計算機病毒特征及其防治研究

杜逆索

中圖分類號：TP

文獻標識碼：A

文章編號：1673-0992(2009)03-0079-02

摘要：本文通過對計算機病毒破壞性、傳染性及不可預見性等特征的研究，按照病毒的不同分類分別對其工作原理進行了分析，并探討了一些清除計算機病毒的方法。

關鍵詞：計算機病毒感染引導清除

引言

隨著計算機網絡的發展，計算機病毒像瘟疫一樣在全世界范圍內蔓延。使計算機系統的數據安全受到了嚴重威脅。計算機一旦被病毒感染。運行速度會越來越慢：一些文件和應用程序無法正常運行。甚至會造成系統的癱瘓。因此，計算機病毒的防治對于維護系統的正常運行非常重要。

1計算機病毒的特征

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。它是人為的產物，一般具有以下一些特征：

1.1傳染性

計算機病毒的一個最基本的特征就是傳染性。一臺計算機一旦感染病毒，病毒就會通過自我復制等方式在此計算機上迅速擴散，大量的文件被感染就會造成計算機運行速度越來越慢；同時。病毒還會通過軟盤、U盤、計算機網絡等渠道傳染其他計算機，嚴重者還會造成網絡癱瘓。

1.2非授權性

一般正常的程序是由用戶調用的，再由系統分配資源，完成用戶交給的任務。其目的對用戶來說是可見的、透明的。而病毒具有正常程序的一切特性。它隱藏在正常程序中，當用戶調用正常程序時，它竊取到系統的控制權，先于正常的程序執行，病毒的動作、目的對用戶是未知的，是未經用戶允許的。

1.3隱藏性

通常計算機感染病毒后，系統仍然能正常運行，用戶并不會感到異常。這是因為，病毒一般是具有很高編程技巧的短小精悍的程序，通常附在正常程序中或磁盤較隱蔽的地方，如果不經過代碼分析，是很難區分正常程序和病毒程序的，也有個別的病毒程序以隱含文件形式出現。在沒有預防措施的情況下，病毒程序取得系統控制權后，就可以在很短時間內感染大量程序，破壞系統的正常運行。

1.4潛伏性

大部分病毒可以長期隱藏在系統中，并不是感染系統后立刻發作，只有在滿足一定條件時它才會發作。例如“黑色星期五”。就是在每逢13號的星期五發作。這樣病毒可以進行更為廣泛的傳播。

1.5破壞性

計算機病毒侵入系統后，會對系統及應用程序造成不同程度的破壞。它會降低計算機的工作效率，占用系統資源，破壞數據，刪除文件，甚至會破壞磁盤造成不可挽回的損失。

1.6不可預見性

由于病毒種類千差萬別，雖然殺毒軟件可以查殺一些病毒，但是，由于某些正常程序也使用了類似病毒的操作和技術。加之病毒制作技術也在不斷提高，病毒對反病毒軟件常常是超前的所以病毒還有其不可預見性。

2計算機病毒的分類

2.1按病毒的寄生方式分類

2.1.1文件型病毒

文件型病毒要借助病毒的載體程序才能引入內存，它以感染文件擴展名為.COM、.EXE和.OVL等可執行文件為主。

2.1.2引導型病毒

引導型病毒感染軟盤的引導扇區，以及硬盤的主引導記錄或者引導扇區。它是在BIOS啟動之后，系統引導時出現的病毒，它依托BIOS中斷服務程序，先于操作系統執行。

2.1.3混合型病毒

混合型病毒同時具有引導型和文件型病毒的特性，可以感染磁盤的引導區，也可以感染.COM、.EXE等可執行文件。計算機一經感染此類病毒就會經開機或執行程序而感染其他的磁盤或文件，此類病毒有很大的傳染性，也較難清除干凈。

2.2按病毒的傳染方法分類

可分為：駐留型病毒和非駐留型病毒。

2.3按病毒的破壞能力分類

可分為：有害性病毒、無危害性病毒、危險性病毒和非危險性病毒。

2.4按病毒特有算法分類

可分為：伴隨型病毒、“蠕蟲”病毒和寄生型病毒。

2.5按病毒的鏈接方式分類

可分為：源碼型病毒、嵌入型病毒、外殼病毒和操作系統型病毒。

3計算機病毒的工作原理

計算機病毒基本都是由三部分組成：引導模塊，借助宿主程序將病毒主體從外存加載到內存；傳染模塊，負責將病毒代碼復制到傳染目標；表現模塊，判斷病毒的觸發條件，實施病毒的破壞功能。下面討論幾種病毒的工作原理。

3.1引導型病毒基本原理

引導型病毒傳染的對象主要是硬盤的主引導區和引導區，及軟盤的引導區。在系統啟動時，這類病毒會優先于正常系統的引導將自身裝入到系統中，獲得對系統的控制權。在完成自身安裝后，病毒將系統的控制權交回真正的系統程序，完成系統的引導，但此時系統已處在病毒的控制之下。

3.2文件型病毒基本原理

當被感染的程序執行后病毒先獲得控制權，然后執行下面的操作。

(1)非內存駐留病毒進行感染，它查找當前目錄，發現可以被感染的可執行文件進行感染。內存駐留病毒先檢查系統內存，如內存中沒有此病毒則將病毒代碼裝入內存。

(2)病毒駐留內存時還會把一些DOS或BIOS中斷指向病毒代碼，使系統執行正常文件或磁盤操作時，就會調用病毒駐留在內存中的代碼，進一步感染計算機。

(3)當滿足某個條件時執行病毒的一些功能。如破壞功能、顯示某些信息或動畫等。

(4)病毒將控制權返還被感染的程序，使正常程序繼續執行，

3.3混合型病毒基本原理

這種病毒的原始狀態是依附在可執行文件上，靠該文件作為載體而進行傳播的。當被感染文件執行時，立即感染硬盤的主引導扇區，以后用硬盤啟動時，系統中就會有該病毒，從而實現從文件型病毒向引導型病毒的轉變。此后，它只對系統中可執行文件進行感染，被感染的硬盤啟動系統時。病毒修改系統中斷。指向病毒代碼，感染可執行文件，使引導型病毒向文件型病毒轉變。因此，混合型病毒傳染性很強，不易清除。

4計算機病毒的清除

下面簡單介紹一下引導型和文件型病毒的清除方法。

4.1引導型病毒的清除

如果引導型病毒在軟盤上。可以直接格式化軟盤，以清除病毒。如病毒感染了硬盤引導區，可以用干凈的同硬盤版本一樣的系統盤引導系統，然后鍵入SYS C：命令，或FDISK／MBR命令，用正確的引導程序和硬盤分區表覆蓋引導區和主引導區中的病毒程序。

4.2文件型病毒的清除

除覆蓋型的文件型病毒外，其它文件型病毒都可以通過殺毒軟件清除。可以依照病毒傳染的逆過程將病毒清除出被感染的文件，并保持原文件的功能。對于覆蓋型的文件只能將其徹底刪除。

5結束語

隨著計算機和網絡技術的發展，計算機已經成為人們日常生活中不可缺少的重要工具，網絡也成為了信息時代重要的通信手段。但是計算機病毒的廣泛流行已成為威脅計算機安全的一個重要方面，因此了解計算機病毒，掌握病毒的防治方法對維護計算機安全是十分重要的。