對(duì)計(jì)算機(jī)病毒問題的探討

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。下面，我就計(jì)算機(jī)病毒的種類、檢測和防治談一些看法。

一、計(jì)算機(jī)病毒種類

(一)按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類。

一是攻擊DOS系統(tǒng)的病毒。這類病毒出現(xiàn)最早、最多，變種也最多，目前我國出現(xiàn)的計(jì)算機(jī)病毒基本上都是這類病毒，占病毒總數(shù)的99%。

二是攻擊Windows系統(tǒng)的病毒。由于Windows的圖形用戶界面(GUI)和多任務(wù)操作系統(tǒng)深受用戶的歡迎，Windows正逐漸取代DOS，從而成為病毒攻擊的主要對(duì)象。目前發(fā)現(xiàn)的首例破壞計(jì)算機(jī)硬件的CIH病毒就是一個(gè)Windows 95/98病毒。

三是攻擊UNIX系統(tǒng)的病毒。當(dāng)前，UNIX系統(tǒng)應(yīng)用非常廣泛，并且許多大型的操作系統(tǒng)均采用UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的出現(xiàn)，對(duì)人類的信息處理也是一個(gè)嚴(yán)重的威脅。

(二)按照計(jì)算機(jī)病毒的鏈結(jié)方式分類。

由于計(jì)算機(jī)病毒本身必須有一個(gè)攻擊對(duì)象以實(shí)現(xiàn)對(duì)計(jì)算機(jī)系統(tǒng)的攻擊，計(jì)算機(jī)病毒所攻擊的對(duì)象是計(jì)算機(jī)系統(tǒng)可執(zhí)行的部分。

一是源碼型病毒。該病毒攻擊高級(jí)語言編寫的程序，該病毒在高級(jí)語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。

二是嵌入型病毒。這種病毒是將自身嵌入到現(xiàn)有程序中，把計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象以插入的方式鏈接。這種計(jì)算機(jī)病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時(shí)采用多態(tài)性病毒技術(shù)，超級(jí)病毒技術(shù)和隱蔽性病毒技術(shù)，將給當(dāng)前的反病毒技術(shù)帶來嚴(yán)峻的挑戰(zhàn)。

三是外殼型病毒。外殼型病毒將其自身包圍在主程序的四周，對(duì)原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。

四是操作系統(tǒng)型病毒。這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓。圓點(diǎn)病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。這種病毒在運(yùn)行時(shí)，用自己的邏輯部分取代操作系統(tǒng)的合法程序模塊，根據(jù)病毒自身的特點(diǎn)和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運(yùn)行的地位與作用，以及病毒取代操作系統(tǒng)的取代方式，等等，對(duì)操作系統(tǒng)進(jìn)行破壞。

二、計(jì)算機(jī)病毒檢測

(一)比較法。

比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較。比較時(shí)可以靠打印的代碼清單(比如DEBUG的D命令輸出格式)進(jìn)行比較，或用程序來進(jìn)行比較(如DOS的DISKCOMP、FC或PCTOOLS等其它軟件)。這種比較法不需要專用的查計(jì)算機(jī)病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計(jì)算機(jī)病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)橛?jì)算機(jī)病毒傳播得很快，新的計(jì)算機(jī)病毒層出不窮，目前還沒有通用的能查出一切計(jì)算機(jī)病毒，或通過代碼分析，可以判定某個(gè)程序中是否含有計(jì)算機(jī)病毒的查毒程序，發(fā)現(xiàn)新計(jì)算機(jī)病毒就只有靠比較法和分析法，有時(shí)必須結(jié)合這兩者來一同工作。

(二)搜索法。

搜索法是用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測的對(duì)象進(jìn)行掃描。如果在被檢測對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計(jì)算機(jī)病毒。國外對(duì)這種按搜索法工作的計(jì)算機(jī)病毒掃描軟件叫Virus Scanner。計(jì)算機(jī)病毒掃描軟件由兩部分組成:一部分是計(jì)算機(jī)病毒代碼庫，含有經(jīng)過特別選定的各種計(jì)算機(jī)病毒的代碼串;另一部分是利用該代碼庫進(jìn)行掃描的掃描程序。目前常見的防殺計(jì)算機(jī)病毒軟件對(duì)已知計(jì)算機(jī)病毒的檢測大多采用這種方法。計(jì)算機(jī)病毒掃描程序能識(shí)別的計(jì)算機(jī)病毒的數(shù)目完全取決于計(jì)算機(jī)病毒代碼庫內(nèi)所含計(jì)算機(jī)病毒的種類多少。顯而易見，庫中計(jì)算機(jī)病毒代碼種類越多，掃描程序能認(rèn)出的計(jì)算機(jī)病毒就越多。計(jì)算機(jī)病毒代碼串的選擇是非常重要的。短小的計(jì)算機(jī)病毒只有一百多個(gè)字節(jié)，長的有上萬字節(jié)。如果隨意從計(jì)算機(jī)病毒體內(nèi)選一段作為代表該計(jì)算機(jī)病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對(duì)應(yīng)的計(jì)算機(jī)病毒檢查出來。選這種串做為計(jì)算機(jī)病毒代碼庫的特征串就是不合適的。

三、計(jì)算機(jī)病毒防治

(一)設(shè)制防火墻，抵御病毒入侵。

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

(二)設(shè)制局域網(wǎng)中的地址綁定。

地址綁定是目前采用最多的方式之一，如常見的端口綁定、lP地址與MAC綁定、動(dòng)態(tài)綁定、靜態(tài)綁定等。其最終目的就是要確定用戶的唯一性，從而實(shí)現(xiàn)對(duì)用戶的管理。一是基于防火墻的口地址與MAC地址綁定。首先做好整個(gè)局域網(wǎng)終端用戶計(jì)算機(jī)的命名，指定IP地址，可以預(yù)先確定一個(gè)用戶計(jì)算機(jī)的命名規(guī)則，統(tǒng)一命名計(jì)算機(jī)，并給定lP地址。其次統(tǒng)計(jì)每個(gè)終端機(jī)器網(wǎng)卡的MAC地址，建立IP地址與MAC地址對(duì)應(yīng)表。最后將IP地址與MAC地址綁定。二是基于交換機(jī)的MAC地址與端口綁定。交換機(jī)的MAC地址與墻口綁定的目的是，終端用戶如果擅自改動(dòng)本機(jī)網(wǎng)卡的MAC地址，該機(jī)器的網(wǎng)絡(luò)訪問將因其MAC地址被交換機(jī)認(rèn)定為非法而無法實(shí)現(xiàn)，自然也就不會(huì)對(duì)局域網(wǎng)造成干擾了。

總之，計(jì)算機(jī)病毒防治工作，最重要的是防治體系的建設(shè)和制度的建立。計(jì)算機(jī)病毒防治制度是防治體系中每個(gè)主體都必須的行為規(guī)程，沒有制度，防治體系就不可能很好地運(yùn)作，就不可能達(dá)到預(yù)期的效果。