計算機病毒原理介紹
計算機病毒原理介紹
系統(tǒng)運行時, 病毒通過病毒載體即系統(tǒng)外存儲器進入系統(tǒng)內存儲器, 常駐內存該病毒系統(tǒng)內存監(jiān)視系統(tǒng)運行, 下面由學校啦小編給你做出詳細的電腦病毒原理介紹!希望對你有幫助!
電腦病毒原理介紹:
電腦病毒原理一、
病毒定義 所謂病毒就是一段代碼,其本質和大家使用的QQ、WORD什么的程序沒有區(qū)別,只不過制作者令其具有了自我復制和定時發(fā)作進行破壞功能。一般病毒都在1K到數(shù)K大小。
電腦病毒原理二、
病毒種類 我們所遇到的病毒可分引導型(感染磁盤引導區(qū))程序型(感染可執(zhí)行文件)宏病毒(感染W(wǎng)ORD文檔)等。
電腦病毒原理三、
病毒工作原理 計算機系統(tǒng)的內存是一個非常重要的資源,我們可以認為所有的工作都需要在內存中運行(相當與人的大腦),所以控制了內存就相當于控制了人的大腦,病毒一般都是通過各種方式把自己植入內存,獲取系統(tǒng)最高控制權,然后感染在內存中運行的程序。(注意,所有的程序都在內存中運行,也就是說,在感染了病毒后,你所有運行過的程序都有可能被傳染上,感染那些文件這由病毒的特性所決定)
1、程序型病毒的工作原理。 這是目前最多的一類病毒,主要感染.exe 和 .dll 等可執(zhí)行文件和動態(tài)連接庫文件,比如很多的蠕蟲病毒都是這樣。注意蠕蟲病毒不是一個病毒,而是一個種類。他的特點是針對目前INTERNET高速發(fā)展,主要在網(wǎng)絡上傳播,當他感染了一臺計算機之后,可以自動的把自己通過網(wǎng)絡發(fā)送出去,比如發(fā)送給同一居欲網(wǎng)的用戶或者自動讀取你的EMAIL列表,自動給你的朋友發(fā)EMAIL等等。感染了蠕蟲病毒的機器一秒種可能會發(fā)送幾百個包來探測起周圍的機器。會造成網(wǎng)絡資源的巨大浪費。所以這次我們殺毒主要是針對這種病毒。 那么病毒是怎么傳染的那? 切記:病毒傳染的前提就是,他必須把自己復制到內存中,硬盤中的帶毒文件如果沒有被讀入內寸,是不會傳染的,這在殺毒中非常重要。而且,計算機斷電后內存內容會丟失這我想大家都知道。 所以:病毒和殺毒軟件斗爭的焦點就在于爭奪啟動后的內存控制權。
2、程序型病毒是怎么傳播的。 病毒傳播最主要的途徑是網(wǎng)絡,還有軟盤和光盤。比如,我正在工作時,朋友拿來一個帶病毒的軟盤,比如,該病毒感染了磁盤里的A文件,我運行了一下這個A文件,病毒就被讀如內存,如果你不運行染毒文件,程序型病毒是不會感染你的機器的(不要罵,我這里說的是程序型病毒,后面我會說引導型病毒,他只要打開軟盤就會感染)當染毒文件被運行,病毒就進入內存,并獲取了內存控制權,開始感染所有之后運行的文件。比如我運行了WORD。EXE ,則該文件被感染,病毒把自己復制一份,加在WORD.EXE文件的后面,會使該文件長度增加1到幾個K。(不是所有病毒都這樣,我舉這個離子只是想介紹病毒感染過程) 好,接下來,比如說我關機了,則內存中的病毒被清除,我機子中所有的染毒文件只有WORD.exe。第二天,我又開機時,內存是干凈的。比如我需要用WORD,于是,該染毒文件中的病毒被讀如內存,繼續(xù)感染下面運行的程序,周而復始,時間越長,染毒文件越多。 到了一定時間,病毒開始發(fā)作(根據(jù)病毒作者定義的條件,有的是時間,比如CIH,有的是感染規(guī)模等等)執(zhí)行病毒作者定義的操作,比如無限復制,占用系統(tǒng)資源、刪除文件、將自己向網(wǎng)絡傳播甚至格式化磁盤等等。 但是,無論如何,病毒只不過是一段代碼,他不可能破壞硬件(歡迎和我討論),就算是CIH也不是破壞硬件,他只是改寫了BIOS中的數(shù)據(jù),實際上還是軟破壞。什么叫破壞硬件?就是病毒發(fā)作時,你的硬盤啪的一下裂成兩半,可能嗎? 所以,完全不必懼怕病毒,他不會讓我門受到太大的經濟損失,如果我們養(yǎng)成良好的工作習慣的話(比如自己的文檔不要保存在C盤等,后面我會細說)
3、引導型病毒的工作原理 看了前面的病毒傳染過程,大家很容易想到,只要我啟動計算機后不運行染毒程序,直接刪除不就可以了。實際上,現(xiàn)在的病毒沒有那么弱智的,下面我門來看看其他的幾種傳染機制,首先看看引導型病毒 剛才說了,病毒必須進入內存才可以繼續(xù)感染,只有被運行他才可以進入內存,那么與等用戶來運行,如果用戶長期不用這個染度文件,豈不是等的花而也謝了。引導型病毒感染的不是文件,而是磁盤引導區(qū),他把自己寫入引導區(qū),這樣,只要磁盤被讀寫,病毒就首先被讀取入內存。這就是為什么殺毒要用干凈的啟動盤啟動,為的就是防止引導型病毒。下面我詳細的談一下磁盤引導區(qū),看不懂的可以跳過去。
4、引導型病毒是如何傳播的 在計算機啟動時,必須讀取硬盤主引導區(qū)獲得分區(qū)信息,再讀取C:盤引導區(qū)獲取操作系統(tǒng)信息,這時候任何殺毒軟件都無法控制,這樣我先介紹一下計算機的啟動順序,大家只要記住一點就是:任何程序都要被讀入內存才會起作用。 計算機加電后,內存是空的,首先從BIOS中讀取一些啟動參數(shù)到內存中,這些命令控制計算機去做下一步工作就是自檢。(BIOS就是固化在ROM中的基本輸入輸出系統(tǒng)的意思,ROM是只讀存儲器,因為計算機是一個機電設備,他不會自己干什么事情,必須由軟件,也就是人事先寫好的程序來控制他工作,而這些程序必須被讀入內存才可以控制計算機,哈哈越扯越遠了,不說了,在將就變成計算機基礎講座了,哈哈) 接下來,計算機自檢,發(fā)現(xiàn)硬盤,讀取硬盤主引導程序到內存中,再讀取C盤的引導程序到內存中,再讀取操作系統(tǒng)文件到內存中,然后開始由操作系統(tǒng)文件控制計算機開始啟動。啟動完畢后,讀入各種自動運行的文件,比如天網(wǎng)放火墻、QQ、病毒監(jiān)測軟件、等等, 前面說過,誰先進入內存,誰先占據(jù)系統(tǒng)控制權,從上面的啟動順序可以發(fā)現(xiàn),如果病毒在引導區(qū),那么,他被讀入內存的時候,殺毒軟件還不知道在那里呢。 舉個離子:比如我拿了一張染有引導型病毒的軟盤用,當我雙擊A盤圖標后,計算機開始讀軟盤,首先讀入軟盤引導區(qū),病毒隨之進入內存,并立即把自己寫入硬盤引導區(qū)(如果開了病毒檢測,則時可以檢測到并殺之)。如果沒有裝殺毒軟件,檢測布道,則下次開機時,計算機自檢之后,讀硬盤引導區(qū)時就會同時讀入病毒,接下來,病毒獲得系統(tǒng)控制權,改寫操作系統(tǒng)文件,隱藏自己,然后計算機繼續(xù)啟動進入WIN200桌面,然后病毒檢測才開始運行,病毒完全可能已經把自己偽裝起來,讓殺毒軟件找不到。 所以這中病毒一定要用啟動盤啟動后,再殺,就是為了跳過讀硬盤引導區(qū)那一段。在后面我會纖細介紹。
