论文部分内容阅读
[摘要]计算机病毒已经成为困扰大家日常使用网络及计算机的难题,如何应对他也成为大家重点关注的事情。但有些担心是不必要的,计算机病毒是可以通过对他的正确认识和积极防范中得到较好的避免的。
[关键词]计算机病毒;防范措施
随着计算机网络和Internet技术的快速发展,信息内容面临着比过去更多的威胁,病毒破坏、蠕虫攻击、木马控制、垃圾邮件侵害以及其它具有黑客性质的入侵行为,都造成信息内容的不安全,导致数据破坏、系统异常、网络瘫痪,其破坏性越来越大。因此,如何认识计算机病毒,建立全面有效的防病毒体系至关重要。
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能及数据,影响计算机使用,并自我复制的一组计算机指令或者程序代码。计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。防杀计算机病毒软件则不仅能识别出已知的计算机病毒,在计算机病毒运行之前发出警报,还能屏蔽掉计算机病毒。另外,新一代的防杀计算机病毒软件还能实现超前防御,将系统中可能被计算机病毒利用的资源都加以保护,不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除更有效地保护计算机系统。计算机病毒的工作方式是可以分类,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范。当然,如果新出现的计算机病毒不按已知的方式工作,这种新的传染方式又不能被反病毒软件所识别,反病毒软件也无能为力了。这时只能采取两种措施进行保护:第一是依靠管理上的措施和防病毒有关的经验。及早发现疫情,捕捉计算机病毒,修复系统。第二是选用功能更加完善的、具有更强超前防御能力的反病毒软件,尽可能多地堵住能被计算机病毒利用的系统漏洞。
一、计算机病毒的表现现象
计算机病毒是客观存在的,客观存在的事物总有它的特性,计算机病毒也不例外。感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播,破坏性体现了病毒的杀伤能力。从实质上说,计算机病毒是一段程序代码,虽然它可能隐藏得很好,但也会留下许多痕迹。通过对这些蛛丝马迹的判别,我们就能发现计算机病毒的存在了。需要注意的是有些软硬件故障造成类似病毒的症状,要对症下药。
(一)计算机病毒发作前的表现现象
计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。以下是一些计算机病毒发作前常见的表现现象:
1、运行速度明显变慢
在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源,造成系统资源不足,运行变慢。
2、以前能正常运行的软件经常发生内存不足的错误
某个以前能够正常运行的程序,程序启动的时候报系统内存不足,或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减小。
3、系统文件的时间、日期、大小发生变化
这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成感染时的时问。
4、运行Word,打开Word文档后,该文件另存时只能以模板方式保存
无法另存为一个DOC文档,只能保存成模板文档(DOT)。这往往是打开的Word文档中感染了Word宏病毒的缘故。
5、磁盘空间迅速减少
没有安装新的应用程序。而系统可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。
(二)计算机病毒发作时的表现现象
计算机病毒发作时是指满足计算机病毒发作的条件,计算机病毒程序开始破坏行为的阶段。计算机病毒发作时的表现大都各不相同,可以说一百个计算机病毒发作有一百种花样。以下是一些计算机病毒发作时常见的表现现象:
1、出现一些不相干的话,图片或者声音等
最著名的是外国的“杨基”计算机病毒(Yangkee)。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐。
2、硬盘灯不断闪烁
有的计算机病毒会在发作的时候对硬盘进行格式化,或者写入许多垃圾文件,或反复读取某个文件,致使硬盘灯闪烁。
3、在硬盘中发现大量不明压缩文件。
4、以前能正常运行的应用程序经常发生死机或者非法错误
这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。
5、自动发送电子函件
大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段,也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服务器的正常服务功能。
(三)计算机病毒发作后的表现现象
通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,计算机病毒发作后往往会带来很大的损失。以下是一些恶性计算机病毒发作后所造成的后果:
