浅析计算机病毒与防治

2012-04-29 10:18蒋玉芳
考试周刊 2012年19期
关键词:计算机病毒传染程序

蒋玉芳

摘要: 随着计算机网络技术的发展与计算机应用的日益广泛和深入,由计算机病毒引发的计算机安全问题也越来越严重,给计算机系统带来了巨大威胁和破坏。本文对计算机病毒的特征、类型、结构、危害、发展趋势和防治措施进行分析。

一、引言

计算机网络已经渗透到社会的各个领域,给人们的生活、生产、经济和军事等带来了巨大便利,然而,计算机病毒给计算机网络系统的安全运行带来了极大的威胁和挑战。因此,研究计算机病毒的防治措施对于防止病毒的破坏、维护数据安全和确保系统的正常运行有着重要意义。

二、计算机病毒的危害

(一)计算机病毒的定义

计算机病毒(Computer Virus)实质上是一组计算机程序。《中华人民共和国计算机信息系统安全保护条例》对计算机病毒给出了明确的定义:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用,并且能够自我复制的一组计算机指令或程序代码。

(二)计算机病毒的特征

1.传染性。

传染性是病毒的基本特征,是指病毒程序通过修改磁盘扇区信息或其他程序而把自身嵌入其中的方法来达到自我繁殖的目的。它是判断一个程序是否为病毒程序的主要依据。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。

2.破坏性。

计算机病毒的破坏性表现在破坏计算机数据信息,抢占系统资源,影响计算机运行速度,以及对计算机硬件构成破坏,等等。

3.隐蔽性。

计算机病毒具有很强的隐蔽性,不同的病毒隐藏位置各不相同,有的隐藏在扇区中,有的则以隐藏文件的形式出现,隐蔽性好的病毒很难通过杀毒软件检查出来。

4.潜伏性。

一个编写完善的计算机病毒程序,进入系统之后一般不会马上发作,可以长时间隐藏在合法文件中,等待某种条件满足后,才会被激活并进行感染和破坏活动。

5.可激发性。

在一定的条件下,通过外界刺激,病毒程序激活,实施感染或进行攻击,这一特性称为可激发性。病毒运行时,检查预定条件是否满足,如果满足就进行感染或破坏动作,否则继续潜伏。如“黑色星期五”只是在某月13日且是星期五才激活病毒进行破坏活动。

6.衍生性。

计算机病毒的衍生性是指对某一个已知病毒程序进行修改而衍生出另外一种病毒程序,即源病毒程序的变种。

(三)计算机病毒的结构

尽管不同类型的计算机病毒的原理和作用不尽相同,但计算机病毒的结构基本相似,一般由以下三个模块组成。

1.引导模块。

当被感染的磁盘、应用程序开始工作时,病毒的引导模块将病毒由外存引入内存,并使病毒程序成为独立于宿主程序的部分,从而使病毒的传染模块和破坏模块进入等待状态。

2.传染模块。

这部分程序主要负责捕捉传染的条件和传染的对象,在保证被传染程序可正常运行的情况下完成计算机病毒的复制传播任务。

3.破坏与表现模块。

破坏与表现模块是病毒程序的核心部分,可以毁坏系统的软、硬件和磁盘上的数据,降低整个系统的运行效率。这部分程序负责捕捉进入破坏程序的条件,在条件满足时开始进行破坏动作。

(四)计算机病毒的类型

1.按传染方式分。

(1)引导型病毒。引导型病毒是一组不依赖于操作系统的低级程序组成,这种病毒主要通过修改INT13中断,实现改写硬盘引导区,在系统引导时装入内存,当用受感染的磁盘引导别的系统时便将病毒感染到别的机器上。

(2)文件型病毒。文件型病毒也称为寄生病毒,最大的特点就是将病毒本身植入文件,使文件增长,达到传染的目的。当这些被感染的文件运行时,病毒程序也就同时被执行。

(3)混合型病毒。混合型病毒具有引导型病毒和文件型病毒两者的特点,不但能感染和破坏硬盘的引导区,而且能感染和破坏文件。

(4)宏病毒。此类病毒利用Word提供的宏功能感染文件,通过修改Auto宏的操作运行非法操作,通过修改共用的Normal.dot模板实现传染,可通过修改注册表使系统启动时引导病毒运行,并能够利用网络实现交叉感染。

2.按连接方式分。

(1)源码型病毒。它攻击高级语言编写的源程序,在源程序编译前插入其中,并随源程序一起编译、连接成可执行文件。

(2)入侵型病毒。入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。这类病毒只攻击某些特定程序,针对性强,一般情况下难以被发现,清除起来也较困难。