5、病毒如何自動把自身裝入內存。 剛才介紹了現(xiàn)在的病毒不會等待用戶去運行染毒文件才進駐內存,他們都有自己的辦法運行自己,進駐內存,但是有一個共同的特征就是,他必須把自己放在合適的位置,讓系統(tǒng)在啟動的某個階段自動去調用他。因為計算機剛剛加電的時候,系統(tǒng)控制權是在BIOS手里的(因為他最早裝入內存),而BIOS是保存在只讀的ROM中的,所以這時,系統(tǒng)是無毒的,所以引導型病毒要做的就是在BIOS向操作系統(tǒng)交權之前也就是讀取啟動盤時截取之。 那么程序型病毒怎么把自身裝如內存呢?他沒有截取控制權的這個能力,BIOS會順利的把控制權交給操作系統(tǒng),這時,用戶看到的就是開始啟動WIN200,由于操作系統(tǒng)在啟動時會讀取大量的動態(tài)聯(lián)結庫文件,病毒就可以把自己放在一個合適的位置上,然后告訴WIN2000啟動時把自己讀如內存,這一步很好實現(xiàn),比如大家都知道,QQ啟動時會被自動運行,實際上,程序型病毒自動運行自己的辦法和QQ從本質上是相同的。就是讓系統(tǒng)在啟動的某個階段自動去調用而已。 下面先介紹蠕蟲病毒,用他攜帶的木馬程序的自動運行方式來介紹一下這個過程。
電腦病毒原理四、
關于蠕蟲病毒 我們學校網(wǎng)絡中最多的就是蠕蟲病毒,所以我要單獨的說一下。 蠕蟲病毒是在INTERNET高速發(fā)展后出現(xiàn)的病毒,他具有了一些新特性。大部分的蠕蟲病毒是程序型的,不會感染引導區(qū),他們一般通過郵件傳播(注意,不是唯一的傳播方式,所有傳統(tǒng)的傳播方式都會傳播之,并且許多蠕蟲病毒會自己搜索網(wǎng)絡上沒有感染的機器并感染之,他實際上是一個寫的很好的以太網(wǎng)傳輸狀態(tài)的檢測工具^_^),并且大多攜帶木馬程序,具有根據(jù)微軟服務軟件的漏洞來入侵計算機的攻擊能力,大部分蠕蟲病毒并不破壞計算機里的信息,只是瘋狂的去感染其他的計算機。感染了蠕蟲病毒的計算機會不停的向外發(fā)送信息包,占用CPU可在80%以上,造成本機運行極其緩慢,網(wǎng)絡擁塞,甚至可以導致網(wǎng)絡癱瘓。 一般蠕蟲病毒會攜帶木馬程序,安裝在系統(tǒng)目錄中,那么他是怎么自動運行的那,等一會我通過一個例子來介紹。
電腦病毒原理五、
什么是木馬 在我校很多機器中都有木馬軟件。 木馬就是遠程控制軟件的一種,也稱為后門軟件,其作用就是利用操作系統(tǒng)的漏洞或者使用者的疏忽來進入系統(tǒng)并在遠程控制下從系統(tǒng)內部攻擊系統(tǒng)。因特洛伊木馬病毒是一種比較早期的成功的此種軟件,且有古代戰(zhàn)爭典故,想必大家都知道。所以,后來多稱此種帶有攻擊性質的遠程控制軟件為木馬 而其他的一些不帶攻擊性質的遠程控制軟件其實原理都是一樣的,比如, 塞門鐵客(英文不會寫)的大名鼎鼎的PCANYWHERE就是一個很成功的遠程控制軟件 木馬可以被殺毒軟件查殺,所以,這里也把他作為病毒來處理。
電腦病毒原理六、
殺毒軟件為什么能殺毒
1、 為什么殺毒軟件必須不停的升級 病毒就是一段代碼,用一些語言寫出來,比如匯編等。沒種病毒都會有一些特征,叫做病毒特征碼,實際上就是病毒代碼中的一段讀一無二的字符。舉個容易理解的例子(實際上不是這樣):比如有個病毒發(fā)作后會格式化C:盤,那么病毒代碼中就會有這么一句命令:FORMAT C:/U (實際上病毒不會去用DOS命令的,那太高級了,他會直接調用13號中斷寫硬盤,所以這里只是一個例子),那么就可以用FORMAT C: /U這樣一個字符串作為這個病毒的特征代碼,殺毒時,把所有的文件打開,從頭到尾的搜索,如果找到著段代碼,就報告發(fā)現(xiàn)病毒,然后清除之。 從我描述的這個過程大家就可以明白,為什么殺毒軟件必須不停的升級,因為,只有一種病毒被發(fā)現(xiàn)后,他的特征代碼才能被找到,才能被殺毒軟件識別。
2、 一個病毒從制作、傳播到被殺死過程的例子: 某個軟件天才某天心情好,寫了一個病毒,然后開始通過網(wǎng)絡傳播,然后大批的機器被感染,然后用戶向殺毒軟件公司抱怨有病毒殺不了,(其實大部分是殺毒軟件公司的工作人員更早發(fā)現(xiàn)該病毒),然后,軟件公司得到病毒樣本,開始分析樣本,找到病毒特征碼,然后更新其病毒庫,令其在殺毒時也查找這種病毒碼,然后通知用戶,請他們升級其購買的軟件。然后用戶升級,再殺毒,結果,該病毒被殺死,同時新的病毒被發(fā)現(xiàn),周而復始。 所以,殺毒軟件永遠跟在病毒的后面這是毫無疑問的。從我的敘述中大家可以發(fā)現(xiàn),實際上,如果一種病毒被發(fā)現(xiàn),幾乎所有的公司都會得到他的樣本并分析出他的特征碼,然后另其自己的殺毒軟件可以殺死該毒,那么,各種殺毒軟件的優(yōu)劣從何而來呢?
3、 什么殺毒軟件好? 其實,大家都有一樣的病毒庫,但是,在我剛才描述的查毒過程中,大家不知道有沒有注意到,實際上他是等于在磁盤的所有文件中尋找某段特征代碼,如果你的硬盤有20G的數(shù)據(jù),他就要把這20G的數(shù)據(jù)過濾一遍,逐個字符來對比,其速度我不說你們也能想到。更要命的是一般的病毒庫都裝了幾萬中病毒代碼,哈哈,這么查上幾萬遍,查下來,估計你也從我們學校畢業(yè)了。所以實際上各個公司都有自己的殺毒引擎,實際上這才是核心技術,他使用的獨特的算法高速檢查,但就算這樣,查一遍下來至少也要幾個小時。所以,為了提高殺毒效率,可以令殺毒程序只檢查一些可能被感染的文件,比如。EXE 。DLL等,象。BMP 。MPG就不會被檢查,這樣,時間就縮短了很多,然后,他們可以只檢查每個。EXE文件的文件頭,從這里可以發(fā)現(xiàn)病毒修改的蛛絲馬跡。然后,他們開始把一些不常見的病毒排除出病毒庫之外,只檢查一些常見的病毒,就是所謂的快速殺毒。這是為什么不同軟件查出不同病毒的原因之一,再下來,也是最關鍵的一點,就是殺毒軟件根據(jù)病毒代碼判斷病毒是完全有可能發(fā)生誤判,錯判的,提高判斷的準確性必須以犧牲查毒時間為代價。所以,不同公司的殺毒引擎提供不同的判斷方法,導致了可能有的軟件查不出來的毒別的軟件可以查出。 所以,所有的殺毒軟件都包括兩個主要的部分,一是殺毒引擎,另一個是病毒數(shù)據(jù)庫。病毒數(shù)據(jù)庫必須不停的更新,就我校的情況我個人推薦半個月更新一次。 我認為,各種殺毒軟件其實功能相差不多,主要是看哪個可以迅速更新,再好的殺毒軟件不跟新等于沒有。
看了“計算機病毒原理介紹”文章的還看了: