21世紀是知識經濟的世紀，是科學技術高速發(fā)展的世紀，隨著電腦的普及，Internet的迅猛發(fā)展，網絡已成為與人們的生活息息相關的主題。但是，計算機感染病毒、木馬，以及黑客的入侵，常常造成資料的泄密、損壞，甚至系統的崩潰，給計算機帶來嚴重的損害。因此，在日常生活中，我們必須懂得一些計算機病毒感染的知識，采取一些必要的防范措施對計算機進行保護。

1.病毒的定義和種類

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

計算機病毒可以分為系統病毒、蠕蟲病毒、木馬病毒、黑客病毒、腳本病毒、宏病毒、后門病毒、病毒種植程序病毒、破壞性程序病毒、玩笑病毒和捆綁機病毒等。只有正確認識和區(qū)分各種病毒的組成特征和破壞性，我們才能有效地進行反病毒技術的更新，才能保證計算機的安全。

2.計算機病毒的感染原理

不同感染途徑的病毒，其感染機制也不相同。

2.1引導型病毒感染原理。

系統引導型病毒主要是感染軟盤的引導扇區(qū)和硬盤的主引導扇區(qū)或DOS引導扇區(qū)，其傳染方式主要是通過使用病毒感染的軟盤啟動計算機而傳染。

2.2文件型病毒感染原理。

可執(zhí)行文件型病毒依附在可執(zhí)行文件或覆蓋于文件中，當病毒程序感染一個可執(zhí)行文件時，病毒就會修改原文件的一些參數，并將病毒自身程序添加到原文件中。被感染病毒的文件執(zhí)行時，首先執(zhí)行病毒程序的一段代碼，并將病毒程序駐留在內存中，以取得系統的控制權，從而完成病毒的復制和一些破壞操作。每個要被執(zhí)行的程序文件都要先通過病毒“檢查”是否已被感染，若未被感染則病毒感染該文件。

2.3混合型病毒感染原理。

混合型病毒不僅可以傳染可執(zhí)行文件，而且會傳染硬盤引導區(qū)?；旌闲筒《鞠冗M入內存，找機會感染其它沒受感染的磁盤，操作系統載入內存后，病毒再進行攔截INT 2IH，達到感染文件的目的。個別被感染的系統用Format格式化命令格式化硬盤都不能消除這種病毒。

2.4特洛伊木馬、網絡蠕蟲、Internet語言病毒感染原理。

一些用Java、VB、ActiveX等撰寫的病毒可通過網絡竊取個人秘密信息或使計算機系統資源利用率下降，造成死機現象。蠕蟲病毒感染的理論主要是通過主動或者被動方式進行掃描，然后利用系統漏洞侵入計算機隱藏起來等候指令，當指令出現時立刻開始感染系統并設法聯系其他蠕蟲節(jié)點，命令計算機接受其控制指令而大量發(fā)送其病毒指令信息包，造成網絡擁堵癱瘓。病毒在計算機中還廣開“后門”，造成計算機不受控制，刪除計算機的文件和文檔，生成大量病毒垃圾文件，造成計算機無法使用。蠕蟲病毒的隱藏地點基本都在郵件中。

3.計算機病毒的診斷與分析處理

3.1計算機病毒的診斷。

如果發(fā)現計算機有疑似感染病毒的癥狀時，我們應該首先檢查是否有異常的進程。先關閉所有的應用程序，然后右擊任務欄空白區(qū)域，在彈出的菜單中選擇“任務管理器”，打開“進程”標簽，查看系統正在運行的進程，正常情況下系統進程應為22—28個，如果進程數目太多，就要認真查看有無非法進程或不熟悉的進程。

3.2計算機病毒的分析。

分析病毒的出現形式分為三類:有單獨隱蔽的進程、服務;單獨的進程、服務;無單獨的進程、服務，注入一個正常的系統進程、驅動。

我們可從進程的層面入手，用Icesword，可以看到一個紅色進程，然后到網上搜索，最好先備份，再將可疑的進程刪除。

我們也可使用進程查看工具，如PE、Icesword、Prcview、隱藏進程管理工具等分析每一個可疑的進程，通過查看進程的屬性，判斷該進程的路徑和服務。

從病毒層面入手，推薦使用hijackthis，對于傳統的加載方式還是比較優(yōu)秀的一款工具，將掃描的日志放入http://www.hijackthis.de/index.php，會自動幫助分析可疑的程序，找到病毒體，一般病毒體的關鍵字和它自身的服務相關聯，再用Process Explorer可查找病毒體注入哪個進程里。

對于注入正常的系統進程、驅動里的病毒，我們可使用Autoruns可以分析出哪些文件注入驅動程序里，然后上網查這些文件的性質，將Option里有一項隱藏微軟的登記選中，這樣可以進一步減少查找的范圍。

對于注入系統進程里的病毒，以DLL、SYS文件注入Explorer、IExplore等進程的情況，我們可以手動搜索硬盤上的DLL文件和SYS文件，查看其文件大小、創(chuàng)建、修改時間和版本等信息，判斷是否可疑，對無版本信息或版本信息描述不正規(guī)的DLL文件和SYS文件尤其要關注。

3.3計算機病毒的查殺。

查殺病毒即通過停進程、刪文件、刪服務三步驟來完成。

3.3.1停進程。我們應首先處理容易的，必須先用Icesword、Process Explorer、Unlocker、Super Rabbit等在常規(guī)狀態(tài)下停止或掛起進程的工具，否則病毒就會占用資源，無法刪除。

3.3.2刪文件。Unloker小巧方便，它能輕易刪除十分棘手的病毒。同時，如果有些文件被某個進程占用，它會彈出一個窗口，選擇解鎖。對于實在不能刪除的文件，如c:\\windows\\system32\\svchost.exe掛在系統層，我們可以在重新啟動后刪除。

3.3.3刪服務，對于系統服務，我們首先要停止服務，然后刪除注冊表，如果注冊表項不能刪，要修改注冊表項屬性，分配權限給所有人。我們應重啟到安全模式，刪除對應文件，再新建同名空文件，并修改屬性為只讀。一般來說，我們可用Hijack來分析服務，看看有沒有看起來不太熟悉的服務，也要注意那些熟悉的進程，名字是否被改動，以及進程所在的目錄是否正確。

在網絡安全策略之系統策略中，反病毒技術亦是網絡安全一重點，只有深病毒的攻擊原理，才能針對性建立起強大的防護體系，才能開發(fā)出具有殺傷力的反病毒技術，只有這樣才能保證網絡的安全，保證網絡數據的完整性和安全性?？傊?，進行反病毒工作，用戶不僅需要利用殺毒工具來提供一個安全的網絡使用環(huán)境，而且要擁有高度的安全意識和進行系統安全設置，并及時進行病毒庫、系統和其他應用程序的升級，只有這樣擁有一個安全、穩(wěn)定的無毒空間，才能保證網絡安全性、高效性、開放性和實時性。

參考文獻:

[1]高陽.計算機網絡原理與應用技術.北京:電子工業(yè)出版社，2005.3.

[2]關于計算機病毒和選擇殺毒軟件.江民科技，http://www. jiang min.com .cn/tip/0215-8htm.