(一)计算机病毒及其特点
计算机病毒是将自身纳入另外的程序或文件的一段小程序。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱人口等等。
计算机病毒虽是一个小小的程序,但它和普通的计算机程序不同,具有以下特点。
(1)它具有自我复制能力。它可以隐藏在合法程序内部,随着人们的操作不断地进行自我复制。
(2)它具有潜在破坏力。系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟,便会发作,给系统带来严重的破坏。
(3)它只能由人为编制而成。计算机病毒不可能随机自然产生,也不可能由编程失误造成。
(4)它只能破坏系统程序,不可能损坏硬件设备。
(5)它具有可传染性,并借助非法拷贝进行这种传染。计算机病毒通常都附着在其他程序上。在病毒发作时,有一部分是自己复制自己,并在一定条件下传染给其他程序;另一部分则是在特定条件下执行某种行为。
(二)计算机病毒的典型症状
计算机病毒和人体中的病毒一样,它的发作也有自己的典型症状,主要有:
(1)屏幕异常滚动,和行同步无关。
(2)系统文件长度发生变化。
(3)出现异常信息、异常图形。
(4)运行速度减慢,系统引导、打印速度变慢。
(5)存储容量异常减少。
(6)系统不能由硬盘引导。
(7)系统出现异常死机。
(8)数据丢失。
(9)执行异常操作。
病毒本身各具特性,病毒的症状也是各种各样的。有的病毒表现欲极强。如有一种叫“杨基”的病毒,它进入内存后,于每天下午五点准时奏响“杨基”歌(美国独立战争时期的一首有名歌曲)。有的病毒则偏爱沉默。如有一种叫“幽灵”的病毒,系统被它感染后,毫无症状,除了COM文件增加608个字节外,对系统不造成危害。在众多的病毒中,以恶作剧的居多。如“周日”病毒,它每个星期天发作,这时屏幕就会显示:“今天是星期天,何必这么辛苦呢?”,之后,就会捣毁FAT表,摧毁全部硬盘数据。
虽然病毒形式多种多样,但它们发作的目的都是为了破坏程序的完整性,篡改文件精确性,使系统及其所支持的数据和服务失去攻效。其主要表现形式有:
(1)破坏文件分配表,使磁盘上的用户信息丢失。
(2)改变磁盘分配,造成数据的错误。
(3)删除磁盘上特定的文件,或破坏文件的数据。
(4)影响内存中的常驻程序。
(5)自我繁殖,侵占大量存储空间。
(6)改变正常运行程序。
(7)盗用用户的重要数据。
(三)计算机网络病毒的特点及危害
计算机网络病毒就是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源的计算机病毒。
计算机病毒攻击网络的途径主要是通过软盘拷贝、互连网上的文件传输、硬件设备中的固化病毒程序等等。病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定缺陷,尤其是网络系统软件方面存在着漏洞。因此网络病毒就利用软件的破绽和研制时因疏忽而留下的“后门”,大肆发起攻击。网络病毒可以突破网络的安全防御,侵入到网络的主机上,导致计算机工作效率下降,资源遭到严重破坏,甚至造成网络系统的瘫痪。计算机网络病毒破坏性极强。它不仅攻击程序,而且能破坏网络上的主机硬分区,造成主机无法启动,使整个网络无法工作。网络病毒有很强的繁殖或再生机制,一旦一个网络病毒深入到一个公共的实用工具或实用软件中,便会很快传播扩散到整个网络上。在传播扩散的同时,伪装隐蔽自己,不易被发现,其传播扩散的速度是单台计算机的几倍乃至几十倍。少则几个小时,多则一个星期,病毒就会充满整个网络。潜伏在网络中的病毒一旦等到触发条件成熟,便会立刻活跃起来,触发条件可以是用户名、内部时钟、网络的一次操作或是一次通讯对话等等。一种网络病毒并不针对、也不可能针对所有的计算机及网络主机进行攻击。限于操作系统的不同,一种网络病毒只有一种毒性,有的专门攻击DOS操作系统的计算机,有的专门攻击Unix操作系统或Macintosh计算机。从以上这些特点来看,计算机网络病毒比单机病毒的危害要大,杀伤力也更强,必须采取措施加强防治。
(四)计算机病毒的防治技术
l、计算机病毒防治的基本方法
目前,反病毒技术所采取的基本方法,同医学上对付生理病毒的方法极其相似,即:发现病毒——提取标本——解剖病毒——研制疫苗。
所谓发现病毒,就是靠外观检查法和对比检查法来检测是否有病毒存在。如看看是否有异常画面,文件容量是否改变,A盘引导扇区是否已经感染病毒等。一旦发现了新的病毒,反病毒专家就会设法提取病毒的样本,并对其进行解剖。
通过解剖,可以发现病毒的个体特征,即病毒本身所独有的特征字节串。这种特征字节串是从任意地方开始的、连续的、不长于64个字节的,并且是不含空格的。这种字节也被视为病毒的遗传基因。有了特征字节串就可以进一步建立病毒特征字节串的数据库,进而研制出反病毒软件,即病毒疫苗。
当用户使用反病毒软件时,实际上是反病毒软件在进行特征字节串扫描,以发现病毒数据库中的已知病毒。但这种反病毒软件也有缺点,就是它对新发现的病毒,只能采取改变程序的方法予以应付,而对未发现的病毒则无能为力。所以,用户只能通过不断升级反病毒软件版本,来对付新的病毒。采取解剖技术反病毒,只能视为“亡羊补牢”,却不能“防患于未然”。
2、计算机网络病毒的防治方法
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。
(1)基于工作站的防治技术。工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。
上述三种方法,都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
(2)基于服务器的防治技术。网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上插防病毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。