计算机病毒的实用防范
2013-04-13赵德峰侯秀梅
赵德峰,侯秀梅
(1.哈尔滨威克科技股份有限公司,哈尔滨150090;2.黑龙江省教育学院,哈尔滨150080)
一、现象
在当年Win98的时候,中病毒的主要现象多是CPU占用率100%,现在的病毒木马似乎不太倾向于弱破坏性行为,大部分都看重商业性。目前,主要存在的病毒类型为各种盗号的木马、网马、外挂及各种D.O.S程序(拒绝服务攻击),以及D.D.O.S程序(分布式拒绝服务攻击),另有一些僵尸网络或利用操作系统漏洞的蠕虫病毒等。下面,笔者将平时积累的知识与大家分享,共同预防这种在大家电脑中或有或无的一种程序病毒。
首先,大家接触病毒一般是通过现象来感知的。我们就从大家的主观感受来直观地了解一下病毒。当你的电脑出现如下几种症状的时候,它就有可能中病毒了:
1.电脑运行比平常迟钝,单一程序CPU占用过高。
2.程序载入时间比平常久。
3.对一个简单的工作,磁盘似乎花了比预期长的时间。
4.不寻常的错误信息出现或程序不能运行。
5.当你没有存取磁盘动作时,磁盘指示灯却经常闪烁。
2)对晋元庄路口与阜石路路口之间的行人过街,其信号灯放行时序与下游阜石路路口东西直行相位相同,此时南北方向车辆因处于排队状态,因此行人过街安全性得到保证;同时当南北向车流获得通行权,行人过街处于红灯状态,因此减缓了行人过街对直行车辆造成的影响.
6.提示系统内存不足。
7.磁盘可利用的空间突然减少,磁盘内出现各种有规则或无规则的文件。
8.可执行程序的大小改变。
9.磁盘扇区标记为坏簇的方式把磁盘隐藏起来,磁盘坏簇会莫名其妙地增多。
10.网络流量异常,无法上网。
11.内存中增加来路不明的常驻程序。
13.弹出大量非允许的广告窗口,浏览器主页被劫持。
14.文件名称、扩展名、日期、属性等数据更改。
15.计算机外设出现异常,如键盘失灵,音箱发出怪声,光驱反复弹出。
16.死机或者系统无原因重启。
17.出现一些异常的画面或声音。
当然,异常现象还不止以上种种,这些现象的出现也并不代表系统内肯定有病毒,但并不排除系统存在病毒的可能,仍需进一步检查。
二、分类
知道了表象后,我们再来了解一下引起这些现象的罪魁祸首的称呼是什么,它们是怎样被分类的。
计算机病毒存在的理论依据来自于冯·诺依曼结构及信息共享,冯·诺依曼结构的计算机允许程序及系统自我复制,因其与生物学病毒一样都具有传染性、流行性以及针对性等特征,因此,最初的计算机病毒的名称就是从生物学借用过来的。从广义上来说,我们把能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。
病毒的种类很多,根据不同的划分条件,有如下五种分类:
1.按照计算机病毒攻击的系统可分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒、攻击OS/2系统的病毒、攻击嵌入式操作系统的病毒。
2.按照计算机病毒攻击的机型可分为攻击微型计算机的病毒、攻击小型机的计算机病毒、攻击工作站的计算机病毒、攻击便携式电子设备的病毒。
3.按照计算机病毒的链结方式可分为源码型病毒、入侵型病毒、外壳型病毒、操作系统型病毒。
4.按照计算病毒危害程度可分为良性计算机病毒、恶性计算机病毒、中性计算机病毒。
5.按照寄生方式可分为引导型病毒、文件型病毒、混合型病毒。
由病毒的表象知道了什么是病毒以及病毒的分类,这些还远远不够,以上只是让大家了解的基础知识,这些并不重要,重要的是在实际生活中如何防范病毒,如何在中毒后采取措施杀毒,恢复系统。
从笔者的个人观点来看,病毒状态可分为静态与动态、活动与灭活。静态是指其存储在各种存储介质中并未运行;动态就是指其被激活条件激活,存在于内存中;杀毒就是针对病毒对系统的改动进行逆向操作,并结束内存中病毒的进程及删除存储介质中病毒的本体。对于蠕虫类的感染型病毒会插入到可执行文件中,这样还包括对可执行文件的还原处理。
手动查杀病毒的首要问题是发现病毒,如何发现病毒文件呢?我们可以从进程或模块、服务、驱动、端口,以及他们之间的关联关系入手,直观的方法是可以查看文件的静态属性、文件排查、位置、文件名、大小、修改或创建时间、其他属性,这样我们就可以找到一些可疑的文件。其次,我们需要进一步查看进程映象、可疑文件、相关运行支撑文件(DLL)、相关数据文件记录、可疑文件对系统的修改痕迹、可疑的网络行为及流量,将病毒找到。再次,找到病毒后,关闭病毒进程、终止服务,删除相应的文件、注册表启动项等。
三、预防
当然一般的计算机用户,对于计算机病毒不能像我们描述的那样一步一步手动查杀,有些感染型病毒也不可能手动处理,所以,对于病毒的预防与中毒后系统恢复就至关重要。.那么我们要如何预防病毒呢?
