2.5.1 计算机病毒
随着互联网日益广泛的使用,计算机病毒正以前所未有的速度殃及全球,给国家和个人带来重大损失。
1.计算机病毒的定义
《中华人民共和国计算机信息系统安全保护条例》(1994年)第28条中,将计算机病毒定义为:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
病毒总是想方设法在正常程序运行之前运行,并处于特权级状态。这段程序代码一旦进入计算机并得以执行,对计算机的某些资源进行监视。它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。
2.计算机病毒的特性
大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,只有这样它才可进行广泛地传播。
计算机病毒具有以下特性:
(1)传染性
传染性是病毒的基本特征,也是确定一个程序是否为病毒的首要条件。计算机病毒一旦夺取了计算机的控制权(占领CPU)就把自身传染到内存、硬盘和软盘,有的还立即传染到存储器的所有文件中。网络中的病毒可传染该网络中的所有计算机系统,移动盘的可移动性使得所有使用该盘的计算机系统均可能被传染。
(2)隐蔽性
计算机病毒是嵌在正常程序当中的,一般只有几百字节或几千字节,而PC对文件的存取速度可达每秒几十兆字节,所以病毒转瞬之间便可附着到正常程序之中,使人不易被察觉。
(3)破坏性
计算机病毒的目的是为了破坏数据或软硬件资源。计算机病毒的破坏性因计算机病毒的种类不同而差别很大。有的计算机病毒仅干扰软件的运行并不破坏该软件;有的无限制地侵占系统资源,使系统无法运行;有的甚至可以毁坏整个系统,使该系统无法启动。
(4)潜伏性
计算机病毒并不是一传染给别的程序后就立即发作,而是等待着一定条件的发生,在此期间它们不断地传染新对象,一旦满足条件发作时破坏的范围更大。如“黑色星期五”病毒逢13号的星期五发作。
(5)可触发性
计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
3.计算机病毒的类型
计算机病毒的分类方法有多种,可以按病毒对计算机破坏的程度、传染方式、按连接方式等来分类。
(1)按病毒对计算机破坏的程度分类
按病毒对计算机破坏的程度可将病毒分为良性病毒与恶性病毒。
①良性病毒是指那些只表现自己而不破坏系统数据的病毒。它多数是恶作剧者的产物,其目的不是为了对系统数据进行破坏,而是为了让使用这种被传染的计算机系统用户通过屏幕显示的表现形式,了解一下病毒程序编写者在计算机编程技术与技巧方面的才华。但这种病毒在一定程度上对系统也有破坏作用(称之为副作用)。这类病毒较多,如GENP、小球、W-BOOT等。
②恶性病毒的目的在于人为地破坏计算机系统的数据、删除文件或对硬盘进行格式化,甚至有些病毒既不删除计算机系统的数据,也不格式化硬盘,而只是对系统数据进行修改,这样的病毒所造成的危害具有较大破坏性,有的占用系统资源(如大麻病毒等),有的可能删除执行文件(如黑色星期五病毒等),甚至在某种条件下使机器死锁。
(2)按病毒的传染方式分类
按病毒的传染方式可以将计算机病毒分为引导区型病毒、文件型病毒、混合型病毒。
①引导区型病毒(BOOT Sector Virus):开机启动时,在系统的引导过程中被引入内存的病毒称之为引导病毒。引导区型病毒不以文件的形式存在磁盘上,没有文件名,不能用DIR命令显示,也不能用DEL命令删除,十分隐蔽。例如圆点病毒、大麻病毒及BRAIN病毒等均属这类。
②文件型病毒:也常称为外壳型病毒。这种病毒的载体是可执行文件,即文件扩展名为.com和.exe等的程序,它们存放在可执行文件的头部或尾部。将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,同时又会传染给其他文件。
宏病毒是一种特殊的文件型病毒,主要是使用某个应用程序自带的宏编程语言编写的病毒,如感染Word系统的Word宏病毒、感染Excel系统的Excel宏病毒和感染Lotus Ami Pro的宏病毒等,它们可感染数据文件。
③混合型病毒:具有引导区病毒和文件型病毒两种特征,以两种方式进行传染。这种病毒既可以传染引导扇区又可以传染可执行文件,从而使它们的传播范围更广。也更难于被消除干净,如FILP病毒就属此类。
(3)按连接方式分类
病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。
①源码型病毒:源码病毒主要攻击高级语言编写的源程序,它会将自己插入系统的源程序中,并随源程序一起编译、连接成可执行文件,从而导致刚刚生成的可执行文件直接带毒。不过该病毒较为少见,亦难以编写。
②入侵型病毒:入侵型病毒则是那些用自身代替正常程序中的部分模块或堆栈区的病毒,它只攻击某些特定程序,针对性强,一般情况下也难以被发现,清除起来也较困难。
③操作系统型病毒:操作系统型病毒则是用其自身部分加入或替代操作系统的部分功能,危害性较大。
④外壳型病毒:外壳型病毒主要是将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳,大部分的文件型病毒都属于这一类。
4.计算机病毒的预防
搞好计算机病毒的防治是减少其危害的有力措施,防治的办法一是从管理入手,二是采取一些技术手段,如定期利用杀毒软件检查和清除病毒或安装防病毒卡等。
(1)管理措施
①不要随意使用外来的U盘和各种可移动硬盘,必须使用时务必先用杀毒软件扫描,确信无毒后方可使用。
②不要使用来源不明的程序,尤其是游戏程序,这些程序中很可能有病毒。
③不要到网上随意下载程序或资料,对来源不明的邮件不要随意打开。
④不要使用盗版光盘上的软件,甚至不要将盗版光盘放入光驱内,因为自启动程序便可能使病毒传染到你的计算机上。
⑤对重要的数据和程序应做独立备份,以防万一。
⑥对特定日期发作的病毒应作提示公告。
(2)技术措施
①杀毒软件:没有绝对完美的杀毒软件,公认的比较著名的杀毒软件有卡巴斯基、F-SECURE、Macfe、诺顿、趋势科技、熊猫、NOD32、AVG、F-PORT、瑞星、江民、金山毒霸等。每个杀毒软件都有自身的优势,当然也有不足之处。
②防病毒卡:防病毒卡是用硬件的方式保护计算机免遭病毒的感染。国内使用较多的产品有瑞星防病毒卡、化能反病毒卡等。防病毒卡有以下特点:防病毒卡是以病毒机理入手进行有效的检测和防范,因此可以检测出具有共性的一类病毒,包括未曾发现的病毒;防病毒卡既能防止外来病毒的侵入,又能抑制已有的病毒向外扩散;任何杀毒软件都不能保证自身不被病毒感染,而防病毒卡是采用特殊的硬件保护,使自身免遭病毒感染。
5.计算机病毒的清除
计算机病毒的清除是指从内存、磁盘系统区和文件中清除掉病毒程序,恢复原先的正常状态。杀毒软件是在发现病毒后编写的,因此它一般不能对未知病毒进行清除。现有软件必须在发现新病毒之后进行版本升级。
对于计算机病毒我们可用以下方法进行清除。
(1)用杀毒软件杀毒。
(2)认真做好杀毒软件里的各项设置。
通常一个杀毒软件在首次运行时,其默认的杀毒设置是不能符合用户需要的,所以,用户必须因“毒”制宜对它进行相应的设置,如:
当不能确定病毒的性质时,应在“查杀设置”中选中“所有文件”,包括“查压缩文件、包含子文件夹、查未知宏病毒、清除未知宏病毒(所有宏)”等,这样,查杀才能更为充分广泛和深入,避免漏杀。
如果已知道了该病毒的性质,则应有选择地做好各方面的设置。
(3)在系统的安全模式下进行杀毒。在Windows的环境下杀过之后,还要在安全模式下进行查杀,这样才可以更彻底地清除掉计算机上的病毒。
(4)运用手工杀除该病毒的原理进行检查,看看是否还有该病毒存在。如果是那些难以根除的病毒,会很难杀干净,这是我们可以做如下操作:首先,删除所有能感染但不重要的文件,如欢乐时光容易感染的文件主要是“htm”或“html”“asp”类文件,这些多数是网页类文件,接着进行手工杀掉该病毒的方法,然后再灵活地运用这个原理来搜索还有没有文件带有该病毒。
(5)用手工删除用以解释、运行该病毒的程序文件。如果用尽了所有的办法都不能彻底地将病毒消灭掉的话,最好在不影响重要的程序执行的情况下,将用以解释、运行该病毒的程序文件删除。如果删除某些程序文件后使某些你要用的程序不能运行,则可在彻底消灭病毒、确认病毒不再有复发的可能后,再重新安装被破坏的程序或系统。假如感染病毒的磁盘没有重要文件,也可以格式化磁盘(一定要慎重操作),计算机病毒连同你所有的文件将一并删除。