计算机病毒及其预防-计算机网络基础

“计算机病毒”一词最早是由美国计算机病毒研究专家F.Cohen 博士提出的，是借用生物学中的病毒，因为它与生物病毒有着相似之处，计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据并影响计算机使用，能够自我复制的一组计算机指令或者程序代码。

计算机病毒在结构上有共同性，一般包括引导部分、传染部分和表现部分：

（1）引导部分。引导部分是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染做准备。

（2）传染部分。传染部分的作用是将病毒代码复制到目标上。一般病毒在对目标进行传染前，要先判断传染条件是否满足，判断病毒是否已经感染过该目标等。

（3）表现部分。表现部分是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。

1.病毒的基本特性

（1）传染性。对于绝大多数病毒来讲，传染是它的一个重要特性。病毒可以通过各种渠道从已被感染的计算机扩散到未被感染的计算机，病毒一旦进入计算机并得以执行，便会搜寻符合其传染条件的程序和存储介质，它通过修改其他程序，并将自己全部代码复制在外壳中，从而达到扩散的目的。

（2）隐蔽性。有些病毒是编程技巧极高的短小精悍的程序，一般只有几百个字节或1～2 KB，并巧妙地隐藏在正常程序或磁盘的隐蔽部位，若不经过代码分析，病毒程序与正常程序无法区分开来。

（3）破坏性。凡是软件手段能触及计算机资源的地方均可能受到病毒的破坏。任何病毒只要侵入计算机，一旦发作，都会对系统及应用程序产生不同程度的破坏。轻者降低计算机性能，重者可导致系统崩溃，破坏数据，造成无法挽回的损失。其表现包括：占用CPU 时间和内存开销，从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示等。

（4）潜伏性。很多病毒在感染计算机后，一般不会马上发作，需要等一段时间，它可长期隐藏在计算机中，当满足其发挥条件时才发挥其破坏作用。

2.病毒的分类

（1）引导型病毒。引导型病毒是一种在ROM BIOS 之后，系统引导时出现的病毒。它先于操作系统运行，依托的环境是BIOS 中断服务程序。引导型病毒利用操作系统的引导模块放在某个固定的位置，并且控制权的传递方式是以物理地址为依据，而不是以操作系统引导区的内容为依据的，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中伺机传染、发作。

引导型病毒按其所在的引导区不同又可分为MBR（主引导区）病毒和BR（引导区）病毒两类。MBR 病毒将病毒寄生在硬盘分区主引导程序所占据的硬盘，头柱面第1 个扇区中。典型的病毒有大麻（stoned），2708 等；BR 病毒是将病毒寄生在硬盘逻辑0 扇区或软盘逻辑0 扇区（即0 面0 道第1 个扇区）。典型的病毒有Brain、小球病毒等。

引导型病毒几乎都会常驻在内存中，差别只在于内存中的位置。所谓“常驻”，是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它时都到硬盘中搜索，以提高效率。

引导区感染了病毒，用格式化程序（format）可清除病毒。如果主引导区感染了病毒，用格式化程序（format）是不能清除该病毒的，可以用 FDISK / MBR 清除该病毒。

（2）文件型病毒。文件型病毒主要以感染文件扩展名为“.com”“.exe”和“.bat”等可执行程序为主。(www.xing528.com)

在用户调用感染病毒的可执行文件时，病毒首先被运行，然后驻留内存伺机传染其他文件或直接传染其他文件。

文件型病毒的特点是附着于正常的程序文件，成为程序文件的一个外壳或部件。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引入内存，像“黑色星期五”“1575”等就是文件型病毒。

大多数的文件型病毒都会把自己的代码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长，但用户不一定能用dir 命令列出其感染病毒前的长度。也有部分病毒是直接改写“受害文件”的程序码，因此感染病毒后文件的长度仍然不变。

感染病毒的文件被执行后，病毒通常会趁机再对下一个文件进行传染。有的病毒会在每次进行传染时，针对其新宿主的状况而编写新的病毒码，然后才进行感染。因此，这种病毒没有固定的病毒码，以扫除病毒码的方式来检测病毒的杀毒软件对这类病毒不起作用。但是随着反病毒技术的发展，针对这种病毒现在也有了有效手段。

（3）混合型病毒。既感染主引导区或引导区，又感染文件的病毒称为混合型病毒。当感染了此种病毒的磁盘用于引导系统或调用执行染毒文件时，病毒都会被激活。因此在检测、清除复合型病毒时，必须全面彻底清除，如果只发现该病毒的一个特性，把它只当作引导型或文件型病毒进行清除，虽然好像是清除了，但还留有隐患，这种经过杀毒后的“洁净”系统更赋有攻击性。如1997年国内流行较广的TPVO-3783（SPY）、Flip 病毒、新世纪病毒、One-Half 病毒等都属于混合型病毒。

3.病毒的技术防范

病毒的技术预防措施一般包括如下几个方面：

（1）新购置的计算机硬件和软件系统都要经过测试。

（2）计算机系统尽量使用硬盘启动。

（3）对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭的使用环境中是不会自然产生计算机病毒的。

（4）重要数据文件定期备份。

（5）不要随便直接运行或直接打开电子邮件中夹带的附件文件，不要随意下载软件，尤其是一些可执行文件和Office 文档。即使下载了，也要先用最新的杀毒软件来检查。

（6）安装正版杀毒软件，并经常进行升级。

（7）安装病毒防火墙，从网络出入口保护整个网络不受计算机病毒的侵害。

说明：杀毒软件与防火墙不同，防火墙将攻击抵挡在本地网之外，而对进入系统的攻击无能为力；杀毒软件则专门针对潜入内部的攻击进行追捕。杀毒软件防内，防火墙防外，两者相互配合，使网络的安全性能更好。