浅析计算机病毒及其防范措施

1、计算机病毒的传染对象

（1）磁盘引导区传染的计算机病毒

磁盘引导区传染的计算机病毒主要是用计算机病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种计算机病毒在运行的一开始(如系统启动)就能获得控制权，其传染性较大由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。磁盘引导区传染的计算机病毒较多。 （2）操作系统传染的计算机病毒

操作系统是一个计算机系统得以运行的支持环境，它包括．com、．exe等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类计算机病毒作为操作系统的一部分，只要计算机开始工作，计算机病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性增加了这类计算机病毒出现的可能性与传染性。操作系统传染的计算机病毒目前已广泛存在，“黑色星期五”即为此类计算机病毒。

（3）可执行程序传染的计算机病毒

可执行程序传染的计算机病毒通常寄生在可执行程序中，一旦程序被执行，计算机病毒也就被激活，而且计算机病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。

2、计算机病毒的传播途径

随着计算机技术的发展，计算机病毒的传播途径有多种，大概可以分成以下几种： 第一种途径：通过不可移动的计算机硬件设备进行传播。 第二种途径：通过移动存储设备来传播。 第三种途径：通过计算机网络进行传播。

第四种途径：通过点对点通信系统和无线通道传播。

（三）、计算机病毒的触发机制

感染、潜伏、可触发、破坏是病毒的基本特性。计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。实际上病毒采用的触发条件花样繁多，从中可以看出病毒作者对系统的了解程度及其丰富的想象力和创造力。 目前病毒采用的触发条件主要有以下几种：

1、日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、 前半年后半年触发等。

2、时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。

3、键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键人时，病毒被激活，进行某些特定操作。 键盘触发包括击键次数触发、组合键触发、热启动触发等。

4、感染触发：许多病毒的感染需要某些条件触发， 而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。

5、启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。 6、访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。

7、调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 8、其它触发机制：OS型号、IP地址、语言、地区、特定漏洞。

（四）、计算机病毒的破坏机制

根据现有的计算机病毒资料可以把计算机病毒的破坏目标和攻击部位归纳如下： 1、攻击系统数据区：计算机病毒的攻击部位包括硬盘主引寻扇区、Boot扇区、FAT’表和文件目录。一般来说，攻击系统数据区的计算机病毒是恶性计算机病毒，受损的数据不易恢复。

2、攻击文件：计算机病毒对文件的攻击方式很多，如：删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇和丢失数据文件等。

3、攻击内存：内存是计算机的重要资源，也是计算机病毒的攻击目标。计算机病毒额外地占用和消耗系统的内存资源，可以导致一些大程序受阻。计算机病毒攻击内存的方式如下：占用大量内存、改变内存总量、禁止分配内存和蚕食内存等。

4、干扰系统运行：计算机病毒会干扰系统的正常运行，以此作为自己的破坏行为。此类行为也是花样繁多，可以列举以下方式，不执行命令，不干扰内部命令的执行，虚假报警，不打开文件内部栈溢出、占用特殊数据区、换当前盘、时钟倒转、重启动、死机、强制游戏和扰乱串并行口等。

5、速度下降：计算机病毒激活时，其内部的时间延迟程序启动。在时钟中纳入了时间

的循环计数，迫使计算机空转，计算机速度明显下降等。

6、攻击磁盘：计算机病毒攻击磁盘包括攻击磁盘数据、不写盘、写操作变读操作和写盘时丢字节等。

7、扰乱屏幕显示：计算机病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动等。

8、键盘：响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱。

三、计算机病毒的预防与查杀病毒

（一）、计算机病毒的预防

加强计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，提高人们的防范意识，其次对待病毒关键是“防”为主。防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。将病毒拒之门外。 使用计算机提高工作和生活的效率的同时病毒也困扰的我们，很多用户对病毒一筹莫展，为了能更好的防范计算机大致如下几点：

1、由于正版价格昂贵绝大多数都采用盗版系统，这时在新重的系统进行病毒检查。 2、对硬盘做DOS和FORMAT格式化以防止硬盘有病毒藏匿。

3、对使用的软件进行检查，大多数用户在使用软件时为方便和实惠优先网络上下载的软件或盗版软件。比如:一些破解软件，纯净版等等。这些软件里都有可能藏匿病毒以达到不可告人的目的。

4、在使用软盘和移动磁盘时进行病毒查杀。为了避免电脑使用可移动磁盘时，通过双击，或者右击盘符时，导致把病毒感染至整个电脑，因此使用命令行方式，打开可移动磁盘盘，病毒不被激活传播。

插入可移动磁盘后，在Windows“开始”菜单“运行”对话框中输入“CMD”命令（进入DOS命令模式）输入可移动磁盘盘符 如“H：”按ENTER键。在输入“start.”按ENTER键。（注意start后面是一个点“.”执行此命令后即可打开可移动磁盘）

5、永远不要使用任何解密版的反毒软件，盗版者不可能全面照顾因为解密而可能产生的任何后果，更无法保证被破坏了原软件完整性检测的盗版软件自身的干净和无毒，他们无需担负任何责任和风险。同样，遭受侵权盗版损失的原版软件的研制单位和研究亦无任何义务为此担负任何责任。

6、及时对使用的软件和杀毒软件打补丁升级，由于病毒的各种特性使得病毒藏匿很深

反病毒产品必须适应病毒的发展，不断升级，才能识别和杀灭新病毒，为系统提供真正安全环境。

7、经常注意系统的工作状况，特别留心与病毒症状相似的异常现象。及时发现异常情况，不使病毒传染到整个磁盘，传染到相邻的计算机。发现异常现象，进行分析，当认为有染毒可能时，采用反病毒产品检测或手工检测，确保将病毒杀灭于“萌芽”状态。

（二）、计算机的病毒查杀

1、软件清除

对于杀毒软件而言最重要的特征就是：病毒扫描引擎。该引擎扫描它所截取的数据以查看其中是否包含病毒，如果有病毒就会将其清除。信息的扫描通常通过两种方式进行：一种是将扫描信息与病毒数据库（即所谓的“病毒特征库”）进行对照，如果信息与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。但是对于某些新的病毒或危险信息，在病毒数据库中并没有它们的特征，如果仅采用病毒特征库系统，那么至少每天更新一次病毒库就显得尤为重要。可全球每天至少有数十种病毒出现，还有变异病毒、隐藏病毒等，如果杀毒软件两三天都不更新病毒库就变得很危险了。有些杀毒软件查到病毒后不能够彻底清除病毒，目前有些病毒自身保护，能够将杀毒软件杀死在进程里，再继续破坏就计算机病毒的各种特征来看使用杀毒软件杀毒还是很被动的。

2、手工清除

在查毒过程中为起到不同的查杀效果 我们在查杀病毒时最好多使用几套查杀软件或方法。这样往往收到事半功倍的最佳效果。由于病毒的可触发性、破坏性、隐弊性等病毒特性。病毒的产生肯定是比我们使用的杀毒软件的升级快很多的，既然是那个样子我们在杀毒会很被动，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。

进程法：有的病毒在热启动（CTRL+ALT+DEL)就可以看出来，它们总是想隐藏自己成为系统里面的特殊文件，仔细看就可以看出端倪。其实只要认真看问题就简单。简单方法就是发现可疑进程，可以使用搜索功能搜索进程文件.exe查看是否是病毒文件，或是上网收搜该进程的相关相信。特别注意的是在用热启动的时候，在不打开任何文件和软件情况下，查看进程可以发现是否有病毒启动，这样比较好辨认。在使用进程法时或许有些顽固进程无法关闭这时可以采用命令行方式关闭。

具体方法：首先“开始——运行”，输入CMD，打开命令提示符。输入“Tasklist”后就会

看到我们各个程序的进程列表了，其中有一列叫PID(进程标识符)的，这对我们强制关闭某个进程时有用到。命令如下：“ntsd -c q -p PID号”。

启动法：现在的病毒和木马都会自己随系统而启动，那么我们就可以根据这个把它找到。开始——运行——输入msconfig在启动选项就可以看到启动的项目和命令还有位置，把你觉得十分可疑的前面的沟去掉就可以了。我们还使用注册表进行启动文件删除。可以在运行里

面

输

入

regedit

（

注

册

表

）

，

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce，还有RunServices

和

Run

，

还

有

另

外

一

个

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce，以及RunServices和Run的可疑的启动文件都删。

文件法：将所有隐藏的文件和文件夹显示出来。我们先打开“我的电脑”工具栏里面的“工具选项”——“查看”——“隐藏受保护的操作系统文件（推荐）”的勾去掉，选择显示所有文件和文件夹，去以下的文件夹看看有没有可疑的文件。设置好后可以按照修改时间来确定一些文件的状态，鼠标右击\排列图标\修改时间\按组排列\。可能查看所有文件的修改时间来确定文件状态。

四、总结

随着计算机网络技术的不断发展是计算机给人类的各行各业，带来更多便利的同时是也带来了相当巨大的相信安全挑战。现代信息网络面临着各种各样的安全威胁是有来自网络外面的攻击是比如网络黑客、计算机病毒等。因此合理有效的预防是防范计算机病毒最有效是最经济省力是也是最应该值得重视的问题。研究计算机病毒与预防有利于我们正确认识、感知、防范计算机病毒的攻击。以保护计算机网络安全是使得计算机网络真正发挥其积极的作用。是促进人类在通信过程中的安全健康。

五、参考文献

[1] 王恒青. 新时期计算机病毒的动态分析与防范[J]. 科技信息(学术研究) , 2007. [2] 徐东亮. 关威. 计算机病毒的防范[J]. 黑龙江气象 . 2002. [3] 张智勇. 浅析计算机病毒及防范的措施[J]. 黑龙江科技信息 , 2007. [4] 刘孝国. 浅析计算机病毒与防范措施[J]. 实验室科学 , 2007.

[5] 杨丽锦. 浅析局域网病毒的特点及防范策略[J]. 科技信息(学术研究) , 2008. [6] 张璞. 计算机病毒防范浅析[J]. 内江科技 .2008.