1、操作系统无法正常启动,数据丢失。
计算机病毒破坏了硬盘的引导扇区后,就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容,使得原先保存在硬盘上的数据几乎完全丢失。
2、修改Autooxoc.bat文件,增加Formm c:一项,导致计算机重新启动时格式化硬盘。
在计算机系统稳定工作后,一般很少会有用户去注意Auto—exec.bat文件的变化,但是这个文件在每次系统重新启动的时候都会被自动运行,计算机病毒修改这个文件从而达到破坏系统的目的。
3、使部分可软件升级主板的BIOS程序混乱,主板被破坏。
4、网络瘫痪,无法提供正常的服务。
5、打印和通讯发生异常
硬件没有更改或损坏的情况下,以前工作正常的打印机,近期发现无法进行打印操作,或打印出来的是乱码,串口设备无法正常工作。
二、当前常见的几种计算机病毒
1、开机型病毒(Boot Strap Sector Virus)
开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计,使得病毒可以在每次开机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒可以针对DOS的各类中断(Interrupt)得到完全的控制,并且拥有更大的能力进行传染与破坏。
2、文件型病毒(File Infector Virus)
文件型病毒通常寄生在可执行文件(如*,COM,*,EXE等)中。当这些文件被执行时,病毒的程序就跟着被执行。文件型的病毒依传染方式的不同,又分成非常驻型以及常驻型两种: (1)非常驻型病毒(Non-memory Resident Virus)
非常驻型病毒将自己寄生在*,COM,*,EXE或是*,SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。
(2)常驻型病毒(Memory Resident vires)
常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如Interrupts),由于这个原因,常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进人了内存中,只要执行文件被执行,它就对其进行感染的动作,其效果非常显著。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。
3、复合型病毒(Multi-Partite Virus)
复合型病毒兼其开机型病毒以及文件五病毒的特性,它们可以传染*,COM,*,EXE文件,也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性,使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观。
4、隐型飞机式病毒(Stealth Virus)
隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义,它通过控侧DOS的中断向量,把所有受其感染的文件“假还原”,再把“看似眼原来一模一样”的文件丢回给DOS。
5、千面人病毒(Polymorphic/Mutation Vires)
千面人病毒可怕的地方,在于每当它们繁殖一次,就会以不同的病毒码传染到别的地方去。每一个中毒的文件中所含的病毒码都不一样,对于扫描固定病毒码的防毒软件来说,无贬是一个严重的考脸!有些高竿的千面人病毒,几乎无法找到相同的病毒码。
6、宏病毒(Macro Virus)
宏病毒主要是利用软件本身所提供的宏能力来设计病毒,所以凡是具有写宏能力的软件都有宏病毒存在的可能,如Word,Excel、AmiPro等等o
7、特洛伊木马病毒VS,计算机蠕虫
特洛依木马(Trojan)和计算机蠕虫(Worm)之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。
8、黑客型病毒
黑客(Hacker),源于英语动词hack,意为“劈。砍”,引申为“干了一件非常漂亮的工作”。有的黑客编辑病毒是为了宣泄自己,获得别人的认可,引起别人的注意,有的是图其带来的快感,还有些是反社会的,有些还跟国家政治有关,比如政府也有自己的黑客,在网络上与对手进行电子战等等。
三、计算机病毒感染后的一般修复处理方法
一旦遇到计算机病毒破坏了系统也不必惊惶失措,采取一些简单的办法可以杀除大多数的计算机病毒,恢复被计算机病毒破坏的系统。
下面介绍计算机病毒感染后的一般修复处理方法:
1、首先必须对系统破坏程度有一个全面的了解,并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策。如果受破坏的大多是系统文件和应用程序文件,并且感染程度较深,那么可以采取重装系统的办法来达到清除计算机病毒的目的。而对感染的是关键数据文件,或比较严重的时候,就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。
