淺談計算機病毒

淺談計算機病毒院系：計算機科學與技術(shù)專業(yè)：計算機科學與技術(shù)摘要：隨著時代發(fā)展，網(wǎng)絡(luò)越來越普及，電腦可以說是成為了很多人不可或缺的東西，而計算機病毒的存在，對于計算機的安全性的破壞是不可估量的。在此本文給大家簡單介紹下計算機病毒，及幾種計算機病毒的防治。關(guān)鍵詞：計算機計算機病毒分類什么是計算機病毒隨著電腦的普及，幾乎所有電腦用戶都知道“計算機病毒”這一名詞，對于大多數(shù)電腦用戶來說，“計算機病毒”是深不可測，無法琢磨的。在這里簡要介紹一下計算機病毒的定義：“計算機病毒”為什么叫病毒？首先，與醫(yī)學上的“病毒”不同，它不是天然存在的，是某些人利用計算機軟件、硬件所固有的脆弱性，編制具有特殊功能的程序。由于它與生物醫(yī)學上的“病毒”同樣具有傳染和破壞性，因此這一名詞是有生物醫(yī)學上的“病毒”概念引伸而來。從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲等均可稱為計算機病毒。在國內(nèi)，專家和研究者對計算機病毒也做過不盡相同的定義，但一直沒有公認的明確定義。直至1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。計算機病毒的產(chǎn)生及其種類“計算機病毒”的概念在很早之前就產(chǎn)生了。根據(jù)現(xiàn)在的一些數(shù)據(jù)顯示，計算機之父馮·諾依曼是最早涉及到計算機病毒的概念的人物。并且他在他的了論文中也第一次給世人給出了計算機病毒程序的基本框架。他提出：計算機病毒就是一種能實現(xiàn)自我復制的自動機。當這一說法第一次被提出的時候很多計算機科學家及研究人員是對此抱有懷疑態(tài)度的，同時也對此感到驚嘆。在1987年10月，世界上第一例計算機病毒“Brain”誕生了，在此之后隨著時代的不斷發(fā)展，計算機病毒的種類也在不斷地增加，并且波及的范圍也很快的就蔓延到了全世界的各個角落，對計算機安全性造成的威脅越來越大。1.按照計算機病毒攻擊的系統(tǒng)分類（1）攻擊DOS系統(tǒng)的病毒。這類病毒出現(xiàn)最早、最多，變種也最多，目前我國出現(xiàn)的計算機病毒基本上都是這類病毒，此類病毒占病毒總數(shù)的99％。

（2）攻擊Windows系統(tǒng)的病毒。由于Windows的圖形用戶界面（GUI）和多任務(wù)操作系統(tǒng)深受用戶的歡迎，Windows正逐漸取代DOS，從而成為病毒攻擊的主要對象。目前發(fā)現(xiàn)的首例破壞計算機硬件的CIH病毒就是一個Windows95/98病毒。

（3）攻擊UNIX系統(tǒng)的病毒。當前，UNIX系統(tǒng)應(yīng)用非常廣泛，并且許多大型的操作系統(tǒng)均采用UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的出現(xiàn)，對人類的信息處理也是一個嚴重的威脅。（4）攻擊OS/2系統(tǒng)的病毒。世界上已經(jīng)發(fā)現(xiàn)第一個攻擊OS/2系統(tǒng)的病毒，它雖然簡單，但也是一個不祥之兆。2.按照病毒的攻擊機型分類

（1）攻擊微型計算機的病毒。這是世界上傳染是最為廣泛的一種病毒。

（2）攻擊小型機的計算機病毒。小型機的應(yīng)用范圍是極為廣泛的，它既可以作為網(wǎng)絡(luò)的一個節(jié)點機，也可以作為小的計算機網(wǎng)絡(luò)的主機。起初，人們認為計算機病毒只有在微型計算機上才能發(fā)生而小型機則不會受到病毒的侵擾，但自1988年11月份Internet網(wǎng)絡(luò)受到worm程序的攻擊后，使得人們認識到小型機也同樣不能免遭計算機病毒的攻擊。

