浅谈计算机病毒的检测技术
浅谈计算机病毒的检测技术
摘要:在互联网高速发展的今天,计算机病传染性越来越强,危害性也越来越大。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。本文对其特点以及优缺点逐一进行了叙述。
关键词:计算机病毒检测技术
一、引言
Internet改变了人们的生活方式和工作方式,改变了全球的经济结构、社会结构。它越来越成为人类物质社会的最重要组成部分。但在互联网高速发展的同时,计算机病毒的危害性也越来越大。在与计算机病毒的对抗中,早发现、早处置可以把损失降为最少。因此,本文对计算机病毒的主要检测技术逐一进行了讨论。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。这些方法依据原理不同,检测范围不同,各有其优缺点。
二、计算机病毒的检测方法
(1)长度检测法
病毒最基本特征是感染性,感染后的最明显症状是引起宿主程序增长,一般增长几百字节。在现今的计算机中,文件长度莫名其妙地增长是病毒感染的常见症状。长度检测法,就是记录文件的长度,运行中定期监视文件长度,从文件长度的非法增长现象中发现病毒。知道不同病毒使文件增长长度的准确数字后,由染毒文件长度增加大致可断定该程序已受感染,从文件增长的字节数可以大致断定文件感染了何种病毒。但是长度检测法不能区别程序的正常变化和病毒攻击引起的变化,不能识别保持宿主程序长度不变的病毒。
(2)病毒签名检测法
病毒签名(病毒感染标记)是宿主程序己被感染的标记。不同病毒感染宿主程序时,在宿主程序的不同位置放入特殊的感染标记。这些标记是一些数字串或字符串。不同病毒的病毒签名内容不同、位置不同。经过剖析病毒样本,掌握了病毒签名的内容和位置之后,可以在可疑程序的特定位置搜索病毒签名。如果找到了病毒签名,那么可以断定可疑程序中有病毒,是何种病毒。这种方法称为病毒签名检测方法。但是该方法必须预先知道病毒签名的内容和位置,要把握各种病毒的签名,必须解剖病毒。剖析一个病毒样本要花费很多时间,是一笔很大的开销。
(3)特征代码检测法
计算机病毒的检测
有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断: 一: 反病毒软件扫描:
三: 进程观察: TXPlatform.exe是腾讯即时通讯客户端相关程序,用于阻止同一个QQ号在同一台电脑上登陆2次和支持外部添加功能。(不建议关闭) svchost.exe是系统进程,在XP系统中进程数量较多,正常,不能关闭! zhudongfangyu.exe,是主动防御的拼写,360进程。 360rp/360rps是360杀毒进程。 360tray,360进程。 safeboxtray.exe,360保险箱进程。 nvsvc32,显卡驱动进程。 以上进程不建议关闭。 taskmgr.exe,任务管理器进程,可以结束进程。 computerZ_cn是鲁大师进程,关闭程序时进程自动结束。
QQDL可以关闭,是QQ多用户一键登录,可以实现一键自动登录你所有QQ 用户。 sogouCloud.exe是搜狗输入法的进程。(关闭后会被再次自动启动) iexplore.exe是IE浏览器进程,打开页面多了自然会重复。(若结束进程,则会导致IE页面被关闭) 几个值得注意的进程: 1、explorer.exe:explorer 或者 explorer.exe 所在路径: (系统安装目录盘)C:\windows\explorer.exe 进程全称: Microsoft Windows Explorer 中文名称:微软windows资源管理器 但此时桌面上空无一物,怎么办?别着急,按下Ctrl+Alt+Del组合键,出现“Windows安全”对话框,单击“任务管理器”按钮,在任务管理器窗口中选中“应用程序”选项卡,单击“新任务”,在弹出的“创建新任务”的对话框中,输入你想要打开的软件的路径或者名称即可。 这个只能有一个,超过一个就是病毒。 注意和IEXPLORER.EXE的区别 这个可以有很多个。看看你开了几个浏览器。 还有一些expl0re.exe exp1ore.exe 伪装者。 2、svchost.exe:svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。 这个进程有很多个,所以很难判断。 winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。
植物病毒检测技术研究进展汇总
