电脑黑客病毒

第五节　计算机安全

计算机安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件、计算机输出材料和数据。

一、计算机安全隐患

随着计算机应用的日益广泛，计算机安全问题应运而生。特别是随着Internet的迅速普及，以及全球信息化的飞速发展，计算机安全问题已经上升为全社会的问题，并且受到各国政府的高度重视。

（一）影响计算机系统安全的主要因素

计算机信息系统并不安全，其不安全因素有计算机信息系统自身的、自然的，也有人为的。可以导致计算机信息系统不安全的因素包括软件系统、硬件系统、环境因素和人为因素等几方面。

1.软件系统：软件系统一般包括系统软件、应用软件和数据库软件。

所谓软件就是用程序设计语言写成的机器能处理的程序，这种程序可能会被篡改或盗窃，一旦软件被修改或破坏，就会损害系统功能，以至整个系统瘫痪。而数据库存有大量的各种数据，有的数据资料价值连城，如果遭破坏，损失是难以估价的。

2.硬件系统：硬件是计算机系统中除软件以外的所有硬设备，这些电子设备最容易被破坏或盗窃，其安全存取控制功能还比较弱。而信息或数据要通过通信线路在主机间或主机与终端及网络之间传送，在传送过程中也可能被截取。

3.环境因素：

电磁波辐射：计算机设备本身就有电磁辐射问题，也怕外界电磁波的辐射和干扰，特别是自身辐射带有信息，容易被别人接收，造成信息泄漏。

辅助保障系统：水、电、空调中断或不正常会影响系统运行。

自然因素：火、电、水、静电、灰尘、有害气体、地震、雷电、强磁场和电磁脉冲等危害。这些危害有的会损害系统设备，有的则会破坏数据，甚至毁掉整个系统和数据。

4.人为因素：安全管理水平低、人员技术素质差、操作失误或错误、违法犯罪行为。

5.数据输入部分：数据通过输入设备输入系统进行处理，数据易被篡改或输入假数据。

6.数据输出部分：经处理的数据转换为人能阅读的文件，并通过各种输出设备输出，在此过程中信息有可能被泄露或被窃取。

（二）保证计算机安全的对策

1.杀（防）毒软件不可少；

2.个人防火墙不可替代；

3.分类设置密码并使密码设置尽可能复杂；

4.不下载来路不明的软件及程序；

5.警惕“网络钓鱼”；

6.防范间谍软件；

7.只在必要时共享文件或文件夹；

8.不要随意浏览黑客网站、色情网站；

9.定期备份重要数据。

二、计算机病毒防范

（一）计算机病毒的特点

1.隐蔽性

病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的病毒以隐藏文件形式出现，目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序，而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。

2.感染性

是指病毒具有把自身复制到其他程序中的特性。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。

计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。

病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他计算机。

3.潜伏性

大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，除了传染外不做什么破坏，这样的状态可能保持几天、几个月甚至几年。只有在满足其特定条件时才启动其表现（破坏）模块。例如，著名的“黑色星期五”在逢13号的星期五发作，CIH在每月的26号发作。

4.破坏性

任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者降低计算机工作效率，占用系统资源，重者可导致系统崩溃、硬件受损。

（二）计算机病毒的分类

根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可以根据下面的属性进行分类。

1.按病毒存在的媒体

根据病毒存在的媒体，病毒可以划分为：网络病毒、文件病毒、引导型病毒、混合型病毒。

网络病毒通过计算机网络传播感染网络中的可执行文件；文件病毒感染计算机中的文件（如：.COM，.EXE，.DOC等）；引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）；还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

2.按病毒传染的方法

根据病毒传染的方法可分为二种：驻留型病毒和非驻留型病毒。

驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序会挂接到操作系统中去，并处于激活状态，直到关机或重新启动；非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。

3.按病毒破坏的能力

无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。

无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型：这类病毒在计算机系统操作中造成严重的错误。

非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

4.按病毒的算法

伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，通过计算网络地址，将自身的病毒通过网络发送。蠕虫病毒一般除了占用内存外不占用其它资源。

寄生型病毒：除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒。它们依附在系统的引导扇区或文件中，通过系统的功能进行传播。

寄生型病毒按其算法不同可分为：

练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些在调试阶段的病毒。

诡秘型病毒：它们使用了比较高级的技术，一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等对DOS进行内部修改，利用DOS空闲的数据区进行工作。

变型病毒（又称幽灵病毒）：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和变化过的病毒体组成。

（三）防范计算机病毒的有效方法

建立良好的安全习惯：例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

关闭或删除系统中不需要的服务：默认情况下，许多操作系统会安装一些辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

经常升级安全补丁：据统计，有80％的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到网站去下载最新的安全补丁，以防范未然。

使用复杂的密码：有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

迅速隔离受感染的计算机：当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

了解一些病毒知识：这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

最好安装专业的杀毒软件进行全面监控：在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择。不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等、遇到问题要上报，这样才能真正保障计算机的安全。

用户还应该安装个人防火墙软件进行防黑：由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重。许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。

（四）预防病毒的六种方法

1.杀毒软件经常更新，以快速检测到可能入侵计算机的新病毒或者变种。

2.使用安全监视软件（和杀毒软件不同比如360安全卫士，瑞星卡卡）主要防止浏览器被异常修改，插入钩子，安装不安全恶意的插件。

3.使用防火墙或者杀毒软件自带防火墙。

4.关闭电脑自动播放（网上有）功能并对电脑和移动储存工具进行常见病毒免疫。

5.定时全盘病毒木马扫描。

6.注意网址正确性，避免进入山寨网站。

（五）计算机中毒的常见症状

计算机系统运行速度减慢。

计算机系统经常无故发生死机。

计算机系统中的文件长度发生变化。

计算机存储的容量异常减少。

系统引导速度减慢。

丢失文件或文件损坏。

计算机屏幕上出现异常显示。

计算机系统的蜂鸣器出现异常声响。

磁盘卷标发生变化。

系统不识别硬盘。

对存储系统异常访问。

键盘输入异常。

文件的日期、时间、属性等发生变化。

文件无法正确读取、复制或打开。

命令执行出现错误。

虚假报警。

切换当前盘。有些病毒会将当前盘切换到C盘。

时钟倒转。有些病毒会命名系统时间倒转，逆向计时。

WINDOWS操作系统无故频繁出现错误。

系统异常重新启动。

一些外部设备工作异常。

异常要求用户输入密码。

WORD或EXCEL提示执行“宏”。

不应驻留内存的程序驻留内存。

三、计算机黑客及其防范

（一）黑客常用手段

网络扫描：在Internet上进行广泛搜索，以找出特定计算机或软件中的弱点。

网络嗅探程序：偷偷查看通过Internet的数据包，以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令。

拒绝服务：通过反复向某个Web站点的设备发送过多的信息请求，黑客可以有效地堵塞该站点上的系统，导致无法完成应有的网络服务项目（例如电子邮件系统或联机功能），称为“拒绝服务”问题。

欺骗用户：伪造电子邮件地址或Web页地址，从用户处骗得口令、信用卡号码等。

特洛伊木马：一种用户察觉不到的程序，其中含有可利用一些软件已知弱点的指令。

后门：为防原来的进入点被探测到，留几个隐藏的路径以方便再次进入。

恶意小程序：微型程序，修改硬盘上的文件，发送虚假电子邮件或窃取口令。

竞争拨号程序：能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。

缓冲器溢出：向计算机内存缓冲器发送过多的数据，以摧毁计算机控制系统或获得计算机控制权。

口令破译：用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式。

社交工程：与公司雇员谈话，套出有价值的信息。

垃圾桶潜水：仔细检查公司的垃圾，以发现能帮助进入公司计算机的信息。

（二）防范黑客的措施

屏蔽可疑IP地址：这种方式见效最快，一旦网络管理员发现了可疑的IP地址申请，可以通过防火墙屏蔽相对应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且高级黑客有可能会伪造IP地址，屏蔽的也许是正常用户的地址。

过滤信息包：通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃。如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。但是这种做法仍然有它不足的地方，例如黑客可以改变攻击性代码的形态，让防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量的发送信息包，知道服务器不堪重负而造成系统崩溃。

修改系统协议：对于漏洞扫描，系统管理员可以修改服务器的相应协议。例如漏洞扫描是根据对文件的申请返回值对文件存在进行判断的，这个数值如果是200则表示文件存在于服务器上，如果是404则表明服务器没有找到相应的文件，但是管理员如果修改了返回数值、或者屏蔽404数值，那么漏洞扫描器就毫无用处了。

经常升级系统版本：任何一个版本的系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而至。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。

及时备份重要数据：如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

使用加密机制传输数据：对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该先经过加密处理再进行发送，这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，黑客即使得到了这种加密处理后的文件，也只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

个人用户可以做以下基本的几项来防范黑客：

最重要的就是要把administrator的密码一定要设置的复杂一点。

删除不必要的用户。

关掉自己的共享（如果不是有什么特别的需要强烈推荐）。

及时下载系统补丁。