計算機病毒的原理和防范
計算機病毒的原理和防范
計算機病毒與醫學上的“病毒”不同,計算機病毒不是天然存在的,是人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。下面是學習啦小編收集整理的計算機病毒的原理和防范,希望對大家有幫助~~
計算機病毒的原理
病毒依附存儲介質軟盤、 硬盤等構成傳染源。病毒傳染的媒介由工作的環境來定。病毒激活是將病毒放在內存, 并設置觸發條件,觸發的條件是多樣化的, 可以是時鐘,系統的日期,用戶標識符,也可以是系統一次通信等。條件成熟病毒就開始自我復制到傳染對象中,進行各種破壞活動等。病毒的傳染是病毒性能的一個重要標志。在傳染環節中,病毒復制一個自身副本到傳染對象中去。
感染策略為了能夠復制其自身,病毒必須能夠運行代碼并能夠對內存運行寫操作。基于這個原因計算機病毒工作原理,許多病毒都是將自己附著在合法的可執行文件上。如果用戶企圖運行該可執行文件,那么病毒就有機會運行。病毒可以根據運行時所表現出來的行為分成兩類。非常駐型病毒會立即查找其它宿主并伺機加以感染,之后再將控制權交給被感染的應用程序。常駐型病毒被運行時并不會查找其它宿主。相反的,一個常駐型病毒會將自己加載內存并將控制權交給宿主。該病毒于背景中運行并伺機感染其它目標。 非常駐型病毒非常駐型病毒可以被想成具有搜索模塊和復制模塊的程序。搜索模塊負責查找可被感染的文件,一旦搜索到該文件,搜索模塊就會啟動復制模塊進行感染。
常駐型病毒常駐型病毒包含復制模塊,其角色類似于非常駐型病毒中的復制模塊。復制模塊在常駐型病毒中不會被搜索模塊調用。病毒在被運行時會將復制模塊加載內存,并確保當操作系統運行特定動作時,該復制模塊會被調用。例如,復制模塊會在操作系統運行其它文件時被調用。在這個例子中,所有可以被運行的文件均會被感染。常駐型病毒有時會被區分成快速感染者和慢速感染者。快速感染者會試圖感染盡可能多的文件。例如,一個計算機病毒工作原理快速感染者可以感染所有被訪問到的文件。這會對殺毒軟件造成特別的問題。當運行全系統防護時,殺毒軟件需要掃描所有可能會被感染的文件。如果殺毒軟件沒有察覺到內存中有快速感染者,快速感染者可以借此搭便車,利用殺毒軟件掃描文件的同時進行感染。快速感染者依賴其快速感染的能力。但這同時會使得快速感染者容易被偵測到,這是因為其行為會使得系統性能降低,進而增加被殺毒軟件偵測到的風險。相反的,慢速感染者被設計成偶而才對目標進行感染,如此一來就可避免被偵測到的機會。例如,有些慢速感染者只有在其它文件被拷貝時才會進行感染。但是慢速感染者此種試圖避免被偵測到的作法似乎并不成功。
免殺技術以及新特征免殺是指:對病毒的處理,使之躲過殺毒軟件查殺的一種技術。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說“病毒比殺毒軟件還新,所以殺毒軟件根本無法識別它是病毒”,但由于傳播后部分用戶中毒向殺毒軟件公司舉報的原因,就會引起安全公司的注意并將之特征碼收錄到自己的病毒庫當中,病毒就會被殺毒軟件所識別。
病毒作者可以通過對病毒進行再次保護如使用匯編加花指令或者給文檔加殼就可以輕易躲過殺毒軟件的病毒特征碼庫而免于被殺毒軟件查殺。
美國的Norton Antivirus、McAfee、PC-cillin,俄羅斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等產品在國際上口碑較好,但殺毒、查殼能力都有限,目前病毒庫總數量也都僅在數十萬個左右。
