學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識(shí) > 電腦病毒免疫

電腦病毒免疫

時(shí)間: 林輝766 分享

電腦病毒免疫

  你的電腦是不是經(jīng)常中病毒呢!下面由學(xué)習(xí)啦小編帶你提高電腦病毒免疫能力!希望對(duì)你有幫助!

  提高電腦病毒免疫:

  我們知道,計(jì)算機(jī)病毒的傳染模塊一般包括傳染條件判斷和實(shí)施傳染兩個(gè)部分,在病毒被激活的狀態(tài)下,病毒程序通過判斷傳染條件的滿足與否,以決定是否對(duì)目標(biāo)對(duì)象進(jìn)行傳染。一般情況下,病毒程序在傳染完一個(gè)對(duì)象后,都要給被傳染對(duì)象加上傳染標(biāo)識(shí),傳染條件的判斷就是檢測(cè)被攻擊對(duì)象是否存在這種標(biāo)識(shí),若存在這種標(biāo)識(shí),則病毒程序不對(duì)該對(duì)象進(jìn)行傳染;若不存在這種標(biāo)示,則病毒程序就該對(duì)象實(shí)施傳染。由于這種原因,人們自然會(huì)想到是否能在正常對(duì)象中加上這種標(biāo)識(shí),就可以不受病毒的傳染,起到免疫的作用呢?

  從實(shí)現(xiàn)計(jì)算機(jī)病毒免疫的角度看病毒的傳染,可以將病毒的傳染分成兩種。一種是像香港病毒,1575病毒這樣,在傳染前先檢查待傳染的扇區(qū)或程序里是否含有病毒代碼,如果沒有找到則進(jìn)行傳染,如果找到了則不再進(jìn)行傳染。這種用作判斷是否為病毒自身的病毒代碼被稱作傳染標(biāo)志,或免疫標(biāo)志。第二種是在傳染時(shí)不判斷是否存在免疫標(biāo)志,病毒只要找到一個(gè)可傳染對(duì)象就進(jìn)行一次傳染。就像黑色星期五那樣,一個(gè)文件可能被黑色星期五反復(fù)傳染多次,滾雪球一樣越滾越大(要補(bǔ)充一點(diǎn)的是,黑色星期五病毒的程序中具有判別傳染標(biāo)志的代碼,由于程序設(shè)計(jì)錯(cuò)誤,使判斷失敗,形成現(xiàn)在的情況,對(duì)文件會(huì)反復(fù)感染,傳染標(biāo)志形同虛設(shè))。

  計(jì)算機(jī)病毒免疫的方法和缺點(diǎn)

  下面來看看防病毒軟件使用的免疫方法是如何工作的。目前常用的免疫方法有兩種:

  1.針對(duì)某一種病毒進(jìn)行的計(jì)算機(jī)病毒免疫

  例如對(duì)小球病毒,在DOS引導(dǎo)扇區(qū)的1FCH處填上1357H,小球病毒一檢查到這個(gè)標(biāo)志就不再對(duì)它進(jìn)行傳染了。對(duì)于1575文件型病毒,免疫標(biāo)志是文件尾的內(nèi)容為0CH和0AH的兩個(gè)字節(jié),1575病毒若發(fā)現(xiàn)文件尾含有這兩個(gè)字節(jié),則不進(jìn)行傳染。這種方法的優(yōu)點(diǎn)是可以有效地防止某一種特定病毒的傳染。但缺點(diǎn)很嚴(yán)重,主要有以下幾點(diǎn):

  (1)對(duì)于不設(shè)有感染標(biāo)識(shí)的病毒不能達(dá)到免疫的目的;有的病毒只要激活的狀態(tài)下,會(huì)無條件的把病毒傳染給被攻擊對(duì)象,而不論這種對(duì)象是否已經(jīng)被感染過或者是否具有某種標(biāo)識(shí)。

  (2)當(dāng)出現(xiàn)這種病毒的變種不再使用這個(gè)免疫標(biāo)志時(shí),或出現(xiàn)新病毒時(shí),免疫標(biāo)志發(fā)揮不了作用。

  (3)某些病毒的免疫標(biāo)志不容易仿制,非要加上這種標(biāo)志不可,則對(duì)原來的文件要做大的改動(dòng)。例如對(duì)大麻病毒就不容易做免疫標(biāo)志。

  (4)由于病毒的種類較多,又由于技術(shù)上的原因,不可能對(duì)一個(gè)對(duì)象加上各種病毒的免疫標(biāo)識(shí),這就使得該對(duì)象不能對(duì)所有的病毒具有免疫作用。

  (5)這種方法能阻止傳染,卻不能阻止病毒的破壞行為,仍然放任病毒駐留在內(nèi)存中。目前使用這種免疫方法的商品化反病毒軟件已不多見了。

  2.基于自我完整性檢查的計(jì)算機(jī)病毒的免疫方法

  目前這種方法只能用于文件而不能用于引導(dǎo)扇區(qū)。這種方法的原理是,為可執(zhí)行程序增加一個(gè)免疫外殼,同時(shí)在免疫外殼中記錄有關(guān)用于恢復(fù)自身的信息。免疫外殼占1KB至3KB。執(zhí)行具有這種免疫功能的程序時(shí),免疫外殼首先得到運(yùn)行,檢查自身的程序大小、校驗(yàn)和,生成日期和時(shí)間等情況,沒有發(fā)現(xiàn)異常后,再轉(zhuǎn)去執(zhí)行受保護(hù)的程序。不論什么原因使這些程序本身的特性受到改變或破壞,免疫外殼都可以檢查出來,并發(fā)出告警,可供用戶選擇的回答有自毀、重新引導(dǎo)啟動(dòng)計(jì)算機(jī)、自我恢復(fù)到未受改變前的情況和繼續(xù)操作,而不理睬所發(fā)生的變化。這種免疫方法可以看作是一種通用的自我完整性檢驗(yàn)方法。這種方法不只是針對(duì)病毒的,由于其他原因造成的文件變化,在大多數(shù)情況下免疫外殼程序都能使文件自身得到復(fù)原。但仍存在一些缺點(diǎn)和不足:

  (1)每個(gè)受到保護(hù)的文件都要增加1KB至3KB,需要額外的存儲(chǔ)空間。

  (2)現(xiàn)在使用中的一些校驗(yàn)碼算法不能滿足防病毒的需要,被某些種類的病毒感染的文件不能被檢查出來。

  (3)無法對(duì)付覆蓋方式的文件型病毒。

  (4)有些類型的文件不能使用外加免疫外殼的防護(hù)方法,這樣將使那些文件不能正常執(zhí)行。

  (5)當(dāng)某些尚不能被病毒檢測(cè)軟件檢查出來的病毒感染了一個(gè)文件,而該文件又被免疫外殼包在里面時(shí),這個(gè)病毒就象穿了“保護(hù)盔甲”,使查毒軟件查不到它,而它卻能在得到運(yùn)行機(jī)會(huì)時(shí)跑出來繼續(xù)傳染擴(kuò)散。

  從以上的討論中,我們可以看到,在采取了技術(shù)上和管理上的綜合治理措施之后,盡管目前尚不存在完美通用的計(jì)算機(jī)病毒免疫方法,但計(jì)算機(jī)用戶仍然完全可以控制住局勢(shì),可以將時(shí)間和精力用于更具有建設(shè)性的工作上。

576097