计算机病毒的防御探讨

1、计算机病毒的防御探讨沈爽北京信息科技大学信息管理学院，北京，100192shenshuang1摘要：随着计算机的普及和网络技术的高速发展,计算机病毒的危害越来越大。如何有效地避免感染,尽早地发现、清除病毒,减少损失,是计算机用户十分关心的问题。本文就此问题进行探讨,希望对广大计算机用户有一定帮助。关键词：计算机病毒；危害；防治。1. 引言在人类跨入新的世纪后计算机的发展将更加迅猛,而当前计算机的应用已经比较普及,但是,人们对计算机病毒的认识还比较肤浅,不能及时采取预防措施,因此让用户掌握必须的计算机病毒知识是非常必要的。2. 病毒的综述2.1 病毒的定义 早在1949年，距离第一部商用计算机的

2、出现还有好几年时，计算机的先驱者冯·诺依曼在他的一篇论文复杂自动机组织论中就提出了计算机程序能够在内存中自我复制，把病毒程序的初步蓝图勾勒出来。但当时，绝大部分的计算机专家都无法想像这种会自我繁殖的程序是可能的，只有少数几个科学家默默地研究冯·诺依曼所提出的概念1。计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义：病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷，破坏计算机数据并影响计算机

3、正常工作的一组指令集或程序代码。自20 世纪80 年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的计算机病毒2。 计算机病毒从不同角度大致有三种定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散, 能“传染”其他程序的程序；另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序；还有一种定义是一种人为制造的程序, 它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时, 它会自生复制并传播, 使计算机的资源受到不同程序的破坏，等等。综而概之，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到

4、某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合6。2.2 对病毒的理解计算机病毒和生物病毒是完全不同的两个东西，它们各自出现在不同的系统中，计算机病毒只感染计算机系统，它从本质上讲是一种程序。它之所以被称作病毒，是因为在形式上与生物病毒有一定的相似性，它们都具有传染性和破坏性3。 The first abstract theory of computer viruses is the viral set theory given by Cohen, based on the uring machine 11, 13. A viral set is defined by (

5、M; V ) where M is a Turing machine and V is a nonempty set of programs on the Turing machine. Each v 2 V is called a computer virus and satisfies the following condition: if it is contained in the tape at time t, then there exist a time t0 and a v0 2 V such that v0 is not contained in the tape at ti

6、me t, but contained in the tape at time t0 . The most important one of Cohens theorems is about the undecidability of computer viruses 12, 13.2.3 病毒的分类1. 系统病毒 2. 蠕虫病毒3. 木马病毒、黑客病毒4. 脚本病毒 5. 宏病毒6. 后门病毒7. .病毒种植程序病毒8. 破坏性程序病毒9. 玩笑病毒10. 捆绑机病毒4计算机病毒的破坏性主要表现以下四方面的异常现象：(1) 屏幕显示异常屏幕上的字符出现脱落；出现异常的提示信息；出现异常图形，

7、突然变暗，显示信息消失；出现一些莫名其妙的雪花滚动或静止的雪花亮点等。(2) 计算机系统异常破坏计算机主板BIOS 内容，使计算机无法正确启动；系统出现自动关机现象；系统的运行速度减慢；抢占系统资源，如内存空间、CPU 运行时间等，使运行效率降低；攻击硬盘主引导扇区、Boot 扇区、FAT 表、文件目录，影响系统正常引导；不能双击打开U 盘；非法格式化整个磁盘。(3) 文件不正常删除软盘、硬盘或网络上的可执行文件或数据文件，使文件丢失；修改或破坏文件中的数据，使内容发生变化；系统自动生成一些特殊文件；可用磁盘空间异常减少；无法存入文件；程序运行出现异常现象或不合理结果等。(4) 打印机异常打印

8、机的打印速度降低；调用汉字驱动程序不打印汉字7。 2.4计算机病毒的特点计算机病毒的特点计算机病毒就是利用各种手段隐藏在内部程序里, 当达到设定的目标时即得激活码, 从而使计算机的资源受到不同程序的破坏 计算机病毒虽然仅仅是小小的程序, 但每个程序都有所不同, 具有以下特性l) 程序性: 计算机病毒同其他合法程序相同是一段可执行码, 但它不是一个独立的模块, 而是寄生在其他合法程序里面, 当运行一个可执行的程序时, 病毒就随之运行, 并从事偷窃和破坏, 而在没有运行这个程序之前, 不容易被发现2) 传播性: 计算机病毒不但具有程序性, 而且更具有传播性, 一旦病毒被复制或出现变种现象, 其速度

