浅析计算机病毒原理及其检测
计算机病毒具有很强的自我复制性,能够随着软件、程序的运行而不断进行自我繁殖和复制,如何分析计算机病毒原理及其检测?
计算机已在各个领域得到了广泛的应用,以其快捷、方便给人们的生活带来了很大的便利。但计算机病毒容易对计算机造成巨大的破坏和潜在的威胁。因此加强计算机安全工作势在必行。对一般人来讲,计算机病毒似乎是一个专业性很强的问题,但实际上稍加分析,计算机病毒的知识不像想象中的那么神秘。普通人只要认真学习一下,就能具备基本的知识,同时也能具备一些对抗计算机病毒能力,最大限度的保护自己的网络安全。
1 计算机病毒的概述
1.1 概念
一般来讲,计算机病毒是指编制或者在计算机程序中插入的对计算机的性能和数据造成破坏,进而影响计算机的正常使用并且具有自我复制功能的指令或者程序代码。《中华人民共和国计算机信息系统安全保护条例》中明确规定:病毒指在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒旳实质是一组人为的程序或代码,具有很强的破坏性、传染性和自我复制性。
1.2 计算机病毒的特点
首先,计算机病毒具有很强的自我复制性,能够随着软件、程序的运行而不断进行自我繁殖和复制,这也是判断计算机病毒的一个基本标志。其次,计算机病毒本身具有很强的传染性,计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,如果一台电脑被感染而没有得到及时处理,病毒就会通过各种途径和方式感染另一台电脑。第三,计算机病毒具有很强的破坏性,轻则导致数据的丢失和程序的不正常运转,重则导致机器瘫痪、系统损坏,这也是病毒编制者所欲达到的目的。第四是潜伏性,即病毒会潜伏在电脑一段时间,当条件具备时会自动开启,破坏电脑,而且还可以设定破坏的目标。第五,计算机病毒具有很强的隐蔽性,一般的病毒可以检测出来,但是有一些却检测不出来,变化很多。
1.3 计算机病毒的分类
根据病毒破坏性的大小分为良性病毒和恶性病毒。良性病毒是指只是为了显示自己的`存在但并不对计算机造成任何破坏的病毒,这种病毒具有一般病毒的其他特点,但是具有很小的破坏性。恶性病毒是指以破坏数据或系统为目的的病毒,一般带有很强的破坏性,有的虽然不破坏数据或系统,但是占用大量系统资源甚至导致死机现象。引导扇型病毒:一般出现在DOS的引导过程,开机时启动。它不以文件的形式存在磁盘上,没有文件名或命令显示,具有极高的隐蔽性。引导型病毒通常分为两部分:第一部分放在磁盘引导扇区中;另一部分和原引导记录放在磁盘上连续几个簇中,其位置一般放在第一部分中。各类引导型病毒引入存储过程大致相同。它们都要修改内存可用空间的大小,都植入内存的高端,并在内存高端为病毒传播留出工作空间,否则在运行其它程序时可能被覆盖;都要修改中断向量表,以便将来有机会占领CPU,否则即使在内存也如同冬眠一样,不能进行传播和破坏。文件型病毒,也被称为外壳型病毒。这种病毒主要存在于文件扩展名为.COM和.EXE等的可执行文件的头部和尾部。只要运行所在程序,病毒就会被激活,同时又传染到其他文件上,而且病毒会控制相关程序。深入型病毒是一种比较复杂的病毒,也被称之为混合型病毒,具有引导区病毒和文件型病毒两种特征,二者相互促进共同进行传染,所以传播范围比较广、清除难度大。
2 计算机病毒的检测
2.1 一般检查步骤
首先是进程选项,这是第一个排查对象。开机后在不启动任何程序的前提下打开任务管理器,查看一下是否存在可疑进程;其次查看系统进程的路径是否正确。如果进程都正确则查看是否有可疑线程注入正常程序。进程排查完毕后开启自启动项目的排查。首先用msconfig察看是否有可疑的服务,切换到服务选项卡,勾选“隐藏所有Microsoft服务”复选框,然后逐一确认剩下的服务是否正常;第二步:用msconfig察看是否有可疑的自启动项,只要切换到启动选项卡进行排查即可;最后,用Autoruns查看更详细的启动项信息。第二步开始检查网络连接,ADSL用户可以尝试使用虚拟拨号进行连接,之后用用冰刃的网络连接查看有无可疑连接。第四步可以选择安全模式安全模式开启电脑,如果无法正常进入则可能存在病毒问题,第五,映像劫持:打开注册表编辑器,查看有没有可疑的映像劫持项目,如果存在可疑项则电脑很有可能中毒。最后,CPU时间也是机器是否中毒的一个重要标志。可以通过开机后系统运行时间作参考,CPU运行时间则是一个很好的参照。
2.2 具体方法
(1)特征代码法。主要用来判断文件是否感染病毒,要求兑现关软件进行不断的更新以适应要求。特征代码法主要运用了比较法、分析法和扫描法。
(2)检验和法。通过计算正常文件内容校验和,将该校验和写入文件中或写入别的文件中保存。使用文件前通过对比前后检验和来确定文件是否感染病毒。它的弊端是不能识别病毒种类和病毒名称,而且还会影响文件的运行速度,出现错误示警。
(3)行为监测法。这种方法主要利用病毒的特有行为特性来判断是否存在病毒。每种病毒都会有自己独一无二的特性,这种方法正好充分利用了这一点。这种方法具有很强的优势,即对许多未知病毒都能够有效发现,但缺点是不能识别病毒名称,实现起来有一定的难度。
(4)软件模拟法。主要是利用相关软件来模式和分析程序的运行状况,确定有无病毒。