摘要
伴随着计算机系统的不断发展,目前计算机病毒已成为系统以及网络安全的巨大威胁。因此要对计算机病毒常见类型以及基础常识进行把握,在这样的前提下如果遭遇病毒不会变的束手无策。基于此,本文对计算机病毒的定义、传播方式以及受到感染之后的现象进行详细分析,并分析了计算机病毒的传播方式,主要包括基于网络的病毒传播模式、计算机常见病毒、几个经典的计算机病毒传播模型,进一步研究了计算机病毒防御方法,包括基于主机的检测方案、基于网络的检测策略、创建一套完善的病毒防护机制、对防治技术进行不断完善,同时对病毒检测手段进行升级,最后对病毒防范措施进行详细分析,除了漏洞扫描以及防火墙等技术之外,还包括反病毒、计算机病毒免疫技术,以便最大限度地减少计算机病毒造成的危害。
1计算机病毒的概念及危害
1.1计算机病毒的概念
计算机病毒是程序员为了破坏计算机的功能或数据而插入的程序代码或者相关指令,这些代码或指令对计算机的正常使用可能带来影响。
计算机病毒属于最常见的可执行代码以及程序,在特征方面与生物病毒相当类似,不但能够进行大量复制,同时还可以相互感染,而且还具备再生以及活等基本特征。计算机病毒拥有相当强大的复制能力,传播速度相当快,彻底根除难度非常大。而且计算机病毒不许附加到很多种类的文件里面,通过传输或者复制的方式将文件在用户之间进行传递,将与该文件共享该文件。
1.2计算机病毒的特征
1.滋生性
与生物病毒非常相似,计算机病毒还能不断繁殖,即便用户进行正常操作也会不停复制。在判断计算机病毒的时候,其关键依据在于是否具备传染以及滋生的特性。
2.破坏性
一旦计算机出现病毒,往往导致文件被恶意删除或者程序不能正常运作,最终对计算机带来不同程度的损害。
3.传染性
计算机病毒感染性意味着计算机病毒可以通过将其他程序修改为其他无毒文件来转移其或其变体。这些文件可以是系统或程序。
4.潜伏性
潜伏期指的是通过其他媒体进行其中的一种综合能力,这也是计算机病毒的一大特性。入侵后如果条件未达到通常病毒不会攻击系统,但是会减慢计算机的运行速度。
5.隐蔽性
计算机病毒非常隐蔽,在某些情况下可以被病毒软件检测到。计算机病毒在电脑中常常是隐蔽的、可变的,因此针对这些病毒进行处理难度非常大。
6.可触发性
编写病毒到时候通常会为病毒专门创建相应的触发条件,比如程序运行、指定的日期或者条件等。如果达到这些条件,计算机病毒马上会对系统发动攻击。
1.3计算机病毒的危害
如果计算机中毒,一般来说正常程序将不能有效运作。计算机病毒将文件删除或者破坏的程度也不一样,通常如下:删除,更改,增加和移动。
计算机病毒最出众的不是破坏性,而是病毒的滋生性,如果病毒发生突变或者被复制,其蔓延速度很难进行阻止。病毒最基础的特性为滋生性,与生物界非常相似,病毒通过感染从一个活体传播到另一个活体。
在适当的条件下,病毒可以迅速大量繁殖,受感染的生物体可以显示发病甚至死亡。同样,计算机病毒可以通过各种方式将病毒从受感染的计算机传输到未感染的计算机,从而导致计算机出现故障或瘫痪。
很多木马病毒大多是为了盗取用户信息,从中获取利益,如网上银行账户密码、网络游戏账户密码等。例如:2017年,一名淘宝卖家在经营中,收到一买家发来的消息说,自己要买几款衣服,但找了很多家店内都没有货了,其要的风格和他店内的类似,想让店家帮他看看有没有货。说完,就把一个类似网购平台的页面链接发了过来,卖家点开,图片很多一直在加载中,最后显示加载失败,并提示卖家的账号下线了,害得卖家重新登陆。
如果信息被盗取无疑将给客户造成惨重损失,因此身处病毒大量存在的环境中,我们必须说用户在使用软件时有很多顾虑。
2计算机常见病毒分析与病毒传播
2.1计算机常见病毒
2.1.1系统病毒
针对系统病毒而言,最常见的前缀除了Win95、Win32以及W95之外,还包括Win95以及PE等。这些病毒都具备很多功能,除了能够对windows系统里面的*.dll以及*.exe文件进行感染,同时还能借助这些文件进行病毒传播,最常见的病毒如CIH。普通用户通常对计算机病毒认知程度并不高,一旦遭遇病毒往往变得盲目无措,事实上只需了解重装系统就能有效解决这些问题,比如可以在计算机上下载防病毒软件进行实时防护以及查杀病毒。当然建议计算机用户安装360工具针对顽固病毒进行检查并杀灭,其他反病毒软件除了小红伞、nod32以及卡巴斯基之外,还有平均以及ast超级巡逻等反病毒软件。其中,Kabbah,Risin通常要占据大量系统资源,因此一般情况下要配置诸如东方微点以及nod32等防病毒软件。针对防病毒软件要定期进行升级,一旦软件不能正常启动或者工作,需要更换其他类型的防病毒软件。如果很难杀死计算机病毒,通常说明该病毒为新型计算机病毒,或者属于变种以及shell等计算机病毒,随时可以通过相关选项进行手动终止。
2.1.2木马病毒
就特洛伊木马病毒而言,它的前缀为木马,但是黑客病毒的前缀一般来说都为黑客。前者拥有相同的特性,就是借助系统或者网络出现的漏洞在计算机系统里面隐藏,将用户个人信息进行盗取;对黑客病毒而言,主要借助远程控制的手段、通过可视化途径秘密潜入到计算机里面。这两类病毒一般都会成双成对出现,前者主要对计算机系统进行入侵,同时对后者进行全程控制。目前这两类病毒的整合性不断增高,比如出现频率较多的QQ消息木马,如果使用的QQ号码为3344,就会遭遇大量与在线游戏密切相关的诸如PSW.60、LMIR等木马病毒。此外,病毒,PSW或任何PWD的名称通常意味着病毒具有窃取密码的能力(这些字母通常缩写为英语中的“密码”)和一些黑客程序,例如黑客。虚空。客户端等。
完整的木马由两部分组成:客户端(控制器部分)和服务器(服务器部分)。受害者被称为服务器,黑客攻击服务器受害者与客户端一起运行的计算机。当特洛伊木马的服务器运行时,就会生成让用户相当困惑的名称对受害者进行传递,受害者往往难以察觉,一旦将端口开启之后就会把数据信息传送至相应的地址,这时候就可以盗取用户个人密码以及账号信息,甚至还能够借助开放端口对用户个人计算机进行大规模入侵。
2.1.3脚本病毒
脚本病毒也是比较常见的一种病毒,这种病毒的前缀为script,该病毒事实上属于通过编写脚本语言借助网页的形式进行传播,最常见的有红色代码(Script.Redlof)。脚本病毒还具有以下前缀:VBS,JS(指示编写哪些脚本),比如常见的十四日(Js.Fortnight.c.s)以及欢乐时光(VBS.Happytime)等。
为了获得持续的机会,脚本病毒通常使用不同的方法来关注用户。例如,消息附件的名称通常都含有双后缀,举例来说,.jpg.vbs由于在默认状态下系统将后缀隐藏,用户一般很难察觉到该文件,因此通常被认为JPG文件。
蠕虫也是最常见的一种脚本病毒,最近几年危害性非常强大的“Nimya”病毒也属于该病毒的一种类型。前些年让全球震惊的“熊猫烧香”以及后续变种病毒也属于蠕虫。该病毒主要通过Windows系统存在的漏洞,一旦将计算机感染之后,计算机会不停的自动拨号,同时借助文件里面的网络共享或者详细地址展开快速传播,导致用户个人关键数据被大量破坏。通常主要借助具备监控性能的防病毒软件来控制蠕虫,同时陌生的网络邮件以及附件不要随便打开。
2.1.4宏病毒
宏病毒为最常见的一类脚本病毒,这种病毒相当特殊,因此单独列开进行计算。这种病毒的前缀为宏,之后的前缀除了Excel97以及Word97之外,还有可能包括Excel以及Word等。如果病毒仅仅对旧版本word文档以及WORD97进行感染,通常后面的前缀都为Word97,最常见的格式则为Macro.Word97;如果病毒仅仅对更高级别的WORD文件以及WORD97进行感染,通常后面的前缀都为Word,最常见的格式则为Macro.Word;如果病毒仅仅对旧版本EXCEL文档以及EXCEL97进行感染,通常后面的前缀都为Excel97,最常见的格式则为Macro.Excel97;如果病毒仅仅对更高级别的EXCEL文档以及EXCEL97进行感染,通常后面的前缀都为Excel,最常见的格式则为宏或者Excel。这些病毒自身具备的功能特征通常都会被OFFICE进行感染,然后借助OFFICE模板进行大规模传播,其中最有名的病毒为梅丽莎(Macro.Melissa)。
2.2基于网络的病毒传播模式
基于网络的计算机病毒分布在多个渠道,例如:通过电子邮件,扫描系统间隙,通过无线电等。
2.2.1通过电子邮件进行传播
传播网络病毒的主要方式是在电子邮件中传播代码病毒。如果附加到电子邮件的文件包含病毒,则打开文件附件(通常通过双击附件图标)会将病毒传输到计算机。由于广泛的电子邮件应用程序,许多病毒制造商首选这种病毒传播模式。有两种方法可以通过电子邮件传播病毒。一方面在电子邮件里面直接添加了恶意代码;其次,在URL里面恶意添加了与之有关的代码,通过电子邮件分发病毒如下:
(1)寻找目标
