计算机病毒的防范与清除

计算机病毒的防范与清除

[摘要] 一般来讲，凡是能够引起计算机故障，能够破坏计算机中的资源（包括硬件和

软件）的代码，统称为计算机病毒。本文就预防计算机病毒，拦截、阻击计算机病毒的入侵，保护计算机硬件软件的正常使用，展开论述。

[关键词] 计算机病毒防范清除

一、计算机病毒防范基本技术

1.特征代码技术

特征代码法被早期应用于SCAN,CPA V等著名病毒检测工具中，目前被认为是用来检测己知病毒的最简单、开销最小的方法。防毒软件在最初的扫毒方式是将所有病毒的病毒码加以剖析，并且将这些病毒独有的特征搜集在一个病毒码资料库中，每当需要扫描该程序是否有毒的时候，启动杀毒软件程序，以扫描的方式与该病毒码资料库内的现有资料一一比对，如果两方资料皆有吻合之处的话，既判定该程序已遭病毒感染。特征代码法的实现步骤如下:

①采集已知

病毒样本。如果病毒既感染com文件，又感染EXE文件，那么要对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。

②在病毒样本中，抽取病毒特征代码。在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。

③将特征代码纳入病毒数据库。4)检测文件。打开被检测文件，在文件中搜索，检查文件中是否含有病毒数，根据数据库中的病毒特征代码。如果发现病毒特征代码，由特征代码与病毒一一对应，便可以断定，被查文件所感染的是何种病毒。

2.校验和法技术

通常，大多数的病毒都不是单独存在的，它们大都依附或寄生于其它的文档程序，所以被感染的程序会有档案大小增加的情况产生或者是档案日期被修改的情形。这样防毒软件在安装的时候会自动将硬盘中的所有档案资料做一次汇总并加以记录，将正常文件的内容计算其校验和，将该校验和写入文件中或写入别的文件中保存。在每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现己知病毒又可发现未知病毒。运用校验和法检查病毒采用三种方式:

①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和写入被查文件中或检测工具中，而后进行比较;

②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和。实现应用程序的自检测;

③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。

3.行为监测法技术

利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，

立即报警。

4.软件模拟技术

多态性病毒每次感染都会变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也各不相同，无法找出可能的作为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做杀毒处理，由此出现了一种新的软件模拟法。

二、判断病毒的方法

1.反病毒软件的扫描法

这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。

2.观察法

这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：

a、内存观察

这一方法一般用在DOS下发现的病毒，我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用“mem/c/p”发现不了它，但可以看到总的基本内存640K之中少了那么区区1k或几K。

b、注册表观察法

这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在常见的几个地方实现，在其中对注册表中可能出现的地方会有一个比较详尽的分析。

3、系统配置文件观察法

这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个”shell=”项，而在wini.ini文件中有“load= ”、“run= ”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。

4、特征字符串观察法

这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe)运用16进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。

5、硬盘空间观察法

有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一