第1个回答 2022-11-15
计算机病毒与医学上的“病毒”不同,计算机病毒不是天然存在的,是人利用计算机软体和硬体所固有的脆弱性编制的一组指令集或程式程式码。下面是我收集整理的,希望对大家有帮助~~
计算机病毒的原理
病毒依附储存介质软盘、 硬碟等构成传染源。病毒传染的媒介由工作的环境来定。病毒启用是将病毒放在记忆体, 并设定触发条件,触发的条件是多样化的, 可以是时钟,系统的日期,使用者识别符号,也可以是系统一次通讯等。条件成熟病毒就开始自我复制到传染物件中,进行各种破坏活动等。病毒的传染是病毒效能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染物件中去。
感染策略为了能够复制其自身,病毒必须能够执行程式码并能够对记忆体执行写操作。基于这个原因计算机病毒工作原理,许多病毒都是将自己附着在合法的可执行档案上。如果使用者企图执行该可执行档案,那么病毒就有机会执行。病毒可以根据执行时所表现出来的行为分成两类。非常驻型病毒会立即查询其它宿主并伺机加以感染,之后再将控制权交给被感染的应用程式。常驻型病毒被执行时并不会查询其它宿主。相反的,一个常驻型病毒会将自己载入记忆体并将控制权交给宿主。该病毒于背景中执行并伺机感染其它目标。 非常驻型病毒非常驻型病毒可以被想成具有搜寻模组和复制模组的程式。搜寻模组负责查询可被感染的档案,一旦搜寻到该档案,搜寻模组就会启动复制模组进行感染。
常驻型病毒常驻型病毒包含复制模组,其角色类似于非常驻型病毒中的复制模组。复制模组在常驻型病毒中不会被搜寻模组呼叫。病毒在被执行时会将复制模组载入记忆体,并确保当作业系统执行特定动作时,该复制模组会被呼叫。例如,复制模组会在作业系统执行其它档案时被呼叫。在这个例子中,所有可以被执行的档案均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的档案。例如,一个计算机病毒工作原理快速感染者可以感染所有被访问到的档案。这会对防毒软体造成特别的问题。当执行全系统防护时,防毒软体需要扫描所有可能会被感染的档案。如果防毒软体没有察觉到记忆体中有快速感染者,快速感染者可以借此搭便车,利用防毒软体扫描档案的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到,这是因为其行为会使得系统性能降低,进而增加被防毒软体侦测到的风险。相反的,慢速感染者被设计成偶而才对目标进行感染,如此一来就可避免被侦测到的机会。例如,有些慢速感染者只有在其它档案被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。
免杀技术以及新特征免杀是指:对病毒的处理,使之躲过防毒软体查杀的一种技术。通常病毒刚从病毒作者手中传播出去前,本身就是免杀的,甚至可以说“病毒比防毒软体还新,所以防毒软体根本无法识别它是病毒”,但由于传播后部分使用者中毒向防毒软体公司举报的原因,就会引起安全公司的注意并将之特征码收录到自己的病毒库当中,病毒就会被防毒软体所识别。
病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文件加壳就可以轻易躲过防毒软体的病毒特征码库而免于被防毒软体查杀。
美国的Norton Antivirus、McAfee、PC-cillin,俄罗斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等产品在国际上口碑较好,但防毒、查壳能力都有限,目前病毒库总数量也都仅在数十万个左右。
自我更新性是近年来病毒的又一新特征。病毒可以借助于网路进行变种更新,得到最新的免杀版本的病毒并继续在使用者感染的计算机上执行,比如熊猫烧香病毒的作者就建立了“病毒升级伺服器”,在最勤时一天要对病毒升级8次,比有些防毒软体病毒库的更新速度还快,所以就造成了防毒软体无法识别病毒。
除了自身免杀自我更新之外,很多病毒还具有了对抗它的“天敌”防毒软体和防火墙产品反病毒软体的全新特征,只要病毒执行后,病毒会自动破坏中毒者计算机上安装的防毒软体和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并退出防毒软体程序,可以过主流防毒软体“主动防御”和穿透软、硬体还原的机器狗,自动修改系统时间导致一些防毒软体厂商的正版认证作废以致防毒软体作废,从而病毒生存能力更加强大。
免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种,给依赖于特征码技术检测的防毒软体带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机器技术的启发式扫描软体,代表厂商NOD32,Dr.Web,和基于行为分析技术的主动防御软体,代表厂商中国的微点主动防御软体等。
计算机病毒防范
1、定期给系统打补丁,或者说是进行系统更新。最简单的解决方法是开启系统带的自动更新。
2、定期更新安全防护软体。基本上所有的安全防护软体都提供了自动更新,推荐将其开启。切记不要同时安装超过一套安全防护软体,即便是看起来没有什么冲突或者错误。因 为系统的底层资源是固定的,多个软体争夺势必造成功能损失。这里推荐几套软体,要说的一点是选择安全产品是要针对使用者习惯,需求等来确定的,不要人云亦 云:ESET NOD32,卡巴斯基,Norton,Mcafee,瑞星,江民。对于ARP攻击频繁的地方强烈推荐使用ESET NOD32和瑞星,防御效果相对更好。这里要注意的是ARP攻击分客户端和闸道器端两种,我们能防御的都是客户端的这种,如果伺服器端受到了有效的攻击我们也无能为力,这也是有的朋友遇到了装了ARP攻击防御软体仍然出现问题的原因。最根本的解决办法是ARP双向静态系结客户端和闸道器都系结。另外,ADSL使用者如果只有一台电脑上网则不存在风险,可以放心关闭ARP防御功能。
3、不要把所有安全责任都丢给安全防护软体。安全防护软体仅仅是保证电脑保安的工具。U盘,游戏,QQ,网页挂马,区域网已经成为传播病毒的基本途径。很多人的U盘上都有不只一中病毒,而游戏,QQ,网页病毒多数是因为经济利益问题。一般情况下安全软体的主动防御和档案监控能起到比较好的效果,尤其是在有移动装置如U盘,行动硬碟,SD卡等接入前,最好开启这些监控,并检视是否遮蔽了U盘自动执行。不要浏览非法包含非法资讯的网站,因为这样的网站多数都带有病毒或者恶意外挂安装。即使开启了自动更新,主动防御和档案监控,也要定期进行全盘扫描,一般需要在1-2周进行一次,扫描前需要手工更新防毒软体的病毒库和引擎到最新版本。不要随便开启别人给的档案,即使对方是可以信任的朋友,因为无法确定他知不知道已经感染了。而且防毒软体不能有效地控制未知病毒,而很多时候都是有不少使用者被感染了,才有安全公司在病毒库上添加了记录。同时不可轻易相信任何防毒软体的可疑程度检测,那个基本上都是没有多少可信度的。这项技术一直都是实验室水平的,对于实际应用基本没有什么价值,之所以会发布是因为各个公司之间的商业竞争,有的公司拿这个来吸引不知情的使用者,导致了恶性的回圈。当然,病毒家族检测现在已经比较成熟了,如果防毒软体提示是哪个病毒的变种,这个就需要小心了。
4、注意档案备份,特别是重要档案更是如此。备份可以使资料丢失时损失尽可能少。有很多 人因为中了病毒辛辛苦苦积累了很多年的档案都因为被病毒感染无法清除而不得不与之挥手告别,实际上可以通过备份来解决这些问题。但是最好不要在当前硬碟或 者U盘中备份,因为我们要保护的就是它们上面的资料。可以采用光碟备份,现在DVD烧录机和光碟的价格也越来越低,这不失为一中好的选择。切记不要以为系统做了Ghost映象就没有问题了,众所周知,熊猫烧香会删除它能发现的所有Ghost映象。实际上这个技术是很基础的,主要是看病毒作者是否想要新增这样的功能。
5、注意档案保密,对于有需要的档案进行加密。有些人会在计算机上安装“闪盘窥探者”,会试图把连线到机器上的移动储存装置的档案全部复制到一个指定的地方,这样会使U盘里的重要档案暴露出去。加密方式上有很多U盘和行动硬碟支援加密功能,可以直接使用。但是大部分的还是没有这个功能的,这种情况下,对于Office文件不要直接使用软体自带的加密方式,因为很容易破解。实际上rar,zip等压缩程式的加密也很难应对暴力破解,而这些格式通常都已经有了很完整的暴力破解工具。这里只能提醒大家使用的密码尽量长一点,比如12-16位的一般就很难破解了,同时不要使用英文单词,生日,姓名,游戏帐号等资讯作为密码,也不要单纯地使用数字或字母。一个很好的办法是想一句话,然后把这句话的每个单词如果是英文或者是每个字的拼音汉字的话的第一个字母组成一串,然后在里面新增上标点符号和数字根据喜好,可以不改变标点符号的位置。这种方法创建出来的密码既容易记又有很高的保密性,同样适用于其他场合。如果有更高的安全要求,还可以使用GnuPG这样的金钥策略,2048位的金钥容量很是够用,而且配套工具也比较齐全,可以方便使用。
6、谨慎对待各种小程式,小工具,比如注册机,Hash程式等等。因为名气不大所以不会受到很多人的检验,有的时候下载的档案其实和原版的档案不一样,或者原版的档案就包含了恶意程式码。部分记忆体注册机会被一些防毒软体报毒,是因为在程式执行时正常情况下一个程式不应该直接修改其他应用程式的记忆体,而记忆体注册机却正是通过这种办法实现破解的。
7、不要随便点“确定”“是”“允许”“下一步”一类的按钮。通常情况下很多使用者习惯了看见对话方块或者提示就点这些内容,但是这种习惯也为病毒感染提供了条件,很多时候防毒软体或者系统的UAC针对Vista会阻止不应该执行的程式执行,但是如果点了这些,很多时候是允许他们执行,这是一个习惯问题,不要因为每天点“允许”花了眼,手一滑就让不该执行的东西运行了。这样也能阻止很多恶意外挂的安装。很多人安装应用程式的时候总是一路点选下一步,这样也会导致很多的不需要的外挂被安装。而每一次这样的软体安装,都是会给软体作者一定的收入的,而且收入相当高,一般每安装成功一例就是1元钱左右。
8、不懂的情况下不要玩病毒或者研究黑客技术。因为很多时候那些工具也都被封装者添加了病毒,而你又不能让防毒软体来捣鬼,这个时候就很无奈了。没有解决不了的问题,还是不要因为一点小事而要把别人黑了或者怎么样了。