计算机病毒原理及防护

1、 计算机病毒原理及防护 方亚南，廖仲欣（云南电网有限责任公司瑞丽供电局，昆明650200）Reference：计算机病毒已渗入到全球的每个地方，给人们的数据安全带来巨大危险，对计算机病毒的基础内容以及它的害处进行了解，及时采取防护措施已刻不容缓。阐述了计算机病毒的基本内容，探讨了计算机病毒的原理以及防护措施。Keys：计算机病毒；原理；防护1 特点及发展趋势1.1特点1.1.1攻击性计算机病毒的传播能力是非常厉害的，电脑在中毒之后的第一反应就是计算机不能进行工作，电脑里的资料会让别人给窃取掉，人们还能够在很远的地方对这个电脑进行控制，电脑里的资料也会被人所改变。更严重的一些隐私会被别人知道，电

2、脑的CPU也会被别人占用，这样电脑就会反应很慢，甚至会不能开机。1.1.2传播性计算机病毒的破坏性比人类生病的传播更加厉害，病毒的破坏能力是很强大的，而人类身上的病菌是需要一定的传播环境的，只有达到了相适应的条件，它才会成长以及传播，如果人们在不知情的情况下下载了病毒软件，那么电脑就会被感染以及中毒。计算机病毒的传播有很多种来源，有硬件、软件、U盘以及网络等方面。1.1.3潜伏性计算机需要在中毒好长时间才能有所反应，病毒软件会一直潜藏在计算机里，当人们触碰它的时候病毒就会发作。计算机病毒就是通过这种方式得以慢慢传播的。1.2发展趋势1.2.1隐藏方式多样当今社会中的电脑病毒的载体变得更加高级了

3、，而这些病毒的隐藏方式在不久的将来就能借助数字水印的方式来实现，或者可以藏在人们看不到的操作系统以及网络中，而网来自WwW.lw5u.Com络隐藏的方式就有编码技术，未来病毒载体的发展就会朝着这个方面看齐。1.2.2攻击速度极快由于社会的不断发展与变化，电脑里病毒的破坏能力是非常强大，随着网速的不断提升，无线蓝牙、路由转换器以及网线等输入配置，慢慢变成了黑客们进行网上作案的首要选择，因为无线输入的劣势，黑客们就会利用这个特点对这些设备进行攻击，即使时间不是很长，黑客们都能把他们的wifi给破解，更厉害的人还能够在人们的电脑上安装木马病毒以得到他想要的东西1.2.3传播方式多样每天都会出现许多新

4、型的病毒，而且这些病毒的样式很多。而种类的不同会导致病毒的传播介质以及传播特点等方面不一样。PZP的技术就是把新出现的病毒组合在一起，从而使得病毒的发展更加地广泛，这属于新的发展目标。2原理2.1结构计算机病毒的构成部分有攻击模块、破坏模块以及引导模块3个部分2.1.1引导模块引导的功能就是把静态的病毒转变为动态的。静态的病毒如一直未被触碰，那么病毒的感染以及破坏能力是没有被启动的。而动态地讲是被激活的病毒，或者再运行了一些程序后被激活的病毒，这样的话这些病毒就会变得很猖狂了。(1)把内存进行扩展。如果病毒要发作的话，那么这个病毒就要寄存在内存里面，只有把这些内存进行扩展或者要直接覆盖了才能得

5、到一些内存。(2)病毒体的定位以及寄存。病毒在找到了新的载体之后就能够把以前的寄存部分给取代，在电脑里的内存空间中找到新的位置，与此同时要做好电脑的保护，这样就不能把正在运作的软件给覆盖掉。病毒在袭击了计算机之后，电脑要激活了该病毒时候才能使它工作，这些措施有对中断进行改变，对激活进行设计以及建立破坏规则。计算机拥有了掌控权利之后就会按照自己的要求达到一定的环境才能被传染以及改变。在计算机的操作系统中，病毒寄存在电脑里的手段和DOS操作系统是不一样的。而Windows操作系统可以通过3种方式来寄存：(l)把病毒看成是Windows操作系统中的一个程序，建立个人的窗口以及消息的处理；(2)借助D

