論網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒的危害及其防治

21世紀(jì)是知識(shí)經(jīng)濟(jì)的世紀(jì)，是科學(xué)技術(shù)高速發(fā)展的世紀(jì)，隨著電腦的普及，Internet的迅猛發(fā)展，網(wǎng)絡(luò)已成為與人們的生活息息相關(guān)的主題。但是，計(jì)算機(jī)感染病毒、木馬，以及黑客的入侵，常常造成資料的泄密、損壞，甚至系統(tǒng)的崩潰，給計(jì)算機(jī)帶來(lái)嚴(yán)重的損害。因此，在日常生活中，我們必須懂得一些計(jì)算機(jī)病毒感染的知識(shí)，采取一些必要的防范措施對(duì)計(jì)算機(jī)進(jìn)行保護(hù)。

1.病毒的定義和種類(lèi)

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

計(jì)算機(jī)病毒可以分為系統(tǒng)病毒、蠕蟲(chóng)病毒、木馬病毒、黑客病毒、腳本病毒、宏病毒、后門(mén)病毒、病毒種植程序病毒、破壞性程序病毒、玩笑病毒和捆綁機(jī)病毒等。只有正確認(rèn)識(shí)和區(qū)分各種病毒的組成特征和破壞性，我們才能有效地進(jìn)行反病毒技術(shù)的更新，才能保證計(jì)算機(jī)的安全。

2.計(jì)算機(jī)病毒的感染原理

不同感染途徑的病毒，其感染機(jī)制也不相同。

2.1引導(dǎo)型病毒感染原理。

系統(tǒng)引導(dǎo)型病毒主要是感染軟盤(pán)的引導(dǎo)扇區(qū)和硬盤(pán)的主引導(dǎo)扇區(qū)或DOS引導(dǎo)扇區(qū)，其傳染方式主要是通過(guò)使用病毒感染的軟盤(pán)啟動(dòng)計(jì)算機(jī)而傳染。

2.2文件型病毒感染原理。

可執(zhí)行文件型病毒依附在可執(zhí)行文件或覆蓋于文件中，當(dāng)病毒程序感染一個(gè)可執(zhí)行文件時(shí)，病毒就會(huì)修改原文件的一些參數(shù)，并將病毒自身程序添加到原文件中。被感染病毒的文件執(zhí)行時(shí)，首先執(zhí)行病毒程序的一段代碼，并將病毒程序駐留在內(nèi)存中，以取得系統(tǒng)的控制權(quán)，從而完成病毒的復(fù)制和一些破壞操作。每個(gè)要被執(zhí)行的程序文件都要先通過(guò)病毒“檢查”是否已被感染，若未被感染則病毒感染該文件。

2.3混合型病毒感染原理。

混合型病毒不僅可以傳染可執(zhí)行文件，而且會(huì)傳染硬盤(pán)引導(dǎo)區(qū)。混合型病毒先進(jìn)入內(nèi)存，找機(jī)會(huì)感染其它沒(méi)受感染的磁盤(pán)，操作系統(tǒng)載入內(nèi)存后，病毒再進(jìn)行攔截INT 2IH，達(dá)到感染文件的目的。個(gè)別被感染的系統(tǒng)用Format格式化命令格式化硬盤(pán)都不能消除這種病毒。

2.4特洛伊木馬、網(wǎng)絡(luò)蠕蟲(chóng)、Internet語(yǔ)言病毒感染原理。

一些用Java、VB、ActiveX等撰寫(xiě)的病毒可通過(guò)網(wǎng)絡(luò)竊取個(gè)人秘密信息或使計(jì)算機(jī)系統(tǒng)資源利用率下降，造成死機(jī)現(xiàn)象。蠕蟲(chóng)病毒感染的理論主要是通過(guò)主動(dòng)或者被動(dòng)方式進(jìn)行掃描，然后利用系統(tǒng)漏洞侵入計(jì)算機(jī)隱藏起來(lái)等候指令，當(dāng)指令出現(xiàn)時(shí)立刻開(kāi)始感染系統(tǒng)并設(shè)法聯(lián)系其他蠕蟲(chóng)節(jié)點(diǎn)，命令計(jì)算機(jī)接受其控制指令而大量發(fā)送其病毒指令信息包，造成網(wǎng)絡(luò)擁堵癱瘓。病毒在計(jì)算機(jī)中還廣開(kāi)“后門(mén)”，造成計(jì)算機(jī)不受控制，刪除計(jì)算機(jī)的文件和文檔，生成大量病毒垃圾文件，造成計(jì)算機(jī)無(wú)法使用。蠕蟲(chóng)病毒的隱藏地點(diǎn)基本都在郵件中。

3.計(jì)算機(jī)病毒的診斷與分析處理

3.1計(jì)算機(jī)病毒的診斷。

如果發(fā)現(xiàn)計(jì)算機(jī)有疑似感染病毒的癥狀時(shí)，我們應(yīng)該首先檢查是否有異常的進(jìn)程。先關(guān)閉所有的應(yīng)用程序，然后右擊任務(wù)欄空白區(qū)域，在彈出的菜單中選擇“任務(wù)管理器”，打開(kāi)“進(jìn)程”標(biāo)簽，查看系統(tǒng)正在運(yùn)行的進(jìn)程，正常情況下系統(tǒng)進(jìn)程應(yīng)為22—28個(gè)，如果進(jìn)程數(shù)目太多，就要認(rèn)真查看有無(wú)非法進(jìn)程或不熟悉的進(jìn)程。

3.2計(jì)算機(jī)病毒的分析。

分析病毒的出現(xiàn)形式分為三類(lèi):有單獨(dú)隱蔽的進(jìn)程、服務(wù);單獨(dú)的進(jìn)程、服務(wù);無(wú)單獨(dú)的進(jìn)程、服務(wù)，注入一個(gè)正常的系統(tǒng)進(jìn)程、驅(qū)動(dòng)。

我們可從進(jìn)程的層面入手，用Icesword，可以看到一個(gè)紅色進(jìn)程，然后到網(wǎng)上搜索，最好先備份，再將可疑的進(jìn)程刪除。

我們也可使用進(jìn)程查看工具，如PE、Icesword、Prcview、隱藏進(jìn)程管理工具等分析每一個(gè)可疑的進(jìn)程，通過(guò)查看進(jìn)程的屬性，判斷該進(jìn)程的路徑和服務(wù)。

從病毒層面入手，推薦使用hijackthis，對(duì)于傳統(tǒng)的加載方式還是比較優(yōu)秀的一款工具，將掃描的日志放入http://www.hijackthis.de/index.php，會(huì)自動(dòng)幫助分析可疑的程序，找到病毒體，一般病毒體的關(guān)鍵字和它自身的服務(wù)相關(guān)聯(lián)，再用Process Explorer可查找病毒體注入哪個(gè)進(jìn)程里。

對(duì)于注入正常的系統(tǒng)進(jìn)程、驅(qū)動(dòng)里的病毒，我們可使用Autoruns可以分析出哪些文件注入驅(qū)動(dòng)程序里，然后上網(wǎng)查這些文件的性質(zhì)，將Option里有一項(xiàng)隱藏微軟的登記選中，這樣可以進(jìn)一步減少查找的范圍。

對(duì)于注入系統(tǒng)進(jìn)程里的病毒，以DLL、SYS文件注入Explorer、IExplore等進(jìn)程的情況，我們可以手動(dòng)搜索硬盤(pán)上的DLL文件和SYS文件，查看其文件大小、創(chuàng)建、修改時(shí)間和版本等信息，判斷是否可疑，對(duì)無(wú)版本信息或版本信息描述不正規(guī)的DLL文件和SYS文件尤其要關(guān)注。

3.3計(jì)算機(jī)病毒的查殺。

查殺病毒即通過(guò)停進(jìn)程、刪文件、刪服務(wù)三步驟來(lái)完成。

3.3.1停進(jìn)程。我們應(yīng)首先處理容易的，必須先用Icesword、Process Explorer、Unlocker、Super Rabbit等在常規(guī)狀態(tài)下停止或掛起進(jìn)程的工具，否則病毒就會(huì)占用資源，無(wú)法刪除。

3.3.2刪文件。Unloker小巧方便，它能輕易刪除十分棘手的病毒。同時(shí)，如果有些文件被某個(gè)進(jìn)程占用，它會(huì)彈出一個(gè)窗口，選擇解鎖。對(duì)于實(shí)在不能刪除的文件，如c:\\windows\\system32\\svchost.exe掛在系統(tǒng)層，我們可以在重新啟動(dòng)后刪除。

3.3.3刪服務(wù)，對(duì)于系統(tǒng)服務(wù)，我們首先要停止服務(wù)，然后刪除注冊(cè)表，如果注冊(cè)表項(xiàng)不能刪，要修改注冊(cè)表項(xiàng)屬性，分配權(quán)限給所有人。我們應(yīng)重啟到安全模式，刪除對(duì)應(yīng)文件，再新建同名空文件，并修改屬性為只讀。一般來(lái)說(shuō)，我們可用Hijack來(lái)分析服務(wù)，看看有沒(méi)有看起來(lái)不太熟悉的服務(wù)，也要注意那些熟悉的進(jìn)程，名字是否被改動(dòng)，以及進(jìn)程所在的目錄是否正確。

在網(wǎng)絡(luò)安全策略之系統(tǒng)策略中，反病毒技術(shù)亦是網(wǎng)絡(luò)安全一重點(diǎn)，只有深病毒的攻擊原理，才能針對(duì)性建立起強(qiáng)大的防護(hù)體系，才能開(kāi)發(fā)出具有殺傷力的反病毒技術(shù)，只有這樣才能保證網(wǎng)絡(luò)的安全，保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和安全性。總之，進(jìn)行反病毒工作，用戶不僅需要利用殺毒工具來(lái)提供一個(gè)安全的網(wǎng)絡(luò)使用環(huán)境，而且要擁有高度的安全意識(shí)和進(jìn)行系統(tǒng)安全設(shè)置，并及時(shí)進(jìn)行病毒庫(kù)、系統(tǒng)和其他應(yīng)用程序的升級(jí)，只有這樣擁有一個(gè)安全、穩(wěn)定的無(wú)毒空間，才能保證網(wǎng)絡(luò)安全性、高效性、開(kāi)放性和實(shí)時(shí)性。

參考文獻(xiàn):

[1]高陽(yáng).計(jì)算機(jī)網(wǎng)絡(luò)原理與應(yīng)用技術(shù).北京:電子工業(yè)出版社，2005.3.

[2]關(guān)于計(jì)算機(jī)病毒和選擇殺毒軟件.江民科技，http://www. jiang min.com .cn/tip/0215-8htm.