探討U盤病毒的特點(diǎn)及防范措施計(jì)算機(jī)專業(yè)畢業(yè)論文
畢 業(yè) 論 文課題名稱 探討U盤病毒的特點(diǎn)及防范措施 學(xué)生姓名 學(xué) 號 專 業(yè) 計(jì)算機(jī)科學(xué)與技術(shù) 班 級 指導(dǎo)教師 2010年5月目錄目錄2摘要4第一章:計(jì)算機(jī)病毒概述51.1���、計(jì)算機(jī)病毒的概念及發(fā)展51.2�、計(jì)算機(jī)病毒的特征及計(jì)算機(jī)被感染后的表現(xiàn)51.2.1計(jì)算機(jī)病毒的特征51.2.2計(jì)算機(jī)被病毒感染后的表現(xiàn)61.3計(jì)算機(jī)病毒的傳播途徑及預(yù)防措施6第二章:U盤病毒U盤病毒的概念����、原理、特征及其表現(xiàn)72.1��、U盤病毒的概念及原理72.1.1�、U盤病毒的概念72.1.2、U盤病毒的原理72.2���、U盤病毒運(yùn)行機(jī)制82.3���、U盤病毒的特征及表現(xiàn)102.3.1、U盤病毒的特征102.3.2�����、U盤病毒與計(jì)算機(jī)一般病毒的比較112.3.3��、U盤病毒的病狀表現(xiàn)11第三章:U盤病毒的查殺及防護(hù)123.1全面解析U盤病毒123.2�����、U盤病毒的查殺163.2.1����、手工清理方法總結(jié):163.2.2、利用USB專殺工具(USBKiller)查殺:213.3�����、U病毒的防護(hù)措施21第四章 結(jié)論與展望21致謝21參考文獻(xiàn):22探討U盤病毒的特點(diǎn)及防范措施 摘要隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展����,計(jì)算機(jī)給人們的工作和生活帶來了前所未有的便利和效率����,但計(jì)算機(jī)病毒也隨著計(jì)算機(jī)的發(fā)展在日益猖獗�����,其傳播速度和途徑更是讓人難以想象����,近年來,U盤因其使用方便���、小巧�����、易攜帶等特點(diǎn)���,也被人們廣泛運(yùn)用于社會(huì)的各個(gè)領(lǐng)域,成為了網(wǎng)絡(luò)信息和計(jì)算機(jī)電子文檔儲(chǔ)存與傳遞的重要工具之一�。計(jì)算機(jī)病毒也依靠著此傳播途徑走上了傳播的高速路,更讓人難以對付的是出現(xiàn)了U盤病毒�����。U盤病毒的出現(xiàn)給人們存儲(chǔ)在可移動(dòng)磁盤上的數(shù)據(jù)��、重要文件造成了丟失��、被竊取等種種危害�����。本論文通過對計(jì)算機(jī)病毒的了解���,從計(jì)算機(jī)一般病毒出發(fā)�,探討U盤病毒的危害��,并分析研究U盤病毒的特征��、原理及計(jì)算機(jī)被感染后的表現(xiàn)���,從而找出查殺U盤病毒的有效方法和防御措施�。解決U盤病毒在工作����、生活���、辦公、學(xué)習(xí)等各個(gè)領(lǐng)域給人們帶來的種種隱患���,為人們的可移動(dòng)磁盤數(shù)據(jù)及計(jì)算機(jī)創(chuàng)造良好的環(huán)境�����。關(guān)鍵詞:病毒����、U盤病毒�、防范、計(jì)算機(jī)���、可移動(dòng)磁盤��、傳染��、查殺�、自動(dòng)播放��、AutoRun.infAbstractWith the rapid development of computer technology, computer work and life to people unprecedented convenience and efficiency, but also as computer viruses in the development of increasingly rampant, and means of its transmission speed is incredible to think that in recent years to, U disk because of its ease of use, compact, easy to carry, it can also be widely applied to various fields of society, a network of information and computer storage and transmission of electronic documents an important tool. Computer viruses also rely on the transmission path of the spread of this high-speed road, even more difficult to deal with the emergence of the U disk virus. U disk the virus was to the people stored in the data on removable disk, causing loss of important documents, theft and various other hazards. This thesis on computer viruses, to understand, from a computer virus usually proceed against the virus of U disk, U disk and analysis of the characteristics of the virus, principles and performance of the computer is infected, in order to identify the virus effectively killing U disk methods and preventive measures. U disk to solve the virus at work, life, office, study, and other fields to bring the various risks to people, as people can move data and computer disk to create a good environment.Key words: viruses��、U disk virus、Prevention�、computers、 removable disks�����、 infection��、killing�����、Autoplay第一章:計(jì)算機(jī)病毒概述隨著科學(xué)技術(shù)的發(fā)展���,目前計(jì)算機(jī)的應(yīng)用已經(jīng)遍及到社會(huì)的各個(gè)領(lǐng)域,同時(shí)計(jì)算機(jī)病毒也依靠著計(jì)算機(jī)網(wǎng)絡(luò)及可移動(dòng)設(shè)備等途徑傳到了各臺計(jì)算機(jī)�,威脅著人們的生活和辦公。因此��,計(jì)算機(jī)病毒的防范工作�,已經(jīng)迫在眉睫,要搞好計(jì)算機(jī)病毒預(yù)防工作���,首先�����,我們必須對計(jì)算機(jī)病毒有著熟悉的了解�。1.1、計(jì)算機(jī)病毒的概念及發(fā)展計(jì)算機(jī)病毒(Computer Virus)在中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義為:病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)���,影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”�����。因此��,我們知道�����,計(jì)算機(jī)病毒有著破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的并竊取計(jì)算機(jī)數(shù)據(jù)的功能�����。當(dāng)今社會(huì)�,計(jì)算機(jī)病毒普遍存在���,而且發(fā)展突飛猛進(jìn)����,據(jù)瑞星全球反病毒監(jiān)測網(wǎng)統(tǒng)計(jì)數(shù)據(jù)顯示,2004年上半年�,瑞星截獲新病毒11835個(gè),2005年同期�����,新病毒數(shù)為26927個(gè)����,而去年上半年�����,新截獲的病毒數(shù)量飆升到了119402個(gè)����,相當(dāng)于過去幾年截獲病毒數(shù)量的總和。在去年病毒較為泛濫的時(shí)期���,其中有三分之一的病毒是通過可移動(dòng)設(shè)備傳播感染的�。1.2�、計(jì)算機(jī)病毒的特征及計(jì)算機(jī)被感染后的表現(xiàn)1.2.1計(jì)算機(jī)病毒的特征1���、傳染性:計(jì)算機(jī)病毒傳染性是指計(jì)算機(jī)病毒通過修改的程序?qū)⒆陨淼膹?fù)制品或其變體傳染到其它無毒的對象上,這些對象可以是一個(gè)程序也可以是系統(tǒng)中的某一個(gè)部件。2���、潛伏性:計(jì)算機(jī)病毒潛伏性是指計(jì)算機(jī)病毒可以依附于其它媒體寄生的能力,侵入后的病毒潛伏到條件成熟才發(fā)作���,使電腦變慢。3����、破壞性:病毒破壞文件或數(shù)據(jù),擾亂系統(tǒng)正常工作的特性稱為破壞性���。4����、可觸發(fā)性:病毒的發(fā)作通常是在一定的條件下實(shí)現(xiàn)的����,這些條件可能是時(shí)間、日期�、文件類型或某些特定數(shù)據(jù)等。一旦滿足這些條件,病毒就會(huì)發(fā)作����,被感染的文件或系統(tǒng)將被破壞。5�����、隱蔽性:指病毒在感染計(jì)算機(jī)后具有不被用戶發(fā)現(xiàn)的特點(diǎn)�,主要表現(xiàn)在傳染的隱蔽性和病毒程序存在的隱蔽性兩個(gè)方面。6���、非授權(quán)可執(zhí)行性:計(jì)算機(jī)病毒可以未經(jīng)授權(quán)而執(zhí)行�。7���、攻擊的主動(dòng)性:病毒對系統(tǒng)的攻擊是主動(dòng)的, 計(jì)算機(jī)系統(tǒng)無論采取多么嚴(yán)密的保護(hù)措施都不可能徹底地排除病毒對系統(tǒng)的主動(dòng)攻擊��。1.2.2計(jì)算機(jī)被病毒感染后的表現(xiàn)1����、機(jī)器不能正常啟動(dòng):加電后機(jī)器根本不能啟動(dòng),或者可以啟動(dòng)�����,但所需要的時(shí)間比原來的啟動(dòng)時(shí)間變長了。有時(shí)會(huì)突然出現(xiàn)黑屏現(xiàn)象��。2���、電腦經(jīng)常異常死機(jī):病毒程序打開了較多的程序����,或者是病毒自我復(fù)制���,都會(huì)占用了大量的CPU資源和內(nèi)存資源���,從而造成機(jī)器經(jīng)常死機(jī)。3����、計(jì)算機(jī)中的文件無法打開:系統(tǒng)中可以執(zhí)行的文件,突然無法打開�����。由于病毒修改了感染了文件��,可能會(huì)使文件損壞,或者是病毒破壞了可執(zhí)行文件中操作系統(tǒng)中的關(guān)聯(lián)����,都會(huì)使文件出現(xiàn)打不開的現(xiàn)象。4����、數(shù)據(jù)突然丟失:硬盤突然有大量數(shù)據(jù)丟失����,這有可能是病毒具有刪除文件的破壞性��,導(dǎo)致硬盤的數(shù)據(jù)突然消失���。5、電腦運(yùn)行速度特別慢:在運(yùn)行某個(gè)程序時(shí)�����,系統(tǒng)響應(yīng)的時(shí)候特別長�����,響應(yīng)的時(shí)間���,超出了正常響應(yīng)時(shí)間的5位以上����。6��、磁盤空間迅速變?����。河捎诓《境绦蛞M(jìn)駐內(nèi)存�,而且又能繁殖,因此使內(nèi)存空間變小甚至變?yōu)椤?”���,用戶什么信息也進(jìn)不去����。7����、外部設(shè)備工作異常:造成鍵盤、打印機(jī)���、顯示器等外部設(shè)備不正常工作�,因?yàn)橥獠吭O(shè)備受系統(tǒng)的控制,如果機(jī)器中有病毒���,外部設(shè)備在工作時(shí)可能會(huì)出現(xiàn)一些用理論或經(jīng)驗(yàn)說不清道不明的現(xiàn)象��。1.3計(jì)算機(jī)病毒的傳播途徑及預(yù)防措施計(jì)算機(jī)病毒具有自我復(fù)制和傳播的特點(diǎn)�����,因此���,要預(yù)防計(jì)算機(jī)病毒就必須先了解它的傳播途徑,目前��,計(jì)算機(jī)病毒的傳播途徑主要有一下幾種途徑:第一��,通過Internet(計(jì)算機(jī)網(wǎng)絡(luò))進(jìn)行傳播�����,網(wǎng)絡(luò)已經(jīng)成為人們獲取信息���、發(fā)送和接收文件��、接收和發(fā)布新的消息以及下載文件和程序的天堂�,正因如此���,計(jì)算機(jī)病毒也依靠網(wǎng)絡(luò)走上了傳播的高速之路�����。第二��,通過IM(即時(shí)通信系統(tǒng)���,如QQ、MSN)和無線通道傳播�����。第三�,通過移動(dòng)存儲(chǔ)設(shè)備(U盤、可移動(dòng)硬盤�、軟盤、光盤等USB設(shè)備)來傳播�。目前,U盤也成為使用最廣泛�、最頻繁的移動(dòng)存儲(chǔ)介質(zhì),這便為計(jì)算機(jī)病毒的傳播創(chuàng)造了很好的條件���。為此���,要做好計(jì)算機(jī)病毒的防護(hù)工作��,不當(dāng)要預(yù)防從網(wǎng)絡(luò)上所帶來的病毒�,更要防范好從USB接口進(jìn)入計(jì)算機(jī)的來犯之?dāng)砋盤病毒��。計(jì)算機(jī)病毒的傳播計(jì)算機(jī)網(wǎng)絡(luò)(Interent)IM系統(tǒng)和無限通道可移動(dòng)設(shè)備第二章:U盤病毒U盤病毒的概念��、原理�、特征及其表現(xiàn)2.1、U盤病毒的概念及原理2.1.1��、U盤病毒的概念U盤病毒又稱Autorun病毒,是通過AutoRun.inf文件使對方所有的硬盤完全共享或中木馬的病毒�,是主要通過U盤等可移動(dòng)設(shè)備傳播的計(jì)算機(jī)病毒。目前�,U盤病毒是傳播最廣的計(jì)算機(jī)病毒之一,各殺毒軟件也尚未將Autorun病毒列為病毒.該病毒在中毒的U盤接入電腦時(shí),雙擊打開U盤盤符時(shí)便會(huì)通過Autorun.inf激活病毒從而使系統(tǒng)受到感染�。病毒組成:autorun.inf、msvcr71.dll��、RavMonE.exe����、RavMonLog. 