计算机病毒的

更新时间:2024-02-12 作者:用户投稿原创标记本站原创 点赞:2795 浏览:9783

[摘 要]随着计算机在社会生活各个领域的广泛运用,以及电脑的普及和网络的迅猛发展,计算机病毒呈现愈演愈烈的趋势,严重地干扰了正常的人类社会生活,给计算机系统带来了巨大的潜在威胁和破坏.目前,病毒已成为困扰计算机系统安全和计算机应用的重大问题.为了确保信息的安全与畅通,从计算机病毒的概念入手,分析计算机病毒的内涵及类型,并对计算机病毒来源进行分析,最后介绍计算机病毒的主要防护措施.

[关 键 词]计算机病毒防范

一、引言

随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注.随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、“爱虫”病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失.

计算机病毒防范制度是防范体系中每个主体都必须的行为规程,没有制度,防范体系就不可能很好地运作,就不可能达到预期的效果.必须依照防范体系对防范制度的要求,结合实际情况,建立符合自身特点防范制度.

二、计算机病毒的表现现象

计算机病毒是客观存在的,客观存在的事物总有它的特性,计算机病毒也不例外.从实质上说,计算机病毒是一段程序代码,虽然它可能隐藏得很好,但也会留下许多痕迹.通过对这些蛛丝马迹的判别,我们就能发现计算机病毒的存在了.

根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:计算机病毒发作前、发作时和发作后的表现现象.

1.计算机病毒发作前的表现现象

计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段.在这个阶段,计算机病毒的行为主要是以潜伏、传播为主.计算机病毒会以各式各样的手法来隐藏自己,在不被发现同时,又自我复制,以各种手段进行传播.

以下是一些计算机病毒发作前常见的表现现象:

(1)平时运行正常的计算机突然经常性无缘无故地死机

病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生.

(2)操作系统无法正常启动

关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动.这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导.

(3)运行速度明显变慢

在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢,而且重启后依然很慢.这很可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢.

(4)以前能正常运行的软件经常发生内存不足的错误

(5)打印和通讯发生异常

(6)无意中要求对软盘进行写操作

(7)以前能正常运行的应用程序经常发生死机或者非法错误

(8)系统文件的时间、日期、大小发生变化

(9)运行Word,打开Word文档后,该文件另存时只能以模板方式保存

(10)磁盘空间迅速减少

(12)基本内存发生变化

(13)陌生人发来的电子函件

(14)自动链接到一些陌生的网站

一般的系统故障是有别与计算机病毒感染的.系统故障大多只符合上面的一点或二点现象,而计算机病毒感染所出现的现象会多的多.根据上述几点,就可以初步判断计算机和网络是否感染上了计算机病毒.

2.计算机病毒发作时的表现现象

计算机病毒发作时是指满足计算机病毒发作的条件,计算机病毒程序开始破坏行为的阶段.计算机病毒发作时的表现大都各不相同,可以说一百个计算机病毒发作有一百种花样.这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系.

以下列举了一些计算机病毒发作时常见的表现现象:

(1)提示一些不相干的话

最常见的是提示一些不相干的话,比如打开感染了宏病毒的Word文档,如果满足了发作条件的话,它就会弹出对话框显示“这个世界太黑暗了!”,并且要求你输入“太正确了”后按确定按钮.

(2)发出一段的音乐

恶作剧式的计算机病毒,最著名的是外国的“杨基”计算机病毒(Yangkee)和中国的“浏阳河”计算机病毒.“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,而“浏阳河”计算机病毒更绝,当系统时钟为9月9日时演奏歌曲《浏阳河》,而当系统时钟为12月26日时则演奏《东方红》的旋律.这类计算机病毒大多属于“良性”计算机病毒,只是在发作时发出音乐和占用处理器资源.

(3)产生特定的图象

另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落下来小球图形.单纯地产生图像的计算机病毒大多也是“良性”计算机病毒,只是在发作时破坏用户的显示界面,干扰用户的正常工作.