（3）攻擊工作站的計算機病毒。近幾年，計算機工作站有了較大的進展，并且應(yīng)用范圍也有了較大的發(fā)展，所以我們不難想象，攻擊計算機工作站的病毒的出現(xiàn)也是對信息系統(tǒng)的一大威脅。3.按照計算機病毒的鏈結(jié)方式分類

由于計算機病毒本身必須有一個攻擊對象以實現(xiàn)對計算機系統(tǒng)的攻擊，計算機病毒所攻擊的對象是計算機系統(tǒng)可執(zhí)行的部分。

（1）源碼型病毒

該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。

（2）嵌入型病毒

這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術(shù)，超級病毒技術(shù)和隱蔽性病毒技術(shù)，將給當前的反病毒技術(shù)帶來嚴峻的挑戰(zhàn)。

（3）外殼型病毒

外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。

（4）操作系統(tǒng)型病毒

這種病毒用它自已的程序意圖加入或取代部分操作系統(tǒng)進行工作，具有很強的破壞力，可以導致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。

這種病毒在運行時，用自己的邏輯部分取代操作系統(tǒng)的合法程序模塊，根據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運行的地位與作用以及病毒取代操作系統(tǒng)的取代方式等，對操作系統(tǒng)進行破壞。4.按照計算機病毒的破壞情況分類

按照計算機病毒的破壞情況可分兩類：

（1）良性計算機病毒

良性病毒是指其不包含有立即對計算機系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進行擴散，從一臺計算機傳染到另一臺，并不破壞計算機內(nèi)的數(shù)據(jù)。有些人對這類計算機病毒的傳染不以為然，認為這只是惡作劇，沒什么關(guān)系。其實良性、惡性都是相對而言的。良性病毒取得系統(tǒng)控制權(quán)后，會導致整個系統(tǒng)和應(yīng)用程序爭搶CPU的控制權(quán)，時時導致整個系統(tǒng)死鎖，給正常操作帶來麻煩。有時系統(tǒng)內(nèi)還會出現(xiàn)幾種病毒交叉感染的現(xiàn)象，一個文件不停地反復被幾種病毒所感染。例如原來只有10KB存儲空間，而且整個計算機系統(tǒng)也由于多種病毒寄生于其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統(tǒng)造成的損害。

（2）惡性計算機病毒

惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。這類病毒是很多的，如米開朗基羅病毒。當米氏病毒發(fā)作時，硬盤的前17個扇區(qū)將被徹底破壞，使整個硬盤上的數(shù)據(jù)無法被恢復，造成的損失是無法挽回的。有的病毒還會對硬盤做格式化等破壞。這些操作代碼都是刻意編寫進病毒的，這是其本性之一。因此這類惡性病毒是很危險的，應(yīng)當注意防范。所幸防病毒系統(tǒng)可以通過監(jiān)控系統(tǒng)內(nèi)的這類異常動作識別出計算機病毒的存在與否，或至少發(fā)出警報提醒用戶注意。諸如此類，還有許多的介紹方法。在此也不方便一一介紹了。引導性病毒及其防治方法所謂知己知彼，百戰(zhàn)不殆。我們想防治病毒，就得先了解它。引導型病毒(BootStrapSectorVirus):又稱開機型病毒，是藏匿和感染軟盤或硬盤的第一個扇區(qū)，即平常我們所說的引導扇區(qū)(BootSector)。引導型病毒籍由引導動作而侵入內(nèi)存，若你用已經(jīng)感染的磁盤引導，那么病毒將立即感染到你的硬盤。因為DOS的結(jié)構(gòu)設(shè)計，使得引導型病毒可以于每次開機時，在操作系統(tǒng)還沒有被載入之前就被載入到內(nèi)存中，這個特性使得病毒可以針對DOS的各類中斷(Interrupt)得到完全的控制，并且擁有更大的能力去進行傳染與破壞。引導型病毒又可以分為：a、傳統(tǒng)引導型病毒傳統(tǒng)引導型病毒大多由軟盤傳染，進入電腦后再伺機傳染其它文件，最有名的例子是米開朗基羅病毒。b、隱型引導型病毒隱型引導型病毒感染的是硬盤的引導扇區(qū)，它偽造引導扇區(qū)的內(nèi)容，使防毒軟件以為系統(tǒng)是正常的。c、目錄型引導病毒目錄型引導病毒只感染電腦的文件分配表(FAT)，一旦你的文件分配表被破壞后，你的電腦中的文件讀寫就會不正常，甚至丟失文件。引導性病毒的防治：大多數(shù)引導性病毒只占512Bytes(也有數(shù)Bytes的)，主要特點是病毒引導程序覆蓋占據(jù)了正常引導程序的絕對地址，并修改13H讀寫磁盤的中斷向量，使指向病毒入口的地址，比如，開機啟動便在病毒的控制下，病毒程序為適應(yīng)各種環(huán)境，多少情況下都需要轉(zhuǎn)正常引導程序執(zhí)行。經(jīng)分析硬盤的主引導程序與活動分區(qū)引導程序，只要在兩個引導程序適當增加部分程序代碼，修改部分提示信息的地址指針，并在未用的硬盤扇區(qū)上建立兩個引導程序的副本，使系統(tǒng)啟動時，若檢測發(fā)哦系統(tǒng)引導區(qū)被改寫，立即將副本寫回到引導區(qū)，把病毒程序覆蓋消除掉。文件型病毒及其防治方法文件型病毒(FileInfectorVirus):文件型病毒通常寄生在可執(zhí)行檔(如*.COM,*.EXE等)中。當這些文件被執(zhí)行時，病毒的程序就跟著被執(zhí)行。文件型的病毒依傳染方式的不同，又分成非常駐型以及常駐型兩種：1）非常駐型病毒(Non-memoryResidentVirus)非常駐型病毒將自己寄生在*.COM,*.EXE或是*.SYS的文件中。當這些中毒的程序被執(zhí)行時，就會嘗試地去傳染給另一個或多個文件；2）常駐型病毒(MemoryResidentVirus)常駐型病毒躲在內(nèi)存中，其行為就好像是寄生在各類的低階功能一般(如Interrupts)，由于這個原因，常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了內(nèi)存中，只要執(zhí)行檔被執(zhí)行，它就對其進行感染的動作，其效果非常顯著。將它趕出內(nèi)存的唯一方式就是冷開機(完全關(guān)掉電源之后再開機)。3）隱型文件型病毒它會把自己植入操作系統(tǒng)里面，當程序向操作系統(tǒng)要求中斷服務(wù)時，它就會感染那個程序，而且看起來不像被感染的樣子。文件型病毒的防治：針對文件型病毒是通過文件進行傳播，所以當使用來歷不明文件的時候，先用最新升級過的殺毒軟件進行檢查，確認沒有文件型病毒之后方可使用。切忌不要雙擊打開或復制。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（COM，EXE），在用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。一般采用以下一些方法：⑴安裝最新版本的、有實時監(jiān)控文件系統(tǒng)功能的防殺計算機病毒軟件。⑵及時更新查殺計算機病毒引擎，在有計算機病毒突發(fā)事件的時候及時更新。⑶經(jīng)常使用防殺計算機病毒軟件對系統(tǒng)進行計算機病毒檢查。⑷當使用Windows98/2000/NT操作系統(tǒng)時，修改文件夾窗口中的確省屬性中毒后殺毒方法：首先要確定有哪幾個分區(qū)中了文件夾病毒，如果系統(tǒng)分區(qū)連同其他分區(qū)一起中了此病毒，建議重新安裝系統(tǒng)，安裝完成后打開工具——文件夾選項——查看——勾去隱藏已知文件類型的擴展名，之后手動刪除其他分區(qū)的后綴名為.exe的文件夾，并且恢復其他文件夾為不隱藏。以上介紹了兩種特殊的病毒的防治方法，但多大數(shù)的病毒的傳播和傳染一般都是通過四種途徑來實現(xiàn)的，即網(wǎng)絡(luò)