病毒在通讯簿,历史记录或受感染计算机的电子邮件中的硬盘里面对能够使用的邮件地址进行大范围搜索,举例来说,HTML文件在Internet文件夹里面被临时储存,这类文件里面很有可能存在详细的电邮地址。一旦在计算机上面配置相应的电邮软件,病毒将以最快速度对详细地址进行提取。
(2)将自身拷贝并发送
病毒在搜索能利用电子邮件地址的过程中,往往对自身进行复制并对外发送,不过有的病毒隐匿性非常强,通常不会对病毒发送电子邮件,但首先会感染用户的电子邮件。更改系统设置是电子邮件HTML最常见的默认格式,一旦用户对外发送信息,病毒将以最快速度对消息内容进行感染。
如果接收端收到病毒代码,通常病毒不会主动进行运作但必须由用户激活。因此,病毒会尽力为用户激活病毒代码。该病毒会产生各种欺诈性标题和内容以吸引人们。例如,病毒“我爱你”使用“笑话”这个词来打开带有病毒的电邮,随后就能对代码进行激活。
2.2.2通过扫描系统漏洞传播
蠕虫代码属于相对独立的一个程序,并未嵌入主机文件夹中。他的转移过程是利用Web上的系统漏洞远程验证计算机,病毒利用这些漏洞进入到计算机系统里面对其进行控制,导致计算机遭到不同程度的攻击或者损害。
蠕虫主要通过下面这些方式获得系统操作权限:
(1)利用系统漏洞
蠕虫一般会借助系统程序或者漏洞进行大范围传播,举例来说,有的版本浏览器能够对EML文件进行自动浏览。与电子邮件不同,蠕虫通常使用系统漏洞来远程控制网络主机。换句话说,首先对目标主机进行控制,随后对自己进行复制,攻击计算机系统之后自行销毁。
(2)使用LAN进行传播
有的LAN管理者由于工作过程中疏忽或者缺乏安全意识,导致系统文件在有的计算机上可以进行远程写入。这通常会给蠕虫带来机会。蠕虫可以直接复制到LAN上的可写启动目录以进行共享。有些病毒在局域网上找到能够记录的win.ini或者对注册表进行更改,这样以后重启的时候蠕虫就会自动运行。
(3)蠕虫通过服务器还能对大量存在的IIS从等服务器漏洞进行利用,来控制远程服务器。然后蠕虫通过自由转发的方式将恶意代码传递给服务器,在这样的前提下,用户只要访问服务器都有可能被蠕虫感染。
2.2.3通过无线电的方式传播
无线电能够把病毒传播至其他的电子系统内部,并可以将病毒与接收器一起直接发送到贴标机。利物浦大学计算机科学,电气工程和电子系的研究人员在实验室环境中设计并模拟了“变色龙”病毒。该演示发现家庭和企业接入点用于访问无线路由器的Wi-Fi网络。Wi-Fi网络不仅快速传播,还消除了检测并确定哪种加密技术和密码最容易受到Wi-Fi接入点的攻击。它还能够模拟无线数据进行正常传输,对病毒代码进行传递,同时将病毒代码域合法信掺合起来。一旦病毒到达网络系统,它就可以进入保护目标。
3计算机病毒防范技术
3.1网络防火墙技术
防火墙属于最常见的安全隔离手段,在本质上属于数据访问控制体系,在内联网和外联网之间实现安全保护系统。它将内联网与外联网分开,并将用户限制为严格控制的保护点。防火墙一般在通信过程中对控制标准进行强制执行,主要用来避免没有经过授权或者身份验证的其他人员进行访问,同时也可以有效避免黑客对网络进行攻击,或者对数据以及设备进行破坏。
防火墙通常部署在受保护的Intranet和Internet之间的边界。Internet,还能够对Intranet里面的关键数据以及服务器进行保护。即便用户通过内网进行登录,也要借助防火墙进行过滤,以便对资源进行有效保护。
防火墙安保系统通常使用的结构为拓扑,在此基础上网络运行可得到安全保障,同时借助数据集成全面提升网络数据的安全程度。防火墙用于Internet上的多个环境中。这意味着防火墙在计算机的网络安全中起着重要作用。防火墙可以确保联网计算机网络的安全性和稳定性。这是确保计算机网络安全的必不可少的先决条件。计算机防火墙如表1所示。
表1计算机各类防火墙对比
| 分类 | 特点 |
| 简单包过滤防火墙 | 应用层控制很弱,效率高 |
| 状态检测包过滤防火墙 | 数据包过滤对用户透明,效率高 |
| 应用代理防火墙 | 应用层控制很弱,检测性能高 |
3.2实时反病毒技术
由于新的计算机病毒的出现,反病毒软件很难针对病毒入侵进行全面应对,在此基础上就衍生出反病毒技术。许多防病毒卡都插入系统板,以实时监控系统的运行,并发出有关可疑计算机病毒行为的警告。已经存在反病毒技术的实时监控。任何程序都会在调用之前进行过滤。一旦计算机病毒被破坏,它将发出警报并自动杀死病毒。
本站文章通过互联网转载或者由本站编辑人员搜集整理发布,如有侵权,请联系本站删除。