計算機病毒與計算機相伴生的東西,它對計算機的安全構成一定的威脅,一旦病毒計算機遭到病毒入侵,輕則導緻資訊丢失,重則導緻電腦癱瘓。是以,抵禦病毒入侵顯得十分重要。想要抵禦病毒,你滴先了解它們,知道它們長什麼樣子,是如何侵入計算機的才能很好的抵禦它們。讀完這篇文章,給你的計算機一個安全的環境。
計算機病毒的特點:
傳染性
這是病毒的基本特征。計算機病毒會通過各種管道從已被感染的計算機擴散到未被感染的計算機,造成被感染的計算機工作失常甚至癱瘓。是否具有感染性是判别一個程式是否為計算機病毒的重要條件。
隐蔽性
病毒通常附在正常程式中或磁盤較隐蔽的地方,也有的以隐含檔案形式出現。如果不經過代碼分析,病毒程式與正常程式是不容易區分開來的。計算機病毒的源程式可以是一個獨立的程式體,源程式經過擴散生成的再生病毒一般采用附加和插入的方式隐藏在可執行程式和資料檔案中,采取分散和多處隐藏的方式,當有病毒程式潛伏的程式被合法調用時,病毒程式也合法進入,并可将分散的程式部分在所非法占用的存儲空間進行重新配置設定,構成一個完整的病毒體投入運作。
潛伏性
大部分病毒感染系統後,會長期隐藏在系統中,悄悄的繁殖和擴散而不被發覺,隻有在滿足其特定條件的時候才啟動其表現(破壞)子產品。
破壞性
任何病毒隻要入侵系統,就會對系統及應用程式産生程度不同的影響。輕則會降低計算機工作效率,占用系統資源,重則可導緻系統崩潰,根據病毒的這一特性可将病毒分為良性病毒和惡性病毒。良性病毒可能隻顯示些畫面或無關緊要的語句,或者根本沒有任何破壞動作,但會占用系統資源。惡性病毒具有明确的目的,或破壞資料、删除檔案,或加密磁盤、格式化磁盤,甚至造成不可挽回的損失。
不可預見性
從病毒的監測方面看,病毒還有不可預見性。計算機病毒常常被人們修改,緻使許多病毒都生出不少變種、變體,而且病毒的制作技術也在不斷地深入性提高,病毒對反病毒軟體常常都是超前的,無法預測。
觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行進攻的特性稱為可觸發性。病毒既要隐蔽又要維持攻擊力,就必須有可觸發性。
病毒的觸發機制用于控制感染和破壞動作的頻率。計算機病毒一般都有一個觸發條件,它可以按照設計者的要求在某個點上激活并對系統發起攻擊。
針對性
有一定的環境要求,并不一定對任何系統都能感染。
寄生性
計算機病毒程式嵌入到宿主程式中,依賴于宿主程式的執行而生存,這就是計算機病毒的寄生性。病毒程式在浸入到宿主程式後,一般會對宿主程式進行一定的修改,宿主程式一旦執行,病毒程式就被激活,進而進行自我複制。
通常認為,計算機病毒的主要特點是傳染性、隐蔽性、潛伏性、寄生性、破壞性。
病毒介紹
在生物學上,病毒是一個低級的生命體, 在網絡安全方面,計算機病毒是一種靠修改其它程式來插入或進行自身拷貝,進而感染其它程式的一種程式。
在我國給了計算機病毒更詳細的定義:計算機病毒,是指編制或者在計算機程式中插入的破壞計算機功能或者毀壞資料,影響計算機使用,并能自我複制的一組計算機指令或者程式代碼。——《中華人民共和國計算機資訊系統安全保護條例》第二十八條
計算機病毒結構
一般由引導子產品、傳染子產品、表現子產品三部分組成。
| 引導子產品 | 引導代碼 |
| 傳染子產品 | 傳染條件判斷 |
| 傳染代碼 | |
| 表現子產品 | 表現及破壞條件判斷 |
| 破壞代碼 |
