一、计算机病毒的概述

    1.计算机病毒的定义

计算机病毒是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在条例第二十八条明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”

    2.计算机病毒的产生与发展

计算机病毒的产生没有确切的说法，有科学幻想起源说；有恶作剧起源说；有游戏程序起源说；还有软件商保护起源说等等，但都无从考证。自从1983年发现了全世界首例计算机病毒以来，计算机病毒的数量已达数十万种，并且这个数字还在快速增长。

计算机病毒的发展从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒，主要经历了DOS引导阶段、DOS可执行阶段、伴随、批次型阶段、幽灵、多形阶段、生成器、变体机阶段、网络、蠕虫阶段、Windows病毒阶段、宏病毒阶段以及Internet阶段。

3. 计算机病毒的特性

计算机病毒和生物病毒一样，需要宿主，因此它具有寄生性。它会寄生在其他程序之中，当执行这个程序时，病毒就会发挥作用，而在未启动这个程序之前，它是不易被人发觉的。

它也具有隐藏性。计算机病毒是一种隐藏性很高的可执行程序，如果不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。

计算机病毒还具有潜伏性。不是所有的病毒都能马上发作的，有些病毒像定时炸弹一样，发作时间是预先设计好的。比如黑色星期五病毒，不到预定时间不会觉察出来，等到条件具备的时候一下子就爆炸开来对系统进行破坏。

计算机病毒还具有可触发性。病毒因满足特定的时间或日期，期待特定用户识别符出现，特定文件的出现或使用，一个文件使用的次数超过设定数等，诱使病毒实施感染或进行攻击的特性称为可触发性。

除此之外，计算机病毒还具备传染性。如果一台计算机感染了病毒，那么曾在这台计算机上使用过的移动硬盘或U盘往往已经感染上了病毒，而与这台计算机联网的其他计算机也会被感染。由于目前网络飞速发展，所以计算机病毒能在短时间内进行快速传染。

除了上述特点以外，如今计算机病毒又出现一些新的特性，如：利用微软漏洞主动传播、局域网内快速传播、以多种方式传播、大量消耗系统与网络资源、双程序结构、用即时工具传播病毒、病毒与黑客技术的融合、远程启动等。

4 .计算机病毒的分类

    计算机病毒如果按破坏能力分类，可以分为无害型、无危险型、危险型和非常危险型。如果按破坏程度分类那么可以分为良性病毒和恶性病毒。如果按照它的算法分类，那么可以分为伴随型病毒、蠕虫型病毒、寄生型病毒、诡秘型病毒和变型病毒。

    下面我们主要分析计算机病毒按工作方式分类：

（1）引导型病毒的工作方式如图1.1所示：

图1.1 引导型病毒的工作方式

    （2）文件型病毒的工作方式：

在目前已知的病毒中，大多数属于文件型病毒。文件型病毒一般只传染磁盘上的可执行文件（.COM、.EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其常见的传染方式是附着于正常程序文件中，成为程序文件的一个外壳或部件。文件型病毒的工作方式如图1.2所示：

      图1.2 文件型病毒的工作方式

（3）混和型病毒工作方式：

  混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。这种病毒的原始状态是依附在可执行文件上，以该文件为载体进行传播。当被感染文件执行时，会感染硬盘的主引导记录。以后用硬盘启动系统时，就会实现从文件型病毒转变为引导型病毒。例如BloodBound.A，该病毒也称为Tchechen.3420，主要感染.COM、.EXE和.MBR文件。它将自己附着在可执行文件的尾部，将破坏性的代码放入MBR中，然后清除硬盘中的文件。

（4）宏病毒的工作方式：

   宏病毒是利用宏语句编写的。它们通常利用宏的自动化功能进行感染，当一个感染的宏被运行时，它会将自己安装在应用的模板中，并感染应用创建和打开的所有文档。Office中的Word、Excel和PowerPoint都有宏。

  （5）Java病毒工作方式：

    Java是由Sun公司创建的一种用于互联网环境中的编程语言。Java应用程序不会直接运行在操作系统中，而是运行在Java虚拟机（JVM）上。因此用Java编写的应用程序的移植性非常强，包括现在的手机中的一些程序也是用Java编写的。Java Applet是一种内嵌在HTML网页中的可携式Java小程序。具有Java功能的浏览器可以运行这个小程序。Java Applet可供Web开发人员建立含有功能更丰富的交互式动态Web网页。它们会在使用者访问网页时被执行。黑客、病毒作者或其他恶意人士可能会用Java恶意程序代码当作武器攻击使用者的系统。

（6）网络病毒工作方式：

    随着互联网的高速发展，计算机病毒从原来的磁盘进行传播发展到现在的通过网络的漏洞进行传播。到如今，网络病毒已经成为计算机网络安全的最大威胁之一。网络病毒中又以蠕虫病毒出现最早，传播最为广泛，例如“冲击波”、“红色代码”病毒等。

    （7）脚本病毒工作方式：

    脚本病毒也是一种特殊的网络病毒。脚本是指从一个数据文档中执行一个任务的一组指令，它也是嵌入到一个文件中，常见的是嵌入到网页文件中。脚本病毒依赖于一些特殊的脚本语言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。有些脚本语言，例如VBScript（Visual Basic Script）以及JavaScript病毒，必须通过Microsoft的Windows Scripting Host（WSH）才能够激活执行以及感染其他文件。

（8）PE病毒工作方式：

    PE病毒，是指感染Windows PE格式文件的病毒。PE病毒是目前影响力极大的一类病毒。PE病毒同时也是所有病毒中数量极多、破坏性极大、技巧性最强的一类病毒。如FunLove、“中国黑客”等病毒都属于这个范畴。

    5.计算机病毒的主要传播途径

计算机病毒要实现传播，有三个关键环节:

(1)带病毒文件的迁移。即感染病毒的文件从一台计算机复制、迁移到另一台计算机，感染其他计算机。

(2)计算机操作者的触发。计算机病毒是寄生在受感染文件上的，只有计算机操作者执行或者打开受感染的文件，计算机病毒才有执行的机会，才能取得主机的控制权。

(3)感染。病毒在取得主机的控制权后，就随时可以寻找合适的目标文件进行感染，把病毒副本嵌入到目标文件中。

    二、 计算机病毒的防范和清除

    1.对计算机病毒防范的原则

    对计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒入侵，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。

计算机病毒的侵入必将对系统资源构成威胁，即使是良性病毒，也要占有少量的系统空间，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失，因此，防治计算机病毒应以预防为主。

    2.对计算机病毒防范的基本技术

对计算机病毒的预防是在计算机病毒尚未入侵或刚刚入侵，就拦截、阻击计算机病毒的入侵或立即警报。目前在预防计算机病毒工具中采用的主要技术如下 ：

  1、特征代码技术

特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中，目前被认为是用来检测己知病毒的最简单、开销最小的方法。防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，每当需要扫描该程序是否有毒的时候，启动杀毒软件程序，以扫描的方式与该病毒码资料库内的现有资料一一比对，如果两方资料皆有吻合之处的话，既判定该程序已遭病毒感染。

2、校验和技术

大多数的病毒都不是单独存在的，它们大都依附或寄生于其它的文档程序，所以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次汇总并加以记录，将正常文件的内容计算其校验和，将该校验和写入文件中或写入别的文件中保存。在每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现己知病毒又可发现未知病毒。

    3、行为监测法技术

利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

    4、软件模拟技术

多态性病毒每次感染都会变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也各不相同，无法找出可能的作为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难以做出杀毒处理，由此出现了一种新的软件模拟法。

三、典型的计算机病毒及清除方法

    1.引导区病毒及清除办法

引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。它会感染在该系统中进行读写操作的所有软盘，然后再由这些软盘以复制的方式和引导进入到其他计算机系统，感染其他计算机的操作系统。

消除这类计算机病毒的基本思想是：用原来正常的分区表信息或引导扇区信息，覆盖掉计算机病毒程序。

    2.文件型计算机病毒

文件型病毒是对源文件进行修改，使其成为新的文件。它有两种类型，一种是将病毒加在COM前部，一种是加在文件尾部。文件型病毒传染的对象主要是.COM和.EXE文件。该病毒可以感染基本上所有操作系统的可执行文件，感染所有标准的DOS可执行文件，包括批处理文件、DOS下的可加载驱动程序（.SYS）文件以及普通的COM／EXE可执行文件。还能感染所有视窗操作系统可执行文件，包括：视窗3.X版本，视窗9X版本，视窗NT和视窗2000版本下的可执行文件，后缀名是EXE、DLL或者VXD、SYS。

这种病毒的清除，要先确定计算机病毒程序的位置，是驻留在文件尾部还是在文件首部，然后恢复原文件头部的参数，再去修改文件长度，将源文件写回。

    3.脚本型计算机病毒

在早期的系统中，计算机病毒就已经开始利用脚本进行传播和破坏，不过专门的脚本病毒并不常见。但是在脚本应用无所不在的今天，脚本病毒却成为危害最大，最为广泛的病毒，特别是当它和一些传统的恶性病毒相结合时，其危害就更为严重了。

它的清除步骤要禁用文件系统对象FileSystemObject；再去卸载Windows Scripting Host；删除vbs，vbe，js，jse文件后缀与应用程序映射；在Windows目录中，找到WScript.exe，更改名称或者删除；自定义安全级别；禁止Outlook，Outlook Express的自动手法邮件功能；显示扩展名；将系统的网络连接的安全级别设置至少为“中等；安装、使用杀毒软件。

    4. 特洛伊木马病毒

特洛伊木马也叫黑客程序或后门病毒，是指隐藏在正常程序中的一段具有特殊功能的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络攻击手段。它的清除首先要备份重要数据；立即关闭设备电源；备份木马入侵现场；修复木马危害。

    5. 蠕虫病毒

蠕虫病毒以计算机为载体，以网络为攻击对象，它的清除要先与防火墙互动，然后与交换机联动，再去通知HIDS（基于主机的入侵检测），最后报警。

    四 计算机病毒的发展趋势

21世纪是计算机病毒与反病毒激烈角逐的时代。计算机病毒以智能化、人性化、多样化的特点逐渐成为新世纪计算机病毒的发展趋势。只有对计算机病毒的新动向、新特点以及新技术有全面的了解，才能跟踪日新月异的计算机病毒技术发展趋势，使反计算机病毒技术朝着更高效的目标迈进，才能更有效地在网络上禁毒，保证网络的安全运行。

参考文献

[1] 袁忠良．计算机病毒防治实用技术[M]．第二版．北京：清华大学出版社，2010

[2] 薛为民．计算机网络安全教程[M]．第二版．北京：交通大学出版社，2011

[3] ]李治国．计算机病毒防治实用教程[M]．第三版．北京：机械工业出版社，2011

[4] ]王倍昌．计算机病毒揭秘与对抗[M]．第一版．北京：电子工业出版社，2011