關(guān)于計(jì)算機(jī)病毒的認(rèn)識(shí)論文(2)
關(guān)于計(jì)算機(jī)病毒的認(rèn)識(shí)論文
關(guān)于計(jì)算機(jī)病毒的認(rèn)識(shí)論文篇二
《淺析計(jì)算機(jī)病毒的發(fā)展》
[摘要] 隨著計(jì)算機(jī)在社會(huì)生活各個(gè)領(lǐng)域的廣泛運(yùn)用,以及電腦的普及和網(wǎng)絡(luò)的迅猛發(fā)展,計(jì)算機(jī)病毒呈現(xiàn)愈演愈烈的趨勢(shì),嚴(yán)重地干擾了正常的人類社會(huì)生活,給計(jì)算機(jī)系統(tǒng)帶來了巨大的潛在威脅和破壞。目前,病毒已成為困擾計(jì)算機(jī)系統(tǒng)安全和計(jì)算機(jī)應(yīng)用的重大問題。為了確保信息的安全與暢通,從計(jì)算機(jī)病毒的概念入手,分析計(jì)算機(jī)病毒的內(nèi)涵及類型,并對(duì)計(jì)算機(jī)病毒來源進(jìn)行分析,最后介紹計(jì)算機(jī)病毒的主要防護(hù)措施。
[關(guān)鍵詞] 計(jì)算機(jī) 病毒 防范
一、引 言
隨著計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,伴隨而來的計(jì)算機(jī)病毒傳播問題越來越引起人們的關(guān)注。隨因特網(wǎng)的流行,有些計(jì)算機(jī)病毒借助網(wǎng)絡(luò)爆發(fā)流行,如CIH計(jì)算機(jī)病毒、“愛蟲”病毒等,它們與以往的計(jì)算機(jī)病毒相比具有一些新的特點(diǎn),給廣大計(jì)算機(jī)用戶帶來了極大的損失。
計(jì)算機(jī)病毒防范制度是防范體系中每個(gè)主體都必須的行為規(guī)程,沒有制度,防范體系就不可能很好地運(yùn)作,就不可能達(dá)到預(yù)期的效果。必須依照防范體系對(duì)防范制度的要求,結(jié)合實(shí)際情況,建立符合自身特點(diǎn)防范制度。
二、計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象
計(jì)算機(jī)病毒是客觀存在的,客觀存在的事物總有它的特性,計(jì)算機(jī)病毒也不例外。從實(shí)質(zhì)上說,計(jì)算機(jī)病毒是一段程序代碼,雖然它可能隱藏得很好,但也會(huì)留下許多痕跡。通過對(duì)這些蛛絲馬跡的判別,我們就能發(fā)現(xiàn)計(jì)算機(jī)病毒的存在了。
根據(jù)計(jì)算機(jī)病毒感染和發(fā)作的階段,可以將計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為三大類,即:計(jì)算機(jī)病毒發(fā)作前、發(fā)作時(shí)和發(fā)作后的表現(xiàn)現(xiàn)象。
1. 計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象
計(jì)算機(jī)病毒發(fā)作前,是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng),潛伏在系統(tǒng)內(nèi)開始,一直到激發(fā)條件滿足,計(jì)算機(jī)病毒發(fā)作之前的一個(gè)階段。在這個(gè)階段,計(jì)算機(jī)病毒的行為主要是以潛伏、傳播為主。計(jì)算機(jī)病毒會(huì)以各式各樣的手法來隱藏自己,在不被發(fā)現(xiàn)同時(shí),又自我復(fù)制,以各種手段進(jìn)行傳播。
以下是一些計(jì)算機(jī)病毒發(fā)作前常見的表現(xiàn)現(xiàn)象:
(1)平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)
病毒感染了計(jì)算機(jī)系統(tǒng)后,將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等,引起系統(tǒng)工作不穩(wěn)定,造成死機(jī)現(xiàn)象發(fā)生。