2、修复前,尽可能再次备份重要的数据文件,以便能够在误杀或造成新的破坏时可以恢复现场。
3、启动防杀计算机病毒(或者运行专杀工具)软件,并对整个硬盘进行扫描某些计算机病毒在Windows2000/xp状态下无法完全清除,此时我们应使用事先准备的未感染计算机病毒的DOS系统软盘启动系统,然后在DOS下运行相关防杀计算机病毒软件进行清除。
4、发现计算机病毒后,我们一般应利用防杀计算机病毒软件清除文件中的计算机病毒,如果可执行文件中的计算机病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。
5、杀毒完成后,重启计算机,再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒,并确定被感染破坏的数据确实被完全恢复。
6、此外,对于防杀计算机病毒软件无法杀除的计算机病毒,还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心,以供详细分析。
四、对计算机病毒的有效防范
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。
(一)落实病毒防治的规章制度
我国在2000年由公安部硕布实施了《计算机病毒防治管理办法》,应继续贯彻,结合各自单位的情况建立病毒防治制度和相应组织,将病毒防治工作落到实处。
(二)建立快速、有效的病毒应急体系和计算机病毒预警系统。在网络病毒不断发展的今天,病毒疫情更加呈现现出突发性强、涉及范围广和破坏力大的特点。为了有效降低病毒的危害性,提高我们对病毒的防范能力,每一个计算机用户都应积极参与到病毒防治工作上来。各单位应建立病毒应急体系,与当地公安机关建立的应急机构和国家的计算机病毒应急体系建立信息交流机制,无论谁发现病毒疫情应及时上报,同时,注意国家计算机病毒应急处理中心发布的病毒疫情,以便在爆发病毒疫情时及时做好预防工作,减少病毒造成的危害。
在我国主干网络和电子政府、金融、证券、税务等专业网络建立病毒预替系统,通过这个系统监控整个网络的病毒传播情况,发现、捕获已有的病毒和新出现的计算机病毒,掌握我国计算机病毒的实时疫情,提高我们对病毒的发现和处理能力,降低病毒造成的破坏。
(三)病毒攻击防御——对应主动攻击
1、扫描存活主机的防御方法:禁止icmp反该,用防火墙实现。
2、扫描端口、漏洞的防御方法:(1)禁用不必要的服务;(2)禁止一些不对外的敏感端口;(3)打系统补丁。
3、攻击的防御方法:(1)用户密码设置得复杂一些;(2)特定服务一定要留愈该服务的权限设置和打上该服务的最新补丁。
(四)病毒/攻击防御——对应欺骗攻击
1、发起欺骗的防御方法:检查对方的可信任度。这里的对方不光是指操作计算机的人,而指对方的机器是否可靠一如果对方是可信任的人,你可以验证是不是对方给你发了信息。因为病毒是不会自动应答你的询问的。由此你可以判断出是对方给你发的,还是对方机器己经中毒,自动发作的。
2、访问潜在欺骗源的防御方法:每一个web页、每封信件一不管是不是来自朋友,也不管是不是门户站点,都有可能存在木马或脚木病毒,最好的办法就是禁用ActiveX,必要的时候才打开。及时升级浏览邮件工具补丁,防止浏览器漏洞被利用。 病毒不断演化,随着编程技术的进步,目前的病毒其备越来越多的欺骗特征一可以说目前病毒传播的主要途径就是漏洞和欺骗,对待漏洞没说的,第一时间打上补丁是最好的解决办法,对待欺骗则就是依靠用户主观的判断了。
(五)进一步加强计算机安全培训
急需建立一套安全培训课程,采用分级培训的方式。可分为初级、中级和高级课程。初级课程而向普通计算机用户,通过安全培训,一方面提高安全防范意识,另一方面拿握基本的病毒防治技术,中级课程面向中小企业网络管理人员。通过培训掌握对中小型网络系统的病毒防治技术。高级课程适用于大型网络的高级网络管理人员,通过培训全面掌握针对大型网络的病毒防治技术和管理方法。
(六)防治病毒的安全建议
1、建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开。不要上一些不太了解的网站,不要执行从互联网下载后未经杀毒处理的软件等。这些必要的习惯会使您的计算机更安全。
2、关闭或侧除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FrP客户端、Telnet和Web服务,这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们就能大大减少被攻击的可能性。
3、经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达等病毒。许多病毒的流行,大都利用了微软操作系统中的漏洞或后门,所以我们应该定期到微软网站去下载最新的安全补丁,以防患于未然。
