四、遏制病毒:还网一片晴空网络绝不是一个一尘不染的数字化乐园,它可以释放出难以形容的生产能量,但也可以成为恐怖主义者和江湖巨骗的工具,或是弥天大谎和恶意中伤的大本营。什么时候能还网络一片晴空网络上最肮脏的地方1975年美国一位科幻小说家突发奇想,在他的作品中描述了一个高级电子控制机器人,根据主人发的指令,对其他机器系统进行干扰和破坏。这种设想的控制指令便是令人生畏的计算机病毒雏形。
1983年11月,弗莱德·科恩提出了计算机病毒的概念。
人类发明了电脑,但同时也为自己制造了麻烦。如果某一天,您的电脑突然唱起了扬基进行曲,那您可就得头疼了,因为电脑病毒已在您周围出现了!
有时电脑没有唱歌,但在显示器上出现了一条龙,或者是屏幕上的字符一个接一个不见了,那都表示您的电脑感染了病毒。电脑病毒具有惊人的智慧,星期五病毒认定了在星期五发作。苹果病毒则极富幽默感,每隔半小时,它在屏幕上要求我要吃苹果,这时只有输入苹果请三个汉字,系统才恢复正常。
这些当然只是表面现象。电脑病毒之所以叫病毒,它们都具有传染性、潜伏性、隐蔽性和破坏性。计算机病毒是指一段隐蔽在计算机之中,并且繁殖以影响电脑正常运行的程序。它的危害可从以下两个方面来说明:
第一,病毒对网络的主要危害。病毒程序通过自我复制传染正在运行的其他程序,并与正常运行的程序争夺计算机资源;病毒程序可冲毁存储器中的大量数据,致使计算机其他用户的数据蒙受损失;病毒不仅侵害所使用的计算机系统,而且侵害与该系统联网的其他计算机系统;病毒程序可导致计算机为核心的网络失灵。
第二,病毒对(微型)计算机的危害。破坏磁盘文件分配表,使用户在磁盘上的信息丢失;将非法数据定入操作系统(如DOS的内存参数区),引起系统崩溃;删除硬盘或软盘上特定的可执行文件或数据文件;修改或破坏文件的数据;影响内存常驻程序的正常执行;在磁盘上产生虚假坏分区,从而破坏有关的程序或数据文件;更改或重新写入磁盘的卷标号;不断反复传染拷贝,造成存储空间减少,并影响系统运行效率;对整个磁盘或磁盘上的特定磁道进行格式化;系统挂起,造成显示屏幕或键盘的封锁状态。
自从1986年计算机病毒的实现被专家们在实验中证实以后,便迅速蔓延到全世界,一个小巧的病毒程序可令一台微型计算机、一个大型计算机系统或一个网络处于瘫痪。这一方面反映了当今计算机系统的脆弱性,另一方面也反映了计算机病毒的危害性。计算机病毒已对计算机系统和网络安全构成了极大的威胁。
计算机病毒,按照广义概念,可以分为以下几种:
①蠕虫(Worm)。蠕虫是一种短小的程序,这个程序使用未定义过的处理器来自行完成运行处理。它通过在网络中连续高速地复制自己,长时间的占用系统资源,使系统因负担过重而瘫痪。
②逻辑炸弹(LogicBomb)。它是一个由满足某些条件(如时间、地点、特定名字的出现等)时,受激发而引起破坏的程序。逻辑炸弹是由写程序的人有意设置的,它有一个定时器,由写程序的人安装,不到时间不爆炸,一旦爆炸,将造成致命性的破坏。
③特洛伊木马(TroianHorse)。它是一个外表上很有吸引力,并且显得很可靠的程序,往往出现在网络的电子公告牌上。
这些程序带有人们喜爱的名字,当使用者通过网络引入自己的计算机后,使用一定时间或运行一定次数后,便会发生各种故障或问题。从功能上看,和逻辑炸弹有异曲同工井入口(BackDoor)。陷井入口是由程序开发者有意安排的。当应用程序开发完毕时,放入计算机中,实际运行后只有他自己掌握操作的秘密,使程序能正常完成某种事情,而别人则往往会进入死循环或其他歧路。
⑤核心大战(CoreWars)。这是允许两个程序互相破坏的游戏程序,它能造成对计算机系统安全的威胁。
带毒的E-mail随着计算机网络的推广,各式各样的病毒如潮水般涌入我国。以Word宏病毒为例,这是一类用WordBasic编写的病毒代码,专门攻击使用Word字处理软件编辑的文档,它可使文件长度莫名其妙地成倍增长,甚至出现好几兆的小文档;它还会使文件另存为失效、打印报错,等等。
WordBasic属于高级语言,程序编写简单,对于各种已有宏病毒,略加修改又是一个新的变种。首例Word宏病毒是1995年8月才在美国流行,但两个月后便出现在亚洲,现在在中国大陆流传最广泛的是TaiWan.No.1(台湾1号)病毒。宏病毒实际上是利用了微软公司所提出的ActiveX思想中的缺陷,这一思想还应用在微软的Office系列中。目前,在Internet网上的一些节点,随时可遇到一百多种的Word宏病毒。
在Internet上传递一个文件,比如从美国的硅谷到我国的西安,只需要1秒钟,而现在每年在Internet上传送的文件却是以数十亿计算。传统的杀毒工具根本不考虑像Word这样的文本文件,而Word作为微软公司Office系列产品又有着极为广泛的应用,用户很可能在不知不觉中将带有宏病毒的Word文档作为电子邮件的附件发送出去,从而也把病毒传送了出去。
对于Internet用户,当对方将带毒文档或其他文件作为电子邮件发送过来时,直到自己将文件另存为(Saveas)到硬盘或软盘上,文件一直处于重编码状态。传统的基于服务器(将杀毒软件放在局域网LAN的文件服务器上)或客户端(将杀毒软件放在客户机上)的杀毒软件对它都无能为力,用户等于把自己的整个系统完全暴露在病毒攻击之下。曾经有一些反病毒公司试图将杀毒软件放在局域网的服务器运行在NetWare环境下,采用IPX通信协议,而目前有80%的系统与Internet的连接方式则是通过运行于UNIX环境下的网关,采用的是TCP/IP协议,这是两套相互不兼容的协议。于是,从Interne.
现在,各种利用电子邮件传播病毒的事例层出不穷。1999年,先后有Happy99、美莉莎等数种电子邮件病毒在世界各地大规模爆发,对网络安全造成极大威胁。
谁来管理网络空间计算机病毒属于计算机犯罪的一种。首先这是高技术犯罪,隐蔽性大且不易侦破,是某些具有电脑知识的人恶作剧或是为了显示自己高超的编程技巧而制造的,因而绝大部分电脑病毒是故意编制的;其次,是电脑在原理上相当脆弱,没有自我保护功能,各个环节几乎都是透明的。
世界上平均每天有六种以上的新病毒产生,花样越来越多,编程手段也愈来愈高明,使人防不胜防。
但是,人们在与病毒的斗争中,也逐步形成了一套行之有效的预防和查杀病毒的方法,在病毒未发作前就查到它并将其杀除。
为使人们理解防杀病毒的方法,以下简要说明病毒的工作原理.
病毒是编程高手的作品,写作目的主要是表现能力.
自我复制是病毒的第一特点,是病毒生命力的基本形式。入侵的病毒通常在发作前把自己复制到其他载体上(其他的文件、软盘或网上另一台电脑),使自己的信息形式得以流传。
干扰破坏,这是病毒的第二特点。实际上,不应存在的数据也可以算作是病毒(如软件垃圾),因为存在本身就是占用了不应占用的空间。有些病毒只干扰不破坏,属于良性病毒。有些则疯狂地破坏,如同炸弹用自己的粉身碎骨毁坏别人。
寄生潜伏,这是病毒的第三特点。病毒程序如果以普通的程序文件的形式保存在磁盘上,就会较容易被发现(其实这也很难找到),而且难于被启动运行(只有启动运行后才能复制和破坏)。因此,病毒大多采用嵌入经常运行的正常程序中的方式寄生潜伏,经常随宿主程序的启动而启动。为了潜伏,病毒不能每次启动都发挥特点,它总是需要在某些条件满足时才发作,比如在连接上网时复制到网上另一台电脑中,在某个纪念日爆炸.网络条件下的病毒已经发展成为病毒程序集团,一个入侵,另一个遥控,通过网络保持联系。
根据病毒的工作原理,我们就不难理解以下对付病毒的措施:建立安全的上机习惯,并结合使用高明的防毒产品。即要做到:检查所有新软件;检查所有新数据盘;注意所有可疑行为;禁止使用A驱;购买适用的消毒产品;消除病毒时慎用消毒产品。
目前,市场上有四种常见的对付病毒的软件:
①Integ确定文件是否在最近一次校验和检查程序运行后发生过变化。任何由病毒引起的感染均改变受感染的程序,如果病毒不在内存中,则校验和检查程序能检测出这种变化。
②Scanners被用来鉴别病毒,检查是否有感染的文件,或证实程序没有被感染。
与校验和检查方法不同的是,它能在一个新软件运行之前检测它是否带有病毒。
③安装TSR(常驻内存)程序和设备驱动程序,用来监控病毒和病毒行为,并报告或阻止异常行为。
④Cleanap程序可删除所发现的感染文件,或消除文件中的病毒。
但是,尽管防毒科技有了长足发展,人们在对付病毒的斗争中也取得了一系列胜利,新的病毒还会不断出现。面对网络病毒,为了网络世界的平安,我们必须时刻准备着战斗。除此之外,别无选择。