(2)操作系統(tǒng)無法正常啟動(dòng)
關(guān)機(jī)后再啟動(dòng),操作系統(tǒng)報(bào)告缺少必要的啟動(dòng)文件,或啟動(dòng)文件被破壞,系統(tǒng)無法啟動(dòng)。這很可能是計(jì)算機(jī)病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化,無法被操作系統(tǒng)加載、引導(dǎo)。
(3)運(yùn)行速度明顯變慢
在硬件設(shè)備沒有損壞或更換的情況下,本來運(yùn)行速度很快的計(jì)算機(jī),運(yùn)行同樣應(yīng)用程序,速度明顯變慢,而且重啟后依然很慢。這很可能是計(jì)算機(jī)病毒占用了大量的系統(tǒng)資源,并且自身的運(yùn)行占用了大量的處理器時(shí)間,造成系統(tǒng)資源不足,運(yùn)行變慢。
(4) 以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤
(5) 打印和通訊發(fā)生異常
(6)無意中要求對(duì)軟盤進(jìn)行寫操作
(7)以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤
(8)系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化
(9)運(yùn)行Word,打開Word文檔后,該文件另存時(shí)只能以模板方式保存
(10)磁盤空間迅速減少
(12)基本內(nèi)存發(fā)生變化
(13)陌生人發(fā)來的電子函件
(14)自動(dòng)鏈接到一些陌生的網(wǎng)站
一般的系統(tǒng)故障是有別與計(jì)算機(jī)病毒感染的。系統(tǒng)故障大多只符合上面的一點(diǎn)或二點(diǎn)現(xiàn)象,而計(jì)算機(jī)病毒感染所出現(xiàn)的現(xiàn)象會(huì)多的多。根據(jù)上述幾點(diǎn),就可以初步判斷計(jì)算機(jī)和網(wǎng)絡(luò)是否感染上了計(jì)算機(jī)病毒。
2. 計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象
計(jì)算機(jī)病毒發(fā)作時(shí)是指滿足計(jì)算機(jī)病毒發(fā)作的條件,計(jì)算機(jī)病毒程序開始破壞行為的階段。計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)大都各不相同,可以說一百個(gè)計(jì)算機(jī)病毒發(fā)作有一百種花樣。這與編寫計(jì)算機(jī)病毒者的心態(tài)、所采用的技術(shù)手段等都有密切的關(guān)系。
以下列舉了一些計(jì)算機(jī)病毒發(fā)作時(shí)常見的表現(xiàn)現(xiàn)象:
(1)提示一些不相干的話
最常見的是提示一些不相干的話,比如打開感染了宏病毒的Word文檔,如果滿足了發(fā)作條件的話,它就會(huì)彈出對(duì)話框顯示“這個(gè)世界太黑暗了!”,并且要求你輸入“太正確了”后按確定按鈕。
(2)發(fā)出一段的音樂
惡作劇式的計(jì)算機(jī)病毒,最著名的是外國(guó)的“楊基”計(jì)算機(jī)病毒(Yangkee)和中國(guó)的“瀏陽(yáng)河”計(jì)算機(jī)病毒。“楊基”計(jì)算機(jī)病毒發(fā)作是利用計(jì)算機(jī)內(nèi)置的揚(yáng)聲器演奏《楊基》音樂,而“瀏陽(yáng)河”計(jì)算機(jī)病毒更絕,當(dāng)系統(tǒng)時(shí)鐘為9月9日時(shí)演奏歌曲《瀏陽(yáng)河》,而當(dāng)系統(tǒng)時(shí)鐘為12月26日時(shí)則演奏《東方紅》的旋律。這類計(jì)算機(jī)病毒大多屬于“良性”計(jì)算機(jī)病毒,只是在發(fā)作時(shí)發(fā)出音樂和占用處理器資源。
(3)產(chǎn)生特定的圖象
另一類惡作劇式的計(jì)算機(jī)病毒,比如小球計(jì)算機(jī)病毒,發(fā)作時(shí)會(huì)從屏幕上方不斷掉落下來小球圖形。單純地產(chǎn)生圖像的計(jì)算機(jī)病毒大多也是“良性”計(jì)算機(jī)病毒,只是在發(fā)作時(shí)破壞用戶的顯示界面,干擾用戶的正常工作。
(4)硬盤燈不斷閃爍
硬盤燈閃爍說明有硬盤讀寫操作。當(dāng)對(duì)硬盤有持續(xù)大量的操作時(shí),硬盤的燈就會(huì)不斷閃爍,比如格式化或者寫入很大很大的文件。有時(shí)候?qū)δ硞€(gè)硬盤扇區(qū)或文件反復(fù)讀取的情況下也會(huì)造成硬盤燈不斷閃爍。有的計(jì)算機(jī)病毒會(huì)在發(fā)作的時(shí)候?qū)τ脖P進(jìn)行格式化,或者寫入許多垃圾文件,或反復(fù)讀取某個(gè)文件,致使硬盤上的數(shù)據(jù)遭到損失。具有這類發(fā)作現(xiàn)象的計(jì)算機(jī)病毒大多是“惡性”計(jì)算機(jī)病毒。
(5)進(jìn)行游戲算法
有些惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)采取某些算法簡(jiǎn)單的游戲來中斷用戶的工作,一定要玩贏了才讓用戶繼續(xù)他的工作。比如曾經(jīng)流行一時(shí)的“臺(tái)灣一號(hào)”宏病毒,在系統(tǒng)日期為13日時(shí)發(fā)作,彈出對(duì)話框,要求用戶做算術(shù)題。這類計(jì)算機(jī)病毒一般是屬于“良性”計(jì)算機(jī)病毒,但也有那種用戶輸了后進(jìn)行破壞的“惡性”計(jì)算機(jī)病毒。
(6)Windows桌面圖標(biāo)發(fā)生變化
這一般也是惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象。把Windows缺省的圖標(biāo)改成其他樣式的圖標(biāo),或者將其他應(yīng)用程序、快捷方式的圖標(biāo)改成Windows缺省圖標(biāo)樣式,起到迷惑用戶的作用。
3.計(jì)算機(jī)病毒發(fā)作后的表面現(xiàn)象
通常情況下,計(jì)算機(jī)病毒發(fā)作都會(huì)給計(jì)算機(jī)系統(tǒng)帶來破壞性的后果,那種只是惡作劇式的“良性”計(jì)算機(jī)病毒只是計(jì)算機(jī)病毒家族中的很小一部分。大多數(shù)計(jì)算機(jī)病毒都是屬于“惡性”計(jì)算機(jī)病毒。“惡性”計(jì)算機(jī)病毒發(fā)作后往往會(huì)帶來很大的損失,以下列舉了一些惡性計(jì)算機(jī)病毒發(fā)作后所造成的后果:
(1)硬盤無法啟動(dòng),數(shù)據(jù)丟失
計(jì)算機(jī)病毒破壞了硬盤的引導(dǎo)扇區(qū)后,就無法從硬盤啟動(dòng)計(jì)算機(jī)系統(tǒng)了。有些計(jì)算機(jī)病毒修改了硬盤的關(guān)鍵內(nèi)容(如文件分配表,根目錄區(qū)等),使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。
(2)系統(tǒng)文件丟失或被破壞
通常系統(tǒng)文件是不會(huì)被刪除或修改的,除非對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行了升級(jí)。但是某些計(jì)算機(jī)病毒發(fā)作時(shí)刪除了系統(tǒng)文件,或者破壞了系統(tǒng)文件,使得以后無法法正常啟動(dòng)計(jì)算機(jī)系統(tǒng).省略,Emm386.省略,Kernel.exe,User.exe等等。
(3)文件目錄發(fā)生混亂
目錄發(fā)生混亂有兩種情況。一種就是確實(shí)將目錄結(jié)構(gòu)破壞,將目錄扇區(qū)作為普通扇區(qū),填寫一些無意義的數(shù)據(jù),再也無法恢復(fù)。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中,只要內(nèi)存中存在有該計(jì)算機(jī)病毒,它能夠?qū)⒄_的目錄扇區(qū)讀出,并在應(yīng)用程序需要訪問該目錄的時(shí)候提供正確的目錄項(xiàng),使得從表面上看來與正常情況沒有兩樣。但是一旦內(nèi)存中沒有該計(jì)算機(jī)病毒,那么通常的目錄訪問方式將無法訪問到原先的目錄扇區(qū)。這種破壞還是能夠被恢復(fù)的。
(4)部分文檔丟失或被破壞
類似系統(tǒng)文件的丟失或被破壞,有些計(jì)算機(jī)病毒在發(fā)作時(shí)會(huì)刪除或破壞硬盤上的文檔,造成數(shù)據(jù)丟失。
(5)部分文檔自動(dòng)加密碼
還有些計(jì)算機(jī)病毒利用加密算法,將加密密鑰保存在計(jì)算機(jī)病毒程序體內(nèi)或其他隱蔽的地方,而被感染的文件被加密,如果內(nèi)存中駐留有這種計(jì)算機(jī)病毒,那么在系統(tǒng)訪問被感染的文件時(shí)它自動(dòng)將文檔解密,使得用戶察覺不到。一旦這種計(jì)算機(jī)病毒被清除,那么被加密的文檔就很難被恢復(fù)了。
(6)修改Autoexec.bat文件,增加Format C:一項(xiàng),導(dǎo)致計(jì)算機(jī)重新啟動(dòng)時(shí)格式化硬盤
在計(jì)算機(jī)系統(tǒng)穩(wěn)定工作后,一般很少會(huì)有用戶去注意Autoexec.bat文件的變化,但是這個(gè)文件在每次系統(tǒng)重新啟動(dòng)的時(shí)候都會(huì)被自動(dòng)運(yùn)行,計(jì)算機(jī)病毒修改這個(gè)文件從而達(dá)到破壞系統(tǒng)的目的。
三、計(jì)算機(jī)病毒的技術(shù)防范
對(duì)于計(jì)算機(jī)病毒毫無警惕意識(shí)的人員,可能當(dāng)顯示屏上出現(xiàn)了計(jì)算機(jī)病毒信息,也不會(huì)去仔細(xì)觀察一下,麻痹大意,任其在磁盤中進(jìn)行破壞。其實(shí),只要稍有警惕,根據(jù)計(jì)算機(jī)病毒在傳染時(shí)和傳染后留下的蛛絲馬跡,再運(yùn)用計(jì)算機(jī)病毒檢測(cè)軟件和DEBUG程序進(jìn)行人工檢測(cè),是完全可以在計(jì)算機(jī)病毒進(jìn)行傳播的過程中就能發(fā)現(xiàn)它。從技術(shù)上采取實(shí)施,防范計(jì)算機(jī)病毒,執(zhí)行起來并不困難,困難的是持之以恒,堅(jiān)持不懈。
1.計(jì)算機(jī)病毒的技術(shù)預(yù)防措施
下面總結(jié)出一系列行之有效的措施供參考。
(1)新購(gòu)置的計(jì)算機(jī)硬軟件系統(tǒng)的測(cè)試
新購(gòu)置的計(jì)算機(jī)是有可能攜帶計(jì)算機(jī)病毒的。因此,在條件許可的情況下,要用檢測(cè)計(jì)算機(jī)病毒軟件檢查已知計(jì)算機(jī)病毒,用人工檢測(cè)方法檢查未知計(jì)算機(jī)病毒,并經(jīng)過證實(shí)沒有計(jì)算機(jī)病毒感染和破壞跡象后再使用。。
(2)計(jì)算機(jī)系統(tǒng)的啟動(dòng)
在保證硬盤無計(jì)算機(jī)病毒的情況下,盡量使用硬盤引導(dǎo)系統(tǒng)。啟動(dòng)前,一般應(yīng)將軟盤從軟盤驅(qū)動(dòng)器中取出。這是因?yàn)榧词乖诓煌ㄟ^軟盤啟動(dòng)的情況下,只要軟盤在啟動(dòng)時(shí)被讀過,計(jì)算機(jī)病毒仍然會(huì)進(jìn)入內(nèi)存進(jìn)行傳染。很多計(jì)算機(jī)中,可以通過設(shè)置CMOS參數(shù),使啟動(dòng)時(shí)直接從硬盤引導(dǎo)啟動(dòng),而根本不去讀軟盤。這樣即使軟盤驅(qū)動(dòng)器中插著軟盤,啟動(dòng)時(shí)也會(huì)跳過軟驅(qū),嘗試由硬盤進(jìn)行引導(dǎo)。很多人認(rèn)為,軟盤上如果沒有COMMAND.COM等系統(tǒng)啟動(dòng)文件,就不會(huì)帶計(jì)算機(jī)病毒,其實(shí)引導(dǎo)型計(jì)算機(jī)病毒根本不需要這些系統(tǒng)文件就能進(jìn)行傳染。
(3)單臺(tái)計(jì)算機(jī)系統(tǒng)的安全使用
