电脑病毒及其防治策略

   随着计算机的普及和网络的发展,计算机病毒造成的危害越来越大.据国外媒体报道,每年全球为弥补计算机病毒产生的危害而花费的资金就达70多亿美元.今年4月26日的CIH病毒大爆发给我国带来了数亿元的损失,而其后Melissa,ExploreZIP.worm,JuoyKiller等病毒也在计算机用户中产生了恐慌,一时间,人人谈毒色变.本文就电脑病毒的有关情况及防治措施进行探讨.

　　1 电脑病毒概述
　　1.1 什么是电脑病毒
　　什么是电脑病毒,有关的定义很多,在我国比较权威的一种是在5中华人民共和国计算机信息系统安全保护条例6中所作的说明:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码.所以说病毒的本质是一组计算机指令或者程序代码,它与我们日常使用的各种计算机软件程序在执行过程中没有什么区别,所不同的只是软件程序的执行对我们有利,而病毒程序的执行效果有害.
　　1.2 电脑病毒的特点
　　计算机病毒具有以下的主要特点:
　　(1)传染性 传染性是计算机病毒的重要特性,是衡量一种程序是否是病毒的首要条件.
　　通常,计算机病毒具有很强的再生机制,只要一接触就能传染.病毒程序一旦加到当前运行的程序体上面,就开始搜索能进行感染的其它程序,从而使病毒很快扩散到磁盘存储器和整个计算机系统上.
　　(2)潜伏性 计算机病毒的潜伏性是指计算机病毒进入系统并开始破坏数据的过程不宜?收稿日期 1999)10)26为用户觉察,而且这种破坏活动又是用户难以预料的.计算机病毒一般依附于某种介质中,有的病毒可以在几周或者几个月内进行传播或再生而不被人发现.在此期间,系统的备份设备(主要是磁盘驱动器)复制病毒程序并送到其他部位.计算机病毒的传染性和潜伏性是相辅相成的,潜伏性越好,在系统中存在的时间就会越长,病毒的传染范围就越大.当病毒被用户发现,系统实际上已经被感染,数据已经被破坏,系统资源已经被损坏.
　　(3)破坏性 计算机病毒的主要目的是破坏计算机系统,使系统资源受到损失,数据遭到破坏,计算机运行受到干扰,最严重的甚至会使计算机系统遭到全面的摧毁。按其破坏程度的不同,可分为良性和恶性病毒.
　　1.3 电脑病毒是如何运作的
　　电脑病毒的运作可分为引导、传染、病发三个阶段.
　　病毒引导阶段:电脑病毒被执行并开始活动.由于一个人不会故意去执行一个明知是病毒的程序,所以电脑病毒势必会附着(寄生)在其他可执行的程序(即宿主程序)上,以便在宿主程序被执行时,顺便执行自身.对于需要驻留内存的病毒,引导时会将病毒主体程序引导到内存的适当位置,并设置必要的参数.
　　病毒传染阶段:病毒被引导之后,开始以各种方式将自身复制并附着到更多其它的宿主程序上,这是电脑病毒的最大特色.病毒的传染方式基本可分为两类,一是立即传染,即病毒在被执行的瞬间,抢在宿主程序执行之前,立即感染磁盘上的其它程序,然后再执行宿主程序;二是驻留内存并伺机传染,内存中的病毒检查系统当前环境,在执行一个程序或DIR等操作时传染磁盘上的程序,驻留在系统内存中的病毒程序在宿主程序执行结束后,仍可活动,直致关闭电脑.
　　病毒病发阶段:它使潜伏在系统中的病毒处于发作就绪状态,一旦引发病毒,就执行病毒发作所需的操作.
　　1.4 电脑病毒的常见激发方式
　　简单说来,一般的电脑病毒就是会传染的逻辑炸弹,激发逻辑炸弹的主要方式有以下几种:
　　(1)某个特殊数据的出现.
　　(2)某个特定时间的到来,如/黑色星期五0病毒的激发条件是某月的13日恰逢星期五的日子,CIH病毒是每年的4月26日等.
　　(3)一天的某个时刻,如Yankee病毒的激发条件是每天下午5点多.
　　(4)开机后的某个时刻,如/小球0病毒的激发条件是开机后的半点或整点.
　　(5)自我复制N次以后,如2708病毒的激发条件是该病毒传染硬盘后,硬盘启动32次.
　　(6)按某个组合键时,如AIDS病毒的激发条件是从键盘按序输入A、I、D、S键时.
　　(7)做某种工作时,如/反CPAV0病毒的激发条件是用CPAV进行病毒检查时.
　　(8)组合型,如/侵略者0病毒的激发时间是开机后机器运行时间和病毒传染个数成某个比例时,恰好按CTRL+ALT+DEL组合键试图重新启动系统时发作.
　　2 电脑病毒的防治
　　2.1 如何预防病毒
　　66青岛建筑工程学院学报            第21卷电脑病毒的防治要以预防为主.预防是指病毒尚未入侵,或刚刚入侵时,就拦截、阻止病毒的入侵,或立即告警,在具体实施上要满足如下防毒原则.
　　(1)尊重知识产权,使用正版软件;尽可能少用游戏软件、公用软件;尽可能从第一作者获得共享软件、自由软件、公共软件;决不运行来历不明的软件和盗版软件.
　　(2)经常性地做文件备份,以备硬盘被破坏、无意的格式化操作以及病毒的蓄意侵害时,能立即恢复,以免遭受损失.存有重要资料的软盘一定要加写保护.
　　(3)要尽可能地使用多种最新的查毒、杀毒软件来检查外来的软件.未经检查的可执行文件不能随意拷入硬盘.决不使用未做病毒检查的软件.
　　(4)随时注意计算机的各种异常现象,一旦发现,应立即用杀毒软件仔细检查,若没查出病毒,可将可疑文件提交专业反病毒公司进行确认.
　　(5)必须保持忧患意识,并且要为电脑系统感染病毒作出一些应变计划,如学习如何查毒、杀毒和救回数据,如何获取新病毒防治措施.
　　(6)作为一个单位组织,建议专门安排一台独立的电脑供测试病毒,给无法确认是否被病毒感染的新软件操作使用,或者检查磁盘是否有病毒.
　　2.2 电脑病毒的清除
　　如何判断计算机是否被病毒感染呢?最简单且行之有效的办法当然是利用各种杀毒软件或防病毒卡来检验计算机是否染毒.应该做到定时查杀、常备不懈.如果没有配备相应的反病毒产品,则可通过如下途径初步判断计算机是否感染了病毒.
　　(1)程序突然工作异常,如文件打不开、死机等.
　　(2)文件大小自动发生了变化.
　　(3)更换软盘后,列表时内容不变.
　　(4)检查内存,基本内存容量变小了.
　　(5)Windows出现异常出错信息.
　　(6)用与硬盘相同版本的系统盘引导后找不到硬盘.
　　(7)运行速度明显变慢.
　　(8)以前能正常运行的程序运行时出现内存不足.
　　(9)系统无法启动.
　　对感染病毒的计算机系统,其清除过程可用图1表示:
　　图1 病毒清除流图
　　其中过程1是对分区表感染的病毒进行清除的处理过程,它设法恢复正常的分区表,设计思想如下:(1)在未被病毒感染的计算机中读出分区表.
　　(2)在受感染的机器上用软盘引导系统,用DEBUG将内容装入内存高端(如 7000:C00H)特定位置.
　　(3)重新启动系统.
　　过程2是指对操作系统型病毒的清除,这种病毒主要感染磁盘的引导区(Boot Area),即逻辑扇区0,并将病毒程序的其他部分及原来的引导程序隐藏在磁盘的文件分配表(FAT)标记为/坏簇0的数据区中.清除的办法就是67第2期           赵京胜:电脑病毒及其防治策略把病毒程序占用的空间释放掉,只要把文件分配表中标记为/坏簇0的项置为/空闲0项就可以了.
　　FAT在磁盘上所处的逻辑扇区(FATArea),对不同容量的磁盘是不同的,如表1:
　　表1 常用磁盘的FAT表
　　磁盘360K5英寸盘1.2M5英寸盘21M硬盘32M硬盘
　　逻辑扇区1——4 1——4 1——82 1——126
　　其他磁盘介质FAT位置可参考相应的磁盘说明书,在此就不一一列举了.
　　过程3是对文件型病毒的清除,对.COM的带毒文件,在了解病毒程序大小的情况下(这可在病毒检测和诊断过程中获得),只需将文件按原来的大小重新写盘即可恢复成正常文件,图2 病毒文件存储结构同时也覆盖了病毒程序.对于.EXE带毒文件,其存储结构如图2.
　　病毒一般会修改文件头中的6个参数,即文件所占的扇区数,最后一扇区的字节数,CS,IP,SS,SP的值.6个参数中前两个可通过正常文件大小计算出来,后面4个一般保存在病毒代码中,根据对具体病毒的分析找到它们的存放位置,将找到的参数写回文件头,再按原文件大小存盘,即可恢复文件.
　　2.3 常见的防杀病毒软件
　　(1)瑞星杀毒软件9.0:由北京瑞星电脑科技开发公司研制,产品主要特点:国内第一个可查杀/CIH系统毁灭者0病毒的杀毒软件,查杀速度快,可运行于多种平台,用户升级方便.
　　(2)KILL98认证版:由冠群金辰软件有限公司研制,产品主要特点:可实时检测、实时治愈,拥有发现和治愈快速扩散的宏病毒专利技术,对Internet文件可自动检测,运行于多种操作平台.
　　(3)KV300:由北京江民新技术有限公司研制,最新版本Z+,产品主要特点:具有独特的病毒特征代码过滤器,容易查出变种和变换自身代码的变形病毒.操作简便,升级方便.
　　(4)VRV:由南京信源自动化技术公司研制,产品主要特点:多平台,提供DOS,Windows版本,利用完全基于微软认证的BFF(加密)结构技术清除宏病毒,提供病毒防火墙.
　　3 电脑病毒发展的新动向
　　综观电脑病毒的发展历史,不难看出,病毒已从攻击安全性较低的DOS平台发展到攻击安全性较高的Windows平台;从破坏磁盘数据发展到直接对硬件芯片进行攻击;从传播渠道较少的单机环境发展到Internet网上的病毒扩散.1995年宏病毒的出现,使病毒从感染可执行文件过渡到某些纯粹的数据文件,去年出现CIH病毒,更是直接攻击硬件芯片.最近有资料显示已出现JAVA病毒,各种迹象表明病毒正向着各个领域渗透,其杀伤力也越来越强.