淺析計算機病毒

-.z.淺析計算機病毒李楓[摘要]在開放的網(wǎng)絡環(huán)境下，計算機病毒的危害比以往要大得多，特別是近幾年，通過互聯(lián)網(wǎng)進展傳播的病毒數(shù)量急劇增長，危害范圍也不斷擴大，由于計算機病毒帶來的經(jīng)濟損失數(shù)量是巨大的。[關(guān)鍵詞]計算機病毒特征防范隨著計算機技術(shù)的開展和Internet的擴大，計算機已經(jīng)成為人們生活和工作中必不可少的工具。與此同時，計算機病毒對計算機及網(wǎng)絡的攻擊與日俱增。例如：1996年以來，出現(xiàn)針對微軟公司Office的Word宏〔Macro〕計算機病毒技術(shù)誕生并迅速開展。"宏病毒"主要感染W(wǎng)ORD、E*CEL等文件，是自1996年9月開場在國內(nèi)出現(xiàn)并逐漸流行的計算機病毒。如Word宏病毒已成為北美最流行的計算機病毒。宏病毒不但可經(jīng)由軟盤感染，更可由電子的附加檔案或下載文件等網(wǎng)絡方式來感染經(jīng)常使用的文件檔案；1998年，出現(xiàn)針對Windows95/98系統(tǒng)的計算機病毒，如CIH，1998年被計算機病毒防范界公認為"CIH計算機病毒年"。計算機病毒發(fā)作時，硬盤驅(qū)動器不停旋轉(zhuǎn)，硬盤上所有數(shù)據(jù)〔包括分區(qū)表〕被破壞，必須重新FDISK方才有可能挽救硬盤；同時，對于局部廠牌的主板，如技嘉和微星等，會將FlashBIOS中的系統(tǒng)程序破壞，造成開機后系統(tǒng)無反響；1999年3月美國發(fā)生了歷史上第2次重大的計算機病毒災難。一種叫美麗殺手的計算機病毒借助因特網(wǎng)進展了一次爆炸性傳播，一天即傳遍美國。大批網(wǎng)絡由于計算機病毒的瘋狂入侵，不堪重負而癱瘓。政府機關(guān)、企業(yè)、公共信息系統(tǒng)等損失沉重。一、計算機病毒計算機病毒是一個程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以鏟除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。除復制能力外，*些計算機病毒還有其它一些共同特性：一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現(xiàn)在文字和圖象上時，它們可能也已毀壞了文件、再格式化了你的硬盤驅(qū)動或引發(fā)了其它類型的災害。假設(shè)是病毒并不寄生于一個污染程序，它仍然能通過占據(jù)存貯空間給你帶來麻煩，并降低你的計算機的全部性能?？梢詮牟煌嵌冉o出計算機病毒的定義。一種定義是通過磁盤和網(wǎng)絡等作為媒介傳播擴散,能"傳染〞其他程序的程序。另一種是能夠?qū)崿F(xiàn)自身復制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序。還有的定義是一種人為制造的程序,它通過不同的途徑潛伏或寄生在存儲媒體〔如磁盤、內(nèi)存〕或程序里。當*種條件或時機成熟時,它會自生復制并傳播,使計算機的資源受到不同程序的破壞等等。這些說法在*種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統(tǒng)和網(wǎng)絡,危害正常工作的"病原體〞。它能夠?qū)τ嬎銠C系統(tǒng)進展各種破壞,同時能夠自我復制,具有傳染性。所以,計算機病毒就是能夠通過*種途徑潛伏在計算機存儲介質(zhì)〔或程序〕里,當?shù)竭_*種條件時即被激活的具有對計算機資源進展破壞作用的一組程序或指令集合。二、計算機病毒的產(chǎn)生1、計算機病毒是計算機犯罪的一種新的衍化形式計算機病毒是高技術(shù)犯罪,具有瞬時性、動態(tài)性和隨機性。不易取證,風險小破壞大,從而刺激了犯罪意識和犯罪活動。是*些人惡作劇和報復心態(tài)在計算機應用領(lǐng)域的表現(xiàn)。2、計算機軟硬件產(chǎn)品的危弱性是根本的技術(shù)原因計算機是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲、處理、輸出等環(huán)節(jié),易誤入、篡改、喪失、作假和破壞；程序易被刪除、改寫；計算機軟件設(shè)計的手工方式,效率低下且生產(chǎn)周期長；人們至今沒有方法事先了解一個程序有沒有錯誤,只能在運行中發(fā)現(xiàn)、修改錯誤,并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。3、計算機的普及應用是計算機病毒產(chǎn)生的必要環(huán)境1983年11月3日美國計算機專家首次提出了計算機病毒的概念并進展了驗證。幾年前計算機病毒就迅速蔓延,到我國才是近年來的事。而這幾年正是我國微型計算機普及應用熱潮。微機的廣泛普及,操作系統(tǒng)簡單明了,軟、硬件透明度高,根本上沒有什么平安措施,能夠透徹了解它內(nèi)部構(gòu)造的用戶日益增多,對其存在的缺點和易攻擊處也了解的越來越清楚,不同的目的可以做出截然不同的選擇。目前,在IBMPC系統(tǒng)及其兼容機上廣泛流行著各種病毒就很說明這個問題。