荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: xhjx (我要好好爱你), 信区: Virus
标  题: 认清病毒真面目(下)--危害及防治
发信站: 荔园晨风BBS站 (Sat Jan 19 15:33:47 2002), 站内信件

  第五步 病毒的危害

  病毒的危害,小到个人,大到全世界,凡是在使用电脑的人无一不在受其困扰
。对于那些侥幸未受病毒骚扰的人,我想在这里事先给你敲敲警钟,希望没有吓坏
你。劝诫你,对于计算机病毒,最好还是能防患于未然!

  最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的《
P1的青春》一书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并
称之为计算机病毒。

  让我们来看看病毒曾经做过的恶事!

  自从1946年第一台冯-诺依曼型计算机ENIAC出世以来,计算机已被应用到人类
社会的各个领域。然而,1988年发生在美国的"蠕虫病毒"事件,给计算机技术的发
展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无
恶意,但在当时,"蠕虫"在INTERNET上大肆传染,使得数千台连网的计算机停止运
行,并造成巨额损失,成为一时的舆论焦点。详情如下:

  1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23
岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。在几小时内导致因特
网堵塞。这个网络连接着大学、研究机关的155000台计算机,使网络堵塞,运行迟
缓。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了
人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。


  1988年下半年,我国在统计局系统首次发现了"小球"病毒,它对统计系统影响
极大。最近的CIH病毒,美丽杀病毒等等都在全世界范围内造成了很大的经济和社会
损失。

  在国内,最初引起人们注意的病毒是80年代末出现的"黑色星期五","米氏病
毒","小球病毒"等。因当时软件种类不多,用户之间的软件交流较为频繁且反病
毒软件并不普及,造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病
毒,使人们对病毒的认识更加深了一步。

  可以看到,随着计算机和因特网的日益普及,计算机病毒和崩溃,重要数据遭
到破坏和丢失,会造成社会财富的巨大浪费,甚至会造成全人类的灾难。

  第六步 病毒的症状

  电脑病毒发作都会有哪些症状呢?

  电脑染上病毒后,如果没有发作,是很难觉察到的。但病毒发作时就很容易感
觉出来:

  有时电脑的工作会很不正常;

  有时会莫名其妙的死机;

  有时会突然重新启动;

  有时程序会干脆运行不了;

  有的病毒发作时满屏幕会下雨,有的屏幕上会出现毛毛虫等,甚至在屏幕上出
现对话框,这些病毒发作时通常会破坏文件,是非常危险的,反正只要电脑工作不
正常,就有可能是染上了病毒。病毒所带来的危害更是不言而喻了。

  而且,以前人们一直以为,病毒只能破坏软件,对硬件毫无办法,可是CIH病
毒打破了这个神话,因为它竟然在某种情况下可以破坏硬件!

  电脑病毒和别的程序一样,它也是人编写出来的。既然病毒也是人编的程序,
那就会有办法来对付它。最重要的是采取各种安全措施预防病毒,不给病毒以可乘
之机。另外,就是使用各种杀毒程序了。它们可以把病毒杀死,从电脑中清除出去


  第七步 病毒的防治策略

  计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒
的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

  “防毒”——是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算
机。

  “查毒”——是指对于确定的环境,能够准确地报出病毒名称,该环境包括,
内存、文件、引导区(含主导区)、网络等。

  “解毒”——是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特
性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存
、引导区(含主引导区)、可执行文件、文档文件、网络等。

  防毒能力——是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可
以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网
(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传
输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒
;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作
站,必要时还要能够注销工作站,隔离病毒源。

  查毒能力——是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计
算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病
毒的能力应由查毒率和误报率来评判。

  解毒能力——是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能
力;解毒能力应用解毒率来评判。

  第八步 病毒的检测

  想要知道自己的计算机中是否染有病毒,最简单的方法是用较新的防病毒软件
对磁盘进行全面的检测。但防病毒软件对于病毒来讲,总是后发制人。如何能够及
早地发现新病毒呢?

  用户可做以下简单判断:无论如何高明的病毒,在其侵入系统后总会留下一些
"蛛丝马迹"。

  首先应注意内存情况,绝大部分的病毒是要驻留内存的。对于DOS用户可用C盘
启动机器,然后用"MEM"命令查看全部基本内存是否为640K(因为大多数引导型病
毒驻留内存时会更改此数)。如果有病毒可能会被改为638K,637K,有些机器在正
常情况下639K亦是正常的(如某些COMPAQ机)。还应注意被占用的内存数是否无故
减少。

  其次应注意常用的可执行文件(如COMMAND.COM)的字节数。绝大多数的病毒在
对文件进行传染后会使文件的长度增加。在查看文件字节数时应首先用干净系统盘
启动。

  对于软盘,则应注意是否无故出现坏块(有些病毒会在盘上做坏簇标记,以便
将其自身部分隐藏其中)。其他如出现软件运行速度变慢(磁盘读盘速度影响除外
),输出端口异常等现象都有可能是病毒造成的。最准确的方法是查看中断向量及
引导扇区是否被无故改变,当然这需要对系统及磁盘格式有一定的了解。

  检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法, 这些
方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。

  特征代码法

  特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特
征代码法是检测已知病毒的最简单、开销最小的方法。

  特征代码法的实现步骤如下: 采集已知病毒样本,病毒如果既感染COM文件,
又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 在病毒
样本中,抽取特征代码。

  依据如下原则:抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽
取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的
空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增
加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减
少空间与时间开销。 在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种
样本共有的代码。将特征代码纳入病毒数据库。

  打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特
征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被
查文件中患有何种病毒。

  采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本
,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病
毒,自然无法知道其特征代码,因而无法去检测这些新病毒。

  特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据
检测结果,可做解毒处理。

  其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网
络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。

  其特点:

  A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须
对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得
十分可观。此类工具检测的高速性,将变得日益困难。

  B.误报警率低。

  C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认
为多态性病毒是病毒特征代码法的索命者。

  D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,
隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检
查一个虚假的"好文件",而不能报警,被隐蔽性病毒所蒙骗。

  校验和法

  将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中
保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校
验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验
和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除
了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。

  这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,
不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内
容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会
影响文件的运行速度。

  病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,
又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,
不是最好的方法。

  这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和
法都会误报警。

  校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中
的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。

  运用校验和法查病毒采用三种方式:

  ①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验
和,将校验和值写入被查文件中或检测工具中,而后进行比较。

  ②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入
文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序
的自检测。

  ③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用
程序内部或别的文件中预先保存的校验和。

  校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现


  其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不
能对付隐蔽型病毒。

  行为监测法

  利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒
多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中
,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报
警。

  这些做为监测病毒的行为特征如下:

  A.占有INT 13H 所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动
时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会
占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT
13H功能,在其中放置病毒所需的代码。

  B.改DOS系统为数据区的内存总量 病毒常驻内存后,为了防止DOS系统将其覆
盖,必须修改系统内存总量。

  C.对COM、EXE文件做写入动作 病毒要感染,必须写COM、EXE文件。

  D.病毒程序与宿主程序的切换 染毒程序运行中,先运行病毒,而后执行宿主
程序。在两者切换时,有许多特征行为。 行为监测法的长处:可发现未知病毒、
可相当准确地预报未知的多数病毒。

  行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。

  软件模拟法

  多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因
为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比
较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性
病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。



[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店