您好, 访客   登录/注册

浅析计算机病毒及防范的措施

来源:用户上传      作者:

  摘 要:防制计算机病毒显得尤为重要,通过掌握计算机病毒的类型和病毒发作时的表现来分析计算机病毒的工作机理,再加以采用对病毒的攻击的防范对策和方法,营造一个良好的计算机环境。
  关键词:计算机;病毒;防范
  中图分类号:TP3-0 文献标识码:B 文章编号:1009-9166(2010)035(C)-0075-02
  可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。
  一、计算机病毒的类型及特点
  从计算机病毒的基本类型来分,病毒可以分为系统引导型、可执行文件型、宏病毒、混合型、特洛伊木马型和Internet语言型等。
  (一)系统引导型病毒。系统引导型病毒在系统启动时,先于正常系统的引导将病毒程序自身装入到操作系统中,在完成此安装后,该病毒程序驻留在内存,然后再将系统的控制权转给真正的系统引导程序,完成系统的安装。表面看系统能够启动并正常运行;但此时,由于有计算机病毒程序驻留在内存,计算机系统已在病毒程序的控制之下了。
  (二)可执行文件型病毒。可执行文件型病毒依附在可执行文件或覆盖文件中,当病毒程序感染一个可执行文件时,病毒修改原文件的一些参数,并将病毒自身程序添加到原文件中。在被感染病毒的文件被执行时,因为病毒修改了原文件的一些参数,所以首先执行病毒程序的一段代码,这段病毒程序的代码主要功能是将病毒程序驻留在内存,以取得系统的控制权,从而可以完成病毒文件的执行,然后再执行原文件的程序代码,实现原来的程序功能,以迷惑用户。
  (三)宏病毒。宏病毒是利用宏语言编制的病毒,宏病毒充分利用宏 命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅感染Windows系统下用Word、Excel、Access、PowerPoint等办公自动化程序编制的文档以及Outlook express邮件等,不会感染给可执行文件。
  (四)混合型病毒。混合型病毒的引导方式具有系统引导型病毒和可执行文件型病毒的特点。一般混合型病毒的原始状态依附在可执行文件上,通过这个文件作为载体而传播开来的。当文件执行时,立刻感染硬盘的主引导扇区,以后由硬盘启动系统后,病毒程序就驻留在系统内存中,从而实现了由可执行文件型病毒向系统引导型病毒的转变。以后,这个驻留内存的病毒程序只对系统中的可执行文件进行感染,又实现了由系统引导型病毒向可执行文件型病毒的转变。当这个被感染的文件被复制到其他计算机中并被执行时,就会重复上述过程,实现病毒的传播。
  (五)特洛伊木马型病毒。特洛伊木马型病毒也叫“黑客程序”或后门病毒,属于文件型病毒的一种,有其自身的特点。此种病毒分成服务器端和客户端两部分,服务器端病毒程序通过文件的复制、文件的下载和邮件的附件等途径传送到要破坏的计算机系统中,一旦用户执行了这类病毒程序,病毒就会在每次系统启动时偷偷地在后台运行。当计算机系统联上Internet时,黑客就可以通过客户端病毒在网络上寻找运行了服务器端病毒程序的计算机,当客户端病毒找到这种计算机后,就能在用户不知晓的情况下使用客户端病毒指挥服务器端病毒进行合法用户能进行的各种操作,包括复制、删除、关机等,从而达到控制计算机的目的,这种病毒具有极大的危害性。
  (六)Internet语言病毒。此语言病毒是利用java、VB和ActiveX的特性来撰写的病毒,虽不能破坏硬盘上的资料,但是如果用户使用浏览器来浏览含有这些病毒的网页,使用者就会在不知不觉中,让病毒进入计算机进行复制,并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降,造成死机等现象。
  二、计算机病毒发作时的几种常见表现
  (一)平时运行正常的计算机突然经常性无缘无故地死机。病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统工作不稳定,造成死机现象发生。
  (二)操作系统无法正常启动。关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导。
  (三)运行速度明显变慢。在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程序,速度明显变慢。这很可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理9G时间,造成系统资源不足,运行变慢。
  (四)以前能正常运行的软件经常发生内存不足的错误。某个以前能够正常运行的程序,程序启动的时候报系统内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减少。
  (五)无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作,操作系统提示软驱中没有插入软盘,或者要求在读取复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件,也有的安装程序(如Offie07)对软盘有写的操作。
  三、计算机病毒的技术分析
  实施计算机病毒入侵的核心技术是解决病毒的有效植入。其攻击目标是对方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒植入方法主要有以下几种:
  (一)无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒植入的最佳方式,同时技术难度也最大。可能的途径有:1、直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。2、冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进入信息网络。3、寻找对方信息系统保护最差的地方进行病毒植放。通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。
  (二)“固化”式方法。即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他特殊功能。目前,我国很多计算机组件依赖进口,困此,很容易受到芯片的攻击。
  (三)后门攻击方式。后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。
  四、对计算机病毒攻击的防范的对策和方法
  (一)建立良好的安全习惯。对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站,不要执行从Internet下载后未经杀毒处理的软件,不要随便登陆不明网站等。
  (二)关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FIP客户端、Telner和Web服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
  (三)经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,所以我们应该定期的到微软网站下载最新的安全补丁,以便防患未然。
  (四)使用复杂的密码。有许多网络病毒就是通过猜测简单的密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系统。
  (五)迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其他计算机。
  (六)在网关、服务器和客户器安装杀毒软件。并启动病毒实时监控系统,最好是安装专业防毒软件进行全面监控。
  
  
  作者单位:于海波哈尔滨市邮政局计算机中心
  李伟红中国联合网络通信有限公司牡丹江市分公司
  徐恒哲哈尔滨市邮政局计算机中心
  参考文献:
  [1]张仁斌.计算机病毒与反病毒技术[M].北京:清华大学出版社,2006:10―12,105.
  [2]韩校卿.计算机病毒分析与防范大全[M].北京:电子工业出版社,2006:20―31,52,180.


转载注明来源:https://www.xzbu.com/9/view-939477.htm