張鵬 劉鳳杰

(1.天津市院士科技活動中心，天津300041;2.天津市科學技術信息研究所，天津300074)

摘要：計算機的單體運行與計算機的網絡運行，都要面臨計算機病毒的危害。如何提高計算機對計算機病毒的免疫性，首先要了解計算機病毒的起源和它的工作原理，其次是對計算機病毒的傳播方式進行分析，在得出計算機病毒的共性時有針對性的對計算機病毒進行防治。最后是提高操作者的計算機病毒的防范意識，制定出一系列的具體防范制度，并將其真正將防范制度應用到使用中。在杜絕計算機病毒后，讓計算機及計算機網絡為人類創(chuàng)造出更多的價值。

關鍵詞：計算機病毒；計算機網絡技術；計算機網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)15-3561-03

計算機的誕生和發(fā)展促進了人類社會的進步和繁榮，作為信息科學的載體和核心，計算機及網絡科學在知識時代扮演了重要的角色。計算機及網絡不但改變了我們的生活方式，而且它以獨特的高效、海量、快捷、無距離的工作魅力幾乎滲透到了大部分、企事業(yè)單位的各項業(yè)務處理中。以方便快捷地共享信息，高效先進地協(xié)同工作給我們的工作帶來了一個全新時代，但所有的事情都會有兩面性，伴隨著高效工作而來的就是計算機及網絡的安全問題。計算機及網絡帶來了簡單高效的工作創(chuàng)造了豐厚的經費效益，但也在各個單位工作安全的問題上埋下了一個個重磅炸彈，使得很多單位為此付出了慘痛的經濟代價。如何將不利一面降底到最小，而把有利的一面充分利用好，為我們的工作做好服務？我們面臨的是怎樣將這把雙刃劍便成一把有利的單刃劍。

1計算機病毒定意及介紹的定意

“計算機病毒”為什么叫做病毒。首先，與醫(yī)學上的“病毒”不同，它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制具有特殊功能的程序。其能通過某種途徑潛伏在計算機存儲介質(或程序)里,當達到某種條件時即被激活,它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染它們，對計算機資源進行破壞的這樣一組程序或指令集合。1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼

在電腦日益普及的今天，人們通過計算機網絡，互相傳遞文件、信件，這樣給病毒的傳播速度又加快了；因為資源共享，人們經常在網上下載免費、共享軟件，病毒也難免會夾在其中。計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產物。其產生的過程可分為：病毒程序設計--計算機病毒全是由人為設計成的計算機程序；傳播--病毒具有把自身復制到其他程序中的特性，它會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺機子上迅速擴散，其中的大量文件（一般是可執(zhí)行文件）會被感染，而被感染的文件又成了新的傳染源，再與其他計算機進行數(shù)據(jù)交換或通過網絡接觸，病毒會繼續(xù)進行傳染；隱蔽——病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經過代碼分析，病毒程序與正常程序是不容易區(qū)別，所以病毒得以在用戶沒有察覺的情況下擴散到上百萬臺計算機中。大部分的病毒的代碼之所以設計得非常短小，也是為了隱藏，病毒一般只有幾百或1k字節(jié)，而PC機對DOS文件的存取速度可達每秒幾百KB以上，所以病毒轉瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中不易被察覺；潛伏--大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊。只有這樣它才可進行廣泛地傳播；觸發(fā)——任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應用程序產生程度不同的影響，輕者會降低計算機工作效率占用系統(tǒng)資源，重者可導致系統(tǒng)崩潰。

