随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件屡屡发生,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。同时随着网际互联网的迅猛发展,电子邮件成为人们相互交流最常使用的工具,于是它也成了电子邮件型病毒的重要载体,最近几年,出现了许多危害极大的邮件型病毒,如“I LOVE YOU”病毒、“库尔尼科娃”病毒、“Homepage”病毒以及“求职信”病毒等,这些病毒主要是利用电子邮件作为传播途径,而且一般都是选择Microsoft Outlook侵入,利用Outlook的可编程特性完成发作和破坏。因此,防范计算机病毒将越来越受到世界各国的高度重视。
7.3.1计算机中毒的现象
在清除计算机病毒的过程中,有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起,同时有些病毒发作现象又与硬件或软件的故障现象相类似,如引导型病毒等。这给用户造成了很大的麻烦,许多用户往往在用各种查杀病毒软件查不出病毒时就去格式化硬盘,不仅影响了硬盘的寿命,而且还不能从根本上解决问题。所以,正确区分计算机的病毒与故障是保障计算机系统安全运行的关键。
1.计算机病毒的现象
在一般情况下,计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散,病毒发作时危及计算机的正常工作,破坏数据与程序,侵犯计算机资源。计算机在感染病毒后,总是有一定规律地出现异常现象:
(1)屏幕显示异常,显示出不是由正常程序产生的特殊画面或字符串,或屏幕显示混乱等现象。
(2)电源正常的情况下,系统突然自行重新引导。
(3)内存空间不应有的减少。
(4)程序的运行时间显著加长。
(5)系统无故死锁。
(6)扬声器发出不是由正常程序产生的异常声响或乐曲。
(7)文件发生不应有的变化(主要是可执行文件),如文件长度突然增加,日期、时间被改变等,有时是文件莫名其妙地丢失或被破坏。
(8)磁盘坏区突然增多,卷标自行变化。
(9)本来可以工作的软件突然不能工作或工作不正常,字库或数据库无故不能使用。
(10)在没有安排向磁盘读写数据时,磁盘的指示灯闪亮。这多数发生在病毒攻击磁盘或文件的情况下。
(11)打印机突然工作不正常,如打印机接而不通。
(12)硬盘C不能启动系统。
(13)用软盘引导系统时,结果却变成C盘启动。
(14)系统经常出现“写保护错”的提示信息。
如果出现上述现象时,应首先对系统的BOOT区、IO。SYS、MSDOS。SYS、COMMAND。COM、。COM、。EXE文件进行仔细检查,并与正确的文件相比较,如有异常现象则可能感染病毒。然后对其他文件进行检查,有无异常现象,找出异常现象的原因。病毒与故障的区别的关键是,一般故障只是无规律的偶然发生一次,而病毒的发作总是有规律的。
2.与病毒现象类似的硬件故障
硬件的故障范围不太广泛,但是很容易被确认。在处理计算机的异常现象时很容易被忽略,只有先排除硬件故障,才是解决问题的根本。
(1)系统的硬件配置。
这种故障常在兼容机上发生,由于配件的不完全兼容,导致一些软件不能够正常运行。例如:一台兼容机,联迅绿色节能主板,昆腾大脚硬盘,开始时安装小软件非常顺利,但是安装WINDOWS时却出现了装不上的故障,开始也怀疑病毒作怪,在用了许多杀毒软件后也不能解决问题。后来查阅了一些资料才发现了问题所在,因主板是节能型的,而CPU、硬盘却不是节能型的,当安装软件的时间超过主板进入休眠时间的期限时,主板就进入了休眠状态,于是就由于主板、CPU、硬盘工作不协调而出现了故障。解决的办法很简单,把主板的节能开关关掉就一切正常了。所以,用户在自己组装计算机时应首先考虑配件的兼容性,购买配件前应仔细阅读产品说明书。
(2)电源电压不稳定。
由于计算机所使用的电源的电压不稳定,容易导致用户文件在磁盘读写时出现丢失或被破坏的现象,严重时将会引起系统自启动。如果用户所用的电源的电压经常性的不稳定,为了使您的计算机更安全地工作,建议您使用电源稳压器或不间断电源(UPS)。
7.3.2计算机病毒的预防措施
计算机病毒的预防措施是安全使用计算机的要求,计算机病毒的预防措施有以下几项:
(1)对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破坏迹象再实际用。新购置的计算机中是可能携带有病毒的。
(2)新购置的硬盘或出厂时已格式化好的软盘中都可能有病毒。对硬盘可以进行检测或进行低级格式化,因对硬盘只做DOS的FORMAT格式化是不能去除主引导区(分区表扇区)病毒的。软盘做DOS的FORMAT格式化可以去除病毒。
(3)新购置的计算机软件也要进行病毒检测。有些著名软件厂商在发售软件时,软件已被病毒感染或存储软件的磁盘已受感染,这在国内外都是有实例的。检测方法要用软件查已知病毒,也要用人工检测和实际实验的方法检测。
(4)在保证使盘无病毒的情况下,能用硬盘引导启动的,尽量不要用软盘去启动。在不联网的情况下,软盘是传染病毒的最主要渠道。启动前,应将软盘驱动器的门打开,并抽出软盘。这是因为有些软驱缺乏保养,门虽然打开了,但磁头仍然锁定,启动时还会从软盘引导,将病毒带入系统中。即使在启动不成功的情况下,只要软盘在启动时被读过,病毒仍然会进入内存进行传染。很多人认为,软盘上没有COMMAND。COM等系统启动文件,就不会带病毒,其实引导区型病毒根本不需要这些系统文件就能进行传染。
(5)假如计算机的CMOS设置中具有不可从软盘启动而直接从硬盘引导系统的功能,请立即启用这项功能,即便是在一定要从干净软盘启动的情形之下(如查毒、杀毒),也要在之后立刻再设置回不从软驱引导启动。这可以避免整整一大类病毒(即引导型病毒)对系统(硬盘)的感染。还有将保护启动扇区之功能设成Enable。
(6)定期与不定期地进行磁盘文件备份工作,确保每一过程和细节的准确、可靠,在万一系统崩溃时最大限度地恢复系统原样,减少可能的损失。不要等到由于病毒破坏、PC机硬件或软件故障使用户数据受到损伤时再去急救。重要的数据应当时进行备份。当然备份前要保证没有病毒,不然也会将病毒备份。很难想象,用户数据没有备份的机器在发生灾难后会造成什么影响。系统程序和应用程序用经费是可以买到的,而用户数据是无法用钱买到的。
(7)确认手头常备一张真正“干净”的引导盘,在使用所能获得的最新最好的反病毒软件检测证明无毒之后,将其写保护,尽可能做几个备份,在以后准备查、杀病毒或相应场合时用这张干净引导盘启动计算机。
(8)在别人的机器上使用过自己的已打开了写保护签的软盘,再在自己的机器上使用,就应进行病毒检测。在自己的机器上用别人的软盘时也应进行检查。对重点保护的机器应做到专机、专人、专盘、专用,封闭的使用环境中是不会自然产生计算机病毒的。
(9)对于软盘,要尽可能将数据和程序分别存放,装程序的软盘要贴有写保护签。现在还没有手段可以不在PC机硬件上进行修改,而只用软件就可以绕过写保护签的方法,更不用说病毒了。
(10)用BOOTSAFE等实用程序或用DEBUG编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修复工作时可作为参考。
(11)对于多人共用一台计算机的环境,例如实验室这种情况,应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、清除,不致扩散。
(12)确认工作用计算机或家用计算机设置了使用权限及专人使用的保护机制,禁止来历不明的人和软件进入您的系统。
(13)在引入和使用任何新的系统和应用软件之前,使用可能获得的最新、最好的反毒软件检测之。
(14)选择使用公认质量最好、升级服务最及时、对新病毒响应和跟踪最迅速有效的反病毒产品,定期维护和检测计算机系统及软盘等。如果使用的是免费、共享的反病毒软件而厂家还提供正式版,应努力争取该项开支去购买正版,因为这不仅仅使得厂家能由于您的投入而获得继续开发研究升级版本的资金支持,更重要的是将因此而获得售后服务和技术支持等一系列正版软件用户的合法权益。
(15)永远不要使用任何解密版的反毒软件,盗版者不可能全面照顾因为解密而可能产生的任何后果,更无法保证被破坏了原软件完整性检测的盗版软件自身的干净和无毒,他们无须担负任何责任和风险。同样,遭受侵权盗版损失的原版软件的研制单位和研究人员亦无任何义务为此担负任何责任。
(16)使用一套公认最好的驻留式防毒产品,以便在进行磁盘及文件类操作时有效、及时地控制和阻断可能发生的病毒入侵、感染行为,尤其是上网的计算机更应安装具有实时防病毒功能的防病毒软件或防病毒卡。
(17)如果使用Windows等操作环境及应用程序,选择一个同时具备DOS及Windows的32位反毒软件产品套件将有助于提供更为可靠有效的安全保护。
