$1·4 计算机病毒知识

1·4·1 计算机病毒的基本概念:计算机病毒 (Computer Viruses CV)是一种特殊的具有破坏性的计算机程序，它具有自我复制能力，可通过非授权人侵而隐藏在可执行程序或数据文件申。当计算机运行时，源病毒能把自身精确拷贝或者有修改地拷贝到其它程序体内，影响和破坏正常程序的执行和数据的正确性。病毒一词是借用了生物病毒的概念，因为计算机一旦有了病毒，就如同生物体有了病毒一样，具有很强的传染性。生物病毒依赖于生物体而生存，而计算机病毒则是依赖于计算机的正常的程序而生存，如操作系统DOS下的所有可执行文件。一些病毒程序是附着在DOS系统盘的引导扇区中，在DOS启动过程中，病毒程序即被激活，从而进行传染和破坏。与生物病毒所不同的是计算机病毒是人为的，它一旦扩散，连制造者自己都会无法控制，故其危害极大，能造成巨大的经济损失和社会破坏。

1·4·2计算机病毒的特征
计算机病毒一般具有如下特征:
1·病毒的传染性:传染性是所有病毒程序都具有的共同特性。源病毒具有很强的再生能力，在系统运行过程中，病毒程序通过修改磁盘扇区信息或文件内容，并把自身嵌人其中，而不断地进行病毒的传染和扩散。
2·病毒的破坏性：病毒程序一旦侵入当前的程序体内，就会很快扩散到整个系统，凡是软件手段能触及到的地方，均可能受到计算机病毒的危害。于是就表现出破坏磁盘文件的内容、删除数据、修改文件、抢占CPU时间和内存空间、打乱屏幕的显示，从而中断一个大型计算中心的正常工作或使一个计算机网络系统瘫痪，而造成灾难性的后果。
3·病毒的隐蔽性：计算机病毒的隐蔽性表现在两方面:一是传染的隐蔽性，大多数病毒在进行传染时速度极快，一般没有外部表现，不易被人发现;二是病毒存在的隐蔽性，病毒程序大多潜伏在正常的程序之中，在其发作或产生破坏作用之前，一般不易被察觉和发现，而一旦发作，往往已经给计算机系统造成了不同程度的破坏。
4·病毒的潜伏性：病毒具有依附其它媒体而寄生的能力。病毒侵入系统后，一般不立即发作，它可以在几周或几个月或更长时间内，在系统的备份设备内复制和传染病毒程序而不被人发现，在满足激发条件时才发作。
5·病毒的可激发性：等满足一定的条件时，通过外界刺激可使病毒程序活跃起来。激发是一种条件控制，根据病毒炮制者的设定，如:在某个时间或日期、特定的用户标识符的出现、特定文件的出现或使用、一个文件使用的次数等，病毒程序在运行时，每次都要检测发作条件，在条件得到满足时，使病毒体激活并对正常程序发起攻击。

1·4·3 病毒的破坏作用：计算机病毒造成的危害是严重和多方面的，主要表现在以下几方面:
1·破坏磁盘文件分配表，使用户在磁盘上的文件无法使用。
2·删除磁盘上的可执行文件或数据文件。
3·修改或破坏文件中的数据。
4·将非法数据写入DOS等内存参数区，造成死机甚至引起系统崩溃。
5·改变磁盘分配表，造成数据写入错误。
6·在磁盘上产生坏的扇区，使磁盘可用空间减小。
7·更改或重写磁盘的卷标。
8·因病毒程序自身在系统中的多次复制而使内存可用空间减小，使得正常的数据或文件不能存储。
9·对整个磁盘或磁盘的特定磁道或扇区进行格式化。
1O·在系统中产生新信息。
11·改变系统的正常运行过程。

1·4·4 病毒的来源：所有病毒都是掌握计算机程序设计技巧的人制造的，根据对现有己了解的毒源分析，计算机病毒可能的来源有:
1·来源于计算机专业人员或业余爱好者的恶作剧而制造出的病毒。
2·公司或用户为保护自己的软件免被复制而采取的不正当的惩罚措施。
3·恶意攻击或有意摧毁计算机系统而制造的病毒。例如1987年底出现在以色列耶路撒冷西伯莱大学的"犹太人病毒"，就是公司雇员在工作中有意制造的病毒。
4·在研究或开发设计某些程序时，由于末估计到的原因而对它失去了控制所产生的破坏性程序。

1·4·5 病毒的分类：计算机病毒的种类很多，据资料统计，目前已发现的计算机病毒约有5000多种，而且极易生成许多新的变种病毒。对于计算机病毒可以从不同的角度来进行分类:
1·病毒入侵的途径
(1)源码型病毒 (Source Code Viruses)：病毒在源程序被编译之前，插入到FORTRAN、COBOL、PASCAL、C等编写的源程序中。由于编制这类病毒程序的难度较大，且受病毒程序感染的程序对象有一定的限制，故此类病毒较为少见。
(2)入侵型病毒 (Instrusive Viruses):病毒一般是针对某些特定程序而写的，它是把病毒程序的一部分插入到主程序。它一旦侵入
到某个程序中，若不破坏主程序就难以除掉病毒程序。此类病毒编写也较难。
(3)操作系统型病毒 (Operating System Viruses):病毒本身试图加入或替代部分操作系统进行工作。它能将正常DOS等系统盘上的引导程序
搬移到其它扇区，使自身占据磁盘引导扇区，在DOS等启动时，病毒乘机进入计算机内存，使系统处于带毒状态，造成病毒程序对系统持续不断地传染和攻击。如常见的"小球"、"大麻"等病毒均属此类。
(4)外壳型病毒 (Shell Vireses):病毒常隐藏在主程序的首尾，一般情况下对原来的程序不作修改。由于这种病毒易于编制，大约有半数以上的病毒是采用这种方式传播。这种病毒也容易检测和清除，只要检测可执行文件的大小，便可发现它们，采用简单覆盖方法即可清除。
以上所述的外壳型、入侵型和源码型病毒均属文件型病毒，因为它们攻击的对象是文件。目前，出现最多的病毒是操作系统型和外壳型，其申外壳型病毒更为多见。

2·病毒破坏程度
(1)良性病毒:良性病毒是只对系统的正常工作进行某些干扰，但不破坏磁盘数据和文件。如"小球"病毒。
(2)恶性病毒:恶性病毒危害性很大，它一旦发作，就会删除和破坏磁盘数据和文件内容，使系统处于瘫痪
状态。如"黑色星期五"病毒。

3·病毒攻击的机型
(1)攻击微型机的病毒:此类病毒是目前世界上存在最广泛的计算机病毒，大约有4000多种。
(2)攻击小型机的病毒:小型机的应用范围极为广泛，它既可以作为计算机网络的结点机，也可以作为网络的主机。自1988年H月Internet网络受到Worm(蠕虫)病毒攻击后，人们开始重视了病毒对小型机的进攻。
(3)攻击工作站的病毒:
(4)攻击大型机的病毒目前还没发现，但很难肯定计算机病毒不会对大型机进行攻击。

4·攻击的系统
(1)攻击DOS系统的病毒
(2)攻击Windows系统的病毒
(3)攻击Unix系统的病毒
(4)攻击OS/2系统的病毒:其中攻击DOS的病毒约占病毒总数的99%，即目前世界上发现的5000多种病毒中大多数病毒是攻击DOS系统的。
1·4·6 病毒的防治：计算机病毒的出现和蔓延，已对计算机应用和社会生活构成严重威胁。因此必须认真地做好计算机病毒防治工作。一般认为病毒的防治应从三方面人手，它们是缺一不可，即:加强思想教育、严格组织管理和加强技术措施。
下面重点介绍管理和技术措施:
1·预防病毒的传播：计算机病毒亦应以预防为主，而预防计算机病毒，主要是堵塞病毒的传播途径。目前病毒的主要传播途径是通过计算机网络和软件。网络申的共享文件一旦感染上病毒，病毒就会以很快的速度传播到各个网点上。隐藏病毒的软盘只要在无毒的机器上一经使用，该机的内存、硬盘就会被感染而成为新的病源。为了防止病毒的传播，可以采取的措施是:
(1)管理上应制定出严格的规章制度：
系统软件应指定专用。并有写保护，有硬盘的机器，一律从硬盘启动，不用软盘启动。
严禁在工作机器上进行游戏。有很多游戏软件为了防止拷贝，使用了一些加密手段，并带有病毒，作为对非法拷贝者的惩罚。
凡不需要再写人数据或不再修改的软盘，都应采取写保护。
在系统中不应使用来历不明的软盘，对交换的软件或数据文件，使用前必须先检查，确定无病毒后方可使用。
对重要的系统盘、数据盘及硬盘申的重要文件，要经常进行备份，以使系统或数据遭到破坏后能及时得到恢复。
对网络上的计算机用户，要遵守网络软件的使用规定，不能在网络上随意使用外来的软件。
定期检查软盘、硬盘和系统，以便及时发现和清除病毒。
(2)技术上可采取的对病毒的预防措施：病毒防治的技术措施，目前最常用的是利用防病毒卡和防病毒软件。防病毒卡和防病毒软件对病毒能起到预防作用。
防病毒软件的利用：防病毒软件种类很多，如以在DOS6·0以上版本提供的防病毒软件VSAFE为例。VSAFE运行后驻留于内存，冯任在线病毒警戒，监视计算机是否有病毒，若发现病毒，则显示告警信息。
防病毒卡的利用：防病毒卡是一种将软件和硬件相结合的防毒技术。它被制成一块插件板，插于主机箱内的扩展槽中。其优点是不占内存，在系统启动时，防病毒卡上的程序能为系统自动地运行，即开机后立即开始监视系统的各种异常举动，如异常的磁盘读写操作等。它只允许合法程序驻留系统内存，不允许非法程序在内存中常驻。出现异常情况及时报警。防病毒卡种类也很多，使用时参阅防病毒卡手册。
(3)尽早察觉计算机病毒：一般来说，不论何种病毒，一旦侵入系统，都会或多或少，或隐或显地给系统来不正常的现象，根据这些现象可以及早地发现病毒，并及时把它们从计算机中清除掉。下面一些现象可以作为发现病毒的参考:
屏幕上的异常现象：当屏幕，出现一些非正常信息、特殊符号、异常画面，如白斑、圆点等或屏幕突然变暗，信息消失等现象，应考虑到可能是病毒感染。
系统运行时的异常现象
·系统启动速度变慢或系统运行的速度变慢;
·机器常出现死机或不能正常启动的现象;
·系统设备无故不能使用;
·内存空间变小;
绝大部分病毒要通过驻留内存进行传染，驻留内存肯定要占据一定的内存空间。如果用CHKDSK命令或MEM命令检查用户可用内存时，会发现比原来小。
·程序装人的时间比平时长、运行异常;
·中断向量被无故地修改;
·原来能正常执行的程序在执行过程申出现异常或死机。
磁盘及磁盘启动的异常现象
·磁盘上非正常出现坏扇区;
·一些程序或数据丢失，文件不能辩识或发现不知来源的隐藏文件;
·文件长度变长，这是因为病毒程序加进到正常文件申所致，所以长度往往加长;
·磁盘空间突然变小或不识别磁盘设备;
·在进行其它操作时，系统无故在读写磁盘，表现为磁盘驱动器指示灯亮。
打印机的异常现象：打印机速度变慢或不能正常打印或打印异常符号。
总之，机器在运行中，凡出现无法解释的非正常现象，就很可能是感染病毒，应及时检测和消除病毒。
2·检测和消除病毒：为了阻止计算机病毒的扩散，一方面预防，一方面还需经常检测和消除病毒。检测和消除病毒的方法有两种，一是人工检测和消除，一是软件检测和消除。人工检测和消除难度大，技术复杂，而软件检测和消毒方法操作简单、使用方便，适合于一般的计算机用户使用。用于检测和消毒的软件种类很多， (1)我国公安部研制的KILL杀毒软件：KILL软件主要用于检测和消除病毒。KILL软件也有几个不同的版本。
(2)SCAN与CLEAN软件：SCAN与CLEAN软件是美国McAfee Associates开发的用于检测和消除计算机病毒的软件。这两个软件配合使用，可以检测和消除4000多种常见的病毒。该软件也有许多版本，其版本号越高，表示其版本越新，能检测和消除病毒的种类也越多。其使用方法基本相同:
利用SCAN软件对指定的磁盘或磁盘文件进行病毒检测，记下检测到的病毒名。
利用CLEAN软件对指定的病毒进行消除，一次只能消除指定的一种类型的病毒。
除上面列举的，还有很多其他的检测和消毒软件，这里不一一列举。需要说明的是，由于新的计算机病毒可能不断出现，所以新的杀毒软件也会随之产生。对用户来说，就必须不断更换新的杀毒软件，才可能有效地预防和消除新的计算机病毒。