4、使用复杂的密码。有许多网络病毒就是通过猜侧简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5、强化您的服务器。“强化”涉及两个简单的实践法则:购买商用软件时,删除您不需要的所有东西,如不能删除,就把它禁用。设备和软件通常配置了默认用户名、密码访问,来宾(guest)和匿名帐户以及默认共享。删除你不需要的,并修改所有身份验证凭据的默认值。
6、迅速隔离受感染的计算机,当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染或者成为传播源,再次感染其它计算机。
7、了解一些病毒知识,这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏;如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑健值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
8、关注在线安全。新病毒的种类与数量之多,真令人始料不及。不妨定期访问在线安全站点,比如诺顿、卡巴斯基、金山、瑞星等,这些网站提供了最新的安全资料,对于防毒很有帮助,建议你将这些站点添加到个人收藏夹中。
9、升级防毒软件,随时更新桌面防毒系统,鼓励用户至少“每周”检查一次防病毒更新,若安装防毒软件,请确认其为最新版本。有些防毒软件具有这样的特性:一旦软件厂商发现了新的病毒,软件可以自动连线上网,增加最新的病毒库。
10、定期扫描系统。初次使用防毒软件时,扫描整个系统是个好主意,防毒软件可以定期在后台扫描系统,养成定期扫描的习惯吧,这绝对会让你受益无穷。
11、用户还应该安装个人防火墙软件进行防毒。由于网络的发展,用户电脑面临的黑客攻击问题越来越严,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上黑客攻击。
12、强化安全教育,增强用户自我防护意识。用户培训通常是组织在设计其病毒防护时最后考虑的事情之一,帮助用户了解与恶意软件攻击有关的一些风险的重要部分,有必要让用户做到以下几点:
(1)不要打开不明电子邮件的附件;
(2)不要使用弱密码;
(3)不要从不受信任的网站下载应用程序和ActiveX控件;
(4)不要从未经授权的可移动媒体运行应用程序;
(5)树立防范计算机病毒的长期意识,强化自我保护意识。
参考文献
[1]卓新建.计算机病毒原理及防治.北京:北京邮电大学出版社,2004.
[2]张仁斌,李钢,侯整风,计算机病毒与反病毒技术,北京:清华大学出版社,2006.
[3]戴燕梅.计算机网络病毒的安全防治策略科学之友.2007.
[关键词]计算机病毒;防范措施
随着计算机网络和Internet技术的快速发展,信息内容面临着比过去更多的威胁,病毒破坏、蠕虫攻击、木马控制、垃圾邮件侵害以及其它具有黑客性质的入侵行为,都造成信息内容的不安全,导致数据破坏、系统异常、网络瘫痪,其破坏性越来越大。因此,如何认识计算机病毒,建立全面有效的防病毒体系至关重要。
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能及数据,影响计算机使用,并自我复制的一组计算机指令或者程序代码。计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。防杀计算机病毒软件则不仅能识别出已知的计算机病毒,在计算机病毒运行之前发出警报,还能屏蔽掉计算机病毒。另外,新一代的防杀计算机病毒软件还能实现超前防御,将系统中可能被计算机病毒利用的资源都加以保护,不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除更有效地保护计算机系统。计算机病毒的工作方式是可以分类,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范。当然,如果新出现的计算机病毒不按已知的方式工作,这种新的传染方式又不能被反病毒软件所识别,反病毒软件也无能为力了。这时只能采取两种措施进行保护:第一是依靠管理上的措施和防病毒有关的经验。及早发现疫情,捕捉计算机病毒,修复系统。第二是选用功能更加完善的、具有更强超前防御能力的反病毒软件,尽可能多地堵住能被计算机病毒利用的系统漏洞。
一、计算机病毒的表现现象
计算机病毒是客观存在的,客观存在的事物总有它的特性,计算机病毒也不例外。感染、潜伏、可触发、破坏是病毒的基本特性。感染使病毒得以传播,破坏性体现了病毒的杀伤能力。从实质上说,计算机病毒是一段程序代码,虽然它可能隐藏得很好,但也会留下许多痕迹。通过对这些蛛丝马迹的判别,我们就能发现计算机病毒的存在了。需要注意的是有些软硬件故障造成类似病毒的症状,要对症下药。
(一)计算机病毒发作前的表现现象
计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。以下是一些计算机病毒发作前常见的表现现象:
1、运行速度明显变慢
