浅析计算机病毒及其防范措施

浅析计算机病毒及其防X措施摘要：随着计算机在社会生活各个领域的广泛使用， 计算机病毒已经渗透到信息社会的各个领域，病毒给计算机系统带来了巨大的破坏和潜在的威胁。 计算机病毒作为计算机平安的主要威胁，正在受到人们广泛的关注。人们对计算机平安要求的不断提高， 只有透彻理解病毒的内在机理，知己知彼，才能更好的防 X病毒。本文按病毒攻击对象对计算机进展病毒分类，分析了一般病毒的破坏作用和防 X措施。并针对一般病毒特征和特点、机理提出了相应的防X措施。关键词：计算机；病毒；防X;处理word资料.随着计算机技术的不断开展和互联网的扩大，计算机已成为人们生活中不可缺少的通迅工具。但与此同时，计算机病毒对计算机网络的攻击与日俱增， 而且破坏性日益严重。从用户的角度来说仅仅依靠软件的防护是不可能达不到最正确的防护效果。 但是一旦遭到计算机病毒攻击将给我们带来严重的损失，甚至使网络瘫痪，所以防X计算机病毒受到人们的高度重视。随着计算机网络在社会各个领域广泛应用， 涉及个人隐私或商业利益的信息在网络上传输时遭到他人或对手利用窃听、冒充、 篡改、抵赖等非法手段侵犯用户的利益和隐私， 和破坏给人们带来的干扰已屡见不鲜。因此防 X计算机病毒已尤为重要。一、计算机病毒的概述“计算机病毒”之所以叫做病毒。首先，它与医学上的“病毒’’不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编写具有特殊功能的程序。由于它与生物医学上的“病毒’’同样有传染和破坏的特性， 因此这一名词是由生物医学上的 “病毒’’概念引申而来的。从广义上讲，但凡能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。 依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。在国内， 专家和研究者对计算机病毒也做过不尽一样的定义，但一直没有公认的明确定义。直至 1994年2月18日，我国正式公布实施了？中华人民XX国计算机信息系统平安保护条例？，在？条例琛二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 一旦事先设定好的环境触发，即可感染和破坏。word资料.二、计算机病毒的工作原理〔一〕、计算机病毒的引导机制1、计算机病毒的寄生对象计算机病毒实际上是一种特殊的程序， 是一种程序必然要存储在磁盘上， 但是病毒程序为了进展自身的主动传播，必须使自身寄生在可以获取执行权的寄生对象上。 就目前出现的各种计算机病毒来看，其寄生对象有两种，一种是寄生在磁盘引导扇区； 另一种是寄生在可执行文件〔.EXE或.〕中。这是由于不管是磁盘引导扇区还是可执行文件，它们都有获取执行权的可能，这样病毒程序寄生在它们的上面， 就可以在一定条件下获得执行权， 从而使病毒得以进入计算机系统，并处于激活状态，然后进展病毒的动态传播和破坏活动。 2、计算机病毒的寄生方式计算机病毒的寄生方式有两种， 一种是采用替代法；另一种是采用法。所谓替代法是指病毒程序用自己的局部或全部指令代码， 替代磁盘引导扇区或文件中的全部或局部内容。 所谓法那么是指病毒程序将自身代码作为正常程序的一局部与原有正常程序在一起， 病毒的位置可能在正常程序的首部、尾部或中间。寄生在磁盘引导扇区的病毒一般采取替代法， 而寄生在可执行文件中的病毒一般采用法。 3、计算机病毒的引导过程计算机病毒的引导过程一般包括以下三方面：〔1〕驻留内存：病毒假设要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的局部内存空间。有的病毒不驻留内存。〔2〕窃取系统控制权：在病毒程序驻留内存后，必须使有关局部取代或扩大系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进展传染和破坏。〔3〕恢复系统功能：病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进展感染和破坏的目的。〔二〕、计算机病毒的感染机制所谓计算机病毒感染，是指计算机病毒程序由一个信息载体 （如软盘）传播到另一个信息载体（如硬盘），或由一个系统进入另一个系统的过程。其中感染的病毒的信息载体被称为计算机病毒载体，它是计算机病毒代码存储的地方。 常见的计算机病毒载体包括磁盘、 光盘或可移动磁盘等。但是，只有载体还缺乏以使计算机病毒得到传播。 传染性是计算机病毒的本质属性，根据寄生部位或传染对象和传播路径进展分类分类，计算机病毒有以下两种：1、计算机病毒的传染对象〔1〕磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒主要是用计算机病毒的全部或局部逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。 