1計算機病毒分類及工作原理
計算機病毒可分為:蠕蟲病毒、木馬病毒、巨集病毒、引導型病毒和檔案型病毒等。其中蠕蟲病毒、木馬病毒是目前網路上最為常見,且危害最大的兩種病毒。
1)蠕蟲病毒蠕蟲病毒是一種破壞力巨大的網路病毒。2008年底網際網路中大規模爆發的“掃蕩波”病毒就是一種典型的蠕蟲病毒,該病毒在給全球網路使用者造成巨大損失的同時。它的主要特徵包括:一是這種病毒與普通病毒不同,它一般不需要宿主檔案,而是利用系統漏洞、網頁和儲存介質等。二是不斷直接複製自身,在網際網路環境下進行傳播。三是傳播目標不是計算機內的檔案系統,而是網際網路上的所有計算機、區域網中的共享資料夾、電子郵件、漏洞伺服器等。由於傳播方式多樣,傳播速度極快,所以在很短的時間內就能傳遍整個網際網路,給全球網路使用者帶來難以估量的損失。除“掃蕩波”病毒外,2001年12月爆發的“求職信”蠕蟲病毒,迄今已造成數百億美元損失。2006年12月爆發的“熊貓燒香”病毒,造成國內數百萬臺電腦受到感染,作者李俊成為中國首個被捕入獄的病毒作者。2010年7月爆發的.“超級工廠”病毒,造成45000個工業控制網路受到感染,並使伊朗核設施受到破壞,核發展計劃被迫推遲,該病毒並稱作首個應用於實戰的“網路武器”。
2)木馬病毒木馬(Trojan)這個名字來源於古希臘“木馬計”的傳說。“木馬”是目前網路上最為流行的病毒(感染比例接近60%)。著名的木馬病毒有“冰河”、“灰鴿子”等。“灰鴿子”病毒通常有兩個可執行程式:一個是客戶端,即控制端,用以實現控制,另一個是服務端,即被控制端,用以植入被種著電腦,“服務端”不會像普通病毒那樣自我繁殖,也不“刻意”去感染其它檔案,而是通過自身偽裝吸引使用者下載執行。木馬的服務一旦啟動,其控制端將享有服務端的大部分操作許可權,可以任意瀏覽、移動、複製、刪除檔案,可以遠端操控被種著電腦,監視對方螢幕,記錄鍵盤輸入,修改登錄檔,更改計算機配置等。
3)巨集病毒巨集病毒是一種寄生在文件或模板的巨集中的計算機病毒。若使用者開啟一個帶毒的文件,病毒就會被激發,此後,病毒會駐留在公共模板()中,所有自動儲存的文件都會“感染”上這種巨集病毒,而如果其他使用者打開了染毒的文件,巨集病毒又會轉移到他的計算機上。
4)引導型病毒引導型病毒是利用系統引導區進行傳播的病毒。正常情況下,系統引導指令是存放在磁碟引導區中的,而被引導型病毒感染後,病毒會將其自身放在引導區中,而將真正的引導區內容搬家轉移,待病毒程式執行後,再將控制權交給真正的引導區內容,此時這個帶毒系統看似運轉正常,實際上病毒已隱藏其中,伺機傳染和發作。
5)檔案型病毒檔案型病毒將自己依附在可執行的檔案中(通常是檔案或檔案),當宿主程式被執行時,病毒會首先被執行,黨病毒完成駐留記憶體等操作後,再將控制權交給宿主程式,著名的CIH病毒就是一種檔案型病毒。
2計算機病毒防禦
面對層出不窮的病毒,病毒防禦就顯得尤為重要,病毒防禦通常包括:病毒的預防、檢測和清除。
2.1病毒預防
病毒預防十分重要,但我們不得不承認,病毒有時確實“防不勝防”。以前,計算機存在的安全漏洞一般需要數週或數月的時間才能被wlrqz發現並加以利用。但目前,惡性程式會在安全補丁與瑕疵曝光的同一日內對計算機進行攻擊,攻擊速度逐漸加快,破壞性也越來越大。當一個安全漏洞剛剛釋出時,多數使用者還未打上補丁,此時病毒的傳播將如入無人之境,普通使用者無從預防。
2.2病毒檢測
1)傳統檢測手段傳統檢測手段即特徵值掃描技術,它是目前應用最廣泛的病毒檢測技術,這種檢測技術就像是針對病毒的“人肉搜尋”。它通過一一對比被檢程式與病毒庫中的特徵值,來判斷該目標是否被病毒感染。這種檢測方法具有明顯的缺陷:一是被動性、滯後性。很明顯這種方法只能檢測已知病毒,並且獲取新病毒特徵碼需要複雜操作才能完成,特徵碼獲取後,再發布給使用者,需要一個過程,對於傳播速度迅速,破壞力巨大的現代病毒來說,這種滯後有時將是致命的。而是免殺簡單。wlrqz們不需要對病毒程式重新編寫,只需經過修改病毒特徵值,加殼等簡單操作,就能夠避免特徵掃描的檢測。
2)主動防禦手段主動防禦手段是在沒有獲得病毒樣本之前檢測和阻止未知病毒的運作的防毒防禦方法。當前,主動防禦技術主要有:虛擬機器檢測技術,在系統上虛擬一個操作環境,然後在這個虛擬環境下執行待檢軟體,在病毒現出原形後將其清除;啟發式檢測技術,採用智慧啟發式演算法,分析檔案程式碼邏輯結構師傅含有病毒特徵,或者通過在虛擬安全環境中執行程式碼,根據程式行為判斷是否存在病毒;沙盒檢測技術,使用病毒防禦程式接管與系統介面(API)相關的所有行為,使本機系統成為一個“沙盒”,讓程式在“沙盒”中充分執行,當病毒真正出現後,對其進行清除,然後“沙盒”執行“回滾”機制,對病毒留下的痕跡進行徹底清除,讓系統回覆到原來的正常狀態;雲安全檢測,通過網狀的大量客戶端對網路中軟體異常行為進行監測,獲取網際網路中木馬等病毒的最新資訊,並傳送到伺服器端進行自動分析和處理,在每個客戶端都設定病毒的解決方案,使整個網際網路成為一個巨大的“防毒軟體”。主動防禦的優點:一是可以檢測到未知病毒的攻擊;二是具有啟發式智慧自學習功能;三是能夠對網路病毒攻擊進行實時監控和響應。主動防禦也存在缺點:一是由於依靠智慧演算法判斷是否存在病毒,故容易導致誤報或誤殺;二是主動防禦手段通常是在病毒特徵顯現後,確認病毒並清除,因此它對不發作的病毒不作處理。
2.3病毒清除
發現病毒後需要及時清除,以免造成不必要的損失。
1)自動清除方式利用病毒防禦軟體清除病毒。常見病毒防禦軟體有瑞星、諾頓、360、江民等防毒軟體。有時你可能會遇到連病毒防禦軟體都束手無策的新病毒,這時你可以試試手工清除方式。
2)手工清除方式蠕蟲病毒:你可以更新系統補丁,刪除染毒檔案、網頁及相關注冊表項。木馬病毒:通常可以刪除C盤、檔案,以及登錄檔中的可疑啟動項,同時刪除啟動項對應的可執行檔案。巨集病毒:你可以清除染毒檔案及公用模板()中的自動巨集(AutoOpen、AutoClose、AutoNew),並將公用模板設為只讀。引導型病毒和檔案型病毒:可以用“乾淨的”引導盤引導,用備份的引導扇區(或檔案)覆蓋染毒的引導扇區(或檔案),同時恢復被破壞的系統資料,如檔案分配表(FAT)等。
3結論
儘管現在計算機病毒層出不窮,儘管計算機病毒無處不在,但只要我們瞭解計算機病毒的基本知識,認識到計算機病毒危害的重要性,掌握計算機病毒檢測和防護方法,及時更新系統補丁,安裝防火牆,經常檢測系統安全性,及時查殺病毒,還是能夠使我們的計算機遠離病毒的侵害,或者將病毒的侵害降低到最低程度。