計算機病毒防御技術(shù)范文

　　一、計算機病毒的定義及其特點(diǎn)和分類(lèi)

　�。ㄒ唬┯嬎銠C病毒的定義

　　在《中華人民共和國計算機信息系統安全保護條例》中，計算機病毒（ComputerVirus）被明確定義為：“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。而在一般教科書(shū)及通用資料中被定義為:利用計算機軟件與硬件的缺陷，由被感染機內部發(fā)出的破壞計算機數據并影響計算機正常工作的一組指令集或程序代碼。

　　歷史上，計算機病毒最早出現在70年代DavidGerrold科幻小說(shuō)WhenH.A.R.L.I.E.wasOne.最早科學(xué)定義出現在1983:在FredCohen(南加大)的博士論文“計算機病毒實(shí)驗”“一種能把自己(或經(jīng)演變)注入其它程序的計算機程序”啟動(dòng)區病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機制同生物病毒類(lèi)似.生物病毒是把自己注入細胞之中。

　　其實(shí)，和其他生物病毒一樣，計算機病毒有獨特的復制能力，它可以很快地蔓延，又常常難以根除。它們能把自身附著(zhù)在各種類(lèi)型的文件上。當文件被復制或從一個(gè)用戶(hù)傳送到另一個(gè)用戶(hù)時(shí)，它們就隨同文件一起蔓延開(kāi)來(lái)。

　　(二)計算機病毒的特點(diǎn)

　　1、寄生性：計算機病毒寄生在其他程序之中，當執行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺(jué)的。

　　2、傳染性：計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產(chǎn)生變種，其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界，病毒通過(guò)傳染從一個(gè)生物體擴散到另一個(gè)生物體。在適當的條件下，它可得到大量繁殖，并使被感染的生物體表現出病癥甚至死亡。同樣，計算機病毒也會(huì )通過(guò)各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進(jìn)入計算機并得以執行，它就會(huì )搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時(shí)處理，那么病毒會(huì )在這臺機子上迅速擴散，其中的大量文件（一般是可執行文件）會(huì )被感染。而被感染的文件又成了新的傳染源，再與其他機器進(jìn)行數據交換或通過(guò)網(wǎng)絡(luò )接觸，病毒會(huì )繼續進(jìn)行傳染。正常的計算機程序一般是不會(huì )將自身的代碼強行連接到其他程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過(guò)各種可能的渠道，如軟盤(pán)、計算機網(wǎng)絡(luò )去傳染其他的計算機。當您在一臺機器上發(fā)現了病毒時(shí)，往往曾在這臺計算機上用過(guò)的軟盤(pán)已感染上了病毒，而與這臺機器相聯(lián)網(wǎng)的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個(gè)程序是否為計算機病毒的最重要條件。病毒程序通過(guò)修改磁盤(pán)扇區信息或文件內容并把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序；

　　3、潛伏性：有些病毒像定時(shí)炸彈一樣，讓它什么時(shí)間發(fā)作是預先設計好的。比如黑色星期五病毒，不到預定時(shí)間一點(diǎn)都覺(jué)察不出來(lái)，等到條件具備的時(shí)候一下子就爆炸開(kāi)來(lái)，對系統進(jìn)行破壞。一個(gè)編制精巧的計算機病毒程序，進(jìn)入系統之后一般不會(huì )馬上發(fā)作，可以在幾周或者幾個(gè)月內甚至幾年內隱藏在合法文件中，對其他系統進(jìn)行傳染，而不被人發(fā)現，潛伏性愈好，其在系統中的存在時(shí)間就會(huì )愈長(cháng)，病毒的傳染范圍就會(huì )愈大。潛伏性的第一種表現是指，病毒程序不用專(zhuān)用檢測程序是檢查不出來(lái)的，因此病毒可以靜靜地躲在磁盤(pán)或磁帶里呆上幾天，甚至幾年，一旦時(shí)機成熟，得到運行機會(huì )，就又要四處繁殖、擴散，繼續為害。潛伏性的第二種表現是指，計算機病毒的內部往往有一種觸發(fā)機制，不滿(mǎn)足觸發(fā)條件時(shí)，計算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿(mǎn)足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執行破壞系統的操作，如格式化磁盤(pán)、刪除磁盤(pán)文件、對數據文件做加密、封鎖鍵盤(pán)以及使系統死鎖等；

　　4、隱蔽性：計算機病毒具有很強的隱蔽性，有的可以通過(guò)病毒軟件檢查出來(lái)，有的根本就查不出來(lái)，有的時(shí)隱時(shí)現、變化無(wú)常，這類(lèi)病毒處理起來(lái)通常很困難。

