論網(wǎng)絡(luò)環(huán)境下計算機(jī)病毒的危害及其防治

21世紀(jì)是知識經(jīng)濟(jì)的世紀(jì)，是科學(xué)技術(shù)高速發(fā)展的世紀(jì)，隨著電腦的普及，Internet的迅猛發(fā)展，網(wǎng)絡(luò)已成為與人們的生活息息相關(guān)的主題。但是，計算機(jī)感染病毒、木馬，以及黑客的入侵，常常造成資料的泄密、損壞，甚至系統(tǒng)的崩潰，給計算機(jī)帶來嚴(yán)重的損害。因此，在日常生活中，我們必須懂得一些計算機(jī)病毒感染的知識，采取一些必要的防范措施對計算機(jī)進(jìn)行保護(hù)。

1.病毒的定義和種類

計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。

計算機(jī)病毒可以分為系統(tǒng)病毒、蠕蟲病毒、木馬病毒、黑客病毒、腳本病毒、宏病毒、后門病毒、病毒種植程序病毒、破壞性程序病毒、玩笑病毒和捆綁機(jī)病毒等。只有正確認(rèn)識和區(qū)分各種病毒的組成特征和破壞性，我們才能有效地進(jìn)行反病毒技術(shù)的更新，才能保證計算機(jī)的安全。

2.計算機(jī)病毒的感染原理

不同感染途徑的病毒，其感染機(jī)制也不相同。

2.1引導(dǎo)型病毒感染原理。

系統(tǒng)引導(dǎo)型病毒主要是感染軟盤的引導(dǎo)扇區(qū)和硬盤的主引導(dǎo)扇區(qū)或DOS引導(dǎo)扇區(qū)，其傳染方式主要是通過使用病毒感染的軟盤啟動計算機(jī)而傳染。

2.2文件型病毒感染原理。

可執(zhí)行文件型病毒依附在可執(zhí)行文件或覆蓋于文件中，當(dāng)病毒程序感染一個可執(zhí)行文件時，病毒就會修改原文件的一些參數(shù)，并將病毒自身程序添加到原文件中。被感染病毒的文件執(zhí)行時，首先執(zhí)行病毒程序的一段代碼，并將病毒程序駐留在內(nèi)存中，以取得系統(tǒng)的控制權(quán)，從而完成病毒的復(fù)制和一些破壞操作。每個要被執(zhí)行的程序文件都要先通過病毒“檢查”是否已被感染，若未被感染則病毒感染該文件。

2.3混合型病毒感染原理。

混合型病毒不僅可以傳染可執(zhí)行文件，而且會傳染硬盤引導(dǎo)區(qū)。混合型病毒先進(jìn)入內(nèi)存，找機(jī)會感染其它沒受感染的磁盤，操作系統(tǒng)載入內(nèi)存后，病毒再進(jìn)行攔截INT 2IH，達(dá)到感染文件的目的。個別被感染的系統(tǒng)用Format格式化命令格式化硬盤都不能消除這種病毒。

2.4特洛伊木馬、網(wǎng)絡(luò)蠕蟲、Internet語言病毒感染原理。

一些用Java、VB、ActiveX等撰寫的病毒可通過網(wǎng)絡(luò)竊取個人秘密信息或使計算機(jī)系統(tǒng)資源利用率下降，造成死機(jī)現(xiàn)象。蠕蟲病毒感染的理論主要是通過主動或者被動方式進(jìn)行掃描，然后利用系統(tǒng)漏洞侵入計算機(jī)隱藏起來等候指令，當(dāng)指令出現(xiàn)時立刻開始感染系統(tǒng)并設(shè)法聯(lián)系其他蠕蟲節(jié)點(diǎn)，命令計算機(jī)接受其控制指令而大量發(fā)送其病毒指令信息包，造成網(wǎng)絡(luò)擁堵癱瘓。病毒在計算機(jī)中還廣開“后門”，造成計算機(jī)不受控制，刪除計算機(jī)的文件和文檔，生成大量病毒垃圾文件，造成計算機(jī)無法使用。蠕蟲病毒的隱藏地點(diǎn)基本都在郵件中。

3.計算機(jī)病毒的診斷與分析處理

3.1計算機(jī)病毒的診斷。

如果發(fā)現(xiàn)計算機(jī)有疑似感染病毒的癥狀時，我們應(yīng)該首先檢查是否有異常的進(jìn)程。先關(guān)閉所有的應(yīng)用程序，然后右擊任務(wù)欄空白區(qū)域，在彈出的菜單中選擇“任務(wù)管理器”，打開“進(jìn)程”標(biāo)簽，查看系統(tǒng)正在運(yùn)行的進(jìn)程，正常情況下系統(tǒng)進(jìn)程應(yīng)為22—28個，如果進(jìn)程數(shù)目太多，就要認(rèn)真查看有無非法進(jìn)程或不熟悉的進(jìn)程。