植物病毒检测技术研究进展 刘茂炎 摘要:随着现代技术的发展特别是分子技术的发展,鉴定和检测病毒的方法越来越多,也越来越精确快速。以PCR为基础的基因工程技术已经广泛应用于病毒核酸分子的鉴定,其高灵敏度和高特异性是与PCR扩增反应的特异性引物相关联的;于此同时传统的鉴定检测技术依然有其发展优势。不论怎样的方法技术,都是以病毒的理化性质以及侵染性为基础的。在此基础上,甚至出现了某些边缘技术在病毒鉴定检测方面的应用。本文主要综述的是对植物病毒鉴定检测技术的研究进展。 关键词:植物病毒;检测技术;PCR 病毒在生物学上特征(如病毒的理化性质,包括病毒粒子的形态、大小、对理化因子的耐受性等)以及在寄主上的反应(如寄主范围、症状表现、传播方式等)是对病毒最直观的认识。常规的对植物病毒的鉴定检测方法有:生物学测定方法、血清学技术、电子显微镜技术、分子生物学技术等。生物学测定依据病毒的侵染性,观察寄主植株或其它生物的症状表现;血清学技术以病毒外壳蛋白(CP)为基础;电子显微镜技术依据病毒的形状大小的不同;分子生物学鉴定则以病毒核酸为基础。 1.生物学鉴定 最直接的方法是目测法,直接观察病毒对植物的病害症状。如烟草花叶病毒(tobacco mosaic virus,TMV),病害症状为叶上出现花叶症状,生长陷于不良状态,叶常呈畸形;玉米鼠耳病的诊断主要依据田间症状表现[1]。目测法因观察的主观性和症状的不确定性的影响而不精准。1929年美国病毒学家霍姆斯(Holmes)用感病的植物叶片粗提液接种指示植物,2~3天后接种叶片出现圆形枯斑,枯斑数与侵染性病毒的浓度成正比,能测出病毒的相对侵染力,对病毒的定性有着重要的意义,这种人工接种鉴定的方法就是枯斑和指示植物检测法。国内报道的水稻黑条矮缩病毒(Rice black-streaked dwarf fijivirus,RBSDV)可侵染28属57种禾本科植物,该病毒的主要传毒介体是灰飞虱(Laodelphax striatella),
关于计算机病毒检测技术分析
关于计算机病毒检测技术分析 【摘要】计算机的出现改变了人们的生活方式和工作方式,同时也改变了全球经济的结构,逐渐的成为人类物质社会最为重要的组成部分,随着互联网的迅速发展,网络安全问题也日益严重起来。计算机病毒给计算机系统的安全带来了严重的危害,并且造成的损失也比较大,一般认为,计算机网络系统的安全运行来自计算机病毒的攻击,那么研究分析计算机病毒检测技术也就有着极大的现实意义。本文探究了计算机病毒,以及计算机病毒的种类,并且着重分析研究了计算机病毒检测技术,以期提高计算机安全。 【关键词】计算机病毒;检测技术;分析 1.引言 对于计算机的安全广大的安全专家以及用户都是比较担忧的,虽然目前计算机反病毒的技术正在不断的更新,但是反病毒技术仍然是被动的,用户需要应付每一个出现的计算机病毒,并且随着互联网技术的逐渐普及,计算机病毒越来越多的泛滥而出。计算机病毒攻击的方式、传播的方式也在随着社会经济的发展逐渐的变化着,它能够隐形的依附在下载的视频或者资料中,或者利用图片传播等,计算机病毒的传播速度较快,并且危害性也相对较大,那么为了保证计算机的安全使用,就必须要提高计算机病毒检测技术,在计算机没被病毒侵害之前进行检测,并进行杀毒。 2.计算机病毒综述 计算机病毒是一种人为制造的,专门用来破坏或者攻击计算机软件系统,并复制本身传染其他应用程序的代码,随着计算机网络技术的逐渐发展和应用,计算机病毒已经成为信息系统安全的主要威胁之一[1]。计算机病毒能够像生物病毒一样进行繁殖,在程序正常运行的时候,能够进行运行自身复制,也就是说计算机病毒具有繁殖性,再有计算机病毒具有传染性,一旦病毒被复制或者是产生变种,那么它的传播速度是很难预防的,传染性是计算机病毒基本的特征。此外计算机病毒还具有潜伏性,这跟定时炸弹是差不多的,在之前设计好病毒爆发的时间,给人以措手不及,还具有隐蔽性、破坏性等特性。计算机病毒大致上被分为宏病毒、木马病毒、黑客工具、脚本病毒等种类,下面我们将对这些病毒进行系统的分析。 第一,宏病毒,这是脚本病毒中的一种,但是由于其特性故将其分为一类,宏病毒的前缀是Macro,第二前缀是Word、Excel等,较为著名的宏病毒有著名的美丽莎。 第二,脚本病毒,脚本病毒的前缀是Script[2],脚本病毒的共有特性是使用脚本语言编写的,借助网页进行传播的病毒。
病毒查找及清除实验
病毒查找及清除实验 应用场景 计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。 一般正常的程序都是由用户调用,再由系统分配资源,完成用户交给的任务,其目的对用户是可见的、透明的。而病毒则隐藏在正常的程序中,当用户在调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户来说是未知的,是未经允许的。一般病毒都具有以下一些特征: 1.传染性。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的,而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。是否具有传染性是判别一个程序是否为计算机病毒的最重要的判断依据。 2. 隐蔽性。计算机病毒一般是具有很高的编程技巧并且短小精悍的程序,很大部分的病毒代码往往只有几百K 甚至更小。为了达到隐藏自己的目的,病毒程序通常附在正常的应用程序中或磁盘较隐蔽的地方,一些则以隐藏文件的形式出现。通过各种手段的伪装,使得在没有经过特别分析的情况下很难将病毒程序与正常程序区别开来。正是由于隐蔽性,计算机病毒才得以在用户没有察觉的情况下扩散到上百万台计算机中。 3. 潜伏性。大部分的计算机病毒感染系统之后一般不会马上发作,它可以长期隐藏在系统中,只有在满足特定条件时才启动其破坏模块。如著名的“黑色星期五”病毒在每逢13 号的星期五发作。 4. 破坏性。病毒一般按其破坏性可分为良性病毒和恶性病毒。良性病毒只是计算机病毒家族中很小的一部分,它的危害较小,一般不会造成严重后果。该类病毒通常表现为占用一定的内存和磁盘空间,降低计算机系统的运行速度,干扰显示器屏幕的显示等。恶性病毒
计算机病毒行为特征的检测方法
2012.4 37 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学院 北京 100091 摘要:在研究计算机病毒之前,如果我们能先对被研究病毒的行为特征有足够的了解,那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征,然后通过实验的方法,利用虚拟机和软件分析技术,从动态和静态两个角度,以new orz.exe 病毒为例,来阐述和总结检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。据国内外各大反病毒公司统计,2008 年截获的各类新病毒样本数已经超过1000万,日均截获病毒样本数万。对于现如今计算机病毒变种的不断增加,反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下,分析出已知或未知的计算机病毒的全部行为特征。 1 计算机病毒行为特征 (1) 传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。 (2) 非授权性 病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH 病毒。 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。 (6) 不可预见性 从对病毒检测方面看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。病毒的触发条件越多,则传染性越强。
计算机病毒与防范基础知识考试题及答案【最新】
计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分,满分100分; 1.下面是关于计算机病毒的两种论断,经判断___; (1)计算机病毒也是一种程序,它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具 计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分,满分100分
1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化
4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运
病毒分子生物学鉴定常用技术
实验二十三病毒核酸检测常用技术 (Techniques of Detecting Nucleic Acid of Viruses in Common Use ) 近年来随着分子生物学的发展,基因检测技术在微生物学实验室诊断中也取得了长足的进展。由于部分病原微生物的基因组已成功地被克隆并进行了核苷酸序列测定,因此根据病原微生物的基因特点,应用分子生物学技术检测样品中有无相应病原微生物的核酸,从而可以特异、灵敏地判定标本中是否含有相应的病原微生物。在微生物学的研究及感染性疾病的诊断中,最常使用的微生物核酸检测技术有PCR、RT-PCR、核酸杂交等技术,现对病毒核酸(DNA、RNA)的分离、PCR、RT-PCR、核酸杂交等技术的基本原理、操作方法、应用及影响因素等进行概述。 实验 1 PCR 检测传染性喉气管炎病毒核酸 【目的要求】 通过本实验使学生初步了解和熟悉病毒核酸(DNA)的分离与PCR技术的基本原理、操作方法、影响因素和应用。 【基本原理】 鸡传染性喉气管炎(Infectious laryngotracheitis, ILT)是由疱疹病毒科、α-疱疹病毒亚科的喉气管炎病毒(Infectious laryngotracheitis Virus, ILTV)引起的一种急性上呼吸道传染病, 常表现呼吸困难、产蛋鸡产蛋下降和死亡, 是危害养鸡业发展的重要疫病之一。但在临诊上极易与其它一些呼吸道疾病相混淆, 如禽流感、新城疫、传染性支气管炎、支原体感染等。常规检测IL TV 的方法有病原分离鉴定和血清学试验, 这些方法虽经典,但费时且敏感性差, 不能检测亚临床感染, 而传染性喉气管炎潜伏感染是疾病的一种重要表现形式。聚合酶链式反应(Polymerase Chain Reaction,PCR)是目前比较快速、敏感、特异的检测手段,已被广泛应用在病毒核酸检测方面。本实验以PCR方法检测鸡传染性喉气管炎病毒核酸为例,对PCR方法进行介绍。 PCR是体外酶促合成特异DNA片段的一种方法,典型的PCR由(1)高温变性模板;(2)引物与模板退火;(3)引物沿模板延伸三步反应组成一个循环,通过多次循环反应,使目的DNA得以迅速扩增。其主要步骤是:将待扩增的模板DNA置高温下(通常为93~94℃)使其变性解成单链;人工合成的两个寡核苷酸引物在其合适的复性温度下分别与目的基因两侧的两条单链互补结合,两个引物在模板上结合的位置决定了扩增片段的长短;耐热的DNA聚合酶(Taq酶)在72℃将单核苷酸从引物的3’端开始掺入,以目的基因为模板从5’→3’方向延伸,合成DNA的新互补链。如此反复进行,每一次循环所产生的DNA 均能成为下一次循环的模板,每一次循环都使两条人工合成的引物间的DNA特异区拷贝数扩增一倍,PCR产物得以2n的批数形式迅速扩增,经过25~30个循环后,理论上可使基因扩增109倍以上,实际上一般可达106~107倍(图23-1)。
计算机病毒的防范的实验报告
计算机病毒的防范 随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、“爱虫”病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失。 当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。 计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。 计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。 计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时,由于其工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。 计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。 计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。 一.计算机病毒的技术预防措施 下面总结出一系列行之有效的措施供参考。 1、新购置的计算机硬软件系统的测试 新购置的计算机是有可能携带计算机病毒的。因此,在条件许可的情况下,要用检测计算机病毒软件检查已知计算机病毒,用人工检测方法检查未知计算机病毒,并经过证实没有计算机病毒感染和破坏迹象后再使用。
COM病毒实验
COM病毒实验 应用场景 计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。 无论是.com 文件还是.exe 文件,或是操作系统的可执行文件,当启动已感染文件型病毒的程序时,暂时中断该程序,病毒完成陷阱的布置、感染工作后,再继续执行host 程序,使计算机使用者初期觉得可正常执行,而实际上,在执行期间,病毒已暗做传染工作,时机成熟时,病毒发作。 .com 文件结构比较简单,是一种单段执行结构,起源于cpm-86 操作系统。.com 文件包含程序的一个绝对映像,其文件代码和运行时内存映像完全相同,起始执行偏移地址为100H,对应于文件的偏移0。为了能准确地处理指令和内存中的数据,ms-dos 通过直接把该映像从文件拷贝到内存而加载.com 程序,不作任何改变。为加载一个.com 程序,ms-dos 首先试图分配内存。因为.com 程序必须位于一个64KB 的段中,所以.com 文件的大小不能超过65024B(64KB 减去用于psp 的256B 和用于一个起始堆栈的至少256B)。 VM 实验目标:
计算机病毒检测技术的实现-计算机病毒论文-计算机论文
计算机病毒检测技术的实现-计算机病毒论文-计算机论文 ——文章均为WORD文档,下载后可直接编辑使用亦可打印—— 当前,在科技的引导下,电脑飞速进步,然而电脑在应用之时,电脑病毒也会随之滋生,这对电脑领域来讲一直是一个令人头疼的难题。为了保证电脑的有效以及安全运转,电脑反病毒技术应运而生,并且还在持续升级。然而反病毒技术依然没有完全解决电脑病毒,这是因为电脑已经极为常见,其病毒日渐变得多元化,且破坏力与日俱增。而为“对抗”病毒而生成的反病毒技术,是依照病毒的特征而创建的技术。当前,电脑病毒的袭击模式、传播模式是瞬息万变的。而面临繁杂的、多样性的病毒,应研究出电脑病毒检测技术。这是一项系统工程,不可能一蹴而就,需要电脑领域的专家同心协力方能完成。在信息时代,如何抑制电脑病毒,将会左右日后的电脑领域的发展。 1电脑病毒的大概情况 伴随科技的日新月异,电脑技术、互联网技术、信息技术以及软件技术也开始在各领域中“大展拳脚”;而电脑病毒也开始呈辐射状蔓延。电脑病毒就是对电脑程序形成威胁的编码。目前,电脑病毒的攻击模
