計(jì)算機(jī)病毒的原理和防范
計(jì)算機(jī)病毒的原理和防范
計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同,計(jì)算機(jī)病毒不是天然存在的,是人利用計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。下面是學(xué)習(xí)啦小編收集整理的計(jì)算機(jī)病毒的原理和防范,希望對(duì)大家有幫助~~
計(jì)算機(jī)病毒的原理
病毒依附存儲(chǔ)介質(zhì)軟盤、 硬盤等構(gòu)成傳染源。病毒傳染的媒介由工作的環(huán)境來(lái)定。病毒激活是將病毒放在內(nèi)存, 并設(shè)置觸發(fā)條件,觸發(fā)的條件是多樣化的, 可以是時(shí)鐘,系統(tǒng)的日期,用戶標(biāo)識(shí)符,也可以是系統(tǒng)一次通信等。條件成熟病毒就開始自我復(fù)制到傳染對(duì)象中,進(jìn)行各種破壞活動(dòng)等。病毒的傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中,病毒復(fù)制一個(gè)自身副本到傳染對(duì)象中去。
感染策略為了能夠復(fù)制其自身,病毒必須能夠運(yùn)行代碼并能夠?qū)?nèi)存運(yùn)行寫操作。基于這個(gè)原因計(jì)算機(jī)病毒工作原理,許多病毒都是將自己附著在合法的可執(zhí)行文件上。如果用戶企圖運(yùn)行該可執(zhí)行文件,那么病毒就有機(jī)會(huì)運(yùn)行。病毒可以根據(jù)運(yùn)行時(shí)所表現(xiàn)出來(lái)的行為分成兩類。非常駐型病毒會(huì)立即查找其它宿主并伺機(jī)加以感染,之后再將控制權(quán)交給被感染的應(yīng)用程序。常駐型病毒被運(yùn)行時(shí)并不會(huì)查找其它宿主。相反的,一個(gè)常駐型病毒會(huì)將自己加載內(nèi)存并將控制權(quán)交給宿主。該病毒于背景中運(yùn)行并伺機(jī)感染其它目標(biāo)?! 》浅qv型病毒非常駐型病毒可以被想成具有搜索模塊和復(fù)制模塊的程序。搜索模塊負(fù)責(zé)查找可被感染的文件,一旦搜索到該文件,搜索模塊就會(huì)啟動(dòng)復(fù)制模塊進(jìn)行感染。
常駐型病毒常駐型病毒包含復(fù)制模塊,其角色類似于非常駐型病毒中的復(fù)制模塊。復(fù)制模塊在常駐型病毒中不會(huì)被搜索模塊調(diào)用。病毒在被運(yùn)行時(shí)會(huì)將復(fù)制模塊加載內(nèi)存,并確保當(dāng)操作系統(tǒng)運(yùn)行特定動(dòng)作時(shí),該復(fù)制模塊會(huì)被調(diào)用。例如,復(fù)制模塊會(huì)在操作系統(tǒng)運(yùn)行其它文件時(shí)被調(diào)用。在這個(gè)例子中,所有可以被運(yùn)行的文件均會(huì)被感染。常駐型病毒有時(shí)會(huì)被區(qū)分成快速感染者和慢速感染者??焖俑腥菊邥?huì)試圖感染盡可能多的文件。例如,一個(gè)計(jì)算機(jī)病毒工作原理快速感染者可以感染所有被訪問(wèn)到的文件。這會(huì)對(duì)殺毒軟件造成特別的問(wèn)題。當(dāng)運(yùn)行全系統(tǒng)防護(hù)時(shí),殺毒軟件需要掃描所有可能會(huì)被感染的文件。如果殺毒軟件沒(méi)有察覺(jué)到內(nèi)存中有快速感染者,快速感染者可以借此搭便車,利用殺毒軟件掃描文件的同時(shí)進(jìn)行感染??焖俑腥菊咭蕾嚻淇焖俑腥镜哪芰?。但這同時(shí)會(huì)使得快速感染者容易被偵測(cè)到,這是因?yàn)槠湫袨闀?huì)使得系統(tǒng)性能降低,進(jìn)而增加被殺毒軟件偵測(cè)到的風(fēng)險(xiǎn)。相反的,慢速感染者被設(shè)計(jì)成偶而才對(duì)目標(biāo)進(jìn)行感染,如此一來(lái)就可避免被偵測(cè)到的機(jī)會(huì)。例如,有些慢速感染者只有在其它文件被拷貝時(shí)才會(huì)進(jìn)行感染。但是慢速感染者此種試圖避免被偵測(cè)到的作法似乎并不成功。
