關(guān)于計算機病毒的認識論文(2)
關(guān)于計算機病毒的認識論文
關(guān)于計算機病毒的認識論文篇二
《淺析計算機病毒的發(fā)展》
[摘要] 隨著計算機在社會生活各個領(lǐng)域的廣泛運用,以及電腦的普及和網(wǎng)絡(luò)的迅猛發(fā)展,計算機病毒呈現(xiàn)愈演愈烈的趨勢,嚴(yán)重地干擾了正常的人類社會生活,給計算機系統(tǒng)帶來了巨大的潛在威脅和破壞。目前,病毒已成為困擾計算機系統(tǒng)安全和計算機應(yīng)用的重大問題。為了確保信息的安全與暢通,從計算機病毒的概念入手,分析計算機病毒的內(nèi)涵及類型,并對計算機病毒來源進行分析,最后介紹計算機病毒的主要防護措施。
[關(guān)鍵詞] 計算機 病毒 防范
一、引 言
隨著計算機及計算機網(wǎng)絡(luò)的發(fā)展,伴隨而來的計算機病毒傳播問題越來越引起人們的關(guān)注。隨因特網(wǎng)的流行,有些計算機病毒借助網(wǎng)絡(luò)爆發(fā)流行,如CIH計算機病毒、“愛蟲”病毒等,它們與以往的計算機病毒相比具有一些新的特點,給廣大計算機用戶帶來了極大的損失。
計算機病毒防范制度是防范體系中每個主體都必須的行為規(guī)程,沒有制度,防范體系就不可能很好地運作,就不可能達到預(yù)期的效果。必須依照防范體系對防范制度的要求,結(jié)合實際情況,建立符合自身特點防范制度。
二、計算機病毒的表現(xiàn)現(xiàn)象
計算機病毒是客觀存在的,客觀存在的事物總有它的特性,計算機病毒也不例外。從實質(zhì)上說,計算機病毒是一段程序代碼,雖然它可能隱藏得很好,但也會留下許多痕跡。通過對這些蛛絲馬跡的判別,我們就能發(fā)現(xiàn)計算機病毒的存在了。
根據(jù)計算機病毒感染和發(fā)作的階段,可以將計算機病毒的表現(xiàn)現(xiàn)象分為三大類,即:計算機病毒發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象。
1. 計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象
計算機病毒發(fā)作前,是指從計算機病毒感染計算機系統(tǒng),潛伏在系統(tǒng)內(nèi)開始,一直到激發(fā)條件滿足,計算機病毒發(fā)作之前的一個階段。在這個階段,計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己,在不被發(fā)現(xiàn)同時,又自我復(fù)制,以各種手段進行傳播。
以下是一些計算機病毒發(fā)作前常見的表現(xiàn)現(xiàn)象:
(1)平時運行正常的計算機突然經(jīng)常性無緣無故地死機
病毒感染了計算機系統(tǒng)后,將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等,引起系統(tǒng)工作不穩(wěn)定,造成死機現(xiàn)象發(fā)生。
(2)操作系統(tǒng)無法正常啟動
關(guān)機后再啟動,操作系統(tǒng)報告缺少必要的啟動文件,或啟動文件被破壞,系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化,無法被操作系統(tǒng)加載、引導(dǎo)。
(3)運行速度明顯變慢
在硬件設(shè)備沒有損壞或更換的情況下,本來運行速度很快的計算機,運行同樣應(yīng)用程序,速度明顯變慢,而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統(tǒng)資源,并且自身的運行占用了大量的處理器時間,造成系統(tǒng)資源不足,運行變慢。
