杜志林
(北京师范大学珠海分校教务办公室 广东珠海 519085)
【 摘 要 】 随着计算机技术的迅速发展以及计算机应用领域的日益扩大,计算机病毒随之而来并迅速蔓延扩张,几乎已遍及社会的各个领域,显然地,计算机病毒已成了计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物,有过计算机接触史的人几乎都会碰到它。计算机病毒给计算机系统造成的巨大破坏和潜在威胁已经给人们的生活,工作和学习带来了极大的不便。为此,为保障计算机系统以及信息传递的安全,对计算机病毒的研究分析显得尤为重要,防控计算机病毒更是迫不及待,着重从计算机病毒的特点、分类、传播途径,以及易感染程序为切入点来进行研究分析,进而探讨有关计算机病毒的防控方法与措施。
【 关键词 】 计算机;防控;病毒
【 中图分类号 】 TP309.5 【 文献标识码 】 A
Research Analysis and Prevention and Control of Computer Virus
Du Zhi-lin
(Beijing Normal University Zuhai Academic affairs office GuangdongZhuhai 519085)
【 Abstract 】 With the rapid development of computer technology, and the widening of computer application field, computer virus begin to spread rapidly and expansion,almost exists in all social spheres, apparently, Computer virus has become the computer technology and computer as the core of the society informatization process development at a certain stage of inevitable product, the people who have used computer can almost touch it. Computer virus to computer systems caused of huge damage and potential threat has to people of life, work and learning brings great of inconvenience, therefore, for the protection of computer systems as well as the security of information transmission,the research analysis of computer virus is particularly important, and the prevention and control of computer virus also can not wait.In this paper, focuses on computer virus features, classification, route of transmission,and be easy infection program as an entry point to resarch analysis,and then to discuss the prevention and control methods and measures.
【 Keywords 】 computer; prevention and control; virus
1 引言
随着信息时代的来临和计算机科技的高速发展,人们的生活、工作和学习都离不开计算机的应用。然而伴随着计算机网络的发展,用户人数不断攀升,计算机病毒更新换代的速度也着实惊人,给计算机用户的个人信息和数据隐私带来了极大的威胁,如此一来计算机系统的安全性问题受到了极大地挑战,因此很有必要对计算机病毒进行研究分析,并采取相应的方法与措施来进行防控。
2 计算机病毒的起源及定义
2.1 起源
作为计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物——计算机病毒,有关它的来源,截至目前依然众说纷纭。有科幻起源一说(如美国科普作家托马斯·捷·瑞安在《The Adolescence of p-l》一书中构思的能通过信息通道复制传播的计算机程序),有恶作剧起源一说(如美国康奈尔大学研究生罗伯特·莫里斯编制的“蠕虫”),还有游戏程序起源一说(如贝尔实验室三个程序员编写的“磁芯大战”(core ware)电子游戏)等,多见于美国。其实,早在电脑问世之初,计算机的先驱冯·诺依曼(JohnVonNeumann)在他的一篇论文《复杂自动机组织论》中已有对计算机病毒程式的勾勒,不过在当时绝大多数的电脑专家都无法想像会有这种能自我繁殖的程序。后来随着人们接触到的计算机病毒种类数量增多,才开始慢慢对计算机病毒有了了解。
2.2 计算机病毒定义
国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,以及公安部出台的《计算机病毒防治管理办法》将计算机病毒均定义如下:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。这是目前官方最权威的关于计算机病毒的定义,此定义也被通行的《计算机病毒防治产品评级准则》的国家标准所采纳。
3 计算机病毒的特点
由于计算机病毒是一种编制或插入计算机程序中通过复制自身从而感染其它程序的指令代码或程序,所以通过对计算机病毒程序代码的分析,我们不难发现计算机病毒的代码虽然短小,但整个病毒程序代码通常可分为三个段:引导段、传染段和表现段(也即作用段,有时没有这一段)。因此,计算机病毒具备几个主要特点。
(1) 繁殖力强 当程序运行的时候,它也会运行自身复制,这也是作为判断是否计算机病毒的基本条件。
(2) 破坏性大 计算机一旦感染病毒,一些正常的程序可能无法运行,或者也有可能删改某些磁盘数据或文件,更有甚者甚至破坏系统文件导致系统瘫痪或崩溃。
(3) 传染途径宽 病毒可由移动设备、硬件设备、网络等多渠道自动入侵计算机,并广泛大势传播。
(4)隐蔽性强 一些计算机病毒有时用杀毒软件等根本无法查出,并且成活跃式潜伏,时隐时现。
(5)潜伏期长 有些病毒在没有到达一定的激活条件时它将一直潜伏于计算机中,一旦条件成熟,它便会迅速发作对系统造成不可估量的破环。
(6)触发可操作性 有些病毒为了实现它控制感染和破坏的特性,有其预定的触发条件和机制。当病毒运行时,相关的触发机制检查预定条件是否满足,倘若满足,便启动感染或破坏动作,进而进行感染或攻击;倘若不满足,病毒便会一直潜伏,伺机待发。
(7)具针对性 计算机病毒一般都是针对特定的操作系统或系统中特定的应用程序。
(8)具衍生性和寄生性 衍生性是在掌握计算机病毒的原理基础上对计算机病毒进行改进从而衍生出的一种病毒变种。寄生性是病毒程序寄生在宿主程序中,靠宿主程序的执行而生存。
4 计算机病毒的分类
4.1 计算机病毒的科学分类
计算机技术发展至今,计算机病毒出现的种类也随之逐渐增多,为了更好地对计算机病毒进行研究分析,系统科学的分类方法就显得尤为必要,按属性分类方法可将其分为几类。
(1)病毒存在媒介
按病毒存在的媒介可划分为:引导型病毒、文件病毒、网络病毒以及他们的混合型。引导型病毒主要入侵启动扇区(Boot)和系统引导扇区(MBR);文件病毒主要感染计算机中文件;网络病毒主要通过计算机网络传播并感染网络中其他计算机中的可执行文件。至于混合型病毒,这类病毒感染方式非常规化,往往有其特有的算法较复杂,一般同时使用加密和变形。
(2)算法设计
按病毒的算法设计可划分为:伴随型病毒(产生一优先执行的同名但不同扩展名的伴随体文件,当病毒作用时用来加载原执行文件),“蠕虫”型病毒(利用网络通过映射网络地址将自身病毒从一台计算机传播其它计算机内存,除内存外不占用系统其它资源),以及寄生型病毒(伴随和蠕虫以外的病毒类型,附着于系统的引导扇区或文件中,通过系统功能进行传播,细分为练习型病毒、诡秘型病毒和变型(又称幽灵)病毒)等。
(3)传染方式
按传染方式可划分为:驻留型病毒和非驻留型病毒。驻留型病毒感染计算机时将自身的内存部分驻留于内存中,并拼接系统调用拼接到操作系统中,处激活态于系统整个运行过程。而非驻留型病毒虽激活但不感染计算机内存,极少部分病毒留于内存,不传染内存。
(4)病毒的破坏程度
按病毒的破坏程度可划分为:无危型病毒(减少磁盘有效空间),微危型病毒(减少内存、声色并茂),危险型病毒(严重妨碍系统操作甚或出错)和高危型病毒(病毒传染过程中给系统带来的不可预料的重大灾难性破坏,非病毒算法设计本身调用所致,以至不期地删改磁盘分区数据、程序文件、清除系统内存区和操作系统中重要信息)等。
4.2 病毒出现的主要种类和常见病毒种类
自1983年弗雷德·科恩研制的第一个计算机病毒程序被伦·艾德勒曼验证成功,以及巴锡特和阿姆杰德两兄弟设计的第一例计算机病毒Brain问世以来,世界上已出现了许多病毒种类。几种主要病毒有: CIH病毒(此之前还有Elk Cloner、Brain、Morris、“乒乓”等病毒),美丽莎(Melissa),爱虫病毒(Love Bug),“红色代码”,尼姆达(Nimda),SQL蠕虫王,“冲击波”(Blaster或Lovsan),震荡波,熊猫烧香,扫荡波,木马群,以及“鬼影”,极虎,宝马,犇牛和“lpk.dll”木马等病毒。
常见病毒的种类有:系统病毒(以Wins系列做前缀,一般感染系统的“.exe”和“.dll”文件进而传播),蠕虫病毒(Worm为前缀,一般通过系统漏洞或网络来传播),脚本病毒(Script为前缀,通常使用脚本语言进行编写并通过网页去传播),木马和黑客病毒(通常以Trojan和Hack为前缀,木马病毒一般通过网络或者系统漏洞入侵用户系统并隐藏,随后泄露用户的信息。黑客病毒可以图例化方式对用户计算机实施远程控制。这一对病毒通常成对出现,前者负责侵入用户计算机,后者通过前者来实施控制。
现在的病毒技术发展趋势一般是将这二者进行捆绑处理),宏病毒(以Macro为前缀且为第一前缀,由此可知,还有第二前缀,通常以Office系列中某个组件或其附加信息为名,通过注入Office通用模板然后进行传播),后门病毒(以Backdoor为前缀,通过网络传播,为系统开后门以此来给用户计算机埋下安全隐患),程序破坏性病毒和植入性病毒(常以Harm和Dropper为前缀,通常在运行时通过自身释放的病毒或诱惑的图标来产生破坏),还有像捆绑病毒(Binder)、玩笑病毒(Joke)、Dos、DDoser、Proxy、P2P、“MSG”、PWD、IRC、Exploit、Hack、DL、Mail、QICQ、Virus等病毒种类。
5 计算机病毒的传播途径和宿主类文件
我们已经知道计算机病毒具有传播的特性,那计算机病毒到底是如何进行传播的呢,又是通过哪些途径传播的呢?计算机病毒的传播是当系统运行时, 计算机病毒通过病毒载体即系统的外存储设备进入系统的内存储器, 常驻内存,在系统内存中监视系统的运行, 一旦当它发现有攻击的目标存在且满足感染条件时, 便利用系统INT 13H读写磁盘的中断从内存中将自身存入被攻击的目标(一般为文件的首部、中间或尾部), 从而完成将病毒进行传播并感染其他文件或系统。
病毒传播的途径 在了解计算机病毒的特点和种类以及计算机病毒传播过程的基础上,结合我们平常工作的实际,对计算机病毒的传播途径我们就能有个大致的归纳。计算机病毒常见有几种主要传播途径:文件传输介质、互联网(含局域网)、无线电、文件共享、网络共享、电子邮件、“固化”和后门攻击等等。
宿主类文件 计算机病毒传播所使用的文件类型(即宿主类文件),一般有几种:EXE、COM、Boot、HTML、PE、WinREG、Java、VBS、JS、Ruby、Python、IRC、BAT、Word、Excel等,称其为宿主类文件,有是否显示的属性。
6 计算机病毒的防控方法及措施
6.1 计算机病毒的危害及特征
