计算机病毒分析与防御

(整期优先)网络出版时间:2009-04-14
/ 2

计算机病毒分析与防御

邓海超

关键词:计算机病毒防范网络病毒

0引言

计算机病毒是指一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地通过网络蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来,感染正常文件,盗取数据。某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。

1计算机病毒特点

1.1寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。

1.2传染性计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机井得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。

1.3潜伏性有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等;

1.4隐蔽性计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。有的时隐时现、变化无常,这类病毒处理起来通常很困难。

1.5破坏性计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏;比如:熊猫烧香蠕虫病毒不但对用户系统进行破坏,导致大量应用软件无法使用,还可删除扩展名为gho的所有文件,造成用户系统备份文件丢失,从而无法进行系统恢复。还能终止大量反病毒软件进程,极具破坏性。

1.6触发性病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。

2计算机病毒的防范

针对计算机病毒的特点,我们采取的防御策略是:

2.1时常查看计算机运行情况,若CPU的使用率在50%左右,且电脑又没有启动任何程序,则电脑有病毒。按照这样设置“工具”-“文件夹选项”-“查看”-“隐藏文件和文件夹”-“显示所有文件和文件夹⊙”,且“隐藏已知文件类型的扩展名√”。病毒一般会显现出来。

2.2从自我做起,拒绝进入可疑网站。一般电脑中病毒都是进入一些非法网站,或者是进入某些“肉鸡”服务器,导致电脑中病毒。尽可能的进入官方网站或者进入知名度高的网站。避免肉鸡网站的外挂。

2.3从技术入手,运用杀毒软件与病毒检测软件和防火墙联合使用。建议使用“小红帽与360配套,外加ComodoFirewall“,因为“小红帽、360、ComodoFirewall”均属免费的,可以进入:http://www.free-av.com/en/trialpay-download/1/avira_antivir_personal_free_antivirus.html。同时在杀毒时拔掉网线,避免病毒远程影响杀毒软件查杀。

2.4在没有杀毒软件的情况下,观看CPU的使用率,若在没有任何操作的时候CPU使用率在50%左右可以采取查看可疑进程,然后,将可疑进程名放在电脑的每个盘符下搜索,找到后按Shift+Del。当无法删掉时,可以重启电脑时按住“F8”-“安全模式”,进入Windows系统时,可以删掉病毒文件。最后在“程序”-“运行”输入“regedit”进入注册表后,按Ctrl+F输入病毒进程名,删掉每个进程的启动文件。

2.5不随便下载可疑软件,尽可能去官方网站。