2病毒大致的幾種分類形式

根據(jù)計算機感染病毒后所帶來的破壞特定共性來分析，我們可以按病毒的破壞程度來分為以下幾種：良性病毒——當病毒入侵到計算機后目的不是對計算機操作系統(tǒng)進行徹底破壞，只會在系統(tǒng)運行時強行使計算機發(fā)出報警或在操作過程中出現(xiàn)一些特殊提示，也有一些病毒會占用大量的硬盤空間。惡性病毒——對計算機操作軟件或操作平臺系統(tǒng)造成干擾、竊取信息（盜取密碼）、修改系統(tǒng)信息，系統(tǒng)損壞后只需將裝系統(tǒng)被損壞的部分重新安裝后即可恢復，是不會造成硬件損壞、數(shù)據(jù)丟失等嚴重后果的病毒；極惡性病毒——一但感染上這類病毒你的系統(tǒng)就要徹底崩潰，根本無法正常啟動，硬盤中的數(shù)據(jù)也可能隨之不能獲取，輕一點的還只是刪除系統(tǒng)文件和應用程序等；災難性病毒——這類病毒一般是破壞磁盤的引導扇區(qū)文件、修改文件分配表和硬盤分區(qū)表，造成系統(tǒng)根本無法啟動，有時甚至會格式化或鎖死你的硬盤，使你無法使用硬盤。如果一旦染上這類病毒，系統(tǒng)就很難恢復了，保留在硬盤中的數(shù)據(jù)也就很難獲取了，所造成的損失是非常巨大的，它不僅對軟件造成破壞，更直接對硬盤、主板的BIOS等硬件造成破壞。

根據(jù)計算機病毒前綴特性大體可以分為：1）系統(tǒng)病毒——前綴為Win32、PE等，這些病毒一般都有特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過這些文件進行傳播。2）蠕蟲病毒——前綴是Worm，這種病毒的公有特性是通過網絡或者系統(tǒng)漏洞進行傳播。3）木馬病毒、黑客病毒——木馬病毒前綴是Trojan，黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過網絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息；黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。4、腳本病毒——前綴是Script，腳本病毒的特性是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼（Script.Redlof）腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）等。5）后門病毒——前綴是Backdoor，該類病毒的公有特性是通過網絡傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。6）破壞性程序病毒——前綴是Harm，這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞。如：格式化C盤（Harm.formatC.f）等。7）玩笑病毒——前綴是Joke，也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶電腦進行任何破壞。8）捆綁機病毒——前綴是Binder，這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。

3病毒的診斷

電腦出故障不一定因為感染病毒才會有的，使用者在計算機的操作過程中也會因為錯誤操作出現(xiàn)各種故障。只有充分地了解兩者的區(qū)別與聯(lián)系，才能作出正確的判斷，在真正病毒來了之時才會及時發(fā)現(xiàn)。計算機系統(tǒng)出現(xiàn)故障之后，一般是先檢測系統(tǒng)的軟故障，而軟故障檢測通常又都是在排除錯誤操作引起后再從病毒檢測開始。如何判斷一臺計算機是否感染了病毒，卻有各種不同的方法。許多用戶是直接利用解毒軟件來查解病毒，并且為了確保檢測的可靠性，經常是連續(xù)使用幾個版本的軟件進行檢測，這樣不僅要花費較長的檢測時間，而且有時也可能會得出錯誤的結論。因為現(xiàn)在大多數(shù)解毒軟件都是以“病毒特征碼”作為查找依據(jù)，只有它們“認識”的病毒才能查找出來并予以清除，也就是說，如果殺毒軟件檢測之后報告“未發(fā)現(xiàn)病毒”，并不一定意味著計算機里就沒有病毒，所以使用者在使用殺毒軟件時要定期更新，為殺毒軟件中的毒庫信息升級。