免殺技術(shù)以及新特征免殺是指:對(duì)病毒的處理,使之躲過(guò)殺毒軟件查殺的一種技術(shù)。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說(shuō)“病毒比殺毒軟件還新,所以殺毒軟件根本無(wú)法識(shí)別它是病毒”,但由于傳播后部分用戶中毒向殺毒軟件公司舉報(bào)的原因,就會(huì)引起安全公司的注意并將之特征碼收錄到自己的病毒庫(kù)當(dāng)中,病毒就會(huì)被殺毒軟件所識(shí)別。
病毒作者可以通過(guò)對(duì)病毒進(jìn)行再次保護(hù)如使用匯編加花指令或者給文檔加殼就可以輕易躲過(guò)殺毒軟件的病毒特征碼庫(kù)而免于被殺毒軟件查殺。
美國(guó)的Norton Antivirus、McAfee、PC-cillin,俄羅斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等產(chǎn)品在國(guó)際上口碑較好,但殺毒、查殼能力都有限,目前病毒庫(kù)總數(shù)量也都僅在數(shù)十萬(wàn)個(gè)左右。
自我更新性是近年來(lái)病毒的又一新特征。病毒可以借助于網(wǎng)絡(luò)進(jìn)行變種更新,得到最新的免殺版本的病毒并繼續(xù)在用戶感染的計(jì)算機(jī)上運(yùn)行,比如熊貓燒香病毒的作者就創(chuàng)建了“病毒升級(jí)服務(wù)器”,在最勤時(shí)一天要對(duì)病毒升級(jí)8次,比有些殺毒軟件病毒庫(kù)的更新速度還快,所以就造成了殺毒軟件無(wú)法識(shí)別病毒。
除了自身免殺自我更新之外,很多病毒還具有了對(duì)抗它的“天敵”殺毒軟件和防火墻產(chǎn)品反病毒軟件的全新特征,只要病毒運(yùn)行后,病毒會(huì)自動(dòng)破壞中毒者計(jì)算機(jī)上安裝的殺毒軟件和防火墻產(chǎn)品,如病毒自身驅(qū)動(dòng)級(jí)Rootkit保護(hù)強(qiáng)制檢測(cè)并退出殺毒軟件進(jìn)程,可以過(guò)主流殺毒軟件“主動(dòng)防御”和穿透軟、硬件還原的機(jī)器狗,自動(dòng)修改系統(tǒng)時(shí)間導(dǎo)致一些殺毒軟件廠商的正版認(rèn)證作廢以致殺毒軟件作廢,從而病毒生存能力更加強(qiáng)大。
免殺技術(shù)的泛濫使得同一種原型病毒理論上可以派生出近乎無(wú)窮無(wú)盡的變種,給依賴于特征碼技術(shù)檢測(cè)的殺毒軟件帶來(lái)很大困擾。近年來(lái),國(guó)際反病毒行業(yè)普遍開展了各種前瞻性技術(shù)研究,試圖扭轉(zhuǎn)過(guò)分依賴特征碼所產(chǎn)生的不利局面。目前比較有代表性產(chǎn)品的是基于虛擬機(jī)技術(shù)的啟發(fā)式掃描軟件,代表廠商N(yùn)OD32,Dr.Web,和基于行為分析技術(shù)的主動(dòng)防御軟件,代表廠商中國(guó)的微點(diǎn)主動(dòng)防御軟件等。
計(jì)算機(jī)病毒防范
1、定期給系統(tǒng)打補(bǔ)丁,或者說(shuō)是進(jìn)行系統(tǒng)更新。最簡(jiǎn)單的解決方法是打開系統(tǒng)帶的自動(dòng)更新。