(4) 以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤
(5) 打印和通訊發(fā)生異常
(6)無意中要求對軟盤進行寫操作
(7)以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤
(8)系統(tǒng)文件的時間、日期、大小發(fā)生變化
(9)運行Word,打開Word文檔后,該文件另存時只能以模板方式保存
(10)磁盤空間迅速減少
(12)基本內(nèi)存發(fā)生變化
(13)陌生人發(fā)來的電子函件
(14)自動鏈接到一些陌生的網(wǎng)站
一般的系統(tǒng)故障是有別與計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或二點現(xiàn)象,而計算機病毒感染所出現(xiàn)的現(xiàn)象會多的多。根據(jù)上述幾點,就可以初步判斷計算機和網(wǎng)絡(luò)是否感染上了計算機病毒。
2. 計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象
計算機病毒發(fā)作時是指滿足計算機病毒發(fā)作的條件,計算機病毒程序開始破壞行為的階段。計算機病毒發(fā)作時的表現(xiàn)大都各不相同,可以說一百個計算機病毒發(fā)作有一百種花樣。這與編寫計算機病毒者的心態(tài)、所采用的技術(shù)手段等都有密切的關(guān)系。
以下列舉了一些計算機病毒發(fā)作時常見的表現(xiàn)現(xiàn)象:
(1)提示一些不相干的話
最常見的是提示一些不相干的話,比如打開感染了宏病毒的Word文檔,如果滿足了發(fā)作條件的話,它就會彈出對話框顯示“這個世界太黑暗了!”,并且要求你輸入“太正確了”后按確定按鈕。
(2)發(fā)出一段的音樂
惡作劇式的計算機病毒,最著名的是外國的“楊基”計算機病毒(Yangkee)和中國的“瀏陽河”計算機病毒。“楊基”計算機病毒發(fā)作是利用計算機內(nèi)置的揚聲器演奏《楊基》音樂,而“瀏陽河”計算機病毒更絕,當(dāng)系統(tǒng)時鐘為9月9日時演奏歌曲《瀏陽河》,而當(dāng)系統(tǒng)時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機病毒大多屬于“良性”計算機病毒,只是在發(fā)作時發(fā)出音樂和占用處理器資源。
(3)產(chǎn)生特定的圖象
另一類惡作劇式的計算機病毒,比如小球計算機病毒,發(fā)作時會從屏幕上方不斷掉落下來小球圖形。單純地產(chǎn)生圖像的計算機病毒大多也是“良性”計算機病毒,只是在發(fā)作時破壞用戶的顯示界面,干擾用戶的正常工作。
(4)硬盤燈不斷閃爍
硬盤燈閃爍說明有硬盤讀寫操作。當(dāng)對硬盤有持續(xù)大量的操作時,硬盤的燈就會不斷閃爍,比如格式化或者寫入很大很大的文件。有時候?qū)δ硞€硬盤扇區(qū)或文件反復(fù)讀取的情況下也會造成硬盤燈不斷閃爍。有的計算機病毒會在發(fā)作的時候?qū)τ脖P進行格式化,或者寫入許多垃圾文件,或反復(fù)讀取某個文件,致使硬盤上的數(shù)據(jù)遭到損失。具有這類發(fā)作現(xiàn)象的計算機病毒大多是“惡性”計算機病毒。
(5)進行游戲算法
有些惡作劇式的計算機病毒發(fā)作時采取某些算法簡單的游戲來中斷用戶的工作,一定要玩贏了才讓用戶繼續(xù)他的工作。比如曾經(jīng)流行一時的“臺灣一號”宏病毒,在系統(tǒng)日期為13日時發(fā)作,彈出對話框,要求用戶做算術(shù)題。這類計算機病毒一般是屬于“良性”計算機病毒,但也有那種用戶輸了后進行破壞的“惡性”計算機病毒。
