计算机病毒的产生、特点及其检测防范措施(2)

3.3潜伏性：
有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。
潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘等载体里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。
潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
3.4隐蔽性：
计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。
3.5破坏性：
计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。
3.6可触发性：
病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。
4.计算机病毒的检测和防范
4.1计算机病毒防范技术的工作原理。
目前，计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。
(1)签名扫描:通过搜索目标（宿主计算机、磁盘驱动器或文件）来查找表示恶意软件的模式。
(2)启发式扫描:通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。
4.2最容易受到恶意软件攻击的区域：
①外部网络；
②来宾客户端；
③可执行文件；
④文档；
⑤电子邮件；
⑥可移动媒体。
4.3检测和防范。
用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此，防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。
4.3.1对恶意代码的查找和分类的根据是：
对恶意代码的理解和对恶意代码“签名”的定位来识别恶意代码。然后将这个签名加入到识别恶意代码的签名列表中，这就是防病毒软件的工作原理。防病毒软件成功的关键是它是否能够定位“签名”。 4.3.2恶意代码基本上可以分为两类：
脚本代码和自执行代码。实现对脚本蠕虫的防护很简单，例如，VBScript蠕虫的传播是有规律的，因此常常可以通过运行一个应用程序的脚本来控制这块代码或者让这个代码失效。
4.3.3恶意软件防护方法：
在针对恶意软件尝试组织有效的防护之前，需要了解组织基础结构中存在风险的各个部分以及每个部分的风险程度。Microsoft强烈建议您在开始设计防病毒解决方案之前，进行完整的安全风险评估。
4.3.4深层防护安全模型：
在发现并记录了组织所面临的风险后，下一步就是检查和组织您将用来提供防病毒解决方案的防护措施。深层防护安全模型是此过程的极好起点。此模型识别出七级安全防护，它们旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。