(3)操作系统型病毒。操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性较大。

(4)外壳型病毒。外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部分文件型病毒属于这一类。

3.按破坏性分。

(1)良性病毒。

(2)恶性病毒。

(3)极恶性病毒。

(4)灾难性病毒。

(五)计算机病毒的命名

计算机病毒多种多样,反病毒公司为了方便管理,按照病毒的特性,将病毒按照一定的规则进行分类命名。病毒命名的一般格式有以下三种。

1.病毒前缀。

是指一个病毒的种类,用来区别病毒的种族分类。比如常见的蠕虫病毒的前缀是Worm,木马病毒的前缀是Trojan。

2.病毒名。

是指一个病毒的家族特征,用来区别和标识病毒家族。如震荡波蠕虫病毒Worm.Sasser。

3.病毒后缀。

是指一个病毒的变种特征,用来区别具体某个家族病毒的某个变种。一般都采用英文中的26个字母或者数字来表示,如Worm.Sasser.B就是指震荡波蠕虫病毒的变种B,称为“震荡波B变种”或“震荡波变种B”。

下表列出的是常见的计算机病毒类型:

(六)计算机病毒的传播途径

进行感染与传播是计算机病毒的主要任务,也是计算机病毒程序区别于其他应用程序的重要标志。如同生物病毒,计算机病毒利用宿主隐藏病毒,当宿主运行、调用时,病毒也同时被激活,接着病毒就可以进行下一步感染,通过宿主的移动,如染毒文件被拷贝到其他计算机上,病毒便实现了传播。计算机病毒的传播媒介通常有以下几种。

1.通过硬盘。

由于带病毒的硬盘在本地或者移到其他地方使用、维修等被病毒传染并将其扩散。

2.通过U盘或移动硬盘。

通过使用被病毒程序感染的U盘或移动硬盘,在计算机相互之间拷贝文件,就将一台计算机的病毒传播到另一台。

3.通过光盘。

病毒可藏身于光盘之中,当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。

4.通过网络。

这种传染扩散极快。随着Internet的发展,因为资源共享,人们经常在网上下载免费共享软件,许多病毒就藏身其中,当用户浏览或运行了这些带毒的文件,电脑就会感染病毒。

(七)计算机病毒的危害

病毒的侵入必将对系统资源构成威胁,降低计算机或网络的运行效率,影响系统的正常运行。

1.计算机病毒对独立计算机系统的危害。

(1)破坏磁盘文件分配表或目录区,使用户磁盘上的信息丢失。

(2)删除磁盘上的可执行文件或系统文件,使系统无法启动。

(3)修改或破坏文件的数据。

(4)病毒程序自身在计算机系统中多次复制,使存储空间减少。

(5)删除或改写磁盘上的特定扇区。

(6)对系统中用户存储的特定文件进行非法的加密或解密。

(7)感染或破坏压缩文件,使其在解压时失败。

(8)改写BIOS中的内容,使主板遭到毁灭性的破坏。

(9)程序运行出现异常现象或不合理的结果。

2.计算机病毒对网络的危害。

计算机病毒对网络的危害远比独立计算机系统危害大得多。

(1)病毒通过“自我复制”传染正在运行的系统,与正常的运行程序争夺系统资源,造成系统瘫痪,并通过网络系统侵害与之联网的其他计算机。

(2)病毒程序在激活时,能冲毁系统存取器中的大量数据,使与之相联的计算机用户和程序和数据丢失。

(3)病毒会导致计算机控制的空中交通失灵,卫星、导弹失控,自动生产线控制紊乱,电子邮件传递混乱,银行金融系统瘫痪,等等。

(八)计算机病毒的主要来源

1.从事计算机专业的人员或业余爱好者搞恶作剧、寻开心制造出的病毒。

2.用于研究或有益目的而设计的程序,由于某种原因失去控制或产生了令人意想不到的效果。

3.软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。

4.旨在攻击和摧毁计算机信息系统而制造的病毒,蓄意进行破坏。

(九)计算机病毒的发展趋势

随着计算机网络的广泛应用,大量病毒不断涌现,其编程技术手段越来越高,隐蔽性、欺骗性越来越强,不断朝着对抗反病毒手段的方向发展,在计算机用户毫无觉察的情况下破坏计算机系统。由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。

1.综合利用多种编程新技术的病毒将成为主流。

病毒为达到目的不断采用各种新技术手段,如通过Rootkit技术和映象劫持技术隐藏自身的进程、注册表键值,通过插入进程、线程避免被杀毒软件查杀;通过还原系统SSDT HOOK和还原其他内核HOOK技术来破坏反病毒软件,等等。未来的计算机病毒将综合利用各种编程新技术,使得查杀难度更大。

2.病毒将全面进入驱动级。

目前,大部分主流病毒技术进入了驱动级,病毒已经不再一味逃避杀毒软件追杀,而是通过生成驱动程序,与杀毒软件争抢系统驱动的控制权限,之后通过修改SSDT表等技术实现WINDOWS API HOOK,转而控制杀毒软件,从而使得杀毒软件监控功能失效。