(6)Windows桌面圖標(biāo)發(fā)生變化
這一般也是惡作劇式的計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象。把Windows缺省的圖標(biāo)改成其他樣式的圖標(biāo),或者將其他應(yīng)用程序、快捷方式的圖標(biāo)改成Windows缺省圖標(biāo)樣式,起到迷惑用戶的作用。
3.計算機病毒發(fā)作后的表面現(xiàn)象
通常情況下,計算機病毒發(fā)作都會給計算機系統(tǒng)帶來破壞性的后果,那種只是惡作劇式的“良性”計算機病毒只是計算機病毒家族中的很小一部分。大多數(shù)計算機病毒都是屬于“惡性”計算機病毒。“惡性”計算機病毒發(fā)作后往往會帶來很大的損失,以下列舉了一些惡性計算機病毒發(fā)作后所造成的后果:
(1)硬盤無法啟動,數(shù)據(jù)丟失
計算機病毒破壞了硬盤的引導(dǎo)扇區(qū)后,就無法從硬盤啟動計算機系統(tǒng)了。有些計算機病毒修改了硬盤的關(guān)鍵內(nèi)容(如文件分配表,根目錄區(qū)等),使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。
(2)系統(tǒng)文件丟失或被破壞
通常系統(tǒng)文件是不會被刪除或修改的,除非對計算機操作系統(tǒng)進行了升級。但是某些計算機病毒發(fā)作時刪除了系統(tǒng)文件,或者破壞了系統(tǒng)文件,使得以后無法法正常啟動計算機系統(tǒng).省略,Emm386.省略,Kernel.exe,User.exe等等。
(3)文件目錄發(fā)生混亂
目錄發(fā)生混亂有兩種情況。一種就是確實將目錄結(jié)構(gòu)破壞,將目錄扇區(qū)作為普通扇區(qū),填寫一些無意義的數(shù)據(jù),再也無法恢復(fù)。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中,只要內(nèi)存中存在有該計算機病毒,它能夠?qū)⒄_的目錄扇區(qū)讀出,并在應(yīng)用程序需要訪問該目錄的時候提供正確的目錄項,使得從表面上看來與正常情況沒有兩樣。但是一旦內(nèi)存中沒有該計算機病毒,那么通常的目錄訪問方式將無法訪問到原先的目錄扇區(qū)。這種破壞還是能夠被恢復(fù)的。
(4)部分文檔丟失或被破壞
類似系統(tǒng)文件的丟失或被破壞,有些計算機病毒在發(fā)作時會刪除或破壞硬盤上的文檔,造成數(shù)據(jù)丟失。
(5)部分文檔自動加密碼
還有些計算機病毒利用加密算法,將加密密鑰保存在計算機病毒程序體內(nèi)或其他隱蔽的地方,而被感染的文件被加密,如果內(nèi)存中駐留有這種計算機病毒,那么在系統(tǒng)訪問被感染的文件時它自動將文檔解密,使得用戶察覺不到。一旦這種計算機病毒被清除,那么被加密的文檔就很難被恢復(fù)了。
(6)修改Autoexec.bat文件,增加Format C:一項,導(dǎo)致計算機重新啟動時格式化硬盤
在計算機系統(tǒng)穩(wěn)定工作后,一般很少會有用戶去注意Autoexec.bat文件的變化,但是這個文件在每次系統(tǒng)重新啟動的時候都會被自動運行,計算機病毒修改這個文件從而達到破壞系統(tǒng)的目的。
三、計算機病毒的技術(shù)防范
對于計算機病毒毫無警惕意識的人員,可能當(dāng)顯示屏上出現(xiàn)了計算機病毒信息,也不會去仔細觀察一下,麻痹大意,任其在磁盤中進行破壞。其實,只要稍有警惕,根據(jù)計算機病毒在傳染時和傳染后留下的蛛絲馬跡,再運用計算機病毒檢測軟件和DEBUG程序進行人工檢測,是完全可以在計算機病毒進行傳播的過程中就能發(fā)現(xiàn)它。從技術(shù)上采取實施,防范計算機病毒,執(zhí)行起來并不困難,困難的是持之以恒,堅持不懈。
