计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(18)

当然，有能力扫描压缩文件也是必须的。其次，该防毒软件还必须在收到邮件的同时对该邮件进行病毒扫描，并在每次打开、保存和发送后再次进行扫描。如果你使用的是Lotus Notes邮件系统，那么该防毒程序还应该能自动扫描所有进出的NSF邮件。 2. 使用防毒软件同时保护客户机和服务器。一方面，只有客户机的防毒软件才能访问个人目录，并且防止病毒从外部入侵。另一方面，只有服务器的防毒软件才能进行全局监测和查杀病毒。 这是防止病毒在整个系统中扩散的唯一途径，也是阻止病毒入侵没有本地保护但连接到邮件系统的计算机的唯一方法。同时，在这里，也可以防止病毒通过邮件系统中扩散、在使用之前对进出系统的邮件进行扫描、以及阻止病毒从没有进行本地保护却连到邮件系统的计算机上入侵。 3. 使用特定的SMTP杀毒软件。SMTP杀毒软件具有独特的功能，它能在那些从互联网上下载的受染邮件到达本地邮件服务器之前拦截它们，从而保持本地网络的无毒状态。 4.5 现代计算机病毒流行特征 4.5.1 攻击对象趋于混合型 传统病毒一般都是采用传统的设计方式，其代码直观简单，表现形式和外观特性比较明显，诸如总内存数量减少、速度变慢、直观的显示信息、明显的破坏症状等。

侵袭系统的病毒一般不外乎引导型和可执行文件型病毒。但是随着反病毒技术的日新月异、病毒编制的日臻巧妙、传统软件保护技术的广泛探讨和应用，当今的计算机病毒在实现技术上有了一些质的变化，现在的病毒攻击对象趋于混合，它们都逐步转向为对可执行文件和系统引导区同时感染，它们在病毒源码的编制、反跟踪调试、程序加密、隐蔽性、攻击能力等方面的设计都呈现了许多不同一般的变化。 4.5.2 反跟踪技术 当用户或反病毒技术人员发现一种病毒时，首先要对其进行详细分析解剖，一般都是借助DEBUG等调试工具对它进行跟踪剖析，为反这种动态跟踪，目前的病毒程序中一般都嵌入一些破坏单步中断INT 1H和中断点设置中断INT 3H的中断向量的程序段，从而使动态跟踪难以完成。还有的病毒通过对键盘进行封锁，以禁止单步跟踪。 病毒代码通过在程序中使用大量非正常的转移指令，使跟踪者不断迷路，造成分析困难。一般而言， CALL/RET、CALL FAR/RET 、INT/IRET命令都是成对出现的，返回地址的处理是自动进行的，不需编程者考虑，但是近来一些新的病毒肆意篡改返回地址，或者在程序中将上述命令单独使用，从而使用户无法迅速摸清程序的转向。

4.5.3 增强隐蔽性 病毒通过各种手段，尽量避免出现使用户容易产生怀疑的病毒感染特征。 1. 避开修改中断向量值 许多的反病毒软件，都对系统的中断向量表进行监测，一旦发现任何有对系统内存中断向量表进行修改的操作，将首先认为有病毒在活动。因此，为避免修改中断向量表留下痕迹，有些病毒直接修改中断服务子程序，取得对系统的控制权。病毒采用修改.COM文件首指针的方式修改中断服务子程序，首先从中断向量表中动态获得中断服务子程序入口，然后将该入口处开始3~5字节的指令内容保存到病毒体工作区，最后修改入口处指令为转向相应的病毒中断服务子程序入口的转移指令，在执行修改后的子程序后，再由病毒控制转向原正常的服务子程序入口。 如DIRⅡ病毒对INT 21H中断向量的控制就采用了类似的手法。 2. 请求在内存中的合法身份 病毒为躲避侦察常采用以下方法获得合法内存：通过正常的内存申请进行合法驻留，如DONG病毒采用向内存高端申请2000字节的空间移入病毒体；通过修改内存控制链进驻内存；驻留低端内存，如DIRⅡ病毒驻留在用户可用内存空间的低端，所以单从内存的使用情况上很难区分正常程序和病毒程序。 3. 维持宿主程序的外部特性 病毒截取INT 21H中断，控制原文件的显示，使已经被感染的程序在显示时不改变原来特征，如长度、修改日期等。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-18.html