對計算機病毒問題的探討

計算機病毒是一個程序，一段可執(zhí)行碼。就像生物病毒一樣，計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。下面，我就計算機病毒的種類、檢測和防治談一些看法。

一、計算機病毒種類

(一)按照計算機病毒攻擊的系統(tǒng)分類。

一是攻擊DOS系統(tǒng)的病毒。這類病毒出現(xiàn)最早、最多，變種也最多，目前我國出現(xiàn)的計算機病毒基本上都是這類病毒，占病毒總數(shù)的99%。

二是攻擊Windows系統(tǒng)的病毒。由于Windows的圖形用戶界面(GUI)和多任務操作系統(tǒng)深受用戶的歡迎，Windows正逐漸取代DOS，從而成為病毒攻擊的主要對象。目前發(fā)現(xiàn)的首例破壞計算機硬件的CIH病毒就是一個Windows 95/98病毒。

三是攻擊UNIX系統(tǒng)的病毒。當前，UNIX系統(tǒng)應用非常廣泛，并且許多大型的操作系統(tǒng)均采用UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的出現(xiàn)，對人類的信息處理也是一個嚴重的威脅。

(二)按照計算機病毒的鏈結(jié)方式分類。

由于計算機病毒本身必須有一個攻擊對象以實現(xiàn)對計算機系統(tǒng)的攻擊，計算機病毒所攻擊的對象是計算機系統(tǒng)可執(zhí)行的部分。

一是源碼型病毒。該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。

二是嵌入型病毒。這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術(shù)，超級病毒技術(shù)和隱蔽性病毒技術(shù)，將給當前的反病毒技術(shù)帶來嚴峻的挑戰(zhàn)。

三是外殼型病毒。外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。

四是操作系統(tǒng)型病毒。這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進行工作，具有很強的破壞力，可以導致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。這種病毒在運行時，用自己的邏輯部分取代操作系統(tǒng)的合法程序模塊，根據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運行的地位與作用，以及病毒取代操作系統(tǒng)的取代方式，等等，對操作系統(tǒng)進行破壞。

二、計算機病毒檢測

(一)比較法。

比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。比較時可以靠打印的代碼清單(比如DEBUG的D命令輸出格式)進行比較，或用程序來進行比較(如DOS的DISKCOMP、FC或PCTOOLS等其它軟件)。這種比較法不需要專用的查計算機病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計算機病毒程序發(fā)現(xiàn)的計算機病毒。因為計算機病毒傳播得很快，新的計算機病毒層出不窮，目前還沒有通用的能查出一切計算機病毒，或通過代碼分析，可以判定某個程序中是否含有計算機病毒的查毒程序，發(fā)現(xiàn)新計算機病毒就只有靠比較法和分析法，有時必須結(jié)合這兩者來一同工作。

(二)搜索法。

搜索法是用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計算機病毒。國外對這種按搜索法工作的計算機病毒掃描軟件叫Virus Scanner。計算機病毒掃描軟件由兩部分組成:一部分是計算機病毒代碼庫，含有經(jīng)過特別選定的各種計算機病毒的代碼串;另一部分是利用該代碼庫進行掃描的掃描程序。目前常見的防殺計算機病毒軟件對已知計算機病毒的檢測大多采用這種方法。計算機病毒掃描程序能識別的計算機病毒的數(shù)目完全取決于計算機病毒代碼庫內(nèi)所含計算機病毒的種類多少。顯而易見，庫中計算機病毒代碼種類越多，掃描程序能認出的計算機病毒就越多。計算機病毒代碼串的選擇是非常重要的。短小的計算機病毒只有一百多個字節(jié)，長的有上萬字節(jié)。如果隨意從計算機病毒體內(nèi)選一段作為代表該計算機病毒的特征代碼串，可能在不同的環(huán)境中，該特征串并不真正具有代表性，不能用于將該串所對應的計算機病毒檢查出來。選這種串做為計算機病毒代碼庫的特征串就是不合適的。

三、計算機病毒防治

(一)設制防火墻，抵御病毒入侵。

網(wǎng)絡防火墻技術(shù)是一種用來加網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。

(二)設制局域網(wǎng)中的地址綁定。

地址綁定是目前采用最多的方式之一，如常見的端口綁定、lP地址與MAC綁定、動態(tài)綁定、靜態(tài)綁定等。其最終目的就是要確定用戶的唯一性，從而實現(xiàn)對用戶的管理。一是基于防火墻的口地址與MAC地址綁定。首先做好整個局域網(wǎng)終端用戶計算機的命名，指定IP地址，可以預先確定一個用戶計算機的命名規(guī)則，統(tǒng)一命名計算機，并給定lP地址。其次統(tǒng)計每個終端機器網(wǎng)卡的MAC地址，建立IP地址與MAC地址對應表。最后將IP地址與MAC地址綁定。二是基于交換機的MAC地址與端口綁定。交換機的MAC地址與墻口綁定的目的是，終端用戶如果擅自改動本機網(wǎng)卡的MAC地址，該機器的網(wǎng)絡訪問將因其MAC地址被交換機認定為非法而無法實現(xiàn)，自然也就不會對局域網(wǎng)造成干擾了。

總之，計算機病毒防治工作，最重要的是防治體系的建設和制度的建立。計算機病毒防治制度是防治體系中每個主體都必須的行為規(guī)程，沒有制度，防治體系就不可能很好地運作，就不可能達到預期的效果。