1.未雨绸缪。病毒的分析试验都是在虚拟机里进行的,但有时也会误操作,直接在现用系统里不小心运行了,这就相当于大家对于网络传过来的程序不小心双击运行之后,就意识到自己中了病毒。那么,遇到这种情况,我们如何快速恢复呢?这就需要大家学会经常备份系统(例如装完系统,全部硬件驱动都装完后用ghost备份,装完常用软件之后再备份),也可以在没有虚拟机的情况下想运行一个未知的程序的时候提前备份,如有异常就直接还原回备份时的状态,或直接用影子系统(但不推荐影子系统,有的病毒是可以穿透影子系统的),把重要的文档保存在非系统分区,这样在系统受到破坏或不能启动的时候,我们可以借助启动光盘或者windows PE(Windows预安装环境)上的GHOST来进行还原。应用的PE主要有硬盘安装版与U盘版,这里推荐老毛桃PE(相关下载网址http://www.laomaotao.net)。一键还原软件推荐雨林木风的OneKeyGhost(相关下载地址http://onekey.cc/)。
2.选择一款占用资源小、查杀率高,最好有主动防御功能的杀毒软件并及时更新病毒库。我们日常安装杀毒软件是对已知病毒的特征码进行查杀,对于未知的病毒或者黑客做过免杀的木马,有没有杀毒软件差别不大。所以,病毒库的更新要及时。这里推荐有一定的电脑知识,会手动查杀的用户选用卡巴6.0单机版+SSM(System Safety Monitor),配合的方式详见来自于 http://baike.baidu.com/view/269217.htm的介绍。其实对系统有一定了解的用户完全可以只用SSM,只不过应用的策略要比普通用户更严格些。其他用户可以选用卡巴6.0互联网安全套装+360安全卫士,相比于卡巴2012占用资源少一些。对于电脑配置差一些,无网上购物习惯,对病毒木马不在意的朋友,推荐不安装杀毒软件,一旦发现异常或中毒情况,直接还原系统。
3.关闭磁盘的自动播放。其操作程序是:开始>运行>gpedit.msc>计算机配置>管理模板>系统>在右侧找到“关闭自动播放”>双击>选择“己启用”。有条件的话,可以对本地硬盘的所有盘符做一次免疫。下载地址http://www.antiyfx.com/download/aimmunity.exe ,以防止中蠕虫后GHOST还原后双击其他盘符又中毒的悲剧发生。如果确定硬盘的其他盘符的EXE文件都被感染之后,可以先还原系统盘,然后不运行其他盘符程序,下载杀毒软件对其他盘符进行查杀,也可以直接用U盘或光盘PE启动查杀。
4.不轻易运行聊天软件上陌生人传来的大小在10K-600K左右的图片或可执行文件,也可以上传到https://www.virustotal.com/zh-cn/进行查询,此网站会用常用的 42种国内外杀毒软件进行在线查毒。还有就是不要轻易点击陌生人发过来的网址,类似于%20%的网址更要慎重。经常关注摄像头的状态,不用摄像头时可以在设备管理器上将它停用,基本上随便一个木马程序就可以监控你的视频与音频设备。
5.网购时要小心钓鱼网站,推荐使用360安全浏览器。对于淘宝用户如旺旺不在线,反而要求QQ上线看图片,传压缩包要格外小心,对于这种社会工程学(一种通过针对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段),大家要格外注意,一切免杀的木马、网马都是死物,社会工程学是利用大家的各种心理来实现相应的目的。
6.打好系统补丁,防止病毒利用系统漏洞进行攻击,例如蠕虫及大多数网马就是利用系统漏洞在网络上传播的。
7.从提高安全意识开始,了解各类威胁的存在方式。特别关注来自身边和内部局域网的威胁。对于公用电脑,尽量少使用网上银行登录或进行要求安全性比较高的业务。如电脑借与他人,也尽量在借出之前备份,用完之后再还原。