2、定期更新安全防護(hù)軟件。基本上所有的安全防護(hù)軟件都提供了自動(dòng)更新,推薦將其打開。切記不要同時(shí)安裝超過(guò)一套安全防護(hù)軟件,即便是看起來(lái)沒(méi)有什么沖突或者錯(cuò)誤。因 為系統(tǒng)的底層資源是固定的,多個(gè)軟件爭(zhēng)奪勢(shì)必造成功能損失。這里推薦幾套軟件,要說(shuō)的一點(diǎn)是選擇安全產(chǎn)品是要針對(duì)用戶習(xí)慣,需求等來(lái)確定的,不要人云亦 云:ESET NOD32,卡巴斯基,Norton,Mcafee,瑞星,江民。對(duì)于ARP攻擊頻繁的地方強(qiáng)烈推薦使用ESET NOD32和瑞星,防御效果相對(duì)更好。這里要注意的是ARP攻擊分客戶端和網(wǎng)關(guān)端兩種,我們能防御的都是客戶端的這種,如果服務(wù)器端受到了有效的攻擊我們也無(wú)能為力,這也是有的朋友遇到了裝了ARP攻擊防御軟件仍然出現(xiàn)問(wèn)題的原因。最根本的解決辦法是ARP雙向靜態(tài)綁定(客戶端和網(wǎng)關(guān)都綁定)。另外,ADSL用戶如果只有一臺(tái)電腦上網(wǎng)則不存在風(fēng)險(xiǎn),可以放心關(guān)閉ARP防御功能。
3、不要把所有安全責(zé)任都丟給安全防護(hù)軟件。安全防護(hù)軟件僅僅是保證計(jì)算機(jī)安全的工具。U盤,游戲,QQ,網(wǎng)頁(yè)掛馬,局域網(wǎng)已經(jīng)成為傳播病毒的基本途徑。很多人的U盤上都有不只一中病毒,而游戲,QQ,網(wǎng)頁(yè)病毒多數(shù)是因?yàn)榻?jīng)濟(jì)利益問(wèn)題。一般情況下安全軟件的主動(dòng)防御和文件監(jiān)控能起到比較好的效果,尤其是在有移動(dòng)設(shè)備如U盤,移動(dòng)硬盤,SD卡等接入前,最好打開這些監(jiān)控,并查看是否屏蔽了U盤自動(dòng)運(yùn)行。不要瀏覽非法包含非法信息的網(wǎng)站,因?yàn)檫@樣的網(wǎng)站多數(shù)都帶有病毒或者惡意插件安裝。即使開啟了自動(dòng)更新,主動(dòng)防御和文件監(jiān)控,也要定期進(jìn)行全盤掃描,一般需要在1-2周進(jìn)行一次,掃描前需要手工更新殺毒軟件的病毒庫(kù)和引擎到最新版本。不要隨便打開別人給的文件,即使對(duì)方是可以信任的朋友,因?yàn)闊o(wú)法確定他知不知道已經(jīng)感染了。而且殺毒軟件不能有效地控制未知病毒,而很多時(shí)候都是有不少用戶被感染了,才有安全公司在病毒庫(kù)上添加了記錄。同時(shí)不可輕易相信任何殺毒軟件的可疑程度檢測(cè),那個(gè)基本上都是沒(méi)有多少可信度的。這項(xiàng)技術(shù)一直都是實(shí)驗(yàn)室水平的,對(duì)于實(shí)際應(yīng)用基本沒(méi)有什么價(jià)值,之所以會(huì)發(fā)布是因?yàn)楦鱾€(gè)公司之間的商業(yè)競(jìng)爭(zhēng),有的公司拿這個(gè)來(lái)吸引不知情的用戶,導(dǎo)致了惡性的循環(huán)。當(dāng)然,病毒家族檢測(cè)現(xiàn)在已經(jīng)比較成熟了,如果殺毒軟件提示是哪個(gè)病毒的變種,這個(gè)就需要小心了。
4、注意文件備份,特別是重要文件更是如此。備份可以使數(shù)據(jù)丟失時(shí)損失盡可能少。有很多 人因?yàn)橹辛瞬《拘列量嗫喾e累了很多年的文件都因?yàn)楸徊《靖腥緹o(wú)法清除而不得不與之揮手告別,實(shí)際上可以通過(guò)備份來(lái)解決這些問(wèn)題。但是最好不要在當(dāng)前硬盤或 者U盤中備份,因?yàn)槲覀円Wo(hù)的就是它們上面的數(shù)據(jù)??梢圆捎霉獗P備份,現(xiàn)在DVD刻錄機(jī)和光盤的價(jià)格也越來(lái)越低,這不失為一中好的選擇。切記不要以為系統(tǒng)做了Ghost鏡像就沒(méi)有問(wèn)題了,眾所周知,熊貓燒香會(huì)刪除它能發(fā)現(xiàn)的所有Ghost鏡像。實(shí)際上這個(gè)技術(shù)是很基礎(chǔ)的,主要是看病毒作者是否想要添加這樣的功能。
5、注意文件保密,對(duì)于有需要的文件進(jìn)行加密。有些人會(huì)在計(jì)算機(jī)上安裝“閃盤窺探者”,會(huì)試圖把連接到機(jī)器上的移動(dòng)儲(chǔ)存設(shè)備的文件全部復(fù)制到一個(gè)指定的地方,這樣會(huì)使U盤里的重要文件暴露出去。加密方式上有很多U盤和移動(dòng)硬盤支持加密功能,可以直接使用。但是大部分的還是沒(méi)有這個(gè)功能的,這種情況下,對(duì)于Office文檔不要直接使用軟件自帶的加密方式,因?yàn)楹苋菀灼平?。?shí)際上rar,zip等壓縮程序的加密也很難應(yīng)對(duì)暴力破解,而這些格式通常都已經(jīng)有了很完整的暴力破解工具。這里只能提醒大家使用的密碼盡量長(zhǎng)一點(diǎn),比如12-16位的一般就很難破解了,同時(shí)不要使用英文單詞,生日,姓名,游戲帳號(hào)等信息作為密碼,也不要單純地使用數(shù)字或字母。一個(gè)很好的辦法是想一句話,然后把這句話的每個(gè)單詞(如果是英文)或者是每個(gè)字的拼音(漢字的話)的第一個(gè)字母組成一串,然后在里面添加上標(biāo)點(diǎn)符號(hào)和數(shù)字(根據(jù)喜好,可以不改變標(biāo)點(diǎn)符號(hào)的位置)。這種方法創(chuàng)建出來(lái)的密碼既容易記又有很高的保密性,同樣適用于其他場(chǎng)合。如果有更高的安全要求,還可以使用GnuPG這樣的密鑰策略,2048位的密鑰容量很是夠用,而且配套工具也比較齊全,可以方便使用。
6、謹(jǐn)慎對(duì)待各種小程序,小工具,比如注冊(cè)機(jī),Hash程序等等。因?yàn)槊麣獠淮笏圆粫?huì)受到很多人的檢驗(yàn),有的時(shí)候下載的文件其實(shí)和原版的文件不一樣,或者原版的文件就包含了惡意代碼。部分內(nèi)存注冊(cè)機(jī)會(huì)被一些殺毒軟件報(bào)毒,是因?yàn)樵诔绦蜻\(yùn)行時(shí)正常情況下一個(gè)程序不應(yīng)該直接修改其他應(yīng)用程序的內(nèi)存,而內(nèi)存注冊(cè)機(jī)卻正是通過(guò)這種辦法實(shí)現(xiàn)破解的。
7、不要隨便點(diǎn)“確定”“是”“允許”“下一步”一類的按鈕。通常情況下很多用戶習(xí)慣了看見(jiàn)對(duì)話框或者提示就點(diǎn)這些內(nèi)容,但是這種習(xí)慣也為病毒感染提供了條件,很多時(shí)候殺毒軟件或者系統(tǒng)的UAC(針對(duì)Vista)會(huì)阻止不應(yīng)該運(yùn)行的程序運(yùn)行,但是如果點(diǎn)了這些,很多時(shí)候是允許他們運(yùn)行,這是一個(gè)習(xí)慣問(wèn)題,不要因?yàn)槊刻禳c(diǎn)“允許”花了眼,手一滑就讓不該運(yùn)行的東西運(yùn)行了。這樣也能阻止很多惡意插件的安裝。很多人安裝應(yīng)用程序的時(shí)候總是一路點(diǎn)擊下一步,這樣也會(huì)導(dǎo)致很多的不需要的插件被安裝。而每一次這樣的軟件安裝,都是會(huì)給軟件作者一定的收入的,而且收入相當(dāng)高,一般每安裝成功一例就是1元錢左右。
8、不懂的情況下不要玩病毒或者研究黑客技術(shù)。因?yàn)楹芏鄷r(shí)候那些工具也都被封裝者添加了病毒,而你又不能讓殺毒軟件來(lái)?yè)v鬼,這個(gè)時(shí)候就很無(wú)奈了。沒(méi)有解決不了的問(wèn)題,還是不要因?yàn)橐稽c(diǎn)小事而要把別人黑了或者怎么樣了。
計(jì)算機(jī)病毒的原理和防范相關(guān)文章:
5.有關(guān)計(jì)算機(jī)病毒原理與防護(hù)論文