在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源,造成系统资源不足,运行变慢。
2、以前能正常运行的软件经常发生内存不足的错误
某个以前能够正常运行的程序,程序启动的时候报系统内存不足,或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减小。
3、系统文件的时间、日期、大小发生变化
这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成感染时的时问。
4、运行Word,打开Word文档后,该文件另存时只能以模板方式保存
无法另存为一个DOC文档,只能保存成模板文档(DOT)。这往往是打开的Word文档中感染了Word宏病毒的缘故。
5、磁盘空间迅速减少
没有安装新的应用程序。而系统可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。
(二)计算机病毒发作时的表现现象
计算机病毒发作时是指满足计算机病毒发作的条件,计算机病毒程序开始破坏行为的阶段。计算机病毒发作时的表现大都各不相同,可以说一百个计算机病毒发作有一百种花样。以下是一些计算机病毒发作时常见的表现现象:
1、出现一些不相干的话,图片或者声音等
最著名的是外国的“杨基”计算机病毒(Yangkee)。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐。
2、硬盘灯不断闪烁
有的计算机病毒会在发作的时候对硬盘进行格式化,或者写入许多垃圾文件,或反复读取某个文件,致使硬盘灯闪烁。
3、在硬盘中发现大量不明压缩文件。
4、以前能正常运行的应用程序经常发生死机或者非法错误
这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。
5、自动发送电子函件
大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段,也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件,以达到阻塞该邮件服务器的正常服务功能。
(三)计算机病毒发作后的表现现象
通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,计算机病毒发作后往往会带来很大的损失。以下是一些恶性计算机病毒发作后所造成的后果:
1、操作系统无法正常启动,数据丢失。
计算机病毒破坏了硬盘的引导扇区后,就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容,使得原先保存在硬盘上的数据几乎完全丢失。
2、修改Autooxoc.bat文件,增加Formm c:一项,导致计算机重新启动时格式化硬盘。
在计算机系统稳定工作后,一般很少会有用户去注意Auto—exec.bat文件的变化,但是这个文件在每次系统重新启动的时候都会被自动运行,计算机病毒修改这个文件从而达到破坏系统的目的。
3、使部分可软件升级主板的BIOS程序混乱,主板被破坏。
4、网络瘫痪,无法提供正常的服务。
5、打印和通讯发生异常
硬件没有更改或损坏的情况下,以前工作正常的打印机,近期发现无法进行打印操作,或打印出来的是乱码,串口设备无法正常工作。
二、当前常见的几种计算机病毒
1、开机型病毒(Boot Strap Sector Virus)
开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计,使得病毒可以在每次开机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒可以针对DOS的各类中断(Interrupt)得到完全的控制,并且拥有更大的能力进行传染与破坏。
2、文件型病毒(File Infector Virus)
文件型病毒通常寄生在可执行文件(如*,COM,*,EXE等)中。当这些文件被执行时,病毒的程序就跟着被执行。文件型的病毒依传染方式的不同,又分成非常驻型以及常驻型两种: (1)非常驻型病毒(Non-memory Resident Virus)
非常驻型病毒将自己寄生在*,COM,*,EXE或是*,SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。
(2)常驻型病毒(Memory Resident vires)
常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如Interrupts),由于这个原因,常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进人了内存中,只要执行文件被执行,它就对其进行感染的动作,其效果非常显著。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。
3、复合型病毒(Multi-Partite Virus)
