《计算机病毒识别与防范》由会员分享,可在线阅读,更多相关《计算机病毒识别与防范(6页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒识别与防范摘要:本文首先对计算机病毒进行了简要的介绍,然后对计算机病毒进行了分类总结,得到 不同病毒的不同特点。之后依照不同病毒的不同特点,总结了病毒的识别方法,最后总结病 毒的防范措施,使计算机使用者能够较少的收到计算机病毒的影响。关键字:计算机病毒、识别、防范1计算机病毒概述1.1定义计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中 被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计 算机使用并且能够自我复制的一组计算机指令或者程序代码” o像生物病毒一样,计算机 病毒有独特的复制能力。计算机病毒可以很快的蔓延,
2、有常常难以根除。他们能把自身附着 在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户吋,他们就随同文件一 起蔓延开来。同时,计算机病毒与医学上的“病毒”不同,计算机病毒不是天然存在的,是人利用计 算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介 质(或程序)里,条件满足时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可 能演化的形式放入其他程序中。从而感染其他程序,对计算机资源进行破坏,所谓的病毒就 是人为造成的,对其他用户的危害性很大。1. 2病毒分类及特点1.2.1计算机病毒特点(1) 非授权可执行性用户通常调用执行一个程序吋,系统把控制权交
3、给这个程序,并分配给他们相应的系统 资源,如内存,从而使Z能够运行。因此程序执行的过程对用户时透明的。而计算机病毒时 非法程序,正常用户不会明知时病毒程序,而故意执行。但由于计算机病毒具有正常程序的 一切特征:可存储性,可执行性。它隐藏在合法程序或数据中,当用户“正常执行”程序时, 病毒伺机窃収到系统的控制权,得以抢先运行,然而此时的用户还认为在执行正常的程序。(2) 隐蔽性计算机病毒时一种具有很高编程技巧、短小精悍的可执行程序。它通常黏附在正常程序 Z中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空间概率较大的扇区中, 这是它的非法可存储性。病毒想法设法隐蔽口身,就是为了防止用户的
4、察觉。(3) 传染性传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病 毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速 传播。由于目前计算机网络日益发达,计算机病毒可以在极短的吋间内,通过Internet这 样的网络传遍世界。(4) 潜伏性计算机病毒具有依附于其他媒体而寄生的能力,这种媒体称之为计算机病毒的宿主。依 靠病毒的寄生能力,病毒感染合法的程序和系统后,并不立即发作,而是悄悄的隐藏起來, 等用户不注意的吋候发挥作用。这样病毒隐藏的越好,它在系统中存活的生命力最强,其破 坏性也就越大。(5) 表现性和破坏性无论何种病毒程序一旦侵
5、入系统都会对操作系统的运行造成不同程度的影响。即使不直 接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字和图像, 影响系统的正常运行,还有一些病毒程序会删除文件、加密磁盘中的数据,甚至吹灰整个系 统和数据,使Z无法恢复,造成不可挽回的损失。因此病毒程序的危害轻者降低系统的工作 效率,重者导致系统崩溃、数据丢失。病毒程序的表现型或破坏性体现了病毒设计者的真正 意图。(6) 可触发性计算机病毒一般有一个或几个触发条件。当满足触发条件吋,或者激活病毒的传染机制, 使Z进行复制传播,或者激活病毒的表现部分或者破坏部分。触发的实质是一种条件的控制, 病毒程序可以依据设计者的耍求
6、,在一定条件下实施攻击。这个条件是敲入特定字符,使用 特定的文件,某个特定口期或顶顶时刻,或者是病毒内置的计数器达到一定次数等。1.2.2计算机病毒分类计算机病毒按照寄生方式分为引导型病毒、文件型病毒和复合型病毒。(1) 引导型病毒引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时, 不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中侵入系统,驻留内存, 监视系统运行,待机传播和破坏。按照引导型病毒在磁盘上寄生位置有可细分为主引导记录 病毒和分区引导记录病毒。主引导记录病每感染硕盘的主引导区,如大麻病毒、2708病毒、 火炬病毒等。分区引导记录病毒干扰磁盘的
7、活动分区引导记录,如小球病毒、Girl病毒等(2)文件型病毒文件型病毒指能够寄生在文件中的病毒。这类病毒程序感染可执行文件或者数据文件。 如848病毒.com和.exe等可执行文件。(3)复合型病毒复合型病毒是指具有引导型病毒和文件型病毒两种寄生方式的计算机病毒。这种病毒扩 大了病毒传播程序的传播途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种 病毒的磁盘用于引导系统或调用、执行染毒文件时,病毒都会被激活。因此在检测、清除复 合型病毒时,必须全面彻底的根治,如果只发现该病毒的一个特征,把它只当作引导型或者 文件型病毒进行清除虽然好像是清除了,但还留着隐患,这种经过消毒后的洁净系统更具
8、 有攻击性。这种病毒乂新世记病毒、Flip病毒等计算机病毒按照破坏性分为良性病毒与恶性病毒:3:(1)良性病毒良性病毒是指那些只是为了表现自我,并不彻底破坏系统和数据,但会占用CPU时间, 增加系统开销,降低系统工作效率的一种计算机病毒。这种病毒多是恶作剧的产物,他们的 目的不是为了破坏系统和数据,而是为了使计算机病毒感染者通过屏幕或者扬声器看到病毒 设计者的成果与技术。这类病毒有小球病毒、1575/1591病毒、救护车病毒等。还有一些人 通过这些病毒來宣传自己的政治主张,也有一些病痔设计者通过此类病毒対人进行人身攻击。(2)恶性病毒恶性病毒是指哪些一旦发作后,就会破坏系统和数据,造成计算机系
9、统瘫痪的这一类计 算机病毒。这类病毒有黑色星期五病毒、火炬病毒等。这些病毒危害极大,有些病毒发作后 可以给用户造成不可挽回的损失。2计算机病毒识别与处理2. 1命名识别世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行 分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方 法来命名的。一般格式为:病毒前缀.病毒名.病毒后缀病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒, 其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan ,蠕虫病毒的前缀是Worm等 等还有其他的。病毒名是指一个病毒的家族特征,是用来区别
10、和标识病毒家族的,如以前著 名的CTII病毒的家族名都是统一的“ CTII ”,振荡波蠕虫病毒的家族名是“ Sasser 。 病毒后缀是指一个病毒的变种特征,是用來区别具体某个家族病毒的某个变种的。一般都采 用英文中的26个字母来表示,如Worm. Sasser, b就是指振荡波蠕虫病毒的变种B,因此一 般称为“振荡波B变种”或者“振荡波变种B” -如果该病毒变种非常多,可以采用数字 与字母混合表示变种标识。综上所述,一个病毒的前缀对我们快速的判断该病毒属丁-哪种类型的病毒是有非常大的 帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估。而通过病毒名我们可以 利用查找资料等方式进一步了
11、解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里 呆着的病毒是哪个变种。下面附带一些常见的病毒前缀的解释(针对Windows操作系统):(1)系统病毒系统病毒的前缀为:Win32、PE、Win95、W32. W95等。这些病毒的一般公有的特性是 可以感染windows操作系统的*. exe和*. dll文件,并通过这些文件进行传播。如CIH 病毒。(2)蠕虫病毒蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很 大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小 邮差(发带毒邮件)等。(3)木马病毒、黑客病毒木马病毒其前缀是:T
12、rojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通 过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有 一个可视的界面,能対用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木 马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型 都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan. QQ3344 ,还有大家可能遇 见比较多的针对网络游戏的木马病毒如Trojan. LMir. PSW. 60。这里补充一点,病毒名中有 PSW或者什么PWD之类的一般都表示这个病毒有盗収密码的功能(这些字母一般都为“密码”
13、 的英文password”的缩写)一些黑客程序如:网络枭雄(Hack. Nether. Client)等。(4)脚本病毒脚本病毒的前缀是:Scripto脚本病毒的公有特性是使用脚本语言编写,通过网页进行 的传播的病毒,如红色代码(Script. Redlof)脚本病毒还会有如下前缀:VBS、JS (表明是 何种脚本编写的),如欢乐时光(VBS. Happytime)十四日(Js. Fortnight, c. s)等。(5)宏病毒其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病 毒的前缀是:Macro,第二前缀是:Word Word97 Excel、Excel97 (
14、也许还有别的)其中 之一。凡是只感染W0RD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是: Macro. Word97;凡是只感染W0RD97以后版本WORD文档的病毒采用Word做为笫二前缀,格 式是:Macm. Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒,采用Excel97作为 第二前缀,格式是:Macro. Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒釆用 Excel作为第二前缀,格式是:Macro. Excel,依此类推。该类病毒的公有特性是能感染OFFICE 系列文档,然后通过OFFICE通用模板进行传播,如:著名
15、的美丽莎(Macro. Melissa) o2. 2简单识别检查计算机有无病毒主要有两种途径:一种是利用反病毒软件进行检测,一种是观察计 算机出现的异常现象。下列现象可作为检查病毒的参考:(1)屏幕出现一些无意义的显示画面或异常的提示信 息。(2)屏幕出现异常滚动而与行同步无关。(3)计算机系统出现异常死机和重启动现象。(4)系统不承认硬盘或硬盘不能引导系统。(5)机器喇叭自动产生鸣叫。(6)系统引导或 程序装入时速度明显减慢,或异常要求用户输入口令。(7)文件或数据无故地丢失,或文件 长度自动发生了变化。(8)磁盘出现坏簇或可用空间变小,或不识别磁盘设备。(9)编辑文 本文件时,频繁地口动存
16、盘。2. 3发现病毒后处理办法(1)在清除病毒之前,要先备份重要的数据文件。(2)启动最新的反病毒软件,对整个计算机系统进行病毒扫描和清除,使系统或文件恢 复正常。(3)发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的 病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。(4)某些病毒在Windows98状态下无法完全清除,此时我们应用事先准备好的干净的系 统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。常见的杀毒软件有瑞星、金 山毒霸、KV3000、KILL 等。3计算机病毒防范做好计算机病毒的预防,是防治计算机病毒的关键。本文将从防治计算机病毒的措施、 检查计算机有无病毒的主要途径、发现计算机病毒后的解决方法三个方面为您介绍如何防治 计算机病毒。