根據(jù)計算機病毒的共性來查找病毒，也可以快速準確地判斷出計算機是否感染了病毒。具體檢測過程為：檢測系統(tǒng)的引導區(qū)——檢測系統(tǒng)引導區(qū)中是否存在病毒的一個最為簡單有效的方法，備份出引導區(qū)中的數(shù)據(jù)，這樣只要通過比較引導區(qū)數(shù)據(jù)與備份文件的一致性，就可以立即判斷出系統(tǒng)引導區(qū)中是否染有病毒。在c盤根目錄下建立兩個備份文件boot.cps（為隱含文件）和CMOS.cps，它們分別記錄了硬盤分區(qū)表、引導扇區(qū)記錄和CMOS數(shù)據(jù)。這樣以后每次需要檢測引導區(qū)中是否有病毒時，只需執(zhí)行bootsafe程序，它就會自動將系統(tǒng)引導區(qū)數(shù)據(jù)和備份文件進行比較，如果兩者一致，則顯示：drive c：boot sector and partiton table are ok！表明系統(tǒng)引導區(qū)中肯定沒有病毒；否則將會顯示警告信息：boo tsector／portition table was modified.如果不是由于用戶誤操作或程序運行錯誤等原因使引導區(qū)數(shù)據(jù)意外受損，則表明系統(tǒng)引導區(qū)中已感染了病毒；檢測硬盤中的文件——MS—DOS6中提供了一個反病毒程序msav.exe，它不僅可以檢測出一千多種病毒，而且在檢測病毒之后，會自動在所檢測磁盤的根目錄及所有子目錄中各建立一個文檔文件chklist.ms，它分別記錄了每個子目錄中文件的長度、屬性、時間，日期等特征信息；當再次使用msav時，它除了檢測病毒之外，還將所檢測的文件與文檔文件進行比較，一旦文件特征發(fā)生了變化，將給出警告，并顯示文件的具體變化情況，如果是某類文件（如exe、com文件等）的長度莫名其妙地發(fā)生了變化（一般是都增加了若干個字節(jié)），則基本上可以判定這些文件已感染了病毒。由此可見，利用bootsafe和msav程序可以徹底解決“計算機是否感染病毒”這個問題，而且檢測速度比用解毒軟件檢測要快得多（一般只需幾十秒）；內存的檢測與監(jiān)控——在沒有預先建立備份文件和文檔文件的情況下，也可以通過對內存進行檢測和監(jiān)控的方法來發(fā)現(xiàn)病毒。利用DOS的mem命令或pctools都可以查看內存的使用情況，如果經驗測發(fā)現(xiàn)常規(guī)內存不足，則可以斷定內存中已經駐留了病毒。但需要注意的是，有些病毒（如dabi病毒）會使mem命令“誤報”而躲避檢測，所以利用pctools中的system? info命令進行檢測，相對來說更加可靠。在感覺系統(tǒng)運行不正常時，可以用這個方法快速判斷內存中是否存在病毒。綜上所述，只要針對計算機病毒的共性，采用上述程序和步驟對系統(tǒng)引導區(qū)，文件和內存進行全面的檢測，就能準確、迅速地判斷出計算機是否感染了病毒。其實對病毒的診斷主要是以下兩種方法：手工檢測——手工檢測是指通過一些軟件工具（DEBUG.COM、PCTOOLS. EXE、NU.COM、SYSINFO.EXE等提供的功能）進行病毒的檢測。這種方法比較復雜，需要檢測者熟悉機器指令和操作系統(tǒng)，因而無法普及。它的基本過程是利用一些工具軟件，對易遭病毒攻擊和修改的內存及磁盤的有關部分進行檢查，通過和正常情況下的狀態(tài)進行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新病毒。

4防毒

至今為止對待計算機病毒最好的方法就是如何預防。因為網絡的開放性和標準化等結構特點，使計算機信息具有高度共享和易于擴散的特性，導致計算機信息在處理、存儲、傳輸和應用過程中很容易被竊取、篡改和破壞，或者被直接惡意性的刪除使得信息全部丟失造成重大損失。在網絡中有大量的計算機病毒通過Email來發(fā)送，或通過打開網頁將病毒植 入；還有一些通過網頁廣告的超強鏈接植入病毒，關閉一個廣告就會自動打開無數(shù)個新網頁，根本無法進行其它操作。但還有比病毒危害更大的，那就是黑客類軟件(插件)。病毒可以造成系統(tǒng)緩慢、甚至系統(tǒng)癱瘓，但對信息的安全一般不構成威脅；而黑客類軟件(插件)主要就是針對獲取用戶信息而來的，它們一旦進入系統(tǒng)，就可以獲取使用者計算機中的所有信息，如鍵盤記錄獲取用戶名與密碼、通過特殊方式偷窺硬盤資料“千里之堤，潰于蟻穴”。利用被控制的網絡中的一臺機器做跳板，可以對整個網絡進行滲透攻擊，由于計算機受到黑客攻擊(或感染木馬類軟件)后，缺乏基本的保護措施。當今最為有效的防范網絡病毒的就是防火墻，它是設置在內部網絡與Internet之間，實施訪問控制策略的一個或一組系統(tǒng)。它可以實施兩個網絡之間的訪問控制和安全策略，增強內部網絡的安全性。防火墻根據(jù)其在網絡中所處層次和使用技術的不同大體上分為兩類。一類被稱為網絡層防火墻。它以路由器為基礎，采用數(shù)據(jù)包過濾技術，對每個連接請求的源IP地址、目的IP地址及端口進行檢查。在確認了每個源IP地址、目的IP地址、TCP端口后，按照事先設定的判定與過濾規(guī)則來過濾信息網。另一類常見的防火墻是應用代理防火墻。與包過濾防火墻不同，應用代理防火墻是基于軟件的，由代理服務器負責將內部網絡系統(tǒng)與外界隔離開來。它工作在TCP/IP協(xié)議的第二層，即網絡層一般是通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過。網絡層防火墻通常使用簡單的路由器，對每個IP包進行檢查，根據(jù)包的源地址、目標地址、封裝協(xié)議和端口等來決定是否允許此數(shù)據(jù)包通過，這種類型的防火墻以路由器為基礎，采用了一種被稱為數(shù)據(jù)包過濾的技術。包過濾技術的優(yōu)點是簡單實用、實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術只能根據(jù)數(shù)據(jù)包的來源地址和端口等網絡信息進行判斷，不能對網絡更高層的協(xié)議的信息進行分析和處理。因此包過濾防火墻是無法識別基于應用層的惡意侵入?；诖淼姆阑饓z查傳入和傳出的數(shù)據(jù)包，通過自身的復制來傳遞數(shù)據(jù)，防止在受信主機與非受信主機之間直接建立聯(lián)系。應用代理防火墻能夠分析應用層上的協(xié)議、做較復雜的訪問控制，并做精細的注冊和審核。

5提高操作者的防范意識

1）使用者意識：增強操作者的安全防范意識，是防止計算機信息感染病毒和信息失竊的重要環(huán)節(jié)。由于操作人員防范意識過于薄弱，造成許多本可以預防病毒入侵計算機遭到病毒入侵。如，操作計算機時離開崗位不及時退出業(yè)務系統(tǒng)，致使用口令限制用戶登錄失去了意義；操作后沒能及時的將存儲介質從計算機上拔下來；設置開機或登陸口令簡單，不符合規(guī)定或不定期更改；人員調離或兼職后，沒有及時對口令或登陸密碼進行刪除和重設；憑個人關系相互間進行串崗操作，造成一人知多號或多人用一號；沒能定期使用殺毒軟件對計算機進行自檢；對來往的郵件先進行安全檢測再使用；上網時沒有開防火墻；只要自己能使用就安全的觀念很普遍，計算機不進行定期病毒查殺，只會在計算機出現(xiàn)問題時才想起是否感染病毒，結果計算機病毒通過信息交換而導致其他計算機也感染病毒等。日常工作中，大部分操作人員的計算機安全防范意識薄弱，存在僥幸心理。要改變這些情況的發(fā)生首先就要加強對操作者安全意識的增強，從單位內部加強對使用者安全意識的灌輸，定期組織安全意識學習及計算機使用的培訓，加大計算機安全宣傳避免造成不可挽回后果或由此創(chuàng)造的重大經濟損失。

2）制度管理：要根據(jù)本單位的工作特點和需要或特殊崗位計算機的使用制定相應的切實可行的管理制度，不能再用過去的安全管理制度來管理現(xiàn)代化的工作安全問題。要根據(jù)實際工作中計算機安全問題的預防工作制定出切實行的安全制度，即保證了計算機及計算機信息的安全問題又不影響工作效率。而且安全的計算機使用制度，要隨著計算機的發(fā)展及時調整，真正起到預防的作用。特別是，要注重計算機安全管理制度的落實，有了好措施、好辦法并不等于就安全了，制度建設重在落實?？沼型晟频闹贫炔粓?zhí)行、不落實那就形同虛設。

綜合上述觀點，要保證計算機及計算機網絡的安全就要從操作人員的計算機知識、安全意識、管理制度等方面來嚴格要求，把可能造成的錯誤或經濟損失等提前做好預防。讓計算機及計算機網絡只發(fā)揮它有利的一面，來為我們的生活、生產和工作帶來更大的價值。

參考文獻：

[1]劉彥戎.淺析計算機病毒與防治[J].品牌:理論月刊,2011(06).

[2]李新煒.辦公環(huán)境計算機病毒防治淺談[J].電腦知識與技術,2011(34).

[3]張冠群.淺談計算機病毒防治[J].電腦知識與技術,2010(9).