蔣玉芳

摘要： 隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展與計算機應(yīng)用的日益廣泛和深入，由計算機病毒引發(fā)的計算機安全問題也越來越嚴重，給計算機系統(tǒng)帶來了巨大威脅和破壞。本文對計算機病毒的特征、類型、結(jié)構(gòu)、危害、發(fā)展趨勢和防治措施進行分析。

一、引言

計算機網(wǎng)絡(luò)已經(jīng)滲透到社會的各個領(lǐng)域，給人們的生活、生產(chǎn)、經(jīng)濟和軍事等帶來了巨大便利，然而，計算機病毒給計算機網(wǎng)絡(luò)系統(tǒng)的安全運行帶來了極大的威脅和挑戰(zhàn)。因此，研究計算機病毒的防治措施對于防止病毒的破壞、維護數(shù)據(jù)安全和確保系統(tǒng)的正常運行有著重要意義。

二、計算機病毒的危害

（一）計算機病毒的定義

計算機病毒（Computer Virus）實質(zhì)上是一組計算機程序?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》對計算機病毒給出了明確的定義：指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用，并且能夠自我復(fù)制的一組計算機指令或程序代碼。

（二）計算機病毒的特征

1.傳染性。

傳染性是病毒的基本特征，是指病毒程序通過修改磁盤扇區(qū)信息或其他程序而把自身嵌入其中的方法來達到自我繁殖的目的。它是判斷一個程序是否為病毒程序的主要依據(jù)。正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。

2.破壞性。

計算機病毒的破壞性表現(xiàn)在破壞計算機數(shù)據(jù)信息，搶占系統(tǒng)資源，影響計算機運行速度，以及對計算機硬件構(gòu)成破壞，等等。

3.隱蔽性。

計算機病毒具有很強的隱蔽性，不同的病毒隱藏位置各不相同，有的隱藏在扇區(qū)中，有的則以隱藏文件的形式出現(xiàn)，隱蔽性好的病毒很難通過殺毒軟件檢查出來。

4.潛伏性。

一個編寫完善的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，可以長時間隱藏在合法文件中，等待某種條件滿足后，才會被激活并進行感染和破壞活動。

5.可激發(fā)性。

在一定的條件下，通過外界刺激，病毒程序激活，實施感染或進行攻擊，這一特性稱為可激發(fā)性。病毒運行時，檢查預(yù)定條件是否滿足，如果滿足就進行感染或破壞動作，否則繼續(xù)潛伏。如“黑色星期五”只是在某月13日且是星期五才激活病毒進行破壞活動。

6.衍生性。

計算機病毒的衍生性是指對某一個已知病毒程序進行修改而衍生出另外一種病毒程序，即源病毒程序的變種。

（三）計算機病毒的結(jié)構(gòu)

盡管不同類型的計算機病毒的原理和作用不盡相同，但計算機病毒的結(jié)構(gòu)基本相似，一般由以下三個模塊組成。

1.引導(dǎo)模塊。

當被感染的磁盤、應(yīng)用程序開始工作時，病毒的引導(dǎo)模塊將病毒由外存引入內(nèi)存，并使病毒程序成為獨立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進入等待狀態(tài)。

2.傳染模塊。

這部分程序主要負責捕捉傳染的條件和傳染的對象，在保證被傳染程序可正常運行的情況下完成計算機病毒的復(fù)制傳播任務(wù)。

3.破壞與表現(xiàn)模塊。

破壞與表現(xiàn)模塊是病毒程序的核心部分，可以毀壞系統(tǒng)的軟、硬件和磁盤上的數(shù)據(jù)，降低整個系統(tǒng)的運行效率。這部分程序負責捕捉進入破壞程序的條件，在條件滿足時開始進行破壞動作。

（四）計算機病毒的類型

1.按傳染方式分。

（1）引導(dǎo)型病毒。引導(dǎo)型病毒是一組不依賴于操作系統(tǒng)的低級程序組成，這種病毒主要通過修改INT13中斷，實現(xiàn)改寫硬盤引導(dǎo)區(qū)，在系統(tǒng)引導(dǎo)時裝入內(nèi)存，當用受感染的磁盤引導(dǎo)別的系統(tǒng)時便將病毒感染到別的機器上。

（2）文件型病毒。文件型病毒也稱為寄生病毒，最大的特點就是將病毒本身植入文件，使文件增長，達到傳染的目的。當這些被感染的文件運行時，病毒程序也就同時被執(zhí)行。