(18)从信誉好、口碑佳的软件来源(厂家、销售商、供货商)获得所需要的软件产品。民间多次经手及来历不明的软件,最有可能因缺少检测而成为各种病毒的绝好载体和传染源。著名公司的著名产品在不知不觉中成为病毒的传播媒体,这种先例以前有过,以后也不敢断定再不会发生。
(19)在确认当前系统环境无毒的情况下制作、格式化空白盘,然后将其写保护并妥善保护,在以后使用时将数据拷贝、转存完毕后,务必重新置回“写保护”状态。任何软盘都有可能受到引导型病毒的攻击并染毒而成为下个过程的传染源,而不只系统引导盘。
(20)不管安装和使用了什么软件,正版的或是免费的、共享的,始终应制作和保留一套(或以上)软盘或其他方式的“硬”备份,以防系统在遭受彻底崩溃和硬盘数据的永久性损失时而可能导致的任何无法挽回的局面。
(21)仔细研究所使用的反病毒软件的各项功能,不同模块,各担负什么样的职责,都有哪些应用组合,不同的运行命令行(或选项设置)参数具有怎样不同的查杀效果等,最大限度地发挥该反病毒工具的作用。另外,不同厂家的不同产品肯定有各自的强项和长处,经济状况允许的条件下,建议使用不止一种反病毒产品(技术),通常使用一种以上具有互补特点的反毒工具往往收到事半功倍的最佳效果,这种策略对于企业计算机环境的防毒更为重要。
(22)及时、可靠升级反病毒产品。因为病毒以每日4~6个的速度产生,反病毒产品必须适应病毒的发展,不断升级,才能识别和杀灭新病毒,为系统提供真正安全环境。
(23)无论只是使用家用计算机的发烧友,还是每天上班都要面对屏幕工作的上班一族,都将无一例外地、毫无疑问地会受到病毒的感染和侵扰,只是或迟或早而已。因此,一定要学习和掌握一些必备的相关知识,如果企业和单位里工作的计算机用户,更需要总结和恪守一套合理有效的防范策略,并且要为计算机系统感染病毒做出一些应变计划,您将会在无形中获益非凡。
(24)当怀疑面临病毒入侵的危机时,向最好、最容易联系的反病毒产品的厂家求助,切勿因为犹豫、迟疑和盲动而遭受无可挽回的损失。
(25)作为一个单位组织,建议专门安排一台独立的计算机供检测病毒,给无法确认是否被病毒感染的新软件操作使用,或者检查磁盘是否带毒等。这种安排尤其对于那些保密要求较高的单位更重要,用这台计算机上网工作,在计算机上不存放任何保密文件。
(26)建立严密的病毒监视体系,及早发现病毒,及时杀灭。经常注意系统的工作状况,特别留心与病毒症状相似的异常现象。及时发现异常情况,不使病毒传染到整个磁盘,传染到相邻的计算机。发现异常现象,进行分析,当认为有染毒可能时,采用反病毒产品检测或手工检测,确保将病毒杀灭于“萌芽”状态。
7.3.3计算机病毒的综合治理
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。
1.基于工作站的防治技术
工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题;而且对网络的传输速度也会产生一定的影响。
2.基于服务器的防治技术
网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的一个重要标志,就是网络服务器瘫痪。网络服务器一旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前,基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。
3.加强计算机网络的管理
计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人尽可能采用行之有效的新技术、新手段,建立“防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。
4.网络病毒防治的发展趋势
计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,这就要求网络防毒产品在技术上更先进,功能上更全面。从目前病毒的演化趋势来看,网络防病毒产品的发展趋势主要体现在以下几个方面。
反黑与杀毒相结合;从入口拦截病毒;提供全面解决方案;客户化定制模式;防病毒产品技术由区域化向国际化转盘。
“思考题”
1.什么是计算机病毒?
2.计算机病毒的特征有哪些?
3.说明计算机病毒的分类。
4.分析计算机病毒的来源和主要危害。
5.计算机中毒的现象有哪些?
6.简述计算机病毒的预防措施。
7.数据恢复的概念是什么?使用什么软件可以实施数据恢复?
8.根据自身的体验,你认为如何防范计算机病毒?