電腦病毒解說
電腦病毒影響著大部分的電腦用戶,你是不是其中的一個呢,你了解電腦病毒嗎!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的介紹!希望對你有幫助!
電腦病毒:
計算機(jī)病毒(Computer Virus)是編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者數(shù)據(jù)的代碼,能影響計算機(jī)使用,能自我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性。計算機(jī)病毒的生命周期:開發(fā)期→傳染期→潛伏期→發(fā)作期→發(fā)現(xiàn)期→消化期→消亡期。計算機(jī)病毒是一個程序,一段可執(zhí)行碼。就像生物病毒一樣,具有自我繁殖、互相傳染以及激活再生等生物病毒特征。計算機(jī)病毒有獨特的復(fù)制能力,它們能夠快速蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上,當(dāng)文件被復(fù)制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。
中文名計算機(jī)病毒外文名Computer Virus誕生年代20世紀(jì)危害最大CIH[1] 目錄1 定義2 發(fā)展▪ 科幻小說▪ 病毒程序3 特征4 原理5 感染策略▪ 非常駐型病毒▪ 常駐型病毒6 分類7 命名8 征兆預(yù)防▪ 病毒征兆▪ 保護(hù)預(yù)防9 免殺技術(shù)以及新特征定義計算機(jī)病毒(Computer Virus)在
熊貓燒香病毒(尼姆亞病毒變種)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒指“編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù),影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼”。[3] 計算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同,計算機(jī)病毒不是天然存在的,是人利用計算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能潛伏在計算機(jī)的存儲介質(zhì)(或程序)里,條件滿足時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序,對計算機(jī)資源進(jìn)行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大。[4-6]
發(fā)展第一份關(guān)于計算機(jī)病毒理論的學(xué)術(shù)工作( "病毒" 一詞當(dāng)時并未使用)于 1949 年由約翰·馮·諾伊曼完成。以 "Theory and Organization of Complicated Automata" 為題的一場在伊利諾伊大學(xué)的演講,后改以 "Theory of self-reproducing automata" 為題出版。馮·諾伊曼在他的論文中描述一個計算機(jī)程序如何復(fù)制其自身。1980 年,Jürgen Kraus 于多特蒙德大學(xué)撰寫他的學(xué)位論文 "Self-reproduction of programs"。論文中假設(shè)計算機(jī)程序可以表現(xiàn)出如同病毒般的行為。“病毒”一詞最早用來表達(dá)此意是在弗雷德·科恩(Fred Cohen)1984年的論文《電腦病毒實驗》。[7] 1983 年 11月,在一次國際計算機(jī)安全學(xué)術(shù)會議上,美國學(xué)者科恩第一次明確提出計算機(jī)病毒的概念,并進(jìn)行了演示。1986年年初,巴基斯坦兄弟編寫了“大腦(Brain)”病毒,又被稱為“巴基斯坦”病毒。1987年,第一個電腦病毒C-BRAIN誕生。由巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)編寫。計算機(jī)病毒主要是引導(dǎo)型病毒,具有代表性的是“小球”和“石頭”病毒。1988年在財政部的計算機(jī)上發(fā)現(xiàn)的,中國最早的計算機(jī)病毒。