在自己的機(jī)器上用別人的軟盤前應(yīng)進(jìn)行檢查。在別人的計(jì)算機(jī)上使用過自己的已打開了寫保護(hù)的軟盤,再在自己的計(jì)算機(jī)上使用前,也應(yīng)進(jìn)行計(jì)算機(jī)病毒檢測(cè)。對(duì)重點(diǎn)保護(hù)的計(jì)算機(jī)系統(tǒng)應(yīng)做到專機(jī)、專盤、專人、專用,封閉的使用環(huán)境中是不會(huì)自然產(chǎn)生計(jì)算機(jī)病毒的。
(4)重要數(shù)據(jù)文件要有備份
硬盤分區(qū)表、引導(dǎo)扇區(qū)等的關(guān)鍵數(shù)據(jù)應(yīng)作備份工作,并妥善保管。在進(jìn)行系統(tǒng)維護(hù)和修復(fù)工作時(shí)可作為參考。
重要數(shù)據(jù)文件定期進(jìn)行備份工作。不要等到由于計(jì)算機(jī)病毒破壞、計(jì)算機(jī)硬件或軟件出現(xiàn)故障,使用戶數(shù)據(jù)受到損傷時(shí)再去急救。
(5)不要隨便直接運(yùn)行或直接打開電子函件中夾帶的附件文件,不要隨意下載軟件,尤其是一些可執(zhí)行文件和Office文檔。即使下載了,也要先用最新的防殺計(jì)算機(jī)病毒軟件來檢查。
(6)計(jì)算機(jī)網(wǎng)絡(luò)的安全使用
以上這些措施不僅可以應(yīng)用在單機(jī)上,也可以應(yīng)用在作為網(wǎng)絡(luò)工作站的計(jì)算機(jī)上。而對(duì)于網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng),還應(yīng)采取下列針對(duì)網(wǎng)絡(luò)的防殺計(jì)算機(jī)病毒措施:
?、侔惭b網(wǎng)絡(luò)服務(wù)器時(shí)應(yīng),應(yīng)保證沒有計(jì)算機(jī)病毒存在,即安裝環(huán)境和網(wǎng)絡(luò)操作系統(tǒng)本身沒有感染計(jì)算機(jī)病毒。
?、谠诎惭b網(wǎng)絡(luò)服務(wù)器時(shí),應(yīng)將文件系統(tǒng)劃分成多個(gè)文件卷系統(tǒng),至少劃分成操作系統(tǒng)卷、共享的應(yīng)用程序卷和各個(gè)網(wǎng)絡(luò)用戶可以獨(dú)占的用戶數(shù)據(jù)卷。這種劃分十分有利于維護(hù)網(wǎng)絡(luò)服務(wù)器的安全穩(wěn)定運(yùn)行和用戶數(shù)據(jù)的安全。
如果系統(tǒng)卷受到某種損傷,導(dǎo)致服務(wù)器癱瘓,那么通過重裝系統(tǒng)卷,恢復(fù)網(wǎng)絡(luò)操作系統(tǒng),就可以使服務(wù)器又馬上投入運(yùn)行。而裝在共享的應(yīng)用程序卷和用戶卷內(nèi)的程序和數(shù)據(jù)文件不會(huì)受到任何損傷。如果用戶卷內(nèi)由于計(jì)算機(jī)病毒或由于使用上的原因?qū)е麓鎯?chǔ)空間擁塞時(shí),系統(tǒng)卷是不受影響的,不會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)運(yùn)行失常。并且這種劃分十分有利于系統(tǒng)管理員設(shè)置網(wǎng)絡(luò)安全存取權(quán)限,保證網(wǎng)絡(luò)系統(tǒng)不受計(jì)算機(jī)病毒感染和破壞。
?、垡欢ㄒ糜脖P啟動(dòng)網(wǎng)絡(luò)服務(wù)器,否則在受到引導(dǎo)型計(jì)算機(jī)病毒感染和破壞后,遭受損失的將不是一個(gè)人的機(jī)器,而會(huì)影響到整個(gè)網(wǎng)絡(luò)的中樞。
