許 琦

華南理工大學(xué)廣州汽車學(xué)院計(jì)算機(jī)實(shí)驗(yàn)中心，廣東 廣州 510800

計(jì)算機(jī)病毒（Computer Virus）最早出現(xiàn)在70年代David Gerrold的科幻小說(shuō)《When H.A.R.L.I.E. was One》中，1983年Fred Cohen的博士論文將計(jì)算機(jī)病毒科學(xué)定義為“一種能把自己（或經(jīng)演變）注入其他程序的計(jì)算機(jī)程序”?，F(xiàn)根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》計(jì)算機(jī)病毒被明確定義為“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒具有相當(dāng)多可怕的特點(diǎn)：寄生、傳染、潛伏、隱蔽、破壞等，在信息化社會(huì)發(fā)展的道路上，這類病毒事件接連不斷，它對(duì)計(jì)算機(jī)資源的損失和破壞力不但會(huì)造成資源和財(cái)富的巨大浪費(fèi)，而且有可能造成社會(huì)性的災(zāi)難。

筆者所在的部門為高等學(xué)府的計(jì)算機(jī)實(shí)驗(yàn)中心，擁有超過(guò)500臺(tái)計(jì)算機(jī)，全天候開(kāi)放，除了承擔(dān)全院的計(jì)算機(jī)課程實(shí)驗(yàn)課外，還承擔(dān)著考證培訓(xùn)、畢業(yè)設(shè)計(jì)、自主學(xué)習(xí)的任務(wù)，是教學(xué)活動(dòng)的重要場(chǎng)所?；ヂ?lián)網(wǎng)的開(kāi)放也使各種新型計(jì)算機(jī)病毒以及其他危險(xiǎn)程序不斷涌現(xiàn)，之前已有“灰鴿子”、“熊貓燒香”等事件讓機(jī)房處于癱瘓狀態(tài)，給教學(xué)和管理帶來(lái)很大的麻煩。為了保證實(shí)驗(yàn)教學(xué)正常運(yùn)行，如何在實(shí)際工作中對(duì)病毒進(jìn)行防治，是實(shí)驗(yàn)室管理者值得探討的一個(gè)重要課題。

計(jì)算機(jī)病毒按種類分為系統(tǒng)病毒、蠕蟲病毒、木馬病毒、黑客病毒、腳本病毒、宏病毒、種植程序病毒、破壞性程序病毒、捆綁機(jī)病毒等，計(jì)算機(jī)機(jī)房常見(jiàn)的病毒多為前三種。病毒的傳統(tǒng)傳染渠道通常有以下幾種：硬盤傳染、可讀寫移動(dòng)磁盤傳染、網(wǎng)絡(luò)傳染等。常見(jiàn)病毒除了破壞性大、善于偽裝外，還有以下2個(gè)顯著特點(diǎn)：1）傳染性—當(dāng)一段稱之為“病毒”的程序代碼進(jìn)入計(jì)算機(jī)并得以執(zhí)行之后，它會(huì)瘋狂搜索其他符合傳染條件的程序或存儲(chǔ)介質(zhì)，如果目標(biāo)確定就將其自身插入其中自我繁殖，如果一臺(tái)計(jì)算機(jī)已經(jīng)染毒不及時(shí)處理，病毒就會(huì)循序擴(kuò)散，其速度之快令人難以預(yù)防；2）潛伏性—有些精巧的病毒程序進(jìn)入系統(tǒng)之后不馬上發(fā)作，可以一段時(shí)間隱藏在合法文件中對(duì)系統(tǒng)其它文件進(jìn)行感染，不用專用軟件檢測(cè)程序還檢查不出來(lái)，一旦像定時(shí)炸彈一樣爆發(fā)，就讓程序員措手不及。

