2.5.1　計算機病毒

隨著互聯(lián)網(wǎng)日益廣泛的使用，計算機病毒正以前所未有的速度殃及全球，給國家和個人帶來重大損失。

1.計算機病毒的定義

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（1994年）第28條中，將計算機病毒定義為：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

病毒總是想方設(shè)法在正常程序運行之前運行，并處于特權(quán)級狀態(tài)。這段程序代碼一旦進入計算機并得以執(zhí)行，對計算機的某些資源進行監(jiān)視。它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。

任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計算機工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。

2.計算機病毒的特性

大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊，只有這樣它才可進行廣泛地傳播。

計算機病毒具有以下特性：

（1）傳染性

傳染性是病毒的基本特征，也是確定一個程序是否為病毒的首要條件。計算機病毒一旦奪取了計算機的控制權(quán)（占領(lǐng)CPU）就把自身傳染到內(nèi)存、硬盤和軟盤，有的還立即傳染到存儲器的所有文件中。網(wǎng)絡(luò)中的病毒可傳染該網(wǎng)絡(luò)中的所有計算機系統(tǒng)，移動盤的可移動性使得所有使用該盤的計算機系統(tǒng)均可能被傳染。

（2）隱蔽性

計算機病毒是嵌在正常程序當(dāng)中的，一般只有幾百字節(jié)或幾千字節(jié)，而PC對文件的存取速度可達每秒幾十兆字節(jié)，所以病毒轉(zhuǎn)瞬之間便可附著到正常程序之中，使人不易被察覺。

（3）破壞性

計算機病毒的目的是為了破壞數(shù)據(jù)或軟硬件資源。計算機病毒的破壞性因計算機病毒的種類不同而差別很大。有的計算機病毒僅干擾軟件的運行并不破壞該軟件；有的無限制地侵占系統(tǒng)資源，使系統(tǒng)無法運行；有的甚至可以毀壞整個系統(tǒng)，使該系統(tǒng)無法啟動。

（4）潛伏性

計算機病毒并不是一傳染給別的程序后就立即發(fā)作，而是等待著一定條件的發(fā)生，在此期間它們不斷地傳染新對象，一旦滿足條件發(fā)作時破壞的范圍更大。如“黑色星期五”病毒逢13號的星期五發(fā)作。

（5）可觸發(fā)性

計算機病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運行時，觸發(fā)機制檢查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。

3.計算機病毒的類型

計算機病毒的分類方法有多種，可以按病毒對計算機破壞的程度、傳染方式、按連接方式等來分類。

（1）按病毒對計算機破壞的程度分類

按病毒對計算機破壞的程度可將病毒分為良性病毒與惡性病毒。

①良性病毒是指那些只表現(xiàn)自己而不破壞系統(tǒng)數(shù)據(jù)的病毒。它多數(shù)是惡作劇者的產(chǎn)物，其目的不是為了對系統(tǒng)數(shù)據(jù)進行破壞，而是為了讓使用這種被傳染的計算機系統(tǒng)用戶通過屏幕顯示的表現(xiàn)形式，了解一下病毒程序編寫者在計算機編程技術(shù)與技巧方面的才華。但這種病毒在一定程度上對系統(tǒng)也有破壞作用（稱之為副作用）。這類病毒較多，如GENP、小球、W-BOOT等。

②惡性病毒的目的在于人為地破壞計算機系統(tǒng)的數(shù)據(jù)、刪除文件或?qū)τ脖P進行格式化，甚至有些病毒既不刪除計算機系統(tǒng)的數(shù)據(jù)，也不格式化硬盤，而只是對系統(tǒng)數(shù)據(jù)進行修改，這樣的病毒所造成的危害具有較大破壞性，有的占用系統(tǒng)資源（如大麻病毒等），有的可能刪除執(zhí)行文件（如黑色星期五病毒等），甚至在某種條件下使機器死鎖。

（2）按病毒的傳染方式分類

按病毒的傳染方式可以將計算機病毒分為引導(dǎo)區(qū)型病毒、文件型病毒、混合型病毒。

①引導(dǎo)區(qū)型病毒（BOOT Sector Virus）：開機啟動時，在系統(tǒng)的引導(dǎo)過程中被引入內(nèi)存的病毒稱之為引導(dǎo)病毒。引導(dǎo)區(qū)型病毒不以文件的形式存在磁盤上，沒有文件名，不能用DIR命令顯示，也不能用DEL命令刪除，十分隱蔽。例如圓點病毒、大麻病毒及BRAIN病毒等均屬這類。

②文件型病毒：也常稱為外殼型病毒。這種病毒的載體是可執(zhí)行文件，即文件擴展名為.com和.exe等的程序，它們存放在可執(zhí)行文件的頭部或尾部。將病毒的代碼加載到運行程序的文件中，只要運行該程序，病毒就會被激活，同時又會傳染給其他文件。

宏病毒是一種特殊的文件型病毒，主要是使用某個應(yīng)用程序自帶的宏編程語言編寫的病毒，如感染W(wǎng)ord系統(tǒng)的Word宏病毒、感染Excel系統(tǒng)的Excel宏病毒和感染Lotus Ami Pro的宏病毒等，它們可感染數(shù)據(jù)文件。

③混合型病毒：具有引導(dǎo)區(qū)病毒和文件型病毒兩種特征，以兩種方式進行傳染。這種病毒既可以傳染引導(dǎo)扇區(qū)又可以傳染可執(zhí)行文件，從而使它們的傳播范圍更廣。也更難于被消除干凈，如FILP病毒就屬此類。

