电脑病毒免疫
你的电脑是不是经常中病毒呢!下面由小编带你提高电脑病毒免疫能力!希望对你有帮助!
提高电脑病毒免疫:
我们知道,计算机病毒的传染模块一般包括传染条件判断和实施传染两个部分,在病毒被激活的状态下,病毒程序通过判断传染条件的满足与否,以决定是否对目标对象进行传染。一般情况下,病毒程序在传染完一个对象后,都要给被传染对象加上传染标识,传染条件的判断就是检测被攻击对象是否存在这种标识,若存在这种标识,则病毒程序不对该对象进行传染;若不存在这种标示,则病毒程序就该对象实施传染。由于这种原因,人们自然会想到是否能在正常对象中加上这种标识,就可以不受病毒的传染,起到免疫的作用呢?
从实现计算机病毒免疫的角度看病毒的传染,可以将病毒的传染分成两种。一种是像香港病毒,1575病毒这样,在传染前先检查待传染的扇区或程序里是否含有病毒代码,如果没有找到则进行传染,如果找到了则不再进行传染。这种用作判断是否为病毒自身的病毒代码被称作传染标志,或免疫标志。第二种是在传染时不判断是否存在免疫标志,病毒只要找到一个可传染对象就进行一次传染。就像黑色星期五那样,一个文件可能被黑色星期五反复传染多次,滚雪球一样越滚越大(要补充一点的是,黑色星期五病毒的程序中具有判别传染标志的代码,由于程序设计错误,使判断失败,形成现在的情况,对文件会反复感染,传染标志形同虚设)。
计算机病毒免疫的方法和缺点
下面来看看防病毒软件使用的免疫方法是如何工作的。目前常用的免疫方法有两种:
1.针对某一种病毒进行的计算机病毒免疫
例如对小球病毒,在DOS引导扇区的1FCH处填上1357H,小球病毒一检查到这个标志就不再对它进行传染了。对于1575文件型病毒,免疫标志是文件尾的内容为0CH和0AH的两个字节,1575病毒若发现文件尾含有这两个字节,则不进行传染。这种方法的优点是可以有效地防止某一种特定病毒的传染。但缺点很严重,主要有以下几点:
(1)对于不设有感染标识的病毒不能达到免疫的目的;有的病毒只要激活的状态下,会无条件的把病毒传染给被攻击对象,而不论这种对象是否已经被感染过或者是否具有某种标识。
(2)当出现这种病毒的变种不再使用这个免疫标志时,或出现新病毒时,免疫标志发挥不了作用。
(3)某些病毒的免疫标志不容易仿制,非要加上这种标志不可,则对原来的文件要做大的改动。例如对大麻病毒就不容易做免疫标志。
(4)由于病毒的种类较多,又由于技术上的原因,不可能对一个对象加上各种病毒的免疫标识,这就使得该对象不能对所有的病毒具有免疫作用。
(5)这种方法能阻止传染,却不能阻止病毒的破坏行为,仍然放任病毒驻留在内存中。目前使用这种免疫方法的商品化反病毒软件已不多见了。
2.基于自我完整性检查的计算机病毒的免疫方法
目前这种方法只能用于文件而不能用于引导扇区。这种方法的原理是,为可执行程序增加一个免疫外壳,同时在免疫外壳中记录有关用于恢复自身的信息。免疫外壳占1KB至3KB。执行具有这种免疫功能的程序时,免疫外壳首先得到运行,检查自身的程序大小、校验和,生成日期和时间等情况,没有发现异常后,再转去执行受保护的程序。不论什么原因使这些程序本身的特性受到改变或破坏,免疫外壳都可以检查出来,并发出告警,可供用户选择的回答有自毁、重新引导启动计算机、自我恢复到未受改变前的情况和继续操作,而不理睬所发生的变化。这种免疫方法可以看作是一种通用的自我完整性检验方法。这种方法不只是针对病毒的,由于其他原因造成的文件变化,在大多数情况下免疫外壳程序都能使文件自身得到复原。但仍存在一些缺点和不足:
(1)每个受到保护的文件都要增加1KB至3KB,需要额外的存储空间。
(2)现在使用中的一些校验码算法不能满足防病毒的需要,被某些种类的病毒感染的文件不能被检查出来。
(3)无法对付覆盖方式的文件型病毒。
(4)有些类型的文件不能使用外加免疫外壳的防护方法,这样将使那些文件不能正常执行。
(5)当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件,而该文件又被免疫外壳包在里面时,这个病毒就象穿了“保护盔甲”,使查毒软件查不到它,而它却能在得到运行机会时跑出来继续传染扩散。
从以上的讨论中,我们可以看到,在采取了技术上和管理上的综合治理措施之后,尽管目前尚不存在完美通用的计算机病毒免疫方法,但计算机用户仍然完全可以控制住局势,可以将时间和精力用于更具有建设性的工作上。