（3）混合型病毒。混合型病毒具有引導(dǎo)型病毒和文件型病毒兩者的特點，不但能感染和破壞硬盤的引導(dǎo)區(qū)，而且能感染和破壞文件。

（4）宏病毒。此類病毒利用Word提供的宏功能感染文件，通過修改Auto宏的操作運行非法操作，通過修改共用的Normal.dot模板實現(xiàn)傳染，可通過修改注冊表使系統(tǒng)啟動時引導(dǎo)病毒運行，并能夠利用網(wǎng)絡(luò)實現(xiàn)交叉感染。

2.按連接方式分。

（1）源碼型病毒。它攻擊高級語言編寫的源程序，在源程序編譯前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。

（2）入侵型病毒。入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)。這類病毒只攻擊某些特定程序，針對性強，一般情況下難以被發(fā)現(xiàn)，清除起來也較困難。

（3）操作系統(tǒng)型病毒。操作系統(tǒng)型病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性較大。

（4）外殼型病毒。外殼型病毒通常將自身附在正常程序的開頭或結(jié)尾，相當于給正常程序加了個外殼。大部分文件型病毒屬于這一類。

3.按破壞性分。

（1）良性病毒。

（2）惡性病毒。

（3）極惡性病毒。

（4）災(zāi)難性病毒。

（五）計算機病毒的命名

計算機病毒多種多樣，反病毒公司為了方便管理，按照病毒的特性，將病毒按照一定的規(guī)則進行分類命名。病毒命名的一般格式有以下三種。

1.病毒前綴。

是指一個病毒的種類，用來區(qū)別病毒的種族分類。比如常見的蠕蟲病毒的前綴是Worm，木馬病毒的前綴是Trojan。

2.病毒名。

是指一個病毒的家族特征，用來區(qū)別和標識病毒家族。如震蕩波蠕蟲病毒W(wǎng)orm.Sasser。

3.病毒后綴。

是指一個病毒的變種特征，用來區(qū)別具體某個家族病毒的某個變種。一般都采用英文中的26個字母或者數(shù)字來表示，如Worm.Sasser.B就是指震蕩波蠕蟲病毒的變種B，稱為“震蕩波B變種”或“震蕩波變種B”。

下表列出的是常見的計算機病毒類型：

（六）計算機病毒的傳播途徑

進行感染與傳播是計算機病毒的主要任務(wù)，也是計算機病毒程序區(qū)別于其他應(yīng)用程序的重要標志。如同生物病毒，計算機病毒利用宿主隱藏病毒，當宿主運行、調(diào)用時，病毒也同時被激活，接著病毒就可以進行下一步感染，通過宿主的移動，如染毒文件被拷貝到其他計算機上，病毒便實現(xiàn)了傳播。計算機病毒的傳播媒介通常有以下幾種。

1.通過硬盤。

由于帶病毒的硬盤在本地或者移到其他地方使用、維修等被病毒傳染并將其擴散。

2.通過U盤或移動硬盤。

通過使用被病毒程序感染的U盤或移動硬盤，在計算機相互之間拷貝文件，就將一臺計算機的病毒傳播到另一臺。

3.通過光盤。

病毒可藏身于光盤之中，當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。

4.通過網(wǎng)絡(luò)。

這種傳染擴散極快。隨著Internet的發(fā)展，因為資源共享，人們經(jīng)常在網(wǎng)上下載免費共享軟件，許多病毒就藏身其中，當用戶瀏覽或運行了這些帶毒的文件，電腦就會感染病毒。

（七）計算機病毒的危害

病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，降低計算機或網(wǎng)絡(luò)的運行效率，影響系統(tǒng)的正常運行。

1.計算機病毒對獨立計算機系統(tǒng)的危害。

（1）破壞磁盤文件分配表或目錄區(qū)，使用戶磁盤上的信息丟失。

（2）刪除磁盤上的可執(zhí)行文件或系統(tǒng)文件，使系統(tǒng)無法啟動。

（3）修改或破壞文件的數(shù)據(jù)。

（4）病毒程序自身在計算機系統(tǒng)中多次復(fù)制，使存儲空間減少。

（5）刪除或改寫磁盤上的特定扇區(qū)。

（6）對系統(tǒng)中用戶存儲的特定文件進行非法的加密或解密。

（7）感染或破壞壓縮文件，使其在解壓時失敗。

（8）改寫B(tài)IOS中的內(nèi)容，使主板遭到毀滅性的破壞。

（9）程序運行出現(xiàn)異常現(xiàn)象或不合理的結(jié)果。

2.計算機病毒對網(wǎng)絡(luò)的危害。

計算機病毒對網(wǎng)絡(luò)的危害遠比獨立計算機系統(tǒng)危害大得多。

（1）病毒通過“自我復(fù)制”傳染正在運行的系統(tǒng)，與正常的運行程序爭奪系統(tǒng)資源，造成系統(tǒng)癱瘓，并通過網(wǎng)絡(luò)系統(tǒng)侵害與之聯(lián)網(wǎng)的其他計算機。

（2）病毒程序在激活時，能沖毀系統(tǒng)存取器中的大量數(shù)據(jù)，使與之相聯(lián)的計算機用戶和程序和數(shù)據(jù)丟失。

（3）病毒會導(dǎo)致計算機控制的空中交通失靈，衛(wèi)星、導(dǎo)彈失控，自動生產(chǎn)線控制紊亂，電子郵件傳遞混亂，銀行金融系統(tǒng)癱瘓，等等。

（八）計算機病毒的主要來源

1.從事計算機專業(yè)的人員或業(yè)余愛好者搞惡作劇、尋開心制造出的病毒。

2.用于研究或有益目的而設(shè)計的程序，由于某種原因失去控制或產(chǎn)生了令人意想不到的效果。

3.軟件公司及用戶為保護自己的軟件被非法復(fù)制而采取的報復(fù)性懲罰措施。

4.旨在攻擊和摧毀計算機信息系統(tǒng)而制造的病毒，蓄意進行破壞。

（九）計算機病毒的發(fā)展趨勢

隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，大量病毒不斷涌現(xiàn)，其編程技術(shù)手段越來越高，隱蔽性、欺騙性越來越強，不斷朝著對抗反病毒手段的方向發(fā)展，在計算機用戶毫無覺察的情況下破壞計算機系統(tǒng)。由于計算機軟件的脆弱性與互聯(lián)網(wǎng)的開放性，我們將與病毒長期共存。

1.綜合利用多種編程新技術(shù)的病毒將成為主流。

病毒為達到目的不斷采用各種新技術(shù)手段，如通過Rootkit技術(shù)和映象劫持技術(shù)隱藏自身的進程、注冊表鍵值，通過插入進程、線程避免被殺毒軟件查殺；通過還原系統(tǒng)SSDT HOOK和還原其他內(nèi)核HOOK技術(shù)來破壞反病毒軟件，等等。未來的計算機病毒將綜合利用各種編程新技術(shù)，使得查殺難度更大。

2.病毒將全面進入驅(qū)動級。

目前，大部分主流病毒技術(shù)進入了驅(qū)動級，病毒已經(jīng)不再一味逃避殺毒軟件追殺，而是通過生成驅(qū)動程序，與殺毒軟件爭搶系統(tǒng)驅(qū)動的控制權(quán)限，之后通過修改SSDT表等技術(shù)實現(xiàn)WINDOWS API HOOK，轉(zhuǎn)而控制殺毒軟件，從而使得殺毒軟件監(jiān)控功能失效。

3.“病毒生產(chǎn)機”軟件技術(shù)不斷發(fā)展。

目前，國際上已有多種“病毒生產(chǎn)機”軟件，不法分子利用這種“病毒生產(chǎn)機”軟件可不用絞盡腦汁去編程序，便能輕易地自動生產(chǎn)出大量的新病毒。這些病毒的主體構(gòu)造和原理基本相同，但是病毒代碼長度各不相同，自我加密、解密的密鑰也不相同，原文件頭重要參數(shù)的保存地址不同，病毒的發(fā)作條件和現(xiàn)象不同，極大地增加了殺毒軟件查殺的難度。國內(nèi)已發(fā)現(xiàn)的“病毒生產(chǎn)機”有G2、IVP、VCL、CLME等。

三、計算機病毒的防治措施

計算機病毒表現(xiàn)出的眾多新特征和發(fā)展趨勢表明，目前我國計算機網(wǎng)絡(luò)安全形勢仍然十分嚴峻，需要不斷地發(fā)展更加先進的計算機反病毒技術(shù)，才能為電腦和網(wǎng)絡(luò)用戶提供切實的安全保障。

（一）計算機病毒的防治策略

1.防毒。

是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計算機。防毒的重點是控制病毒的傳染。通過采取防毒措施，準確、實時監(jiān)測預(yù)警各種方式的病毒感染；在病毒侵入系統(tǒng)時發(fā)出警報，即時清除其中的病毒或隔離、刪除染毒文件。

