计算机病毒的产生、特点及其检测防范措施

1 / 10计算机病毒的产生、特点及其检测防范措施【摘要】病毒已成为当今网络业发展的最大危害,分析了当前计算机病毒的产生及特点，并提出了相应的检测防范措施，对今后的病毒防范趋势作了预测与判断。 【关键词】病毒；特点；检测；防范 近年来，因特网引入了新的病毒传送机制，通过电子邮件这个传播途径,病毒已成为当今网络业发展的最大危害。今年以来，在中国大规模爆发的多种病毒，全部都是通过互联网传播的。随着互联网日益成为全球性工具，病毒也正在成为全球性杀手。而通过网络特别是电子邮件传播的病毒与传统病毒相比，表现出了更快的传播速度以及更强有力的杀伤力。 以下我们在分析网络时代计算机病毒特点的基础上探讨一下如何有效地防范病毒，以“把好网络时代的大门” 。 1.计算机病毒的产生 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是： 计算机病毒是计算机犯罪的一种新的衍化形式。 计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。2 / 10不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现； 计算机软硬件产品的脆弱性是根本的技术原因。 计算机是电子产品。数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式,效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误,只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便； 微机的普及应用是计算机病毒产生的必要环境。 1983 年 11 月 3 日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延，到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及，操作系统简单明了，软、硬件透明度高，基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多，对其存在的缺点和易攻击处也了解的越来越清楚，不同的目的可以做出截然不同的选择。 2.计算机病毒的特点 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算3 / 10机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序，但它和通的计算机程序不同，具有以下特点。 寄生性: 计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。 传染性: 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件会被感染。而被感染的文件又成了新的传染源，再与4 / 10其他机器进行数据交换或通过网络接触，病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、U 盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的 U 盘等载体已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。 潜伏性： 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒5 / 10的传染范围就会愈大。 潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘等载体里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。 潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。 隐蔽性： 计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。 破坏性： 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。 可触发性： 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不6 / 10能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。 4.计算机病毒的检测和防范 计算机病毒防范技术的工作原理。 目前，计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。 (1)签名扫描:通过搜索目标来查找表示恶意软件的模式。(2)启发式扫描:通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。 最容易受到恶意软件攻击的区域： 外部网络； 来宾客户端； 可执行文件； 文档； 电子邮件； 可移动媒体。 7 / 10检测和防范。 用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此，防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。 对恶意代码的查找和分类的根据是： 对恶意代码的理解和对恶意代码“签名”的定位来识别恶意代码。然后将这个签名加入到识别恶意代码的签名列表中，这就是防病毒软件的工作原理。防病毒软件成功的关键是它是否能够定位“签名” 。 恶意代码基本上可以分为两类： 脚本代码和自执行代码。实现对脚本蠕虫的防护很简单，例如，VBScript 蠕虫的传播是有规律的，因此常常可以通过运行一个应用程序的脚本来控制这块代码或者让这个代码失效。 恶意软件防护方法： 在针对恶意软件尝试组织有效的防护之前，需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft 强烈建议您在开始设计防病毒解决方案之前，进行完整的安全风险评估。 深层防护安全模型： 在发现并记录了组织所面临的风险后，下一步就是检查8 / 10和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。 (1)数据层。 数据层上的风险源自这样的漏洞：攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。 (2)应用程序层。 应用程序层上的风险源自这样的漏洞：攻击者有可能利用它们访问运行的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都可能用来攻击系统。 (3)主机层。 提供 ServicePack 和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。 (4)内部网络层。 组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要9 / 10求也具有许多与其关联的风险。 (5)外围网络层。 与外围网络层关联的风险源自可以访问广域网(WAN)以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议(TCP)和用户数据报协议(UDP)端口。 (6)物理安全层。 物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层。攻击者可能只是通过某个物理可移动媒体将感染文件直接复制到主机。 (7)策略、过程和意识层。 围绕安全模型所有层的是，您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中对所有相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。由于此原因，培训也应该是任何安