2.1.2�����、U盤病毒的原理U盤病毒主要依賴于U盤等可移動(dòng)設(shè)備生存,當(dāng)用戶從網(wǎng)上下載文件并拷貝到U盤時(shí)便可能中了U盤病毒,當(dāng)用戶雙擊U盤盤符時(shí),便啟動(dòng)了隱藏了的Autorun.inf等系統(tǒng)文件。Autorun.inf原本是微軟公司設(shè)計(jì)一個(gè)安裝信息文件�,其本身是一個(gè)正常的文件,通過它可以實(shí)現(xiàn)可移動(dòng)設(shè)備的自動(dòng)運(yùn)行�,很多黑客便利用它做一些惡意的操作,不同的黑客可以通過Autorun.inf植入不通的病毒,現(xiàn)在一些不法分子卻利用它來傳播病毒����。autorun.inf文件里面的內(nèi)容非常靈活,寫法不唯一�����,不同病毒的autorun.inf文件的內(nèi)容不盡相同�����。U盤病毒Autorun.inf的程序代碼如下:(引用)<script language=vbs>codeds="dohuw+%RN%,"execute (decode (codeds) )Function DeCode (Coded) On Error Resume Next For i = 1 To Len (Coded) Curchar = Mid (Coded, i, 1) If Asc (Curchar) = 16 then Curchar = chr (8)Elseif Asc (Curchar) = 24 then Curchar = chr (12)Elseif Asc (Curchar) = 32 then Curchar = chr (18) Else Curchar = chr (Asc (Curchar) -3) End if DeCode = Decode&Curchar NextEnd Function</script>2.2���、U盤病毒運(yùn)行機(jī)制與一般計(jì)算機(jī)病毒相比�,U盤病毒的運(yùn)行一般是被動(dòng)的,必須經(jīng)過可移動(dòng)設(shè)備的自動(dòng)播放功能或者是人為的點(diǎn)擊后����,U盤病毒才可以在計(jì)算機(jī)中得到運(yùn)行,其運(yùn)行機(jī)制主要表現(xiàn)在以下幾個(gè)方面:1����、感染磁盤:U盤病毒運(yùn)行在電腦中,病毒程序不斷掃描各盤(包括硬盤分區(qū)�、U盤、移動(dòng)硬盤����、內(nèi)存卡等),并且在每個(gè)磁盤根目錄下建立病毒文件的副本和一個(gè)autorun.inf或者autorun.pif自啟動(dòng)文件��,有時(shí)會(huì)感染其他文件��。2�����、偽裝成文件夾:U盤病毒會(huì)檢查你的移動(dòng)設(shè)備里有多少文件夾�����,并根據(jù)每個(gè)文件夾的名字建立同名的病毒文件副本(擴(kuò)展名為exe),這個(gè)病毒副本的圖標(biāo)和文件夾的圖標(biāo)相同或者相似��,并且病毒把原有文件夾的屬性改成hidden(隱藏)或者system(也是隱藏的)��。如下圖:設(shè)置文件夾選項(xiàng)>顯示所有文件和文件夾�,可以發(fā)現(xiàn),病毒隱藏了原文件夾�,把自己偽裝成原文件夾��,用戶不知道或不注意的話����,雙擊盤符就運(yùn)行了病毒,從而使計(jì)算機(jī)感染病毒��。上圖中名為RECYCLER.exe 是病毒在U盤中偽裝成一個(gè)文件夾的樣子���,其本身就是一個(gè)病毒����,如果計(jì)算機(jī)沒設(shè)置顯示擴(kuò)展名的話�����,一般人看到此圖標(biāo)就以為是回收站,而事實(shí)上���,回收站的名稱是“Recycled”��,而且兩者的圖標(biāo)是不同的��。U盤屬于Zip/FDD型移動(dòng)設(shè)備���,理應(yīng)沒有回收站(Recycled文件夾)和系統(tǒng)還原(System Volume Information文件夾),您刪除的任何文件將是完全刪除�,而不會(huì)被放入所謂的“Recycled”中。所以�����,一旦您在U盤上發(fā)現(xiàn)看似回收站圖標(biāo)的文件夾����,可以直接認(rèn)為那是病毒的老巢,請不要進(jìn)入��,而是直接刪除����!3�、用戶中計(jì)����,電腦被感染:因?yàn)閣indowsXP的默認(rèn)配置是不顯示文件的擴(kuò)展名,不顯示隱藏文件和系統(tǒng)文件���,這就使你原來的文件夾實(shí)際上看不到�����,看到的是病毒文件��,但病毒文件偽裝的和原來的文件夾一模一樣,如果你誤以為那是你的文件夾并點(diǎn)了這個(gè)文件�����,病毒便會(huì)運(yùn)行���,并安裝到電腦中(這個(gè)過程你是看不到的)���,同時(shí)病毒引導(dǎo)你進(jìn)入正常的文件夾,所以你在完全不知情的情況下就中毒了�����。4、當(dāng)移動(dòng)設(shè)備插在電腦上時(shí)���,通過windows的自動(dòng)播放功能�����,自動(dòng)執(zhí)行autorun.inf文件�,autorun.inf文件激活病毒程序���。見下圖:左側(cè)為帶U盤病毒的右鍵菜單��,多了“自動(dòng)播放”����、“Open”����、“Browser”等項(xiàng)目;右側(cè)是殺毒后的����,沒有這些項(xiàng)目����。5����、通過雙擊盤符運(yùn)行:如果windows自動(dòng)播放功能被關(guān)閉,則移動(dòng)設(shè)備不會(huì)被自行打開��,病毒也無法直接運(yùn)行����,這時(shí)如果你不做任何操作,電腦是不會(huì)中毒的����。但如果你雙擊盤符,則autorun.inf也一樣會(huì)被運(yùn)行�。2.3��、U盤病毒的特征及表現(xiàn)2.3.1���、U盤病毒的特征U盤病毒不但具有著一般計(jì)算機(jī)病毒的特征����,除此之外,U盤病毒還有著一些自己獨(dú)立的特征��,這寫特征與一般計(jì)算機(jī)病毒的特征相比��,顯得更強(qiáng)烈����、更廣泛。主要表現(xiàn)在:1�、傳染的廣泛性:U盤在當(dāng)今社會(huì)無處不在,因此只要有U盤的地方都可能存在病毒���,而且�,傳染強(qiáng)烈�,只要可移動(dòng)磁盤一與計(jì)算機(jī)接觸都可能被感染,我們可以把U盤病毒的傳染性與艾滋病病毒的傳染性進(jìn)行比較�,可以發(fā)現(xiàn)它們都具有如下特點(diǎn):(1)從表面無法看出是否感染了病毒;(2)能感染接觸對象�,也能被接觸對象感染;(3)都是通過連通后才可能產(chǎn)生傳染���;(4)感染后一般不是立刻就能發(fā)現(xiàn)而且很難完全清除的��;(5)如果減少接觸對象����,就能減少感染風(fēng)險(xiǎn);(6)使用預(yù)防措施可以大大的減少風(fēng)險(xiǎn)�。2、感染的被動(dòng)性:U盤病毒都是貯存在可移動(dòng)磁盤中��,如果不經(jīng)過認(rèn)為的把可移動(dòng)磁盤與計(jì)算機(jī)接觸����,是不會(huì)感染計(jì)算機(jī)的,并且接觸后也要經(jīng)過自動(dòng)播放或點(diǎn)擊盤符才能使病毒得以運(yùn)行�����。3�����、 病毒的持久性:一旦U盤被感染���,很難查殺或徹底清除,特別是在U盤中存有重要文件時(shí)����,要清楚病毒而且保護(hù)證文件不丟失�,顯得非常困難而又復(fù)雜���。4��、感染對象的的特定性:U盤病毒感染的對象一般只能是計(jì)算機(jī)以外的可移動(dòng)設(shè)備或磁盤����。5傳播途徑的多樣性:U盤病毒不但可以一依靠網(wǎng)絡(luò)的傳播�,更為廣泛的傳播是靠U盤等可移動(dòng)設(shè)備。2.3.2����、U盤病毒與計(jì)算機(jī)一般病毒的比較U盤病毒與計(jì)算機(jī)一般病毒都是計(jì)算機(jī)病毒,他們對計(jì)算機(jī)都具有破壞性��,有著共同的目的�,不同的只是在概念、具體的傳播途徑���、特征表現(xiàn)等方面略有區(qū)別���,它們之間還有著密切的聯(lián)系。具體如下表所示:區(qū)別聯(lián)系 一般計(jì)算機(jī)病毒概念編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼��。U盤病毒屬于計(jì)算機(jī)病毒的其中之一���,他們都有著共同的特征����,其目的都是為了破壞計(jì)算機(jī)系統(tǒng)�����、獲取對方數(shù)據(jù)����。對人們的生活和辦公信息都有著巨大的威脅。在查殺防范計(jì)算機(jī)病毒的同時(shí)��,不能忽視了U盤病毒����。感染對象主要是針對計(jì)算機(jī),主要在計(jì)算機(jī)與計(jì)算機(jī)之間進(jìn)行傳染�����。特征及表現(xiàn)基本特征:程序性、傳染性����、非授權(quán)性��、隱蔽性���、潛伏性��、可觸發(fā)性�、破壞性���、攻擊的主動(dòng)性����、針對性����、不可預(yù)見性、持久性����、誘惑欺騙性、寄生性。感染表現(xiàn): 經(jīng)常異常死機(jī)�、運(yùn)行速度慢、磁盤空間減小����、數(shù)據(jù)丟失等。查殺利用一般的殺毒軟件可以清除�。U盤病毒概念U盤病毒又稱Autorun病毒,是通過AutoRun.inf文件使對方所有的硬盤完全共享或中木馬的病毒,是主要通過U盤等可移動(dòng)設(shè)備傳播的計(jì)算機(jī)病毒��。感染對象感染對象主要是U盤���,但也會(huì)感染計(jì)算機(jī)��。主要在計(jì)算機(jī)與可移動(dòng)磁盤之間進(jìn)行傳染���,且貯存于可移動(dòng)磁盤當(dāng)中。特征及表現(xiàn)特征:具有一般病毒的特征�����,但其傳染性較為廣泛��、感染的對象相對特定�、感染被動(dòng)��、傳播途徑多樣化����。感染表現(xiàn):具有一般病毒的感染表現(xiàn)�。值得注意的是U盤被感染或的表現(xiàn)�����。查殺一般的殺毒軟件難以清除��,一旦感染后�,要使用USB專殺工具或?qū)⒖梢苿?dòng)磁盤格式化才能清楚。2.3.3��、U盤病毒的病狀表現(xiàn)1��、當(dāng)計(jì)算機(jī)被U盤病毒感染時(shí):計(jì)算機(jī)被U盤病毒除了表現(xiàn)為感染一般病毒的癥狀外�����,還有可能出現(xiàn)以下情景:(1)����、中了U盤病毒�,電腦硬盤里面所有的文件夾里都有一個(gè)與這個(gè)文件夾名字相同的后綴為EXE的文件夾 而且都一樣大��;(2)��、無法開啟任務(wù)管理器���,當(dāng)你按下Ctrl+Alt+DEL的時(shí)候���,任務(wù)管理器一閃而關(guān)。(3)��、應(yīng)用程序無法運(yùn)行�����,尤其是殺毒軟件���,最近的一些U盤病毒變種能夠���。阻止一切應(yīng)用程序的運(yùn)行,特征是你運(yùn)行電腦上安裝的應(yīng)用程序�,無任何反映,尤其是殺毒軟件����,很多變種都有阻止殺毒軟件運(yùn)行的功能�。(4)�、雙擊無法打開電腦上硬盤分區(qū),必須要用右鍵才能打開��,這個(gè)也是一個(gè)比較常見的中毒特征�。2、當(dāng)U盤感染上病毒時(shí)����,其病狀主要表現(xiàn)在以下幾個(gè)方面:(1)���、雙擊打開U盤時(shí)���,計(jì)算機(jī)提示找不到copy.exe。(2)�����、顯示隱藏文件時(shí)發(fā)現(xiàn)有copy.exe host.exe autorun.ini可疑文件���。(3)�、部分U盤表現(xiàn)為所有文件屬性被修改為隱藏。 (4)����、打開系統(tǒng)進(jìn)程有可能發(fā)現(xiàn)temp1.exe或temp2.exe。(5)�、U盤的儲(chǔ)存空間變小。(6)����、經(jīng)常性的刪除移動(dòng)存儲(chǔ)失敗,總是顯示“現(xiàn)在無法停止通用卷設(shè)備���,請稍候在停止該設(shè)備”���。第三章:U盤病毒的查殺及防護(hù) 要有效解決U盤病毒給人們帶來的困擾,為計(jì)算機(jī)的工作創(chuàng)造一個(gè)健康�、安全的環(huán)境,同時(shí)也使人們不在擔(dān)心存放在可移動(dòng)磁盤(U盤)上的重要文件���、數(shù)據(jù)不在丟失或被竊取��,就必須做好U盤病毒的查殺和防護(hù)工作����。3.1全面解析U盤病毒1、一個(gè)被病毒感染的U盤要從計(jì)算機(jī)的USB接口彈出時(shí)�����,通常會(huì)出現(xiàn)“現(xiàn)在無法停止通用卷設(shè)備�����,請稍后在停止該設(shè)備”����。一般情況下,這就是由于病毒在運(yùn)行��,U盤設(shè)備被病毒調(diào)用��。(圖1) (圖1)2�、接下來我們看看病毒到底在硬盤上做什么���,由于病毒文件大多是隱形屬性����,因此要先讓系統(tǒng)顯示隱藏文件��,方法如下:打開“我的電腦”,選擇“工具”菜單中的“文件夾選項(xiàng)”����,在“查看”選項(xiàng)卡的“高級設(shè)置”下一次勾選“選擇系統(tǒng)文件夾的內(nèi)容”、“顯示所有文件和文件夾”���。取消對“隱藏已知文件類型的擴(kuò)展名” (圖2)3�����、打開“我的電腦”進(jìn)入根目錄查看����,不要直接雙擊����,用鼠標(biāo)右鍵點(diǎn)擊盤符,可以看見第一項(xiàng)變成了“Auto”.(圖3) (圖3)4���、(一般正常情況下是“打開”)�����,選擇“資源管理器”進(jìn)入磁盤根目錄��。非常明顯在根目錄下多了一個(gè)文件���,一個(gè)目錄����,文件是Autorun.inf,目錄為RECYCLER,它的圖標(biāo)和回收站的圖標(biāo)一樣���,并且是隱藏屬性�����。進(jìn)入RECYCLER目錄可以看到兩個(gè)文件�,一個(gè)為info.exe���,另一個(gè)為desktop.ini,也是隱藏屬性�����。(圖4) (圖4)5�、雙擊打開autorun.inf文件,可以看到如下內(nèi)容:此程序表示該U盤病毒首先它把自己隱藏在一個(gè)類似“回收站”的圖標(biāo)下,另外�����,通過autorun.inf達(dá)到雙擊盤符自動(dòng)運(yùn)行�。6、雙擊打開desktop.ini文件���,可以看到如下內(nèi)容:這是該病毒把自己的圖標(biāo)改變成“回收站”的圖標(biāo)的程序代碼����,使自己更加隱蔽��。3.2�����、U盤病毒的查殺3.2.1����、手工清理方法總結(jié):通過以上解析,我們知道����,很明顯info.exe應(yīng)該就是病毒文件了���。