（3）按連接方式分類

病毒按連接方式分為源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒等四種。

①源碼型病毒：源碼病毒主要攻擊高級語言編寫的源程序，它會將自己插入系統(tǒng)的源程序中，并隨源程序一起編譯、連接成可執(zhí)行文件，從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒。不過該病毒較為少見，亦難以編寫。

②入侵型病毒：入侵型病毒則是那些用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒，它只攻擊某些特定程序，針對性強，一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。

③操作系統(tǒng)型病毒：操作系統(tǒng)型病毒則是用其自身部分加入或替代操作系統(tǒng)的部分功能，危害性較大。

④外殼型病毒：外殼型病毒主要是將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個外殼，大部分的文件型病毒都屬于這一類。

4.計算機病毒的預(yù)防

搞好計算機病毒的防治是減少其危害的有力措施，防治的辦法一是從管理入手，二是采取一些技術(shù)手段，如定期利用殺毒軟件檢查和清除病毒或安裝防病毒卡等。

（1）管理措施

①不要隨意使用外來的U盤和各種可移動硬盤，必須使用時務(wù)必先用殺毒軟件掃描，確信無毒后方可使用。

②不要使用來源不明的程序，尤其是游戲程序，這些程序中很可能有病毒。

③不要到網(wǎng)上隨意下載程序或資料，對來源不明的郵件不要隨意打開。

④不要使用盜版光盤上的軟件，甚至不要將盜版光盤放入光驅(qū)內(nèi)，因為自啟動程序便可能使病毒傳染到你的計算機上。

⑤對重要的數(shù)據(jù)和程序應(yīng)做獨立備份，以防萬一。

⑥對特定日期發(fā)作的病毒應(yīng)作提示公告。

（2）技術(shù)措施

①殺毒軟件：沒有絕對完美的殺毒軟件，公認的比較著名的殺毒軟件有卡巴斯基、F-SECURE、Macfe、諾頓、趨勢科技、熊貓、NOD32、AVG、F-PORT、瑞星、江民、金山毒霸等。每個殺毒軟件都有自身的優(yōu)勢，當(dāng)然也有不足之處。

②防病毒卡：防病毒卡是用硬件的方式保護計算機免遭病毒的感染。國內(nèi)使用較多的產(chǎn)品有瑞星防病毒卡、化能反病毒卡等。防病毒卡有以下特點：防病毒卡是以病毒機理入手進行有效的檢測和防范，因此可以檢測出具有共性的一類病毒，包括未曾發(fā)現(xiàn)的病毒；防病毒卡既能防止外來病毒的侵入，又能抑制已有的病毒向外擴散；任何殺毒軟件都不能保證自身不被病毒感染，而防病毒卡是采用特殊的硬件保護，使自身免遭病毒感染。

5.計算機病毒的清除

計算機病毒的清除是指從內(nèi)存、磁盤系統(tǒng)區(qū)和文件中清除掉病毒程序，恢復(fù)原先的正常狀態(tài)。殺毒軟件是在發(fā)現(xiàn)病毒后編寫的，因此它一般不能對未知病毒進行清除。現(xiàn)有軟件必須在發(fā)現(xiàn)新病毒之后進行版本升級。

對于計算機病毒我們可用以下方法進行清除。

（1）用殺毒軟件殺毒。

（2）認真做好殺毒軟件里的各項設(shè)置。

通常一個殺毒軟件在首次運行時，其默認的殺毒設(shè)置是不能符合用戶需要的，所以，用戶必須因“毒”制宜對它進行相應(yīng)的設(shè)置，如：

當(dāng)不能確定病毒的性質(zhì)時，應(yīng)在“查殺設(shè)置”中選中“所有文件”，包括“查壓縮文件、包含子文件夾、查未知宏病毒、清除未知宏病毒（所有宏）”等，這樣，查殺才能更為充分廣泛和深入，避免漏殺。

如果已知道了該病毒的性質(zhì)，則應(yīng)有選擇地做好各方面的設(shè)置。

（3）在系統(tǒng)的安全模式下進行殺毒。在Windows的環(huán)境下殺過之后，還要在安全模式下進行查殺，這樣才可以更徹底地清除掉計算機上的病毒。

（4）運用手工殺除該病毒的原理進行檢查，看看是否還有該病毒存在。如果是那些難以根除的病毒，會很難殺干凈，這是我們可以做如下操作：首先，刪除所有能感染但不重要的文件，如歡樂時光容易感染的文件主要是“htm”或“html”“asp”類文件，這些多數(shù)是網(wǎng)頁類文件，接著進行手工殺掉該病毒的方法，然后再靈活地運用這個原理來搜索還有沒有文件帶有該病毒。

（5）用手工刪除用以解釋、運行該病毒的程序文件。如果用盡了所有的辦法都不能徹底地將病毒消滅掉的話，最好在不影響重要的程序執(zhí)行的情況下，將用以解釋、運行該病毒的程序文件刪除。如果刪除某些程序文件后使某些你要用的程序不能運行，則可在徹底消滅病毒、確認病毒不再有復(fù)發(fā)的可能后，再重新安裝被破壞的程序或系統(tǒng)。假如感染病毒的磁盤沒有重要文件，也可以格式化磁盤（一定要慎重操作），計算機病毒連同你所有的文件將一并刪除。