三、計算機病毒的根本特征1、非授權(quán)可執(zhí)行性用戶通常調(diào)用執(zhí)行一個程序時,把系統(tǒng)控制交給這個程序,并分配給他相應系統(tǒng)資源,如內(nèi)存,從而使之能夠運行完成用戶的需求。因此程序執(zhí)行的過程對用戶是透明的。而計算機病毒是非法程序,正常用戶是不會明知是病毒程序,而成心調(diào)用執(zhí)行。但由于計算機病毒具有正常程序的一切特性:可存儲性、可執(zhí)行性。它隱藏在合法的程序或數(shù)據(jù)中,當用戶運行正常程序時,病毒伺機竊取到系統(tǒng)的控制權(quán),得以搶先運行,然而此時用戶還認為在執(zhí)行正常程序。2、隱蔽性計算機病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序。它通常粘附在正常程序之中或磁盤引導扇區(qū)中,以及一些空閑概率較大的扇區(qū)中,這是它的非法可存儲性。病毒想方設(shè)法隱藏自身,就是為了防止用戶發(fā)覺。3、傳染性傳染性是計算機病毒最重要的特征,是判斷一段程序代碼是否為計算機病毒的依據(jù)。病毒程序一旦侵入計算機系統(tǒng)就開場搜索可以傳染的程序或者磁介質(zhì),然后通過自我復制迅速傳播。由于目前計算機網(wǎng)絡日益興旺,計算機病毒可以在極短的時間內(nèi),通過像Internet這樣的網(wǎng)絡傳遍世界。4、潛伏性計算機病毒具有依附于其他媒體而寄生的能力,這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄生能力,病毒傳染合法的程序和系統(tǒng)后,不立即發(fā)作,而是悄悄隱藏起來,然后在用戶不發(fā)覺的情況下進展傳染。這樣,病毒的潛伏性越好,它在系統(tǒng)中存在的時間也就越長,病毒傳染的范圍也越廣,其危害性也越大。5、表現(xiàn)性或破壞性無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源(如占用內(nèi)存空間,占用磁盤存儲空間以及系統(tǒng)運行時間等)。而絕大多數(shù)病毒程序要顯示一些文字或圖像,影響系統(tǒng)的正常運行,還有一些病毒程序刪除文件,加密磁盤中的數(shù)據(jù),甚至摧毀整個系統(tǒng)和數(shù)據(jù),使之無法恢復,造成無可挽回的損失。因此,病毒程序的表現(xiàn)性或破壞性表達了病毒設(shè)計者的真正意圖。6、可觸發(fā)性計算機病毒一般都有一個或者幾個觸發(fā)條件。滿足其觸發(fā)條件或者激活病毒的傳染機制,使之進展傳染;或者激活病毒的表現(xiàn)局部或破壞局部。觸發(fā)的實質(zhì)是一種條件的控制,病毒程序可以依據(jù)設(shè)計者的要求,在一定條件下實施攻擊。這個條件可以是敲入特定字符,使用特定文件,*個特定日期或特定時刻,或者是病毒內(nèi)置的計數(shù)器到達一定次數(shù)等。四、計算機病毒的傳播途徑第一種途徑通過不可移動的計算機硬件設(shè)備進展傳播，這些設(shè)備通常有計算機的專用ASIC芯片和硬盤等。這種病毒雖然極少，但破壞力卻極強，目前尚沒有較好的檢測手段對付。第二種途徑通過移動存儲設(shè)備來傳播這些設(shè)備包括軟盤、磁帶、U盤等。在移動存儲設(shè)備中，軟盤、U盤是使用最廣泛移動最頻繁的存儲介質(zhì)。目前，大多數(shù)計算機都是從這類途徑感染病毒的。第三種途徑通過計算機網(wǎng)絡進展傳播。現(xiàn)代信息技術(shù)的巨大進步已使空間距離不再遙遠，"相隔天涯，如在咫尺〞，但也為計算機病毒的傳播提供了新的"高速公路〞。計算機病毒可以附著在正常文件中通過網(wǎng)絡進入一個又一個系統(tǒng)，國內(nèi)計算機感染一種"進口〞病毒已不再是什么大驚小怪的事了。在我們信息國際化的同時，我們的病毒也在國際化。估計以后這種方式將成為第一傳播途徑。第四種途徑通過點對點通信系統(tǒng)和無線通道傳播。目前，這種傳播途徑還不是十分廣泛，但預計在未來的信息時代，這種途徑很可能與網(wǎng)絡傳播途徑成為病毒擴散的兩大"時尚渠道〞。五、對計算機病毒攻擊的防范簡而言之，病毒防治的關(guān)鍵是：把好入口關(guān)。防治工具－－殺毒軟件〔病毒卡及其防火墻〕，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、**等反病毒軟件。根據(jù)計算機病毒的工作原理，我們可以找到防治它們的方法。首先，因為許多病毒程序都需要修改中斷向量表，以便在出現(xiàn)*種中斷請求時激活病毒，所以，通過檢查中斷向量表是否異常就可以發(fā)現(xiàn)病毒程序的存在及其入口地址。然后就可以對它進展剖析和進展針對性的防治。其次，由于多數(shù)病毒潛伏在磁盤的引導扇區(qū)內(nèi)，利用計算機啟動過程進入內(nèi)存，因此，保持和恢復DOS盤引導扇區(qū)的正確性十分重要。對于安康的磁盤必須加上"寫保護〞。對于有病毒的磁盤，利用DOS命令中"SYS〞系統(tǒng)傳送命令可以簡單地加以治愈。當然；有病毒的DOS盤也必須完成正常的引導過程，所以必定要把正常的引導扇區(qū)保存在磁盤的*個地方，找到這個地址，把引導扇區(qū)調(diào)回原處，磁盤的病毒也就解除了。另外，由于有病毒的磁盤都存在一定的標記便于病毒程序