计算机病毒原理及防治
1.  计算机病毒的定义
  “计算机病毒是指编制或者在计算机程序中破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒与我们平时使用的各种软件程序没有什么区别,只不过病毒程序是专门用来搞破坏的,病毒程序是一种恶意程序。
2. 计算机病毒的特征
1 破坏性
病毒侵入后,轻者降低计算机性能和占用系统资源,重者破坏数据,导致系统崩溃。有些病毒为良性病毒;有些则为恶性病毒,它有明确的破坏目的,如破坏数据,删除文件、格式化磁盘等;
2 隐蔽性
病毒程序一般都设计得非常小巧,当它附带在文件中,隐藏在磁盘上或在传播过程中时,不易被人觉察;
3 传染性
病毒能通过自身复制来感染正常文件,达到破坏计算机正常运行的目的。但传染是有条件的,也就是病毒程序必须被执行之后它才具有传染性,才能感染其它文件。病毒一旦进入计算机系统中就会开始寻感染其它文件。
4 潜伏性
一般病毒进入计算机系统后往往并不是立即发作,而有一个冬眠期,并隐藏在系统中进行传播、繁殖,当满足特定条件时才会激活。
5 可触发性
病毒如果没有被激活,会像其他没被执行的程序一样,没有杀伤力,不会对系统产生破坏。特定的触发条件一般是病毒制造者事先设定的,它可能是某个具体的时间、日期、文件类型或某些特定的数据等。
6 不可预见性
病毒种类多种多样,病毒代码千差万别,而且新的病毒制作技术也不断涌现,因此,对于已知病毒可以检测、查杀,但对一些新病毒却没有未卜先知的能力,尽管新病毒有某些病毒的共性,但是它采用的手段和技术将更加复杂,更不可预见。
3.  计算机病毒的产生原因
软件产品的脆弱性是产生计算机病毒根本的技术原因。计算机软件由编程语言编写而成,而编程语言最大优点就是可创造性和可修改性。正是由于其可创造性和可修改性使软件产品变得异常脆弱,这是导致病毒泛滥的根本原因。
社会因素是产生计算机病毒的土壤。利用计算机病毒进行破坏时具有瞬时性、动态性和随机性,不易取证,风险小而破坏大,从而导致追求个人利益的犯罪意识和犯罪活动,也是某些人的好奇心、恶作剧、本能和报复心态在计算机应用领域的表现。
计算机病毒成为个人、甚至有组织的机构出于政治、军事、经济等领域上破坏对方计算机安全的首选工具,成为信息战的一部分
4.  计算机病毒的传播途径
(1) 移动存储设备
包括软盘、硬盘、移动硬盘、磁带等。硬盘是数据的主要存储介质,因此也是计算机病毒感染的主要目标。
(2) 网络。覆盖面广、速度快。目前大多数新式病毒都是通过网络传播的,破坏性很大。
:已成为计算机病毒传播的主要媒介,比例占所有计算机病毒传播媒介的56%。几乎所有类型的计算机病毒都可通过它来进行快速传播。
BBSBBS上用户除了可以讨论问题外,还能够进行各种文件的交换,加之BBS一般没有严格的安全管理,使之成为计算机病毒传播的场所。
FTP文件下载:FTP的含义是文件传输协议。通过这一协议可以将文件放置到世界上任何一台计算机上这一过程为上载,或者从这些计算机中将文件复制到本地的计算机中,这一过程就称为下载。
新闻组:通过这一服务,可以与任何人讨论某个话题,或选择接收感兴趣的有关新闻邮件。这些信息当中包含的附件就有可能使计算机感染上计算机病毒。
5.  计算机病毒的分类
按破坏程度强弱分类:良性病毒和恶性病毒;
按传染方式分类:文件型病毒、引导型病毒和混合型病毒;
按连接方式分类:源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒。
按破坏程度-良性病毒
    只是为了表现自身,并不彻底破坏系统和数据,但会占用大量CPU时间,增加系统开销,降低系统工作效率的一类计算机病毒。该类病毒多为恶作剧者的产物,他们的目的不是为了破坏系统和数据,而是为了让使用染有病毒的计算机用户通过显示器看到或体会到病毒设计者的编程技术。
按破坏程度-恶性病毒
      一旦发作,会破坏系统或数据,造成计算机系统瘫痪的一类病毒。该病毒危害极大,有些病毒发作后可能给用户造成不可挽回的损失。它们表现为封锁、干扰、中断输入输出,删
除数据、破坏系统,用户无法正常使用,甚至使计算机系统瘫痪。
按传染方式分类
引导型病毒
        主要通过感染软盘、硬盘上的引导扇区改写磁盘分区表(FAT)来感染系统,在用户对软盘、硬盘进行读写操作时进行感染活动。引导型病毒是一种开机即可发作,破坏性大,早期的计算机病毒大多数属于此类。
文件型病毒
        主要是以感染COMEXEOVL等可执行文件为主,被感染的可执行文件在执行的同时,病毒被加载并向其他正常可执行文件传染。病毒以这些可执行文件为载体,当运行可执行文件时就可以激活病毒。文件型病毒大多数也是常驻内存的。
宏病毒
        寄生于文档或模板宏中,利用宏语言编写。宏病毒充分利用宏命令的系统调用功能,实
现某些涉及系统底层操作的破坏。一旦打开带有宏病毒文档,宏病毒就会被激活,转移到计算机中,并驻留模板上。此后,所有自动保存的文档都会感染上这种宏病毒。通常宏病毒仅向WORD等文档传染。
蠕虫病毒
        不采用自身拷贝附加到其他程序的方式复制自己,即蠕虫病毒不需要将自身附着到宿主程序上。蠕虫病毒主要通过网络传播,有极强的自我复制能力、传播性和破坏性。同时蠕虫病毒一般使用脚本语言编写,相对简单容易,也使得更多的人参与病毒的制造,是目前威胁最大的病毒。
特洛伊木马型病毒
        木马型病毒实际上就是黑客程序。黑客程序的破坏作用和前面几种类型的计算机病毒破坏作用有着本质的不同。黑客程序一般不对计算机系统进行直接破坏,而是通过网络任意控制其他计算机,包括窃取国家、部门或个人宝贵的秘密信息,占用其他计算机系统资源等现象。
混合型病毒
        兼有上述计算机病毒特点的病毒统称为混合型病毒,它的破坏性更大,传染的机会也更多,杀毒也更加困难。
网页病毒
        一般使用脚本语言将有害代码直接写在网页上,当浏览网页时会立即破坏本地计算机系统,轻者修改或锁定主页,重者格式化硬盘。
        主要利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序,Javascript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序。
网页病毒危害
1. 默认主页被修改;
2. 默认首页被修改;
3. 默认的微软主页被修改;
4. 主页设置被屏蔽锁定,且设置选项无效不可改回;
5. 默认的IE搜索引擎被修改;
6. IE标题栏被添加非法信息
7. OE标题栏被添加非法信息;
8. 鼠标右键菜单被添加非法网站广告链接;
9. 鼠标右键弹出菜单功能被禁用失常;
10. IE收藏夹被强行添加非法网站的地址链接;
11. IE工具栏非法添加按钮;
12. 锁定地址下拉菜单及其添加文字信息;
13. IE菜单查看下的源文件被禁用;
14.                           ……
网络病毒的预防
      由于网络病毒通过网络传播,具有传播速度快、传染范围大、破坏性强等特点,因此建立网络系统病毒防护体系,采用有效的网络病毒预防措施和技术显得尤为重要。
      网络管理人员和操作人员要在思想上有防病毒意识,以预防为主。防范病毒主要从管理措施和技术措施两方面入手。
6.  计算机病毒的表现
1. 平时运行正常的计算机突然经常性无缘无故地死机。病毒感染计算机系统后,将自身驻留在系统内,并修改中断处理程序等,引起系统工作不稳定,造成死机现象的发生。
2. 运行速度明显变慢。在硬件设备没有损坏或更换的情况下,本来运行速度很快的计算机,速度明显变慢。
3. 打印和通讯发生异常。在硬件没有更改或损坏的情况下,以前工作正常的打印机,发现无
法进行打印操作,或打印出来的是乱码。串口设备无法正常工作。
4. 系统文件的时间、日期、大小发生变化。最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后会将自身隐蔽在原始文件的后面,文件大小大多会有增加,文件的修改日期和时间也会被改成感染的时间。
5. 磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘空间减少得很快。这可能是计算机病毒不断复制文件引起的。
6. 收到陌生人发来的。收到陌生人发来的,尤其是那些标题很具诱惑力。
7. 自动链接到一些陌生的网站。计算机会自动拨号并连接到因特网上一个陌生的站点,或者在上网时自动链接到某个陌生的网址,这种链接大多是黑客程序引起的。
8. 硬盘灯不断闪烁。当对硬盘有持续大量的操作时,硬盘的灯就会不断闪烁。如果你没用硬盘进行读写操作,而硬盘灯突然闪烁不停,这多半是计算机发生的恶性病毒。
9. 计算机不识别硬盘。排除硬盘自身故障外,多半是计算机病毒破坏了硬盘的引导扇区后,病毒修改了硬盘文件分配表、根目录区等。
计算机病毒的定义
10. 操作系统无法正常启动。这可能是计算机病毒破坏或删除了系统文件,引起操作系统无法正常工作。通常情况下,系统文件是不容易被删除或修改的。
11. 部分文档丢失或被破坏。有些计算机病毒在发作时会删除或破坏硬盘上的指定文档,造成数据丢失。
7. 计算机病毒程序一般构成
        病毒程序一般由三个基本模块组成:
1. 安装模块;
2. 传染模块;
3. 破坏模块。
          其中,安装模块、传染模块是必需,破坏模块可以直接隐含在传染模块中,也可单独构成一个模块。
冰河木马清除方法实例
1. 删除C:\windows\system下的文件;
2. 在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run下,删除键值C:\windows\
3. HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices下,删除键值C:\windows\
4. 修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由C:\windows\ %1改为正常的C:\ %1,恢复TXT文件关联。