TheInjectionMethodsandClinicalSymptomsofComputerVirus
庞新法PANGXin-fa(陕西省委党校科技教研部,西安710061)(DepartmentofScienceandTechnology,ShaanxiProvincePartySchooloftheCPC,Xi'an710061,China)
摘要院本文简要探讨了病毒的注入方式及临床症状,旨在提高用户对病毒的诊断能力和防范能力。
Abstract:Thispaperbrieflydiscussedtheinjectionofvirusandtheclinicalsymptoms,inorderfortheuserstoimprovetheabilityofvirusdiagnosticandvirusprevention.
关键词院计算机注入病毒;临床症状;诊断;防范Keywords:computerinjectionvirus;clinicalsymptoms;diagnosis;prevention中图分类号院TP309.5文献标识码院A文章编号院1006-4311(2014)16-0214-020
引言计算机网络安全一直是计算机良性发展的关键。网络安全不是网络自身不安全,而是有人故意去破坏,犯罪的客体仍然是人,其目的是让受害者造成实际的或潜在的损失或是制造者有实际的或潜在的利益。如非法截取军事机密、商业秘密、个人隐私;冒名顶替、未授权访问网络;黑客入侵、病毒肆虐、黄毒泛滥都是我们要解决的问题,这其中尤其以计算机病毒的危害最大,因此,普及计算机病毒注入方式及临床症的基本常识就显得极具紧迫,意义重大,只要我们掌握了计算机病毒的注入方式及临床症状,就可临危不乱,应付自如,加强防范意识,拒病毒与千里之外。
1病毒的注入方式1.1采用无线电方式主要是把病毒代码通过无线电发射到对方的电子系统中,从而使接收器处理时把病毒传染到对方的主机上,以达到破坏的目的。这种方式技术难度大,隐蔽性好,是注入病毒的最佳方式。其方法主要有:淤直接把病毒程序通过无线设备发射到对方目标机上。于假冒合法信号,向无线接收器传送数据。盂通过对方未保护的数据线路,将病毒直接传染到该线路或目标中。
1.2采用“固化”方法即把病毒先注入芯片硬件(如ROM只读存贮器、U盘、硬盘等)或软件中,然后直接或间接把他们交给对方,让病毒传染对方电子系统,进而攻击目标计算机。据有关材料报导,美国在向第三世界国家或它认为将来有可能成为美国敌对国的国家出售的高技术武器中,可能就含有病毒。当这些国家与美国“友好”时,病毒不会发作,这些武器就可以为购买国服务;当这些国家成为美国的死敌时,美国便激活这些病毒,病毒发作,这些高技术武器不但不攻击敌军,却在自己的阵地上“引爆”。
1.3采用后门攻击方式就像机场,为了方便工作人员出入,设置“后门”,以便出入时不经过“繁琐”的安检,内部人员无需安检,方便工作,只有相对的安全,没有绝对的安全。
后门是由软件设计人员专门制作的一个模块的秘密入口(安全漏洞),在程序开发期间,后门的存在是为了软件设计人员绕过正常安全防护措施进入系统便于测试、更改和增强模块的功能,这样,后门就可能被程序的作者所秘密使用,方便开发、升级。也可能被少数别有用心的人用穷举搜索的办法发现利用,为了开发方便而导致计算机安全系统中自身存在小漏洞。黑客通过穷举的办法搜索找到后门,直接进入系统,进行攻击,如目前普遍使用的WINDOWSXP,就存在这样的后门。
1.4利用有线线路传播通过有线线路开口或直接将病毒注入线路,使其扩散到计算机系统。
2感染病毒后的临床症状2.1Windows出现异常的错误提示信息Windows一般不会出现错误提示的。因此,如果出现这种情况,很可能是中了病毒。所中的病毒木马不同,应用程序出现错误的提示也不尽相同。一般的情况是原来能正常运行的软件突然一打开就报告“应用程序错误,需要关闭”、“应用程序错误,**内存地址不能read”、“应用程序错误,位于地址****”等等。
2.2计算机系统运行速度减慢病毒入侵后,首先加载到内存,然后便在内存中不断地复制自己,很快就占用了系统大量的内存,导致正常程序运行时因缺少主内存而变慢(内存、外存调进调出次数增多),甚至不能不能加载(内存资源不够用),更谈不上启动;同时病毒程序会迫使CPU转去执行那些无用的垃圾程序,使得系统好像始终处于忙碌状态,从而影响正常程序的运行,导致计算机速度变慢。
2.3计算机系统经常无故发生死机病毒的目的多数是自身运行,并且有可能让机器满负载运行自己所带的其它进程,比如恶意木马。一些病毒虽能运行但他没有完全的去测试,导致自己的程序进入了死循环,这个也能造成死机现象。
用户遭到远程木马控制,电脑一切都在黑客的掌握之中,用户失去控制,感觉好像死机。
计算机程序,一般完全可以正常打开、关闭,除非程序设计错误。但是,如果是病毒或恶意插件入侵,正常数据文件或程序受到损坏,导致程序文件无法打开数据文件或程序文件无法运行,很可能会出现死机、自行启动等。
2.4改变文件大小病毒程序添加到了应用程序,导致文件变大,运行时两个程序一起运行,以达到复制传染的目的。
如外壳型病毒,源代码病毒,脚本代码病毒。
2.5系统无法正常启动以及系统启动缓慢系统启动的时候,必须加载软件,机器启动时病毒假冒启动项,导致系统启动首先要运行病毒程序,然后再运行正常启动程序,中间多运行了一段程序,当然使得启动变慢,如果病毒程序运行结束后,不再激活正常启动程序必然导致无法正常启动。如引导型病毒,启动时先要运行病毒程序,再运行正常引导程序。
2.6注册表无法使用,某些键被屏蔽、目录被自动共享等注册表相当于操作系统的核心数据库一样,正常情况下可以进行更改,病毒程序根据这一原理,修改注册表。
如果发现热键和注册表都被屏蔽,某些目录被共享等,则有可能是病毒造成的。
2.7系统时间被修改很多应用程序是根据系统时间来运行,通常我们不会随意去修改系统时间。很多病毒利用了这一点,自行修改Windows系统的时间,破坏杀毒软件的运行,例如病毒将系统时间更改为2002年时,卡巴斯基7.0就会自动失效,病毒就可以突破杀毒软件的防护大门,肆意破坏系统了。
2.8调制解调器和硬盘工作指示灯狂闪工作指示灯是用来显示设备工作状态的,正常使用的情况下,指示灯只是频繁闪动而已,表示设备正“忙”或“等待”等。如果出现指示灯狂闪的情况,有可能是病毒忙于感染硬盘上的文件,导致硬盘一直在工作。或是病毒忙于下载非法软件和插件,导致Modem一直在工作。
2.9网络自动掉线有的病毒专门占用系统或者网络资源,关闭连接,给用户使用造成不便。如ARP欺诈类型的蠕虫病毒,当网络中积聚了满意的病毒数据包后会发作,许多流量冲击宽带路由器的端口,当流量过大后该路由器端口会出现自我维护情况,即自动关闭该端口让其失效,来丢弃全部病毒数据包,这时客户端计算机就会出现掉线无法联接外部网络的表象。
2.10自动连接网络计算机的网络连接一般都是由用户触发来被动连接的,而病毒为了访问网络,必须主动连接,所以,有的病毒包含了自动连接网络的功能。
2.11浏览器自行访问网站打开浏览器,常会发现主页被修改了,目的是放在显眼位置,提高点击率,以达到赚钱的目的。这类一般都是个人网站或者是不健康的网站。
2.12鼠标无故移动鼠标的定位也是靠程序来完成的,所以病毒通过修改鼠标的驱动程序可以重新定义鼠标的位置,导致鼠标在屏幕上乱动,或者无法准确定位。
2.13打印出现问题病毒程序通过修改打印机的驱动程序使得打印机失去控制,出现诸如打印机假报警、间断性打印、速度变慢、更换字符,打印异常字符或不能正常打印等。
2.14其它淤文件丢失、修改或破坏文件中的数据;于内存减少:病毒程序在内存中自我复制,抢占资源;盂屏幕显示异常;榆系统不识别硬盘;虞系统异常重启;愚异常要求用户输入密码;舆键入异常;余喇叭异常:攻击喇叭,会使计算机的喇叭发出响声,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。
3结语本文简要探讨了病毒的注入方式及临床症状,使大家对其有充分的认识,达到防范于未然的目的。
参考文献院[1]彭国军等编著.计算机病毒分析与对抗[M]援武汉大学出版社,2004.[2]李辉援黑客攻防与计算机病毒分析检测及安全解决方案[M]援2006.[3]陈立新.计算机病毒防治百事通[M]援清华大学出版社,2000.作者简介院庞新法(1962-),男,陕西礼泉人,副教授,研究方向为计算机教学。