病毒分類(按照宿主分類)
(1)引導型病毒
引導區型病毒侵染軟(硬、優)盤中的“主引導記錄”
(Master Boot Record,0柱面0磁頭1扇區)
解釋:引導型病毒是放在引導型扇區裡面,在計算機中都有個0柱面0磁頭1扇區特殊的記錄,是計算機開機的重要檔案,病毒把Master Boot Record代碼修改之後,在計算機開機的時候可能就會先激活病毒。
(2)檔案型病毒
通常它感染各種可執行檔案、有可解釋執行腳本的檔案、可包含宏代碼的檔案。每一次它們激活時,感染檔案把病毒代碼自身複制到其他檔案中。
(3)混合型病毒
混合型病毒通過技術手段把引導型病毒和檔案型病毒組合成一體,使之具有引導型病毒和檔案型病毒兩種特征,以兩者互相促進的方式進行傳染。這種病毒既可以傳染引導區又可以傳染可執行檔案,增加了病毒的傳染性以及生存率,使其傳播範圍更廣,更難于清除幹淨。
經典執行個體:
宏病毒
1.病毒是一種使用宏編輯語言編寫的病毒,主要寄生于Word文檔或模闆的宏中。一旦打開這樣的文檔,宏病毒就會被激活,進入計算機記憶體并駐留在Normal模闆上,進而感染所有自動儲存的文檔。如果網絡上其他使用者打開感染病毒的文檔,宏病毒就會轉移到他的計算機上。
宏病毒通常使用VB腳本,影響微軟的Office組建或類似的應用軟體,大多通過郵件傳播。
在我們計算機的Word文檔中就可以找到宏,
2.宏病毒的工作原理:
3.宏病毒的特點:
(1)感染資料檔案。一般病毒隻感染程式,而宏病毒專門感染資料檔案。
(2)多平台交叉感染。當Word、Excel這類軟體在不同平台(如Windows、OS/2和MacinTosh)上運作時,會被宏病毒交叉感染。
(3)容易編寫。宏病毒以源代碼形式出現,是以編寫和修改宏病毒就更容易了。這也是宏病毒的數量居高不下的原因。
(4)容易傳播。隻要打開帶有宏病毒的電子郵件,計算機就會被宏病毒感染。此後,打開或建立檔案都會感染宏病毒。
4.宏病毒的預防
防治宏病毒的根本在于限制宏的執行。
(1)禁止所有宏的執行。在打開Word文檔時,按住Shift鍵,即可禁止自動宏,進而達到防治宏病毒的目的。
(2)檢查是否存在可疑的宏。若發現有一些奇怪名字的宏,肯定就是病毒無疑了,将它立即删除即可。即便删錯了也不會對Word文檔内容産生任何影響。具體做法是,選擇【工具】【| 宏】指令,打開【宏】對話框,選擇要删除的宏,單擊【删除】按鈕即可。
(3)按照自己的習慣設定。重新安裝Word後,建立一個新文檔,将Word的工作環境按照自己的使用習慣進行設定,并将需要使用的宏一次編制好,做完後儲存新文檔。這時候的Normal.dot模闆絕對沒有宏病毒,可将其備份起來。在遇到宏病毒時,用備份的Normal.dot模闆覆寫目前的模闆,可以消除宏病毒。
(4)使用Windows自帶的寫字闆。在使用可能有宏病毒的Word文檔時,先用Windows自帶的寫字闆打開文檔,将其轉換為寫字闆格式的檔案儲存後,再用Word調用。因為寫字闆不調用、不儲存宏,文檔經過這樣的轉換,所有附帶的宏(包括宏病毒)都将丢失。
(5)提示儲存Normal模闆。選擇【工具】【| 選項】指令,在【選項】對話框中打開【儲存】頁籤,選中【提示儲存Normal模闆】複選框。一旦宏病毒感染了Word文檔,退出Word時,Word就會出現“更改的内容會影響到公用模闆Normal,是否儲存這些修改内容?”的提示資訊,此時應選擇“否”,退出後進行殺毒。
(6)使用.rtf和.csv格式代替.doc和.xls。因為.rtf和.csv格式不支援宏功能,是以交換檔案時候,用.rtf格式的文檔代替.doc格式,用.csv格式的電子表格代替.xls格式。這樣就可以避免宏病毒的傳播。
5.宏病毒的清除
(1)手工清除。選取【工具】【| 宏】指令,打開【宏】對話框,單擊【管理器】指令按鈕,打開【管理器】對話框,選擇【宏方案項】頁籤,在【宏方案項的有效範圍】下拉清單中選擇要檢查的文檔,将來源不明的宏删除。退出Word,然後到C槽根目錄下檢視有沒有Autoexec.dot檔案,如果有這個檔案就删除,再找到Normal.dot檔案,删除它。Word會自動重新生成一個幹淨的Normal.dot檔案。到目錄 C:\Program Files\Microsoft Office\Office\Startup 下檢視有沒有模闆檔案,如果有而且不是使用者自己建立的,則删除它。重新開機Word,這時Word已經恢複正常了。
(2)使用專業防毒軟體。目前的專業防毒軟體都具有清除宏病毒的能力。但是如果是新出現的病毒或者是病毒的變種則可能不能正常清除,此時需要手工清理.
蠕蟲
1.定義:
蠕蟲(Worm)是一種通過網絡傳播的惡性病毒,通過分布式網絡來擴散傳播特定的資訊或錯誤,進而造成網絡服務遭到拒絕并發生死鎖。
2. 蠕蟲病毒的基本結構和傳播過程
蠕蟲的基本程式結構包括以下三個子產品
(1)傳播子產品:負責蠕蟲的傳播,傳播子產品又可分為三個基本子產品,即掃描子產品、攻擊子產品和複制子產品。
(2)隐藏子產品:浸入主機後,隐藏蠕蟲程式,防止被使用者發現。
(3)目的功能子產品:實作對計算機的控制、監視或破壞等功能。
蠕蟲程式的一般傳播過程為:
(1)掃描:由蠕蟲的掃描功能子產品負責探測存在漏洞的主機。當程式向某個主機發送探測漏洞的資訊并收到成功的回報資訊後,就得到一個可傳播的對象。
(2)攻擊:攻擊子產品按漏洞攻擊步驟自動攻擊步驟1中找到的對象,取得該主機的權限(一般為管理者權限),獲得一個shell。
(3)複制:複制子產品通過原主機和新主機的互動将蠕蟲程式複制到新主機并啟動。
由此可見,傳播子產品實作的實際上是自動入侵的功能,是以蠕蟲的傳播技術是蠕蟲技術的核心。
3.蠕蟲病毒執行個體——震蕩波
震蕩波(Worm.Sasser)是一種危害性很強的蠕蟲病毒,主要是利用微軟的MS04-01漏洞入侵計算機,主要影響Windows 2000/NT/XP/2003系統。
震蕩波病毒的發作過程主要是,首先随機在網絡上搜尋機器,向遠端計算機的445端口發送包含後門程式的非法資料,若該計算機存在MS04-01漏洞,将會自動運作後門程式,打開9996端口,然後使遠端計算機連接配接病毒打開的FTP端口5554,下載下傳病毒并運作。病毒運作後,将自身複為%WinDir%\napatch.exe,并在系統資料庫啟動項 HKEYLOCALMACHINE\SOFTWARE\Microsoft\Win⁃dows\CurrentVersion\Run下建立:”napatch.exe”=%WinDir%\napatch.exe;這樣,病毒在Windows啟動時就可以自動運作。另外,病毒還會利用漏洞攻擊LSASS.EXE程序,使該程序癱瘓,Windows系統會在1分鐘倒計時結束時重新啟動。同時在C:\win2.log中記錄其感染的計算機數目和IP位址。
病毒感染的症狀是程序中出現avserve.exe 和*****_up.exe(為0-65535之間的随機數字),占用大量的資源。出現LSAShell錯誤。導緻系統程序lsass.exe錯誤,強迫計算機重新開機等。應對措施是下載下傳并斷網安裝微軟的安全更新KB837001,KB828741,KB835732。終止avserve和_up程序,并删除系統資料庫中與avserve和_up相關的健值。當然也可以下載下傳專殺工具進行殺毒 。
木馬
木馬全稱為特洛伊木馬(Trojan Horse,英文則簡稱Trojan),在計算機安全學中,特洛伊木馬是指一種計算機程式,表面上或實際上有某種有用的功能,同時又含有隐藏的可以控制使用者計算機系統、危害系統安全的功能,可能造成使用者資料的洩漏、破壞或整個系統的崩潰。在一定程度上,木馬也可以稱為計算機病毒。
2.木馬病毒工作原理
一個完整的特洛伊木馬套裝程式含了兩部分:服務端(伺服器部分)和用戶端(控制器部分)。植入對方電腦的是服務端,而黑客正是利用用戶端進入運作了服務端的電腦。運作了木馬程式的服務端以後,會産生一個有着容易迷惑使用者的名稱的程序,暗中打開端口,向指定地點發送資料(如網絡遊戲的密碼,即時通信軟體密碼和使用者上網密碼等),黑客甚至可以利用這些打開的端口進入電腦系統。
3.木馬病毒的檢測
檢視system.ini、win.ini、啟動組中的啟動項目。在【開始】【| 運作】指令,輸入msconfig,運作Windows自帶的“系統配置實用程式”。選中system.ini标簽,展開【boot】目錄,檢視“shell=”這行,正常“shell=Explorer.exe”,如果不是,就有可能中了木馬病毒。選中win.ini标簽,展開【windows】目錄項,檢視“run=”和“load=”行,等号後面應該為空。再看看有沒有非正常啟動項目,要是有類似netbus、netspy、bo等關鍵詞,就極有可能是中了木馬。
其他的一些方法,例如在正常操作計算機時,發現計算機的處理速度明顯變慢、硬碟不停讀寫、滑鼠不聽使喚、鍵盤無效、一些視窗自動關閉或打開……這一切都表明可能是木馬用戶端在遠端控制計算機。
4.木馬病毒執行個體
Internet上每天都有新的木馬出現,所采取的隐蔽措施也是五花八門。下面介紹幾種常見的木馬病毒的清除方法。
預防病毒
病毒預防
1.對病毒的預防在病毒防治工作中起主導作用,是病毒防治的重點,主要針對病毒可能入侵的系統薄弱環節加以保護和監控。預防計算機病毒要從以下幾個方面着手。
(1)檢查外來檔案。對于網絡上下載下傳的或者外部存儲器中的程式和文檔,在執行或打開文檔之前,一定要檢查是否有病毒。
(2)區域網路預防。盡可能選擇無盤工作站。限制使用者對伺服器上可執行檔案的操作。使用抗病毒軟體動态檢查使用中的檔案。
(3)使用确認和資料完整性工具。
(4)周期性備份工作檔案。
2.網絡病毒的防治相對單機病毒的防治具有更大的難度。目前,網絡大都采用Client/Server(客戶機/伺服器)的工作模式。防治網絡病毒需要從伺服器和工作站兩個主要方面并結合網絡管理着手解決。
(1)在網絡管理方面進行防治
——制定嚴格的工作站安全操作規程。
——建立完整的網絡軟體和硬體的維護制度,定期對各工作站進行維護。
——建立網絡系統軟體的安全管理制度。
——設定正确的通路權限和檔案屬性
(2)基于工作站的防治方法
工作站是網絡的門,隻要将這扇門關好,就能有效地防治病毒入侵。可以使用單機反病毒軟體、防病毒卡以及工作站防病毒
晶片。
(3)基于伺服器的防治方法
伺服器是網絡的核心,一旦伺服器被病毒感染,就會使整個網絡陷于癱瘓。目前,基于伺服器的防治病毒方法一般采用NLM
(Netware Loadable Module)技術進行程式設計,以伺服器為基礎,提供實時掃描病毒能力。其優點主要表現在不占用工作站的記憶體,可以集中掃毒,能實作實時掃描功能,以及軟體安裝和更新都很友善等方面。
病毒的入侵必将對系統資源構成威脅,即使良性病毒也要侵吞系統的寶貴資源,是以防治病毒入侵遠比病毒入侵後再加以清除更為重要。抗病毒技術必須建立“預防為主,消滅結合”的基本觀念。
檢測病毒
檢測計算機上是否被病毒感染,通常可以采用手工檢測和自動檢測。
——手工檢測是指通過一些工具軟體(比如Debug.com、Pctools.exe等),對易遭病毒攻擊和修改的記憶體及磁盤的相關部分進行檢測,通過與正常狀态進行對比來判斷是否被病毒感染。雖然該方法操作複雜,易出錯且效率低,但是該方法可以檢測和識别未知病毒,以及檢測一些自動檢測工具不能識别的新病毒。
——自動檢測是指通過一些診斷軟體和防毒軟體,來判斷一個系統或磁盤是否有病毒,如使用瑞星、金山毒霸等軟體。雖然該方法可以友善檢測大量病毒且操作簡單,但是自動檢測工具隻能識别已知的病毒,而且它的發展總是滞後于病毒的發展。對病毒進行檢測可以采用手工方法和自動方法相結合的方式。檢測病毒的技術和方法主要有以下幾種。
比較法
比較法是将原始備份與被檢測的引導扇區或被檢測的檔案進行比較。該方法的優點是簡單、友善,不需要專用軟體。缺點是無法确認計算機病毒的種類和名稱。由于要進行比較,儲存好原始備份就非常重要了,制作備份時必須在無計算機病毒的環境下進行,制作好的備份必須妥善保管,貼上标簽,并加上寫保護。
特征代碼法
特征代碼法是用每一種計算機病毒體含有的特定字元串對被檢測的對象進行掃描。如果被檢測對象内部發現了某一種特定字元串,就表明發現了該字元串所代表的的計算機病毒,這種計算機病毒掃描軟體稱之為Virus Scanner。該方法優點是檢測準确快速、可識别病毒的名稱、誤報警率低,依據檢測結果可做解毒處理。缺點是不能檢測未知病毒,且搜集已知病毒的特征代碼費用開銷大,在網絡上效率低。
分析法
分析法是防殺計算機病毒不可缺少的重要技術,該方法要求具有比較全面的有關計算機、DOS、Windows、網絡等的結構和功能調用,以及與計算機病毒相關的各種知識。除此之外,還需要反彙編工具、二進制檔案編輯器等用于分析的工具程式和專用的實驗計算機。分析的步驟分為靜态分析和動态分析兩種。靜态分析是指利用反彙編工具将計算機病毒代碼列印成反彙編指令程式清單後進行分析,了解計算機病毒分成哪些子產品,使用了哪些系統調用,采用了哪些技巧,并将計算機病毒感染檔案的過程翻轉為清除計算機病毒、修複檔案的過程。動态分析是指,利用DEBUG等調試工具在記憶體帶毒的情況下,對計算機病毒做動态跟蹤,觀察計算機病毒的具體工作過程,以進一步在靜态分析的基礎上了解計算機病毒的工作原理。
校驗和法
計算正常檔案的校驗和,并将結果寫入此檔案或其他檔案中儲存。在檔案使用過程中或使用之前,定期檢查檔案的校驗和與原來儲存的校驗和是否一緻,進而可以發現檔案是否被感染,這種方法稱為校驗和。該方法優點是方法簡單,能發現未知病毒,也能發現被檢查檔案的細微變化。缺點是會誤報警,不能識别病毒名稱,不能對付隐蔽型病毒。
行為監測法
行為監測法是利用病毒的特有行為特征性來監測病毒的方法。監測病毒的行為特征如下。
——占有INT 13H所有的引導型病毒,都攻擊Boot扇區或主引導扇區。
——修改DOS系統資料區的記憶體總量。
——對.com、.exe檔案進行寫入操作。
——病毒程式與宿主程式進行切換。
行為監測法的優點是可發現未知病毒,能夠相當準确地預報未知的多數病毒。行為監測法的缺點是會誤報警,不能識别病毒
名稱,實作時有一定難度。
軟體仿真掃描法
該技術專門用于對付多态性計算機病毒,能夠仿真CPU執行,在DOS虛拟機下僞執行計算機病毒程式,安全地将其解密,然後再進行掃描。
先知掃描法
先知掃描技術就是将專業人員用來判斷程式是否存在計算機病毒代碼的方法,分析歸納成專家系統和知識庫,再利用軟體仿
真技術僞執行新的計算機病毒,超前分析出新計算機病毒代碼,用于對付以後的計算機病毒。
人工智能陷阱技術和宏病毒陷阱技術
人工智能陷阱技術是一種監測計算機行為的常駐式掃描技術。其優點是執行速度快、操作簡便,且可以檢測到各種計算機病
毒;缺點是程式設計難度大,且不容易考慮周全。
宏病毒陷阱技術則是結合了特征代碼法和人工智能陷阱技術,根據行為模式來檢測已知及未知的宏病毒。
實時I/O掃描
實時I/O掃描的目的在于即時對計算機上的輸入/輸出資料作病毒碼比對,希望能夠在病毒尚未被執行前,将病毒防禦于門外。
網絡病毒檢測技術
網絡監測法是一種檢查、發現網絡病毒的方法。網絡病毒的特點是通過網絡進行傳播,如果在伺服器、網絡接入端和網站設定病毒防火牆,可以起到大規模防止病毒擴散的目的。
殺毒技術
将染毒檔案的病毒代碼摘除,使之恢複為可正常運作的檔案,稱為病毒的清除。清除病毒所采用的技術稱為殺毒技術。
引導型病毒的清除
引導型病毒感染時一般攻擊硬碟主引導區以及硬碟或移動存儲媒體的Boot扇區。一般使用FDISK/MBR可以清除大多數引導型病毒。
宏病毒的清除
為了恢複宏病毒,須用非文檔格式儲存足夠的資訊。RTF(Rich Text Format)适合保留原始文檔的足夠資訊而不包含宏。然後退出文檔編輯器,删除已感染的文檔檔案以及Normal.dot和start-up目錄下的檔案。
檔案型病毒的清除
一般檔案型病毒的染毒檔案可以修複。當恢複受感染檔案需要考慮下列因素。
——不管檔案的屬性,測試和恢複所有目錄下的可執行檔案。
——希望確定檔案的屬性和最近修改時間不改變。
——一定考慮一個檔案多重感染的情況。
病毒的去激活
清除記憶體中的病毒是指把RAM中的病毒進入非激活狀态。這需要作業系統和彙編語言的知識。
使用殺病毒軟體清除病毒
計算機一旦感染病毒,一般使用者首選是使用殺病毒軟體來清除病毒。其優點是使用友善、技術要求不高,不需要具有太多的計算機知識。缺點是有時會删除帶毒檔案,可能導緻系統不能正常運作,同時需要經常更新病毒代碼庫。
結語
計算機網絡病毒防禦是一項較為複雜的工作,為達到預期中的防禦效果,應當對網絡病毒的傳播特性加以了解和掌握,并應用行之有效防禦技術,降低病毒的入侵機率,為計算機的安全運作提供保障。 未來一段時期,應加大對網絡病毒防禦技術的研究力度,除對現有的技術和方法進行逐漸優化之外,還應開發一些新的技術,進而使其更好地為計算機網絡安全服務。