复合型病毒兼其开机型病毒以及文件五病毒的特性,它们可以传染*,COM,*,EXE文件,也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性,使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观。
4、隐型飞机式病毒(Stealth Virus)
隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义,它通过控侧DOS的中断向量,把所有受其感染的文件“假还原”,再把“看似眼原来一模一样”的文件丢回给DOS。
5、千面人病毒(Polymorphic/Mutation Vires)
千面人病毒可怕的地方,在于每当它们繁殖一次,就会以不同的病毒码传染到别的地方去。每一个中毒的文件中所含的病毒码都不一样,对于扫描固定病毒码的防毒软件来说,无贬是一个严重的考脸!有些高竿的千面人病毒,几乎无法找到相同的病毒码。
6、宏病毒(Macro Virus)
宏病毒主要是利用软件本身所提供的宏能力来设计病毒,所以凡是具有写宏能力的软件都有宏病毒存在的可能,如Word,Excel、AmiPro等等o
7、特洛伊木马病毒VS,计算机蠕虫
特洛依木马(Trojan)和计算机蠕虫(Worm)之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。
8、黑客型病毒
黑客(Hacker),源于英语动词hack,意为“劈。砍”,引申为“干了一件非常漂亮的工作”。有的黑客编辑病毒是为了宣泄自己,获得别人的认可,引起别人的注意,有的是图其带来的快感,还有些是反社会的,有些还跟国家政治有关,比如政府也有自己的黑客,在网络上与对手进行电子战等等。
三、计算机病毒感染后的一般修复处理方法
一旦遇到计算机病毒破坏了系统也不必惊惶失措,采取一些简单的办法可以杀除大多数的计算机病毒,恢复被计算机病毒破坏的系统。
下面介绍计算机病毒感染后的一般修复处理方法:
1、首先必须对系统破坏程度有一个全面的了解,并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策。如果受破坏的大多是系统文件和应用程序文件,并且感染程度较深,那么可以采取重装系统的办法来达到清除计算机病毒的目的。而对感染的是关键数据文件,或比较严重的时候,就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。
2、修复前,尽可能再次备份重要的数据文件,以便能够在误杀或造成新的破坏时可以恢复现场。
3、启动防杀计算机病毒(或者运行专杀工具)软件,并对整个硬盘进行扫描某些计算机病毒在Windows2000/xp状态下无法完全清除,此时我们应使用事先准备的未感染计算机病毒的DOS系统软盘启动系统,然后在DOS下运行相关防杀计算机病毒软件进行清除。
4、发现计算机病毒后,我们一般应利用防杀计算机病毒软件清除文件中的计算机病毒,如果可执行文件中的计算机病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。
5、杀毒完成后,重启计算机,再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒,并确定被感染破坏的数据确实被完全恢复。
6、此外,对于防杀计算机病毒软件无法杀除的计算机病毒,还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心,以供详细分析。
四、对计算机病毒的有效防范
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。
(一)落实病毒防治的规章制度
我国在2000年由公安部硕布实施了《计算机病毒防治管理办法》,应继续贯彻,结合各自单位的情况建立病毒防治制度和相应组织,将病毒防治工作落到实处。
(二)建立快速、有效的病毒应急体系和计算机病毒预警系统。在网络病毒不断发展的今天,病毒疫情更加呈现现出突发性强、涉及范围广和破坏力大的特点。为了有效降低病毒的危害性,提高我们对病毒的防范能力,每一个计算机用户都应积极参与到病毒防治工作上来。各单位应建立病毒应急体系,与当地公安机关建立的应急机构和国家的计算机病毒应急体系建立信息交流机制,无论谁发现病毒疫情应及时上报,同时,注意国家计算机病毒应急处理中心发布的病毒疫情,以便在爆发病毒疫情时及时做好预防工作,减少病毒造成的危害。
在我国主干网络和电子政府、金融、证券、税务等专业网络建立病毒预替系统,通过这个系统监控整个网络的病毒传播情况,发现、捕获已有的病毒和新出现的计算机病毒,掌握我国计算机病毒的实时疫情,提高我们对病毒的发现和处理能力,降低病毒造成的破坏。
(三)病毒攻击防御——对应主动攻击
1、扫描存活主机的防御方法:禁止icmp反该,用防火墙实现。
2、扫描端口、漏洞的防御方法:(1)禁用不必要的服务;(2)禁止一些不对外的敏感端口;(3)打系统补丁。
