电脑病毒知识大全(一)
提起计算机病毒,相信绝大多数用户都不会陌生(即使那些没有接触过计算机的人大多也听说过),有些用户甚至还对计算机病毒有着切肤之痛,不过要问起计算机病毒是如何产生的、病毒到底有些什么特征,能够回答生来的用户可能并不多。为此,本人特将有关计算机病毒的定义、起源、历史、特征、传播途径、分类、最新动态、错误认识、防毒原则、解决病毒的办法等内容汇集成文,希望能对广大用户日常的反病毒操作有所帮助:一、病毒定义
计算机病毒是指那些具有自我复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,破坏数据的正确与完整。
二、病毒起源
计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的,有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚,因为他们发现病毒比加密对付非法拷贝更有效且更有威胁,这种情况助长了病毒的传播。还有一种情况就是蓄意破坏,它分为个人行为和政府行为两种。个人行为多为雇员对雇主的报复行为,而政府行为则是有组织的战略战术手段(据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击,一度使伊拉克的国防通讯陷于瘫痪)。另外有的病毒还是用于研究或实验而设计的 "有用"程序,由于某种原因失去控制扩散出实验室或研究所,从而成为危害四方的计算机病毒。
三、病毒历史
病毒是如何一步步的从无到有、从小到大的发展到今天的地步的呢?下面的介绍可以解除你的这一疑问:
概念的提出 "计算机病毒"这一概念是1977年由美国著名科普作家"雷恩"在一部科幻小说《P1的青春》中提出
1983年 美国计算机安全专家 "考因"首次通过实 自动重新启动计算机、死机等。
5. 速度下降 不少病毒在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6. 攻击磁盘 攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。
7. 扰乱屏幕显示 字符显示错乱、跌落、环绕、倒置、光标下跌、滚屏、抖动、吃字符等。
8. 攻击键盘 响铃、封锁键盘、换字、抹掉缓存区字符、重复输入。
9. 攻击喇叭 发出各种不同的声音,如演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声
10. 攻击CMOS 对CMOS区进行写入动作,破坏系统CMOS中的数据。
11. 干扰打印机 间断性打印、更换字符等。
九、防毒原则
1. 不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。
2. 写保护所有系统盘,绝不把用户数据写到系统盘上。
3. 安装真正有效的防毒软件,并经常进行升级。
4. 新购买的电脑要在使用之前首先要进行病毒检查,以免机器带毒。
5. 准备一张干净的系统引导盘,并将常用的工具软件拷贝到该软盘上,然后加以保存。此后一旦系统受"病毒"侵犯,我们就可以使用该盘引导系统,然后进行检查、杀毒等操作。
6. 对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用。
7. 尽量不要使用软盘启动计算机。
8. 一定要将硬盘引导区和主引导扇区备份下来,并经常对重要数据进行备份,防患于未然。
9. 随时注意计算机的各种异常现象(如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等),一旦发现,应立即用杀毒软件仔细检查。
十、碰到病毒 之后的解决办法
1. 在解毒之前,要先备份重要的数据文件。
2. 启动反病毒软件,并对整个硬盘进行扫描。
3. 发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。同时,我们还应将病毒样本送交反病毒软件厂商的研究中心,以供详细分析。
4. 某些病毒在Windows 98状态下无法完全清除(如CIH病毒就是如此),此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。
十一、对计算机病毒的错误认识
随着计算机反病毒技术的不断发展,广大用户对计算机病毒的了解也是越来越深,以前那种 "谈毒色变"的情况再也不会出现了!不过本人在日常错作过程中发现,许多用户对病毒的认识还存在着一定的误区,如"认为自己已经购买了正版的杀毒软件,因而再也不会受到病毒的困扰了"、"病毒不感染数据文件"等,这些错误认识在一定程度上影响了用户对病毒的正确处理(如前段时间不少被CIH病毒感染的计算机中都安装有反病毒软件,只不过由于用户没有及时升级杀毒软件的病毒代码才导致了这一悲剧)!为此,特将用户的这些错误认识列举如下,希望对大家今后的操作有所帮助。
错误认识一 "对感染病毒的软盘进行浏览就会导致硬盘被感染"。我们在使用资源管理器或DIR命令浏览软盘时,系统不会执行任何额外的程序,我们只要保证操作系统本身干净无毒,那么无论是使用Windows 98的资源管理器还是使用DOS的DIR命令浏览软盘都不会引起任何病毒感染的问题。
错误认识二 "将文件改为只读方式可免受病毒的感染"。某些人认为通过将文件的属 性设置为只读会十分有效的抵御病毒,其实修改一个文件的属性只需要调用几个DOS中断就可以了,这对病毒来说绝对是"小菜一碟"。我们甚至可以说,通过将文件设置为只读属性对于阻止病毒的感染及传播几乎是无能为力。
错误认识三 "病毒能感染处于写保护状态的磁盘"。前面我们谈到,病毒可感染只读文件,不少人由此认为病毒也能修改那些提供了写保护功能的磁盘上的文件,而事实却并非如此。一般来说,磁盘驱动器可以判断磁盘是否写保护、是否应该对其进行写操作等,这一切都是由硬件来控制的,用户虽然能物理地解除磁盘驱动器的写保护传感器,却不能通过软件来达到这一目的。
错误认识四 "反病毒软件能够清除所有已知病毒"。由于病毒的感染方式很多,其中有些病毒会强行利用自身代码覆盖源程序中的部分内容(以达到不改变被感染文件长度的目的)。当应用程序被这样的病毒感染之后,程序中被覆盖的代码是无法复原的,因此这种病毒是无法安全杀除的(病毒虽然可以杀除,但用户原有的应用程序却不能恢复)。
错误认识五 "使用杀毒软件可以免受病毒的侵扰"。目前市场上出售的杀毒软件,都只能在病毒传播之后才"一展身手",但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其它更为严重的后果。因此广大用户应该选择一套完善的反毒系统,它不仅应包括常见的查、杀病毒功能,还应该同时包括有实时防毒功能,能实时地监测、跟踪对文件的各种操作,一旦发现病毒,立即报警,只有这样才能最大程度地减少被病毒感染的机会。
错误认识六 "磁盘文件损坏多为病毒所为"。磁盘文件的损坏有多种原因,如电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其它软件中的错误、灰尘、烟灰、茶水、甚至 一个喷嚏都可能导致数据丢失(对保存在软盘上的数据而言)。这些所作所为对文件造成的损坏会比病毒造成的损失更常见、更严重,这点务必引起广大用户的注意。
错误认识七 "如果做备份的时候系统就已经感染了病毒,那么这些含有病毒的备份将是无用的"。尽管用户所作的备份也感染了病毒的确会带来很多麻烦,但这绝对不至于导致备份失效,我们可根据备份感染病毒的情况分别加以处理--若备份的软盘中含有引导型病毒,那么只要不用这张盘启动计算机就不会传染病读;如果备份的可执行文件中传染了病毒,那么可执行文件就算白备份了,但是备份的数据文件一般都是可用的(除Word之类的文件外,其它数据文件一般不会感染病毒)。
错误认识八 "反病毒软件可以随时随地防护任何病毒"。很显然,这种反病毒软件是不存在的!随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的。具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病毒系统,用备份作为防病毒的第一道防线,将反病毒软件作为第二道防线。而及时升级反病毒软件的病毒代码则是加固第二道防线的唯一方法。
错误认识九 "病毒不能从一种类型计算机向另一种类型计算机蔓延"。目前的宏病毒能够传染运行Word或Excel的多种平台,如Windows 9X、Windows NT、Macintosh等。
错误认识十 "病毒不感染数据文件"。尽管多数病毒都不感染数据文件,但宏病毒却可感染包含可执行代码的MS-Office数据文件(如Word、Excel等),这点务必引起广大用户的注意。
错误认识十一 "病毒能隐藏在电脑的CMOS存储器里"。不能!因为CMOS中的数据不是可执行的,尽 验证明了病毒的可实现性。
1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等,面对计算机病毒的突然袭击,众多计算机用户甚至专业人员都惊慌失措。
1989年 全世界的计算机病毒攻击十分猖獗,我国也未幸免。其中 "米开朗基罗"病毒给许多计算机用户造成极大损失。
1991年 在 "海湾战争"中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行,直至最后胜利。
1992年 出现针对杀毒软件的 "幽灵"病毒,如One-half。
1996年 首次出现针对微软公司Office的 "宏病毒"。
1997年 1997年被公认为计算机反病毒界的 "宏病毒"年。"宏病毒"主要感染WORD、EXCEL等文件。如Word宏病毒,早期是用一种专门的Basic语言即WordBasic所编写的程序,后来使用Visual Basic。与其它计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的如:Tw no. 1(台湾一号)、Setmd、Consept、Mdma等。
1998年 出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计算机反病毒界的CIH病毒年)。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。这种病毒与DOS下的传统病毒有很大不同,它使用面向Windows的VXD技术编制。1998年8月份从台湾传入国内,共有三个版本:1. 2版/1. 3版/1. 4版,发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接攻击、破坏硬件 的计算机病毒,是迄今为止破坏最为严重的病毒。它主要感染Windows95/98的可执行程序,发作时破坏计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。病毒发作时,硬盘驱动器不停旋转,硬盘上所有数据(包括分区表)被破坏,必须重新FDISK方才有可能挽救硬盘;同时,对于部分厂牌的主板(如技嘉和微星等),会将Flash BIOS中的系统程序破坏,造成开机后系统无反应。
1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。
四、病毒的特征
提起病毒,大家都很熟悉,可说到病毒到底有哪些特征,能有说出个所以然的用户却不多,许多用户甚至根本搞不清到底什么是病毒,这就严重影响了对病毒的防治工作。有鉴于此,特将常见病毒的特征简要介绍如下,希望广大用户能藉以对病毒有一个较完善的灵性认识。
1. 传染性
传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会 在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
2. 未经授权而执行
一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。
3. 隐蔽性
病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之 所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。
4. 潜伏性
大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如 "PETER-2"在每年2月27日会提三个问题,答错后会将硬盘加密。著名的"黑色星期五"在逢13号的星期五发作。国内的"上海一号"会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。
5. 破坏性
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT等。恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心(最著名的恐怕就是CIH病毒了)。
6. 不可预见性
从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至 借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。
看了上面的介绍,你是不是对计算机病毒有了一个初步的了解?
五、病毒的传播途径
1. 通过不可移动的计算机硬件设备进行传播(即利用专用ASIC芯片和硬盘进行传播)。这种病毒虽然极少,但破坏力却极强,目前尚没有较好的检测手段对付。
2. 通过移动存储设备来传播(包括软盘、磁带等)。其中软盘是使用最广泛移动最频繁的存储介质,因此也成了计算机病毒寄生的"温床"。
3. 通过计算机网络进行传播。随着Internet的高速发展,计算机病毒也走上了高速传播之路,现在通过网络传播已经成为计算机病毒的第一传播途径。
4. 通过点对点通信系统和无线通道传播。
六、病毒的分类
各种不同种类的病毒有着各自不同的特征,它们有的以感染文件为主、有的以感染系统引导区为主、大多数病毒只是开个小小的玩笑、但少数病毒则危害极大(如臭名昭著CIH病毒),这就要求我们采用适当的方法对病毒进行分类,以进一步满足日常操作的需要:
1. 按传染方式分类
病毒按传染方式可分为引导型病毒、文件型病毒和混合型病毒三种。其中引导型病毒主要是感染磁盘的引导区,我们在使用受感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其它软盘或硬盘的引导区,它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上的可执行文件(COM,EXE),在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件
页:
[1]
2