信息处理技术员考点：计算机病毒防治

计算机技术的迅速发展、应用领域的不断扩大，使计算机在现代社会中占据的地位越来越重要。与此同时，计算机应用的社会化与计算机系统本身的开放性，也带来了一系列新问题。计算机病毒的出现使计算机的安全性遇到了严重挑战。

计算机病毒最早是由美国计算机病毒研究专家F.Cohen博士提出的。"计算机病毒"有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出："计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。"

由于计算机网络是一个开放的环境，因此网上用户受到恶意的程序的威胁要比普通用户大一些，其中主要的是病毒和木马程序。

1. 计算机病毒的类型

计算机病毒的数量很多，目前大约有10000多种。对计算机病毒进行分类的方法也不尽相同，这里只介绍几种常见的分类方法。

(1)按其侵害的对象可分为引导型病毒、文件型病毒和混合型病毒3种。引导型病毒只感染磁盘的引导扇区，使引导扇区内容转移到别处，以病毒引导程序取而代之。如"GENP"病毒、"小球"病毒。文件型病毒通过感染可执行文件，将病毒程序嵌入可执行文件中并取得执行权。如"DIR-2"病毒。混合型病毒既可以感染引导区，又可以感染可执行文件。如"新世纪"病毒。

(2)按病毒破坏能力分类。根据病毒破坏的能力可划分为良性计算机病毒、恶性计算机病毒和极恶性计算机病毒3种。

良性计算机病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个文件不停地反复被几种病毒所感染。例如，原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间，而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。

恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的，如米开朗基罗病毒，当米氏病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据无法恢复，造成的损失是无法挽回的。

极恶性计算机病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这类病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其他的程序产生错误也会破坏文件和扇区，这些病毒也按照它们引起的破坏能力划分。一些现在无害型病毒也可能会对新版的DOS、Windows和其他操作系统造成破坏。例如：在早期的病毒中，有一个"Denzuk"病毒在360KB磁盘上能很好地工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

(3)按病毒入侵的方式分类。按病毒入侵方式分为源代码嵌入攻击型、代码取代攻击型、系统修改型和外壳附加型4种。

源代码嵌入攻击型病毒就是指入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要病毒开发者达到非常专业的编程水平。

代码取代攻击型病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块。这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。

系统修改型病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能。由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。

外壳附加型病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

(4)按传播媒介分类。按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒两种。单机病毒的载体是磁盘，常见的是病毒从移动磁盘传入硬盘，感染系统，然后再传染其他移动磁盘，又传染其他系统。网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

总之，计算机病毒的分类方法有很多，说法也不一，同一种病毒可从不同角度进行分类。

2. 计算机病毒的主要特点

计算机病毒，不同于一般的程序，具有如下一些主要特点。

(1)传染性。传染性是计算机病毒的重要特征，是衡量一种程序是否为病毒的首要条件。传染是指病毒从一个程序体进入另一个程序体的过程，其功能是由病毒的传染模块实现的。病毒程序一旦加到当前运行的程序体上，就开始搜索能进行传染的其他程序，从而使病毒很快扩散整个计算机系统中凡是可以驻留程序和存储数据的地方。

(2)潜伏性。计算机病毒的潜伏性是指计算机病毒进入系统后，其破坏作用一般不是立即产生，但在此期间却一直进行传染扩散。并且这个过程不易被用户察觉。计算机病毒一般依附于某种介质，有的病毒可以在几周或几个月内进行传染和再生而不被发现。计算机病毒的潜伏性与传染性相辅相成，潜伏性越好，其在系统中存在的时间就会越长，病毒传染的范围也就会越大。

(3)破坏性。计算机病毒的主要目的就是破坏计算机系统，使系统资源受到损失，数据遭到破坏，计算机运行受到干扰。以前的计算机病毒只是破坏计算机的软件系统，而现在的计算机病毒不但可以破坏计算机的软件系统，还破坏计算机的硬件系统。

(4)可激发性。 计算机病毒的可激发性是指计算机病毒发作的条件控制，其实质是一种"逻辑炸弹".即一般情况下病毒只是进行传染，而只有当激发条件得到满足时才进行破坏活动。激发条件可以是日期、时间、文件名等。

(5)非授权可执行性。由于计算机病毒具有正常程序的一切特性，如可存储性、可执行性。它隐藏在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行，然而此时用户还认为在执行正常程序。

3. 计算机感染病毒后的异常现象

计算机病毒的破坏性表现为病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒制作者的主观愿望和他的技术能力。计算机感染病毒后的异常现象主要表现如下：

(1)攻击系统数据区。攻击部位包括：硬盘主引导扇区、Boot扇区、FAT表和文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。

(2)攻击文件。病毒对文件的攻击方式很多，如删除、改名和替换内容等。

(3)修改系统启动项目。使某些恶意软件可以随着系统启动，常被流氓软件和病毒采用。

(4)劫持IE浏览器。首页被更改，一些默认项目被修改(例如默认搜索)。

(5)显示器上经常出现一些莫明其妙的信息或异常显示。如计算机屏幕上出现跳动的亮点，这种亮点有规律或随机地在屏幕上跳动。屏幕上出现满屏的雪花滚动或静止的雪花亮点。

(6)添加驱动保护。使用户无法删除某些软件。

(7)在用户计算机上开置后门。黑客可以通过此后门远程控制中毒机器，组成僵尸网络，通过对外发动攻击、发送垃圾邮件和点击网络广告等牟利。

(8)采用映像劫持技术。使多种杀毒软件和安全工具无法使用。

(9)记录用户的键盘、鼠标操作。从而可以窃取银行卡、网游密码等各种信息。

(10)记录用户的摄像头操作。可以从远程窥探隐私。

(11)使用户的机器运行变慢，大量消耗系统资源。

4. 计算机病毒传播的防范

计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。因此，不仅要预防计算机病毒，而且应当主动发现病毒并及时清除。例如：

(1)切断传播途径，对被感染的硬盘和机器进行彻底的"消毒"处理，不使用来历不明的软盘、U盘和程序，定期检查机器的存储介质，不随意下载网络广告、邮件等。

(2)安装正版防毒软件或防病毒卡。防病毒软件在查毒和杀毒方面起着十分重要的作用。

(3)建立安全管理制度，提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和重要信息，严格做好开机查毒，及时备份数据。

(4)提高网络反病毒能力。例如，通过安装病毒防火墙，进行实时过滤。对网络服务器中的文件进行频繁地扫描和检测。在工作站安装防病毒卡，加强网络目录和文件访问权限的设置。

计算机病毒的防范是一项长期的工作，需要技术手段和管理手段密切结合。