安全问题普遍存在于生活中的各个领域,因此,我们应保持高度警惕,要有防患未然的意识,有关计算机的安全使用亦是如此。在使用计算机时应尽量避免突如其来的因素对计算机造成不可估量的危害,如计算机病毒入侵对计算机实施的破坏行为。
计算机病毒实施破坏性行为是通过修改系统某中断向量入口地址来实现的,让中断向量指向病毒程序作用段,在系统或被加载程序访问该中断向量时,病毒作用段程序被激活,当满足的条件成熟时便开始实施破坏行为。
计算机系统在感染病毒遭受破坏时常表现的一些的症状有:系统引导慢,经常性无故报错、死机或异常重启,系统异常报警,屏幕显示异常信息,系统运行速度慢,CMOS冲击,存储容量异常减少,盘符变更,无法识别硬盘,存储访问异常,程序非预期驻留内存,文件丢失或缺损,文件无法读取,文件大小、日期或属性被改变,命令执行出错,office办公软件常用组件提示执行宏,外设工作异常等。在使用计算机时,计算机病毒的这些破坏性行为都无疑给我们的工作和学习带来了极大地不便。
6.2 计算机病毒的预防和控制
在现如今互联网高速发展的时代,为了更好地利用计算机进行工作和学习,尽可能地减少计算机病毒带来的干扰,对计算机病毒的防控就显得尤为的重要。有了前面对计算机病毒的相关分析,我们就可以着手考虑采取什么样的方法与措施来防控计算机病毒。
当计算机系统处于无毒环境下时,也就是还未遭受计算机病毒入侵前,我们就应该采取有关方法预防病毒攻击。通常我们会为自己的计算机安装一些可信度高的安全软件,如安装正版杀毒软件并实时更新升级。有时候还会对计算机的系统和一些程序软件等做相应设置甚至备份一查杀引导盘来进行预防,如对系统盘和移动盘甚至是文件写保护,定期备份重要数据(切莫将用户数据存于系统盘),设置权限管理,更改文档属性或文件扩展名,运行程序或操作文件前做安全扫描甚至做完整性检查。由于现在的计算机大多都是基于网络环境运行的,因此还应该注意网络安全方面的预防。必要时也可诉诸法律援助。
事实上,我们无论怎样进行预防,但计算机还是难以避免遭受计算机病毒攻击的厄运。既然问题来了,计算机病毒出现了,那么这时我们只能采取相应措施来进行控制,以求达到将病毒攻击的危害消除或程度降低。
在得知计算机被病毒入侵时,安全起见首先应备份或转移重要数据,然后用已安装的正版杀毒软件进行完全查杀,以清除病毒或隔离备份染病文件,亦或将其删除。在此不得不提醒一下,虽然互联网可以传播病毒,但它同时也是一个庞大的“杀毒软件”,能够即时的采集、分析和处理病毒信息,因此应充分利用互联网来即时升级杀毒软件并更新病毒库(其实现在的很多杀毒软件中的“云安全”技术就是基于互联网的这一点来实现的)以求更好地完成查杀病毒。有时我们会发现,虽然查杀多次,但还是会有部分病毒残存于计算机系统之中,而往往在内存中常驻有防病毒程序,因此这时我们还可以利用已备份的引导盘来进行查杀。如果还不行,我们还可以查看系统启动项有无异常,以及检查注册表程序运行和系统配置实用程序文件是否正常。不得已的情形下,尽管我们不能保证系统重做后仍有病毒存在的可能性,也还是可以尝试选择还原或重做系统来处理以尽量保持系统干净。
7 结束语
虽然现如今计算机病毒的种类繁多,杀毒软件也多种多样且越来越先进,但病毒更新换代速度也不可小觑。对于计算机病毒,在新的反病毒技术未出现以前,防患于未然,我们应以预防为主,时刻树立良好的安全意识,这样方能更好地防控计算机病毒,减少因病毒带来的损失。
参考文献
[1] 张仁斌,李钢,侯整风编著.计算机病毒与反病毒技术[M].北京:清华大学出版社,2006.
[2] 张健,钟忠,刘伟.计算机病毒检测系统的研究[C].第二十次全国计算机安全学术交流会,北京:中国计算机学会计算机安全专业委员会,2006.
[3] 中国软件网(China Software).
[4] 傅建明,张焕国,彭国军编著.计算机病毒分析与对抗[M].武汉:武汉大学出版社,2004.
[5] 贾铁军主编.网络安全实用技术[M].北京:清华大学出版社,2011.
作者简介:
杜志林(1983-),男,黄冈师范学院,理学学士,助理工程师;
研究或关注领域:计算机应用和多媒体技术。