3、攻击的防御方法:(1)用户密码设置得复杂一些;(2)特定服务一定要留愈该服务的权限设置和打上该服务的最新补丁。
(四)病毒/攻击防御——对应欺骗攻击
1、发起欺骗的防御方法:检查对方的可信任度。这里的对方不光是指操作计算机的人,而指对方的机器是否可靠一如果对方是可信任的人,你可以验证是不是对方给你发了信息。因为病毒是不会自动应答你的询问的。由此你可以判断出是对方给你发的,还是对方机器己经中毒,自动发作的。
2、访问潜在欺骗源的防御方法:每一个web页、每封信件一不管是不是来自朋友,也不管是不是门户站点,都有可能存在木马或脚木病毒,最好的办法就是禁用ActiveX,必要的时候才打开。及时升级浏览邮件工具补丁,防止浏览器漏洞被利用。 病毒不断演化,随着编程技术的进步,目前的病毒其备越来越多的欺骗特征一可以说目前病毒传播的主要途径就是漏洞和欺骗,对待漏洞没说的,第一时间打上补丁是最好的解决办法,对待欺骗则就是依靠用户主观的判断了。
(五)进一步加强计算机安全培训
急需建立一套安全培训课程,采用分级培训的方式。可分为初级、中级和高级课程。初级课程而向普通计算机用户,通过安全培训,一方面提高安全防范意识,另一方面拿握基本的病毒防治技术,中级课程面向中小企业网络管理人员。通过培训掌握对中小型网络系统的病毒防治技术。高级课程适用于大型网络的高级网络管理人员,通过培训全面掌握针对大型网络的病毒防治技术和管理方法。
(六)防治病毒的安全建议
1、建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开。不要上一些不太了解的网站,不要执行从互联网下载后未经杀毒处理的软件等。这些必要的习惯会使您的计算机更安全。
2、关闭或侧除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FrP客户端、Telnet和Web服务,这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们就能大大减少被攻击的可能性。
3、经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达等病毒。许多病毒的流行,大都利用了微软操作系统中的漏洞或后门,所以我们应该定期到微软网站去下载最新的安全补丁,以防患于未然。
4、使用复杂的密码。有许多网络病毒就是通过猜侧简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5、强化您的服务器。“强化”涉及两个简单的实践法则:购买商用软件时,删除您不需要的所有东西,如不能删除,就把它禁用。设备和软件通常配置了默认用户名、密码访问,来宾(guest)和匿名帐户以及默认共享。删除你不需要的,并修改所有身份验证凭据的默认值。
6、迅速隔离受感染的计算机,当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染或者成为传播源,再次感染其它计算机。
7、了解一些病毒知识,这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏;如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑健值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
8、关注在线安全。新病毒的种类与数量之多,真令人始料不及。不妨定期访问在线安全站点,比如诺顿、卡巴斯基、金山、瑞星等,这些网站提供了最新的安全资料,对于防毒很有帮助,建议你将这些站点添加到个人收藏夹中。
9、升级防毒软件,随时更新桌面防毒系统,鼓励用户至少“每周”检查一次防病毒更新,若安装防毒软件,请确认其为最新版本。有些防毒软件具有这样的特性:一旦软件厂商发现了新的病毒,软件可以自动连线上网,增加最新的病毒库。
10、定期扫描系统。初次使用防毒软件时,扫描整个系统是个好主意,防毒软件可以定期在后台扫描系统,养成定期扫描的习惯吧,这绝对会让你受益无穷。
11、用户还应该安装个人防火墙软件进行防毒。由于网络的发展,用户电脑面临的黑客攻击问题越来越严,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上黑客攻击。
12、强化安全教育,增强用户自我防护意识。用户培训通常是组织在设计其病毒防护时最后考虑的事情之一,帮助用户了解与恶意软件攻击有关的一些风险的重要部分,有必要让用户做到以下几点:
(1)不要打开不明电子邮件的附件;
(2)不要使用弱密码;
(3)不要从不受信任的网站下载应用程序和ActiveX控件;
(4)不要从未经授权的可移动媒体运行应用程序;
(5)树立防范计算机病毒的长期意识,强化自我保护意识。
参考文献
[1]卓新建.计算机病毒原理及防治.北京:北京邮电大学出版社,2004.
[2]张仁斌,李钢,侯整风,计算机病毒与反病毒技术,北京:清华大学出版社,2006.
[3]戴燕梅.计算机网络病毒的安全防治策略科学之友.2007.