计算机病毒防治

计算机病毒（Computer Virus）是计算机安全中的一大毒瘤，可以在瞬间损坏文件系统，使计算机陷入瘫痪。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。

（一）计算机病毒的定义

计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。由计算机病毒的定义可知，计算机病毒是一种人为特制的程序，不独立以文件形式存放，而是通过非授权入侵而隐藏在可执行程序或数据文件中，具有自我复制能力，通过软件或网络传播到其他机器上，并造成计算机系统运行异常或导致整个系统瘫痪的灾难性的后果。由于它像病毒在生物体内繁殖导致生物患病一样，所以人们把这种现象形象地称为“计算机病毒”。

（二）计算机病毒程序的结构

计算机病毒一般由传染部分和表现部分组成。传染部分负责病毒的传播扩散（传染模块）。表现部分又可分为计算机屏幕显示部分（表现模块）及计算机资源破坏部分（破坏模块）。表现部分是病毒的主体，传染部分是表现部分的载体，表现和破坏一般是有条件的，条件不满足或时机不成熟是不会表现出来的。

（三）计算机病毒的主要特征

1.传染性

传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。

2.潜伏性

一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。如 Want Job（求职信）、Fun Love（欢爱）、Happy Time（欢乐时光）等病毒。一旦达到某种条件，隐蔽潜伏的病毒就肆虐地进行复制、变形、传染、破坏。

3.可触发性

病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。

4.破坏性

所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，所以对系统来讲，所有的计算机病毒都存在一个共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的，如果病毒设计者的目的在于彻底破坏系统的正常运行的话，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复。

5.隐蔽性

病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别出来的。

（四）计算机病毒的主要症状

计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现的同时进行自我复制，以各种手段进行传播。

以下是一些计算机病毒发作前常见的症状：

1）屏幕上突然出现特定画面或一些莫名其妙的信息或屏幕下雨、骷髅黑屏等。

2）平时运行正常的计算机突然经常性无缘无故地死机。这是因为病毒感染了计算机系统后，将自身驻留在系统内，并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生。

3）原来运行良好的程序，突然出现了异常现象或荒谬的结果。一些可执行文件无法运行或突然丢失。

4）操作系统无法正常启动，关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。

5）运行速度明显变慢。在硬件设备没有损坏或更换的情况下，本来运行速度很快的计算机，运行同样的应用程序，速度明显变慢，而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不足，运行变慢。

6）打印和通讯发生异常。在硬件没有更改或损坏的情况下，以前工作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码。串口设备无法正常工作，这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序，使之不能正常工作。

7）以前能正常运行的应用程序，经常发生死机或者非法错误。在硬件和操作系统没有进行改动的情况下，以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的。

8）磁盘空间迅速减少。没有安装新的应用程序，而系统可用的磁盘空间减少得很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。

9）陌生人发来的电子函件。收到陌生人发来的电子函件，尤其是那些标题很具诱惑力，比如一则笑话或者一封情书等，又带有附件的电子邮件。当然，这要与广告电子邮件、垃圾电子邮件和电子邮件炸弹区分开。一般来说广告电子邮件大多是不会携带附件的。而电子函件计算机病毒的附件大多是脚本程序，通常不会超过100kb字节。当然，电子邮件炸弹在一定意义上也可以看成是一种黑客程序，是一种计算机病毒。

10）自动链接到一些陌生的网站。没有上网，计算机会自动拨号并连接到互联网上一个陌生的站点，或者在上网的时候发现网络特别慢，存在陌生的网络链接。这种链接大多是黑客程序将收集到的计算机系统的信息“悄悄地”发回某个特定的网址，可以通过netstat命令查看当前建立的网络链接，再对照访问的网站来发现。需要注意的是有些网页中有一些脚本程序会自动链接到一些网页评比站点或者是广告站点，这时候也会有陌生的网络链接出现。当然，这种情况也可以认为是非法的。

（五）计算机病毒的预防措施

对于计算机病毒必须以预防为主。当发现计算机系统被病毒感染时，往往已对系统造成了破坏，即使及时采取了消毒措施，被破坏的部分常常是不可恢复的。因此，应注意采取以下预防措施，切断病毒的传播途径，做到防患于未然。

1）建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站，不要执行从-互联网下载后未经杀毒处理的软件，访问受到安全威胁的网站也会造成感染等。这些必要的习惯会使您的计算机更安全。

2）关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对一般用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3）经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，所以应该定期下载最新的安全补丁，以防患于未然。

4）迅速隔离受感染的计算机。当计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其他计算机。

5）了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些Windows注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

6）最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用防毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开，这样才能真正保障计算机的安全。

7）坚决杜绝使用来路不明的活动硬盘，如U盘、软盘等。不要把他人的活动盘放进自己的计算机，不要使用盗版的软件，因为它们极可能携带病毒。

8）对重要软件及数据要做备份，万一遇到系统崩溃时，可最大限度地恢复系统及保护数据。