自我更新性是近年來病毒的又一新特征。病毒可以借助于網絡進行變種更新,得到最新的免殺版本的病毒并繼續在用戶感染的計算機上運行,比如熊貓燒香病毒的作者就創建了“病毒升級服務器”,在最勤時一天要對病毒升級8次,比有些殺毒軟件病毒庫的更新速度還快,所以就造成了殺毒軟件無法識別病毒。
除了自身免殺自我更新之外,很多病毒還具有了對抗它的“天敵”殺毒軟件和防火墻產品反病毒軟件的全新特征,只要病毒運行后,病毒會自動破壞中毒者計算機上安裝的殺毒軟件和防火墻產品,如病毒自身驅動級Rootkit保護強制檢測并退出殺毒軟件進程,可以過主流殺毒軟件“主動防御”和穿透軟、硬件還原的機器狗,自動修改系統時間導致一些殺毒軟件廠商的正版認證作廢以致殺毒軟件作廢,從而病毒生存能力更加強大。
免殺技術的泛濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種,給依賴于特征碼技術檢測的殺毒軟件帶來很大困擾。近年來,國際反病毒行業普遍開展了各種前瞻性技術研究,試圖扭轉過分依賴特征碼所產生的不利局面。目前比較有代表性產品的是基于虛擬機技術的啟發式掃描軟件,代表廠商NOD32,Dr.Web,和基于行為分析技術的主動防御軟件,代表廠商中國的微點主動防御軟件等。
計算機病毒防范
1、定期給系統打補丁,或者說是進行系統更新。最簡單的解決方法是打開系統帶的自動更新。
2、定期更新安全防護軟件。基本上所有的安全防護軟件都提供了自動更新,推薦將其打開。切記不要同時安裝超過一套安全防護軟件,即便是看起來沒有什么沖突或者錯誤。因 為系統的底層資源是固定的,多個軟件爭奪勢必造成功能損失。這里推薦幾套軟件,要說的一點是選擇安全產品是要針對用戶習慣,需求等來確定的,不要人云亦 云:ESET NOD32,卡巴斯基,Norton,Mcafee,瑞星,江民。對于ARP攻擊頻繁的地方強烈推薦使用ESET NOD32和瑞星,防御效果相對更好。這里要注意的是ARP攻擊分客戶端和網關端兩種,我們能防御的都是客戶端的這種,如果服務器端受到了有效的攻擊我們也無能為力,這也是有的朋友遇到了裝了ARP攻擊防御軟件仍然出現問題的原因。最根本的解決辦法是ARP雙向靜態綁定(客戶端和網關都綁定)。另外,ADSL用戶如果只有一臺電腦上網則不存在風險,可以放心關閉ARP防御功能。
3、不要把所有安全責任都丟給安全防護軟件。安全防護軟件僅僅是保證計算機安全的工具。U盤,游戲,QQ,網頁掛馬,局域網已經成為傳播病毒的基本途徑。很多人的U盤上都有不只一中病毒,而游戲,QQ,網頁病毒多數是因為經濟利益問題。一般情況下安全軟件的主動防御和文件監控能起到比較好的效果,尤其是在有移動設備如U盤,移動硬盤,SD卡等接入前,最好打開這些監控,并查看是否屏蔽了U盤自動運行。不要瀏覽非法包含非法信息的網站,因為這樣的網站多數都帶有病毒或者惡意插件安裝。即使開啟了自動更新,主動防御和文件監控,也要定期進行全盤掃描,一般需要在1-2周進行一次,掃描前需要手工更新殺毒軟件的病毒庫和引擎到最新版本。不要隨便打開別人給的文件,即使對方是可以信任的朋友,因為無法確定他知不知道已經感染了。而且殺毒軟件不能有效地控制未知病毒,而很多時候都是有不少用戶被感染了,才有安全公司在病毒庫上添加了記錄。同時不可輕易相信任何殺毒軟件的可疑程度檢測,那個基本上都是沒有多少可信度的。這項技術一直都是實驗室水平的,對于實際應用基本沒有什么價值,之所以會發布是因為各個公司之間的商業競爭,有的公司拿這個來吸引不知情的用戶,導致了惡性的循環。當然,病毒家族檢測現在已經比較成熟了,如果殺毒軟件提示是哪個病毒的變種,這個就需要小心了。
4、注意文件備份,特別是重要文件更是如此。備份可以使數據丟失時損失盡可能少。有很多 人因為中了病毒辛辛苦苦積累了很多年的文件都因為被病毒感染無法清除而不得不與之揮手告別,實際上可以通過備份來解決這些問題。但是最好不要在當前硬盤或 者U盤中備份,因為我們要保護的就是它們上面的數據。可以采用光盤備份,現在DVD刻錄機和光盤的價格也越來越低,這不失為一中好的選擇。切記不要以為系統做了Ghost鏡像就沒有問題了,眾所周知,熊貓燒香會刪除它能發現的所有Ghost鏡像。實際上這個技術是很基礎的,主要是看病毒作者是否想要添加這樣的功能。
5、注意文件保密,對于有需要的文件進行加密。有些人會在計算機上安裝“閃盤窺探者”,會試圖把連接到機器上的移動儲存設備的文件全部復制到一個指定的地方,這樣會使U盤里的重要文件暴露出去。加密方式上有很多U盤和移動硬盤支持加密功能,可以直接使用。但是大部分的還是沒有這個功能的,這種情況下,對于Office文檔不要直接使用軟件自帶的加密方式,因為很容易破解。實際上rar,zip等壓縮程序的加密也很難應對暴力破解,而這些格式通常都已經有了很完整的暴力破解工具。這里只能提醒大家使用的密碼盡量長一點,比如12-16位的一般就很難破解了,同時不要使用英文單詞,生日,姓名,游戲帳號等信息作為密碼,也不要單純地使用數字或字母。一個很好的辦法是想一句話,然后把這句話的每個單詞(如果是英文)或者是每個字的拼音(漢字的話)的第一個字母組成一串,然后在里面添加上標點符號和數字(根據喜好,可以不改變標點符號的位置)。這種方法創建出來的密碼既容易記又有很高的保密性,同樣適用于其他場合。如果有更高的安全要求,還可以使用GnuPG這樣的密鑰策略,2048位的密鑰容量很是夠用,而且配套工具也比較齊全,可以方便使用。
6、謹慎對待各種小程序,小工具,比如注冊機,Hash程序等等。因為名氣不大所以不會受到很多人的檢驗,有的時候下載的文件其實和原版的文件不一樣,或者原版的文件就包含了惡意代碼。部分內存注冊機會被一些殺毒軟件報毒,是因為在程序運行時正常情況下一個程序不應該直接修改其他應用程序的內存,而內存注冊機卻正是通過這種辦法實現破解的。
7、不要隨便點“確定”“是”“允許”“下一步”一類的按鈕。通常情況下很多用戶習慣了看見對話框或者提示就點這些內容,但是這種習慣也為病毒感染提供了條件,很多時候殺毒軟件或者系統的UAC(針對Vista)會阻止不應該運行的程序運行,但是如果點了這些,很多時候是允許他們運行,這是一個習慣問題,不要因為每天點“允許”花了眼,手一滑就讓不該運行的東西運行了。這樣也能阻止很多惡意插件的安裝。很多人安裝應用程序的時候總是一路點擊下一步,這樣也會導致很多的不需要的插件被安裝。而每一次這樣的軟件安裝,都是會給軟件作者一定的收入的,而且收入相當高,一般每安裝成功一例就是1元錢左右。
8、不懂的情況下不要玩病毒或者研究黑客技術。因為很多時候那些工具也都被封裝者添加了病毒,而你又不能讓殺毒軟件來搗鬼,這個時候就很無奈了。沒有解決不了的問題,還是不要因為一點小事而要把別人黑了或者怎么樣了。
計算機病毒的原理和防范相關文章: