電腦中毒跡象
病毒潛伏在計算機中,即使還沒有開始發作也總會留下一些“蛛絲馬跡”。用戶要想知道自己的計算機是否感染有病毒,最簡單易行的方法就是使用反病毒軟體對
磁碟進行全面的檢測。如果要想檢測出最新的病毒,則必須保證自己使用的反病毒軟體的病毒碼得到了及時的更新(也就是使用最新版的防毒軟體並及時升級)。如果手頭沒有反病毒軟體,則可根據下列計算機中毒後所引起的系統異常症狀來做出初步的判斷。
(1)計算機系統經常無故
當機。如果出現了這種現象,在排除了
CPU故障、顯示卡過熱等硬體可能出現的問題後,就要考慮計算機中是否感染了病毒。因為絕大部分的病毒是要駐留記憶體的,而設計的不太好的病毒則容易沖亂記憶體中的作業系統的核心,從而造成系統無故當機。
(2)計算機系統的運行速度明顯減慢。當感染有病毒的檔案被系統執行時,寄生在其中的病毒就會爭奪系統的控制權。取得了系統控制權的病毒會搶先進行病毒自身的操作,然後才把控制權交給系統,這時系統才能進行正常的操作。這樣就會占用系統執行正常命令的時間和相應的部分資源,造成系統的運行速度減慢。雖然造成系統運行速度減慢的原因還有許多,但是系統運行速度變慢是系統感染病毒後普遍出現的一種狀況。
(3)系統出現異常的重新啟動的現象。在windows系統的安裝過程中以及在Windows系統下安裝套用軟體時,有時候安裝程式需要重新啟動計算機,此時重新啟動計算機屬於正常的重啟現象。但是如果在使用計算機的過程中在毫無徵兆的情況下突然發生了重新啟動現象,此時用戶就應該注意了,因為有些電腦病毒會在執行某一個檔案時會讓計算機突然重新啟動。此時用戶就應該檢查自己的計算機是否感染有病毒了。
(4)磁碟
壞簇莫名其妙地增多。病毒為了隱藏自己,常常會把自身占用的磁碟空間標誌為壞簇。
(5)作業系統無故頻繁地報警或虛假報警。當軟體執行出現錯誤時,系統會給出相應的提示信息,中止當前套用的程式。如果系統一直運行正常,並且使用的是正版軟體,但是最近運行任何軟體時經常會出現這樣的報警信息,即使重新安裝作業系統也沒有絲毫的改善時,那很有可能是病毒在發作。還有的病毒寄生在執行檔中。當用戶查看或運行該檔案時會接收到虛假報警信息Filenot found,而當用戶用乾淨無毒的系統盤重新啟動計算機時卻發現檔案還在磁碟內。
(6)丟失檔案或檔案被破壞。有一些病毒在發作時,會將被傳染的檔案刪除或重命名,或者將檔案真正的內容隱藏起來,而檔案的內容則變成了病毒的原始碼,此時檔案則不能正確地讀取、複製或打開。
(7)系統中的檔案時間、日期、大小發生了變化。這是最明顯的電腦病毒感染跡象。電腦病毒感染執行檔後會自動地隱藏在原始檔案後面,檔案大小大多會有所改變,檔案的訪問和修改日期、時間也會被改成感染時的時間。不過用戶需要注意:應用程式使用到的數據檔案,其檔案大小、修改日期和時間有可能會改變,並不一定是電腦病毒在作怪。
(8)磁碟出現特殊標籤或系統無法正常引導磁碟。病毒會用一個自己的特殊標記給自己感染過的磁碟做上標籤,有時還會修改磁碟的卷標名;有的病毒寄生在磁碟的引導區內,會覆蓋掉引導區的部分
代碼。如果病毒不具有彌補磁碟引導功能的能力,系統就不能正常地引導磁碟。
(9)磁碟空間迅速減少。沒有安裝新的應用程式,而系統可用的磁碟空間減少的很快,這很可能是電腦病毒感染所造成的。這是因為病毒在系統中大量地複製繁殖會減少存儲系統的存儲容量,另外有一些病毒還可以通過系統的反覆啟動來製造磁碟壞簇標記(使自身部分隱藏其中),這樣就會造成磁碟的可用空間急劇減少。但是需要注意的是:經常瀏覽網頁、資源回收筒中的檔案過多、臨時資料夾下的檔案數量過多過大、計算機系統有過意外斷電等情況也可能會造成可用的磁碟空間減少。
(10)計算機螢幕上出現異常顯示。有一些病毒在發作時,會在計算機的螢幕上顯現一些異常的信息,或是文字,或是圖像。比如“小球”病毒在發作時,螢幕上就會出現一個上下浮動的小球。當螢幕上出現類似的異常顯示時,那很可能是計算機已經被感染了一些惡意的病毒了。
(11)部分文檔自動加密碼。有些電腦病毒會利用加密算法,將加密密鑰保存在電腦病毒程式體內或其他隱蔽的地方,加密被感染的檔案。如果記憶體中駐留有這種電腦病毒,那么在系統訪問被感染的檔案時它就會自動地將文檔解密,這樣用戶就不會察覺到文檔被加密了。這種電腦病毒即使被清除,加密的文檔也很難恢復了。
(12)以前能正常運行的應用程式現在運行時經常發生當機或者出現非法錯誤。在硬體和作業系統沒有進行改動並且正確使用應用程式的情況下,以前能夠正常運行的應用程式在運行時產生非法錯誤或當機的情況明顯增加,這很可能是由於電腦病毒感染應用程式後破壞了應用程式本身的正常功能,或者電腦病毒程式本身存在著兼容性方面的問題造成的。
(13)自動傳送電子郵件。大多數電子郵件病毒都是採用自動傳送電子郵件的方式來作為其傳播的手段的。一些電子郵件電腦病毒還能做到在某一特定的時間向同一個郵件伺服器傳送大囂無用的信件,以達到阻塞該郵件伺服器正常服務功能的目的。
病毒防護策略準則
(1)拒絕訪問能力
來歷不明的入侵軟體(尤其是通過網路傳過來的)不得進入系統。
(2)病毒檢測能力
應當認識到,病毒總是有可能進入系統的,系統中應設定檢測病毒的機制。除了檢測已知類病毒外,能否檢測未知病毒是一個重要的指標。
(3)控制病毒傳播的能力
應當認識到,沒有一種方法能檢測出所有的病毒。一旦病毒進入了系統,應不讓病毒在系統中到處傳播。系統一定要有控制病毒傳播的能力。
(4)清除能力
如果病毒突破了系統的防護,即使它的傳播受到了控制,也要有相應的措施將它清除掉。對於已知病毒,可以使用專用消毒軟體,對於未知類病毒,在發現後使用軟體工具對它進行分析,儘快編寫出消毒軟體。當然,如果有後備檔案,也可使用它直接覆蓋受感染檔案.但一定要查清楚病毒的來源。
(5)恢復能力
有可能在消除病毒以前,病毒就破壞了系統中的數據,系統應提供一種高效的方法來恢復這些數據。
(6)替代操作
可能會遇到這種情況:當發生問題時,手頭沒有可用的技術,任務又必須執行下去。系統應該提供一種替代操作方案。在恢復系統時可用替代系統工作,等問題解決以後再換回來。這一準則對於戰時的軍事系統是必的。
防毒軟體原理
防毒軟體主要由
掃描器、特徵信息庫、消毒器三部分組成。掃描器是研製者事先編制好的一段程式。它能夠對用戶所要求檢測的對象進行病毒特徵串掃描,即將特徵信息庫中的病毒特徵串逐個與檢查對象中的數據進行比較,如果相符,則認為有病毒,如果一條都不符,則認為無毒。特徵信息庫中存放的是消毒軟體研製者通過對具體病毒分析後所得到的該病毒最具代表性的特徵串。消毒器的消毒過程是按事先約定好的過程將有關信息恢復到原來位置,此過程是研製者通過對具體病毒分析後設計出來的。
病毒的消毒/防毒過程是病毒傳染的逆過程,它主要依賴於消毒/防毒軟體研製者對具體某個病毒剖析後選取的病毒特徵串。特徵串是病毒掃描、檢測、消毒的基礎。特徵串的選取是一個關鍵因素,選取具有代表性的特徵串,有可能覆蓋一類病毒的許多變種病毒,而選取普通化的特徵串,有可能造成“誤報”現象,如:SCAN8會對2.13H漢字系統中的PRINTA.C()M誤報有“FamR”病毒。
消毒是被動的,只有在發現病毒後,對其剖析、選取特徵串,才能設計出該“已知”病毒的消毒軟體。當發現新病毒或變種病毒時,又要對其剖析、選取特徵串,才能設計出新的消毒軟體。它不能檢測和消除研製者未曾見過的“未知”病毒,甚至對已知病毒的特徵串稍作改動,就可能無法檢測出這種變種病毒或者在消毒時會出錯。
發現病毒——剖析特徵串——設計掃描、消毒軟體——變種或新病毒
防病毒的方法
(1)加強網路管理員安全管理水平,提高安全意識。由於蠕蟲病毒利用的是系統漏洞進行攻擊,所以需要在第一時間內保持系統和套用軟體的安全性,保持各種作業系統和套用軟體的更新。由於各種漏洞的出現,使得安全不再是一種一勞永逸的事,而作為企業用戶而言,所經受攻擊的危險也是越來越大,要求企業的管理水平和安全意識越來越高。
(2)建立病毒檢測系統。能夠在第一時間內檢測到網路異常和病毒攻擊。
(3)建立應急回響系統,將風險降到最低。由於蠕蟲病毒爆發的突然性,可能在病毒發現的時候已經蔓延到整個網路,所以在突發情況下.建立一個緊急回響系統是很有必要的,在病毒爆發的第一時間即能提供解決方案。
(4)建立災難備份系統。對於資料庫和數據系統,必須採用定期備份,多機備份措施,防止意外災難下的數據丟失。
(5)對於區域網路而言,可以採用以下一些主要手段:
①在網際網路接人口處安裝防火牆式防殺計算機病毒產品,將病毒隔離在區域網路之外
②對郵件伺服器進行監控,防止帶毒郵件進行傳播。
③對區域網路用戶進行安全培訓。
④建立區域網路內部的升級系統,包括各種作業系統的補丁升級,各種常用的席用軟體升級.各種防毒軟體病毒庫的升級.等等,