1.計算機病毒的技術(shù)預(yù)防措施
下面總結(jié)出一系列行之有效的措施供參考。
(1)新購置的計算機硬軟件系統(tǒng)的測試
新購置的計算機是有可能攜帶計算機病毒的。因此,在條件許可的情況下,要用檢測計算機病毒軟件檢查已知計算機病毒,用人工檢測方法檢查未知計算機病毒,并經(jīng)過證實沒有計算機病毒感染和破壞跡象后再使用。。
(2)計算機系統(tǒng)的啟動
在保證硬盤無計算機病毒的情況下,盡量使用硬盤引導(dǎo)系統(tǒng)。啟動前,一般應(yīng)將軟盤從軟盤驅(qū)動器中取出。這是因為即使在不通過軟盤啟動的情況下,只要軟盤在啟動時被讀過,計算機病毒仍然會進入內(nèi)存進行傳染。很多計算機中,可以通過設(shè)置CMOS參數(shù),使啟動時直接從硬盤引導(dǎo)啟動,而根本不去讀軟盤。這樣即使軟盤驅(qū)動器中插著軟盤,啟動時也會跳過軟驅(qū),嘗試由硬盤進行引導(dǎo)。很多人認為,軟盤上如果沒有COMMAND.COM等系統(tǒng)啟動文件,就不會帶計算機病毒,其實引導(dǎo)型計算機病毒根本不需要這些系統(tǒng)文件就能進行傳染。
(3)單臺計算機系統(tǒng)的安全使用
在自己的機器上用別人的軟盤前應(yīng)進行檢查。在別人的計算機上使用過自己的已打開了寫保護的軟盤,再在自己的計算機上使用前,也應(yīng)進行計算機病毒檢測。對重點保護的計算機系統(tǒng)應(yīng)做到專機、專盤、專人、專用,封閉的使用環(huán)境中是不會自然產(chǎn)生計算機病毒的。
(4)重要數(shù)據(jù)文件要有備份
硬盤分區(qū)表、引導(dǎo)扇區(qū)等的關(guān)鍵數(shù)據(jù)應(yīng)作備份工作,并妥善保管。在進行系統(tǒng)維護和修復(fù)工作時可作為參考。
重要數(shù)據(jù)文件定期進行備份工作。不要等到由于計算機病毒破壞、計算機硬件或軟件出現(xiàn)故障,使用戶數(shù)據(jù)受到損傷時再去急救。
(5)不要隨便直接運行或直接打開電子函件中夾帶的附件文件,不要隨意下載軟件,尤其是一些可執(zhí)行文件和Office文檔。即使下載了,也要先用最新的防殺計算機病毒軟件來檢查。
(6)計算機網(wǎng)絡(luò)的安全使用
以上這些措施不僅可以應(yīng)用在單機上,也可以應(yīng)用在作為網(wǎng)絡(luò)工作站的計算機上。而對于網(wǎng)絡(luò)計算機系統(tǒng),還應(yīng)采取下列針對網(wǎng)絡(luò)的防殺計算機病毒措施:
?、侔惭b網(wǎng)絡(luò)服務(wù)器時應(yīng),應(yīng)保證沒有計算機病毒存在,即安裝環(huán)境和網(wǎng)絡(luò)操作系統(tǒng)本身沒有感染計算機病毒。
?、谠诎惭b網(wǎng)絡(luò)服務(wù)器時,應(yīng)將文件系統(tǒng)劃分成多個文件卷系統(tǒng),至少劃分成操作系統(tǒng)卷、共享的應(yīng)用程序卷和各個網(wǎng)絡(luò)用戶可以獨占的用戶數(shù)據(jù)卷。這種劃分十分有利于維護網(wǎng)絡(luò)服務(wù)器的安全穩(wěn)定運行和用戶數(shù)據(jù)的安全。