2.查毒。

通過查毒發(fā)現(xiàn)計算機系統(tǒng)是否感染病毒，并確定病毒名稱，查找出病毒的來源。

3.解毒。

是指根據(jù)不同類型病毒，按照病毒的感染特性，對感染對象進行修改，從感染對象中清除病毒，恢復(fù)被病毒感染前的原始信息。

防止病毒侵入遠比病毒入侵后再去發(fā)現(xiàn)和消除它更重要。被動消除病毒只能治標，只有主動預(yù)防病毒才是防治病毒的根本。原則上，計算機病毒防治應(yīng)采取“主動預(yù)防為主，被動處理結(jié)合”的策略。

（二）個人計算機的防護措施

計算機用戶應(yīng)當增強安全意識，多學習了解計算機和網(wǎng)絡(luò)安全防范知識和技術(shù)，在日常操作中多注意防范，這樣可以大大降低計算機感染病毒的概率。

1.安裝可靠的殺毒軟件和防火墻。

殺毒軟件種類很多，國內(nèi)有瑞星、江民、金山等，國外有卡巴斯基等，盡量只選擇安裝一種，因為各種殺毒軟件之間可能互不兼容。開啟殺毒軟件的實時監(jiān)控功能，及時升級更新病毒庫，定時對計算機進行病毒查殺。

2.養(yǎng)成良好的上網(wǎng)和下載習慣。

上網(wǎng)瀏覽時，不要隨便點擊訪問不安全陌生網(wǎng)站，以免遭到病毒侵害。如需下載軟件或文檔盡量去一些大的、著名的、可靠的正規(guī)網(wǎng)站，下載后不要直接打開或運行，要先用殺毒軟件進行殺毒后再運行；及時下載最新系統(tǒng)安全漏洞補丁，防止黑客或病毒利用系統(tǒng)漏洞對計算機進行攻擊破壞。

3.備份系統(tǒng)及重要文件資料，為系統(tǒng)做好備份。

一旦系統(tǒng)崩潰，就可以迅速恢復(fù)。硬盤各分區(qū)應(yīng)有明確分工，系統(tǒng)分區(qū)C盤（包括桌面、我的文檔）只安裝軟件，不要存放各種重要的數(shù)據(jù)文件，其他分區(qū)可以存放文件，否則，一旦系統(tǒng)崩潰重新安裝系統(tǒng)后，C盤上原先的數(shù)據(jù)資料都將被覆蓋。另外，定期做好重要資料的備份，各種有價值的文件應(yīng)刻錄成光盤，以免受病毒侵擾。

（三）完善計算機病毒防治方面相關(guān)的法律法規(guī)

在防范計算機病毒方面應(yīng)充分發(fā)揮法律法規(guī)的約束作用，目前我國已經(jīng)制定了《中華人民共和國計算機信息系統(tǒng)安全保護條例》等相關(guān)法律法規(guī)，此外《中華人民共和國刑法》也對危害網(wǎng)絡(luò)安全的行為作出了相關(guān)規(guī)定。

（四）加強IT行業(yè)從業(yè)人員的職業(yè)道德教育

除了從技術(shù)層面來加以防治外，加強對計算機從業(yè)人員的職業(yè)道德教育顯得極其重要。如果他們職業(yè)道德高尚，就不會對網(wǎng)絡(luò)安全構(gòu)成威脅，相反可以在計算機領(lǐng)域作出更加積極的貢獻。

四、結(jié)語

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機病毒的危害與日俱增。因此，加強計算機病毒的防治、確保計算機信息安全是當前一項重要、迫切的研究課題。我們一方面要掌握對計算機病毒的防范措施，切實抓好病毒防治工作，另一方面要加強對病毒發(fā)展趨勢的研究，探討科學防治計算機病毒的新策略，真正做到防患于未然。

參考文獻：

［1］劉功申.計算機病毒及其防范技術(shù).清華大學出版社，2008，第一版.

［2］韓蘭勝.計算機病毒原理與防治技術(shù).華中科技大學出版社，2010，第一版.

［3］王倍昌.計算機病毒揭密與對抗.電子工業(yè)出版社，2011，第一版.

［4］肖軍模，周海剛，劉軍.網(wǎng)絡(luò)信息對抗.機械工業(yè)出版社，2011，第二版.