8.1　计算机病毒及其防治

8.1.1　计算机病毒的基本知识

1）计算机病毒的定义

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。

常见的计算机病毒可以分为:系统病毒、蠕虫病毒、木马病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒、捆绑机病毒等。

2）计算机病毒的特点

（1）繁殖性

计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也运行自身复制程序，是否具有繁殖、感染的特征是判断某段程序是否为计算机病毒的首要条件。

（2）破坏性

计算机中毒后，可能会导致正常的程序无法运行，计算机内的文件会被删除或受到不同程度的损坏，通常表现为增、删、改、移等。

（3）传染性

计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，若不及时处理，那病毒会在这台电脑上迅速扩散。计算机病毒可通过各种可能的渠道，如U盘、硬盘、移动硬盘、计算机网络去传染其他的计算机。当在一台机器上发现了病毒时，曾在这台计算机上用过的软盘往往也感染上了病毒，而与这台机器相联网的其他计算机也许也染上了该病毒。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

（4）潜伏性

有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里待上几天甚至几年，一旦时机成熟，得到运行机会，就要四处繁殖、扩散，危害巨大。潜伏性的第二种表现是指:计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标志，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。

（5）隐蔽性

计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

（6）可触发性

因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，则启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

3）计算机病毒的传播途径

由于计算机病毒的种类不同，传播方式也不尽相同，但其传播途径主要有以下几个方面:

（1）通过U盘传播

U盘传播是最普遍的传播途径。由于使用了带有病毒的U盘，使机器传染上了病毒，并使得机器将所染上的病毒传给在该机器上使用的其他U盘。因此，大量U盘的交换使用、合法或者不合法的程序复制是造成病毒四处传播、泛滥蔓延的温床。

（2）通过硬盘传播

当机器染上病毒后，通常使机器内的某类文件随即带上病毒。目前，大多数机器都配有硬盘，所以一旦机器染上病毒，不论哪一类，都会将病毒传给硬盘。因此无论何时使用U盘、移动硬盘或用该硬盘与其他硬盘对拷文件，都会将硬盘中的病毒传给U盘、移动硬盘或其他硬盘。

（3）通过网络传播

随着计算机网络用户的增多，目前，网络成为病毒传播最主要的途径，其传播速度很快，破坏力极大。一旦网络染上病毒，将在很短时间内传遍网络上的所有机器。

4）计算机病毒的症状

各种不同的计算机病毒，在其感染或破坏系统后都会有一定的症状。实践经验表明，当计算机染上病毒后，通常会出现以下异常现象。

①屏幕上突然出现某些异常字符或特定画面；

②文件长度奇怪地增加、减少或突然产生新的文件；

③一些可执行文件无法运行或突然丢失；

④系统无故进行磁盘读写或格式化操作；

⑤系统出现异常的重启现象，或经常死机；

⑥可用的内存空间变小；

⑦打印机等外部设备突然出现工作异常；

⑧在汉字库正常的情况下，无法调用和打印汉字或汉字库无故损坏；

⑨磁盘上突然出现坏的扇区或磁盘存储空间突然减少；

⑩程序或数据神秘的消失，文件名不能辨认等。

5）计算机病毒的危害

就目前而言，计算机病毒危害所造成的破坏作用主要表现在以下方面:

（1）对计算机数据信息直接破坏

大部分病毒在激发时都直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘，破坏磁盘文件分配表和目录区，删除外存上的重要文件或者用无意义的“垃圾”数据修改或破坏文件中的数据，改写文件或破坏计算机主板上BIOS内容，使计算机无法启动。

（2）占用磁盘空间

寄生在磁盘上的病毒总要非法占用一部分磁盘空间。被覆盖的扇区原有数据会永久性丢失，无法恢复。一些文件型病毒传染速度很快，在短时间内感染大量文件，使每个文件都不同程度地加长了，造成了磁盘空间的严重浪费。

（3）占用CPU运行时间，影响计算机运行速度

大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，使一部分软件不能运行，此外病毒还会占用大量的CPU运行时间，从而影响计算机的总体运行速度。

8.1.2　计算机病毒的预防与整治

不论何种病毒，轻则对计算机系统的运行带来各种干扰，重则破坏或影响系统的正常运行，特别是通过网络传播的病毒，能在很短时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，预防病毒的入侵、阻止病毒的传播和及时地清除病毒是一项非常重要的工作。

1）病毒的预防

提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性。另一方面，信息保密的要求让人们在泄密和清扫病毒之间无法选择。很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中最容易和最经济的方法之一。另外，安装杀毒软件并定期更新也是预防病毒的重中之重。

总的来说，计算机病毒的预防工作是一个系统工程。从宏观上讲，从政府到个人，要求全社会努力配合；从微观上讲，加强内部网络管理人员以及使用人员的安全意识，养成良好的使用习惯。就方法而言，预防计算机病毒的手段主要包括以下几个方面:

①注意对系统文件、重要可执行文件和数据进行写保护。

②杀毒软件经常更新，以快速检测到可能入侵计算机的新病毒或者变种。

③使用安全监视软件（比如360安全卫士，瑞星）主要防止浏览器被异常修改、插入钩子，安装不安全、恶意的插件。

④使用防火墙或者杀毒软件自带防火墙。

⑤使用新的计算机系统或软件时，要先杀毒后使用。

⑥备份系统和参数，建立系统的应急计划。

⑦定时全盘病毒木马扫描，注意网址正确性，避免进入山寨网站。

⑧不随意接受、打开陌生人发来的电子邮件或通过QQ传递的文件或网址。

⑨使用正版软件，使用移动存储器前，最好要先查杀病毒，然后再使用等。

2）病毒的整治

如果怀疑或者已经发现计算机染上了病毒，就要及时地检测与清除，确定病毒的性质或类型及其所在的文件和磁盘，以便从“根源”上清除病毒。因此，病毒的检测与清除通常是紧密相连的。一般来说，只要能够检查出是何种类型的病毒，就能消除该病毒。当前病毒的种类很多，相应的检测与清除病毒的方法也不少，通常有以下方面:

（1）人工方法

所谓人工方法，是根据病毒原理与特征，使用一些工具软件（CHKDSK、DEBUG、PCTOOLS等）对磁盘或文件进行检测或解毒。例如用CHKDSK命令来检查磁盘和内存容量的变化（减少）情况，从而判断系统是否染上病毒；用DEBUG命令来督促和控制可执行文件、跟踪其执行过程；PCTOOLS是一个实用的软件工具包，用它的命令可以对整个磁盘或可执行文件（.EXE或.COM）进行修改。

由于人工方法只能根据表面现象判断或是针对某个文件进行检测和解毒，所以只适合病毒入侵范围较小的情况，而且也只适合计算机专业人员使用。

（2）软件方法

软件方法是利用现成的病毒工具软件，自动地对系统或磁盘进行病毒检查和清除，所以不仅适合病毒入侵范围较大的情况，而且适合广大计算机用户。病毒工具软件有三种类型:检测软件、消毒软件、检测和消毒连为一体的软件。