#24555;照即可很方便地还原原始系统环境。
  图1 VMWare+XP SP2系统+ProcessMonitor软件?#27835;銎教?br>  在搭建完虚拟机环境后,本文推荐使用ProcessMonitor软件观察记录病毒行为特征,如上图1所示。该软件通过配置,可以选择对系统中注册表操作、文件读写、网络连接活动和进程、线程活动的?#25105;?#32452;合进行监控,使用灵活,功能齐全,足以满****文所涉及病毒行为?#27835;?#31574;略的操作需求。
  3.病毒典型行为特征
  行为特征[4]是最能识别计算机病毒的标志,也是病毒?#27835;?#24037;程师通常进行的第一步工作。?#31169;?#30456;关病毒的行为特征,可以缩小后续逆向工程中动态?#27835;?#21644;静态?#27835;?#30340;目标范围,起到事半功倍的推动作用。操作系统一般都具有高可配置性,用户通过对一些配置文件的修改即可转变计算机系统的操作行为。病毒也正是利用系统的这一特性,通常更改操作系统的正常配置属性,设置一个适合病毒运转和传播的系统环境。在病毒行为特征的?#27835;?#20013;,也可从病毒通常关注的主机HOSTS文件、注册表文件、启动项配置、PE文件入手,检测是否有病毒操作后的异常特征以识别被监控对象是否为病毒源。
  3.1 更改主机HOSTS文件
  针对Windows2000/XP系统,HOSTS文件通常位于“C:\WINDOWS\system32\drivers\etc”目录下,该文件是一个纯文本,记录着域名与IP地址的?#25104;?#20851;系。用户通过域名访问网络?#35797;词保?#20027;机首先查看该文件,如果域名在文件中有记录,就使用期?#25104;?#30340;IP地址进行访问;否则,主机将通过DNS服务获取域名对应的网络地址,然后通过返回的地址访问网络?#35797;础?#20294;是,病毒软件通常利用该文件的功能,诱导用户访问含有病毒、木马的恶意****或钓鱼****,甚至限制用户访问信息安全相关的论坛网站,避开用户通过查阅资料进行杀毒。下图2为主机在遭受病毒感染后不能打开百度主页,引导至另一网站的HOSTS文件截图。
  图2 HOSTS文件感染截图
  3.2 修改主机自启动项
  在Windows环境下的“开始->所有程序->启动”中可以放置开机自启动程序或者程序?#30446;?#25463;方式。病毒感染主机后通常将自己或自己?#30446;?#25463;方式放入该文件夹,通常有两个路径“C:\Documents and Settings\Administrator\「开始?#20849;?#21333;\程序\启动;C:\Documents and Settings\All Users\「开始?#20849;?#21333;\程序\启动?#20445;?#26816;查的时候需要全面查看。但是这种方式启动程序本身容易被发觉,很多病毒、木马更倾向于直接修改主机注册表文件以隐藏自身不被用户容易地
  • 文章片段:录下,该文件是一个纯文本,记录着域名与IP地址的?#25104;?#20851;系。用户通过域名访问网络?#35797;词保?#20027;机首先查看该文件,如果域名在文件中有记录,就使用期?#25104;?#30340;IP地址进行访问;否则,主机将通过DNS服务获取域名对应的网络地址,然后通过返回的地址访问网络?#35797;础?#20294;是,病毒软件通常利用该文件的功能,诱导用户访问含有病毒、木马的恶意****或
  • 论文介绍
    • 请问论文费用是多少?

      具体费用是综合您的论文具体要求来定的!请将你的论文要求告诉我们的****人员。
    • 请问论文的质量如何?

      我们的****团的****都是研究生还有导师,都是长期论文的专业****,保证高质量和原创******,所以文章的质量可以完全放心。
    • 请问论文如何付款?

      为保证客户与我们的共同利益,我们一律采用分部付款模式,不需一次性付款。
    • 请问论文安全吗?

      多年来我们都是严格保密,恪职敬业,绝不泄露客户的任何信息。
    四肖赔多少钱 赛车pk10下载 重庆时时开奖官方 北京pk网址平安 快乐十分历史开奖记录查询 甘肃十一选五任五 十二选五胆拖玩法 河內快5基本走势 快速时时彩计划 四川快乐12最大遗漏 快乐时时走势图号码