1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有“石頭2”。1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。1992年,利用DOS加載文件的優(yōu)先順序進(jìn)行工作,具有代表性的是“金蟬”病毒。1995年,當(dāng)生成器的生成結(jié)果為病毒時,就產(chǎn)生了這種復(fù)雜的“病毒生成器” ,幽靈病毒流行中國。[8] 典型病毒代表是“病毒制造機(jī)” “VCL”。1998年臺灣大同工學(xué)院學(xué)生劉盈豪編制了CIH病毒。2000年最具破壞力的10種病毒分別是:Kakworm,愛蟲, Apology-B, Marker , Pretty ,Stages-A,Navidad,Ska-Happy99 ,WM97/Thus ,XM97/Jin。[9] 2003年,中國大陸地區(qū)發(fā)作最多的十個病毒,分別是:紅色結(jié)束符、愛情后門、FUNLOVE、QQ傳送者、沖擊波殺手、羅拉、求職信、尼姆達(dá)II、QQ木馬、CIH。[1] 2005年,1月到10月,金山反病毒監(jiān)測中心共截獲或監(jiān)測到的病毒達(dá)到50179個,其中木馬、蠕蟲、黑客病毒占其中的91%,以盜取用戶有價賬號的木馬病毒(如網(wǎng)銀、QQ、網(wǎng)游)為主,病毒多達(dá)2000多種。[11] 2007年1月,病毒累計感染了中國80%的用戶,其中78%以上的病毒為木馬、后門病毒。[12] 熊貓燒香肆虐全球。[13] 2010年,越南全國計算機(jī)數(shù)量已500萬臺,其中93%受過病毒感染,感染電腦病毒共損失59000萬億越南盾。[6]
科幻小說而病毒一詞廣為人知是得力于科幻小說。一部是1970年代中期大衛(wèi)·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一個叫“病毒”的程序和與之對戰(zhàn)的叫“抗體”的程序;另一部是約翰·布魯勒爾(John Brunner)1975年的小說《震蕩波騎士(ShakewaveRider)》,描述了一個叫做“磁帶蠕蟲”、在網(wǎng)絡(luò)上刪除數(shù)據(jù)的程序。[15]
病毒程序1960年代初,美國麻省理工學(xué)院的一些青年研究人員,在做完工作后,利用業(yè)務(wù)時間玩一種他們自己創(chuàng)造的計算機(jī)游戲。做法是某個人編制一段小程序,然后輸入到計算機(jī)中運行,并銷毀對方的游戲程序。而這也可能就是計算機(jī)病毒的雛形。[16]
特征繁殖性計算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖,當(dāng)正常程序運行時,它也進(jìn)行運行自身復(fù)制,是否具有繁殖、感染的特征是判斷某段程序為計算機(jī)病毒的首要條件。破壞性計算機(jī)中毒后,可能會導(dǎo)致正常的程序無法運行,把計算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。破壞引導(dǎo)扇區(qū)及BIOS,硬件環(huán)境破壞。傳染性計算機(jī)病毒傳染性是指計算機(jī)病毒通過修改別的程序?qū)⒆陨淼膹?fù)制品或其變體傳染到其它無毒的對象上,這些對象可以是一個程序也可以是系統(tǒng)中的某一個部件。潛伏性計算機(jī)病毒潛伏性是指計算機(jī)病毒可以依附于其它媒體寄生的能力,侵入后的病毒潛伏到條件成熟才發(fā)作, 會使電腦變慢。隱蔽性計算機(jī)病毒具有很強(qiáng)的隱蔽性,可以通過病毒軟件檢查出來少數(shù),隱蔽性計算機(jī)病毒時隱時現(xiàn)、變化無常,這類病毒處理起來非常困難??捎|發(fā)性編制計算機(jī)病毒的人,一般都為病毒程序設(shè)定了一些觸發(fā)條件,例如,系統(tǒng)時鐘的某個時間或日期、系統(tǒng)運行了某些程序等。一旦條件滿足,計算機(jī)病毒就會“發(fā)作”,使系統(tǒng)遭到破壞。[17-18] [19]
原理病毒依附存儲介質(zhì)軟盤、 硬盤等構(gòu)成傳染源。病毒傳染的媒介由工作的環(huán)境來定。病毒激活是將病毒放在內(nèi)存, 并設(shè)置觸發(fā)條件,觸發(fā)的條件是多樣化的, 可以是時鐘,系統(tǒng)的日期,用戶標(biāo)識符,也可以是系統(tǒng)一次通信等。條件成熟病毒就開始自我復(fù)制到傳染對象中,進(jìn)行各種破壞活動等。病毒的傳染是病毒性能的一個重要標(biāo)志。在傳染環(huán)節(jié)中,病毒復(fù)制一個自身副本到傳染對象中去。[20-21]
