计算机病毒防范技术

8.2.1　计算机病毒防范技术

随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随着互联网的流行，有些计算机病毒借助网络爆发流行，如“冲击波”病毒、“爱虫”病毒、“熊猫烧香”病毒等，它们与以往的计算机病毒相比具有一些新的特点，给计算机用户带来了极大的损失。

当计算机系统或文件染有计算机病毒时，需要检测和消除。但是，计算机病毒一旦破坏了没有副本的文件，便无法恢复。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中，如果能采取有效的防范措施，就能使系统不染毒，或者染毒后能减少损失。

计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。

1.计算机病毒的定义

计算机病毒（Computer Virus）是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。这是计算机病毒的广义定义。类似于生物病毒，它能把自身附着在各种类型的文件上或寄生在存储媒介中，能对计算机系统和网络进行各种破坏，同时有独特的复制能力和传染性，能够自我复制——主动传染；另一方面，当文件被复制或在网络中从一个用户传送到另一个用户时——被动传染，它们就随同文件一起蔓延开来。

在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。这一定义，具有一定的法律性和权威性。

与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，它通过修改其他程序的方法将自己的精确副本或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏。

2.计算机病毒的特征

计算机病毒实质上是指编制或在计算机程序中插入破坏计算机功能或数据，影响计算机使用并能自我复制的一组计算机指令或程序代码。只有了解了计算机病毒的特征，才能更好地防范它。一般来说都具有以下特征：

（1）计算机病毒的非授权性

计算机病毒未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务，其目的对用户是可见的、透明的。而病毒隐藏在正常程序中，其在系统中的运行流程一般是：做初始化工作→寻找传染目标→窃取系统控制权→完成传染破坏活动，其目的对用户是未知的，是未经用户允许的。

（2）计算机病毒的传染性

病毒一词来源于生物学，传染性也相应成了计算机病毒最基本的特性。计算机病毒的传染性是指病毒具有把自身复制到其他程序的能力。计算机病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。计算机病毒一旦进入计算机并得以执行，就会搜寻符合其传染条件的其他程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。而被感染的目标又成了新的传染源，当它被执行以后，便又去感染另一个可以被其传染的目标。计算机病毒的这种将自身复制到感染目标中的“再生机制”，使得病毒能够在系统中迅速扩散。

正常的计算机程序一般是不会将自身的代码强行链接到其他程序之上的，而病毒却能使自身的代码强行传染到一切符合其传染条件的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当用户在一台计算机上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台计算机联网的其他计算机也许也感染了该病毒。

是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。传染性也决定了计算机病毒的可判断性。

（3）计算机病毒的隐蔽性

计算机病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的，而一旦病毒发作表现出来，往往已经给计算机系统造成了不同程度的破坏。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。

计算机病毒的隐蔽性表现在两个方面：

①传染的隐蔽性。大多数病毒的代码设计得非常精巧而又短小，一般只有几百字节或几千字节，而计算机对文件的存取速度可达每秒几百字节以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，且一般不具有外部表现，从而不易被人发现。如果计算机病毒在屏幕上显示一些图案或信息，或演奏一段乐曲，往往此时该计算机内已有许多病毒的拷贝，并正在制造灾难。

②病毒程序存在的隐蔽性。病毒通常以隐蔽的方式存在，且被病毒感染的计算机在多数情况下仍能维持其部分功能，不会因为感染上病毒而使整台计算机不能启动，或者因为某个程序被病毒感染，而损坏得不能运行。如果出现这种情况，病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后，其原有功能基本上不受影响，病毒代码附于其上而得以存活并不断地得到运行的机会，去传染出更多的复制体，与正常程序争夺系统的控制权和系统资源，不断地破坏系统，最终导致整个系统的瘫痪。

（4）计算机病毒的潜伏性

一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大。潜伏性的第一种表现是指病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或光盘里待上几天，甚至几年，一旦时机成熟，得到运行机会，就繁殖、扩散，继续为害。潜伏性的第二种表现是指计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做别的破坏，只有当触发条件满足时，才会出现中毒症状。

（5）计算机病毒的可触发性

计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性，称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动作、一直潜伏，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，就必须具有可触发性。病毒的触发机制是用来控制感染和破坏动作的频率的。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，病毒开始实施感染或攻击；如果不满足，则病毒继续潜伏。病毒具有的预定触发条件，可能是时间、日期、文件类型或某些特定数据等任何因素，如“PETER-2”在每年2月27日会提出三个问题，答错后会将硬盘加密；著名的“黑色星期五”在逢某月13日的星期五发作。这些病毒在平时隐藏得很好，只有在条件满足时才会露出本来面目。病毒的触发条件越多，则传染性越强。

（6）计算机病毒的破坏性

所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，因此，所有的计算机病毒都对计算机系统造成不同程度的影响，轻者降低计算机系统工作效率、占用系统资源（如占用内存空间、磁盘存储空间以及系统运行时间等），重者导致数据丢失、系统崩溃，其具体情况取决于入侵系统的病毒程序，取决于计算机病毒设计者的目的。如果病毒设计者的目的在于彻底破坏系统的正常运行的话，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复，如CIH病毒。但并非所有的病毒都对系统产生极其恶劣的破坏作用，如GENP、小球、W-BOOT等“良性病毒”。有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃等重大恶果。计算机病毒的破坏性，决定了病毒的危害性。

（7）计算机病毒的不可预见性

从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存、改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且有些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术，使用这种方法对病毒进行检测势必会造成较多的误报。计算机病毒新技术的不断涌现，也加大了对未知病毒的预测难度，决定了计算机病毒的不可预见性。事实上，反病毒软件预防措施和技术手段往往滞后于病毒的产生速度。

3.计算机病毒的分类

对计算机病毒的分类研究，目的在于更好地描述、分析、理解计算机病毒的特性、危害、原理及其防治技术。尽管计算机病毒的数量非常多，表现形式多种多样，但是通过一定的标准可以把它们分为几种类型。

一个病毒通常会具有多个属性，分类的主要问题在于选择哪些属性作为分类的依据，依据不同，分类自然不同。

（1）按照计算机病毒的寄生部位或传染对象分类

①磁盘引导区传染的计算机病毒

磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能否正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。

②操作系统传染的计算机病毒

操作系统是一个计算机系统得以运行的支持环境，它包括“com”、“exe”等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。操作系统传染的病毒目前已广泛存在，黑色星期五就是此类病毒。

③可执行程序传染的计算机病毒

可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。

（2）按照计算机病毒特有的算法分类

①伴随型病毒

这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如，XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入.COM文件并不改变.EXE文件，当DOS加载文件时，伴随体被优先执行，再由伴随体加载执行原来的.EXE文件。

②“蠕虫”型病毒

计算网络地址作为感染目标，利用网络从一台计算机的内存传播到其他计算机的内存，将自身通过网络发送。蠕虫通过计算机网络传播，不改变文件和资料信息，除了内存，一般不占用其他资源。

③寄生型病毒

除了伴随型和“蠕虫”型，其他病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播。

④练习型病毒

病毒自身包含错误，不能进行很好的传播，例如一些在调试阶段的病毒。

⑤诡秘型病毒

诡秘型病毒一般不直接修改中断和扇区数据，而是通过设备技术或文件缓冲区等操作系统内部修改，不易看到资源，利用操作系统空闲的数据区进行工作。

⑥变形病毒（又称幽灵病毒）

这一类病毒使用一种复杂的算法，一般由一段混有无关指令的解码算法和被变化过的病毒体组成，使自己每传播一份都具有不同的内容和长度。每一个中毒的文件中，所含的病毒码都不一样，更有甚者，几乎无法找到相同的病毒特征码。对于扫描固定病毒特征码的防毒软件来说，无疑是一个严峻的考验。

4.计算机感染病毒后的症状

一般来说，感染上了病毒的计算机会有以下几种症状。

①程序载入的时间变长。

②平时运行正常的计算机变得反应迟钝，并会出现蓝屏或死机现象。

③可执行文件的大小发生不正常的变化。

④对于某个简单的操作，可能会花费比平时更多的时间。

⑤硬盘指示灯无缘无故持续处于点亮状态。

⑥开机出现错误的提示信息。

⑦系统可用内存突然大幅减少，或者硬盘的可用磁盘空间突然减小，而用户却并没有放入大量文件。

⑧文件的名称或扩展名、日期、属性被系统自动更改。

⑨文件无故丢失或不能正常打开。

如果计算机出现了以上几种症状，就很有可能已经感染上了病毒。

5.计算机病毒的防治策略

病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。为了防范病毒的传播，切断病毒的传染途径，有效识别正常程序行为与病毒行为，主要从以下几个方面采取有针对性的防病毒策略。

（1）加强安全意识和安全知识。解决病毒的防治问题，最关键的一点是要在思想上给予足够的重视。要采取“预防为主，防治结合”的八字方针，从而加强管理，预防病毒的入侵。认识到病毒的危害，共享文件时需设置权限和增加密码，共享结束后应及时关闭。使用来历不明的文件前进行查杀等，可以很好地防止病毒的传播。

（2）尽量避免在无防病毒软件的计算机上使用可移动存储设备。在使用移动存储设备时先进行病毒的扫描和清除，把病毒拒绝在外。

（3）及时为操作系统安装安全补丁。很多计算机病毒都是利用了操作系统的漏洞进行传播的，因此需要特别注意操作系统供应商提供的补丁，必须安装补丁文件或安装升级版本来消除这个漏洞。及时安装补丁是一个良好的习惯，能让你的系统时刻保持最新、最安全，以防患于未然。

（4）隔离已感染病毒的计算机。当您的计算机发现被病毒感染时应立即中断与其他计算机互联，尽快采取有效地查杀病毒措施，及时将其清除，以防止计算机受到更多的感染，或者成为传播病毒的感染源，造成意外损失。

（5）安装专业的防病毒软件进行全面保护。为防范日益增多的病毒，用户应安装专业的防病毒软件，定期将防病毒软件升级至最新版本，按时扫描计算机，将杀毒软件的各种防病毒监控打开，能够保障计算机的安全。

（6）重要资料必须备份。资料是最重要的，程序损坏了可重新安装或再买一份，但是资料可能是多年积累的行业相关资料，若因硬盘损坏或者因为病毒感染而丢失，可能损失巨大，所以对重要资料经常备份是绝对必要的。

（7）不要在互联网上随意下载软件。病毒的一大传播途径就是Internet。病毒潜伏在网络上的各种可下载程序中，如果随意下载、随意打开，对于病毒制造者来说，真是再好不过了。因此，不要贪图免费软件，如果实在需要，下载后立即执行杀毒软件进行检查。

（8）不要轻易打开电子邮件的附件。以前很多造成大规模破坏的病毒，都是通过电子邮件传播的。不要认为熟人发送的附件就一定保险，有的病毒会自动检查受害人计算机上的通讯录并向其中的所有地址自动发送带毒文件。最稳妥的做法，是先将附件保存下来，在打开之前用杀毒软件彻底检查。