计算机病毒研究论文
随着计算机和互联网的日益普及,人们的学习、生活和工作都越来越离不开计算机。与此同时,在经历数次计算机病毒爆发灾难洗礼后,如何保障计算机的安全成为社会和学术界共同关注的问题。下面是读文网小编为大家整理的计算机病毒研究论文,供大家参考。
计算机病毒研究论文范文一:计算机病毒课程实验教学方法研究
计算机技术的飞速发展给我们的工作和生活带来了极大的便利,然而伴随而来的信息安全问题也日益严峻,已经成为影响信息技术应用和进一步发展的瓶颈。其中计算机病毒就是威胁信息安全的重要因素之一,如感染可执行文件的PE病毒、感染Word文档等数据文件的宏病毒、以U盘为寄生传播对象的Auto病毒、利用邮件进行传播的邮件型病毒、利用系统漏洞进行传播破坏的蠕虫、木马等,无时无刻不在威胁着信息的安全。然而,目前社会和企业都面临着信息安全人才配备严重不足的情况,因此,为了维护信息安全,培养具备分析与对抗纷繁复杂的计算机病毒能力的高素质的应用型、创新型信息安全人才是目前国家和社会必须面临的重要问题。信息安全专业是一个新兴的专业,该专业的重要基础课程“计算机病毒”也是一门随着信息技术发展而产生的全新课程,目前在教学环节和教学模式的设计等方面尚存在较多需要探索和改进的地方。“计算机病毒”是一门理论性和实践性都很强的课程,传统的“传递-接受式”、“重理论、轻实践”的教学模式只适合培养知识型人才,距离培养面向工程应用的实用性、复合型的信息安全反病毒专业人才还有很大的差距。因此,必须以“工程实践创新”理念为导向,研究一种将计算机病毒理论与实践教学相融合的教学模式和教学方法,以最终达到培养高素质的应用型、创新型信息安全专业人才的目标。对此,本文重点从“计算机病毒”课程的教学环节与实验、实践教学过程设计等方面进行探索,并以计算机病毒中破坏力最为强大、技巧性极强的Win32PE病毒为例展开教学研究,进而为整个课程各个教学环节的改革提供良好的参考。
1课程实验内容设置
“计算机病毒”课程不仅具有很强的理论性,同时具有很强的实践性,许多病毒和反病毒技术必须在实践过程中去认识、理解和掌握,因此,其教学过程必须注重原理和实践的良好结合。目前,计算机病毒种类繁多,病毒特点与实现原理、运行机制各有不同,对此,本课程的实验内容主要围绕“DOS引导型病毒、Windows32PE病毒、Word宏病毒、Java脚本病毒、VB脚本病毒、Outlook邮件病毒、蠕虫、木马”等典型的计算机病毒展开。虽然通过案例式的课堂理论教学可以让学生在一定程度上对计算机病毒保持兴趣,但是,如果没有实践的环节让学生“近距离”地接触病毒、感受病毒,那么学生的兴趣就会渐渐地变淡。因此,必须合理规划和安排实验时间,在学生还保持着兴趣的情况下尽快安排实验,使学生从对原理似懂非懂的状态下亲自实践,深入理解病毒原理,并能够激发学生想尽快实现分析病毒的“冲动”。为了更好地说明本课程各个实验教学环节的教学内容安排、教学过程以及教学方法,本文以典型的Win32PE病毒为例进行阐述。
2Win32PE病毒实验教学过程探索
目前所存在的各种类型的病毒中,Win32的PE病毒最为盛行,功能最强,分析难度也最大,因此,掌握Win32PE病毒的基本原理及其运行机制,并能进行合理的对抗与分析对于一名反病毒分析师非常重要。PE病毒原理复杂,如何既能使学生不会因为原理的复杂而吓退、放弃,又能使学生激发并保持学习的热情和兴趣,就必须合理设计其教学过程与教学方法,本文主要从以下几个教学环节展开讨论。
2.1理论教学
如果没有扎实的理论知识的支撑,就不可能有良好的实验效果。对此,本文从以下几个角度开展PE病毒的理论教学。
(1)病毒案例的演示与简单功能说明。由于PE病毒原理非常复杂,如果一开始就进入复杂枯燥的原理讲解,必定会使学生的学习兴趣消失殆尽。因此,为了保持学生的学习兴趣,采用病毒案例演示和简单讲解的方式进行导课,从而激发学生学习的“冲动”。
(2)详解PE文件格式。PE文件格式是Win32环境自身所带的执行体文件格式,是PE病毒感染的对象。PE格式的讲解比较枯燥,但是内容却很重要,是学习、理解和掌握PE病毒工作原理的关键,为了使学生能听得进去,就不能仅仅讲解PE的结构构成,而要边讲结构边借助PPT的动画演示功能对照一个PE文件的二进制信息进行说明,这样可以使学生对PE文件有一个更加直观的认识。此外,对于PE病毒所关心的PE文件关键字段要结合病毒的运行机制和行为特点进行讲解,告诉学生这个字段的作用是什么,病毒如何来利用它,这样学生不会孤立地学习PE格式,也就不会觉得学得无趣。
(3)讲解PE病毒的一般行为及其工作原理。这部分是理解PE病毒行为特点、工作原理、运行机制的核心部分。重点介绍PE病毒的重定位技术、获取API函数地址的多种方法、获取感染目标文件的方法、文件的多种感染技术等等。
2.2验证型实验教学