6、PMI得到一个新的空间，把代码放入新的内存里；(3)把病毒放人VDD (Windows2000fNT的操作系统里)以及VXD (Windows9X的操作系统里)工作。在操作系统中，可以采取下面的2个方法对他们文件的调用：(1)因为原始的INT21H的调用，DOS操作系统下的传播手段是和它相同的； (2)借助操作系统的API实现，而它们工作的起源就在于VXD以及VDD的调用，因此能够借助VXD/VDD的手段来避免感染。 (3)系统恢复的作用。要使病毒能进行长久的工作，把病毒变得更加隐蔽，一些主要的病毒软件能够把它的破坏特性传播给某些软件，计算机的软件可以借助病毒的程序运行。就寄存在内存中的病毒来

7、讲，病毒的引导程序处于最主要的地位，它能够把原本体系里的引导程序转移到某些磁盘中。只要这个电脑被开机了，病毒的引导模块能够自己进入到内存中，而且还能运行。接着把它们放人感染以及破坏模块里的一些空间里与此同时可以借助常驻内存的方法使得他们不被占用，感染以及破坏模块中建立起激活的规则，使他们在一定的条件下得以运行。病毒的引导部分就会把内存引进引导模块中，这样的话这个计算机就被中毒。而可执行的软件再中毒之后，病毒往往会把这个程序的参数篡改掉以使得这个病毒能和它进行连接，与此同时还能使得这个病毒在一开机的时候就能被运行，接着就能够进入到病毒的引导模块这个模块可以把病毒放入感染以及破坏的模块中并能对它们

8、进行初始化，再把它们转移给执行的软件，这样的话就能够让这个计算机中毒了还能运转。因为要得到进一步的感染以及破坏，病毒往往还能够对中断进行修改，人们熟悉的一种属于INT21H的修改，这样病毒就能够对计算机的一切信息进行控制。2.1.2感染模块感染模块的任务是使得病毒能进行动态的感染，属于病毒传播中的一个最重要的部分。每一种病毒的感染都是差不多的，不同点主要是环境的不一样。病毒在拥有了计算机的掌控能力之后，最开始运行的是条件判断的部分，辨别出感染的条件；若到达了这个感染界限的话，病毒的软件就会被引进到放人宿主程序中来进行传播；接着运行剩下的程序，最后再对计算机的软件进行正确的处理。病毒能够感染电脑

9、中的很多软件，比如：命令文件、硬盘、软盘的Bo。t区、可执行文件、覆盖文件、com文件和硬盘的主引导记录。而病毒的首要选择攻击的对象就是它们，接着再进行更广泛地传播。病毒软件得以运行的关键就在于它特殊的感染机制，指的就是它的传播方法是由病毒软件的编造人员在编写的时候就确定的。2.1.3破坏模块该模块目标是把病毒完成破坏功能，它是病毒的主要模块。它是执行计算机病毒的破坏行为，其里面有执行计算机病毒编写人员预先设定好的有破坏行为的码，这些破坏行为大概是破坏程序、数据，或者计算机的时空效率，使得系统的运转变得缓慢，扰乱银屏显现，还有的是使计算机死机，这也是病毒为显示自身的存在与自己的目标得到执行，病

10、毒早晚会发作。2.2入侵方式执行病毒侵入的重要技术是对病毒的有效率注进“其攻击目标是对方的每种系统，和从计算机主机到各种样式的传感器”网桥等，用来促使他们的电脑在重要时刻受到诱导或者死机，没有办法实施。从外国的技术研究状况来分析，病毒注进计算机的方式有下面4种：2.2.1无线方式使用无线电技术将病毒码发送到另一方的电子硬件中。这种方式是计算机病毒注进计算机的最好方式，但这个技术困难程度也是最大的。2.2.2固化式方法将病毒预先放置在硬软件当中，紧接着将这个硬软件交给另一方，使得病毒直接传给另一方电子硬件，必要时把它激发，以此进行攻击。2.2.3后门攻击方式后门是计算机安全系统里面的某个小漏洞，