式、传播路径以及传播速率等都较以往有了天翻地覆的变化。它的攻击模式与传播路径更为多元化,传播极其快速。而且,在功能、威胁等层面也呈现出多样性。电脑病毒的演变历程包含下面的内容。 1.1新特点 目前,电脑病毒凸显了其新特征,其有着繁复的变异种类以及快速传播的特征,而病毒的传播并不是客观的,在互联网系统以及E-mail 中都能够对电脑造成破坏。而且,病毒兼具了蠕虫的特点,也就是说,病毒可以通过互联网传播。与此同时,还可以拷贝,进而造成电脑的瘫痪。 1.2新功能 电脑病毒能够拷贝,并且还兼备一部分其它类的功用,与黑客攻击比较类似。当电脑系统被病毒控制后,将对袭击系统实施控制,而且电脑内的资料或消息往往不能再保存下去。这时,电脑还会遭遇远程控制。当前,肆虐的病毒主要是QQ木马病毒,这样的病毒只要袭击电脑系统,透过远程控制,将对用户的隐私权造成损害。 1.3新渠道
植物的病毒检测技术
植物的病毒检测技术 植物病毒病害是一类重要病害,几乎在各类作物上都有发生,严重影响农作物的产量和质量,用一般的方法难以防治,是生产上的一大难题。种植无病毒种子、苗木是一种非常有效的防治措施。因而如何对种子、苗木等无性繁殖材料以及在发病早期对植株进行快速准确地检测诊断就显得尤为重要。最初植物病毒检测主要依靠生物学性状,但生物学方法费时费力,检测周期长,而且易受环境条件的影响,反应不稳定、重复性差。目前植物病毒检测主要是血清学检测(以病毒外壳蛋白为基础)和核酸检测,前者主要包括ELISA、快速免疫滤纸测定、免疫胶体金技术、免疫毛细管区带电泳、免疫PCR 等;后者主要有PCR、分子信标、实时RT-PCR和核酸杂交等。 1 血清学检测方法 1.1 酶联免疫吸附测定(ELISA) 酶联免疫吸附测定是一种采用固相(主要为聚苯乙烯酶联板) 吸附,将免疫反应和酶的高效催化反应有机结合的方法,其基本原理是以酶催化的颜色反应指示抗原抗体的结合。该方法首先将同源特异抗体吸附在反应器皿底部,加入欲测试的含病毒的样品,病毒与抗体结合,病毒颗粒被固定,再加入标记的特异抗体和酶的底物,酶与底物反应后会出现有颜色的溶液其强度与病毒浓度成正比,用此方法可测定出病毒的浓度。ELISA方法简单,灵敏度高,特异性强,适于大量样品的检测,目前该方法已被广泛用于植物病毒检测。在此基础上加以改进又发展了一些新的检测方法,如A 蛋白酶联吸附(SPA-ELISA)、斑点免疫吸附(DIBA)、直接组织斑免疫测定( IDDTB) 、伏安酶联免疫分析[1]、快速ELISA 等。 1.2 快速免疫滤纸测定法(Rapid immuno-filter paper assay , RIPA) 快速免疫滤纸测定类似乳胶凝集反应,其原理是把待测病毒的抗体吸附在乳胶颗粒上,通过大颗粒乳胶间接反应小颗粒病毒的存在。所不同的是RIPA使用了一种红色乳胶,从而使检测更加简单和直观。RIPA[2]目测检测提纯TMV 的灵敏度分别可达 5ng/ml~50ng/ml 。 1.3 免疫胶体金技术( Immunogold2label as2say) 免疫胶体金技术最早起源于电镜方面的研究,由于金在生物学上是惰性的,且有良好的电荷分布,可以和蛋白质(如抗体、A 蛋白等)紧密结合,因此广泛应用于生物学和微生物学的各个领域。其原理是用柠蒙酸钠将氯金酸金离子还原为胶体金。胶体金颗粒在适当的条件下,以静电、非共价键方式吸附抗体IgG(或A蛋白)分子,从而形成稳定的IgG(或A蛋白) - 胶体金复合物。通过抗原抗体特异性结合,抗体(或A蛋白)胶体金复合物就可以结合在抗原上。金颗粒吸附在病毒粒体周围,从而得到明显的鉴别性和可见度[3] 。 随着技术的发展,1971年Taylor 等报道了免疫金染色技术( Immunogold staining) ,1981年Danscher又创建了免疫金- 银染色技术( Immunogold-silver staining) 。自1983年首次成功使用胶体金标记的抗体检测植物病毒以来,该技术逐渐被应用于植物病毒的检测。20 世纪80年代发展起来的斑点免疫金渗滤试验(Dot immunogold fitration assay) 是一种快速免疫胶体金诊断技术,该技术以硝酸纤维素膜为载体,利用微孔滤膜的渗滤浓缩和毛细管作用,使抗体抗原反应和洗涤在一特殊的渗滤装置中迅速完成,从而大大缩短了检测时间。在此基础上,又建立了更为简
浅谈计算机病毒的检测技术
