摘要随着计算机技术的发展和互联网的扩大。

计算机已成为人们生活和工作中所依赖的重要工具。

但与此同时，计算机病毒对计算机及网络的攻击与日俱增。

而且破坏性日益严重。

计算机病毒就像人类的病毒一样，目的是感染尽可能多的计算机。

计算机一旦感染病毒，它就会发病。

轻则冲击内存，影响运行速度，重则破坏硬盘数据、摧毁系统．甚至计算机硬件。

本文全面分析“震荡波”病毒给用户带来的不便以及此病毒的症状，并提供防范方法和清除手段。

关键词：震荡波；Lsass蠕虫病毒；网络安全；网络攻击。

目录摘要 (1)目录 (11)第一章绪论 (3)1.1开发历史......................................................................................... 错误!未定义书签。

1.2病毒的简介 (2)1.2.1宏病毒 (2)1.2.2 CIH病毒 (3)1.2.3蠕虫病毒 (3)1.2.4木马病毒 (3)第二章蠕虫的基础知识 (3)2.1 基础知识深悉 (4)2.2蠕虫的工作原理 (5)第三章震荡波的工作原理及用法 (6)3.1震荡波简介 (6)3.2震荡波的原理 (6)3.3震荡波的传播途径及危害 (8)3.3.1震荡波的传播途径 (8)3.3.2震荡波的三大危害 (8)3.4震荡波与冲击波的对比 (9)3.4.1背景介绍............................................................................... 错误!未定义书签。

3.4.2两大恶性病毒的四大区别10错误!未定义书签。

第四章震荡波的防御 (11)4.1快速识别震荡波病毒 (11)4.2清除震荡波病毒 (11)4.3震荡波病毒的预防 (12)第五章结束语 (13)5.1 论文心得 (13)5.2感谢 (13)第一章绪论1.1开发历史自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。

计算机病毒的危害及造成的损失是众所周知的，发明计算机病毒的人同样也受到社会和公众舆论的谴责。

也许有人会问：“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚，但是有一点可以肯定，即计算机病毒的发源地是科学最发达的美国。

虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因，但也没有能够对此作出最后的定论，只能推测电脑病毒缘于以下几种原因：一、科幻小说的启发；二、恶作剧的产物；三、电脑游戏的产物；四、软件产权保护的结果。

IT行业普遍认为，从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒，计算机病毒主要经历了五个重要的发展阶段。

·第一阶段为原始病毒阶段。

产生年限一般认为在1986-1989年之间，由于当时计算机的应用软件少，而且大多是单机运行，因此病毒没有大量流行，种类也很有限，病毒的清除工作相对来说较容易。

主要特点是：攻击目标较单一；主要通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染；病毒程序不具有自我保护的措施，容易被人们分析和解剖。

·第二阶段为混合型病毒阶段。

其产生的年限在1989－1991年之间，是计算机病毒由简单发展到复杂的阶段。

计算机局域网开始应用与普及，给计算机病毒带来了第一次流行高峰。

这一阶段病毒的主要特点为：攻击目标趋于混合；采取更为隐蔽的方法驻留内存和传染目标；病毒传染目标后没有明显的特征；病毒程序往往采取了自我保护措施；出现许多病毒的变种等。

·第三阶段为多态性病毒阶段。

此类病毒的主要特点是，在每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的。

因此防病毒软件查杀非常困难。

如1994年在国内出现的“幽灵”病毒就属于这种类型。

这一阶段病毒技术开始向多维化方向发展。

·第四阶段为网络病毒阶段。

从上世纪90年代中后期开始，随着国际互联网的发展壮大，依赖互联网络传播的邮件病毒和宏病毒等大量涌现，病毒传播快、隐蔽性强、破坏性大。

也就是从这一阶段开始，反病毒产业开始萌芽并逐步形成一个规模宏大的新兴产业。

·第五阶段为主动攻击型病毒。

典型代表为2003年出现的“冲击波”病毒和2004年流行的“震荡波”病毒。

这些病毒利用操作系统的漏洞进行进攻型的扩散，并不需要任何媒介或操作，用户只要接入互联网络就有可能被感染。

正因为如此，该病毒的危害性更大。

·第六阶段为“手机病毒”阶段。

随着移动通讯网络的发展以及移动终端－－手机功能的不断强大，计算机病毒开始从传统的互联网络走进移动通讯网络世界。

与互联网用户相比，手机用户覆盖面更广、数量更多，因而高性能的手机病毒一旦爆发，其危害和影响比“冲击波”“震荡波”等互联网病毒还要大。

1.2病毒的简介从一九八三年计算机病毒首次被确认以来，并没有引起人们的重视。

直到一九八七年计算机病毒才开使受到世界范围内的普遍重视。

我国于一九八九年在计算机界发现病毒。

至今，全世界已发现近数万种病毒，并且还在高速度的增加。

由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。

而且，病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展。

同时，病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。

病毒的花样不断翻新，编程手段越来越高，防不胜防。

特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫病毒传播更快更广，Windows病毒更加复杂，带有黑客性质的病毒和特络依木马等有害代码大量涌现。

1.2.1宏病毒由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场，加上Windows和Office提供了宏病毒编制和运行所必需的库(以 VB库为主)支持和传播机会，所以宏病毒是最容易编制和流传的病毒之一，很有代表性。

宏病毒发作方式: 在Word打开病毒文档时，宏会接管计算机，然后将自己感染到其他文档，或直接删除文件等等。

Word将宏和其他样式储存在模板中，因此病毒总是把文档转换成模板再储存它们的宏。

这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。

判断是否被感染: 宏病毒一般在发作的时候没有特别的迹象，通常是会伪装成其他的对话框让你确认。

在感染了宏病毒的机器上，会出现不能打印文件、Office文档无法保存或另存为等情况。

宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。

防范措施:平时最好不要几个人共用一个Office程序，要加载实时的病毒防护功能。

病毒的变种可以附带在邮件的附件里，在用户打开邮件或预览邮件的时候执行，应该留意。

一般的杀毒软件都可以清除宏病毒。

1.2.2 CIH病毒CIH是本世纪最著名和最有破坏力的病毒之一，它是第一个能破坏硬件的病毒。

发作破坏方式:主要是通过篡改主板BIOS里的数据，造成电脑开机就黑屏，从而让用户无法进行任何数据抢救和杀毒的操作。

CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播，并且常常删除硬盘上的文件及破坏硬盘的分区表。

所以CIH 发作以后，即使换了主板或其他电脑引导系统，如果没有正确的分区表备份，染毒的硬盘上特别是其C分区的数据挽回的机会很少。

防范措施:已经有很多CIH免疫程序诞生了，包括病毒制作者本人写的免疫程序。

一般运行了免疫程序就可以不怕CIH了。

如果已经中毒，但尚未发作，记得先备份硬盘分区表和引导区数据再进行查杀，以免杀毒失败造成硬盘无法自举。

1.2.3蠕虫病毒蠕虫病毒以尽量多复制自身(像虫子一样大量繁殖)而得名，多感染电脑和占用系统、网络资源，造成PC和服务器负荷过重而死机，并以使系统内数据混乱为主要的破坏方式。

它不一定马上删除你的数据让你发现，比如著名的爱虫病毒和尼姆达病毒。

1.2.4木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出;捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

第二章蠕虫的基本知识蠕虫病毒是一种常见的计算机病毒。

它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中（通常是经过网络连接）。

2.1 基础知识深悉蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。

请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。

主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。

比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

蠕虫病毒2.2 蠕虫的工作原理蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。

虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源蠕虫也是一种病毒，因此具有病毒的共同特征。

一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，Windows下可执行文件的格式为PE格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新段，将病毒代码写到新段中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。