您的位置: 网站首页 > 倾心驿站 > 计算机网络技术与应用 > 第10章 网络安全技术 > 【10.2 计算机病毒】

10.2 计算机病毒

 

10.2  计算机病毒

计算机病毒与我们平时所说的医学上的生物病毒是不一样的,它实际上是一种计算机程序,只不过这种程序比较特殊。这一节将具体了解计算机病毒的概念及常用的杀毒软件。

记得早些年有些人刚刚听说计算机病毒时,竟然说不能买计算机,以免传染病毒。现在大家对计算机的认识越来越深入,已经有越来越多的人知道计算机病毒其实就是人为编制的一种特殊程序,能够搅乱、改变或摧毁计算机中的软件,能进行复制并感染其他程序。计算机按照这些错误的命令执行后,便破坏了用户数据,或停止工作。

计算机病毒有传染性,所以它的危害性很大,它是通过计算机的硬盘、软盘,以及联网使用时实现传染的。交换信息有的是正常的、合法的,有的是不合法的,如私自复制别人的程序等。

计算机中毒后的表现主要有计算机的显示屏幕上出现异常;破坏存储数据;改变磁盘中的存储内容和数据;干扰正常操作,使运算速度下降,甚至停止工作;在屏幕上出现恐怖的动画等,使用户无法工作。

10.2.1  计算机病毒的分类

我们把病毒进行分类,以便更好地查杀这些危害计算机和网络健康的凶手。

病毒不像我们用的操作系统有统一的行业标准,病毒的分类也没有一个统一的标准。这里为大家介绍几类常见的病毒类别,供大家参考。

如果按照病毒的破坏程度分,病毒可分为良性病毒、恶性病毒和灾难性病毒3种。

1)良性病毒多数是一些初级病毒发烧友想测试一下自己开发病毒程序的水平,并不是真的想破坏他人系统。他们入侵的目的不是破坏系统,只是好玩。从表现形式上来看,通常只是发出某种声音,或出现一些提示,一般来讲除了占用一定的硬盘空间和延误CPU处理时间外,别无其他坏处。

2)恶性病毒是那些会对主机操作系统造成干扰、窃取信息、修改系统信息(但是不会造成硬件损坏)、数据丢失等严重后果的病毒。这类病毒入侵后系统除了不能正常使用之外,别无其他损失,系统损坏后一般只需要重装系统的某个部分文件后即可恢复。

3)灾难性病毒的破坏程度是令人痛心的。这类病毒破坏磁盘的引导扇区文件,修改文件分配表和硬盘分区表,造成系统根本无法启动,有时甚至会格式化或锁死用户的硬盘,使用户无法使用硬盘。一旦染上这类病毒,系统轻易无法恢复,硬盘中的数据也很难再获取。因此,造成的损失非常巨大。所以是对企业用户来说,应充分做好灾难性病毒感染的准备,做好备份工作。

按传染对象来分,病毒可以划分为引导型、网络型、文件型和复合型4种。

1)引导型病毒攻击的对象就是磁盘的引导扇区,这样就能使系统在启动时获得优先的执行权,从而达到控制整个系统的目的,这类病毒因为感染的是引导扇区,所以造成的损失也就比较大,一般来说会造成系统无法正常启动,但查杀这类病毒也较容易,多数杀毒软件都能查杀这类病毒,如瑞星、金山毒霸系列等。引导区病毒在20世纪90年代中期最为流行,主要通过软盘在16位操作系统(DOS)环境下传播。引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。Michelangelo就是一种典型的引导区病毒。它会感染引导区内的磁盘及硬盘内的MBR。当此计算机病毒常驻内存时,便会感染所有读取中及没有写入保护的磁盘。除此以外,Michelangelo会在36当天删除受感染计算机内的所有文件。

2)网络型病毒是近几年来网络的高速发展的产物,感染的对象不再局限于单一的模式和单一的可执行文件,而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的Office文件进行攻击。其攻击方式从删除、修改文件到进行文件加密、窃取用户有用的信息等。传播途径也不再局限于磁盘,而是通过更加隐蔽的网络进行传播,如电子邮件、电子广告等。

3)文件型病毒是较早出现的病毒。早期的文件病毒一般是感染以.exe.com等为扩展名的可执行文件,这样当用户执行可执行文件时病毒程序就会被激活。还有的病毒感染以.dll.ovl.sys等为扩展名的文件,因为这些文件通常是某程序的配置、链接文件,所以当执行某程序时病毒也就自动加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中。CIH就是典型的文件型病毒,它会感染Windows 95/98.exe文件,并在每月的26号(发作日)进行严重破坏。于每月的26号当日,此计算机病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,这种病毒又会试图破坏FlashBIOS内的资料。

