计算机病毒的传播过程可简略示意如下:
四、计算机病毒的特征
计算机病毒作为一种特殊的程序具有以下特征:
(一)非授权可执行性,计算机病毒隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序;
(二)隐蔽性,计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,它通常总是想方设法隐藏自身,防止用户察觉;
(三)传染性,传染性是计算机病毒最重要的一个特征,病毒程序一旦侵入计算机系统就通过自我复制迅速传播。
(四)潜伏性,计算机病毒具有依附于其它媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隐藏起来,然后在用户不察觉的情况下进行传染。
(五)表现性或破坏性。无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图象,影响系统的正常运行,还有一些病毒程序删除文件,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。
(六)可触发性,计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。
五、用户计算机中毒的24种症状
一是计算机系统运行速度减慢。
二是计算机系统经常无故发生死机。
三是计算机系统中的文件长度发生变化。
四是计算机存储的容量异常减少。
五是系统引导速度减慢。
六是丢失文件或文件损坏。
七是计算机屏幕上出现异常显示。
八是计算机系统的蜂鸣器出现异常声响。
九是磁盘卷标发生变化。
十是系统不识别硬盘。
十一是对存储系统异常访问。
十二是键盘输入异常。
十三是文件的日期、时间、属性等发生变化。
十四是文件无法正确读取、复制或打开。
十五是命令执行出现错误。
十六是虚假报警。
十七是换当前盘。有些病毒会将当前盘切换到C盘。
十八是时钟倒转。有些病毒会命名系统时间倒转,逆向计时。
十九是WINDOWS操作系统无故频繁出现错误。
二十是系统异常重新启动。
二十一是一些外部设备工作异常。
二十二是异常要求用户输入密码。
二十三是WORD或EXCEL提示执行“宏”。
二十四是不应驻留内存的程序驻留内存。
六、计算机病毒防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
(一)防毒。是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指通过采取防毒措施,可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式的病毒感染;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
(二)查毒。是指对于确定的环境,能够准确地报出病毒名称,该环境包括内存、文件、引导区(含主引导区)、网络等。查毒能力是指发现和追踪病毒来源的能力,通过查毒能准确地发现信息网络是否感染有病毒,准确查找出病毒的来源,给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
(三)解毒。是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括内存、引导区(含主引导区)、可执行文件、文档文件、网络等。解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。
七、计算机病毒诊断方法
通常计算机病毒的检测方法有两种:
(一)手工检测。是指通过一些软件工具(如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等)提供的功能进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。
