搜索高级搜索

计算机病毒解析与防范技术研究(四)

本文ID:TXW821157

全文字数：

容易感染 - 脆弱 - 易受攻击 - 也就是SIS模型。网络里面的个体主要包括两类形态，其中之一为感染状态（I），另一种则为易感状态（S）。如果病毒攻击节点并对其感染，这些节点将变成受感染之后的节点。一旦这些节点恢复正常，有可能因此成为很容易受到感染的节点。这次由于这些节点在恢复之后可能已经被新病毒感染，因此病毒能够在通信组里面不停长时间不停传播。具体的传播模型可见图2.1。

图2.1 SIS病毒传播模型

SIS模型可用微分方程描述如下：

（2.1）

其中的表示病毒的感染率，然后该增加表明易感者每单位时间转换为感染者，代表病毒综合治愈率，指的是单位时间里面对被感染者治愈的总数。N代表网络里面所有的节点数量，则代表病刚刚传播时主机被感染的数量。不过SIS模型并未将容易受到感染节点利用反病毒手段进行免疫的相关情况考虑在内。

2.3.2 SIR模型

SIR模型为简称，其全称则为Susceptible-Infected-Removed模型。在网络里面节点主要包括下面这些状态：（1）易感状态（S），处于该状态的节点目前并没有被病毒感染，当然后续有很大几率被感染; （2）处于该状态的节点（I）已经被病毒感染，而且其他节点也有被感染的几率。（3）免疫状态（R），这类节点对病毒具备一定的抵抗性，因此感染同种类型病毒的几率基本不存在。事实上此类状态下的主机基本上已摆脱病毒传播途径，因此在有的论文里面这种状态也被叫做除去状态。

图2.2 SIR病毒传播模型

该模型的状态方程如下：

（2.2）

这里为感染率，为病毒清除率，N为网络中总的节点数。

SIS以及SIR模型的基础都为生物模型。不过与生物病毒相比，计算机病毒都有自身的独特性质，使用计算机病毒的模型存在许多不一致之处。例如，SIS模型和SIR模型认为封闭组中人员的状态转换过程仅与常数相关，并未考虑外部因素对病毒传播的影响，例如：因此，除了这两种生物模型之外，还提出了几种改进的模型。

2.3.3SEIR模型

SEIR模型为简称，其全称则为Susceptible-Exposed-Infected-Removed模型。这种模型对运作基础为SIR模型，不过相对来说增加了全新的潜伏状态，主要对拥有病毒代码但是还没有表现出病毒特性的个体进行描述。其他状态基本上类似于SIR。病毒在传播过程中感染会出现延迟，换句话说，当个体接收到病毒传播的恶意代码之后不会马上被感染，此时病都会在主机里面进行潜伏，等待时机被彻底激活。这候的感染个体可能不会呈现出被感染迹象，在该模型看来，感染节点恢复之后可能具备免疫能力，当然也有一定几率变成容易受到感染的节点。

图2.3 SEIR病毒传播模型

SEIR模型事实上属于SIR以及SIS两大模型的组合体，这种模型可以借助对结节感染杀灭病毒而得到一定的免疫力，同时还能够通过结节对其他病毒进行再次感染，在此基础上就会变成再次感染的节点。在下文中所有病毒都被视为一组。SIR模型相比，SEIR模型相比来说占据更大优势，主要在于这种模型对病毒复制环节进行严密核查。通过上面状态进行转换之后的SEIR模型具体如下：

（2.3）

2.4案例分析

2.4.1感染式蠕虫

例如，删除受感染的蠕虫：

受感染的示例在主机末尾添加相应模块对病毒代码进行保存，同时对病毒代码开启的位置进行修改。

行为分析：

本地行为：对本地执行文件进行感染，并非系统里面受到感染之后的文件

需要注意的是，％System32％属于一种可变的路径，病毒主要借助系统查询对System文件夹的具体位置进行确认。就Windows 2000 / NT而言，该系统里面对应的安装路径默认位置为C：\ Winnt \ System32。 windows95 / 98 / me中的默认安装路径是C：\ Windows \ System。 win 7中的默认安装路径是C：\ Windows \ System32。

％Temp％= C：\ Documents and Settings \ AAAAA \ Local Settings \ Temp代表目前用户TEMP对应的缓存变量

％Windir％\ WINDODWS运行目录

％DriveLetter％\ logical drive root directory

％ProgramFiles％\ system程序默认安装目录

％HomeDrive％= C：\目前系统操作对应的分区

％Documents and Settings％\ current user documentation根目录

清算计划：

在最后一行（.ani）对应的偏移量0x04h里面，将主机最初进入点EntryOfPoint进行删除

将文件里面最后内容（.ani）进行删除

将文件里面最后内容节表（.ani）进行删除

针对SizeOfImage进行修复

校正部分的数量=原始部分的数量-1

2.4.2勒索病毒

2018年8月，全世界不少区域都遭受到GlobeImposter勒索软件的大范围攻击，攻击的过程中主要对象为远程桌面服务器。在打破边防后进行定性分析后，黑客工具被用来渗透内部网络。密码工具相对管理员密码进行检索，以筛选出质量较高的服务器，通过手动的模式对勒索软件进行开启，其中机密性文件全部加密。病毒在感染过程中相关功能除了加密文件对应的扩展名RESERVE，还包括经过加密之后的Windows文件。

因为勒索软件带来的损害，用户可以通过离线方式对感染之后的服务器进行隔离，并寻求专业的技术支持，以执行协议和样本分析。如果服务器没有受到感染，一定要对防火墙3389进行彻底关闭，这样才可以得到特定的IP地址。同时，打开Windows防火墙并尝试关闭未使用的高风险端口（例如3389,445,139和135）。每个服务器终端都不使用弱密码来防止勒索软件病毒感染，从而导致更大的损失。

研究人员发现了一种新的Ransomware Dharma变体，它将扩展名.id-id.email.cmb添加到加密文件中。攻击者首先借助3389端口利用远程协议潜入至计算机内部，然后通过强制性手段获取登录密码，得到操作权限之后攻击者将在电脑上装配勒索软件，随后对计算机展开加密处理，并尝试加密网络。

与原始勒索软件相比，此变体在加密文件过程中将会增添扩展名—.id-id.email.cmb。对文件加密的时候，将在感染之后的计算机里面设置不一样的备注：

首先为用户登录之后系统自动运作的Info.hta文件; 其次为计算机桌面上安装的FILES ENCRYPTED.txt文件。其中的赎金票据主要说明了付款相关事项，在此基础上该变体对映射的以及未映射的驱动器以及网络共享展开加密处理，用户将失去计算机访问权限。而且在用户登录系统的时候该变体将创建自动启动程序，加密者有权限对用户在桌面创设的新文件进行加密，当前针对这类变体还不存在彻底的解决对策。

针对勒索病毒带来的损害，用户可以在计算机上面及时安装杀毒软件，定期对病毒库进行更新。然后对计算机里面的关键数据进行备份，切记随意将陌生的电邮以及附件打开，避免受到勒索软件的感染计算机造成巨大损害。

3 计算机病毒防范技术

首页上一页 1 2 3 4 5 6 下一页尾页 4/6/6

相关论文

本论文在计算机毕业论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看

最新论文

热门论文

上一篇：计算机网络安全大事件分析及防范

下一篇：数据库连接池技术的研究与实现

Tags：计算机病毒解析防范技术研究

【收藏】【返回顶部】

人力资源论文	金融论文
会计论文	财务论文
法律论文	物流论文
工商管理论文	其他论文
保险学免费论文	财政学免费论文
工程管理免费论文	经济学免费论文
市场营销免费论文	投资学免费论文
信息管理免费论文	行政管理免费论文
财务会计论文格式	数学教育论文格式
数学与应用数学论文	物流论文格式范文
财务管理论文格式	营销论文格式范文
人力资源论文格式	电子商务毕业论文
法律专业毕业论文	工商管理毕业论文
汉语言文学论文	计算机毕业论文
教育管理毕业论文	现代教育技术论文
小学教育毕业论文	心理学毕业论文
学前教育毕业论文	中文系文学论文

精彩推荐

论文格式网为您提供计算机毕业论文范文下载,只需要10元每份点击计算机论文进入查看