感染策略為了能夠復(fù)制其自身,病毒必須能夠運行代碼并能夠?qū)?nèi)存運行寫操作。基于這個原因,許多病毒都是將自己附著在合法的可執(zhí)行文件上。如果用戶企圖運行該可執(zhí)行文件,那么病毒就有機(jī)會運行。病毒可以根據(jù)運行時所表現(xiàn)出來的行為分成兩類。非常駐型病毒會立即查找其它宿主并伺機(jī)加以感染,之后再將控制權(quán)交給被感染的應(yīng)用程序。常駐型病毒被運行時并不會查找其它宿主。相反的,一個常駐型病毒會將自己加載內(nèi)存并將控制權(quán)交給宿主。該病毒于背景中運行并伺機(jī)感染其它目標(biāo)。[22]
非常駐型病毒非常駐型病毒可以被想成具有搜索模塊和復(fù)制模塊的程序。搜索模塊負(fù)責(zé)查找可被感染的文件,一旦搜索到該文件,搜索模塊就會啟動復(fù)制模塊進(jìn)行感染。[23]
常駐型病毒常駐型病毒包含復(fù)制模塊,其角色類似于非常駐型病毒中的復(fù)制模塊。復(fù)制模塊在常駐型病毒中不會被搜索模塊調(diào)用。病毒在被運行時會將復(fù)制模塊加載內(nèi)存,并確保當(dāng)操作系統(tǒng)運行特定動作時,該復(fù)制模塊會被調(diào)用。例如,復(fù)制模塊會在操作系統(tǒng)運行其它文件時被調(diào)用。在這個例子中,所有可以被運行的文件均會被感染。常駐型病毒有時會被區(qū)分成快速感染者和慢速感染者??焖俑腥菊邥噲D感染盡可能多的文件。例如,一個快速感染者可以感染所有被訪問到的文件。這會對殺毒軟件造成特別的問題。當(dāng)運行全系統(tǒng)防護(hù)時,殺毒軟件需要掃描所有可能會被感染的文件。如果殺毒軟件沒有察覺到內(nèi)存中有快速感染者,快速感染者可以借此搭便車,利用殺毒軟件掃描文件的同時進(jìn)行感染??焖俑腥菊咭蕾嚻淇焖俑腥镜哪芰Α5@同時會使得快速感染者容易被偵測到,這是因為其行為會使得系統(tǒng)性能降低,進(jìn)而增加被殺毒軟件偵測到的風(fēng)險。相反的,慢速感染者被設(shè)計成偶而才對目標(biāo)進(jìn)行感染,如此一來就可避免被偵測到的機(jī)會。例如,有些慢速感染者只有在其它文件被拷貝時才會進(jìn)行感染。但是慢速感染者此種試圖避免被偵測到的作法似乎并不成功。[24]
分類破壞性良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒。傳染方式
引導(dǎo)區(qū)型病毒主要通過軟盤在操作系統(tǒng)中傳播,感染引導(dǎo)區(qū),蔓延到硬盤,并能感染到硬盤中的"主引導(dǎo)記錄"。
文件型病毒是文件感染者,也稱為“寄生病毒”。它運行在計算機(jī)存儲器中,通常感染擴(kuò)展名為COM、EXE、SYS等類型的文件。
混合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特點。
宏病毒是指用BASIC語言編寫的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。
連接方式
源碼型病毒攻擊高級語言編寫的源程序,在源程序編譯之前插入其中,并隨源程序一起編譯、連接成可執(zhí)行文件。源碼型病毒較為少見,亦難以編寫。
入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序,針對性強(qiáng)。一般情況下也難以被發(fā)現(xiàn),清除起來也較困難。
操作系統(tǒng)型病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng),這類病毒的危害性也較大。
外殼型病毒通常將自身附在正常程序的開頭或結(jié)尾,相當(dāng)于給正常程序加了個外殼。大部份的文件型病毒都屬于這一類。[25]
計算機(jī)病毒種類繁多而且復(fù)雜,按照不同的方式以及計算機(jī)病毒的特點及特性,可以有多種不同的分類方法。同時,根據(jù)不同的分類方法,同一種計算機(jī)病毒也可以屬于不同的計算機(jī)病毒種類。按照計算機(jī)病毒屬性的方法進(jìn)行分類,計算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類。根據(jù)病毒存在的媒體劃分:
網(wǎng)絡(luò)病毒——通過計算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件。
文件病毒——感染計算機(jī)中的文件(如:COM,EXE,DOC等)。
引導(dǎo)型病毒——感染啟動扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR)。
還有這三種情況的混合型,例如:多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo),這樣的病毒通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng),同時使用了加密和變形算法。根據(jù)病毒傳染渠道劃分:
駐留型病毒——這種病毒感染計算機(jī)后,把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中,這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,它處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動
非駐留型病毒——這種病毒在得到機(jī)會激活時并不感染計算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。
根據(jù)破壞能力劃分:
無害型——除了傳染時減少磁盤的可用空間外,對系統(tǒng)沒有其它影響。
無危險型——這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類影響。
危險型——這類病毒在計算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯誤。
非常危險型——這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。
根據(jù)算法劃分:
伴隨型病毒——這類病毒并不改變文件本身,它們根據(jù)算法產(chǎn)生EXE文件的伴隨體,具有同樣的名字和不同的擴(kuò)展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件,當(dāng)DOS加載文件時,伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來的EXE文件。
“蠕蟲”型病毒——通過計算機(jī)網(wǎng)絡(luò)傳播,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存,計算機(jī)將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在,一般除了內(nèi)存不占用其它資源。
寄生型病毒——除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中,通過系統(tǒng)的功能進(jìn)行傳播,按其算法不同還可細(xì)分為以下幾類。練習(xí)型病毒,病毒自身包含錯誤,不能進(jìn)行很好的傳播,例如一些病毒在調(diào)試階段。詭秘型病毒,它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過設(shè)備技術(shù)和文件緩沖區(qū)等對DOS內(nèi)部進(jìn)行修改,不易看到資源,使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。變型病毒(又稱幽靈病毒),這一類病毒使用一個復(fù)雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。
命名計算機(jī)病毒命名,DOS系統(tǒng)下病毒無前綴。(一般病毒命名格式:<前綴>.<病毒名>.<后綴>)[26] 前綴含義
WMWord6.0、Word95宏病毒
WM97Word97宏病毒
XMExcel5.0、Excel95宏病毒
X97MExcel5.0和Excel97版本下發(fā)作
XFExcel程序病毒
AMAccess95宏病毒
AM97MAccess97宏病毒
W95Windows95、98病毒
WinWindows3.x病毒
W3232位病毒,感染所有32位Windows系統(tǒng)
WINT32位Windows病毒,只感染W(wǎng)indows NT
Trojan/Troj特洛伊木馬
VBSVBScript程序語言編寫的病毒
VSMVisio VBA宏或script的宏或script病毒
JSJScript編程語言編寫的病毒
PE32位尋址的Windows病毒
OSXOS X的病毒
OSXLOS X Lion或者更新版本的病毒
征兆預(yù)防
病毒征兆屏幕上出現(xiàn)不應(yīng)有的特殊字符或圖像、字符無規(guī)則變或脫落、靜止、滾動、雪花、跳動、小球亮點、莫名其妙的信息提等。發(fā)出尖叫、蜂鳴音或非正常奏樂等。經(jīng)常無故死機(jī),隨機(jī)地發(fā)生重新啟動或無法正常啟動、運行速度明顯下降、內(nèi)存空間變小、磁盤驅(qū)動器以及其他設(shè)備無緣無故地
磁碟機(jī)(2007年)變成無效設(shè)備等現(xiàn)象。磁盤標(biāo)號被自動改寫、出現(xiàn)異常文件、出現(xiàn)固定的壞扇區(qū)、可用磁盤空間變小、文件無故變大、失蹤或被改亂、可執(zhí)行文件(exe)變得無法運行等。打印異常、打印速度明顯降低、不能打印、不能打印漢字與圖形等或打印時出現(xiàn)亂碼。收到來歷不明的電子郵件、自動鏈接到陌生的網(wǎng)站、自動發(fā)送電子郵件等。[27-28]
保護(hù)預(yù)防程序或數(shù)據(jù)神秘地消失了,文件名不能辨認(rèn)等;注意對系統(tǒng)文件、可執(zhí)行文件和數(shù)據(jù)寫保護(hù);不使用來歷不明的程序或數(shù)據(jù);盡量不用軟盤進(jìn)行系統(tǒng)引導(dǎo)。不輕易打開來歷不明的電子郵件;使用新的計算機(jī)系統(tǒng)或軟件時,先殺毒后使用;備份系統(tǒng)和參數(shù),建立系統(tǒng)的應(yīng)急計劃等。安裝殺毒軟件。分類管理數(shù)據(jù)。[28-29]
免殺技術(shù)以及新特征免殺是指:對病毒的處理,使之躲過殺毒軟件查殺的一種技術(shù)。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說“病毒比殺毒軟件還新,所以殺毒軟件根本無法識別它是病毒”,但由于傳播后部分用戶中毒向殺毒軟件公司舉報的原因,就會引起安全公司的注意并將之特征碼收錄到自己的病毒庫當(dāng)中,病毒就會被殺毒軟件所識別。[30] 病毒作者可以通過對病毒進(jìn)行再次保護(hù)如使用匯編加花指令或者給文檔加殼就可以輕易躲過殺毒軟件的病毒特征碼庫而免于被殺毒軟件查殺。美國的Norton Antivirus、McAfee、PC-cillin,俄羅斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等產(chǎn)品在國際上口碑較好,但殺毒、查殼能力都有限,目前病毒庫總數(shù)量也都僅在數(shù)十萬個左右。自我更新性是近年來病毒的又一新特征。病毒可以借助于網(wǎng)絡(luò)進(jìn)行變種更新,得到最新的免殺版本的病毒并繼續(xù)在用戶感染的計算機(jī)上運行,比如熊貓燒香病毒的作者就創(chuàng)建了“病毒升級服務(wù)器”,在最勤時一天要對病毒升級8次,比有些殺毒軟件病毒庫的更新速度還快,所以就造成了殺毒軟件無法識別病毒。除了自身免殺自我更新之外,很多病毒還具有了對抗它的“天敵”殺毒軟件和防火墻產(chǎn)品反病毒軟件的全新特征,只要病毒運行后,病毒會自動破壞中毒者計算機(jī)上安裝的殺毒軟件和防火墻產(chǎn)品,如病毒自身驅(qū)動級Rootkit保護(hù)強(qiáng)制檢測并退出殺毒軟件進(jìn)程,可以過主流殺毒軟件“主動防御”和穿透軟、硬件還原的機(jī)器狗,自動修改系統(tǒng)時間導(dǎo)致一些殺毒軟件廠商的正版認(rèn)證作廢以致殺毒軟件作廢,從而病毒生存能力更加強(qiáng)大。免殺技術(shù)的泛濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種,給依賴于特征碼技術(shù)檢測的殺毒軟件帶來很大困擾。近年來,國際反病毒行業(yè)普遍開展了各種前瞻性技術(shù)研究,試圖扭轉(zhuǎn)過分依賴特征碼所產(chǎn)生的不利局面。目前比較有代表性產(chǎn)品的是基于虛擬機(jī)技術(shù)的啟發(fā)式掃描軟件,代表廠商N(yùn)OD32,Dr.Web,和基于行為分析技術(shù)的主動防御軟件,代表廠商中國的微點主動防御軟件等。[31]
看了此文電腦病毒的人還看了: