没有合适的资源?快使用搜索试试~ 我知道了~
计算机病毒防范的知识
需积分: 6 9 下载量 82 浏览量
2009-06-14
11:32:31
上传
评论
收藏 81KB DOC 举报
温馨提示
试读
19页
计算机病毒计算机病毒计算机病毒计算机病毒
资源详情
资源评论
资源推荐
计算机病毒防范
随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的
关注。随因特网的流行,有些计算机病毒借助网络爆发流行,如 CIH 计算机病毒、“爱虫”
病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大
的损失。
当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破
坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测
在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后
能减少损失。
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机
病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和
数据。
计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传
染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最
大限度地避免各种计算机病毒的传染破坏。
老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护,只能识别出已知的
计算机病毒。新一代的防杀计算机病毒软件则不仅能识别出已知的计算机病毒,在计算机
病毒运行之前发出警报,还能屏蔽掉计算机病毒程序的传染功能和破坏功能,使受感染的
程序可以继续运行(即所谓的带毒运行)。同时还能利用计算机病毒的行为特征,防范未
知计算机病毒的侵扰和破坏。另外,新一代的防杀计算机病毒软件还能实现超前防御,将
系统中可能被计算机病毒利用的资源都加以保护,不给计算机病毒可乘之机。防御是对付
计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除更有效地
保护计算机系统。
计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的
这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时,由于其
工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病
毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软
件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。
当然,如果新出现的计算机病毒不按已知的方式工作,这种新的传染方式又不能被反
病毒软件所识别,那么反病毒软件也无能为力了。这时只能采取两种措施进行保护:第一
是依靠管理上的措施,及早发现疫情,捕捉计算计算机病毒,修复系统。第二是选用功能
更加完善的、具有更强超前防御能力的反病毒软件,尽可能多地堵住能被计算机病毒利用
的系统漏洞。
计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体
系,一切防范措施都将滞后于计算机病毒的危害。
计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实
现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机
病毒防范体系网络。
计算机病毒防范制度是防范体系中每个主体都必须的行为规程,没有制度,防范体系
就不可能很好地运作,就不可能达到预期的效果。必须依照防范体系对防范制度的要求,
结合实际情况,建立符合自身特点防范制度。
计算机病毒的表现现象
1
计算机病毒是客观存在的,客观存在的事物总有它的特性,计算机病毒也不例外。从
实质上说,计算机病毒是一段程序代码,虽然它可能隐藏得很好,但也会留下许多痕迹。
通过对这些蛛丝马迹的判别,我们就能发现计算机病毒的存在了。
根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:
计算机病毒发作前、发作时和发作后的表现现象。
2.2.1 计算机病毒发作前的表现现象
计算机病毒发作前,是指从计算机病毒感染计算机系统,潜伏在系统内开始,一直到
激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是
以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己,在不被发现同时,又自
我复制,以各种手段进行传播。
以下是一些计算机病毒发作前常见的表现现象:
1、平时运行正常的计算机突然经常性无缘无故地死机。
病毒感染了计算机系统后,将自身驻留在系统内并修改了中断处理程序等,引起系统
工作不稳定,造成死机现象发生。
2、操作系统无法正常启动。
关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启
动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载
引导。
3、运行速度明显变慢。
在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,运行同样应用程
序,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源
并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。
4、 以前能正常运行的软件经常发生内存不足的错误。
某个以前能够正常运行的程序,程序启动的时候报系统内存不足,或者使用应用程序
中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间
使得可用内存空间减小。需要注意的是在 Windows 95/98 下,记事本程序所能够编辑的文
本文件不超过 64Kb 字节,如果用“复制/粘贴”操作粘贴一段很大的文字到记事本程序时,
也会报“内存不足,不能完成操作”的错误,但这不是计算机病毒在作怪。
5、 打印和通讯发生异常。
硬件没有更改或损坏的情况下,以前工作正常的打印机,近期发现无法进行打印操作
或打印出来的是乱码。串口设备无法正常工作,比如调制解调器不拨号。这很可能是计算
机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序,使之不能正常工作。
6、 无意中要求对软盘进行写操作。
没有进行任何读、写软盘的操作,操作系统提示软驱中没有插入软盘,或者要求在读
取、复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软
盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时
候创建一个临时文件,也有的安装程序(如 Office 97)对软盘有写的操作。
7、 以前能正常运行的应用程序经常发生死机或者非法错误。
在硬件和操作系统没有进行改动的情况下,以前能够正常运行的应用程序产生非法错
误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身
的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。
8、 系统文件的时间、日期、大小发生变化。
这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏
2
在原始文件的后面,文件大小大多会有所增加,文件的访问和修改日期和时间也会被改成
感染时的时间。尤其是对那些系统文件,绝大多数情况下是不会修改它们的,除非是进行
系统升级或打补丁。对应用程序使用到的数据文件,文件大小和修改日期、时间是可能会
改变的,并不一定是计算机病毒在作怪。
9、 运行 Word,打开 Word 文档后,该文件另存时只能以模板方式保存。
无法另存为一个 DOC 文档,只能保存成模板文档(DOT)。这往往是打开的 Word
文档中感染了 Word 宏病毒的缘故。
10、 磁盘空间迅速减少。
没有安装新的应用程序,而系统可用的可用的磁盘空间减少地很快。这可能是计算机
病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文
件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少
另一种情况是 Windows 95/98 下的内存交换文件的增长,在 Windows 95/98 下内存交换文件
会随着应用程序运行的时间和进程的数量增加而增长,一般不会减少,而且同时运行的应
用程序数量越多,内存交换文件就越大。
11、 网络驱动器卷或共享目录无法调用。
对于有读权限的网络驱动器卷、共享目录等无法打开、浏览,或者对有写权限的网络
驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷
和共享目录的计算机病毒,但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目
录的正常访问。
12、 基本内存发生变化。
在 DOS 下用 mem /c/p 命令查看系统中内存使用状况的时候可以发现基本内存总字节数
比正常的 640Kb 要小,一般少 1Kb~2Kb。这通常是计算机系统感染了引导型计算机病毒
所造成的。
13、 陌生人发来的电子函件。
收到陌生人发来的电子函件,尤其是那些标题很具诱惑力,比如一则笑话,或者一封
情书等,又带有附件的电子函件。当然,这要与广告电子函件、垃圾电子函件和电子函件
炸弹区分开。一般来说广告电子函件有很明确的推销目的,会有它推销的产品介绍;垃圾
电子函件的内容要么自成章回,要么根本没有价值。这两种电子函件大多是不会携带附件
的。电子函件炸弹虽然也带有附件,但附件一般都很大,少则上兆字节,多的有几十兆甚
至上百兆字节,而电子函件计算机病毒的附件大多是脚本程序,通常不会超过 100Kb 字节。
当然,电子函件炸弹在一定意义上也可以看成是一种黑客程序,是一种计算机病毒。
14、 自动链接到一些陌生的网站。
没有在上网,计算机会自动拨号并连接到因特网上一个陌生的站点,或者在上网的时
候发现网络特别慢,存在陌生的网络链接。这种联接大多是黑客程序将收集到的计算机系
统的信息“悄悄地”发回某个特定的网址,可以通过 netstat 命令查看当前建立的网络链接,
再比照访问的网站来发现。需要注意的是有些网页中有一些脚本程序会自动链接到一些网
页评比站点,或者是广告站点,这时候也会有陌生的网络链接出现。当然,这种情况也可
以认为是非法的。
一般的系统故障是有别与计算机病毒感染的。系统故障大多只符合上面的一点或二点
现象,而计算机病毒感染所出现的现象会多的多。根据上述几点,就可以初步判断计算机
和网络是否感染上了计算机病毒。
2.2.2 计算机病毒发作时的表现现象
计算机病毒发作时是指满足计算机病毒发作的条件,计算机病毒程序开始破坏行为的
3
阶段。计算机病毒发作时的表现大都各不相同,可以说一百个计算机病毒发作有一百种花
样。这与编写计算机病毒者的心态、所采用的技术手段等都有密切的关系。
以下列举了一些计算机病毒发作时常见的表现现象:
1、提示一些不相干的话。
最常见的是提示一些不相干的话,比如打开感染了宏病毒的 Word 文档,如果满足了
发作条件的话,它就会弹出对话框显示“这个世界太黑暗了!”,并且要求你输入“太正确了”
后按确定按钮。
2、发出一段的音乐。
恶作剧式的计算机病毒,最著名的是外国的“杨基”计算机病毒(Yangkee)和中国的“浏
阳河”计算机病毒。“杨基”计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐,
而“浏阳河”计算机病毒更绝,当系统时钟为 9 月 9 日时演奏歌曲《浏阳河》,而当系统时钟
为 12 月 26 日时则演奏《东方红》的旋律。这类计算机病毒大多属于“良性”计算机病毒,只
是在发作时发出音乐和占用处理器资源。
3、产生特定的图象。
另一类恶作剧式的计算机病毒,比如小球计算机病毒,发作时会从屏幕上方不断掉落
下来小球图形。单纯地产生图象的计算机病毒大多也是“良性”计算机病毒,只是在发作时
破坏用户的显示界面,干扰用户的正常工作。
4、 硬盘灯不断闪烁。
硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时,硬盘的灯就会不断
闪烁,比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情
况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化,或者
写入许多垃圾文件,或反复读取某个文件,致使硬盘上的数据遭到损失。具有这类发作现
象的计算机病毒大多是“恶性”计算机病毒。
5、 进行游戏算法。
有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作,一定
要玩嬴了才让用户继续他的工作。比如曾经流行一时的“台湾一号”宏病毒,在系统日期为
13 日时发作,弹出对话框,要求用户做算术题。这类计算机病毒一般是属于“良性”计算机
病毒,但也有那种用户输了后进行破坏的“恶性”计算机病毒。
6、 Windows 桌面图标发生变化。
这一般也是恶作剧式的计算机病毒发作时的表现现象。把 Windows 缺省的图标改成其
他样式的图标,或者将其他应用程序、快捷方式的图标改成 Windows 缺省图标样式,起到
迷惑用户的作用。
7、 计算机突然死机或重启。
有些计算机病毒程序兼容性上存在问题,代码没有严格测试,在发作时会造成意想不
到情况;或者是计算机病毒在 Autoexec.bat 文件中添加了一句:Format c:之类的语句,需
要系统重启后才能实施破坏的。
8、自动发送电子函件。
大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段,也有的
电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件,以达到阻
塞该邮件服务器的正常服务功能。
9、鼠标自己在动。
没有对计算机进行任何操作,也没有运行任何演示程序、屏幕保护程序等,而屏幕上
的鼠标自己在动,应用程序自己在运行,有受遥控的现象。大多数情况下是计算机系统受
到了黑客程序的控制,从广义上说这也是计算机病毒发作的一种现象。
4
剩余18页未读,继续阅读
Ennro
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0