6.5 病毒攻击的防范与清除

6.5 病毒攻击的防范与清除

计算机病毒防范是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。

老一代防毒软件只能清除已知的病毒，新一代反病毒软件不仅能识别出已知的病毒，而且还可以阻断病毒的传染和破坏功能，同时可以进行行为检测，预防未知病毒。

计算机病毒的防范工作，首先是防范体系的建设和制度的建立。计算机病毒防范体系的建设是一个社会性工作，要全社会参与，充分利用所能利用的资源，形成广泛的、全社会的计算机病毒防范体系。

计算机病毒的防范制度是防范体系中每个主体都必须执行的行为规范，必须按照防范体系对防范制度的要求，建立符合自身特点的防范制度。

 

6.5.1 计算机病毒的表现现象

计算机病毒是客观存在的，客观存在的事物总有它的特性，计算机病毒也不例外。从实质上来说，计算机病毒是一段程序代码。根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为三大类，即发作前、发作时和发作后。

 

计算机病毒发作前的表现现象

计算机病毒发作前是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，病毒发作的一个阶段。在这个阶段，病毒的行为以潜伏、传播为主。

1.平时运行正常的计算机突然无缘无故地死机

病毒感染计算机，修改了系统中断等，引起系统不稳定。

2.操作系统无法正常启动

病毒感染了系统文件，无法被操作系统正确加载。

3.运行速度明显变慢

病毒占用了大量系统资源。

4.以前能正常运行的软件经常发生内存不足的错误

可能是计算机病毒驻留后台占用了大量的内存资源

5.打印机和通讯发生异常

可能是计算机病毒驻留内存后占用了打印、通信端口的中断服务程序，使之不能工作。

6.无意中要求对软盘进行读写

可能是计算机病毒自动查找软盘是否存在时引起的系统异常。

7.以前能正常运行的应用程序经常发生死机或者非法错误

可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒本身存在兼容性问题造成的。

8.系统文件的时间、日期、大小发生变化

这是最明显感染病毒的现象。病毒感染文件，会将自身附加的原文件后面，造成原文件大小增加，文件的访问和修改日期也会随之更改。

9.运行Word，打开Word文档后，该文件另存为时只能以模板方式保存

这往往是Word感染宏病毒所致。

10.磁盘空间迅速减少

11.网络驱动器卷或共享目录无法调用

12.基本内存发生变化

在DOS下使用mem /c /p命令查看内存使用情况时，可以发现基本内存总字节数比正常的640KB要小，一般少1～2KB，通常是计算机感染病毒所致。

13.陌生人发来的电子邮件

14.自动连接到一些陌生的网站

 

一般的系统故障是有别于计算机病毒感染的。系统故障大多数只符合上面的一点或两点现象，而计算机病毒感染所出现的现象会很多。

 

计算机病毒发作时的表现现象

计算机病毒发作时是指满足计算机病毒发作的条件，计算机病毒程序开始破坏行为的截断。

1.提示一些不相干的话

2.发出一段音乐

3.产生特定的图像

4.硬盘灯不断闪烁

病毒对磁盘进行读写操作。

5.进行游戏算法

有些恶作剧式的计算机病毒采取某些简单的游戏来中断用户的工作，一定要用户玩赢才能继续工作。

6.Windows桌面图标发生变化

7.计算机突然死机或重启

一些病毒设计时存在兼容性问题，发作时会造成意想不到的情况。

8.自动发送电子邮件

大多数电子邮件病毒都采用自动发送电子邮件的方法传播自身，也有的病毒在特定时间发送大量无用电子邮件，阻塞邮件服务器。

9.鼠标自己在动

 

另外，系统运行较大程序的时候，硬盘也会连续工作。

 

计算机病毒发作后的表现现象

通常情况下，计算机病毒发作后都会给计算机带来破坏性的后果，那种只是恶作剧的“良性”病毒只是病毒家族中的一小部分。大多数计算机病毒属于“恶性”病毒。

1.硬盘无法启动，数据丢失

病毒破坏了硬盘的引导扇区，导致无法启动。一些病毒修改硬盘的关键内容（分区表、根目录区等），使得原先保存的数据几乎全部丢失。

2.系统文件丢失或被破坏

3.文件目录发生混乱

4.部分文档丢失或被破坏

5.部分文档自动加密码

6.修改Autoexec.bat文件，增加Format C:一项，导致计算机重启后格式化硬盘。

7.使部分软件升级主板的BIOS程序混乱，主板被破坏

8.网络瘫痪，无法提供正常的服务

 

从表现形式和传播途径发现计算机病毒

计算机病毒要进行传染，就会表现出来，留下痕迹。对计算机病毒的检测分为对内存的检测和对硬盘的检测。一般进行硬盘检测的时候，要求内存无病毒。

从原始的、为受感染的DOS系统软盘启动，可以保证内存中不带病毒。启动必须是上电启动而不是Alt+Ctrl+Del组合键。因为某些计算机病毒通过拦截键盘中断处理程序，仍然会驻留在内存之中。

 

 

6.5.2 计算机病毒的技术防范

计算机病毒的技术预防措施

1.新购置的计算机硬件软件系统的测试

新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒的软件检查已知的计算机病毒。用人工检查未知病毒，确定没有病毒后再使用。

新购置的计算机的硬盘可以通过格式化再使用。新购置的软件也要进行计算机病毒检测。

2.计算机系统的启动

尽量通过硬盘引导系统。

3.单台计算机系统的安全使用

使用移动存储进行病毒检查。对重点保护的计算机应做到专机、专人、专用，封闭使用环境中是不会自然产生计算机病毒的。

4.重要数据要有备份

5.不要随便直接运行或直接打开电子邮件中夹带的附件文件。

6.计算机网络的安全使用

（1）安装网络服务器时，确保没有计算机病毒存在。

（2）安装网络服务器时，应将文件系统划分为多个文件卷系统。

（3）一定要用硬盘启动网络服务器。

（4）为各个卷分配不用的用户权限。

（5）安装真正有效的防杀计算机病毒软件，并经常进行升级。

（6）系统管理员的职责：

1）系统管理员的口令应严格管理，不使之泄漏，不定期予以更换，保护网络系统不被非法存取。

2）在安装应用程序软件时，应由系统管理员进行。

3）系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷影定期进行计算机病毒扫描

4）网络管理员做好日常工作的同时，还应准备应急措施，及时发现计算机病毒迹象。

 

引导型计算机病毒的识别和防范

引导型计算机病毒主要是感染磁盘的引导扇区。在使用被感染的磁盘启动计算机时，它们会首先取得控制权，驻留内存后再启动系统，并伺机传染其他软盘或硬盘引导区。

几种判断是否感染引导区病毒的方法：

1.用可以磁盘引导计算机，按F5跳过驱动加载，使用Mem查看剩余内存空间。再使用和可以磁盘版本相同的未受感染磁盘启动系统，按F5跳过驱动加载，使用Mem查看剩余内存，如二者不同，则感染引导区病毒。

2.用硬盘引导计算机，运行DOS中的MEM，可以查看内存分配情况，尤其要注意常规内存的总数。一般为640KB，如果小于639KB，那么引导扇区感染了计算机病毒。

3.机器在运行过程中刚设置好的时间、日期，运行一会儿被修改为默认日期，可能系统带有引导型病毒。

4.在开机过程中，CMOS中刚好设定好的软盘配置，用“干净的”软盘启动时一切正常，但用硬盘引导后，再去读取软盘则无法读取，此时CMOS中软盘设定为NONE，一定带毒。

5.硬盘自引导正常，但用干净的软盘引导时，无法访问硬盘（特殊分区除外），带毒。

6.系统文件都正常，但Windows 95/98系统无法启动，可能是感染了引导型病毒。

预防引导型计算机病毒，通常采用以下的一些方法：

（1）坚持从不带计算机病毒的硬盘引导系统。

（2）安装能够实时监控引导扇区的防杀计算机病毒的软件，或经常对引导区进行检查。

（3）经常备份系统引导扇区；

（4）某些主板带有引导扇区病毒保护功能，启用它也有保护作用。

 

文件型计算机病毒的识别的防范

大多数计算机病毒属于文件型计算机病毒。文件型计算机病毒一般只感染磁盘上可执行文件（COM，EXE），在用户调用感染的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存，伺机传染其他文件，其特点是附着于正常程序文件，成为程序文件的外壳或一部分。通过下面方法对文件型病毒检查：

1.使用未感染的软盘启动计算机，对同一目录DIR后文件的总长度与通过硬盘引导后所列目录文件总长度不一致，则该目录下某些文件被感染。

2.有些病毒感染文件的同时也感染引导区，如果磁盘的引导区莫名其妙被破坏了，则磁盘上也可能感染文件型病毒。

3.系统文件长度发生变化，则这些系统文件上有可能有病毒代码。

4.计算机在运行过外来软件后，经常死机，或者系统无法正常启动，运行出现错误等。

5.微机速度明显变慢，曾经长时间运行的软件报内存不足，或者计算机无法正常打印。

6.从带有写保护的软盘上拷贝文件时，会提示软盘写保护。

清除文件型病毒的时候，必须保证内存无毒，否则刚刚清除后容易再次感染。

 

对于文件型病毒的防范，一般采取以下方法：

（1）安装最新版本 ，有实时监控的反病毒软件。

（2）及时更新查杀计算机病毒引擎，一般要保证一个月更新一次，有条件的每周更新一次。

（3）经常使用防病毒软件对系统进行检查。

（4）对关键文件，在没有感染计算机病毒的情况下经常备份。

（5）在不影响系统正常工作的前提下，对系统采取最小权限设置。

（6）当使用Windows系统时，修改文件夹窗口中的默认属性，显示所有隐藏的文件，并显示文件的后缀名。

 

宏病毒的识别和防范

宏病毒（Macro Virus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件。通过下列方法可以平判别宏病毒：

1.在使用Word中从选取Normal.dot模板，若发现有AutoOpen、AutoNew等自动宏或者文件操作宏以及一些奇怪的名字的宏，极有可能是感染了宏病毒，因为Normal.dot模板中不包括这些宏。

2.在Word工具菜单中看不到“宏”这个字，或无法点击，则为宏病毒。

3.打开一个文档，不进行任何操作，推出Word，如提示存盘，这极可能是Normail.dot模板中带宏病毒。

4.打开的以DOC为后缀的文档只能保存为DOT模板。

5.在运行Word中出现内存不足，打印不正常。

6.在运行Word时，打开DOC文档出现是否启动“宏”的提示。

 

电子邮件计算机病毒的识别和防范

电子邮件病毒实际上并不是一种单独的计算机病毒，严格来说，它应该划入到文件型计算机病毒及宏病毒中，只是传播方式有所改变，该类病毒特点如下：

1.电子邮件本身是无毒的，但其中包含ANSI字符，当查看邮件时有被入侵的可能。

2.电子邮件可以夹带任何类型的附件（Attachment），附件文件可能带有病毒。

3.利用某些电子邮件发送器特有的扩充功能，可以执行VBA指令编写的宏。

4.利用操作系统特有的功能。

5.超大的电子邮件、电子邮件炸弹也可以认为是一种电子邮件病毒，它影响邮件服务器。

 

 

6.5.3 计算机病毒检测方法

比较法

比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。优点是简单、方便，不需专门软件，缺点是无法确认计算机病毒的种类名称。另外，造成被检测程序与备份程序时间差别的原因也需要进一步验证。

Checksum对比法

将每个程序的档案名称、大小、时间、日期等及内容，加为一个checksum，再将checksum附于程序后面，或放入数据库中。再利用checksum来检查文件，确认是否被更改。

搜索法

搜索法是利用每一种计算机病毒含有的特征码对被检测对象进行扫描。如果在被检测对象内部发现某一种特定字串，就表明发现了该字串所代表的计算机病毒。

分析法

一般使用分析法的不是普通用户，而是防杀计算机病毒的技术人员使用分析法的目的在于：

1.确认被观察的磁盘引导区和程序中是否含有计算机病毒。

2.确认计算机病毒的类型和种类，判定其是否是一种新计算机病毒。

3.搞清楚计算机病毒体的大致结构，提取特征识别用的字串或特征字，用于增添到病毒库。

4.详细分析计算机病毒代码，并制定相应的计算机病毒防杀措施。

人工智能陷阱技术和宏病毒陷阱技术

人工智能陷阱技术是一种检测计算机行为的常驻式扫描程序。它对所有计算机程序的行为进行扫描，一旦发现内存中有程序有任何不当行为，系统就会警告用户。

宏病毒陷阱技术（Macro Trap）结合了搜索法与人工智能陷阱技术，依照行为模式侦测已知和未知的宏病毒。

软件仿真扫描法

该技术专门用来对付多态变形计算机病毒（Polymorphic/ Mutation Virus）。多态变形计算机病毒在每次传染时，都将自身以不同的随机数加密于每个感染的文件中，传统搜索法根本无法找出这种计算机病毒。软件仿真技术则是成功地方针CPU执行，在DOS虚拟机下伪装执行计算机病毒，安全并确认将其揭秘，使其显露原形。

先知扫描法

先知扫描技术（VICE, Virus Instruction Code Emulation）是继软件仿真后的一大技术突破。此方法归纳一般计算机病毒的行为特征，作为专家知识库，再配合软件模拟技术（Software Emulation）伪执行计算机病毒，超前分析出计算机病毒代码，对付以后的计算机病毒。