計算機(jī)實驗室病毒防治淺析

許 琦

華南理工大學(xué)廣州汽車學(xué)院計算機(jī)實驗中心，廣東 廣州 510800

計算機(jī)病毒（Computer Virus）最早出現(xiàn)在70年代David Gerrold的科幻小說《When H.A.R.L.I.E. was One》中，1983年Fred Cohen的博士論文將計算機(jī)病毒科學(xué)定義為“一種能把自己（或經(jīng)演變）注入其他程序的計算機(jī)程序”。現(xiàn)根據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》計算機(jī)病毒被明確定義為“編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。計算機(jī)病毒具有相當(dāng)多可怕的特點(diǎn)：寄生、傳染、潛伏、隱蔽、破壞等，在信息化社會發(fā)展的道路上，這類病毒事件接連不斷，它對計算機(jī)資源的損失和破壞力不但會造成資源和財富的巨大浪費(fèi)，而且有可能造成社會性的災(zāi)難。

筆者所在的部門為高等學(xué)府的計算機(jī)實驗中心，擁有超過500臺計算機(jī)，全天候開放，除了承擔(dān)全院的計算機(jī)課程實驗課外，還承擔(dān)著考證培訓(xùn)、畢業(yè)設(shè)計、自主學(xué)習(xí)的任務(wù)，是教學(xué)活動的重要場所。互聯(lián)網(wǎng)的開放也使各種新型計算機(jī)病毒以及其他危險程序不斷涌現(xiàn)，之前已有“灰鴿子”、“熊貓燒香”等事件讓機(jī)房處于癱瘓狀態(tài)，給教學(xué)和管理帶來很大的麻煩。為了保證實驗教學(xué)正常運(yùn)行，如何在實際工作中對病毒進(jìn)行防治，是實驗室管理者值得探討的一個重要課題。

計算機(jī)病毒按種類分為系統(tǒng)病毒、蠕蟲病毒、木馬病毒、黑客病毒、腳本病毒、宏病毒、種植程序病毒、破壞性程序病毒、捆綁機(jī)病毒等，計算機(jī)機(jī)房常見的病毒多為前三種。病毒的傳統(tǒng)傳染渠道通常有以下幾種：硬盤傳染、可讀寫移動磁盤傳染、網(wǎng)絡(luò)傳染等。常見病毒除了破壞性大、善于偽裝外，還有以下2個顯著特點(diǎn)：1）傳染性—當(dāng)一段稱之為“病毒”的程序代碼進(jìn)入計算機(jī)并得以執(zhí)行之后，它會瘋狂搜索其他符合傳染條件的程序或存儲介質(zhì)，如果目標(biāo)確定就將其自身插入其中自我繁殖，如果一臺計算機(jī)已經(jīng)染毒不及時處理，病毒就會循序擴(kuò)散，其速度之快令人難以預(yù)防；2）潛伏性—有些精巧的病毒程序進(jìn)入系統(tǒng)之后不馬上發(fā)作，可以一段時間隱藏在合法文件中對系統(tǒng)其它文件進(jìn)行感染，不用專用軟件檢測程序還檢查不出來，一旦像定時炸彈一樣爆發(fā)，就讓程序員措手不及。

病毒對計算機(jī)資源的破壞力之大超出我們的想象，表現(xiàn)如下：運(yùn)行一段時間后計算機(jī)系統(tǒng)運(yùn)行速度無故減慢；CPU和內(nèi)存的使用率突然增高；頻繁發(fā)生藍(lán)屏重啟死機(jī)的事故；文件丟失或者損壞，無法復(fù)制粘貼和刪除；磁盤卷標(biāo)發(fā)生變化，系統(tǒng)對磁盤訪問異常或者不識別磁盤；更改系統(tǒng)時間甚至逆向計時；文件時間和屬性等發(fā)生變化；用戶口令執(zhí)行錯誤；異常要求用戶輸入密碼；虛擬報警；外部設(shè)備工作異常等等。處于校園網(wǎng)中的機(jī)房不僅是計算機(jī)之間直接相互聯(lián)通，而且開放網(wǎng)絡(luò)，學(xué)生之間經(jīng)常通過可移動磁盤交換文件，病毒可以從多個入口進(jìn)入機(jī)器。一旦有一兩臺計算機(jī)感染病毒，就很可能會造成大批量計算機(jī)同時感染病毒，只要出現(xiàn)以上的某種危害現(xiàn)象，都足以嚴(yán)重影響到教學(xué)質(zhì)量。

計算機(jī)病毒如此來勢洶洶，一旦發(fā)作就如黃河決堤不可收拾。提高計算機(jī)操作系統(tǒng)的安全性能將大部分的病毒扼殺在搖籃里，即使不小心感染病毒，采取有效的方法也能將病毒去除。為了防治計算機(jī)病毒，得從源頭開始了解。計算機(jī)實驗室感染病毒一般來自3個方面。一方面來自操作人員。公共計算機(jī)實驗室的開放時間長，上機(jī)人數(shù)多，還要開放網(wǎng)絡(luò)。學(xué)生攜帶U盤、移動硬盤、光盤等介質(zhì)在計算機(jī)播放使計算機(jī)感染病毒的機(jī)會特別大；二是來自開放網(wǎng)絡(luò)的威脅，只要是網(wǎng)線連通外網(wǎng)，就能獲得網(wǎng)絡(luò)上的信息，這些信息沒有經(jīng)過篩選，造成瀏覽網(wǎng)頁、下載文件、打開郵件等任何步驟都可能中毒。來自網(wǎng)絡(luò)的威脅不僅來自本地網(wǎng)絡(luò)的用戶，還可以來自網(wǎng)絡(luò)上的任何一臺計算機(jī)，它可以對網(wǎng)絡(luò)通信協(xié)議造成威脅，也可以對物理傳輸線路實施攻擊，不僅攻擊軟件系統(tǒng)，也攻擊硬件系統(tǒng)；三是來自系統(tǒng)漏洞的威脅。盡管操作系統(tǒng)和應(yīng)用軟件已經(jīng)打了上千個補(bǔ)丁，但每天都會有新的漏洞被發(fā)現(xiàn)，病毒如此無孔不入，讓系統(tǒng)不存在絕對的安全。另外如果過于強(qiáng)調(diào)提高系統(tǒng)的安全性又會使系統(tǒng)多數(shù)時間用于病毒檢測，從而失去實用性和方便性。

計算機(jī)機(jī)房由于機(jī)器數(shù)量大，不可能一臺臺裝機(jī)。系統(tǒng)維護(hù)的時候一般是先做好一臺母機(jī)，通過網(wǎng)絡(luò)克隆的方式安裝到全部機(jī)器。為盡量保證系統(tǒng)的安全，安裝母機(jī)時最好斷網(wǎng)，即使是內(nèi)網(wǎng)也有在同一網(wǎng)絡(luò)的計算機(jī)，要斷絕一切感染病毒的可能。裝系統(tǒng)時使用光盤啟動，并且使用正版系統(tǒng)盤，光盤保證是可用的沒有攜帶病毒的。由于是學(xué)生用機(jī)，一般不用保留文件資源，建議在安裝之前把整個硬盤格式化了，杜絕了殘留的文件資源隱藏病毒的可能。這一點(diǎn)非常重要，如果為了備份而保留一個哪怕是很小的軟件，剛裝完系統(tǒng)就發(fā)現(xiàn)隱藏的病毒，那又得從頭開始。

裝完系統(tǒng)和驅(qū)動之后，安裝各種應(yīng)用軟件之前應(yīng)盡快安裝防病毒軟件。這個是防病毒的主要手段，病毒已經(jīng)進(jìn)入計算機(jī)之后是依靠防病毒軟件來清除的。市面上殺毒軟件很多，可以本著兼容性、占用內(nèi)存小、操作方便等原則來選取。本機(jī)房使用過卡巴斯基、諾頓等殺毒軟件都各有千秋，其中Macfee、AVG軟件在機(jī)房得到全面推廣。這兩款殺毒軟件都是免費(fèi)升級軟件，Macfee軟件采取微軟公司的源代碼，操作界面非常友好，除了能偵測和清除病毒，還有VShield自動監(jiān)視系統(tǒng)。AVG軟件占用內(nèi)存小，使用更靈活，配合硬盤保護(hù)卡使用能更合理地運(yùn)用計算機(jī)資源。

計算機(jī)病毒如此無孔不入，對系統(tǒng)打上必要的補(bǔ)丁也是阻止病毒傳播的一個重要手段。學(xué)生用機(jī)一般使用windows操作系統(tǒng)，如果從官方網(wǎng)站上下載補(bǔ)丁的速度過慢，可以使用第三方集成的微軟升級補(bǔ)丁包以離線升級的方式來完成升級。以后在系統(tǒng)批量維護(hù)時也應(yīng)該定時更新補(bǔ)丁。除了操作系統(tǒng)的補(bǔ)丁之外，對于網(wǎng)絡(luò)中一些重要的系統(tǒng)，比如數(shù)據(jù)庫系統(tǒng)、網(wǎng)關(guān)系統(tǒng)等也應(yīng)該及時更新相應(yīng)的補(bǔ)丁。

保護(hù)卡是機(jī)房管理與維護(hù)的主要措施。筆者工作的實驗室通過配合使用上海萬欣公司的網(wǎng)絡(luò)版保護(hù)卡和機(jī)房管理系統(tǒng)大大提高管理效率。網(wǎng)絡(luò)版的保護(hù)不僅可以網(wǎng)絡(luò)克隆參數(shù)和數(shù)據(jù)，更重要是日常的安全保護(hù)。學(xué)生機(jī)一般設(shè)為系統(tǒng)分區(qū)和數(shù)據(jù)分區(qū)，由于實驗室是對全院學(xué)生開放，數(shù)據(jù)隨時可能被修改和刪除，所以沒有意義長時間保存數(shù)據(jù)，為使計算機(jī)處于安全狀態(tài)，通過保護(hù)卡將系統(tǒng)分區(qū)設(shè)為每次開機(jī)還原，數(shù)據(jù)分區(qū)設(shè)為每天一次還原，換句話說，任何對硬盤分區(qū)的修改都是無效的，這樣起到對操作系統(tǒng)保護(hù)的作用。

管理人員還要針對教學(xué)系統(tǒng)的使用要求，做出一些必要的安全策略。首先要開始系統(tǒng)防火墻，在內(nèi)外網(wǎng)間建立起一個安全的網(wǎng)關(guān)，從而保護(hù)內(nèi)網(wǎng)不受非法用戶的侵入；其次設(shè)定好系統(tǒng)管理員的密碼，如果學(xué)生用機(jī)都以管理員身份登錄的話，可以將開機(jī)設(shè)為不顯示歡迎界面，從而隱藏開機(jī)密碼，或者直接讓學(xué)生設(shè)置成普通用戶登錄系統(tǒng)；禁止文件共享，或者為共享文件夾設(shè)置一個密碼；禁止SSDPSRV服務(wù)，這個服務(wù)主要用于啟動家庭網(wǎng)絡(luò)設(shè)備上的UPnP設(shè)備，服務(wù)同時啟動5000端口，可能造成DDOS攻擊，讓CPU使用率達(dá)到100%，立刻造成計算機(jī)崩潰，它還會不斷往外界發(fā)送數(shù)據(jù)包，影響網(wǎng)絡(luò)傳輸速率；禁止at命令、禁用資源管理器；取消其他不必要的服務(wù)，例如關(guān)閉遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面等功能；通過組策略禁用可移動磁盤等等。通過這些措施優(yōu)化學(xué)生用機(jī)，使系統(tǒng)本身就具備一定的安全能力。

上述方法基本都是從預(yù)防方面來控制病毒入侵計算機(jī)。日常管理中還是要加強(qiáng)對網(wǎng)絡(luò)進(jìn)行監(jiān)控。當(dāng)一個機(jī)房開放一定時間后，發(fā)現(xiàn)有計算機(jī)大面積運(yùn)行速度變慢、卡機(jī)甚至是死機(jī)的現(xiàn)象，要留意是否是計算機(jī)在通過網(wǎng)絡(luò)廣播大量的數(shù)據(jù)，發(fā)送攻擊數(shù)據(jù)包使計算機(jī)的CPU超負(fù)荷工作，如果有計算機(jī)每秒發(fā)送上百個數(shù)據(jù)包，那一定是網(wǎng)絡(luò)中毒了，而且機(jī)器還在尋找下一個傳染目標(biāo)，最直接的方法就是重啟計算機(jī)還原系統(tǒng)的數(shù)據(jù)。另外，也要督促學(xué)生文明上機(jī)，不上不健康的網(wǎng)頁和下載不明來源的文件。這類網(wǎng)站和文件數(shù)量太多，而且經(jīng)常會易名變化，有條件最好開啟程序監(jiān)控系統(tǒng)，將其拉入禁止程序庫，禁得了一個是一個。

如果上述方法和實時殺毒監(jiān)控軟件都?xì)⒉涣瞬《荆完P(guān)掉交換機(jī)進(jìn)入DOS下查殺病毒，不過速度會比較慢，而且需要一臺臺查殺。之前如果有系統(tǒng)備份的話，為了不浪費(fèi)時間，重新ghost一遍來得更干凈徹底。

病毒和反病毒作為一種技術(shù)對抗長期存在，防病毒是IT工作者不休的話題。作為一名計算機(jī)實驗室的管理員，要從優(yōu)化計算機(jī)系統(tǒng)和硬件配置、加強(qiáng)日常的程序監(jiān)控和網(wǎng)絡(luò)監(jiān)控等措施來組織病毒在計算機(jī)實驗室傳播。由于計算機(jī)病毒變化不斷，需要管理人員對各種危害性大的、新型的病毒進(jìn)行全面的了解，才能找到有效的對抗方法，及時解決突發(fā)情況，保證教學(xué)正常運(yùn)行。

[1]馮味.計算機(jī)病毒及網(wǎng)絡(luò)安全的對策研究[J].網(wǎng)絡(luò)通訊與安全，2007，8.

[2]王齊.高校計算機(jī)實驗室病毒的防范策略[J].科技信息，2008(28).

[3]李冰.網(wǎng)絡(luò)攻擊的六大趨勢[J].科技廣場，2002.