計算機病毒的原理和防範

　　計算機病毒與醫學上的“病毒”不同，計算機病毒不是天然存在的，是人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式程式碼。下面是小編收集整理的，希望對大家有幫助~~

　　計算機病毒的原理

　　病毒依附儲存介質軟盤、 硬碟等構成傳染源。病毒傳染的媒介由工作的環境來定。病毒啟用是將病毒放在記憶體， 並設定觸發條件，觸發的條件是多樣化的， 可以是時鐘，系統的日期，使用者識別符號，也可以是系統一次通訊等。條件成熟病毒就開始自我複製到傳染物件中，進行各種破壞活動等。病毒的傳染是病毒效能的一個重要標誌。在傳染環節中，病毒複製一個自身副本到傳染物件中去。

　　感染策略為了能夠複製其自身，病毒必須能夠執行程式碼並能夠對記憶體執行寫操作。基於這個原因計算機病毒工作原理，許多病毒都是將自己附著在合法的可執行檔案上。如果使用者企圖執行該可執行檔案，那麼病毒就有機會執行。病毒可以根據執行時所表現出來的行為分成兩類。非常駐型病毒會立即查詢其它宿主並伺機加以感染，之後再將控制權交給被感染的應用程式。常駐型病毒被執行時並不會查詢其它宿主。相反的，一個常駐型病毒會將自己載入記憶體並將控制權交給宿主。該病毒於背景中執行並伺機感染其它目標。　　非常駐型病毒非常駐型病毒可以被想成具有搜尋模組和複製模組的程式。搜尋模組負責查詢可被感染的檔案，一旦搜尋到該檔案，搜尋模組就會啟動複製模組進行感染。

　　常駐型病毒常駐型病毒包含複製模組，其角色類似於非常駐型病毒中的複製模組。複製模組在常駐型病毒中不會被搜尋模組呼叫。病毒在被執行時會將複製模組載入記憶體，並確保當作業系統執行特定動作時，該複製模組會被呼叫。例如，複製模組會在作業系統執行其它檔案時被呼叫。在這個例子中，所有可以被執行的檔案均會被感染。常駐型病毒有時會被區分成快速感染者和慢速感染者。快速感染者會試圖感染儘可能多的檔案。例如，一個計算機病毒工作原理快速感染者可以感染所有被訪問到的檔案。這會對防毒軟體造成特別的問題。當執行全系統防護時，防毒軟體需要掃描所有可能會被感染的檔案。如果防毒軟體沒有察覺到記憶體中有快速感染者，快速感染者可以藉此搭便車，利用防毒軟體掃描檔案的同時進行感染。快速感染者依賴其快速感染的能力。但這同時會使得快速感染者容易被偵測到，這是因為其行為會使得系統性能降低，進而增加被防毒軟體偵測到的風險。相反的，慢速感染者被設計成偶而才對目標進行感染，如此一來就可避免被偵測到的機會。例如，有些慢速感染者只有在其它檔案被拷貝時才會進行感染。但是慢速感染者此種試圖避免被偵測到的作法似乎並不成功。

　　免殺技術以及新特徵免殺是指：對病毒的處理，使之躲過防毒軟體查殺的一種技術。通常病毒剛從病毒作者手中傳播出去前，本身就是免殺的，甚至可以說“病毒比防毒軟體還新，所以防毒軟體根本無法識別它是病毒”，但由於傳播後部分使用者中毒向防毒軟體公司舉報的原因，就會引起安全公司的注意並將之特徵碼收錄到自己的病毒庫當中，病毒就會被防毒軟體所識別。

　　病毒作者可以通過對病毒進行再次保護如使用匯編加花指令或者給文件加殼就可以輕易躲過防毒軟體的病毒特徵碼庫而免於被防毒軟體查殺。

　　美國的Norton Antivirus、McAfee、PC-cillin，俄羅斯的Kaspersky Anti-Virus，斯洛伐克的NOD32等產品在國際上口碑較好，但防毒、查殼能力都有限，目前病毒庫總數量也都僅在數十萬個左右。

　　自我更新性是近年來病毒的又一新特徵。病毒可以藉助於網路進行變種更新，得到最新的免殺版本的病毒並繼續在使用者感染的計算機上執行，比如熊貓燒香病毒的作者就建立了“病毒升級伺服器”，在最勤時一天要對病毒升級8次，比有些防毒軟體病毒庫的更新速度還快，所以就造成了防毒軟體無法識別病毒。

　　除了自身免殺自我更新之外，很多病毒還具有了對抗它的“天敵”防毒軟體和防火牆產品反病毒軟體的全新特徵，只要病毒執行後，病毒會自動破壞中毒者計算機上安裝的防毒軟體和防火牆產品，如病毒自身驅動級Rootkit保護強制檢測並退出防毒軟體程序，可以過主流防毒軟體“主動防禦”和穿透軟、硬體還原的機器狗，自動修改系統時間導致一些防毒軟體廠商的正版認證作廢以致防毒軟體作廢，從而病毒生存能力更加強大。

　　免殺技術的泛濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種，給依賴於特徵碼技術檢測的防毒軟體帶來很大困擾。近年來，國際反病毒行業普遍開展了各種前瞻性技術研究，試圖扭轉過分依賴特徵碼所產生的不利局面。目前比較有代表性產品的是基於虛擬機器技術的啟發式掃描軟體，代表廠商NOD32，Dr.Web，和基於行為分析技術的主動防禦軟體，代表廠商中國的微點主動防禦軟體等。

　　計算機病毒防範

　　1、定期給系統打補丁，或者說是進行系統更新。最簡單的解決方法是開啟系統帶的自動更新。

　　2、定期更新安全防護軟體。基本上所有的安全防護軟體都提供了自動更新，推薦將其開啟。切記不要同時安裝超過一套安全防護軟體，即便是看起來沒有什麼衝突或者錯誤。因 為系統的底層資源是固定的，多個軟體爭奪勢必造成功能損失。這裡推薦幾套軟體，要說的一點是選擇安全產品是要針對使用者習慣，需求等來確定的，不要人云亦 雲：ESET NOD32，卡巴斯基，Norton，Mcafee，瑞星，江民。對於ARP攻擊頻繁的地方強烈推薦使用ESET NOD32和瑞星，防禦效果相對更好。這裡要注意的是ARP攻擊分客戶端和閘道器端兩種，我們能防禦的都是客戶端的這種，如果伺服器端受到了有效的攻擊我們也無能為力，這也是有的朋友遇到了裝了ARP攻擊防禦軟體仍然出現問題的原因。最根本的解決辦法是ARP雙向靜態繫結客戶端和閘道器都繫結。另外，ADSL使用者如果只有一臺電腦上網則不存在風險，可以放心關閉ARP防禦功能。

　　3、不要把所有安全責任都丟給安全防護軟體。安全防護軟體僅僅是保證電腦保安的工具。U盤，遊戲，QQ，網頁掛馬，區域網已經成為傳播病毒的基本途徑。很多人的U盤上都有不只一中病毒，而遊戲，QQ，網頁病毒多數是因為經濟利益問題。一般情況下安全軟體的主動防禦和檔案監控能起到比較好的效果，尤其是在有移動裝置如U盤，行動硬碟，SD卡等接入前，最好開啟這些監控，並檢視是否遮蔽了U盤自動執行。不要瀏覽非法包含非法資訊的網站，因為這樣的網站多數都帶有病毒或者惡意外掛安裝。即使開啟了自動更新，主動防禦和檔案監控，也要定期進行全盤掃描，一般需要在1-2周進行一次，掃描前需要手工更新防毒軟體的病毒庫和引擎到最新版本。不要隨便開啟別人給的檔案，即使對方是可以信任的朋友，因為無法確定他知不知道已經感染了。而且防毒軟體不能有效地控制未知病毒，而很多時候都是有不少使用者被感染了，才有安全公司在病毒庫上添加了記錄。同時不可輕易相信任何防毒軟體的可疑程度檢測，那個基本上都是沒有多少可信度的。這項技術一直都是實驗室水平的，對於實際應用基本沒有什麼價值，之所以會發布是因為各個公司之間的商業競爭，有的公司拿這個來吸引不知情的使用者，導致了惡性的迴圈。當然，病毒家族檢測現在已經比較成熟了，如果防毒軟體提示是哪個病毒的變種，這個就需要小心了。

　　4、注意檔案備份，特別是重要檔案更是如此。備份可以使資料丟失時損失儘可能少。有很多 人因為中了病毒辛辛苦苦積累了很多年的檔案都因為被病毒感染無法清除而不得不與之揮手告別，實際上可以通過備份來解決這些問題。但是最好不要在當前硬碟或 者U盤中備份，因為我們要保護的就是它們上面的資料。可以採用光碟備份，現在DVD燒錄機和光碟的價格也越來越低，這不失為一中好的選擇。切記不要以為系統做了Ghost映象就沒有問題了，眾所周知，熊貓燒香會刪除它能發現的所有Ghost映象。實際上這個技術是很基礎的，主要是看病毒作者是否想要新增這樣的功能。

　　5、注意檔案保密，對於有需要的檔案進行加密。有些人會在計算機上安裝“閃盤窺探者”，會試圖把連線到機器上的移動儲存裝置的檔案全部複製到一個指定的地方，這樣會使U盤裡的重要檔案暴露出去。加密方式上有很多U盤和行動硬碟支援加密功能，可以直接使用。但是大部分的還是沒有這個功能的，這種情況下，對於Office文件不要直接使用軟體自帶的加密方式，因為很容易破解。實際上rar,zip等壓縮程式的加密也很難應對暴力破解，而這些格式通常都已經有了很完整的暴力破解工具。這裡只能提醒大家使用的密碼儘量長一點，比如12-16位的一般就很難破解了，同時不要使用英文單詞，生日，姓名，遊戲帳號等資訊作為密碼，也不要單純地使用數字或字母。一個很好的辦法是想一句話，然後把這句話的每個單詞如果是英文或者是每個字的拼音漢字的話的第一個字母組成一串，然後在裡面新增上標點符號和數字根據喜好，可以不改變標點符號的位置。這種方法創建出來的密碼既容易記又有很高的保密性，同樣適用於其他場合。如果有更高的安全要求，還可以使用GnuPG這樣的金鑰策略，2048位的金鑰容量很是夠用，而且配套工具也比較齊全，可以方便使用。

　　6、謹慎對待各種小程式，小工具，比如註冊機，Hash程式等等。因為名氣不大所以不會受到很多人的檢驗，有的時候下載的檔案其實和原版的檔案不一樣，或者原版的檔案就包含了惡意程式碼。部分記憶體註冊機會被一些防毒軟體報毒，是因為在程式執行時正常情況下一個程式不應該直接修改其他應用程式的記憶體，而記憶體註冊機卻正是通過這種辦法實現破解的。

　　7、不要隨便點“確定”“是”“允許”“下一步”一類的按鈕。通常情況下很多使用者習慣了看見對話方塊或者提示就點這些內容，但是這種習慣也為病毒感染提供了條件，很多時候防毒軟體或者系統的UAC針對Vista會阻止不應該執行的程式執行，但是如果點了這些，很多時候是允許他們執行，這是一個習慣問題，不要因為每天點“允許”花了眼，手一滑就讓不該執行的東西運行了。這樣也能阻止很多惡意外掛的安裝。很多人安裝應用程式的時候總是一路點選下一步，這樣也會導致很多的不需要的外掛被安裝。而每一次這樣的軟體安裝，都是會給軟體作者一定的收入的，而且收入相當高，一般每安裝成功一例就是1元錢左右。

　　8、不懂的情況下不要玩病毒或者研究黑客技術。因為很多時候那些工具也都被封裝者添加了病毒，而你又不能讓防毒軟體來搗鬼，這個時候就很無奈了。沒有解決不了的問題，還是不要因為一點小事而要把別人黑了或者怎麼樣了。