3.2計算機(jī)病毒的分析。

分析病毒的出現(xiàn)形式分為三類:有單獨(dú)隱蔽的進(jìn)程、服務(wù);單獨(dú)的進(jìn)程、服務(wù);無單獨(dú)的進(jìn)程、服務(wù)，注入一個正常的系統(tǒng)進(jìn)程、驅(qū)動。

我們可從進(jìn)程的層面入手，用Icesword，可以看到一個紅色進(jìn)程，然后到網(wǎng)上搜索，最好先備份，再將可疑的進(jìn)程刪除。

我們也可使用進(jìn)程查看工具，如PE、Icesword、Prcview、隱藏進(jìn)程管理工具等分析每一個可疑的進(jìn)程，通過查看進(jìn)程的屬性，判斷該進(jìn)程的路徑和服務(wù)。

從病毒層面入手，推薦使用hijackthis，對于傳統(tǒng)的加載方式還是比較優(yōu)秀的一款工具，將掃描的日志放入http://www.hijackthis.de/index.php，會自動幫助分析可疑的程序，找到病毒體，一般病毒體的關(guān)鍵字和它自身的服務(wù)相關(guān)聯(lián)，再用Process Explorer可查找病毒體注入哪個進(jìn)程里。

對于注入正常的系統(tǒng)進(jìn)程、驅(qū)動里的病毒，我們可使用Autoruns可以分析出哪些文件注入驅(qū)動程序里，然后上網(wǎng)查這些文件的性質(zhì)，將Option里有一項(xiàng)隱藏微軟的登記選中，這樣可以進(jìn)一步減少查找的范圍。

對于注入系統(tǒng)進(jìn)程里的病毒，以DLL、SYS文件注入Explorer、IExplore等進(jìn)程的情況，我們可以手動搜索硬盤上的DLL文件和SYS文件，查看其文件大小、創(chuàng)建、修改時間和版本等信息，判斷是否可疑，對無版本信息或版本信息描述不正規(guī)的DLL文件和SYS文件尤其要關(guān)注。

3.3計算機(jī)病毒的查殺。

查殺病毒即通過停進(jìn)程、刪文件、刪服務(wù)三步驟來完成。

3.3.1停進(jìn)程。我們應(yīng)首先處理容易的，必須先用Icesword、Process Explorer、Unlocker、Super Rabbit等在常規(guī)狀態(tài)下停止或掛起進(jìn)程的工具，否則病毒就會占用資源，無法刪除。

3.3.2刪文件。Unloker小巧方便，它能輕易刪除十分棘手的病毒。同時，如果有些文件被某個進(jìn)程占用，它會彈出一個窗口，選擇解鎖。對于實(shí)在不能刪除的文件，如c:\\windows\\system32\\svchost.exe掛在系統(tǒng)層，我們可以在重新啟動后刪除。

3.3.3刪服務(wù)，對于系統(tǒng)服務(wù)，我們首先要停止服務(wù)，然后刪除注冊表，如果注冊表項(xiàng)不能刪，要修改注冊表項(xiàng)屬性，分配權(quán)限給所有人。我們應(yīng)重啟到安全模式，刪除對應(yīng)文件，再新建同名空文件，并修改屬性為只讀。一般來說，我們可用Hijack來分析服務(wù)，看看有沒有看起來不太熟悉的服務(wù)，也要注意那些熟悉的進(jìn)程，名字是否被改動，以及進(jìn)程所在的目錄是否正確。

在網(wǎng)絡(luò)安全策略之系統(tǒng)策略中，反病毒技術(shù)亦是網(wǎng)絡(luò)安全一重點(diǎn)，只有深病毒的攻擊原理，才能針對性建立起強(qiáng)大的防護(hù)體系，才能開發(fā)出具有殺傷力的反病毒技術(shù)，只有這樣才能保證網(wǎng)絡(luò)的安全，保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和安全性。總之，進(jìn)行反病毒工作，用戶不僅需要利用殺毒工具來提供一個安全的網(wǎng)絡(luò)使用環(huán)境，而且要擁有高度的安全意識和進(jìn)行系統(tǒng)安全設(shè)置，并及時進(jìn)行病毒庫、系統(tǒng)和其他應(yīng)用程序的升級，只有這樣擁有一個安全、穩(wěn)定的無毒空間，才能保證網(wǎng)絡(luò)安全性、高效性、開放性和實(shí)時性。

參考文獻(xiàn):

[1]高陽.計算機(jī)網(wǎng)絡(luò)原理與應(yīng)用技術(shù).北京:電子工業(yè)出版社，2005.3.

[2]關(guān)于計算機(jī)病毒和選擇殺毒軟件.江民科技，http://www. jiang min.com .cn/tip/0215-8htm.