学习啦>学习电脑>电脑安全>病毒知识>

计算机病毒应该怎样定义(2)

俭聪 分享

  (5)破坏数据文件。

  (6)格式化或者删除所有或部分磁盘内容。

  (7)直接或间接破坏文件连接。

  (8)使被感染程序或覆盖文件的长度增大。

  计算机病毒传染的一般过程是什么?

  在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。

  可执行文件感染病毒后又怎样感染新的可执行文件?

  可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存, 便开始监视系统的运行。当它发现被传染的目标时, 进行如下操作:

  (1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒;

  (2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中;

  (3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。

  操作系统型病毒是怎样进行传染的?

  正常的PC DOS启动过程是:

  (1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测;

  (2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处;

  (3)转入Boot执行之;

  (4)Boot判断是否为系统盘, 如果不是系统盘则提示;

  non-system disk or disk error

  Replace and strike any key when ready

  否则, 读入IBM BIO.COM和IBM DOS.COM两个隐含文件;

  (5)执行IBM BIO.COM和IBM DOS.COM两个隐含文件, 将COMMAND.COM装入内存;

  (6)系统正常运行, DOS启动成功。

  如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为:

  (1)将Boot区中病毒代码首先读入内存的0000: 7C00处;

  (2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行;

  (3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作;

  (4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程;

  (5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。

  如果发现有可攻击的对象, 病毒要进行下列的工作:

  (1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒;

  (2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置;

  (3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。

  操作系统型病毒在什么情况下对软、硬盘进行感染?

  操作系统型病毒只有在系统引导时进入内存。如果一个软盘染有病毒, 但并不从它上面引导系统,则病毒不会进入内存, 也就不能活动。例如圆点病毒感染软盘、硬盘的引导区, 只要用带病毒的盘启动系统后, 病毒便驻留内存, 对哪个盘进行操作, 就对哪个盘进行感染。

  操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么?

  因为操作系统型病毒只有在系统引导时才进入内存, 开始活动, 对非系统盘感染病毒后, 不从它上面引导系统, 则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。

  目前发现的计算机病毒主要症状有哪些?

  从目前发现的病毒来看, 主要症状有:

  (1)由于病毒程序把自己或操作系统的一部分用坏簇隐起来, 磁盘坏簇莫名其妙地增多。

  (2)由于病毒程序附加在可执行程序头尾或插在中间, 使可执行程序容量增大。

  (3)由于病毒程序把自己的某个特殊标志作为标签, 使接触到的磁盘出现特别标签。

  (4)由于病毒本身或其复制品不断侵占系统空间, 使可用系统空间变小。

  (5)由于病毒程序的异常活动, 造成异常的磁盘访问。

  (6)由于病毒程序附加或占用引导部分, 使系统导引变慢。

  (7)丢失数据和程序。

  (8)中断向量发生变化。

  (9)打印出现问题。

  (10)死机现象增多。

  (11)生成不可见的表格文件或特定文件。

  (12)系统出现异常动作, 例如:突然死机, 又在无任何外界介入下, 自行起动。

  (13)出现一些无意义的画面问候语等显示。

  (14)程序运行出现异常现象或不合理的结果。

  (15)磁盘的卷标名发生变化。

  (16)系统不认识磁盘或硬盘不能引导系统等。

  (17)在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。

  (18)在使用写保护的软盘时屏幕上出现软盘写保护的提示。

  (19)异常要求用户输入口令。

  《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

  计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。

  除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 例如,某些病毒会大量释放垃圾文件,占用硬盘资源。还有的病毒会运行多个进程,使中毒电脑运行变得非常慢。

  可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散 ,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序 ,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时 ,它会自生复制并传播 ,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念 ,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络 ,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏 ,同时能够自我复制 , 具有传染性。

  所以 , 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里 , 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

264088