(4)硬盘灯不断闪烁

硬盘灯闪烁说明有硬盘读写操作.当对硬盘有持续大量的操作时,硬盘的灯就会不断闪烁,比如格式化或者写入很大很大的文件.有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁.有的计算机病毒会在发作的时候对硬盘进行格式化,或者写入许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失.具有这类发作现象的计算机病毒大多是“恶性”计算机病毒.

(5)进行游戏算法

有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作,一定要玩赢了才让用户继续他的工作.比如曾经流行一时的“台湾一号”宏病毒,在系统日期为13日时发作,弹出对话框,要求用户做算术题.这类计算机病毒一般是属于“良性”计算机病毒,但也有那种用户输了后进行破坏的“恶性”计算机病毒.

(6)Windows桌面图标发生变化

这一般也是恶作剧式的计算机病毒发作时的表现现象.把Windows缺省的图标改成其他样式的图标,或者将其他应用程序、快捷方式的图标改成Windows缺省图标样式,起到迷惑用户的作用.

3.计算机病毒发作后的表面现象

通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,那种只是恶作剧式的“良性”计算机病毒只是计算机病毒家族中的很小一部分.大多数计算机病毒都是属于“恶性”计算机病毒.“恶性”计算机病毒发作后往往会带来很大的损失,以下列举了一些恶性计算机病毒发作后所造成的后果:

(1)硬盘无法启动,数据丢失


计算机病毒破坏了硬盘的引导扇区后,就无法从硬盘启动计算机系统了.有些计算机病毒修改了硬盘的关键内容(如文件分配表,根目录区等),使得原先保存在硬盘上的数据几乎完全丢失.

(2)系统文件丢失或被破坏

通常系统文件是不会被删除或修改的,除非对计算机操作系统进行了升级.但是某些计算机病毒发作时删除了系统文件,或者破坏了系统文件,使得以后无法法正常启动计算机系统.省略,Emm386.省略,Kernel.exe,User.exe等等.

(3)文件目录发生混乱

目录发生混乱有两种情况.一种就是确实将目录结构破坏,将目录扇区作为普通扇区,填写一些无意义的数据,再也无法恢复.另一种情况将真正的目录区转移到硬盘的其他扇区中,只要内存中存在有该计算机病毒,它能够将正确的目录扇区读出,并在应用程序需要访问该目录的时候提供正确的目录项,使得从表面上看来与正常情况没有两样.但是一旦内存中没有该计算机病毒,那么通常的目录访问方式将无法访问到原先的目录扇区.这种破坏还是能够被恢复的.

(4)部分文档丢失或被破坏

类似系统文件的丢失或被破坏,有些计算机病毒在发作时会删除或破坏硬盘上的文档,造成数据丢失.

(5)部分文档自动加

还有些计算机病毒利用加密算法,将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方,而被感染的文件被加密,如果内存中驻留有这种计算机病毒,那么在系统访问被感染的文件时它自动将文档解密,使得用户察觉不到.一旦这种计算机病毒被清除,那么被加密的文档就很难被恢复了.

(6)修改Autoexec.bat文件,增加FormatC:一项,导致计算机重新启动时格式化硬盘

在计算机系统稳定工作后,一般很少会有用户去注意Autoexec.bat文件的变化,但是这个文件在每次系统重新启动的时候都会被自动运行,计算机病毒修改这个文件从而达到破坏系统的目的.

三、计算机病毒的技术防范

对于计算机病毒毫无警惕意识的人员,可能当显示屏上出现了计算机病毒信息,也不会去仔细观察一下,麻痹大意,任其在磁盘中进行破坏.其实,只要稍有警惕,根据计算机病毒在传染时和传染后留下的蛛丝马迹,再运用计算机病毒检测软件和DEBUG程序进行人工检测,是完全可以在计算机病毒进行传播的过程中就能发现它.从技术上采取实施,防范计算机病毒,执行起来并不困难,困难的是持之以恒,坚持不懈.

1.计算机病毒的技术预防措施

下面总结出一系列行之有效的措施供参考.

(1)新购置的计算机硬软件系统的测试

新购置的计算机是有可能携带计算机病毒的.因此,在条件许可的情况下,要用检测计算机病毒软件检查已知计算机病毒,用人工检测方法检查未知计算机病毒,并经过证实没有计算机病毒感染和破坏迹象后再使用..

(2)计算机系统的启动

在保证硬盘无计算机病毒的情况下,尽量使用硬盘引导系统.启动前,一般应将软盘从软盘驱动器中取出.这是因为即使在不通过软盘启动的情况下,只要软盘在启动时被读过,计算机病毒仍然会进入内存进行传染.很多计算机中,可以通过设置CMOS参数,使启动时直接从硬盘引导启动,而根本不去读软盘.这样即使软盘驱动器中插着软盘,启动时也会跳过软驱,尝试由硬盘进行引导.很多人认为,软盘上如果没有COMMAND.COM等系统启动文件,就不会带计算机病毒,其实引导型计算机病毒根本不需要这些系统文件就能进行传染.

(3)单台计算机系统的安全使用

在自己的机器上用别人的软盘前应进行检查.在别人的计算机上使用过自己的已打开了写保护的软盘,再在自己的计算机上使用前,也应进行计算机病毒检测.对重点保护的计算机系统应做到专机、专盘、专人、专用,封闭的使用环境中是不会自然产生计算机病毒的.

(4)重要数据文件要有备份

硬盘分区表、引导扇区等的关键数据应作备份工作,并妥善保管.在进行系统维护和修复工作时可作为参考.

重要数据文件定期进行备份工作.不要等到由于计算机病毒破坏、计算机硬件或软件出现故障,使用户数据受到损伤时再去急救.

(5)不要随便直接运行或直接打开电子函件中夹带的附件文件,不要随意下载软件,尤其是一些可执行文件和Office文档.即使下载了,也要先用最新的防杀计算机病毒软件来检查.

(6)计算机网络的安全使用

以上这些措施不仅可以应用在单机上,也可以应用在作为网络工作站的计算机上.而对于网络计算机系统,还应采取下列针对网络的防杀计算机病毒措施:

①安装网络怎么写作器时应,应保证没有计算机病毒存在,即安装环境和网络操作系统本身没有感染计算机病毒.

②在安装网络怎么写作器时,应将文件系统划分成多个文件卷系统,至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷.这种划分十分有利于维护网络怎么写作器的安全稳定运行和用户数据的安全.

如果系统卷受到某种损伤,导致怎么写作器瘫痪,那么通过重装系统卷,恢复网络操作系统,就可以使怎么写作器又马上投入运行.而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤.如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时,系统卷是不受影响的,不会导致网络系统运行失常.并且这种划分十分有利于系统管理员设置网络安全存取权限,保证网络系统不受计算机病毒感染和破坏.

③一定要用硬盘启动网络怎么写作器,否则在受到引导型计算机病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到整个网络的中枢.

④为各个卷分配不同的用户权限.将操作系统卷设置成对一般用户为只读权限,屏蔽其他网络用户对系统卷除读和执行以外的所有其他操作,如修改、改名、删除、创建文件和写文件等操作权限.应用程序卷也应设置成对一般用户是只读权限的,不经授权、不经计算机病毒检测,就不允许在共享的应用程序卷中安装程序.保证除系统管理员外,其他网络用户不可能将计算机病毒感染到系统中,使网络用户总有一个安全的联网工作环境.

⑤在网络怎么写作器上必须安装真正有效的防杀计算机病毒软件,并经常进行升级.必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品,从网络出入口保护整个网络不受计算机病毒的侵害.在网络工作站上采取必要的防杀计算机病毒措施,可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害.

四、计算机病毒检测方法

检测磁盘中的计算机病毒可分成检测引导型计算机病毒和检测文件型计算机病毒.这两种检测从原理上讲是一样的,但由于各自的存储方式不同,检测方法是有差别的.

1.比较法

比较法的好处是简单、方便,不需专用软件.缺点是无法确认计算机病毒的种类名称.另外,造成被检测程序与原始备份之间差别的原因尚需进一步验证,以查明是由于计算机病毒造成的,或是由于DOS数据被偶然原因,如突然停电、程序失控、恶意程序等破坏的.这些要用到以后讲的分析法,查看变化部分代码的性质,以此来确证是否存在计算机病毒.另外,当找不到原始备份时,用比较法就不能马上得到结论.从这里可以看到制作和保留原

始主引导扇区和其他数据备份的重要性.

2.加总比对法

根据每个程序的档案名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附于程序的后面,或是将所有检查码放在同一个数据库中,再利用此加总对比系统,追踪并记录每个程序的检查码是否遭更改,以判断是否感染了计算机病毒.一个很简单的例子就是当您把车停下来之后,将里程表的数字记下来.那么下次您再开车时,只要比对一下里程表的数字,那么您就可以断定是否有人偷开了您的车子.这种技术可侦测到各式的计算机病毒,但最大的缺点就是误判断高,且无法确认是哪种计算机病毒感染的.对于隐形计算机病毒也无法侦测到.

3.搜索法

搜索法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描.如果在被检测对象内部发现了某一种特定字节串,就表明发现了该字节串所代表的计算机病毒.国外对这种按搜索法工作的计算机病毒扫描软件叫VirusScanner.计算机病毒扫描软件由两部分组成:一部分是计算机病毒代码库,含有经过特别选定的各种计算机病毒的代码串,另一部分是利用该代码库进行扫描的扫描程序.目前常见的防杀计算机病毒软件对已知计算机病毒的检测大多采用这种方法.计算机病毒扫描程序能识别的计算机病毒的数目完全取决于计算机病毒代码库内所含计算机病毒的种类多少.显而易见,库中计算机病毒代码种类越多,扫描程序能认出的计算机病毒就越多.计算机病毒代码串的选择是非常重要的.短小的计算机病毒只有一百多个字节,长的有上万字节的.如果随意从计算机病毒体内选一段作为代表该计算机病毒的特征代码串,可能在不同的环境中,该特征串并不真正具有代表性,不能用于将该串所对应的计算机病毒检查出来.选这种串作为计算机病毒代码库的特征串就是不合适的.

4.分析法

一般使用分析法的人不是普通用户,而是防杀计算机病毒技术人员.使用分析法的目的在于:

(1)确认被观察的磁盘引导扇区和程序中是否含有计算机病毒,(2)确认计算机病毒的类型和种类,判定其是否是一种新的计算机病毒,(3)搞清楚计算机病毒体的大致结构,提取特征识别用的字节串或特征字,用于增添到计算机病毒代码库供计算机病毒扫描和识别程序用,(4)详细分析计算机病毒代码,为制定相应的防杀计算机病毒措施制订方案.

上述四个目的按顺序排列起来,正好是使用分析法的工作顺序.使用分析法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用以及关于计算机病毒方面的各种知识,这是与其他检测计算机病毒方法不一样的地方.

5.人工智能陷阱技术和宏病毒陷阱技术

人工智能陷阱是一种监测计算机行为的常驻式扫描技术.它将所有计算机病毒所产生的行为归纳起来,一旦发现内存中的程序有任何不当的行为,系统就会有所警觉,并告知使用者.这种技术的优点是执行速度快、操作简便,且可以侦测到各式计算机病毒,其缺点就是程序设计难,且不容易考虑周全.不过在这千变万化的计算机病毒世界中,人工智能陷阱扫描技术是一个至少具有主动保护功能的新技术.

宏病毒陷阱技术(MacroTrap)是结合了搜索法和人工智能陷阱技术,依行为模式来侦测已知及未知的宏病毒.其中,配合OLE2技术,可将宏与文件分开,使得扫描速度变得飞快,而且更可有效地将宏病毒彻底清除.

相关论文范文