病毒對(duì)計(jì)算機(jī)資源的破壞力之大超出我們的想象，表現(xiàn)如下：運(yùn)行一段時(shí)間后計(jì)算機(jī)系統(tǒng)運(yùn)行速度無(wú)故減慢；CPU和內(nèi)存的使用率突然增高；頻繁發(fā)生藍(lán)屏重啟死機(jī)的事故；文件丟失或者損壞，無(wú)法復(fù)制粘貼和刪除；磁盤卷標(biāo)發(fā)生變化，系統(tǒng)對(duì)磁盤訪問(wèn)異?；蛘卟蛔R(shí)別磁盤；更改系統(tǒng)時(shí)間甚至逆向計(jì)時(shí)；文件時(shí)間和屬性等發(fā)生變化；用戶口令執(zhí)行錯(cuò)誤；異常要求用戶輸入密碼；虛擬報(bào)警；外部設(shè)備工作異常等等。處于校園網(wǎng)中的機(jī)房不僅是計(jì)算機(jī)之間直接相互聯(lián)通，而且開(kāi)放網(wǎng)絡(luò)，學(xué)生之間經(jīng)常通過(guò)可移動(dòng)磁盤交換文件，病毒可以從多個(gè)入口進(jìn)入機(jī)器。一旦有一兩臺(tái)計(jì)算機(jī)感染病毒，就很可能會(huì)造成大批量計(jì)算機(jī)同時(shí)感染病毒，只要出現(xiàn)以上的某種危害現(xiàn)象，都足以嚴(yán)重影響到教學(xué)質(zhì)量。

計(jì)算機(jī)病毒如此來(lái)勢(shì)洶洶，一旦發(fā)作就如黃河決堤不可收拾。提高計(jì)算機(jī)操作系統(tǒng)的安全性能將大部分的病毒扼殺在搖籃里，即使不小心感染病毒，采取有效的方法也能將病毒去除。為了防治計(jì)算機(jī)病毒，得從源頭開(kāi)始了解。計(jì)算機(jī)實(shí)驗(yàn)室感染病毒一般來(lái)自3個(gè)方面。一方面來(lái)自操作人員。公共計(jì)算機(jī)實(shí)驗(yàn)室的開(kāi)放時(shí)間長(zhǎng)，上機(jī)人數(shù)多，還要開(kāi)放網(wǎng)絡(luò)。學(xué)生攜帶U盤、移動(dòng)硬盤、光盤等介質(zhì)在計(jì)算機(jī)播放使計(jì)算機(jī)感染病毒的機(jī)會(huì)特別大；二是來(lái)自開(kāi)放網(wǎng)絡(luò)的威脅，只要是網(wǎng)線連通外網(wǎng)，就能獲得網(wǎng)絡(luò)上的信息，這些信息沒(méi)有經(jīng)過(guò)篩選，造成瀏覽網(wǎng)頁(yè)、下載文件、打開(kāi)郵件等任何步驟都可能中毒。來(lái)自網(wǎng)絡(luò)的威脅不僅來(lái)自本地網(wǎng)絡(luò)的用戶，還可以來(lái)自網(wǎng)絡(luò)上的任何一臺(tái)計(jì)算機(jī)，它可以對(duì)網(wǎng)絡(luò)通信協(xié)議造成威脅，也可以對(duì)物理傳輸線路實(shí)施攻擊，不僅攻擊軟件系統(tǒng)，也攻擊硬件系統(tǒng)；三是來(lái)自系統(tǒng)漏洞的威脅。盡管操作系統(tǒng)和應(yīng)用軟件已經(jīng)打了上千個(gè)補(bǔ)丁，但每天都會(huì)有新的漏洞被發(fā)現(xiàn)，病毒如此無(wú)孔不入，讓系統(tǒng)不存在絕對(duì)的安全。另外如果過(guò)于強(qiáng)調(diào)提高系統(tǒng)的安全性又會(huì)使系統(tǒng)多數(shù)時(shí)間用于病毒檢測(cè)，從而失去實(shí)用性和方便性。

計(jì)算機(jī)機(jī)房由于機(jī)器數(shù)量大，不可能一臺(tái)臺(tái)裝機(jī)。系統(tǒng)維護(hù)的時(shí)候一般是先做好一臺(tái)母機(jī)，通過(guò)網(wǎng)絡(luò)克隆的方式安裝到全部機(jī)器。為盡量保證系統(tǒng)的安全，安裝母機(jī)時(shí)最好斷網(wǎng)，即使是內(nèi)網(wǎng)也有在同一網(wǎng)絡(luò)的計(jì)算機(jī)，要斷絕一切感染病毒的可能。裝系統(tǒng)時(shí)使用光盤啟動(dòng)，并且使用正版系統(tǒng)盤，光盤保證是可用的沒(méi)有攜帶病毒的。由于是學(xué)生用機(jī)，一般不用保留文件資源，建議在安裝之前把整個(gè)硬盤格式化了，杜絕了殘留的文件資源隱藏病毒的可能。這一點(diǎn)非常重要，如果為了備份而保留一個(gè)哪怕是很小的軟件，剛裝完系統(tǒng)就發(fā)現(xiàn)隱藏的病毒，那又得從頭開(kāi)始。