浅谈计算机病毒的检测技术 摘要:在互联网高速发展的今天,计算机病传染性越来越强,危害性也越来越大。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。本文对其特点以及优缺点逐一进行了叙述。 关键词:计算机病毒检测技术 一、引言 Internet改变了人们的生活方式和工作方式,改变了全球的经济结构、社会结构。它越来越成为人类物质社会的最重要组成部分。但在互联网高速发展的同时,计算机病毒的危害性也越来越大。在与计算机病毒的对抗中,早发现、早处置可以把损失降为最少。因此,本文对计算机病毒的主要检测技术逐一进行了讨论。计算机病毒的检测方法主要有长度检测法、病毒签名检测法、特征代码检测法、检验和法、行为监测法、感染实验法、病毒智能检测法等。这些方法依据原理不同,检测范围不同,各有其优缺点。 二、计算机病毒的检测方法 (1)长度检测法 病毒最基本特征是感染性,感染后的最明显症状是引起宿主程序增长,一般增长几百字节。在现今的计算机中,文件长度莫名其妙地增长是病毒感染的常见症状。长度检测法,就是记录文件的长度,运行中定期监视文件长度,从文件长度的非法增长现象中发现病毒。知道不同病毒使文件增长长度的准确数字后,由染毒文件长度增加大致可断定该程序已受感染,从文件增长的字节数可以大致断定文件感染了何种病毒。但是长度检测法不能区别程序的正常变化和病毒攻击引起的变化,不能识别保持宿主程序长度不变的病毒。 (2)病毒签名检测法 病毒签名(病毒感染标记)是宿主程序己被感染的标记。不同病毒感染宿主程序时,在宿主程序的不同位置放入特殊的感染标记。这些标记是一些数字串或字符串。不同病毒的病毒签名内容不同、位置不同。经过剖析病毒样本,掌握了病毒签名的内容和位置之后,可以在可疑程序的特定位置搜索病毒签名。如果找到了病毒签名,那么可以断定可疑程序中有病毒,是何种病毒。这种方法称为病毒签名检测方法。但是该方法必须预先知道病毒签名的内容和位置,要把握各种病毒的签名,必须解剖病毒。剖析一个病毒样本要花费很多时间,是一笔很大的开销。 (3)特征代码检测法
2020年东华大学计算机病毒课实验六宏病毒实验报告.pdf
计算机病毒实验报告 姓名: 学号: 老师: 日期:
一. 实验目的 Word宏是指能组织到一起为独立命令使用的一系列Word指令,它能使日常工作变得容易。本实验演示了宏的编写,通过两个简单的宏病毒示例,说明宏的原理及其安全漏洞和缺陷,理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 二. 实验内容 1. macro virus中的内容 2. 信安实验平台--->计算机病毒篇 ---->计算机宏病毒 3. 结合杀毒软件如诺顿、卡巴斯基等,观察病毒查杀现象 三. 实验环境 1. macro virus 硬件设备:局域网,终端PC机。 系统软件:Windows系列操作系统 支撑软件:Word 2003 软件设置:关闭杀毒软;打开Word 2003,在工具→宏→安全性中,将安全级别设置为低,在可靠发行商选项卡中,选择信任任何所有安装的加载项和模板,选择信任visual basic项目的访问. 实验环境配置如下图所示:
受感染终端受感染 Word 文档 被感染终端 2.计算机宏病毒 硬件设备:部署 WIN2003 系统的PC 机一台 软件工具:Office word2007
四.实验步骤及截图 1.自我复制,感染word公用模板和当前文档 打开一个word文档,然后按Alt+F11调用宏编写窗口(工具宏Visual Basic宏编辑器),在左侧的project—>Microsoft Word 对象ThisDocument中输入以上代码,保存,此时当前word文档就含有宏病毒 只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。
计算机病毒原理及防范技术(精简版)
《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著 43.8万字 第1章计算机病毒概述 1.1.1计算机病毒的起源----第一种为科学幻想起源说,第二种为恶作剧,第三种为戏程序(70年代,贝尔实验室,Core War), 第四种为软件商保护软件起源说。 1.计算机病毒的发展历史-----第一代病毒,传统的病毒, 第二代病毒(1989-1991年),混合型病毒(或“超级病毒”),采取了自我保护措施(如加密技术,反跟踪技术);第三代病毒(1992-1995年)多态性病毒(自我变形病毒)首创者Mark Washburn-----“1260病毒”;最早的多态性的实战病毒----“黑夜复仇者”(Dark Avenger)的变种MutationDark Avenger ;1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集(Virus Construction Sets)----“计算机病毒创建库”(Virus Create Library), ”幽灵”病毒;第四代病毒(1996-至今),使用文件传输协议(FTP)进行传播的蠕虫病毒,破坏计算机硬件的CIH,远程控制工具“后门”(Bank Orifice),”网络公共汽车”(NetBus)等。 2.计算机病毒的基本特征----1.程序性(利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序),2、传染性,3、隐蔽性(兼容性、程序不可见性)4、潜伏性(“黑色星期五”,“上海一号”,CIH),5、破坏性,6、可触发性,7、不可预见性,8、针对性,9、非授权可执行性,10、衍生性。 1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介(QQ,MSN等即时通讯软件,可移动存储设备,网页,网络主动传播,网络,“钓鱼”),2.与黑客技术相融合(“Nimda”,CodeRed,”求职信”),3.采取了诸多的自我保护机制(逃避、甚至主动抑制杀毒软件),4.采用压缩技术(压缩变形----特征码改变,压缩算法,“程序捆绑器”),5.影响面广,后果严重,6.病毒编写越来越简单,7.摆脱平台依赖性的“恶意网页”。 1.2.3.计算机病毒的生命周期----1.孕育期(程序设计,传播),2.潜伏感染期,3.发病期,4.发现期,5.消化期,6.消亡期。 第2章计算机病毒的工作机制 2.1.1计算机病毒的典型组成三大模块-----1.引导模块(将病毒引入计算机内存,为传染模块和表现模块设置相应的启动条件),2.感染模块(两大功能-----1.依据引导模块设置的传染条件,做判断;2启动传染功能), 3.表现模块(两大功能----依据引导模块设置的触发条件,做判断;或者说表现条件判断子模块 2.1启动病毒,即表现功能实现子模块) 2.2.1计算机病毒的寄生方式-----1.替代法(寄生在磁盘引导扇区);2.链接法(链接在正常程序的首部、尾部、或中间)。 2.2.2.计算病毒的引导过程-----1。驻留内存,2.获得系统控制权, 3.恢复系统功能。 2.4.1.计算机病毒的触发机制----1.日期,2.时间, 3.键盘 4.感染触发, 5.启动, 6.访问磁盘次数, 7.调用中断功能触发, 8.CPU型号/主板型号触发。 第三章计算机病毒的表现 3.1.计算机病毒发作前的表现----1.经常无故死机,操作系统无法正常启动,运行速度异常, 4.内存不足的错误, 5.打印、通信及主机接口发生异常, 6.无意中要求对软盘进行写操作, 7.以前能正常运行的应用程序经常死机或者出现非法错误, 8.系统文件的时、日期和大小发生变化, 9.宏病毒的表现现象,10、磁盘空间迅速减少,11.网络驱动器卷或者共享目录无法调用,陌生人发来的电子邮件,13.自动链接到一些陌生的网站。
LAMP技术在病毒检测中的应用
LAMP技术在病毒检测中的应用 发表时间:2013-01-31T16:04:31.107Z 来源:《医药前沿》2012年第31期供稿作者:吴昊1 孙立新2 叶松1 陆军1 杨庆贵2 [导读] LAMP(Loop-mediated Isothermal Amplification)环介导等温扩增技术,是近年来新兴的分子生物学检测技术 吴昊1 孙立新2 叶松1 陆军1 杨庆贵2 (1安徽理工大学医学院病原生物教研室安徽淮南 232001) (2江苏出入境检验检疫局医学媒介生物监测实验室江苏南京 210001) 【摘要】LAMP(Loop-mediated Isothermal Amplification)环介导等温扩增技术,是近年来新兴的分子生物学检测技术。因其特异性强、等温扩增,反应灵敏、操作简单、产物易检测,此项技术已被用于多种病原微生物的检测。本文综述了LAMP技术的原理以及其在几种常见病毒检测项目中的应用。 【关键词】 LAMP 技术原理病毒检测 【中图分类号】R319 【文献标识码】A 【文章编号】2095-1752(2012)31-0064-02 病原微生物带来的卫生问题时常出现,各种检测手段也不断更新。但由于非特异性扩增、反应操作程序复杂、及仪器昂贵等问题,很多方法在疾病爆发时筛查现场和监测站点的应用受到限制。 LAMP技术是由日本学者Notomi等[1]在2000年开发的一种新型快速的扩增技术,它能在一定温度范围内,通过一个步骤在短时间内对目的片段进行大量有效扩增。其具有高特异性、高效性、快速、低成本、易检测、结果易观察等特点,被广泛用于各种病原体检测和研究中并取得了一定的成就。 1 LAMP技术原理 1.1 扩增机制 LAMP技术利用能够特异性识别靶序列上的6个独立区域的两对内、外引物,及具有链置换活性的BstDNA聚合酶启动循环链置换反应来进行靶序列的扩增[1]。反应中,先由外部引物将内部引物扩增所需要的模板扩增出来,然后由内部引物对靶基因片段进行引导合成。由于内部引物所扩增出的片段含有与该引物5’端DNA片段的反相互补序列,因此这些反相互补序列之间形成茎-环结构,同时,另外一条内部引物与也可形成茎-环结构,片段的两端形成哑铃状结构,如此循环往复的过程最后形成花椰菜形状的茎-环结构,可在15min-60min之内实现109-1010倍的括增[2]。 1.2 结果观察 扩增后可以通过琼脂糖电泳后染色进行观察,更可通过扩增衍生物焦磷酸镁进行观察:阳性的样本会出现白色浑浊沉淀,而阴性则无此现象。同时也可以应用SYBR Green I染色,呈现绿色的为阳性,橙色的为阴性[2]。 2 病毒检测 2.1 日本脑炎病毒 日本脑炎又称乙脑,是由日本脑炎病毒(Japanese encephalitis virus)引起的一种常见的蚊媒传染病。JEV的检测方式很多,如血清学,病毒分离等,但耗时繁琐、敏感性特异性都较低。TORINIWA等[3]利用LAMP技术原理建立了快速Real-time RT-LAMP方法,该方法通过扩增JEV病毒的包膜(E)蛋白基因来定量检测JEV病毒,可将检测用时缩短至1h,检测下限为1PFU并与常规RT-PCR具有相似的敏感性。且不需特殊设备、操作方便,有利于推广其在基层的应用。 2.2 西尼罗河病毒 西尼罗河病毒(West Nile Virus,WNV)是引起西尼罗河热的病原体,近年来在世界部分地区的流行并造成了重大的损失。PARIDA 等[4]创立了一种一步法来检测WNV,通过凝胶电泳或者浊度仪来对扩增结果进行判定。结果显示其敏感性比常规RT-PCR高10倍。 2.3 甲型流感病毒 甲型流感病毒(AIV)具有高度传染性,致病性,以及致死率。对甲流病毒的检测方法主要为病毒分离,抗原和抗体检测以及PCR方法,但是过程费时繁琐。POON等[5]设计了特异性引物,利用LAMP技术成功的检测了H1-H3型的AIV,与PCR方法比较阳性符合率为100%,敏感度可达传统方法的100倍。LAMP技术由于其检测的简便快速且高度敏感,可更多的用于现场检测。 2.4 禽流感病毒的检测 禽流感是由禽类A型流感病毒引起的一种急性、高接触性的传染病,可带来重大损失。禽流感检测方法有各类血清学试验以及免疫学实验等。这些方法都存在着如试验周期较长,操作繁琐,检测材料受限制等不足。国内李启明等[8]对H5N1亚型禽流感病毒进行了RT-LAMP检测,验证和分析后证明其特异性与常规方法一致,并且其灵敏度可达到10个拷贝。侯佳蕾等[6]根据H5亚型禽流感病毒血凝素基因序列设计了引物,并建立了一种针对性的检测诊断方法。结果表明,该方法的灵敏度高于一步RT-PCR法。 2.5 口蹄疫病毒的检测 口蹄疫是由口蹄疫病毒(FMDV)引起的一种急性,热性,高度接触性传染病,主要侵害偶蹄兽并给经济带来极大威胁。血清学检测不足以确定整群动物是否带毒而PCR方法由于需要专门的仪器。吴绍强等[7]以灭活的亚洲I型口蹄疫细胞培养病毒为材料,设计引物并建立了口蹄疫病毒RT-LAMP检测法,为口蹄疫现场快速检测提供了有效的方法。 2.6 丙型肝炎病毒(HCV)的检测 HCV是一种常见的病毒,传播途径为母婴传播和血液传播。目前最常用的方法是ELLSA法检测抗原抗体或PCR法。但是由病毒的抗原量极少,所以常规免疫学方法常无法检测出病毒。PCR方法操作复杂繁琐,特异性较低。李启明等[8]利用LAMP技术的原理,利用特殊引物进行了LAMP扩增,成功的检测HCV基因,实验结果阳性符合率高达98%。这一成果证实了LAMP技术的优势。 2.7 严重急性呼吸窘迫综合征冠状病毒(SARS-CoV)的检测 SARS带来的阴影提醒人们对此类病毒检测的重要性。目前临床上对其检测的方法主要有2种。一是检测SARS-CoV抗体,虽然此法灵敏度较高,但在发病初期不能检出。二是Real-time PCR,这种方法可在发病早期检测出SARS-CoV,但是其需要熟练操作技术以及高成本仪器,不适于常规筛查。POON等[9]利用改良LAMP法对人群的鼻咽分泌物样本进行了检测。结果显示SARS病人中的SARS-CoV检出率为
计算机病毒实验
计算机病毒实验报告
一、实验目的 (1)掌握常见几种病毒的基本原理 (2)掌握清除病毒的方法 (3)学会使用几种常见病毒进行基本编程的技术 二、实验内容 分别用PE病毒,欢乐时光脚本病毒,梅丽莎宏病毒,台湾宏病毒,万花谷脚本病毒,网络炸弹脚本病毒进行感染和病毒清除实验。 三、实验环境 信息安全综合实验系统 操作系统:WINDOWS2000 JDK版本:Java Standard Edition 1.4.0以上 数据库:Mysql 开发语言:JSP Web服务器:Tomacat Office版本:MS office2000/2003 四、实验结果 1、网络炸弹 (1)实验原理 网页恶意代码确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,使非常多的用户遭受损失。 “网络炸弹”是一种网页恶意代码,可以无限次得弹出固定窗口来达到侵占客户机系统资源,最终导致客户端死机的结果。 (2)结果演示 1、修改IE的安全级别
2、修改注册表的安全设置 图2 修改IE安全设置
3、网络炸弹感染 图3 网络炸弹感染4、网络炸弹源码 图4 网络炸弹源码
2、万花谷脚本病毒 (1)实验原理 JS.On888 脚本病毒(俗称“万花谷”病毒)实际上是一个含有恶意脚本代码的网页文件,其脚本代码具有恶意破坏能力,但并不含有传播性。实验病毒为模仿它所写成的类“万花谷”病毒,减轻了病毒危害。 (2)结果演示 1、修改IE的安全级别 2、万花谷病毒感染 图5 万花谷病毒感染-1