?、転楦鱾€(gè)卷分配不同的用戶權(quán)限。將操作系統(tǒng)卷設(shè)置成對(duì)一般用戶為只讀權(quán)限,屏蔽其他網(wǎng)絡(luò)用戶對(duì)系統(tǒng)卷除讀和執(zhí)行以外的所有其他操作,如修改、改名、刪除、創(chuàng)建文件和寫文件等操作權(quán)限。應(yīng)用程序卷也應(yīng)設(shè)置成對(duì)一般用戶是只讀權(quán)限的,不經(jīng)授權(quán)、不經(jīng)計(jì)算機(jī)病毒檢測(cè),就不允許在共享的應(yīng)用程序卷中安裝程序。保證除系統(tǒng)管理員外,其他網(wǎng)絡(luò)用戶不可能將計(jì)算機(jī)病毒感染到系統(tǒng)中,使網(wǎng)絡(luò)用戶總有一個(gè)安全的聯(lián)網(wǎng)工作環(huán)境。
⑤在網(wǎng)絡(luò)服務(wù)器上必須安裝真正有效的防殺計(jì)算機(jī)病毒軟件,并經(jīng)常進(jìn)行升級(jí)。必要的時(shí)候還可以在網(wǎng)關(guān)、路由器上安裝計(jì)算機(jī)病毒防火墻產(chǎn)品,從網(wǎng)絡(luò)出入口保護(hù)整個(gè)網(wǎng)絡(luò)不受計(jì)算機(jī)病毒的侵害。在網(wǎng)絡(luò)工作站上采取必要的防殺計(jì)算機(jī)病毒措施,可使用戶不必?fù)?dān)心來自網(wǎng)絡(luò)內(nèi)和網(wǎng)絡(luò)工作站本身的計(jì)算機(jī)病毒侵害。
四、計(jì)算機(jī)病毒檢測(cè)方法
檢測(cè)磁盤中的計(jì)算機(jī)病毒可分成檢測(cè)引導(dǎo)型計(jì)算機(jī)病毒和檢測(cè)文件型計(jì)算機(jī)病毒。這兩種檢測(cè)從原理上講是一樣的,但由于各自的存儲(chǔ)方式不同,檢測(cè)方法是有差別的。
1.比較法
比較法的好處是簡(jiǎn)單、方便,不需專用軟件。缺點(diǎn)是無法確認(rèn)計(jì)算機(jī)病毒的種類名稱。另外,造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證,以查明是由于計(jì)算機(jī)病毒造成的,或是由于DOS數(shù)據(jù)被偶然原因,如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法,查看變化部分代碼的性質(zhì),以此來確證是否存在計(jì)算機(jī)病毒。另外,當(dāng)找不到原始備份時(shí),用比較法就不能馬上得到結(jié)論。從這里可以看到制作和保留原
始主引導(dǎo)扇區(qū)和其他數(shù)據(jù)備份的重要性。
2. 加總比對(duì)法
根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容,加總為一個(gè)檢查碼,再將檢查碼附于程序的后面,或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫(kù)中,再利用此加總對(duì)比系統(tǒng),追蹤并記錄每個(gè)程序的檢查碼是否遭更改,以判斷是否感染了計(jì)算機(jī)病毒。一個(gè)很簡(jiǎn)單的例子就是當(dāng)您把車停下來之后,將里程表的數(shù)字記下來。那么下次您再開車時(shí),只要比對(duì)一下里程表的數(shù)字,那么您就可以斷定是否有人偷開了您的車子。這種技術(shù)可偵測(cè)到各式的計(jì)算機(jī)病毒,但最大的缺點(diǎn)就是誤判斷高,且無法確認(rèn)是哪種計(jì)算機(jī)病毒感染的。對(duì)于隱形計(jì)算機(jī)病毒也無法偵測(cè)到。
3. 搜索法
搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串,就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。國(guó)外對(duì)這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成:一部分是計(jì)算機(jī)病毒代碼庫(kù),含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串;另一部分是利用該代碼庫(kù)進(jìn)行掃描的掃描程序。目前常見的防殺計(jì)算機(jī)病毒軟件對(duì)已知計(jì)算機(jī)病毒的檢測(cè)大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識(shí)別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫(kù)內(nèi)所含計(jì)算機(jī)病毒的種類多少。顯而易見,庫(kù)中計(jì)算機(jī)病毒代碼種類越多,掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。短小的計(jì)算機(jī)病毒只有一百多個(gè)字節(jié),長(zhǎng)的有上萬字節(jié)的。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串,可能在不同的環(huán)境中,該特征串并不真正具有代表性,不能用于將該串所對(duì)應(yīng)的計(jì)算機(jī)病毒檢查出來。選這種串作為計(jì)算機(jī)病毒代碼庫(kù)的特征串就是不合適的。
4.分析法
一般使用分析法的人不是普通用戶,而是防殺計(jì)算機(jī)病毒技術(shù)人員。使用分析法的目的在于:
(1)確認(rèn)被觀察的磁盤引導(dǎo)扇區(qū)和程序中是否含有計(jì)算機(jī)病毒;(2)確認(rèn)計(jì)算機(jī)病毒的類型和種類,判定其是否是一種新的計(jì)算機(jī)病毒;(3)搞清楚計(jì)算機(jī)病毒體的大致結(jié)構(gòu),提取特征識(shí)別用的字節(jié)串或特征字,用于增添到計(jì)算機(jī)病毒代碼庫(kù)供計(jì)算機(jī)病毒掃描和識(shí)別程序用;(4)詳細(xì)分析計(jì)算機(jī)病毒代碼,為制定相應(yīng)的防殺計(jì)算機(jī)病毒措施制訂方案。
上述四個(gè)目的按順序排列起來,正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關(guān)計(jì)算機(jī)、DOS、Windows、網(wǎng)絡(luò)等的結(jié)構(gòu)和功能調(diào)用以及關(guān)于計(jì)算機(jī)病毒方面的各種知識(shí),這是與其他檢測(cè)計(jì)算機(jī)病毒方法不一樣的地方。
5.人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)
人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將所有計(jì)算機(jī)病毒所產(chǎn)生的行為歸納起來,一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?系統(tǒng)就會(huì)有所警覺,并告知使用者。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、操作簡(jiǎn)便,且可以偵測(cè)到各式計(jì)算機(jī)病毒;其缺點(diǎn)就是程序設(shè)計(jì)難,且不容易考慮周全。不過在這千變?nèi)f化的計(jì)算機(jī)病毒世界中,人工智能陷阱掃描技術(shù)是一個(gè)至少具有主動(dòng)保護(hù)功能的新技術(shù)。
宏病毒陷阱技術(shù)(MacroTrap)是結(jié)合了搜索法和人工智能陷阱技術(shù),依行為模式來偵測(cè)已知及未知的宏病毒。其中,配合OLE2技術(shù),可將宏與文件分開,使得掃描速度變得飛快,而且更可有效地將宏病毒徹底清除。
參考文獻(xiàn):
[1]陳立新:計(jì)算機(jī):病毒防治百事通[M].北京:清華大學(xué)出版社,2001
[2]姬志剛:從qq開始認(rèn)識(shí)網(wǎng)絡(luò)安全.中國(guó)科教博覽,2004(9)
[3]姬志剛:計(jì)算機(jī)、網(wǎng)絡(luò)與信息社會(huì).科技咨詢導(dǎo)報(bào).2006(20)
[4]韓莜卿:計(jì)算機(jī)病毒分析與防范大全[M].北京:電子工業(yè)出版社.2006
關(guān)于計(jì)算機(jī)病毒的認(rèn)識(shí)論文相關(guān)文章: