计算机病毒的原理和防范

admin管理员组

文章数量:1532440

2024年3月20日发(作者：)

计算机病毒的原理和防范

病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。

病毒激活是将病毒放在内存， 并设置触发条件，触发的条件是多样化的， 可以是时钟，

系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传

染对象中，进行各种破坏活动等。病毒的传染是病毒性能的一个重要标志。在传染环节中，

病毒复制一个自身副本到传染对象中去。

感染策略为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写操作。基

于这个原因计算机病毒工作原理，许多病毒都是将自己附着在合法的可执行文件上。如果

用户企图运行该可执行文件，那么病毒就有机会运行。病毒可以根据运行时所表现出来的

行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染，之后再将控制权交给

被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒

会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。

非常驻型病毒非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查

找可被感染的文件，一旦搜索到该文件，搜索模块就会启动复制模块进行感染。

常驻型病毒常驻型病毒包含复制模块，其角色类似于非常驻型病毒中的复制模块。复

制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存，并

确保当操作系统运行特定动作时，该复制模块会被调用。例如，复制模块会在操作系统运

行其它文件时被调用。在这个例子中，所有可以被运行的文件均会被感染。常驻型病毒有

时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如，

一个计算机病毒工作原理快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成

特别的问题。当运行全系统防护时，杀毒软件需要扫描所有可能会被感染的文件。如果杀

毒软件没有察觉到内存中有快速感染者，快速感染者可以借此搭便车，利用杀毒软件扫描

文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容

易被侦测到，这是因为其行为会使得系统性能降低，进而增加被杀毒软件侦测到的风险。

相反的，慢速感染者被设计成偶而才对目标进行感染，如此一来就可避免被侦测到的机会。

例如，有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图

避免被侦测到的作法似乎并不成功。

免杀技术以及新特征免杀是指：对病毒的处理，使之躲过杀毒软件查杀的一种技术。

通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说“病毒比杀毒软件

还新，所以杀毒软件根本无法识别它是病毒”，但由于传播后部分用户中毒向杀毒软件公

司举报的原因，就会引起安全公司的注意并将之特征码收录到自己的病毒库当中，病毒就

会被杀毒软件所识别。

病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻

易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。

美国的Norton Antivirus、McAfee、PC-cillin，俄罗斯的Kaspersky Anti-Virus，

斯洛伐克的NOD32等产品在国际上口碑较好，但杀毒、查壳能力都有限，目前病毒库总数

量也都仅在数十万个左右。

自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新，得到最

新的免杀版本的病毒并继续在用户感染的计算机上运行，比如熊猫烧香病毒的作者就创建

了“病毒升级服务器”，在最勤时一天要对病毒升级8次，比有些杀毒软件病毒库的更新

速度还快，所以就造成了杀毒软件无法识别病毒。

除了自身免杀自我更新之外，很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙

产品反病毒软件的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的杀

毒软件和防火墙产品，如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程，可

以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗，自动修改系统时间导致一

些杀毒软件厂商的正版认证作废以致杀毒软件作废，从而病毒生存能力更加强大。

免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依赖

于特征码技术检测的杀毒软件带来很大困扰。近年来，国际反病毒行业普遍开展了各种前

瞻性技术研究，试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是

基于虚拟机技术的启发式扫描软件，代表厂商NOD32，，和基于行为分析技术的主

动防御软件，代表厂商中国的微点主动防御软件等。

1、定期给系统打补丁，或者说是进行系统更新。最简单的解决方法是打开系统带的

自动更新。

2、定期更新安全防护软件。基本上所有的安全防护软件都提供了自动更新，推荐将

其打开。切记不要同时安装超过一套安全防护软件，即便是看起来没有什么冲突或者错误。

因 为系统的底层资源是固定的，多个软件争夺势必造成功能损失。这里推荐几套软件，

要说的一点是选择安全产品是要针对用户习惯，需求等来确定的，不要人云亦 云：ESET

NOD32，卡巴斯基，Norton，Mcafee，瑞星，江民。对于ARP攻击频繁的地方强烈推荐使

用ESET NOD32和瑞星，防御效果相对更好。这里要注意的是ARP攻击分客户端和网关端

两种，我们能防御的都是客户端的这种，如果服务器端受到了有效的攻击我们也无能为力，

这也是有的朋友遇到了装了ARP攻击防御软件仍然出现问题的原因。最根本的解决办法是

ARP双向静态绑定客户端和网关都绑定。另外，ADSL用户如果只有一台电脑上网则不存在

风险，可以放心关闭ARP防御功能。

3、不要把所有安全责任都丢给安全防护软件。安全防护软件仅仅是保证计算机安全

的工具。U盘，游戏，QQ，网页挂马，局域网已经成为传播病毒的基本途径。很多人的U

盘上都有不只一中病毒，而游戏，QQ，网页病毒多数是因为经济利益问题。一般情况下安

全软件的主动防御和文件监控能起到比较好的效果，尤其是在有移动设备如U盘，移动硬

盘，SD卡等接入前，最好打开这些监控，并查看是否屏蔽了U盘自动运行。不要浏览非法

包含非法信息的网站，因为这样的网站多数都带有病毒或者恶意插件安装。即使开启了自

动更新，主动防御和文件监控，也要定期进行全盘扫描，一般需要在1-2周进行一次，扫

描前需要手工更新杀毒软件的病毒库和引擎到最新版本。不要随便打开别人给的文件，即

使对方是可以信任的朋友，因为无法确定他知不知道已经感染了。而且杀毒软件不能有效

地控制未知病毒，而很多时候都是有不少用户被感染了，才有安全公司在病毒库上添加了

记录。同时不可轻易相信任何杀毒软件的可疑程度检测，那个基本上都是没有多少可信度

的。这项技术一直都是实验室水平的，对于实际应用基本没有什么价值，之所以会发布是

因为各个公司之间的商业竞争，有的公司拿这个来吸引不知情的用户，导致了恶性的循环。

当然，病毒家族检测现在已经比较成熟了，如果杀毒软件提示是哪个病毒的变种，这个就

需要小心了。

4、注意文件备份，特别是重要文件更是如此。备份可以使数据丢失时损失尽可能少。

有很多 人因为中了病毒辛辛苦苦积累了很多年的文件都因为被病毒感染无法清除而不得

不与之挥手告别，实际上可以通过备份来解决这些问题。但是最好不要在当前硬盘或 者U

盘中备份，因为我们要保护的就是它们上面的数据。可以采用光盘备份，现在DVD刻录机

和光盘的价格也越来越低，这不失为一中好的选择。切记不要以为系统做了Ghost镜像就

没有问题了，众所周知，熊猫烧香会删除它能发现的所有Ghost镜像。实际上这个技术是

很基础的，主要是看病毒作者是否想要添加这样的功能。

5、注意文件保密，对于有需要的文件进行加密。有些人会在计算机上安装“闪盘窥

探者”，会试图把连接到机器上的移动储存设备的文件全部复制到一个指定的地方，这样

会使U盘里的重要文件暴露出去。加密方式上有很多U盘和移动硬盘支持加密功能，可以

直接使用。但是大部分的还是没有这个功能的，这种情况下，对于Office文档不要直接

使用软件自带的加密方式，因为很容易破解。实际上rar,zip等压缩程序的加密也很难应

对暴力破解，而这些格式通常都已经有了很完整的暴力破解工具。这里只能提醒大家使用

的密码尽量长一点，比如12-16位的一般就很难破解了，同时不要使用英文单词，生日，

姓名，游戏帐号等信息作为密码，也不要单纯地使用数字或字母。一个很好的办法是想一

句话，然后把这句话的每个单词如果是英文或者是每个字的拼音汉字的话的第一个字母组

成一串，然后在里面添加上标点符号和数字根据喜好，可以不改变标点符号的位置。这种

方法创建出来的密码既容易记又有很高的保密性，同样适用于其他场合。如果有更高的安

全要求，还可以使用GnuPG这样的密钥策略，2048位的密钥容量很是够用，而且配套工具

也比较齐全，可以方便使用。

6、谨慎对待各种小程序，小工具，比如注册机，Hash程序等等。因为名气不大所以

不会受到很多人的检验，有的时候下载的文件其实和原版的文件不一样，或者原版的文件

就包含了恶意代码。部分内存注册机会被一些杀毒软件报毒，是因为在程序运行时正常情

况下一个程序不应该直接修改其他应用程序的内存，而内存注册机却正是通过这种办法实

现破解的。

7、不要随便点“确定”“是”“允许”“下一步”一类的按钮。通常情况下很多用

户习惯了看见对话框或者提示就点这些内容，但是这种习惯也为病毒感染提供了条件，很

多时候杀毒软件或者系统的UAC针对Vista会阻止不应该运行的程序运行，但是如果点了

这些，很多时候是允许他们运行，这是一个习惯问题，不要因为每天点“允许”花了眼，

手一滑就让不该运行的东西运行了。这样也能阻止很多恶意插件的安装。很多人安装应用

程序的时候总是一路点击下一步，这样也会导致很多的不需要的插件被安装。而每一次这

样的软件安装，都是会给软件作者一定的收入的，而且收入相当高，一般每安装成功一例

就是1元钱左右。

8、不懂的情况下不要玩病毒或者研究黑客技术。因为很多时候那些工具也都被封装

者添加了病毒，而你又不能让杀毒软件来捣鬼，这个时候就很无奈了。没有解决不了的问

题，还是不要因为一点小事而要把别人黑了或者怎么样了。

感谢您的阅读，祝您生活愉快。

本文标签： 病毒运行软件文件感染