計算機病毒的實用防范

趙德峰，侯秀梅

(1.哈爾濱威克科技股份有限公司，哈爾濱150090;2.黑龍江省教育學院，哈爾濱150080)

一、現象

在當年Win98的時候，中病毒的主要現象多是CPU占用率100%，現在的病毒木馬似乎不太傾向于弱破壞性行為，大部分都看重商業性。目前，主要存在的病毒類型為各種盜號的木馬、網馬、外掛及各種D.O.S程序(拒絕服務攻擊)，以及D.D.O.S程序(分布式拒絕服務攻擊)，另有一些僵尸網絡或利用操作系統漏洞的蠕蟲病毒等。下面，筆者將平時積累的知識與大家分享，共同預防這種在大家電腦中或有或無的一種程序病毒。

首先，大家接觸病毒一般是通過現象來感知的。我們就從大家的主觀感受來直觀地了解一下病毒。當你的電腦出現如下幾種癥狀的時候，它就有可能中病毒了:

1.電腦運行比平常遲鈍，單一程序CPU占用過高。

2.程序載入時間比平常久。

3.對一個簡單的工作，磁盤似乎花了比預期長的時間。

4.不尋常的錯誤信息出現或程序不能運行。

5.當你沒有存取磁盤動作時，磁盤指示燈卻經常閃爍。

2)對晉元莊路口與阜石路路口之間的行人過街，其信號燈放行時序與下游阜石路路口東西直行相位相同，此時南北方向車輛因處于排隊狀態，因此行人過街安全性得到保證；同時當南北向車流獲得通行權，行人過街處于紅燈狀態，因此減緩了行人過街對直行車輛造成的影響.

6.提示系統內存不足。

7.磁盤可利用的空間突然減少，磁盤內出現各種有規則或無規則的文件。

8.可執行程序的大小改變。

9.磁盤扇區標記為壞簇的方式把磁盤隱藏起來，磁盤壞簇會莫名其妙地增多。

10.網絡流量異常，無法上網。

11.內存中增加來路不明的常駐程序。

13.彈出大量非允許的廣告窗口，瀏覽器主頁被劫持。

14.文件名稱、擴展名、日期、屬性等數據更改。

15.計算機外設出現異常，如鍵盤失靈，音箱發出怪聲，光驅反復彈出。

16.死機或者系統無原因重啟。

17.出現一些異常的畫面或聲音。

當然，異常現象還不止以上種種，這些現象的出現也并不代表系統內肯定有病毒，但并不排除系統存在病毒的可能，仍需進一步檢查。

二、分類

知道了表象后，我們再來了解一下引起這些現象的罪魁禍首的稱呼是什么，它們是怎樣被分類的。

計算機病毒存在的理論依據來自于馮·諾依曼結構及信息共享，馮·諾依曼結構的計算機允許程序及系統自我復制，因其與生物學病毒一樣都具有傳染性、流行性以及針對性等特征，因此，最初的計算機病毒的名稱就是從生物學借用過來的。從廣義上來說，我們把能夠引起計算機故障、破壞計算機數據的程序統稱為計算機病毒。

病毒的種類很多，根據不同的劃分條件，有如下五種分類:

1.按照計算機病毒攻擊的系統可分為攻擊DOS系統的病毒、攻擊Windows系統的病毒、攻擊UNIX系統的病毒、攻擊OS/2系統的病毒、攻擊嵌入式操作系統的病毒。

2.按照計算機病毒攻擊的機型可分為攻擊微型計算機的病毒、攻擊小型機的計算機病毒、攻擊工作站的計算機病毒、攻擊便攜式電子設備的病毒。

3.按照計算機病毒的鏈結方式可分為源碼型病毒、入侵型病毒、外殼型病毒、操作系統型病毒。

4.按照計算病毒危害程度可分為良性計算機病毒、惡性計算機病毒、中性計算機病毒。

5.按照寄生方式可分為引導型病毒、文件型病毒、混合型病毒。

由病毒的表象知道了什么是病毒以及病毒的分類，這些還遠遠不夠，以上只是讓大家了解的基礎知識，這些并不重要，重要的是在實際生活中如何防范病毒，如何在中毒后采取措施殺毒，恢復系統。

從筆者的個人觀點來看，病毒狀態可分為靜態與動態、活動與滅活。靜態是指其存儲在各種存儲介質中并未運行;動態就是指其被激活條件激活，存在于內存中;殺毒就是針對病毒對系統的改動進行逆向操作，并結束內存中病毒的進程及刪除存儲介質中病毒的本體。對于蠕蟲類的感染型病毒會插入到可執行文件中，這樣還包括對可執行文件的還原處理。

手動查殺病毒的首要問題是發現病毒，如何發現病毒文件呢?我們可以從進程或模塊、服務、驅動、端口，以及他們之間的關聯關系入手，直觀的方法是可以查看文件的靜態屬性、文件排查、位置、文件名、大小、修改或創建時間、其他屬性，這樣我們就可以找到一些可疑的文件。其次，我們需要進一步查看進程映象、可疑文件、相關運行支撐文件(DLL)、相關數據文件記錄、可疑文件對系統的修改痕跡、可疑的網絡行為及流量，將病毒找到。再次，找到病毒后，關閉病毒進程、終止服務，刪除相應的文件、注冊表啟動項等。

三、預防

當然一般的計算機用戶，對于計算機病毒不能像我們描述的那樣一步一步手動查殺，有些感染型病毒也不可能手動處理，所以，對于病毒的預防與中毒后系統恢復就至關重要。.那么我們要如何預防病毒呢?

1.未雨綢繆。病毒的分析試驗都是在虛擬機里進行的，但有時也會誤操作，直接在現用系統里不小心運行了，這就相當于大家對于網絡傳過來的程序不小心雙擊運行之后，就意識到自己中了病毒。那么，遇到這種情況，我們如何快速恢復呢?這就需要大家學會經常備份系統(例如裝完系統，全部硬件驅動都裝完后用ghost備份，裝完常用軟件之后再備份)，也可以在沒有虛擬機的情況下想運行一個未知的程序的時候提前備份，如有異常就直接還原回備份時的狀態，或直接用影子系統(但不推薦影子系統，有的病毒是可以穿透影子系統的)，把重要的文檔保存在非系統分區，這樣在系統受到破壞或不能啟動的時候，我們可以借助啟動光盤或者windows PE(Windows預安裝環境)上的GHOST來進行還原。應用的PE主要有硬盤安裝版與U盤版，這里推薦老毛桃PE(相關下載網址http://www.laomaotao.net)。一鍵還原軟件推薦雨林木風的OneKeyGhost(相關下載地址http://onekey.cc/)。

2.選擇一款占用資源小、查殺率高，最好有主動防御功能的殺毒軟件并及時更新病毒庫。我們日常安裝殺毒軟件是對已知病毒的特征碼進行查殺，對于未知的病毒或者黑客做過免殺的木馬，有沒有殺毒軟件差別不大。所以，病毒庫的更新要及時。這里推薦有一定的電腦知識，會手動查殺的用戶選用卡巴6.0單機版+SSM(System Safety Monitor)，配合的方式詳見來自于 http://baike.baidu.com/view/269217.htm的介紹。其實對系統有一定了解的用戶完全可以只用SSM，只不過應用的策略要比普通用戶更嚴格些。其他用戶可以選用卡巴6.0互聯網安全套裝+360安全衛士，相比于卡巴2012占用資源少一些。對于電腦配置差一些，無網上購物習慣，對病毒木馬不在意的朋友，推薦不安裝殺毒軟件，一旦發現異常或中毒情況，直接還原系統。

3.關閉磁盤的自動播放。其操作程序是:開始＞運行＞gpedit.msc＞計算機配置＞管理模板＞系統＞在右側找到“關閉自動播放”＞雙擊＞選擇“己啟用”。有條件的話，可以對本地硬盤的所有盤符做一次免疫。下載地址http://www.antiyfx.com/download/aimmunity.exe ，以防止中蠕蟲后GHOST還原后雙擊其他盤符又中毒的悲劇發生。如果確定硬盤的其他盤符的EXE文件都被感染之后，可以先還原系統盤，然后不運行其他盤符程序，下載殺毒軟件對其他盤符進行查殺，也可以直接用U盤或光盤PE啟動查殺。

4.不輕易運行聊天軟件上陌生人傳來的大小在10K－600K左右的圖片或可執行文件，也可以上傳到https://www.virustotal.com/zh－cn/進行查詢，此網站會用常用的 42種國內外殺毒軟件進行在線查毒。還有就是不要輕易點擊陌生人發過來的網址，類似于%20%的網址更要慎重。經常關注攝像頭的狀態，不用攝像頭時可以在設備管理器上將它停用，基本上隨便一個木馬程序就可以監控你的視頻與音頻設備。

5.網購時要小心釣魚網站，推薦使用360安全瀏覽器。對于淘寶用戶如旺旺不在線，反而要求QQ上線看圖片，傳壓縮包要格外小心，對于這種社會工程學(一種通過針對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段)，大家要格外注意，一切免殺的木馬、網馬都是死物，社會工程學是利用大家的各種心理來實現相應的目的。

6.打好系統補丁，防止病毒利用系統漏洞進行攻擊，例如蠕蟲及大多數網馬就是利用系統漏洞在網絡上傳播的。

7.從提高安全意識開始，了解各類威脅的存在方式。特別關注來自身邊和內部局域網的威脅。對于公用電腦，盡量少使用網上銀行登錄或進行要求安全性比較高的業務。如電腦借與他人，也盡量在借出之前備份，用完之后再還原。