对计算机病毒的分析与防范处理.doc

对计算机病毒的分析与防范处理摘要：计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保计算机系统的安全，性能的稳定，信息的畅通，研究计算机病毒的防范措施已迫在眉睫，对计算机的安全问题决不能掉以轻心。本文从计算机的特点入手，来初步探讨防治计算机病毒的措施。关键词：计算机病毒、分析、防范、处理最初的计算机主要是为科学计算而设计的，所以一开始人们就较多地关注计算机解决实际问题的能力，而对计算机系统的自身安全考虑得较少，这就造成了计算机系统安全的脆弱性。随着计算机在社会生活各个领域的广泛运用，人们越来越依赖于计算机来处理日常事务，与此同时，计算机犯罪也逐渐成为高智商犯罪的主要形式。一些人利用计算机系统特别是网络的脆弱性，窃取和破坏计算机所管理的数据，以达到不可告人的目的。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。因此，对计算机的安全问题决不能掉以轻心。随着计算机病毒攻击与防治技术的不断拓展，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到人们的高度重视。 一计算机病毒的特点与分类计算机病毒是一种人为制造的、具有自我复制和传播能力、能感染其它软件的程序、引起计算机系统故障的特殊程序。它寄生在某些文件或计算机内存中，运行被感染的程序又会感染其它程序和计算机，就像微生物病毒一样，在计算机系统中生存、自我复制和传播，一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。因此这种程序被形象地称为“计算机病毒”。传染性、寄生性、潜伏性、可触发性、破坏性、衍生性、快速性和隐蔽性是计算机病毒的一般特点，而传染性是计算机病毒最根本的特征。（一） 特点1传染性。计算机病毒具有很强的再生机制，能复制自己并且可以产生变种，它可以通过各种渠道从已被感染的计算机扩散到未被感染的计算机上，从而达到传染的目的。这是判断一个程序是否是计算机病毒的最根本的特征。2破坏性。任何计算机病毒侵入计算机后，都会对计算机系统及应用程序造成不同程度的破坏，轻则降低工作效率，占用系统资源，重则导致系统崩溃，给用户造成无法挽回的损失。3隐蔽性。计算机病毒通常都是想尽一切办法隐藏自己，利用自身代码长度很小、传播速度快的特点，采用各种欺骗方法隐藏在各种文件中，不易被察觉。4潜伏性。计算机病毒一般都有潜伏期，有的计算机虽已被病毒感染，但并不马上发作，而是过一段时间以后，直到符合某种条件（例如到某个特定的日期）时，病毒才开始现出原形，破坏系统，并迅速扩散。5针对性强。计算机病毒的效能可以准确地加以设计，满足不同环境和时机的要求。6顽固性。现在的病毒一般很难一次性根除，被病毒破坏的系统、文件和数据等难以恢复。根据病毒的感染对象和传播方式，一般可将病毒分为引导型、文件型、复合型和网络型。（二）分类1引导型。引导型病毒又称为操作系统型，一般寄生在系统磁盘的引导区，侵害系统文件，在操作系统引导时进入内存，夺取系统控制权，进行病毒传播。这类计算机病毒一旦发作，往往使计算机系统不能正常启动。如“大麻”、“米基朗开罗”等病毒。2文件型。这类病毒主要感染可执行文件，按其感染方法又可分为外壳型、入侵型和源码型，另外还有专门感染WORD文档的WORD宏病毒。3复合型。这类病毒既感染引导区，又感染文件，是一种“双料”病毒，其危害性更大。如“幽灵”病毒等。4网络型。网络型病毒主要通过网络传播，它能突破网络的安全检查，传播到网络的服务器中，进而感染整个网络。如在Internet上传播的“黑客”等病毒。二计算机中毒的主要症状1.计算机系统运行速度减慢。2.计算机系统经常无故发生死机。3.计算机系统中的文件长度发生变化。4.计算机存储的容量异常减少。5.系统引导速度减慢。6.丢失文件或文件损坏。7.计算机屏幕上出现异常显示。8.计算机系统的蜂鸣器出现异常声响。9.磁盘卷标发生变化。10.系统不识别硬盘。11.对存储系统异常访问。12.键盘输入异常。13.文件的日期、时间、属性等发生变化。14.文件无法正确读取、复制或打开。15.命令执行出现错误。16.虚假报警。17.换当前盘。有些病毒会将当前盘切换到C盘。18.时钟倒转。有些病毒会命名系统时间倒转，逆向计时。19.WINDOWS操作系统无故频繁出现错误。20.系统异常重新启动。21.一些外部设备工作异常。22.异常要求用户输入密码。23.WORD或EXCEL提示执行“宏”。24.是不应驻留内存的程序驻留内存。三对计算机病毒的技术分析长期以来，人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则重视不够。计算机系统的各个组成部分，接口界面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑，软件方面也更易存在隐患和潜在威胁。计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机；全球万维网（www）使“地球一村化”，为计算机病毒创造了实施的空间；新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。下面，对计算机病毒所攻击的目标进行分析，主要针对Windows操作系统，能够让大家在使用中注意这些问题。（一）计算机病毒的攻击目标 1 系统文件和可执行文件。这类病毒属于系统病毒，由于对系统文件进行破坏，所以这类病毒的前缀多命名为Win32、PE、Win95、W32、W95等。此类病毒主要感染Windows的exe文件、dll文件，以及其他类型的运行程序。因为系统文件以及可执行文件使用频繁，对病毒传播造成很好的效果，杀毒软件依然是对此类病毒防范的最好工具。2电子邮件。电子邮件传播的蠕虫病毒，是大家听的最多的病毒了，病毒前缀多为Worm，蠕虫顾名思义就是能够不停运行感染。所以，这类病毒具有非常可怕的攻击效果，主要是因为攻击范围比较广泛，是通过电子邮件传播的，同时，也感染其他文件，系统文件和可执行文件也会感染，向外发送大量的垃圾邮件，使网络阻塞。只要在平时对杀毒软件及时更新病毒库，蠕虫病毒不会很容易感染。3访问网络的程序。访问网络的病毒看起来很笼统。但是，这些程序所感染的病毒也很广泛，其中有木马病毒和黑客病毒，木马病毒其前缀是Trojan，黑客病毒前缀名一般为Hack 。这类病毒和蠕虫病毒一样，传播的时候先把本机感染，然后再传播到网络，感染别的电脑。我们常使用的OICQ软件和网络游戏就可能成为这两个病毒的传播者。OICQ软件可以在通讯聊天的时候传播不健康网站或者恶意网站。而网络游戏，则可能造成游戏帐号的丢失。木马病毒和黑客病毒，最好的防范工具是木马监视工具，比如木马克星等软件4 脚本程序。脚本程序多使用在网页中，在访问的时候，可以更好的让更多的人访问同一个网页。其中，Java小程序以及Active X这两个是使用最广泛的，通过网页进行传播，这类脚本病毒的前缀是Script。在访问网页的时候，使用脚本语言非常的频繁。因此，很容易传播此类病毒，也就造成了此类病毒的泛滥。5宏病毒。宏病毒也属于脚本病毒，但是因为它所感染的目标主要针对Office软件，所以另外分出类来，宏病毒的前缀是：Macro、Word、Word97、Excel、Excel97等。这类病毒主要感染Office系列的文档，包括Word、Excel等。为了保护数据的安全，建议尽量把宏安全性提高到最高。另外，杀毒软件里都有宏病毒的检测，建议打开监控。6 后门病毒。后门病毒，其实并不是利用攻击来达到目的的。主要是潜入系统，在适当的时候开启某个端口或者服务，然后再利用其他工具进行攻击，后门病毒的前缀是Backdoor。在平时的使用过程中，我们应该始终把防火墙打开，对端口进行编辑，以便在访问的时候，更清楚的知道自己电脑内有哪些端口进行了访问。7病毒种植传播。种植的意思是靠一个程序，来生成更多的程序，这类病毒就是靠这样来达到传播的目的。在程序被打开的情况下，在内存中自动复制程序，并且拷贝到其他文件目录下，感染更多的程序以及文件，后门病毒的前缀是Backdoor。这类病毒也属于内存病毒，不仅传播病毒，而且占用很多的电脑资源。因此时常对内存以及进程文件进行检查也是个很好的习惯。8 破坏性病毒。破坏性病毒所针对的攻击目标，主要是电脑的系统、硬盘或者其他硬件设备，而且会破坏系统文件，造成系统无法正常使用。如果是硬盘的话，还会删除文件、格式化硬盘。其他硬件设备，可能还会超频，导致电脑硬件过热而损坏电脑，破坏性程序病毒的前缀是Harm。这类病毒会造成很严重的后果。9玩笑性病毒。玩笑性病毒，只是一段开玩笑的代码，它会出其不意的在您的电脑里运行，并且和您开个玩笑，还可能会装做破坏一些软件或者程序来和用户开玩笑。对电脑没有实质性破坏，只会开玩笑和影响正常的工作学习，玩笑病毒的前缀是Joke。10 程序捆绑病毒。和程序捆绑的病毒并不需要多大难度，只需要使用一个文件捆绑器，就可以把病毒文件和正常程序捆绑在一起，然后在运行程序的时候就会不知不觉的运行，程序捆绑病毒的前缀是Binder。程序所捆绑的病毒的文件大小都是很小的，这样程序文件不会很大，所以不会被发觉的。而且经常是对常用软件进行捆绑的，比如OICQ软件、IE软件等。实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现状来看，病毒注入方法主要有以下几种。（二）注入方式1无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式，同时技术难度也最大。可能的途径有：直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机上。冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码，使之能够混在合法传输信号中，进入接收器，进而进人信息网络。寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路，将病毒传染到被保护的链路或目标中。 2“固化”式方法。即把病毒事先存放在硬件（如芯片）和软件中，然后把此硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统，在需要时将其激活，达到攻击目的。这种攻击方法十分隐蔽，即使芯片或组件被彻底检查，也很难保证其没有其他特殊功能。目前，我国很多计算机组件依赖进口，因此，很容易受到芯片的攻击。 3后门攻击方式。后门，是计算机安全系统中的一个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种，如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击，如目前普遍使用的WINDOWS系统，就存在这样的后门。 4数据控制链侵入方式。随着因特网技术的广泛应用，使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术，可以很容易地改变数据控制链的正常路径。 除上述方式外，还可通过其他多种方式注入病毒。四对计算机病毒攻击的防范与处理（一）病毒的防范措施1建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒遏制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系，须有有效的硬件和软件技术的支持，如安全设计及规范操作。防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具，可以自动进行文件更新，使管理和服务作业合理化，并可用来从控制中心管理企业范围的反病毒安全机制，优化系统性能、解决及预防问题、保护计算机免受病毒的攻击和危害。2严把硬件安全关。国家的机密信息系统所用设备和系列产品，应建立自己的生产企业，实现计算机的国产化、系列化；对引进的计算机系统要在进行安全性检查后才能启用，以预防和限制计算机病毒伺机入侵。3网关防毒：网关防毒是对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤，从而实现对整个网络的病毒防范。目前广泛采用防毒墙技术，防毒墙是位于网络入口处，用于对网络传输中的病毒进行过滤的网络安全设备。防毒墙使用签名技术在网关处进行查毒工作，阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外，管理人员能够定义分组的安全策略，以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址，以及TCP/UDP端口和协议。病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入，所以，计算机网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题。如果病毒在局域网内的所有客户端传播之前就被清除，网络管理员的工作量就减少了很多。4防人之心不可无。不管在哪里下载的软件或者收到朋友传来的文件，养成良好的习惯，扫描一下看看是否有病毒。显示完整的文件名，包括各种已知后缀，看起来像是图片的XXX.jpg文件，可能后面还有一个vbs、com的后缀。（二）病毒的处理方法病毒有很多种，有的好处理，有的却是顽固份子。让我们从简单到复杂慢慢来介绍。1升级杀毒软件到最新病毒库，然后用杀毒软件全盘扫描进行杀毒了。当然，推荐大家到安全模式下进行查杀病毒，这样做有很多好处。安全模式下运行的服务是最小的，保证有足够大的资源和最快速度杀毒，另外，因为服务最少，能够清除部分利用服务开启后无法修改系统文件来保护自己的病毒。对于查毒软件在安全模式下能查出来但不能处理的病毒或者病毒杀掉以后中毒症状还存在不能恢复的病毒，先根据病毒的名字看看是什么类型的病毒，然后百度一下看看网上有没有专杀工具或者修复工具。如果没有，就要利用一些其他的第三方软件了。现在360安全卫士（下载地址：/soft/21730.html和windows清理助手（/）是很流行的两款系统维护的软件。你可以把两个软件都下载下来，用他们扫描一下系统。现在绝大部分的木马、病毒都逃不出他们手心。2手动杀毒处理。点击开始，运行，输入msconfig，回车，（XP系统的system32文件夹里有这个可执行文件，2K系统可以去XP系统拷贝一个放在system32里），查看最后一个启动选项卡，这里存放的都是系统开机时候自动运动的程序，它已经自动把windows系统服务隐藏了，所以，你大可不用担心对这个修改会对系统有什么不良影响。建议大家就保留ctfmon（输入法图标）和你杀毒软件的实时监控程序就可以了，其他的都可以把前面的勾去掉。然后我们所要做的就是查看这些项目的“命令”栏，我们常见的通常是一些软件的自动运行，你看看路径就知道是不是你自己安装的软件了，但是如果你看到一些路径是system、system32或者windows目录下的，那你就要小心了，这个可能就是病毒或者木马，先把前面的勾去掉，接着下载一个Unlocker软件（下载地址：/soft/6/12/2006/Soft_30377.html），因为大部分病毒木马都是开机自动调用dll文件运行，造成这些文件被保护，无法移动或者删除。于是我们就要借助这个工具，把他们灭掉。安装Unlocker以后，在文件上点击右键，就会看到菜单里面多了一个Unlock，选择解锁，然后选择把怀疑的文件移动到别的地方。然后重启计算机，试着运行一段时间，如果运行时发现系统无法正常运行，说明那是