3.“病毒生产机”软件技术不断发展。

目前,国际上已有多种“病毒生产机”软件,不法分子利用这种“病毒生产机”软件可不用绞尽脑汁去编程序,便能轻易地自动生产出大量的新病毒。这些病毒的主体构造和原理基本相同,但是病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,极大地增加了杀毒软件查杀的难度。国内已发现的“病毒生产机”有G2、IVP、VCL、CLME等。

三、计算机病毒的防治措施

计算机病毒表现出的众多新特征和发展趋势表明,目前我国计算机网络安全形势仍然十分严峻,需要不断地发展更加先进的计算机反病毒技术,才能为电脑和网络用户提供切实的安全保障。

(一)计算机病毒的防治策略

1.防毒。

是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒的重点是控制病毒的传染。通过采取防毒措施,准确、实时监测预警各种方式的病毒感染;在病毒侵入系统时发出警报,即时清除其中的病毒或隔离、删除染毒文件。

2.查毒。

通过查毒发现计算机系统是否感染病毒,并确定病毒名称,查找出病毒的来源。

3.解毒。

是指根据不同类型病毒,按照病毒的感染特性,对感染对象进行修改,从感染对象中清除病毒,恢复被病毒感染前的原始信息。

防止病毒侵入远比病毒入侵后再去发现和消除它更重要。被动消除病毒只能治标,只有主动预防病毒才是防治病毒的根本。原则上,计算机病毒防治应采取“主动预防为主,被动处理结合”的策略。

(二)个人计算机的防护措施

计算机用户应当增强安全意识,多学习了解计算机和网络安全防范知识和技术,在日常操作中多注意防范,这样可以大大降低计算机感染病毒的概率。

1.安装可靠的杀毒软件和防火墙。

杀毒软件种类很多,国内有瑞星、江民、金山等,国外有卡巴斯基等,尽量只选择安装一种,因为各种杀毒软件之间可能互不兼容。开启杀毒软件的实时监控功能,及时升级更新病毒库,定时对计算机进行病毒查杀。

2.养成良好的上网和下载习惯。

上网浏览时,不要随便点击访问不安全陌生网站,以免遭到病毒侵害。如需下载软件或文档尽量去一些大的、著名的、可靠的正规网站,下载后不要直接打开或运行,要先用杀毒软件进行杀毒后再运行;及时下载最新系统安全漏洞补丁,防止黑客或病毒利用系统漏洞对计算机进行攻击破坏。

3.备份系统及重要文件资料,为系统做好备份。

一旦系统崩溃,就可以迅速恢复。硬盘各分区应有明确分工,系统分区C盘(包括桌面、我的文档)只安装软件,不要存放各种重要的数据文件,其他分区可以存放文件,否则,一旦系统崩溃重新安装系统后,C盘上原先的数据资料都将被覆盖。另外,定期做好重要资料的备份,各种有价值的文件应刻录成光盘,以免受病毒侵扰。

(三)完善计算机病毒防治方面相关的法律法规

在防范计算机病毒方面应充分发挥法律法规的约束作用,目前我国已经制定了《中华人民共和国计算机信息系统安全保护条例》等相关法律法规,此外《中华人民共和国刑法》也对危害网络安全的行为作出了相关规定。

(四)加强IT行业从业人员的职业道德教育

除了从技术层面来加以防治外,加强对计算机从业人员的职业道德教育显得极其重要。如果他们职业道德高尚,就不会对网络安全构成威胁,相反可以在计算机领域作出更加积极的贡献。

四、结语

随着计算机网络技术的发展,计算机病毒的危害与日俱增。因此,加强计算机病毒的防治、确保计算机信息安全是当前一项重要、迫切的研究课题。我们一方面要掌握对计算机病毒的防范措施,切实抓好病毒防治工作,另一方面要加强对病毒发展趋势的研究,探讨科学防治计算机病毒的新策略,真正做到防患于未然。

参考文献:

[1]刘功申.计算机病毒及其防范技术.清华大学出版社,2008,第一版.

[2]韩兰胜.计算机病毒原理与防治技术.华中科技大学出版社,2010,第一版.

[3]王倍昌.计算机病毒揭密与对抗.电子工业出版社,2011,第一版.

[4]肖军模,周海刚,刘军.网络信息对抗.机械工业出版社,2011,第二版.

猜你喜欢
计算机病毒传染程序
网络环境下的计算机病毒及其防范技术
Our Mood Can Affect Others
听说,笑容是会“传染”的
试论我国未决羁押程序的立法完善
计算机病毒防范技术及应用实践微探
“程序猿”的生活什么样
传染
英国与欧盟正式启动“离婚”程序程序
一类具有非线性传染率的SVEIR模型的定性分析
集成免疫小波神经网络模型在计算机病毒检测中的应用