由于引导区是磁盘能正常使用的先决条件，因此，这种计算机病毒在运行的一开场 （如系统启动）就能获得控制权，其传染性较大由于在磁盘的引导区内存储着需要使用的重要信息， 如果对磁盘上被移走的正常引导记录不进展保护，那么在运行过程中就会导致引导记录的破坏。 磁盘引导区传染的计算机病毒较多。 〔2〕操作系统传染的计算机病毒操作系统是一个计算机系统得以运行的支持环境，它包括. 、.exe等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类计算机病毒作为操作系统的一局部，只要计算机开场工作， 计算机病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性增加了这类计算机病毒出现的可能性与传染性。操作系统传染的计算机病毒目前已广泛存在， “黑色星期五〃即为此类计算机病毒。〔3〕可执行程序传染的计算机病毒word资料.可执行程序传染的计算机病毒通常寄生在可执行程序中， 一旦程序被执行，计算机病毒也就被激活，而且计算机病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进展传染。2、计算机病毒的传播途径随着计算机技术的开展，计算机病毒的传播途径有多种，大概可以分成以下几种： 第一种途径：通过不可移动的计算机硬件设备进展传播。 第二种途径：通过移动存储设备来传播。 第三种途径：通过计算机网络进展传播。第四种途径：通过点对点通信系统和无线通道传播。〔三〕、计算机病毒的触发机制感染、潜伏、可触发、破坏是病毒的根本特性。计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足， 满足那么传染或发作，否那么不传染或不发作或只传染不发作， 这个条件就是计算机病毒的触发条件。 实际上病毒采用的触发条件把戏繁多， 从中可以看出病毒作者对系统的了解程度及其丰富的想象力和创造力。 目前病毒采用的触发条件主要有以下几种：1、日期触发：许多病毒采用日期做触发条件。 日期触发大体包括：特定日期触发、月份触发、前半年后半年触发等。2、时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。3、键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键人时，病毒被激活，进展某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。4、感染触发：许多病毒的感染需要某些条件触发， 而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。5、启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。 6、磁盘次数触发：病毒对磁盘I/O的次数进展计数，以预定次数做触发条件叫磁盘次数触发。7、调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 8、其它触发机制：OS型号、IP地址、语言、地区、特定漏洞。〔四〕、计算机病毒的破坏机制根据现有的计算机病毒资料可以把计算机病毒的破坏目标和攻击部位归纳如下： 1、攻击系统数据区：计算机病毒的攻击部位包括硬盘主引寻扇区、 Boot扇区、FAT'表和文件目录。一般来说，攻击系统数据区的计算机病毒是恶性计算机病毒，受损的数据不易恢复。2、攻击文件：计算机病毒对文件的攻击方式很多，如：删除、改名、替换内容、丧失局部程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丧失文件簇和丧失数据文件等。3、攻击内存：内存是计算机的重要资源，也是计算机病毒的攻击目标。计算机病毒额外地占用和消耗系统的内存资源，可以导致一些大程序受阻。计算机病毒攻击内存的方式如下：占用大量内存、改变内存总量、制止分配内存和蚕食内存等。4、干扰系统运行：计算机病毒会干扰系统的正常运行，以此作为自己的破坏行为。此类行为也是把戏繁多，可以列举以下方式，不执行命令，不干扰内部命令的执行，虚假报警，不翻开文件内部栈溢出、占用特殊数据区、换当前盘、时钟倒转、重启动、死机、强制游戏和扰乱串并行口等。5、速度下降：计算机病毒激活时，其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降等。6、攻击磁盘：计算机病毒攻击磁盘包括攻击磁盘数据、不写盘、写操作变读操作和写盘时丢字节等。7、扰乱屏幕显示：计算机病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、word资料.倒置、显示前一屏、光标下跌、滚屏、抖动等。8、键盘：响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱。三、计算机病毒的预防与查杀病毒〔一〕、计算机病毒的预防加强计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制严密结合起来， 提高人们的防X意识，其次对待病毒关键是“防〃为主。防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。将病毒拒之门外。 使用计算机提高工作和生活的效率的同时病毒也困扰的我们， 很多用户对病毒一筹莫展，为了能更好的防X计算机大致如下几点：1、由于正版价格昂贵绝大多数都采用盗版系统，这时在新重的系统进展病毒检查。 2、对硬盘做DOS和FORMAT格式化以防止硬盘有病毒藏匿。3、对使用的软件进展检查，大多数用户在使用软件时为方便和实惠优先网络上下载的软件或盗版软件。比方：一些破解软件，纯洁版等等。这些软件里都有可能藏匿病毒以到达不可告人的目的。4、在使用软盘和移动磁盘时进展病毒查杀。为了防止电脑使用可移动磁盘时，通过双击，或者右击盘符时，导致把病毒感染至整个电脑，因此使用命令行方式，翻开可移动磁盘盘，病毒不被激活传播。插入可移动磁盘后，在Windows"开场''菜单"运行''对话框中输入“CMD"命令〔进入DOS命令模式〕输入可移动磁盘盘符如"H:"按ENTER键。在车^入“start."按ENTER键。〔注意start后面是一个点".’’执行此命令后即可翻开可移动磁盘〕5、永远不要使用任何解密版的反毒软件，盗版者不可能全面照顾因为解密而可能产生的任何后果，更无法保证被破坏了原软件完整性检测的盗版软件自身的干净和无毒， 他们无需担负任何责任和风险。同样，遭受侵权盗版损失的原版软件的研制单位和研究亦无任何义务为此担负任何责任。6、及时对使用的软件和杀毒软件打补丁升级，由于病毒的各种特性使得病毒藏匿很深反病毒产品必须适应病毒的开展，不断升级，才能识别和杀灭新病毒，为系统提供真正平安环境。7、经常注意系统的工作状况，特别留心与病毒病症相似的异常现象。及时发现异常情况，不使病毒传染到整个磁盘，传染到相邻的计算机。 发现异常现象，进展分析，当认为有染毒可能时，采用反病毒产品检测或手工检测，确保将病毒杀灭于"萌芽’’状态。〔二〕、计算机的病毒查杀1、软件去除对于杀毒软件而言最重要的特征就是： 病毒扫描引擎。该引擎扫描它所截取的数据以查看其中是否包含病毒，如果有病毒就会将其去除。信息的扫描通常通过两种方式进展： 一种是将扫描信息与病毒数据库〔即所谓的“病毒特征库’’〕进展对照，如果信息与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。但是对于某些新的病毒或危险信息，在病毒数据库中并没有它们的特征， 如果仅采用病毒特征库系统， 那么至少每天更新一次病毒库就显得尤为重要。可全球每天至少有数十种病毒出现，还有变异病毒、 隐藏病毒等，如果杀毒软件两三天都不更新病毒库就变得很危险了。 有些杀毒软件查到病毒后不能够彻底去除病毒，目前有些病毒自身保护，能够将杀毒软件杀死在进程里， 再继续破坏就计算机病毒的各种特征来看使用杀毒软件杀毒还是很被动的。2、手工去除在查毒过程中为起到不同的查杀效果 我们在查杀病毒时最好多使用几套查杀软件或方法。这样往往收到事半功倍的最正确效果。由于病毒的可触发性、破坏性、隐弊性等病毒特性。病毒的产生肯定是比我们使用的杀毒软件的升级快很多的， 既然是那个样子我们在杀毒会很word资料.被动，我们学习手动杀毒就对我们很有帮助， 也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的根底。进程法：有的病毒在热启动〔CTRL+ALT+DEL）就可以看出来，它们总是想隐藏自己成为系统里面的特殊文件，仔细看就可以看出端倪。其实只要认真看问题就简单。简单方法就是发现可疑进程，可以使用搜索功能搜索进程文件 .exe查看是否是病毒文件，或是上网收搜该进程的相关相信。特别注意的是在用热启动的时候， 在不翻开任何文件和软件情况下， 查看进程可以发现是否有病毒启动，这样比拟好识别。在使用进程法时或许有些顽固进程无法关闭这时可以采用命令行方式关闭。具体方法：首先“开场一一运行，输入CMD,翻开命令提示符。输入“Tasklist''后就会到我们各个程序的进程列表了，其中有一列叫 PID（进程标识符）的，这对我们强制关闭某个进程时有用到。命令如下： "ntsd-cq-pPID号"。启动法：现在的病毒和木马都会自己随系统而启动， 那么我们就可以根据这个把它找到。 开场 运行 输入msconfig在启动选项就可以看到启动的工程和命令还有位置，把你觉得十分可疑的前面的沟去掉就可以了。 我们还使用注册表进展启动文件删除。 可以在运行里面输入regedit〔注册表〕，HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce,还有RunServices和Run,还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce,以及RunServices和R