9、比细菌还快, 令人难以预防. 传播性是病毒的本质特征, 其会通过多种渠道迅速感染其他计算机 病毒程序一旦侵入系统并得以执行, 使得病毒通过搜索可以就某项具体内容找到符合条件的程序或介质, 之后再将病毒程序插入到系统的源程序, 从而实现自我传播的目的3) 潜伏性: 计算机病毒一般就像一颗%定时炸弹 , 在早期并没有什么症状, 很多从业者都豪无察觉 例如: 耶路撤冷病毒, 不到发病时期是察觉不出来的, 等到符合条件时. 立刻爆炸, 对计算机程序进行攻击和破坏 一个精心编制的病毒程序, 进入计算机后不会立刻爆发, 可以在一段时期或者很长一段时间中寄生在合法程序中, 对其他合法程序进行传播, 而毫无察

10、觉, 寄生能力越强, 其在计算机程序中潜伏的也就越久, 其传播范畴也就越广泛.4) 可触发性: 病毒因某种操作或发生某突发事件, 诱使用户感染病毒的特点被称为可触发性. 为了让自身更加具有隐蔽性, 病毒必须潜伏, 减少动作 如果一直潜伏不动的话, 从而就不存在传播和破坏能力 病毒所具备的可触发性就是用来控制传播频率的 病毒对中断调用次数计数, 以预定次数做触发条件, 这些条件可能是文件中的日期和时间类型的数据等9。3. 浅析计算机病毒的危害及防范3.1 计算机病毒的危害(1) 计算机病毒的危害（1） 计算机病毒在2000 年给全球经济造成的损失高达16000 亿美元，超过中国全年的GDP 产值

11、。仅在美国就有5 万家具有一定规模的公司遭受病毒的袭击，损失为2600 亿美元，占美国国内生产总值的2.5%7。 2007 年9 月14 日，微软安全中心发布了9 月漏洞安全公告。其中MS04-028 所提及的GDI+漏洞，危害等级被定为“严重”。瑞星安全专家认为，该漏洞涉及GDI+组件，在用户浏览特定JPG 图片的时候，会导致缓冲区溢出，进而执行病毒攻击代码。该漏洞可能发生在所有的Windows操作系统上，针对所有基于IE 浏览器内核的软件、Office系列软件、微软.NET 开发工具，以及微软其它的图形相关软件等等，这将是有史以来威胁用户数量最广的高危漏洞。这类病毒（“图片病毒”）有可能通

12、过以下形式发作：1)群发邮件，附带有病毒的JPG 图片文件；2)采用恶意网页形式，浏览网页中的JPG 文件、甚至网页上自带的图片即可被病毒感染；3)通过即时通信软件QQ、MSN 等的自带头像等图片或者发送图片文件进行传播。在被计算机病毒感染的计算机中，可能只看到一些常见的正常进程如svchost、taskmon 等， 其实它是计算机病毒进程。“ 蓝盒子（Worm.Lehs）”、“V 宝贝（Win32.Worm.BabyV）”病毒和“斯文（Worm.Swen）”病毒，都是将自己伪装成微软公司的补丁程序来进行传播的10。机械化的行为,病毒。计算机病毒以“被挟持”的计算机为平台, 通过无数次的复制与

13、自我复制对整个网络进行大肆攻击。目前,公安网络计算机里由于日常工作需要保存着大量的文档、业务资料、公文、档案等重要数据和信息资料, 如果被病毒破坏,被黑客盗取或篡改,就会造成数据信息丢失,甚至泄密,严重影响正常办公的顺利进行和警务秘密的安全。计算机感染病毒以后, 轻则运行速度明显变慢, 频繁死机,重则文件被删除或者被打包发送,硬盘分区表被破坏,甚至硬盘被非法格式化,更甚者还会造成计算机硬件损坏,很难修复。较为恶劣的还会放置木马程序到访问者计算机的系统文件里,随系统的启动一起加载,造成主页很难修改回来,更为恶劣的是修改操作系统注册表并注销造成注册表无法修改。还有病毒智能化程序相当高,感染以后杀掉

14、防杀病毒程序的进程, 造成杀毒软件失效, 感染的方式也由早期的被动感染到今天的主动感染。(2)成就性的理念,黑客。网络黑客是网络中最可怕的敌人,他一旦进入某个网络进行破坏, 其造成的损失无法估量, 也是网络安全防范策略的首要对象。公安信息网络是公安机关内部专网,遭受黑客攻击的可能性相对来说是少些,但也不是完全不可能5。(2) 计算机病毒为何如此厉害目前，计算机已经被广泛应用于现代战争中，计算机病毒也已成为一种比核武器更厉害的武器。这是因为，计算机病毒打入目标后，可使敌方计算机系统处于超负荷运行而被烧坏;它还可以篡改、抹掉一些重要数据、软件系统等;病毒打入敌方计算机系统后，可使其指挥系统彻底瘫痪

15、。此外，计算机病毒还能被利用来盗取敌国数以亿计的财富，使因失去战争基础而彻底失败8。(3) 计算机病毒的防范1、安装杀毒软件：计算机病毒无孔不入，安装一套杀毒软件很有必要。首次安装时，一定要对计算机做一次彻底的病毒扫描，尽管麻烦一点，但可以确保系统尚未受过病毒感染。另外建议你每周至少更新一次病毒定义码或病毒引擎（引擎的更新速度比病毒定义码要慢得多），因为最新的防病毒软件才是最有效的。定期扫描计算机也是一个良好的习惯。2、定期做好重要资料的备份，以免造成重大损失。3 、禁用Wi n d o w s S c r i p t i n g Host。许多病毒，特别是蠕虫病毒正是钻了这项“空子”，使得用

16、户无需点击附件，就可自动打开一个被感染的附件。4、将应用软件升级到最新版本，其中包括各种IM 即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。5、把文件存为RTF 或ASCII 格式。如果你想在网络服务器上与别人共享一些数据，但又不愿了解更多的病毒知识，那你最好把文件存为RTF 或ASCI I 格式，因为这两种文件格式都能避免宏病毒的攻击。6、使用基于客户端的防火墙或过滤措施，以增强计算机对黑客和恶意代码的攻击的免疫力。或者在一些安全网站中，可对自己的计算机做病毒扫描，察看它是否存在安全漏洞与病毒。如果你经常在线，这一点

17、很有必要，因为如果你的系统没有加设有效防护，你的个人资料很有可能会被他人窃取11。4. 计算机病毒发展的新趋势研究4.1当前形势 据中国互联网络信息中心（CNNIC）发布的第23 次中国互联网络发展状况统计报告显示，截至2008 年底，中国网民数达到2.98 亿，较2007 年增长41.9%.另据金山毒霸“云安全”中心监测数据显示，2008 年金山毒霸共截获新增病毒、木马13 899 717 个，与2007 年相比增长48 倍.随着网民数量的爆炸式增长，计算机病毒、木马也呈现几何级膨胀，病毒对信息安全的危害日趋严重.因此，分析网络环境下计算机病毒新特征、探讨有效防范措施，对保证计算机网络顺利运

18、行和个人信息安全，具有现实意义14. In the last decade, computer viruses have caused tremendous losses to organizations. New viruses continue to cause havoc, in spite of having better antivirus software. It is thus imperative that we understand what factors significantly influence the spread of viruses15.4.2网络环境下病毒新

19、特征 目前计算机病毒的传播方式、使用技术以及危害的程度与过去相比已经有了较大的变化.在网络环境下，病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点3.(1) 破坏性极大(2) 利用可移动磁盘传播的病毒明显增多(3) 病毒隐蔽性强(4) 对抗安全软件的病毒明显增多(5) 网页挂马式传播(6) 病毒制造经济化、产业化、低门槛化145. 小结随着计算机网络技术的迅猛发展，计算机病毒的防治也迫在眉睫。本文通过对计算机病毒的解析，最后提出计算机病毒的防治措施，以保护计算机网络安全，使得计算机网络真正发挥其积极的作用。参考文献:1病毒也要立传?计算机病毒简史: 网事如风J.2001.42付松洁,计算机病毒类型及其防范措施:经济研究导刊J.2010.5:p.13魏智锁,贺志新,俊平.对计算机病毒的理解: 集宁师专学报N. 1999. 21(4): p. 1.4付松洁,计算机病毒类型及其防范措施:经济研究导刊J.