浅谈计算机病毒及防范的措施

浅谈计算机病毒及防范的措施张琳琳（中南财大·计算机学院，武汉，430079）摘要：随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、近期的科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。下面收集整理的有关计算机病毒的信息。关键字：计算机病毒信息安全破坏防范一、计算机病毒的内涵、类型及特点计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。在最近几年，又产生了以下几种主要病毒：（1）“美丽杀手”（Melissa）病毒，(2)CIHvl-2病毒归纳起来，计算机病毒有以下特点：一是攻击隐蔽性强。病毒可以无声无息地感染计算机系统而不被察觉，待发现时，往往已造成严重后果。二是繁殖能力强。电脑一旦染毒，可以很快“发病”。目前的三维病毒还会产生很多变种。三是传染途径广。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中，并不断蔓延。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作，待满足一定条件后，就激发破坏。五是破坏力大。计算机病毒一旦发作，轻则干扰系统的正常运行，重则破坏磁盘数据、删除文件，导致整个计算机系统的瘫痪。六是针对性强。计算机病毒的效能可以准确地加以设计，满足不同环境和时机的要求。二、计算机病毒的技术长期以来，人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低，而对于安全问题则重视不够。计算机系统的各个组成部分，接口界面，各个层次的相互转换，都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑，软件方面也更易存在隐患和潜在威胁。对计算机系统的测试，目前尚缺乏自动化检测工具和系统软件的完整检验手段，计算机系统的脆弱性，为计算机病毒的产生和传播提供了可乘之机；全球万维网（）使“地球一村化”，为计算机病毒创造了实施的空间；新的计算机技术在电子系统中不断应用，为计算机病毒的实现提供了客观条件。国外专家认为，分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现状来看，病毒注入方法，常见的有以下几种：一是无线电方式，二是“固化”式方法，三是后门攻击方式，四是数据控制链侵入方式。三、对计算机病毒攻击的防范的对策和方法1．建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒遏制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系，须有有效的硬件和软件技术的支持，如安全设计及规范操作。2．严把收硬件安全关。国家的机密信息系统所用设备和系列产品，应建立自己的生产企业，实现计算机的国产化、系列化；对引进的计算机系统要在进行安全性检查后才能启用，以预防和限制计算机病毒伺机入侵。3．防止电磁辐射和电磁泄露。采取电磁屏蔽的方法，阻断电磁波辐射，这样，不仅可以达到防止计算机信息泄露的目的，而且可以防止“电磁辐射式”病毒的攻击。4、．加强计算机应急反应分队建设。应成立自动化系统安全支援分队，以解决计算机防御性的有关问题。早在1994年，美国软件工程学院就成立了计算机应急反应分队。计算机病毒攻击与防御手段是不断发展的，要在计算机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行：一是计算机病毒的数学模型。二是计算机病毒的注入方式，重点研究“固化”病毒的激发。三是计算机病毒的攻击方式，重点研究网络间无线传递数据的标准化，以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。四、autorun计算机病毒处理及一般病毒防范U盘病毒autorun，它是通过U盘传播，只要双击受感染的U盘，就会激活病毒，感染到系统，加入进程、服务或驱动，然后再复制病毒源文件（通常是两个文件，autorun.inf和***.exe）到各磁盘根目录下，再修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue]键值，将原来的dword值修改为字符串值，来达到隐藏自己的目的。同时病毒进程会不断扫描磁盘分区根目录下是否有病毒源文件，如果在未关闭病毒进程的情况下将根目录中的病毒文件删除，病毒进程则会重建这些文件……下面是手动查杀：病毒样本为systime.exe，实际手动杀毒操作如下：通过进程管理器就可以发现如下图因为正常的系统进程中有system.exe用户名为system，而我们看到systime.exe的用户名为当前用户名（也就是上图中的Ley），很明显它是想伪装成system.exe来混水摸鱼……查杀病毒我们要做的第一个尝试就是尝试关闭病毒进程，但也并非所有病毒都能从任务管理器中看到其进程，也并不是所有能看到进程病毒都可以简简单单结束掉的……而这例病毒比较简单，它没有双进程保护，没有线程注入，也没有注册服务，所以我们可以直接结束其进程，进程结束后，病毒也就失去了自我保护的能力，那么接下来要做的事就非常简单了，在运行中输入msconfig，查找病毒的启动项，找到后将前面的勾去掉，如图然后要删除病毒源文件，但是病毒是隐藏属性，而上文中也说了，中了autorun病毒后是无法显示隐藏文件的，那么我们先修复注册表checkedvalue键值，如图，将原来的字符串值删除，再右键新建一个Dword值，键值为00000001。修改好注册表后，在文件夹选项中显示所有文件，并且将“隐藏受保护的系统文件”前的勾去掉，然后找到system32中的systime.exe删除即可最后再将各磁盘分区根目录下的systime.exe和autorun.inf逐个删除重点：整个杀毒过程中，结束了病毒进程后切忌双击进入分区，必须使用资源管理器或是其他资源管理工具！对于病毒在各磁盘分区内的残留，一种方法我们可以修复了注册表的checkedvalue键值后，从文件夹选项中将“隐藏受保护的系统文件”前的勾去掉，并选中“显示所有文件”，然后删除各分区中的病毒残留，autorun.inf和***.exe~（注意：清除残留时千万不可双击进入）另一种方法，我们也可以运行cmd，利用attrib-s-h–aX:autorun.inf（在cmd里打attrib/?可获取帮助，X为磁盘分区名）来autorun.inf，然后双击打开autorun.inf查看其相应的exe文件，并用attrib-s-hX:***.exe让它显形，然后将其删除……防止autorun病毒：以前很多靠右键菜单中的“打开”来打开U盘，来避免双击U盘运行病毒，但是随着autorun病毒的不断演变，这种方法不再可靠……看一个典型的autorun.inf中的语句和相应的效果，先看正常的右键菜单：[AutoRun]open=***.exeshellexecute=***.exeshell\Auto\command=***.exeshell=Auto再看其效果图：防御方案：（1），是最常用最有效的利用autorun原理反其道而行，即关闭自动播放，有三种方法：第1种通过运行gpedit.msc（组策略）--用户配置--管理模板--系统--关闭自动播放--启用（注当然就是windows/system32里的那个）；第2种可以修改注册表KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun键值为16进制bd或ff，两个值的意义，前者只禁用U盘和硬盘自动播放，而保留光盘，后者为全部禁用；第3种方法可以利用usbcleaner此类软件来禁用自动播放或者写盘保护。关闭自动播放后，就可以说断了autorun病毒唯一的传播渠道，autorun.inf因此失效，所以此时完全可以放心得双击打开U盘没关系（2），养成使用资源管理器（不是右键“资源管理器”）来管理文件，这样可以避免双击磁盘而导致病毒运行……注释：○1在最近几年几种主要病毒（1）“美丽杀手”（Melissa）病毒。这种病毒是专门针对微软电子邮件服务器MSExchange和电子邮件收发软件0ut1ookExpress的Word宏病毒，是一种拒绝服务的攻击型病毒，能够影响计算机运行微软word97、word2000和0utlook。这种病毒是一种Word文档附件，由E-mall携带传播扩散。由于这种病毒能够自我复制，一旦用户打开这个附件，“美丽杀手”病毒就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送，从而过载E-mai1服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数，据计算，如果“美丽杀手”病毒能够按照理论上的速度传播，只需要繁殖5次就可以让全世界所有的网络用户都都收到一份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器，而是使用户的非常敏感和核心的机密信息在不经意间通过电子邮件的反复传播和扩散而被泄漏出去，连扩散到了什么地方可能都不得而知。据外电报道，在北约对南联盟发动的战争行动中，证实“美丽杀手”病毒己使5万部电脑主机和几十万部电脑陷于瘫痪而无法工作，网络被空数据包阻塞，迫使许多用户关机避灾。(2)CIHvl-2病毒。据悉，CIH病毒已给中国计算机用户造成了巨大的损失。近来又出现了CIH病毒的一种升级版本CIHvl-2病毒。CIHvl-2病毒会攻击硬盘及pc机的bios芯片，造成系统崩溃，甚至损坏硬件。CIHvl-2病毒被定时在4月26日对被感染计算机的bios芯片和硬盘驱动器发起攻击。该病毒发作后，会造成硬盘数据的明显减少，不能开机或不能重新启动计算机。CIH病毒基本上是通过互联网络或盗版软件来感染windows95或98的.exe文件的。在执行被感染文件后，CIH病毒就会随之感染与被执行文件接触到的其他程序。病毒在4月26日被触发后，它将硬盘上最起决定性作用的部分用垃圾代码覆盖，同时，它试图改写bios如果bios是可写的，像当前大多数计算机一样，那么bios将会被病毒破坏。一旦bios被破坏，系统将由于无法启动而不能使用。实际上，CIH病毒对硬盘的攻击能力也特别强，可能会使硬盘E的数据丢失，甚至使硬盘不得不进行低级恪式化。○2病毒注入方法实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现状来看，病毒注入方法主要有以下几种1．无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式，同时技术难度也最大。可能的途径有：①直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码，使