当前位置:众信范文网 >专题范文 > 公文范文 > 计算机病毒及防范

计算机病毒及防范

时间:2022-10-22 20:25:03 来源:网友投稿

摘  要 本文对计算机病毒的相关概念、特点和不同类别进行了简要介绍,对计算机病毒带来的危害进行了阐述,对其工作机理进行了研究,提出了预防、检测和清除计算机病毒的一般途径,对有效预防计算机病毒具有重要的意义。

关键词 计算机病毒;病毒预防;病毒清除

中图分类号 TP39            文献标识码 A              文章编号 1674-6708(2014)128-0146-02

0 引言

随着计算机和网络的发展和普及,计算机病毒正不断渗透到我们生活的方方面面,并对我们周围世界产生着越来越深刻的影响。那么,如何定义计算机病毒呢?首先,计算机病毒是一组具有自我复制功能的指令或程序代码,她能够进入计算机程序或编制,对计算机功能和数据具有破坏性,使计算机无法正常使用。有一些破坏性程序,比如我们常常听说的木马程序,它们通常不具备自我复制能力,根据这一定义,只能算作恶意软件,但随着计算机病毒技术的发展,病毒与木马不断融合,已变得你中有我,我中有你,难以区分,于是人们将它们统称为计算机病毒,这样就出现了更为广泛的定义。即将“能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。”

1 计算机病毒特征

1)寄生性

计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,此时用户却认为在执行正常程序。

2)传染性

计算机病毒在一定条件下可以自我复制,能对其他文件或系统进行一系列非法操作,并使之成为一个新的传染源。

3)潜伏性

通常计算机病毒程序进入系统之后会隐藏一段时间,时间可能是数天活数月,甚至是数年,在此期间不断侵入计算机各系统,病毒的潜伏性越好,计算机被破坏的范围就会越大。

4)触发性

计算机病毒的发作需要一定的条件,特定字符的输入,某个文件的使用,或者到了某个时刻,又或者达到病毒本身的计数器等,都可以诱发病毒的发作。

5)破坏性

病毒在触发条件满足时,会立即对计算机系统进行干扰破坏,病毒程序的破坏性体现了病毒设计者的意图。恶性病毒可能导致系统崩溃、数据丢失,而良性病毒则可能仅仅是显示一些文字或图像,或者播放一段音乐。比如“浏阳河”病毒发作时,如果发作当天是9月9日就会播上一段人们熟悉的“浏阳河”选段,如果当天是12月26日毛主席诞辰日,就会来一段“东方红”。

2 计算机病毒分类及工作原理

计算机病毒可分为:蠕虫病毒、木马病毒、宏病毒、引导型病毒和文件型病毒等。其中蠕虫病毒、木马病毒是目前网络上最为常见,且危害最大的两种病毒。

1)蠕虫病毒

蠕虫病毒是一种破坏力巨大的网络病毒。2008年底互联网中大规模爆发的“扫荡波”病毒就是一种典型的蠕虫病毒,该病毒在给全球网络用户造成巨大损失的同时。它的主要特征包括:一是这种病毒与普通病毒不同,它一般不需要宿主文件,而是利用系统漏洞、网页和存储介质等。二是不断直接复制自身,在互联网环境下进行传播。三是传播目标不是计算机内的文件系统,而是互联网上的所有计算机、局域网中的共享文件夹、电子邮件、漏洞服务器等。由于传播方式多样,传播速度极快,所以在很短的时间内就能传遍整个互联网,给全球网络用户带来难以估量的损失。

除“扫荡波”病毒外,2001年12月爆发的“求职信”蠕虫病毒,迄今已造成数百亿美元损失。2006年12月爆发的“熊猫烧香”病毒,造成国内数百万台电脑受到感染,作者李俊成为中国首个被捕入狱的病毒作者。2010年7月爆发的“超级工厂”病毒,造成45000个工业控制网络受到感染,并使伊朗核设施受到破坏,核发展计划被迫推迟,该病毒并称作首个应用于实战的“网络武器”。

2)木马病毒

木马(Trojan)这个名字来源于古希腊“木马计”的传说。“木马”是目前网络上最为流行的病毒(感染比例接近60%)。著名的木马病毒有“冰河”、“灰鸽子”等。“灰鸽子”病毒通常有两个可执行程序:一个是客户端,即控制端,用以实现控制,另一个是服务端,即被控制端,用以植入被种着电脑,“服务端”不会像普通病毒那样自我繁殖,也不“刻意”去感染其它文件,而是通过自身伪装吸引用户下载执行。木马的服务一旦启动,其控制端将享有服务端的大部分操作权限,可以任意浏览、移动、复制、删除文件,可以远程操控被种着电脑,监视对方屏幕,记录键盘输入,修改注册表,更改计算机配置等。

3)宏病毒

宏病毒是一种寄生在文档或模板的宏中的计算机病毒。若用户打开一个带毒的文档,病毒就会被激发,此后,病毒会驻留在公共模板(Normal.dot)中,所有自动保存的文档都会“感染”上这种宏病毒,而如果其他用户打开了染毒的文档,宏病毒又会转移到他的计算机上。

4)引导型病毒

引导型病毒是利用系统引导区进行传播的病毒。正常情况下,系统引导指令是存放在磁盘引导区中的,而被引导型病毒感染后,病毒会将其自身放在引导区中,而将真正的引导区内容搬家转移,待病毒程序执行后,再将控制权交给真正的引导区内容,此时这个带毒系统看似运转正常,实际上病毒已隐藏其中,伺机传染和发作。

5)文件型病毒

文件型病毒将自己依附在可执行的文件中(通常是.com文件或.exe文件),当宿主程序被执行时,病毒会首先被执行,党病毒完成驻留内存等操作后,再将控制权交给宿主程序,著名的CIH病毒就是一种文件型病毒。

3 计算机病毒防御

面对层出不穷的病毒,病毒防御就显得尤为重要,病毒防御通常包括:病毒的预防、检测和清除。

3.1 病毒预防

病毒预防十分重要,但我们不得不承认,病毒有时确实“防不胜防”。以前,计算机存在的安全漏洞一般需要数周或数月的时间才能被黑客发现并加以利用。但目前,恶性程序会在安全补丁与瑕疵曝光的同一日内对计算机进行攻击,攻击速度逐渐加快,破坏性也越来越大。当一个安全漏洞刚刚发布时,多数用户还未打上补丁,此时病毒的传播将如入无人之境,普通用户无从预防。

3.2 病毒检测

1)传统检测手段

传统检测手段即特征值扫描技术,它是目前应用最广泛的病毒检测技术,这种检测技术就像是针对病毒的“人肉搜索”。它通过一一对比被检程序与病毒库中的特征值,来判断该目标是否被病毒感染。这种检测方法具有明显的缺陷:一是被动性、滞后性。很明显这种方法只能检测已知病毒,并且获取新病毒特征码需要复杂操作才能完成,特征码获取后,再发布给用户,需要一个过程,对于传播速度迅速,破坏力巨大的现代病毒来说,这种滞后有时将是致命的。而是免杀简单。黑客们不需要对病毒程序重新编写,只需经过修改病毒特征值,加壳等简单操作,就能够避免特征扫描的检测。

2)主动防御手段

主动防御手段是在没有获得病毒样本之前检测和阻止未知病毒的运作的防毒防御方法。当前,主动防御技术主要有:虚拟机检测技术,在系统上虚拟一个操作环境,然后在这个虚拟环境下运行待检软件,在病毒现出原形后将其清除;启发式检测技术,采用智能启发式算法,分析文件代码逻辑结构师傅含有病毒特征,或者通过在虚拟安全环境中执行代码,根据程序行为判断是否存在病毒;沙盒检测技术,使用病毒防御程序接管与系统接口(API)相关的所有行为,使本机系统成为一个“沙盒”,让程序在“沙盒”中充分运行,当病毒真正出现后,对其进行清除,然后“沙盒”执行“回滚”机制,对病毒留下的痕迹进行彻底清除,让系统回复到原来的正常状态;云安全检测,通过网状的大量客户端对网络中软件异常行为进行监测,获取互联网中木马等病毒的最新信息,并传送到服务器端进行自动分析和处理,在每个客户端都设置病毒的解决方案,使整个互联网成为一个巨大的“杀毒软件”。

主动防御的优点:一是可以检测到未知病毒的攻击;二是具有启发式智能自学习功能;三是能够对网络病毒攻击进行实时监控和响应。主动防御也存在缺点:一是由于依靠智能算法判断是否存在病毒,故容易导致误报或误杀;二是主动防御手段通常是在病毒特征显现后,确认病毒并清除,因此它对不发作的病毒不作处理。

3.3病毒清除

发现病毒后需要及时清除,以免造成不必要的损失。

1)自动清除方式

利用病毒防御软件清除病毒。常见病毒防御软件有瑞星、诺顿、360、江民等杀毒软件。有时你可能会遇到连病毒防御软件都束手无策的新病毒,这时你可以试试手工清除方式。

2)手工清除方式

蠕虫病毒:你可以更新系统补丁,删除染毒文件、网页及相关注册表项。木马病毒:通常可以删除C盘win.ini、system.ini文件,以及注册表中的可疑启动项,同时删除启动项对应的可执行文件。宏病毒:你可以清除染毒文件及公用模板(Normal.dot)中的自动宏(AutoOpen、AutoClose、AutoNew),并将公用模板设为只读。引导型病毒和文件型病毒:可以用“干净的”引导盘引导,用备份的引导扇区(或文件)覆盖染毒的引导扇区(或文件),同时恢复被破坏的系统数据,如文件分配表(FAT)等。

4 结论

尽管现在计算机病毒层出不穷,尽管计算机病毒无处不在,但只要我们了解计算机病毒的基本知识,认识到计算机病毒危害的重要性,掌握计算机病毒检测和防护方法,及时更新系统补丁,安装防火墙,经常检测系统安全性,及时查杀病毒,还是能够使我们的计算机远离病毒的侵害,或者将病毒的侵害降低到最低程度。

参考文献

[1]纳颖,肖鹍.对计算机病毒及防范措施研究[J].科技信息,2012(3):137,178.

[2]王洁.计算机病毒特点分析[J].黑龙江科技信息,2010(29):97.

[3]李江浩,等.计算机病毒的危害与防范[J].计算机光盘软件与应用,2010(6):116.

推荐访问: 计算机病毒 防范