計算機(jī)病毒特征及其防治研究

杜逆索

中圖分類號：TP

文獻(xiàn)標(biāo)識碼：A

文章編號：1673-0992(2009)03-0079-02

摘要：本文通過對計算機(jī)病毒破壞性、傳染性及不可預(yù)見性等特征的研究，按照病毒的不同分類分別對其工作原理進(jìn)行了分析，并探討了一些清除計算機(jī)病毒的方法。

關(guān)鍵詞：計算機(jī)病毒感染引導(dǎo)清除

引言

隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，計算機(jī)病毒像瘟疫一樣在全世界范圍內(nèi)蔓延。使計算機(jī)系統(tǒng)的數(shù)據(jù)安全受到了嚴(yán)重威脅。計算機(jī)一旦被病毒感染。運行速度會越來越慢：一些文件和應(yīng)用程序無法正常運行。甚至?xí)斐上到y(tǒng)的癱瘓。因此，計算機(jī)病毒的防治對于維護(hù)系統(tǒng)的正常運行非常重要。

1計算機(jī)病毒的特征

計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。它是人為的產(chǎn)物，一般具有以下一些特征：

1.1傳染性

計算機(jī)病毒的一個最基本的特征就是傳染性。一臺計算機(jī)一旦感染病毒，病毒就會通過自我復(fù)制等方式在此計算機(jī)上迅速擴(kuò)散，大量的文件被感染就會造成計算機(jī)運行速度越來越慢；同時。病毒還會通過軟盤、U盤、計算機(jī)網(wǎng)絡(luò)等渠道傳染其他計算機(jī)，嚴(yán)重者還會造成網(wǎng)絡(luò)癱瘓。

1.2非授權(quán)性

一般正常的程序是由用戶調(diào)用的，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對用戶來說是可見的、透明的。而病毒具有正常程序的一切特性。它隱藏在正常程序中，當(dāng)用戶調(diào)用正常程序時，它竊取到系統(tǒng)的控制權(quán)，先于正常的程序執(zhí)行，病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的。

1.3隱藏性

通常計算機(jī)感染病毒后，系統(tǒng)仍然能正常運行，用戶并不會感到異常。這是因為，病毒一般是具有很高編程技巧的短小精悍的程序，通常附在正常程序中或磁盤較隱蔽的地方，如果不經(jīng)過代碼分析，是很難區(qū)分正常程序和病毒程序的，也有個別的病毒程序以隱含文件形式出現(xiàn)。在沒有預(yù)防措施的情況下，病毒程序取得系統(tǒng)控制權(quán)后，就可以在很短時間內(nèi)感染大量程序，破壞系統(tǒng)的正常運行。

1.4潛伏性

大部分病毒可以長期隱藏在系統(tǒng)中，并不是感染系統(tǒng)后立刻發(fā)作，只有在滿足一定條件時它才會發(fā)作。例如“黑色星期五”。就是在每逢13號的星期五發(fā)作。這樣病毒可以進(jìn)行更為廣泛的傳播。

1.5破壞性

計算機(jī)病毒侵入系統(tǒng)后，會對系統(tǒng)及應(yīng)用程序造成不同程度的破壞。它會降低計算機(jī)的工作效率，占用系統(tǒng)資源，破壞數(shù)據(jù)，刪除文件，甚至?xí)茐拇疟P造成不可挽回的損失。

1.6不可預(yù)見性

由于病毒種類千差萬別，雖然殺毒軟件可以查殺一些病毒，但是，由于某些正常程序也使用了類似病毒的操作和技術(shù)。加之病毒制作技術(shù)也在不斷提高，病毒對反病毒軟件常常是超前的所以病毒還有其不可預(yù)見性。

2計算機(jī)病毒的分類

2.1按病毒的寄生方式分類

2.1.1文件型病毒

文件型病毒要借助病毒的載體程序才能引入內(nèi)存，它以感染文件擴(kuò)展名為.COM、.EXE和.OVL等可執(zhí)行文件為主。

2.1.2引導(dǎo)型病毒

引導(dǎo)型病毒感染軟盤的引導(dǎo)扇區(qū)，以及硬盤的主引導(dǎo)記錄或者引導(dǎo)扇區(qū)。它是在BIOS啟動之后，系統(tǒng)引導(dǎo)時出現(xiàn)的病毒，它依托BIOS中斷服務(wù)程序，先于操作系統(tǒng)執(zhí)行。

2.1.3混合型病毒

混合型病毒同時具有引導(dǎo)型和文件型病毒的特性，可以感染磁盤的引導(dǎo)區(qū)，也可以感染.COM、.EXE等可執(zhí)行文件。計算機(jī)一經(jīng)感染此類病毒就會經(jīng)開機(jī)或執(zhí)行程序而感染其他的磁盤或文件，此類病毒有很大的傳染性，也較難清除干凈。

2.2按病毒的傳染方法分類

可分為：駐留型病毒和非駐留型病毒。

2.3按病毒的破壞能力分類

可分為：有害性病毒、無危害性病毒、危險性病毒和非危險性病毒。

2.4按病毒特有算法分類

可分為：伴隨型病毒、“蠕蟲”病毒和寄生型病毒。

2.5按病毒的鏈接方式分類

可分為：源碼型病毒、嵌入型病毒、外殼病毒和操作系統(tǒng)型病毒。

3計算機(jī)病毒的工作原理

計算機(jī)病毒基本都是由三部分組成：引導(dǎo)模塊，借助宿主程序?qū)⒉《局黧w從外存加載到內(nèi)存；傳染模塊，負(fù)責(zé)將病毒代碼復(fù)制到傳染目標(biāo)；表現(xiàn)模塊，判斷病毒的觸發(fā)條件，實施病毒的破壞功能。下面討論幾種病毒的工作原理。

3.1引導(dǎo)型病毒基本原理

引導(dǎo)型病毒傳染的對象主要是硬盤的主引導(dǎo)區(qū)和引導(dǎo)區(qū)，及軟盤的引導(dǎo)區(qū)。在系統(tǒng)啟動時，這類病毒會優(yōu)先于正常系統(tǒng)的引導(dǎo)將自身裝入到系統(tǒng)中，獲得對系統(tǒng)的控制權(quán)。在完成自身安裝后，病毒將系統(tǒng)的控制權(quán)交回真正的系統(tǒng)程序，完成系統(tǒng)的引導(dǎo)，但此時系統(tǒng)已處在病毒的控制之下。

3.2文件型病毒基本原理

當(dāng)被感染的程序執(zhí)行后病毒先獲得控制權(quán)，然后執(zhí)行下面的操作。

(1)非內(nèi)存駐留病毒進(jìn)行感染，它查找當(dāng)前目錄，發(fā)現(xiàn)可以被感染的可執(zhí)行文件進(jìn)行感染。內(nèi)存駐留病毒先檢查系統(tǒng)內(nèi)存，如內(nèi)存中沒有此病毒則將病毒代碼裝入內(nèi)存。

(2)病毒駐留內(nèi)存時還會把一些DOS或BIOS中斷指向病毒代碼，使系統(tǒng)執(zhí)行正常文件或磁盤操作時，就會調(diào)用病毒駐留在內(nèi)存中的代碼，進(jìn)一步感染計算機(jī)。

(3)當(dāng)滿足某個條件時執(zhí)行病毒的一些功能。如破壞功能、顯示某些信息或動畫等。

(4)病毒將控制權(quán)返還被感染的程序，使正常程序繼續(xù)執(zhí)行，

3.3混合型病毒基本原理

這種病毒的原始狀態(tài)是依附在可執(zhí)行文件上，靠該文件作為載體而進(jìn)行傳播的。當(dāng)被感染文件執(zhí)行時，立即感染硬盤的主引導(dǎo)扇區(qū)，以后用硬盤啟動時，系統(tǒng)中就會有該病毒，從而實現(xiàn)從文件型病毒向引導(dǎo)型病毒的轉(zhuǎn)變。此后，它只對系統(tǒng)中可執(zhí)行文件進(jìn)行感染，被感染的硬盤啟動系統(tǒng)時。病毒修改系統(tǒng)中斷。指向病毒代碼，感染可執(zhí)行文件，使引導(dǎo)型病毒向文件型病毒轉(zhuǎn)變。因此，混合型病毒傳染性很強(qiáng)，不易清除。

4計算機(jī)病毒的清除

下面簡單介紹一下引導(dǎo)型和文件型病毒的清除方法。

4.1引導(dǎo)型病毒的清除

如果引導(dǎo)型病毒在軟盤上?？梢灾苯痈袷交洷P，以清除病毒。如病毒感染了硬盤引導(dǎo)區(qū)，可以用干凈的同硬盤版本一樣的系統(tǒng)盤引導(dǎo)系統(tǒng)，然后鍵入SYS C：命令，或FDISK／MBR命令，用正確的引導(dǎo)程序和硬盤分區(qū)表覆蓋引導(dǎo)區(qū)和主引導(dǎo)區(qū)中的病毒程序。

4.2文件型病毒的清除

除覆蓋型的文件型病毒外，其它文件型病毒都可以通過殺毒軟件清除?？梢砸勒詹《緜魅镜哪孢^程將病毒清除出被感染的文件，并保持原文件的功能。對于覆蓋型的文件只能將其徹底刪除。

5結(jié)束語

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)已經(jīng)成為人們?nèi)粘Ｉ钪胁豢扇鄙俚闹匾ぞ?，網(wǎng)絡(luò)也成為了信息時代重要的通信手段。但是計算機(jī)病毒的廣泛流行已成為威脅計算機(jī)安全的一個重要方面，因此了解計算機(jī)病毒，掌握病毒的防治方法對維護(hù)計算機(jī)安全是十分重要的。