要想知道病毒的工作機(jī)理及其找到清理病毒的方法,進(jìn)行反匯編是有效的方法��。對于沒有加殼的U盤病毒�,直接用Ollydbg加載info.exe病毒文件進(jìn)行反匯編,方法如圖5所示���,利用插件來查看字符串���。在彈出的窗口中可以看到程序中出現(xiàn)的字符信息,一般來講會(huì)發(fā)現(xiàn)一些文件名和注冊表的信息���。 (圖5)根據(jù)經(jīng)驗(yàn)可知softwaremicrosoftwindowscurrentversionwinlogon應(yīng)該是注冊表中的地址��,它下面的“Userinit”和“svchost.exe 1”可能就是病毒偽裝的文件名或是要寫到上面注冊表地址里的項(xiàng)和鍵值���。至于下面的“:recyclerinfo.exe”、“recycleru.exe”應(yīng)該是釋放到U盤里的文件�����。那剩下的“_sv_cmd_u_.exe”和“_sv_cmd_u.exe”是釋放到什么地方呢?先不管這個(gè)�����,繼續(xù)往下看�,看看還有什么字符串,可以告訴我們什么信息����。(圖6) (圖6)如圖7:“recyclerdesktop.ini”文件是將文件夾偽裝成回收站圖標(biāo)的方法。下面的“.ShellClassInfonCLSID=645ff040-5081-101b-9f08-00aa002f954eu.exe”就應(yīng)該是desktop.ini里面的內(nèi)容了�����。再下面的“autorunnnauto=nnopen=nnshellautoCommand=RECYCLERINFO.exennshellopenCommand=RECYCLERINFO.exennshellopenDefault=1nnshellexploreCommand=RECYCLERINFO.exe”就是U盤里的autorun.inf文件的內(nèi)容����。autorun.inf的作用就是打開U盤時(shí)自動(dòng)運(yùn)行recycler里的info.exe程序。而字符串里出現(xiàn)的svchost.exe����,這是系統(tǒng)文件的名字,顯示是病毒用來迷惑人的�。 (圖7)在命令行下敲入如下命令查看系統(tǒng)中svchost.exe:dir /a /s svchost.exe,如圖8: (圖8)正常的svchost.exe文件的大小應(yīng)該是14K����,那么C:Windowssystem文件夾下的svchost.exe就應(yīng)該是病毒了����,來到C:windowssystem目錄下還意外發(fā)現(xiàn)了_sv_cmd_文件夾�����,里面的_u_.exe和u.exe也都是病毒文件���,前面字符串中出現(xiàn)的_sv_cmd_原來是備份病毒文件的�,剩下的應(yīng)該就是注冊表里的鍵值了��,根據(jù)反匯編字符串里的信息來到注冊表地址“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon”下�,發(fā)現(xiàn)Userinit項(xiàng)的值由“userinit.exe,”改成了“userinit.exe,C:windowssystemsvchost.exe”,那后面的C:windowssystemsvchost.exe不就是病毒地址嗎���,原來它是這樣在開機(jī)后自己運(yùn)行的��。圖9 (圖9)結(jié)束病毒進(jìn)程:在命令行下敲入如下命令:tasklist /svc����,圖10 (圖10)從顯示結(jié)果中很明顯可以看出PID為2620的SVCHOST是與系統(tǒng)無關(guān)的�,敲入如下命令結(jié)束病毒進(jìn)程:ntsd -c p -q 2620。刪除病毒文件:把一下代碼保存為del.bat文件���,雙擊即可��。修復(fù)注冊表:把如下的代碼保存為u.reg文件����,然后雙擊導(dǎo)入即可����。3.2.2、利用USB專殺工具(USBKiller)查殺:目前常用的USB專殺工具主要有USBCleaner和USBKiller兩種:USBKiller是一款專門用于預(yù)防及查殺U盤病毒��、Auto病毒�����、閃盤病毒的工具除了可以30秒閃電查殺RavMone�����、 Rose�����、rising����、Fun.xls等幾十種通過U盤傳播的病毒�,還可以對系統(tǒng)實(shí)行主動(dòng)防御�����,自動(dòng)檢測清除插入U(xiǎn)盤內(nèi)的病毒����,從根本上杜絕病毒通過U盤感染電腦,解決你的后顧之憂����。免疫功能讓病毒永遠(yuǎn)也無法進(jìn)入你的U盤;解鎖功能解除U盤鎖定狀態(tài)�����,解決無法安全刪除設(shè)備問題��;修復(fù)功能修復(fù)無法顯示隱藏文件�����、雙擊無法打開硬盤、清除右鍵Auto字樣���、修復(fù)無法打開殺毒軟件�。3.3���、U病毒的防護(hù)措施U盤病毒的防護(hù)做到以下幾點(diǎn):(1)安裝具有U盤病毒防護(hù)功能的殺毒軟件并及時(shí)更新殺毒軟件的病毒庫。(2)修改計(jì)算機(jī)系統(tǒng)中的注冊表��,將系統(tǒng)各個(gè)磁盤的自動(dòng)運(yùn)行功能禁止�。盡量不要雙擊打開U盤,而是通過打擊左鍵選擇“打開”���。(3)使用U盤進(jìn)行數(shù)據(jù)貯存和拷貝時(shí)�����,打開防病毒軟件的“實(shí)時(shí)監(jiān)控”功能�,避免病毒文件入侵感染�。(4)將所有隱藏文件和文件夾都設(shè)為顯示,以便U盤被感染后能及時(shí)發(fā)現(xiàn)病毒��。(5)隨時(shí)注意判斷自己是否中了U盤病毒并注意木馬的查殺���。 (6)關(guān)閉自動(dòng)播放�����。具體方法如下:開始>運(yùn)行��,輸入下面的命令gpedit.msc計(jì)算機(jī)配置>管理模板>系統(tǒng)>關(guān)閉自動(dòng)播放>啟用(選擇所有驅(qū)動(dòng)器)����。對于U盤病毒,光有預(yù)防措施是遠(yuǎn)遠(yuǎn)不夠的���。在U盤的日常使用過程中��,除了要采取及時(shí)升級殺毒軟件��、安裝系統(tǒng)補(bǔ)丁等防范病毒的一般方法外��,還必須特別注意以下幾個(gè)方面����,養(yǎng)成良好的U盤使用習(xí)慣�����。使用U盤注意事項(xiàng):(a)、盡量專盤專用���;(b)��、養(yǎng)成在打開U盤前先進(jìn)行掃描殺毒處理的好習(xí)慣�;(c)�����、盡量打開U盤的寫保護(hù)功能���;(d)、采用安全的打開方式���。綜合采取以上措施和方法��,能有效防止U盤病毒的侵?jǐn)_��,但不能保證U盤的絕對安全��,因?yàn)椴《疽苍诓煌5剡M(jìn)化和升級�,上述措施和方法有可能失效�����,絕非一勞永逸。因此��,廣大計(jì)算機(jī)用戶要密切關(guān)注U盤病毒的最新動(dòng)態(tài)����,根據(jù)安全廠商和有關(guān)部門的建議,及時(shí)采取針對性措施�����,才能最大限度地提高U盤的安全性�。此外我們可以盡量使用一些自帶殺毒功能的U盤,這樣大大減少感染的病毒量����。 第四章 結(jié)論與展望隨著時(shí)代與科技的發(fā)展,計(jì)算機(jī)技術(shù)突飛猛進(jìn)�,給人們的工作和生活帶來了前所未有的便利和效率,成為人類社會(huì)不可缺的一部分�。但計(jì)算機(jī)病毒卻一直在影響著計(jì)算機(jī)的安全,計(jì)算機(jī)病毒已成為計(jì)算機(jī)系統(tǒng)最不安全的因素之一�����。在現(xiàn)在的計(jì)算機(jī)病毒中,病毒主要來自以下兩個(gè)方面:其一����,用戶在瀏覽網(wǎng)頁及下載軟件、文件等資料是隨之進(jìn)入計(jì)算機(jī)系統(tǒng)�;其二,通過U盤���、儲(chǔ)存卡�����、MP3等可移動(dòng)磁盤感染計(jì)算機(jī)系統(tǒng)����。目前�,通過此途徑傳播的病毒也占據(jù)了計(jì)算機(jī)病毒的大部分�����,U盤成為第二大病毒傳播途徑����。由于U盤的廣泛使用����,U盤病毒成了隨意流竄的“流動(dòng)殺手”���,令人防不勝防�����。在辦公室�����,U盤病毒頻繁光顧襲擾��,癱瘓系統(tǒng)���,破壞數(shù)據(jù),竊取文件��,使得計(jì)算機(jī)用戶頭痛不已�����。目前�����,U盤病毒逐步的增加, U盤傳播病毒的機(jī)會(huì)也也越來越多���,現(xiàn)在計(jì)算機(jī)病毒中最流行的恐怕就是autorun.inf病毒�����。因此���,做好U盤病毒的防護(hù)工作是保護(hù)好計(jì)算機(jī)安全必不可少的條件。致謝雖然經(jīng)歷過了大學(xué)四年的學(xué)習(xí),但是在實(shí)際的做畢業(yè)論文的過程中還是體現(xiàn)了自己的能力不足��。因此在此論文完成之際,特別的要向 老師表示衷心的感謝�����!他在寫論文的過程中給了我很大的幫助�����。同時(shí)還要特別感謝 同學(xué)在學(xué)習(xí)設(shè)備上的借予和幫助��,還有其他我們區(qū)隊(duì)的同學(xué)的大力支持和關(guān)心����。參考文獻(xiàn):1、張仁斌�����、李鋼��、侯整風(fēng)���,計(jì)算機(jī)病毒與反病毒技術(shù)��,清華大學(xué)出版社�,2006年1月����。2、魏佳��,淺談U盤病毒及其防治辦法���,瑞星網(wǎng)���,網(wǎng)址:3�、卓新建�����,計(jì)算機(jī)病毒原理與防治第二版�����,北京郵電大學(xué)出版社�����,2007年8月1日��。4����、王建峰等,計(jì)算機(jī)病毒分析與防范大全����,電子工業(yè)出版社,2006年3月4日�����。23
個(gè)人主頁