計算機(jī)病毒的原理是什么
計算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同,計算機(jī)病毒不是天然存在的,是人利用計算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能潛伏在計算機(jī)的存儲介質(zhì)(或程序)里,條件滿足時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序,對計算機(jī)資源進(jìn)行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大。
計算機(jī)病毒工作原理
病毒依附存儲介質(zhì)軟盤、 硬盤等構(gòu)成傳染源。病毒傳染的媒介由工作的環(huán)境來定。病毒激活是將病毒放在內(nèi)存, 并設(shè)置觸發(fā)條件,觸發(fā)的條件是多樣化的, 可以是時鐘,系統(tǒng)的日期,用戶標(biāo)識符,也可以是系統(tǒng)一次通信等。條件成熟病毒就開始自我復(fù)制到傳染對象中,進(jìn)行各種破壞活動等。病毒的傳染是病毒性能的一個重要標(biāo)志。在傳染環(huán)節(jié)中,病毒復(fù)制一個自身副本到傳染對象中去。
感染策略為了能夠復(fù)制其自身,病毒必須能夠運行代碼并能夠?qū)?nèi)存運行寫操作?;谶@個原因計算機(jī)病毒工作原理,許多病毒都是將自己附著在合法的可執(zhí)行文件上。如果用戶企圖運行該可執(zhí)行文件,那么病毒就有機(jī)會運行。病毒可以根據(jù)運行時所表現(xiàn)出來的行為分成兩類。非常駐型病毒會立即查找其它宿主并伺機(jī)加以感染,之后再將控制權(quán)交給被感染的應(yīng)用程序。常駐型病毒被運行時并不會查找其它宿主。相反的,一個常駐型病毒會將自己加載內(nèi)存并將控制權(quán)交給宿主。該病毒于背景中運行并伺機(jī)感染其它目標(biāo)?! 》浅qv型病毒非常駐型病毒可以被想成具有搜索模塊和復(fù)制模塊的程序。搜索模塊負(fù)責(zé)查找可被感染的文件,一旦搜索到該文件,搜索模塊就會啟動復(fù)制模塊進(jìn)行感染。
常駐型病毒常駐型病毒包含復(fù)制模塊,其角色類似于非常駐型病毒中的復(fù)制模塊。復(fù)制模塊在常駐型病毒中不會被搜索模塊調(diào)用。病毒在被運行時會將復(fù)制模塊加載內(nèi)存,并確保當(dāng)操作系統(tǒng)運行特定動作時,該復(fù)制模塊會被調(diào)用。例如,復(fù)制模塊會在操作系統(tǒng)運行其它文件時被調(diào)用。在這個例子中,所有可以被運行的文件均會被感染。常駐型病毒有時會被區(qū)分成快速感染者和慢速感染者。快速感染者會試圖感染盡可能多的文件。例如,一個計算機(jī)病毒工作原理快速感染者可以感染所有被訪問到的文件。這會對殺毒軟件造成特別的問題。當(dāng)運行全系統(tǒng)防護(hù)時,殺毒軟件需要掃描所有可能會被感染的文件。如果殺毒軟件沒有察覺到內(nèi)存中有快速感染者,快速感染者可以借此搭便車,利用殺毒軟件掃描文件的同時進(jìn)行感染??焖俑腥菊咭蕾嚻淇焖俑腥镜哪芰?。但這同時會使得快速感染者容易被偵測到,這是因為其行為會使得系統(tǒng)性能降低,進(jìn)而增加被殺毒軟件偵測到的風(fēng)險。相反的,慢速感染者被設(shè)計成偶而才對目標(biāo)進(jìn)行感染,如此一來就可避免被偵測到的機(jī)會。例如,有些慢速感染者只有在其它文件被拷貝時才會進(jìn)行感染。但是慢速感染者此種試圖避免被偵測到的作法似乎并不成功。
免殺技術(shù)以及新特征免殺是指:對病毒的處理,使之躲過殺毒軟件查殺的一種技術(shù)。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說“病毒比殺毒軟件還新,所以殺毒軟件根本無法識別它是病毒”,但由于傳播后部分用戶中毒向殺毒軟件公司舉報的原因,就會引起安全公司的注意并將之特征碼收錄到自己的病毒庫當(dāng)中,病毒就會被殺毒軟件所識別。
病毒作者可以通過對病毒進(jìn)行再次保護(hù)如使用匯編加花指令或者給文檔加殼就可以輕易躲過殺毒軟件的病毒特征碼庫而免于被殺毒軟件查殺。
美國的Norton Antivirus、McAfee、PC-cillin,俄羅斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等產(chǎn)品在國際上口碑較好,但殺毒、查殼能力都有限,目前病毒庫總數(shù)量也都僅在數(shù)十萬個左右。
自我更新性是近年來病毒的又一新特征。病毒可以借助于網(wǎng)絡(luò)進(jìn)行變種更新,得到最新的免殺版本的病毒并繼續(xù)在用戶感染的計算機(jī)上運行,比如熊貓燒香病毒的作者就創(chuàng)建了“病毒升級服務(wù)器”,在最勤時一天要對病毒升級8次,比有些殺毒軟件病毒庫的更新速度還快,所以就造成了殺毒軟件無法識別病毒。
除了自身免殺自我更新之外,很多病毒還具有了對抗它的“天敵”殺毒軟件和防火墻產(chǎn)品反病毒軟件的全新特征,只要病毒運行后,病毒會自動破壞中毒者計算機(jī)上安裝的殺毒軟件和防火墻產(chǎn)品,如病毒自身驅(qū)動級Rootkit保護(hù)強(qiáng)制檢測并退出殺毒軟件進(jìn)程,可以過主流殺毒軟件“主動防御”和穿透軟、硬件還原的機(jī)器狗,自動修改系統(tǒng)時間導(dǎo)致一些殺毒軟件廠商的正版認(rèn)證作廢以致殺毒軟件作廢,從而病毒生存能力更加強(qiáng)大。
免殺技術(shù)的泛濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種,給依賴于特征碼技術(shù)檢測的殺毒軟件帶來很大困擾。近年來,國際反病毒行業(yè)普遍開展了各種前瞻性技術(shù)研究,試圖扭轉(zhuǎn)過分依賴特征碼所產(chǎn)生的不利局面。目前比較有代表性產(chǎn)品的是基于虛擬機(jī)技術(shù)的啟發(fā)式掃描軟件,代表廠商NOD32,Dr.Web,和基于行為分析技術(shù)的主動防御軟件,代表廠商中國的微點主動防御軟件等。
計算機(jī)病毒的原理是什么
上一篇:手機(jī)頑固木馬殺不掉