4)复合型病毒,顾名思义,就是同时具备“引导型”和“文件型”病毒的特点,既可以感染磁盘的引导扇区文件,也可以感染可执行文件,如果对这类病毒进行的清除不全面,残留病毒还可以自我恢复,继续造成引导扇区文件和可执行文件的感染。因此,这类病毒查杀难度极大,所用的杀毒软件要同时具备查杀两类病毒的功能。

按病毒入侵方式来分,可分为源代码嵌入攻击型病毒、代码取代攻击型病毒、系统修改型病毒和外壳附加型病毒4种。

1)源代码嵌入攻击型病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。当然这类文件是极少数,因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序,况且这种入侵的方式难度较大,需要非常专业的编程水平。

2代码取代攻击型病毒用自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不易被发现,清除起来也较困难。

3)系统修改型病毒用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。

4)外壳附加型是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

还有著名的“蠕虫”病毒。蠕虫是一种能自行复制和经由网络扩散的程序。它跟计算机病毒有些不同,计算机病毒通常会专注感染其他程序,但蠕虫是专注于利用网络去扩散。从定义上来讲,计算机病毒和蠕虫是不可并存的。随着互联网的普及,蠕虫利用电子邮件系统去复制,例如,把自己隐藏于附件中并在短时间内将电子邮件发给多个用户。有些蠕虫(如CodeRed)会利用软件上的漏洞去扩散和进行破坏。

随着各种移动网络终端的普及,计算机病毒正朝着多途径传播、感染不同的网络平台,与软件安全漏洞相结合的方向发展。

10.2.2 计算机是否感染计算机病毒的判断

既然计算机病毒有这么多的危害,那么及时判断出自己的计算机是不是中毒就显得非常重要了。我们怎样才能知道自己的计算机是不是中毒了呢?最简便且行之有效的方法就是利用各种杀毒软件或防病毒卡来检验计算机是否染毒。因此,应购买正版的杀毒软件,并定时查杀,及时更新。如果没有配备专业的杀毒软件,也可通过一些典型的情况判断计算机是否感染了病毒。如果出现以下情况就一定要警惕了。

·    程序突然工作异常,如文件打不开、死机等。

·    文件大小自动改变。

·    在没有新装程序时,内存大小出现明显的变化。

·    更换软盘后列表内容不变。

·    Windows出现异常出错信息。

·    运行速度突然降低。

·    以前运行正常的程序,运行时出现内存不足。

·    经常莫名其妙地死机。

以上这些现象都是常见计算机中毒的表现。我们还可以从计算机病毒发作后的现象判断计算机是否中毒“良性”病毒发作时会暂时影响计算机的正常运行,病毒显现出来后,重新启动即可恢复正常,恶性病毒发作后会对计算机的软、硬件造成毁灭性破坏。其主要的破坏方式如下:

·    修改数据文件,导致数据紊乱。

·    删除可执行文件,导致系统无法正常运行。

·    破坏CMOS,导致系统无法正常启动。

·    攻击BIOS,破坏BIOS芯片,导致硬件系统完全瘫痪。

·    对硬盘进行破坏。

我们还可以用一些更为专业的方法来判断计算机是否中毒。

1.反病毒软件

随着计算机程序开发语言技术性的提高,计算机网络越来越普及,计算机病毒的开发和传播也越来越容易,反病毒软件开发公司也越来越多。其中比较知名的是KV300KILLPC-cillinVRV、瑞星和诺顿等。

2.检查内存

检查内存的方法一般用在DOS下发现的病毒,我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况,从中发现病毒占用内存的情况(一般不单独占用,而是依附在其他程序之中),有的病毒占用内存也比较隐蔽,用“mem/c/p”发现不了它,但可以看到总的基本内存640KB之中少了1KB或几KB

3.查看注册表

查看注册表的方法一般适用于黑客程序,如木马程序。这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的,一般是在如下几个地方实现:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\RunSevices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

4.查看硬盘空间

有些病毒不会破坏用户的系统文件,而是生成一个隐藏文件,这种文件一般内容很少,占硬盘空间很大,有时可能大得让用户的硬盘无法运行一般的程序,但是查找又看不到它。要看到它,只要在“资源管理器”中把所查看的内容属性设置成可查看所有属性的文件,一般这个病毒文件会设置成隐藏属性的。查到问题文件,只需删除它即可。

10.2.3  常见的计算机杀毒软件介绍

市场上的杀毒软件很多,本节介绍一些常用的软件。

1.瑞星杀毒软件

瑞星系列杀毒软件是由北京瑞星计算机科技开发公司研制的产品,它可查杀目前出现的各种病毒,而且查杀速度快,可运行于多种平台,为用户提供全面的查、杀毒及病毒防护服务。瑞星杀毒软件的主界面如图10-2所示。

10-2  瑞星杀毒软件

2.金山毒霸软件

金山毒霸是国内最知名的软件企业之一,金山软件的系列产品中的一个专门用于防杀网络计算机病毒的系列软件。金山毒霸系列产品的产品理念是“以客户为中心,全面面向互联网”。这里为大家介绍这个大家庭中的两个市场反响非常好的产品——“金山毒霸2003安全组合装”和“金山毒霸6

“金山毒霸2003安全组合装”是一款突出易用性和互联网功能的产品,由金山毒霸2003和金山网镖2003组成。金山毒霸2003的推出真正实现了同互联网的全面对接,完成了金山毒霸从单一查杀病毒软件向防、查、杀全面反病毒软件的转变。在防毒方面为个人用户提供了无毒互联网的解决方案和系统漏洞修复技术。无毒互联网囊括了大多数用户最常用到的5个方面:无毒网页、无毒邮件、无毒聊天、无毒下载、毒霸办公。系统漏洞修复使得病毒、黑客无“漏洞”可乘,杜绝了安全隐患。在查、杀毒方面推出了独创的“闪电杀毒”技术和“内存杀毒”技术。“闪电杀毒”使得查杀病毒速度有着飞跃性的提高;“内存杀毒”实现了在Windows下内存病毒的彻底清除。

新推出的“金山毒霸6仅防毒功能就有邮件防毒、聊天防毒、网页防毒、办公防毒、病毒防火墙、DIY闪存应急盘等功能,杀毒还有闪电杀毒、内存杀毒、快捷杀毒、屏保杀毒、压缩格式查杀、硬盘修复等强大的杀毒功能。还有独创的局域网同步升级,不占用外部带宽、升级速度快、效率更高。

3.诺顿杀毒软件

诺顿杀毒软件是赛门铁克公司的系列产品。赛门铁克公司是互联网安全技术专业生产厂商,为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案。向全球的企业及服务供应商提供包括病毒防护、防火墙、VPN、风险管理、入侵检测、互联网内容及电子邮件过滤、远程管理技术及安全服务等。诺顿还有Symantec AntiVirus 中小型企业版,专门为工作站和网络服务器提供病毒防护。该软件不需要太多干预且易于管理,可提供超强病毒防护。它提供的自动化功能可以在不中断工作的情况下,对病毒爆发提供及时的更新和迅捷的响应。诺顿杀毒软件可以保护台式机和服务器,运用最新的防护抵御新近爆发的病毒、蠕虫和特洛伊木马,并从赛门铁克安全响应中心获得世界级的支持。其主界面如图10-3所示。

10-3  诺顿杀毒软件

10.2.4  计算机病毒破坏的预防

通常计算机感染病毒后,都会引起计算机的某些变化,因此只要细心观察,不难发现计算机不正常的状态,这样就能够及时注意查毒、杀毒,把危害降到最低。下面介绍几种计算机病毒的预防方法:

1)新购置的计算机软、硬件系统的测试。新购置的计算机就有可能携带计算机病毒,可以通过检测或进行低级格式化来确保没有计算机病毒存在。

2重要数据文件要有备份。硬盘分区表、引导扇区等关键数据应进行备份,并妥善保管,在进行系统维护和修复工作时可作为参考。重要数据文件定期进行备份工作,不要等到由于计算机病毒破坏、计算机硬件或软件出现故障,使用户数据受到损伤时再做急救。

3)不要随便直接运行或直接打开电子邮件中的附件,不要随意下载软件,尤其是一些可执行文件和Office文档。对下载的文件最好用杀毒软件检查一下。

4)计算机网络的安全使用。安装网络服务器时,应保证没有计算机病毒存在,即安装环境和网络操作系统本身没有感染计算机病毒。在安装网络服务器时,应将文件系统划分成多个文件卷系统,至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分有利于维护网络服务器的安全稳定运行和用户数据的安全。如果系统卷受到某种破坏,导致服务器瘫痪,那么通过重装系统卷,恢复网络操作系统,就可以使服务器马上恢复运行,而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时,系统卷是不受影响的,不会导致网络系统运行失常,并且这种划分十分有利于系统管理员设置网络安全存取权限,保证网络系统不受计算机病毒感染和破坏。在网络服务器上必须安装真正有效的防杀计算机病毒软件,并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品,从网络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施,可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。

5)做好网络管理员的培训。网络管理员责任重大,掌握着服务器等众多关系公司机密的口令,因此一定要进行教育培训,并加强管理。管理员的技术要过硬,要经常了解最新的网络技术及病毒相关情况。网络管理员还有责任定期对网络内的共享电子邮件系统、共享存储区域和用户卷等进行病毒扫描,在发现异常情况时及时处理。网络管理员还应在平时准备好应急措施,当出现计算机病毒传播迹象时,应立即隔离被感染的计算机系统和网络,并进行处理,不应当带毒继续工作下去,要按照特别情况清查整个网络,切断计算机病毒传播的途径,保障正常工作的进行。