如果系統(tǒng)卷受到某種損傷,導(dǎo)致服務(wù)器癱瘓,那么通過重裝系統(tǒng)卷,恢復(fù)網(wǎng)絡(luò)操作系統(tǒng),就可以使服務(wù)器又馬上投入運行。而裝在共享的應(yīng)用程序卷和用戶卷內(nèi)的程序和數(shù)據(jù)文件不會受到任何損傷。如果用戶卷內(nèi)由于計算機病毒或由于使用上的原因?qū)е麓鎯臻g擁塞時,系統(tǒng)卷是不受影響的,不會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)運行失常。并且這種劃分十分有利于系統(tǒng)管理員設(shè)置網(wǎng)絡(luò)安全存取權(quán)限,保證網(wǎng)絡(luò)系統(tǒng)不受計算機病毒感染和破壞。
?、垡欢ㄒ糜脖P啟動網(wǎng)絡(luò)服務(wù)器,否則在受到引導(dǎo)型計算機病毒感染和破壞后,遭受損失的將不是一個人的機器,而會影響到整個網(wǎng)絡(luò)的中樞。
?、転楦鱾€卷分配不同的用戶權(quán)限。將操作系統(tǒng)卷設(shè)置成對一般用戶為只讀權(quán)限,屏蔽其他網(wǎng)絡(luò)用戶對系統(tǒng)卷除讀和執(zhí)行以外的所有其他操作,如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權(quán)限。應(yīng)用程序卷也應(yīng)設(shè)置成對一般用戶是只讀權(quán)限的,不經(jīng)授權(quán)、不經(jīng)計算機病毒檢測,就不允許在共享的應(yīng)用程序卷中安裝程序。保證除系統(tǒng)管理員外,其他網(wǎng)絡(luò)用戶不可能將計算機病毒感染到系統(tǒng)中,使網(wǎng)絡(luò)用戶總有一個安全的聯(lián)網(wǎng)工作環(huán)境。
⑤在網(wǎng)絡(luò)服務(wù)器上必須安裝真正有效的防殺計算機病毒軟件,并經(jīng)常進行升級。必要的時候還可以在網(wǎng)關(guān)、路由器上安裝計算機病毒防火墻產(chǎn)品,從網(wǎng)絡(luò)出入口保護整個網(wǎng)絡(luò)不受計算機病毒的侵害。在網(wǎng)絡(luò)工作站上采取必要的防殺計算機病毒措施,可使用戶不必擔(dān)心來自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身的計算機病毒侵害。
四、計算機病毒檢測方法
檢測磁盤中的計算機病毒可分成檢測引導(dǎo)型計算機病毒和檢測文件型計算機病毒。這兩種檢測從原理上講是一樣的,但由于各自的存儲方式不同,檢測方法是有差別的。
1.比較法
比較法的好處是簡單、方便,不需專用軟件。缺點是無法確認計算機病毒的種類名稱。另外,造成被檢測程序與原始備份之間差別的原因尚需進一步驗證,以查明是由于計算機病毒造成的,或是由于DOS數(shù)據(jù)被偶然原因,如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法,查看變化部分代碼的性質(zhì),以此來確證是否存在計算機病毒。另外,當(dāng)找不到原始備份時,用比較法就不能馬上得到結(jié)論。從這里可以看到制作和保留原
始主引導(dǎo)扇區(qū)和其他數(shù)據(jù)備份的重要性。
2. 加總比對法
根據(jù)每個程序的檔案名稱、大小、時間、日期及內(nèi)容,加總為一個檢查碼,再將檢查碼附于程序的后面,或是將所有檢查碼放在同一個數(shù)據(jù)庫中,再利用此加總對比系統(tǒng),追蹤并記錄每個程序的檢查碼是否遭更改,以判斷是否感染了計算機病毒。一個很簡單的例子就是當(dāng)您把車停下來之后,將里程表的數(shù)字記下來。那么下次您再開車時,只要比對一下里程表的數(shù)字,那么您就可以斷定是否有人偷開了您的車子。這種技術(shù)可偵測到各式的計算機病毒,但最大的缺點就是誤判斷高,且無法確認是哪種計算機病毒感染的。對于隱形計算機病毒也無法偵測到。
3. 搜索法
搜索法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串,就表明發(fā)現(xiàn)了該字節(jié)串所代表的計算機病毒。國外對這種按搜索法工作的計算機病毒掃描軟件叫Virus Scanner。計算機病毒掃描軟件由兩部分組成:一部分是計算機病毒代碼庫,含有經(jīng)過特別選定的各種計算機病毒的代碼串;另一部分是利用該代碼庫進行掃描的掃描程序。目前常見的防殺計算機病毒軟件對已知計算機病毒的檢測大多采用這種方法。計算機病毒掃描程序能識別的計算機病毒的數(shù)目完全取決于計算機病毒代碼庫內(nèi)所含計算機病毒的種類多少。顯而易見,庫中計算機病毒代碼種類越多,掃描程序能認出的計算機病毒就越多。計算機病毒代碼串的選擇是非常重要的。短小的計算機病毒只有一百多個字節(jié),長的有上萬字節(jié)的。如果隨意從計算機病毒體內(nèi)選一段作為代表該計算機病毒的特征代碼串,可能在不同的環(huán)境中,該特征串并不真正具有代表性,不能用于將該串所對應(yīng)的計算機病毒檢查出來。選這種串作為計算機病毒代碼庫的特征串就是不合適的。
4.分析法
一般使用分析法的人不是普通用戶,而是防殺計算機病毒技術(shù)人員。使用分析法的目的在于:
(1)確認被觀察的磁盤引導(dǎo)扇區(qū)和程序中是否含有計算機病毒;(2)確認計算機病毒的類型和種類,判定其是否是一種新的計算機病毒;(3)搞清楚計算機病毒體的大致結(jié)構(gòu),提取特征識別用的字節(jié)串或特征字,用于增添到計算機病毒代碼庫供計算機病毒掃描和識別程序用;(4)詳細分析計算機病毒代碼,為制定相應(yīng)的防殺計算機病毒措施制訂方案。
上述四個目的按順序排列起來,正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關(guān)計算機、DOS、Windows、網(wǎng)絡(luò)等的結(jié)構(gòu)和功能調(diào)用以及關(guān)于計算機病毒方面的各種知識,這是與其他檢測計算機病毒方法不一樣的地方。
5.人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)
人工智能陷阱是一種監(jiān)測計算機行為的常駐式掃描技術(shù)。它將所有計算機病毒所產(chǎn)生的行為歸納起來,一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?系統(tǒng)就會有所警覺,并告知使用者。這種技術(shù)的優(yōu)點是執(zhí)行速度快、操作簡便,且可以偵測到各式計算機病毒;其缺點就是程序設(shè)計難,且不容易考慮周全。不過在這千變?nèi)f化的計算機病毒世界中,人工智能陷阱掃描技術(shù)是一個至少具有主動保護功能的新技術(shù)。
宏病毒陷阱技術(shù)(MacroTrap)是結(jié)合了搜索法和人工智能陷阱技術(shù),依行為模式來偵測已知及未知的宏病毒。其中,配合OLE2技術(shù),可將宏與文件分開,使得掃描速度變得飛快,而且更可有效地將宏病毒徹底清除。
參考文獻:
[1]陳立新:計算機:病毒防治百事通[M].北京:清華大學(xué)出版社,2001
[2]姬志剛:從qq開始認識網(wǎng)絡(luò)安全.中國科教博覽,2004(9)
[3]姬志剛:計算機、網(wǎng)絡(luò)與信息社會.科技咨詢導(dǎo)報.2006(20)
[4]韓莜卿:計算機病毒分析與防范大全[M].北京:電子工業(yè)出版社.2006
關(guān)于計算機病毒的認識論文相關(guān)文章: