8.5 认识与防治计算机病毒
计算机所做的一切工作都离不开程序,计算机病毒是计算机系统的克星,计算机感染上病毒后,轻则占用计算机存储空间,重则破坏计算机系统资源,造成死机甚至整个计算机系统瘫痪。
8.5.1 计算机病毒的概念
随着微型计算机的普及和深入,计算机病毒的危害越来越大。尤其是计算机网络的发展与普遍应用,使防范计算机网络病毒,保证网络正常运行成为一个非常重要而紧迫的任务。
那么,何谓计算机病毒呢?计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:“指编制或者在计算机程序中插入的,破坏计算机功能或者破坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
目前常见的计算机病毒都是由至少两部分组成:传染部分和表现、破坏部分。计算机病毒的传染模块也称为计算机病毒的载体模块,即它是计算机病毒破坏及表现模块的载体。计算机病毒的破坏或表现部分是计算机病毒的主体模块。
计算机病毒的传染模块是计算机病毒由一个系统扩散到另一个系统,由一个网络传入另一个网络,由一张软盘传入另一张软盘,由一个系统传入一张软盘的惟一途径。计算机病毒的传染模块担负着计算机病毒的扩散任务,是判断一个程序是否是计算机病毒的首要条件。传染模块一般包括两部分内容:一是计算机病毒的传染条件判断部分;二是计算机病毒的传染部分,这一部分负责将计算机病毒的全部代码链接到攻击目录上。表现或破坏部分又可分为表现及破坏条件判断段和表现及破坏段。8.5.2 计算机病毒的分类
按照计算机病毒的特点及特性,计算机病毒的分类方法有许多种。因此,同一种病毒可能有多种不同的分法。最常见的分类方法是按照寄生方式和传染途径分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,二是文件型病毒。混合型病毒集两种病毒特性于一体。
● 引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容,软盘或硬盘都有可能感染病毒,或者改写硬盘上的分区表。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
● 文件型病毒主要以感染文件扩展名为 .COM,EXE和.OVL等可执行程序为主。它的驻留必须借助于病毒的载体程序,即要运行病毒的载体程序,才能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓,甚至完全无法执行。有些文件遭感染后,一执行就会被删除。
● 混合型病毒综合系统型和文件型病毒的特性,它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒通过这两种方式来感染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种病毒也是最难杀灭的。
● 宏病毒:随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及,病毒家族又出现一种新成员,这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。据美国国家计算机安全协会统计,这位“后起之秀”已占目前全部病毒数量的80%以上。另外,宏病毒还可衍生出各种变种病毒,这种“父生子、子生孙”的传播方式实在让许多系统防不胜防,这也使宏病毒成为威胁计算机系统的“第一杀手”。
8.5.3 计算机感染病毒后的常见特征
计算机病毒主要是靠复制自身来进行传染的,一旦计算机染上病毒或病毒在传播过程中,总会露出一些蛛丝马迹。如果计算机在运行过程中有异常情况,就有可能已经染上病毒。下面一些现象可以作为检测病毒的参考:
● 程序运行速度减慢。
● 文件尺寸增加。
● 出现新的奇怪的文件。
● 可以使用的内存总数降低。
● 出现奇怪的屏幕显示和声音效果。
● 打印出现问题。
● 异常要求用户输入口令。
● 系统不认识磁盘或硬盘不能引导系统等。
● 死机现象增多。
除了通过观察发现计算机病毒外,也可以根据计算机病毒的关键字、程序特征的信息,病毒特征及传染方式、文件长度变化等编制病毒检测程序。目前已有很多自动检查病毒的软件,它们不仅能检查病毒,而且可以清除病毒。
8.5.4 预防与防止病毒侵害的措施
计算机病毒具有很大的危害性,如果等到发现病毒时再采取措施,可能已造成重大损失。作好防范工作非常重要,防范计算机病毒主要可采取以下措施:
● 给计算机加防病毒卡。
● 定期使用最新版本杀病毒软件对计算机进行检查。
● 对硬盘上重要文件,要经常进行备份保存。
● 不随便使用没有经过安全检查的软件。
● 系统盘或其他应用程序盘要加上写保护或做备份。
● 经常检查系统内存,如内存减少,则有可能是病毒作怪。
● 严禁其他人使用计算机,特别是在计算机上玩游戏。
如果发现了计算机病毒,则应立即清除之。清除病毒的方法通常有两种,即人工处理及利用反病毒软件。
如果发现磁盘引导区的记录被破坏,就可以用正确的引导记录覆盖它;如果发现某一文件已经染上了病毒,则可以恢复那个文件的正确备份或消除链接在该文件上的病毒,或者干脆清除该文件等,这些都属于人工处理。清除病毒的人工处理是很重要的,但是,人工处理容易出错,有一定的危险性,如有不慎的误操作将会造成系统数据的损失,不合理的处理方法还可能导致意料不到的后果。
通常,反病毒软件具有对特定种类的病毒进行检测的功能,有的软件可以查出上百种,甚至几千种病毒,并且大部分软件可以同时清除查出来的病毒。另外,利用反病毒软件清除病毒时,一般不会因清除病毒而破坏系统中的正常数据。但是,利用反病毒软件很难处理计算机病毒的某些变种的。8.5.5 使用杀毒软件防范与查杀病毒
病毒清除最常用的办法是用杀病毒软件,如金山毒霸、KVW3000杀毒软件、诺顿杀毒等。下面将介绍这两种杀毒软件的使用。
1. 金山毒霸
金山毒霸2001可查杀超过两万种病毒家族和近百种黑客程序,除传统的病毒外,还能查杀最新的Access,PowerPoint,Word 2000,Java,HTML,VB Script等病毒。具备完善的实时监控(病毒防火墙)功能,支持ZIP,RAR,CAB,ARJ等多种压缩格式,支持E-mail、网络查毒,具有功能强大的定时自动查杀功能,以及增加了的硬盘数据备份功能。
在Windows环境下,用户可以通过多种方式启动金山毒霸杀毒程序:
● 选择“开始”→“所有程序”→“金山毒霸2001”→“金山毒霸2001”命令;
● 通过双击 Windows 桌面上的金山毒霸的快捷方式启动;
● 在资源管理器中,选中金山毒霸目录(默认目录为C:\KAV)下的可执行文件“KAV32.EXE”,按Enter键或双击鼠标左键。
● 选择要检查的文件或目录,单击鼠标右键,在弹出的快捷菜单中选择“金山毒霸”。
通过以上方式都可以打开如图8-32所示的金山毒霸2001杀毒程序“控制中心” 窗口。
在“控制中心”窗口中,用户可以在“请选择查杀目标”列表框中选择需要查杀的驱动器、文件夹或文件目标,单击“查杀病毒”按钮后金山毒霸将自动检查用户选定目标中的文件,并在如图8-33所示的“查杀结果”窗口中显示出当前正在查杀的文件名称以及已经查杀到的病毒信息。
2. KVW3000的使用
KVW3000是基于Windows 95/98/NT/2000平台上的纯32位反病毒软件,是KVW系列软件中的一个产品。具有扫描速度快、识别率高和占用资源少等优点。并且,它在Windows 95/98平台上提供全方位的实时监控功能,全面拦截各种病毒,从根本上避免灾难的发生。
KVW3000可以搜寻和清除数以万计的各种形式的病毒,包括文件型病毒、引导区病毒、特洛伊木马、黑客程序和网络蠕虫等。该软件采用虚拟跟踪技术,可以识别大多数的未知病毒。同时,该软件还可以识别多种压缩软件,如ZIP,ARJ,CAB,LZH和RAR等,也可以识别多种可执行程序的压缩格式,如PKLITE,LZEXE,WWPACK,ASPACK和UPX等,让那些隐藏极深的病毒也不得不原形毕漏。还可以搜寻到夹带在E-mail中的病毒,可以支持FOX Mail,Outlook和Netscape等常见的E-mail软件生成的信箱格式。它在清除病毒时提供备份功能,使清除病毒更安全。它还可以保存搜寻或清除病毒的档案备查。
该软件提供灾难性恢复功能,可以备份和恢复硬盘主引导记录(MBR)和C:盘引导扇区(Boot)。具体使用方法如下:根据软件说明书将KVW3000系统软件安装到本地硬盘上后,通过双击KVW3000图标,打开KVW3000主窗口,如图8-34所示。
通过菜单选择有关的功能即可对A,B,C…Z盘的病毒进行检测或清除。