本课程的病毒验证型实验的开展主要是借助了信息安全实验教学平台,该平台针对实验内容提供了详细的指导,包括实验基础、实验原理及其动画演示、实验步骤和思考问题等,并提供了针对性的实验辅助工具,可以更好地帮助学生理解每类病毒的运行机制。PE病毒的验证型实验主要是利用PE文件信息查看工具、二进制文件查看工具、动态调试工具等多种工具相结合,来验证PE病毒的基本原理。具体的实验过程和实验内容包括:
(1)以一个简单的PE文件为例,采用UltraEdit等工具,手动查看PE文件的详细二进制信息,以深入理解PE文件格式。
(2)在虚拟机中运行病毒,观察病毒的感染机制、感染前后宿主文件的变化等,对PE病毒有一个直观的认识。
(3)以案例病毒为样本进行分析。首先,使用LordPE等PE文件信息查看工具,分别读取病毒感染前后宿主文件的PE头信息、数据目录表、节表等信息,记录下病毒所关心字段的关键数值,并分析其不同的原因;然后,使用UltraEdit工具的文件比较功能,打开病毒感染前后的文件,查看其二进制信息,并将UltraEdit窗口中用不同颜色标记的二进制字段进行详细分析,思考病毒修改该字段的目的所在,进而理解病毒的工作原理和运行机制。最后,结合使用OllyDBG等动态调试工具将样本病毒加载进内存,分析其在内存中的运行过程。
2.3设计型实验教学
通过验证型实验环节使学生对PE病毒的基本原理、运行机制有了一定的理解,但是如果不亲自动手实现一个病毒,那么这种理解不会太深刻,也会有很多的细节无法解释,对此,设计型实验教学环节就变的更加重要,本课程需要学生独立完成以下几个工作。
(1)简单PE病毒的设计与实现。请学生从病毒编写者的角度出发,设计简单PE病毒的运行过程,并实现一些PE病毒的基本行为和简单功能,以使学生更深入地理解和掌握PE病毒的一些共性行为特征和个性的行为特征,以及这些行为的实现方式。
(2)搭建病毒分析实验室,分析简单病毒样本。搭建病毒分析实验室,即安装病毒运行环境-虚拟机,并将要用到的病毒行为监控工具、病毒分析工具等都装入其中,如Filemon、Regmon、ProcessExplorer、Tcpview、IceSword、OllDBG、IDA等,然后将最常用的工具运行起来,完成各种配置,最后在虚拟机中制作快照,以便病毒分析时直接还原快照。在搭建好的病毒分析实验室中,学生可以独立分析自己编写的病毒和教师提供的病毒样本。病毒分析实验室的搭建不仅可以督促学生掌握虚拟机、常用病毒行为监控工具、分析工具等的使用方法,而且可以更方便地运行和分析病毒。
2.4课程拓展-创新型实践教学
计算机病毒的分析与对抗能力是在大量的实践过程中培养起来的,因此,在PE病毒课程结课之后,仍需利用国家、学校、学院、教师等创造的各种机会来培养和锻炼学生,即鼓励学生积极参与国家和天津市的信息安全竞赛、科技立项、教师科研项目、知名企业实习实训平台、毕业设计等实践活动,围绕“病毒的分析与对抗”,自主命题、自主设计解决方案和实验步骤,以促进学生自主学习与自主科研,提高学生的创新研究能力。
3结语
“计算机病毒”课程是信息安全系列课程的专业基础课程之一,对于信息安全人才的培养具有举足轻重的作用。为了培养具备分析与对抗纷繁复杂的计算机病毒能力的高素质的工程实践型信息安全人才,本文以“工程实践创新”理念为导向,重点探索了计算机病毒课程实验教学方面的几个主要环节,并以Win32PE病毒为例,从理论教学、验证型实验教学、设计型实验教学、创新型实践教学几个方面展开了探索,为本课程的后续改革以及信息安全专业同类课程的教学改革提供参考。
计算机病毒研究论文范文二:计算机病毒的起源和发展探析
计算机病毒能够在计算机运行的过程中破坏其正常的功能,同时还可能造成数据的损坏和丢失,计算机病毒的特性和生物病毒是非常相似的,它会直接复制计算机的命令,同时在短时间内就传播到其他的地方,计算机病毒在传播的过程中具有非常强的隐蔽性,在一定的条件下,它能够对数据产生非常明显的破坏。
1计算机病毒的起源
1.1科学幻想起源说
20世纪70年代,美国的科学家构想了一种能够独自完成复制,同时利用信息传播对计算机造成破坏,他将这种程序称为计算机病毒,这也是人类构想出来的第一个计算机病毒。在这之后,人类通过多种方式对其进行发明和处理,所以从整体上来说也是通过这本书才开启了计算机病毒的发展之旅。
1.2游戏程序起源说
在20世纪的70年代,计算机在生产和生活当中的普及程度还不是很高,美国的程序员在实验室当中编制出了能够吃掉对方的程序,这样就可以知道到底能否将对方的程序和相关的数据全部吃光,还有一些人认为这就是第一个病毒,但是这也只是一种假设。
1.3软件商保护
软件起源说计算机软件是一种知识指向型的产品,因为人们在应用的过程中对软件资源的使用和保护存在着非常明显的不合理性,所以,也就出现了众多软件在没有许可的情况下就被随意复制,这样一来也就使得软件开发商的利益受到了极大的影响。
2计算机病毒的发展
2.1DOS引导阶段
在20世纪的80年代,计算机病毒的主要类型是DOS引导型病毒,在这一过程中非常典型的两种病毒是小球病毒和势头病毒,在那个阶段,计算机硬件的种类不是很多,计算机本身也相对比较简单,一般情况下都是需要对软盘进行启动处理之后才能启动的。引导型病毒是借助软盘当中的启动原理来是实现其目的的。它们会对系统启动扇区进行全面的修改,在计算机启动的时候一定要首先能够对其进行全面的控制,这样也就可以有效的减少系统当中的内存,严重的还有可能会导致软盘读取中断,这样也就使得系统自身的运行效率受到了非常大的影响。
2.2DOS可执行阶段
20世纪80年代末期,出现了一种新型的病毒,这种病毒叫做可执行文件型病毒。其在运行的过程中可以充分的利用DOS系统文件运行的模式对文件进行执行操作。这种病毒中比较有代表性的有耶路撒冷病毒和星期天病毒等等。病毒代码在系统执行文件的过程中可以获得非常强的控制权。DOS系统修改也被迫中断,在系统进行调整和应用的过程中会出现非常明显的感染现象,同时还将病毒本身加入到文件当中,这样一来,文件的长度以及所占的内存也会有明显的增加,在这样的情况下,我们必须要对其进行全面的控制。
2.3伴随、批次型阶段
20世纪90年代初期,出现了一种新型的病毒,这种兵雕塑通常是利用DOS系统加载文件的程序予以运行,这种病毒通常被我们乘坐是伴随性的病毒。比较典型的代表就是金蝉病毒,它在EXE文件当中会形成一个和EXE非常相似,但是其扩展名为COM的伴随体。。这个时候文件的扩展名就会变成COM,在DOS系统对文件进行加载处理的过程中就能够取得一定的控制权。这类病毒在运行的过程中对原有的文件内容和日期属性等都不会产生非常大的影响,所以只要对其进行删除处理就能消除所有的病毒。在其他的操作系统当中,一些伴随性的病毒可以借助系统自身的操作模式和操作语言进行操作,这方面比较典型的代表是海盗旗病毒,其在运行的过程中可以对用户的户名和相关的操作指令进行询问,之后再反馈出一个错误的信息,再将其本身做删除处理。
2.4多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行,这些方式的组合使—些看似不同的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次文件就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须先对这段数据进行解码,这就加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
2.5变种阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机地插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以内生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。这—阶段的典型代表是“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。
2.6网络螟虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是前几代病毒的改进。在非DOS操作系统中“,蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下—个地址进行传播,有时也在网络服务器和启动文件中存在。
2.7视窗阶段
1996年,随着windows和wmdows95的日益普及,利用windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
2.8宏病毒阶段
1996年,随着WindowsWord功能的增强,使用word宏语言也可以编制病毒,这种病毒使用类DQstc语言、编写容易,可以感染word文档等文件,在Excel和AmiPro比现的相同工作机制的病毒也归为此类,由于文档格式没有公开,这类病毒查解比较网难。
2.9因特网阶段
1997年以后,因特网迅速发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件或登录了带有病毒的网页,计算机就有可能中毒。结束语当前,我国的科学技术在不断的发展,同时在计算机方面发展也非常的明显,在其发展的过程中我们也需要不断的加强对计算机病毒的研究,只有这样,才能更好的为计算机的平稳运行提供一个相对较为稳定的环境,从而为我国计算机网络技术的发展提供坚实的基础。