淺析計算機病毒與防治

蔣玉芳

摘要： 隨著計算機網絡技術的發展與計算機應用的日益廣泛和深入，由計算機病毒引發的計算機安全問題也越來越嚴重，給計算機系統帶來了巨大威脅和破壞。本文對計算機病毒的特征、類型、結構、危害、發展趨勢和防治措施進行分析。

一、引言

計算機網絡已經滲透到社會的各個領域，給人們的生活、生產、經濟和軍事等帶來了巨大便利，然而，計算機病毒給計算機網絡系統的安全運行帶來了極大的威脅和挑戰。因此，研究計算機病毒的防治措施對于防止病毒的破壞、維護數據安全和確保系統的正常運行有著重要意義。

二、計算機病毒的危害

（一）計算機病毒的定義

計算機病毒（Computer Virus）實質上是一組計算機程序。《中華人民共和國計算機信息系統安全保護條例》對計算機病毒給出了明確的定義：指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用，并且能夠自我復制的一組計算機指令或程序代碼。

（二）計算機病毒的特征

1.傳染性。

傳染性是病毒的基本特征，是指病毒程序通過修改磁盤扇區信息或其他程序而把自身嵌入其中的方法來達到自我繁殖的目的。它是判斷一個程序是否為病毒程序的主要依據。正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。

2.破壞性。

計算機病毒的破壞性表現在破壞計算機數據信息，搶占系統資源，影響計算機運行速度，以及對計算機硬件構成破壞，等等。

3.隱蔽性。

計算機病毒具有很強的隱蔽性，不同的病毒隱藏位置各不相同，有的隱藏在扇區中，有的則以隱藏文件的形式出現，隱蔽性好的病毒很難通過殺毒軟件檢查出來。

4.潛伏性。

一個編寫完善的計算機病毒程序，進入系統之后一般不會馬上發作，可以長時間隱藏在合法文件中，等待某種條件滿足后，才會被激活并進行感染和破壞活動。

5.可激發性。

在一定的條件下，通過外界刺激，病毒程序激活，實施感染或進行攻擊，這一特性稱為可激發性。病毒運行時，檢查預定條件是否滿足，如果滿足就進行感染或破壞動作，否則繼續潛伏。如“黑色星期五”只是在某月13日且是星期五才激活病毒進行破壞活動。

6.衍生性。

計算機病毒的衍生性是指對某一個已知病毒程序進行修改而衍生出另外一種病毒程序，即源病毒程序的變種。

（三）計算機病毒的結構

盡管不同類型的計算機病毒的原理和作用不盡相同，但計算機病毒的結構基本相似，一般由以下三個模塊組成。

1.引導模塊。

當被感染的磁盤、應用程序開始工作時，病毒的引導模塊將病毒由外存引入內存，并使病毒程序成為獨立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進入等待狀態。

2.傳染模塊。

這部分程序主要負責捕捉傳染的條件和傳染的對象，在保證被傳染程序可正常運行的情況下完成計算機病毒的復制傳播任務。

3.破壞與表現模塊。

破壞與表現模塊是病毒程序的核心部分，可以毀壞系統的軟、硬件和磁盤上的數據，降低整個系統的運行效率。這部分程序負責捕捉進入破壞程序的條件，在條件滿足時開始進行破壞動作。

（四）計算機病毒的類型

1.按傳染方式分。

（1）引導型病毒。引導型病毒是一組不依賴于操作系統的低級程序組成，這種病毒主要通過修改INT13中斷，實現改寫硬盤引導區，在系統引導時裝入內存，當用受感染的磁盤引導別的系統時便將病毒感染到別的機器上。

（2）文件型病毒。文件型病毒也稱為寄生病毒，最大的特點就是將病毒本身植入文件，使文件增長，達到傳染的目的。當這些被感染的文件運行時，病毒程序也就同時被執行。

（3）混合型病毒?；旌闲筒《揪哂幸龑筒《竞臀募筒《緝烧叩奶攸c，不但能感染和破壞硬盤的引導區，而且能感染和破壞文件。

（4）宏病毒。此類病毒利用Word提供的宏功能感染文件，通過修改Auto宏的操作運行非法操作，通過修改共用的Normal.dot模板實現傳染，可通過修改注冊表使系統啟動時引導病毒運行，并能夠利用網絡實現交叉感染。

2.按連接方式分。

（1）源碼型病毒。它攻擊高級語言編寫的源程序，在源程序編譯前插入其中，并隨源程序一起編譯、連接成可執行文件。

（2）入侵型病毒。入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區。這類病毒只攻擊某些特定程序，針對性強，一般情況下難以被發現，清除起來也較困難。

（3）操作系統型病毒。操作系統型病毒可用其自身部分加入或替代操作系統的部分功能。因其直接感染操作系統，這類病毒的危害性較大。

（4）外殼型病毒。外殼型病毒通常將自身附在正常程序的開頭或結尾，相當于給正常程序加了個外殼。大部分文件型病毒屬于這一類。

3.按破壞性分。

（1）良性病毒。

（2）惡性病毒。

（3）極惡性病毒。

（4）災難性病毒。

（五）計算機病毒的命名

計算機病毒多種多樣，反病毒公司為了方便管理，按照病毒的特性，將病毒按照一定的規則進行分類命名。病毒命名的一般格式有以下三種。

1.病毒前綴。

是指一個病毒的種類，用來區別病毒的種族分類。比如常見的蠕蟲病毒的前綴是Worm，木馬病毒的前綴是Trojan。

2.病毒名。

是指一個病毒的家族特征，用來區別和標識病毒家族。如震蕩波蠕蟲病毒Worm.Sasser。

3.病毒后綴。

是指一個病毒的變種特征，用來區別具體某個家族病毒的某個變種。一般都采用英文中的26個字母或者數字來表示，如Worm.Sasser.B就是指震蕩波蠕蟲病毒的變種B，稱為“震蕩波B變種”或“震蕩波變種B”。

下表列出的是常見的計算機病毒類型：

（六）計算機病毒的傳播途徑

進行感染與傳播是計算機病毒的主要任務，也是計算機病毒程序區別于其他應用程序的重要標志。如同生物病毒，計算機病毒利用宿主隱藏病毒，當宿主運行、調用時，病毒也同時被激活，接著病毒就可以進行下一步感染，通過宿主的移動，如染毒文件被拷貝到其他計算機上，病毒便實現了傳播。計算機病毒的傳播媒介通常有以下幾種。

1.通過硬盤。

由于帶病毒的硬盤在本地或者移到其他地方使用、維修等被病毒傳染并將其擴散。

2.通過U盤或移動硬盤。

通過使用被病毒程序感染的U盤或移動硬盤，在計算機相互之間拷貝文件，就將一臺計算機的病毒傳播到另一臺。

3.通過光盤。

病毒可藏身于光盤之中，當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。

4.通過網絡。

這種傳染擴散極快。隨著Internet的發展，因為資源共享，人們經常在網上下載免費共享軟件，許多病毒就藏身其中，當用戶瀏覽或運行了這些帶毒的文件，電腦就會感染病毒。

（七）計算機病毒的危害

病毒的侵入必將對系統資源構成威脅，降低計算機或網絡的運行效率，影響系統的正常運行。

1.計算機病毒對獨立計算機系統的危害。

（1）破壞磁盤文件分配表或目錄區，使用戶磁盤上的信息丟失。

（2）刪除磁盤上的可執行文件或系統文件，使系統無法啟動。

（3）修改或破壞文件的數據。

（4）病毒程序自身在計算機系統中多次復制，使存儲空間減少。

（5）刪除或改寫磁盤上的特定扇區。

（6）對系統中用戶存儲的特定文件進行非法的加密或解密。

（7）感染或破壞壓縮文件，使其在解壓時失敗。

（8）改寫BIOS中的內容，使主板遭到毀滅性的破壞。

（9）程序運行出現異常現象或不合理的結果。

2.計算機病毒對網絡的危害。

計算機病毒對網絡的危害遠比獨立計算機系統危害大得多。

（1）病毒通過“自我復制”傳染正在運行的系統，與正常的運行程序爭奪系統資源，造成系統癱瘓，并通過網絡系統侵害與之聯網的其他計算機。

（2）病毒程序在激活時，能沖毀系統存取器中的大量數據，使與之相聯的計算機用戶和程序和數據丟失。

（3）病毒會導致計算機控制的空中交通失靈，衛星、導彈失控，自動生產線控制紊亂，電子郵件傳遞混亂，銀行金融系統癱瘓，等等。

（八）計算機病毒的主要來源

1.從事計算機專業的人員或業余愛好者搞惡作劇、尋開心制造出的病毒。

2.用于研究或有益目的而設計的程序，由于某種原因失去控制或產生了令人意想不到的效果。

3.軟件公司及用戶為保護自己的軟件被非法復制而采取的報復性懲罰措施。

4.旨在攻擊和摧毀計算機信息系統而制造的病毒，蓄意進行破壞。

（九）計算機病毒的發展趨勢

隨著計算機網絡的廣泛應用，大量病毒不斷涌現，其編程技術手段越來越高，隱蔽性、欺騙性越來越強，不斷朝著對抗反病毒手段的方向發展，在計算機用戶毫無覺察的情況下破壞計算機系統。由于計算機軟件的脆弱性與互聯網的開放性，我們將與病毒長期共存。

1.綜合利用多種編程新技術的病毒將成為主流。

病毒為達到目的不斷采用各種新技術手段，如通過Rootkit技術和映象劫持技術隱藏自身的進程、注冊表鍵值，通過插入進程、線程避免被殺毒軟件查殺；通過還原系統SSDT HOOK和還原其他內核HOOK技術來破壞反病毒軟件，等等。未來的計算機病毒將綜合利用各種編程新技術，使得查殺難度更大。

2.病毒將全面進入驅動級。

目前，大部分主流病毒技術進入了驅動級，病毒已經不再一味逃避殺毒軟件追殺，而是通過生成驅動程序，與殺毒軟件爭搶系統驅動的控制權限，之后通過修改SSDT表等技術實現WINDOWS API HOOK，轉而控制殺毒軟件，從而使得殺毒軟件監控功能失效。

3.“病毒生產機”軟件技術不斷發展。

目前，國際上已有多種“病毒生產機”軟件，不法分子利用這種“病毒生產機”軟件可不用絞盡腦汁去編程序，便能輕易地自動生產出大量的新病毒。這些病毒的主體構造和原理基本相同，但是病毒代碼長度各不相同，自我加密、解密的密鑰也不相同，原文件頭重要參數的保存地址不同，病毒的發作條件和現象不同，極大地增加了殺毒軟件查殺的難度。國內已發現的“病毒生產機”有G2、IVP、VCL、CLME等。

三、計算機病毒的防治措施

計算機病毒表現出的眾多新特征和發展趨勢表明，目前我國計算機網絡安全形勢仍然十分嚴峻，需要不斷地發展更加先進的計算機反病毒技術，才能為電腦和網絡用戶提供切實的安全保障。

（一）計算機病毒的防治策略

1.防毒。

是指根據系統特性，采取相應的系統安全措施預防病毒侵入計算機。防毒的重點是控制病毒的傳染。通過采取防毒措施，準確、實時監測預警各種方式的病毒感染；在病毒侵入系統時發出警報，即時清除其中的病毒或隔離、刪除染毒文件。

2.查毒。

通過查毒發現計算機系統是否感染病毒，并確定病毒名稱，查找出病毒的來源。

3.解毒。

是指根據不同類型病毒，按照病毒的感染特性，對感染對象進行修改，從感染對象中清除病毒，恢復被病毒感染前的原始信息。

防止病毒侵入遠比病毒入侵后再去發現和消除它更重要。被動消除病毒只能治標，只有主動預防病毒才是防治病毒的根本。原則上，計算機病毒防治應采取“主動預防為主，被動處理結合”的策略。

（二）個人計算機的防護措施

計算機用戶應當增強安全意識，多學習了解計算機和網絡安全防范知識和技術，在日常操作中多注意防范，這樣可以大大降低計算機感染病毒的概率。

1.安裝可靠的殺毒軟件和防火墻。

殺毒軟件種類很多，國內有瑞星、江民、金山等，國外有卡巴斯基等，盡量只選擇安裝一種，因為各種殺毒軟件之間可能互不兼容。開啟殺毒軟件的實時監控功能，及時升級更新病毒庫，定時對計算機進行病毒查殺。

2.養成良好的上網和下載習慣。

上網瀏覽時，不要隨便點擊訪問不安全陌生網站，以免遭到病毒侵害。如需下載軟件或文檔盡量去一些大的、著名的、可靠的正規網站，下載后不要直接打開或運行，要先用殺毒軟件進行殺毒后再運行；及時下載最新系統安全漏洞補丁，防止黑客或病毒利用系統漏洞對計算機進行攻擊破壞。

3.備份系統及重要文件資料，為系統做好備份。

一旦系統崩潰，就可以迅速恢復。硬盤各分區應有明確分工，系統分區C盤（包括桌面、我的文檔）只安裝軟件，不要存放各種重要的數據文件，其他分區可以存放文件，否則，一旦系統崩潰重新安裝系統后，C盤上原先的數據資料都將被覆蓋。另外，定期做好重要資料的備份，各種有價值的文件應刻錄成光盤，以免受病毒侵擾。

（三）完善計算機病毒防治方面相關的法律法規

在防范計算機病毒方面應充分發揮法律法規的約束作用，目前我國已經制定了《中華人民共和國計算機信息系統安全保護條例》等相關法律法規，此外《中華人民共和國刑法》也對危害網絡安全的行為作出了相關規定。

（四）加強IT行業從業人員的職業道德教育

除了從技術層面來加以防治外，加強對計算機從業人員的職業道德教育顯得極其重要。如果他們職業道德高尚，就不會對網絡安全構成威脅，相反可以在計算機領域作出更加積極的貢獻。

四、結語

隨著計算機網絡技術的發展，計算機病毒的危害與日俱增。因此，加強計算機病毒的防治、確保計算機信息安全是當前一項重要、迫切的研究課題。我們一方面要掌握對計算機病毒的防范措施，切實抓好病毒防治工作，另一方面要加強對病毒發展趨勢的研究，探討科學防治計算機病毒的新策略，真正做到防患于未然。

參考文獻：

［1］劉功申.計算機病毒及其防范技術.清華大學出版社，2008，第一版.

［2］韓蘭勝.計算機病毒原理與防治技術.華中科技大學出版社，2010，第一版.

［3］王倍昌.計算機病毒揭密與對抗.電子工業出版社，2011，第一版.

［4］肖軍模，周海剛，劉軍.網絡信息對抗.機械工業出版社，2011，第二版.