裝完系統(tǒng)和驅(qū)動(dòng)之后，安裝各種應(yīng)用軟件之前應(yīng)盡快安裝防病毒軟件。這個(gè)是防病毒的主要手段，病毒已經(jīng)進(jìn)入計(jì)算機(jī)之后是依靠防病毒軟件來(lái)清除的。市面上殺毒軟件很多，可以本著兼容性、占用內(nèi)存小、操作方便等原則來(lái)選取。本機(jī)房使用過(guò)卡巴斯基、諾頓等殺毒軟件都各有千秋，其中Macfee、AVG軟件在機(jī)房得到全面推廣。這兩款殺毒軟件都是免費(fèi)升級(jí)軟件，Macfee軟件采取微軟公司的源代碼，操作界面非常友好，除了能偵測(cè)和清除病毒，還有VShield自動(dòng)監(jiān)視系統(tǒng)。AVG軟件占用內(nèi)存小，使用更靈活，配合硬盤保護(hù)卡使用能更合理地運(yùn)用計(jì)算機(jī)資源。

計(jì)算機(jī)病毒如此無(wú)孔不入，對(duì)系統(tǒng)打上必要的補(bǔ)丁也是阻止病毒傳播的一個(gè)重要手段。學(xué)生用機(jī)一般使用windows操作系統(tǒng)，如果從官方網(wǎng)站上下載補(bǔ)丁的速度過(guò)慢，可以使用第三方集成的微軟升級(jí)補(bǔ)丁包以離線升級(jí)的方式來(lái)完成升級(jí)。以后在系統(tǒng)批量維護(hù)時(shí)也應(yīng)該定時(shí)更新補(bǔ)丁。除了操作系統(tǒng)的補(bǔ)丁之外，對(duì)于網(wǎng)絡(luò)中一些重要的系統(tǒng)，比如數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)關(guān)系統(tǒng)等也應(yīng)該及時(shí)更新相應(yīng)的補(bǔ)丁。

保護(hù)卡是機(jī)房管理與維護(hù)的主要措施。筆者工作的實(shí)驗(yàn)室通過(guò)配合使用上海萬(wàn)欣公司的網(wǎng)絡(luò)版保護(hù)卡和機(jī)房管理系統(tǒng)大大提高管理效率。網(wǎng)絡(luò)版的保護(hù)不僅可以網(wǎng)絡(luò)克隆參數(shù)和數(shù)據(jù)，更重要是日常的安全保護(hù)。學(xué)生機(jī)一般設(shè)為系統(tǒng)分區(qū)和數(shù)據(jù)分區(qū)，由于實(shí)驗(yàn)室是對(duì)全院學(xué)生開(kāi)放，數(shù)據(jù)隨時(shí)可能被修改和刪除，所以沒(méi)有意義長(zhǎng)時(shí)間保存數(shù)據(jù)，為使計(jì)算機(jī)處于安全狀態(tài)，通過(guò)保護(hù)卡將系統(tǒng)分區(qū)設(shè)為每次開(kāi)機(jī)還原，數(shù)據(jù)分區(qū)設(shè)為每天一次還原，換句話說(shuō)，任何對(duì)硬盤分區(qū)的修改都是無(wú)效的，這樣起到對(duì)操作系統(tǒng)保護(hù)的作用。

管理人員還要針對(duì)教學(xué)系統(tǒng)的使用要求，做出一些必要的安全策略。首先要開(kāi)始系統(tǒng)防火墻，在內(nèi)外網(wǎng)間建立起一個(gè)安全的網(wǎng)關(guān)，從而保護(hù)內(nèi)網(wǎng)不受非法用戶的侵入；其次設(shè)定好系統(tǒng)管理員的密碼，如果學(xué)生用機(jī)都以管理員身份登錄的話，可以將開(kāi)機(jī)設(shè)為不顯示歡迎界面，從而隱藏開(kāi)機(jī)密碼，或者直接讓學(xué)生設(shè)置成普通用戶登錄系統(tǒng)；禁止文件共享，或者為共享文件夾設(shè)置一個(gè)密碼；禁止SSDPSRV服務(wù)，這個(gè)服務(wù)主要用于啟動(dòng)家庭網(wǎng)絡(luò)設(shè)備上的UPnP設(shè)備，服務(wù)同時(shí)啟動(dòng)5000端口，可能造成DDOS攻擊，讓CPU使用率達(dá)到100%，立刻造成計(jì)算機(jī)崩潰，它還會(huì)不斷往外界發(fā)送數(shù)據(jù)包，影響網(wǎng)絡(luò)傳輸速率；禁止at命令、禁用資源管理器；取消其他不必要的服務(wù)，例如關(guān)閉遠(yuǎn)程協(xié)助、遠(yuǎn)程桌面等功能；通過(guò)組策略禁用可移動(dòng)磁盤等等。通過(guò)這些措施優(yōu)化學(xué)生用機(jī)，使系統(tǒng)本身就具備一定的安全能力。

上述方法基本都是從預(yù)防方面來(lái)控制病毒入侵計(jì)算機(jī)。日常管理中還是要加強(qiáng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控。當(dāng)一個(gè)機(jī)房開(kāi)放一定時(shí)間后，發(fā)現(xiàn)有計(jì)算機(jī)大面積運(yùn)行速度變慢、卡機(jī)甚至是死機(jī)的現(xiàn)象，要留意是否是計(jì)算機(jī)在通過(guò)網(wǎng)絡(luò)廣播大量的數(shù)據(jù)，發(fā)送攻擊數(shù)據(jù)包使計(jì)算機(jī)的CPU超負(fù)荷工作，如果有計(jì)算機(jī)每秒發(fā)送上百個(gè)數(shù)據(jù)包，那一定是網(wǎng)絡(luò)中毒了，而且機(jī)器還在尋找下一個(gè)傳染目標(biāo)，最直接的方法就是重啟計(jì)算機(jī)還原系統(tǒng)的數(shù)據(jù)。另外，也要督促學(xué)生文明上機(jī)，不上不健康的網(wǎng)頁(yè)和下載不明來(lái)源的文件。這類網(wǎng)站和文件數(shù)量太多，而且經(jīng)常會(huì)易名變化，有條件最好開(kāi)啟程序監(jiān)控系統(tǒng)，將其拉入禁止程序庫(kù)，禁得了一個(gè)是一個(gè)。

如果上述方法和實(shí)時(shí)殺毒監(jiān)控軟件都?xì)⒉涣瞬《?，就關(guān)掉交換機(jī)進(jìn)入DOS下查殺病毒，不過(guò)速度會(huì)比較慢，而且需要一臺(tái)臺(tái)查殺。之前如果有系統(tǒng)備份的話，為了不浪費(fèi)時(shí)間，重新ghost一遍來(lái)得更干凈徹底。

病毒和反病毒作為一種技術(shù)對(duì)抗長(zhǎng)期存在，防病毒是IT工作者不休的話題。作為一名計(jì)算機(jī)實(shí)驗(yàn)室的管理員，要從優(yōu)化計(jì)算機(jī)系統(tǒng)和硬件配置、加強(qiáng)日常的程序監(jiān)控和網(wǎng)絡(luò)監(jiān)控等措施來(lái)組織病毒在計(jì)算機(jī)實(shí)驗(yàn)室傳播。由于計(jì)算機(jī)病毒變化不斷，需要管理人員對(duì)各種危害性大的、新型的病毒進(jìn)行全面的了解，才能找到有效的對(duì)抗方法，及時(shí)解決突發(fā)情況，保證教學(xué)正常運(yùn)行。

[1]馮味.計(jì)算機(jī)病毒及網(wǎng)絡(luò)安全的對(duì)策研究[J].網(wǎng)絡(luò)通訊與安全，2007，8.

[2]王齊.高校計(jì)算機(jī)實(shí)驗(yàn)室病毒的防范策略[J].科技信息，2008(28).

[3]李冰.網(wǎng)絡(luò)攻擊的六大趨勢(shì)[J].科技廣場(chǎng)，2002.