　　5、破壞性：計算機中毒后，可能會(huì )導致正常的程序無(wú)法運行，把計算機內的文件刪除或受到不同程度的損壞。通常表現為：增、刪、改、移。

　　6、計算機病毒的可觸發(fā)性：病毒因某個(gè)事件或數值的出現，誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱(chēng)為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動(dòng)作。如果完全不動(dòng)，一直潛伏的話(huà)，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來(lái)控制感染和破壞動(dòng)作的頻率的。病毒具有預定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類(lèi)型或某些特定數據等。病毒運行時(shí)，觸發(fā)機制檢查預定條件是否滿(mǎn)足，如果滿(mǎn)足，啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或攻擊；如果不滿(mǎn)足，使病毒繼續潛伏。

　�。ㄈ�）計算機病毒的分類(lèi)

　　1、根據病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò )病毒，文件病毒，引導型病毒。網(wǎng)絡(luò )病毒通過(guò)計算機網(wǎng)絡(luò )傳播感染網(wǎng)絡(luò )中的可執行文件，文件病毒感染計算機中的文件（如：COM，EXE，DOC等），引導型病毒感染啟動(dòng)扇區（Boot）和硬盤(pán)的系統引導扇區（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規的辦法侵入系統，同時(shí)使用了加密和變形算法。

　　2、根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內存駐留部分放在內存（RAM）中，這一部分程序掛接系統調用并合并到操作系統中去,他處于激活狀態(tài),一直到關(guān)機或重新啟動(dòng).非駐留型病毒在得到機會(huì )激活時(shí)并不感染計算機內存,一些病毒在內存中留有小部分,但是并不通過(guò)這一部分進(jìn)行傳染,這類(lèi)病毒也被劃分為非駐留型病毒。

　　3、根據病毒破壞的能力可劃分為以下幾種:

　　無(wú)害型:除了傳染時(shí)減少磁盤(pán)的可用空間外，對系統沒(méi)有其它影響。

　　無(wú)危險型:這類(lèi)病毒僅僅是減少內存、顯示圖像、發(fā)出聲音及同類(lèi)音響.

　　危險型:這類(lèi)病毒在計算機系統操作中造成嚴重的錯誤.

　　非常危險型:這類(lèi)病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害，并不是本身的算法中存在危險的調用，而是當它們傳染時(shí)會(huì )引起無(wú)法預料的和災難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會(huì )破壞文件和扇區，這些病毒也按照他們引起的破壞能力劃分。一些現在的無(wú)害型病毒也可能會(huì )對新版的DOS、Windows和其它操作系統造成破壞。例如：在早期的病毒中，有一個(gè)“Denzuk”病毒在360K磁盤(pán)上很好的工作，不會(huì )造成任何破壞，但是在后來(lái)的高密度軟盤(pán)上卻能引起大量的數據丟失。

　　4、根據病毒特有的算法，病毒可以劃分為：（1）伴隨型病毒，這一類(lèi)病毒并不改變文件本身，它們根據算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是。病毒把自身寫(xiě)入COM文件并不改變EXE文件，當DOS加載文件時(shí)，伴隨體優(yōu)先被執行到，再由伴隨體加載執行原來(lái)的EXE文件。（2）“蠕蟲(chóng)”型病毒，通過(guò)計算機網(wǎng)絡(luò )傳播，不改變文件和資料信息，利用網(wǎng)絡(luò )從一臺機器的內存傳播到其它機器的內存，計算網(wǎng)絡(luò )地址，將自身的病毒通過(guò)網(wǎng)絡(luò )發(fā)送。有時(shí)它們在系統存在，一般除了內存不占用其它資源。（3）寄生型病毒除了伴隨和“蠕蟲(chóng)”型，其它病毒均可稱(chēng)為寄生型病毒，它們依附在系統的引導扇區或文件中，通過(guò)系統的功能進(jìn)行傳播，按其算法不同可分為：練習型病毒，病毒自身包含錯誤，不能進(jìn)行很好的傳播，例如一些病毒在調試階段。（4）詭秘型病毒它們一般不直接修改DOS中斷和扇區數據，而是通過(guò)設備技術(shù)和文件緩沖區等DOS內部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數據區進(jìn)行工作。（5）變型病毒（又稱(chēng)幽靈病毒）這一類(lèi)病毒使用一個(gè)復雜的算法，使自己每傳播一份都具有不同的內容和長(cháng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。

　　二、計算機病毒傳播途徑及中毒之后的主要癥狀

　�。ㄒ唬┯嬎銠C病毒的藏身之處和傳播途徑

　　病毒隱藏在它們認為有可能被執行的地方。它們經(jīng)常隱藏在下列地方：

　　可執行文件：病毒“貼附”在這些文件上，使其能被執行。

　　引導扇區：這是磁盤(pán)和硬盤(pán)中的一個(gè)特別扇區，它包含一個(gè)程序，當啟動(dòng)電腦時(shí)該程序將被執行。

　　表格和文檔:某些程序允許內置一些宏文件，宏文件隨著(zhù)該文件的打開(kāi)而被執行。病毒利用宏的存在進(jìn)入其中。

　　Java小程序和ActiveX控件：這是兩個(gè)最新隱藏病毒的地方。Java小程序和ActiveX控件都是與網(wǎng)頁(yè)相關(guān)的小程序，通過(guò)訪(fǎng)問(wèn)包含它們的網(wǎng)頁(yè)，可以執行這些程序。

　　壓縮文件：壓縮文件是一個(gè)包含其他文件的文件。壓縮文件包含的任何一個(gè)文件都可能被病毒感染，因為這些文件不是處于正常格式下，所以很難發(fā)現其中的病毒。

　　電子郵件：電子郵件信息可能包含感染病毒的文件。此外，電子郵件信息通常屬于一個(gè)信息數據庫，所有這一切使偵測病毒變得非常困難。

　　(二)計算機中病毒之后的主要癥狀

　　1、計算機系統運行速度突然明顯減慢。

　　2、計算機系統經(jīng)常無(wú)故發(fā)生死機現象。

　　3、計算機系統中的文件長(cháng)度突然發(fā)生變化。

　　4、計算機存儲的容量異常減少。

　　5、系統引導速度減慢。

　　6、丟失文件或文件損壞。

　　7、計算機屏幕上出現異常顯示。

　　8、計算機系統的蜂鳴器出現異常聲響。

　　9、磁盤(pán)卷標發(fā)生變化。

　　10、系統不識別硬盤(pán)。

　　11、對存儲系統異常訪(fǎng)問(wèn)。

　　12、鍵盤(pán)輸入異常。

　　13、文件的日期、時(shí)間、屬性等發(fā)生變化。

　　14、文件無(wú)法正確讀取、復制或打開(kāi)。

　　15、命令執行出現錯誤。

　　16、虛假報警。

　　17、換當前盤(pán)。有些病毒會(huì )將當前盤(pán)切換到C盤(pán)。

　　18、時(shí)鐘倒轉。有些病毒會(huì )命名系統時(shí)間倒轉，逆向計時(shí)。

　　19、WINDOWS操作系統無(wú)故頻繁出現錯誤。

　　20、系統異常重新啟動(dòng)。

　　21、一些外部設備工作異常。

　　22、異常要求用戶(hù)輸入密碼。

　　23、WORD或EXCEL提示執行“宏”。

　　24、是不應駐留內存的程序駐留內存。

　　三、計算機病毒的發(fā)展趨勢

　　從某種意義上說(shuō)，21世紀是計算機病毒與反病毒激烈角逐的時(shí)代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀計算機病毒的發(fā)展趨勢。

　　1、智能化

　　與傳統計算機病毒不同的是，許多新病毒（包括蠕蟲(chóng)、g客工具和木馬等惡意程序）是利用當前最新的編程語(yǔ)言與編程技術(shù)實(shí)現的，它們易于修改以產(chǎn)生新的變種，從而逃避反病毒軟件的搜索。例如，“愛(ài)蟲(chóng)”病毒是用VBScript語(yǔ)言編寫(xiě)的，只要通過(guò)Windows下自帶的編輯軟件修改病毒代碼中的一部分，就能輕而易舉地制造出病毒變種，從而可以躲避反病毒軟件的追擊。

　　另外，新病毒利用Java、ActiveX、VBScript等技術(shù)，可以潛伏在HTML頁(yè)面里，在上網(wǎng)瀏覽時(shí)觸發(fā)�！癒akworm”病毒雖然早在2004年1月就被發(fā)現，但它的感染率一直居高不下，原因就是由于它利用ActiveX控件中存在的缺陷進(jìn)行傳播，因此裝有IE5或Office2000的計算機都可能被感染。這個(gè)病毒的出現使原來(lái)不打開(kāi)帶毒郵件附件而直接予以刪除的防郵件病毒的方法完全失效。更令人擔心的是，一旦這種病毒被賦予其他計算機病毒的特性，其危害很有可能超過(guò)任何現有的計算機病毒。

　　2、人性化

　　更確切地說(shuō)，也可以將人性化稱(chēng)為誘惑性�，F在的計算機病毒越來(lái)越注重利用人們的心理因素，如好奇、貪婪等。前一陣肆虐一時(shí)的“裸妻”病毒郵件的主題就是英文的“裸妻”，郵件正文為“我的妻子從未這樣”，郵件附件中攜帶一個(gè)名為“裸妻”的可執行文件，用戶(hù)一旦執行這個(gè)文件，病毒就被激活。最近出現的My-babypic病毒是通過(guò)可愛(ài)的寶寶照片傳播病毒的。而“庫爾尼科娃”病毒的大流行則是利用了“網(wǎng)壇美女”庫爾尼科娃難以抵擋的魅力。

　　3、隱蔽化

　　相比較而言，新一代病毒更善于隱藏和偽裝自己。其郵件主題會(huì )在傳播中改變，或者具有極具誘惑性的主題和附件名。許多病毒會(huì )偽裝成常用程序，或者在將病毒代碼寫(xiě)入文件內部的同時(shí)不改變文件長(cháng)度，使用戶(hù)防不勝防。

　　主頁(yè)病毒的附件homepagehtmlvbs并非一個(gè)HTML文檔，而是一個(gè)惡意的VB腳本程序，一旦被執行，就會(huì )向用戶(hù)地址簿中的所有電子郵件地址發(fā)送帶毒的電子郵件副本。再比如“維羅納”病毒，該病毒將病毒寫(xiě)入郵件正文，而且主題和附件名極具誘惑性，其主題眾多，更替頻繁，使用戶(hù)很容易由于麻痹大意而感染。此外，matrix等病毒會(huì )自動(dòng)隱藏和變形，甚至阻止受害用戶(hù)訪(fǎng)問(wèn)反病毒網(wǎng)站和向記錄病毒的反病毒地址發(fā)送電子郵件，無(wú)法下載經(jīng)過(guò)更新和升級后的相應殺毒軟件或發(fā)布病毒警告消息。

　　4、多樣化

　　在新病毒層出不窮的同時(shí)，老病毒依然充滿(mǎn)活力，并呈現多樣化的趨勢。1999年對普遍發(fā)作的計算機病毒分析顯示，雖然新病毒不斷產(chǎn)生，但較早的病毒發(fā)作仍很普遍。1999年報道最多的病毒是1996年就首次發(fā)現并到處傳播的宏病毒Laroux。新病毒具有可執行程序、腳本文件、HTML網(wǎng)頁(yè)等多種形式，并正向電子郵件、網(wǎng)上賀卡、卡通圖片、ICQ、OICQ等發(fā)展。

　　更為棘手的是，新病毒的手段更加陰狠，破壞性更強。據計算機經(jīng)濟研究中心的報告顯示，在2000年5月“愛(ài)蟲(chóng)”病毒大流行的前5天，病毒就已經(jīng)造成了67億美元的損失。而該中心1999年的統計數據顯示，到1999年末病毒損失只是120億美元。

　　5、專(zhuān)用病毒生成工具的出現

　　以前的病毒制作者都是專(zhuān)家，編寫(xiě)病毒的目的是想表現自己高超的技術(shù)。但是“庫爾尼科娃”病毒的設計者不同，他只是修改了下載的VBS蠕蟲(chóng)孵化器。據報道，VBS蠕蟲(chóng)孵化器被人們從VXHeavens上下載了15萬(wàn)次以上。正是由于這類(lèi)工具太容易得到，使得現在新病毒出現的頻率超出以往的任何時(shí)候。

　　6、攻擊反病毒軟件

　　病毒發(fā)展的另一個(gè)趨勢表現為專(zhuān)門(mén)攻擊反病毒軟件和其他安全措施的病毒的出現。目前被發(fā)現的“求職信”病毒就能夠使許多反病毒軟件癱瘓。越來(lái)越多的病毒能夠在反病毒軟件對其查殺之前獲取比反病毒軟件更高的運行等級，從而阻礙反病毒軟件的運行并使之癱瘓。

　　正如計算機病毒的出現本身就是人禍而非天災一樣，目前病毒泛濫的一個(gè)很重要的原因就是計算機用戶(hù)的防范意識薄弱，因此一定要防患于未然，及時(shí)掌握反病毒知識，更新自己的反病毒軟件及病毒庫。

　　四、計算機病毒的判別方式

　　長(cháng)期以來(lái)，人們把殺毒軟件作為最主要的反病毒工具，殺毒軟件幾乎成了所有反病毒產(chǎn)品的代名詞，殺毒軟件賴(lài)以生存的“特征值掃描技術(shù)”也幾乎成了所有反病毒技術(shù)的代名詞。正因如此，殺毒軟件對新病毒的防范始終滯后于病毒出現的重大缺陷，似乎成為既合情又合理的邏輯，導致人們普遍認為反病毒產(chǎn)品不可能主動(dòng)防御新病毒，甚至有人認為，想研制一種主動(dòng)防御的反病毒產(chǎn)品，就如同要為一種未知的疾病制作特效藥一樣異想天開(kāi)。

　　然而殺毒軟件本身基本上不能發(fā)現新病毒，這是眾所周知的客觀(guān)事實(shí)。但是，如果人不能發(fā)現新病毒，同為自然人的反病毒公司研發(fā)人員也就不可能發(fā)現新病毒，由此帶來(lái)的問(wèn)題是，殺毒軟件每天升級的是什么，反病毒公司每次宣稱(chēng)發(fā)現的新病毒又是誰(shuí)來(lái)發(fā)現的？回答是肯定的，人可以發(fā)現新病毒。新病毒一定是人通過(guò)相應的方法判斷出來(lái)的。

　　從上個(gè)世紀八十年代病毒出現后，反病毒技術(shù)就有兩種思路，一種是采用靜態(tài)掃描方式，即特征值掃描技術(shù)，另一種采用動(dòng)態(tài)分析方法。特征值掃描是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構成病毒特征庫，殺毒軟件將用戶(hù)計算機中的文件或程序等目標，與病毒特征庫中的特征值逐一比對，判斷該目標是否被病毒感染。反病毒公司把捕獲到并已處理的病毒稱(chēng)為已知病毒，否則就稱(chēng)為未知病毒。只有采用特征值掃描技術(shù)時(shí)，才區分已知和未知病毒。業(yè)界常常有人用人類(lèi)病毒的醫治來(lái)解釋計算機病毒防范。然而，與生物界的病毒復雜性不同，計算機病毒是人編寫(xiě)的，遠比生物界的病毒簡(jiǎn)單。計算機病毒概念是人依據程序行為來(lái)定義的，因此識別病毒的另一種方法是采用動(dòng)態(tài)分析，直接通過(guò)程序的行為判斷它是否是病毒。盡管殺毒軟件主要采用靜態(tài)掃描方式，但是反病毒公司發(fā)現新病毒并不是采用靜態(tài)掃描方式，而恰恰是采用動(dòng)態(tài)分析方法。即便是反病毒公司收集到可疑程序時(shí)，也不能確定是不是新病毒，為了做出準確判斷，必須先運行可疑程序，然后再根據程序的行為判斷是否是病毒。

　　五、結束語(yǔ)

　　人類(lèi)進(jìn)入了信息社會(huì )，創(chuàng )造了電子計算機，同時(shí)也創(chuàng )造了電子計算機病毒，福禍同降。

　　隨著(zhù)計算機網(wǎng)絡(luò )的發(fā)展，計算機病毒對信息安全的威脅日益嚴重，我們一方面要掌握對現在的計算機病毒的預防技術(shù)，另一方面要加強對未來(lái)病毒發(fā)展趨勢的研究，提前做好技術(shù)上的儲備，嚴陣以待，真正做到防患于未然。我相信在不久的將來(lái)，計算機病毒的防治不再是建立在已有病毒的查殺之上，而是對病毒的主動(dòng)防御，跳出傳統技術(shù)路線(xiàn)，建立以行為自動(dòng)監控、行為自動(dòng)分析、行為自動(dòng)診斷為新思路的防御體系，讓病毒成為歷史。

【計算機病毒防御技術(shù)】相關(guān)文章：

關(guān)于計算機病毒的知識介紹03-29

白鮮皮的種植技術(shù)07-20

側柏種植技術(shù)11-25

黑豆的種植技術(shù)12-29

技術(shù)標范本03-11

技術(shù)要求的寫(xiě)法12-18

白術(shù)的高產(chǎn)種植技術(shù)01-21

技術(shù)員個(gè)人06-08

技術(shù)人員轉正06-09

科學(xué)技術(shù)作文12-22