计算机病毒的特征及防治策略.docVIP

计算机病毒的特征及防治策略 　　摘要:随着计算机病毒技术的发展,病毒给人们造成的损失越来越大。该文通过分析常见的6种病毒的特征,提出了一些病毒防治的策略,对于保护计算机免受病毒侵害具有一定的参考价值。 　　关键词:计算机病毒;防治策略;木马;蠕虫 　　中图分类号:TP309.5文献标识码:A文章编号:1009-3044(2010)05-1049-03 　　Computer Virus Characteristics and Cure Strategies 　　LI Wei-min, GE Fu-hong, ZHANG Li-ping 　　(College of Education Science and Technology,Shanxi Datong University, Datong 037009, China) 　　Abstract: With the development of computer virus technology, the damages of virus are worsening. This paper analyzes the characteristics of six kinds of viruses and provides some cure strategies. These strategies have reference value to protect computer from viruses. 　　Key words: computer virus; cure strategy; trojan horse; worm 　　在我们享受网络带给我们的种种便利的同时,也有人同时在编造病毒攻击计算机。虽然防毒软件不断升级,但病毒也在不断增加和升级。这些日新月异更新的病毒借助于网络给计算机用户带来不同程度的损失。下面介绍几种常见的计算机病毒的特征及防治策略。 　　1 计算机病毒概述 　　计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。计算机病毒有六大特性:寄生性、传染性、潜伏性、隐蔽性、破坏性、可触发性。病毒的侵入必将对系统资源构成威胁,轻则占用大量的系统空间影响系统的正常运行,重则能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。 　　2 CIH病毒特征及防治策略 　　2.1 CIH病毒的基本特征 　　CIH病毒传播的主要途径是Internet、电子邮件,U盘或光盘来传播。CIH是一种Windows 95/98系统下的32位文件型病毒,它只感染PE格式且扩展名为EXE的文件, 病毒通过修改文件头部的程序入口地址,使其指向病毒的引导代码。当病毒代码驻留内存后,每当系统中有文件服务请求时,首先被调用的将是病毒代码,它都要从CMOS保存的信息中读取系统当前日期,如果是4月26日,则执行病毒的破坏代码:通过输入输出指令改写BIOS引导程序,然后将内存中从地址C0001000H处开始的内容写到硬盘上从0柱面、0头开始的位置, 直到用户关机或系统死机为止。 　　CIH病毒破坏性很大,它首先会毁坏掉磁盘上的所有文件;其次,CIH病毒会感染硬盘上的所有逻辑驱动器,最坏的情况是硬盘所有数据(含全部逻辑盘数据)均被破坏;更为严重的是,CIH病毒还会破坏主板上的BIOS,将计算机中的BIOS内容重新改写,造成计算机无法启动,假如用户的BIOS是可FLASH型的,那么主板有可能彻底损坏。 　　2.2 CIH的防护策略 　　1)对CIH病毒进行免疫。设置两重防线,使CIH病毒代码不能再进入内存,从根本上杜绝CIH病毒的传播和破坏。 　　具体过程是:通过调用VXD函数IFSMgr_InstallFileSystemApiHook,获得系统当前的文件系统钩子函数的地址和函数IFSMgr_InstallFileSystemApiHoo的入口地址,根据获得的地址,扫描相应的内存区,判断内存中是否有CIH病毒。如果发现内存中有CIH病毒,调用VXD函数IFSMgr_RemoveFileSystemApiHook 先撤消其设置的文件系统钩子函数,然后利用函数_PageFree将其占用的内存释放。 　　病毒在驻留内存之前,先要检查该寄存器的值是否为零,以判断病毒代码是否已在内存中。因此,我们可以将该寄存器的值设置为非零值,让病毒以为内存中已有病毒代码存在,从而不驻留内存,这是第一道防线。 　　考虑到寄存器dr0的值可能被其它程序修改,让病毒代码获得进入内存的机会,我们再设置第二道防线。 在内存高端申请一页内存空间,驻留一段代码在这一内存空间中,修改系统中IFSMgr_InstallFileSystemApiHook 函数的入口地址,使