11、这是由软件设计人员或者维护人员设计，可以让知晓后门存在的人从正常安全防范措施绕过进入计算机。2.2.4数据控制链侵入方式网络技术的应用越来越广泛，使得计算机病毒从系统的数据控制链途径进入变成可能。远程修改技术应用，可很易地对数据控制链改变的正常途径。3病毒的防护3.1基本原则计算机病毒的防护要做到以下几点：(1)病毒检测能力：计算机病毒一定有很大概率侵入计算机系统，所以，系统中应该有对病毒检测的机制来阻挡外部侵犯病毒。(2)控制病毒传播的能力：计算机被病毒所感染会是个必然事件。只要病毒侵入到硬件系统中，应有着阻挡病毒在系统当中随处散播的实力及手段技巧。(3)清除能力：万一病毒冲破了系统保护，即

12、便是制约它的传播，但是也会有相对应的措施把它除去。(4)恢复能力：在病毒被除去之前，就有数据被破坏了，是人们及其害怕但又十分有机会发生的事件。所以，系统应该给予某种高效率的形式来把已被破坏的数据进行恢复，使得数据破坏带来自www.Lw5U.com来的损失降至最少。(5)替代操作：大概会有这种状况出现，当问题发生的时候，目前身边又没可以使用的技术来将此问题解决，但问题依然在运行。为处理这种状况，系统应给予一种替代操作措施：在系统没有恢复以前用来替换系统运行，等到问题解决后再把它换回。3.2检测方法计算机病毒要传染，一定有迹象可循。对计算机病毒的检测，就是要去寄生场地去查询，看看非正常情况是否出现

13、并把存在计算机病毒进行确认。病毒未激发时在磁盘当中，它被激活时存留在内存当中。对检测计算机病毒方法可以分成检测磁盘和检测内存两种方法。对磁盘检测时一定是要不带病毒的内存，这样检测人员可能得到一些计算机病毒给予假状况。所以，只有在要求确认某一种病毒的类别与对它展开解析及研讨时，这样检测情况才是真实的。3.2.1预扫描技术它可以非间接CPU行为模拟来对不同种病毒活动检测，研究分析这个病毒码，是针对不可知晓的计算机病毒特别设计的。3.2.2校验和法把正常文档包含的内容，对它“校验和”展开计算，把校验和写进文档中或者写进其他文档中存储。特定时期地或者每一次对文档使用之前，检查文档目前内容计算得出的校验

14、和与以前存储的校验和对比，用这来实现文档是不是被病毒感染。使用该方法检查病毒是否存在，它能检查已知及未知的病毒，但它识别不出是哪种病毒，病毒的名称报不出。3.2.3特征码法该法是IT行业认为对已知病毒的最简单检测方法。原理是把一切病毒的病毒码用来对比解析，并把这些病毒独特的特点集中在某个病毒码数据库中，用扫描形式把要检测文档和病毒码数据库中的病毒码展开逐一比较，如果有相同码出现，就可以判断这个程序已经被病毒破坏了。3.2.4软件模拟法多种形态性质病毒每一次侵入后都会改变它的病毒密码，特征码法无法解决此病毒。由于多种形态性质病毒执行了改变密码的形式，而每一次所使用密钥不尽相同，将感染病毒的文档中的病毒码与正常病毒码对比，没有办法寻找到一样的可以成为这个特点的稳定码。为了检查出此病毒，可以使用软件模拟法。用该方法来模拟与解析程序的运转，之后用虚拟机上展开检查查毒。新式检测软件加入