电脑病毒解说
电脑病毒影响着大部分的电脑用户,你是不是其中的一个呢,你了解电脑病毒吗!下面由小编给你做出详细的介绍!希望对你有帮助!
电脑病毒:
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
中文名计算机病毒外文名Computer Virus诞生年代20世纪危害最大CIH[1] 目录1 定义2 发展▪ 科幻小说▪ 病毒程序3 特征4 原理5 感染策略▪ 非常驻型病毒▪ 常驻型病毒6 分类7 命名8 征兆预防▪ 病毒征兆▪ 保护预防9 免杀技术以及新特征定义计算机病毒(Computer Virus)在
熊猫烧香病毒(尼姆亚病毒变种)《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。[3] 计算机病毒与医学上的“病毒”不同,计算机病毒不是天然存在的,是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质(或程序)里,条件满足时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大。[4-6]
发展第一份关于计算机病毒理论的学术工作( "病毒" 一词当时并未使用)于 1949 年由约翰·冯·诺伊曼完成。以 "Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲,后改以 "Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。1980 年,Jürgen Kraus 于多特蒙德大学撰写他的学位论文 "Self-reproduction of programs"。论文中假设计算机程序可以表现出如同病毒般的行为。“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》。[7] 1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。1986年年初,巴基斯坦兄弟编写了“大脑(Brain)”病毒,又被称为“巴基斯坦”病毒。1987年,第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)编写。计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。1988年在财政部的计算机上发现的,中国最早的计算机病毒。1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。1990年,发展为复合型病毒,可感染COM和EXE文件。1992年,利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒。1995年,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器” ,幽灵病毒流行中国。[8] 典型病毒代表是“病毒制造机” “VCL”。1998年台湾大同工学院学生刘盈豪编制了CIH病毒。2000年最具破坏力的10种病毒分别是:Kakworm,爱虫, Apology-B, Marker , Pretty ,Stages-A,Navidad,Ska-Happy99 ,WM97/Thus ,XM97/Jin。[9] 2003年,中国大陆地区发作最多的十个病毒,分别是:红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。[1] 2005年,1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、QQ、网游)为主,病毒多达2000多种。[11] 2007年1月,病毒累计感染了中国80%的用户,其中78%以上的病毒为木马、后门病毒。[12] 熊猫烧香肆虐全球。[13] 2010年,越南全国计算机数量已500万台,其中93%受过病毒感染,感染电脑病毒共损失59000万亿越南盾。[6]
科幻小说而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;另一部是约翰·布鲁勒尔(John Brunner)1975年的小说《震荡波骑士(ShakewaveRider)》,描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。[15]
病毒程序1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。[16]
特征繁殖性计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。破坏性计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS,硬件环境破坏。传染性计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。潜伏性计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作, 会使电脑变慢。隐蔽性计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。可触发性编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏。[17-18] [19]
原理病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存, 并设置触发条件,触发的条件是多样化的, 可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。[20-21]
感染策略为了能够复制其自身,病毒必须能够运行代码并能够对内存运行写操作。基于这个原因,许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件,那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染,之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的,一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。[22]
非常驻型病毒非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的文件,一旦搜索到该文件,搜索模块就会启动复制模块进行感染。[23]
常驻型病毒常驻型病毒包含复制模块,其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存,并确保当操作系统运行特定动作时,该复制模块会被调用。例如,复制模块会在操作系统运行其它文件时被调用。在这个例子中,所有可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如,一个快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成特别的问题。当运行全系统防护时,杀毒软件需要扫描所有可能会被感染的文件。如果杀毒软件没有察觉到内存中有快速感染者,快速感染者可以借此搭便车,利用杀毒软件扫描文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到,这是因为其行为会使得系统性能降低,进而增加被杀毒软件侦测到的风险。相反的,慢速感染者被设计成偶而才对目标进行感染,如此一来就可避免被侦测到的机会。例如,有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。[24]
分类破坏性良性病毒、恶性病毒、极恶性病毒、灾难性病毒。传染方式
引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的"主引导记录"。
文件型病毒是文件感染者,也称为“寄生病毒”。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。
混合型病毒具有引导区型病毒和文件型病毒两者的特点。
宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。
连接方式
源码型病毒攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。
入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。
操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。
外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。[25]
计算机病毒种类繁多而且复杂,按照不同的方式以及计算机病毒的特点及特性,可以有多种不同的分类方法。同时,根据不同的分类方法,同一种计算机病毒也可以属于不同的计算机病毒种类。按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类。根据病毒存在的媒体划分:
网络病毒——通过计算机网络传播感染网络中的可执行文件。
文件病毒——感染计算机中的文件(如:COM,EXE,DOC等)。
引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。
还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。根据病毒传染渠道划分:
驻留型病毒——这种病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动
非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
根据破坏能力划分:
无害型——除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。
危险型——这类病毒在计算机系统操作中造成严重的错误。
非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
根据算法划分:
伴随型病毒——这类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒——通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算机将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒——除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同还可细分为以下几类。练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。诡秘型病毒,它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等对DOS内部进行修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
命名计算机病毒命名,DOS系统下病毒无前缀。(一般病毒命名格式:<前缀>.<病毒名>.<后缀>)[26] 前缀含义
WMWord6.0、Word95宏病毒
WM97Word97宏病毒
XMExcel5.0、Excel95宏病毒
X97MExcel5.0和Excel97版本下发作
XFExcel程序病毒
AMAccess95宏病毒
AM97MAccess97宏病毒
W95Windows95、98病毒
WinWindows3.x病毒
W3232位病毒,感染所有32位Windows系统
WINT32位Windows病毒,只感染Windows NT
Trojan/Troj特洛伊木马
VBSVBScript程序语言编写的病毒
VSMVisio VBA宏或script的宏或script病毒
JSJScript编程语言编写的病毒
PE32位寻址的Windows病毒
OSXOS X的病毒
OSXLOS X Lion或者更新版本的病毒
征兆预防
病毒征兆屏幕上出现不应有的特殊字符或图像、字符无规则变或脱落、静止、滚动、雪花、跳动、小球亮点、莫名其妙的信息提等。发出尖叫、蜂鸣音或非正常奏乐等。经常无故死机,随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器以及其他设备无缘无故地
磁碟机(2007年)变成无效设备等现象。磁盘标号被自动改写、出现异常文件、出现固定的坏扇区、可用磁盘空间变小、文件无故变大、失踪或被改乱、可执行文件(exe)变得无法运行等。打印异常、打印速度明显降低、不能打印、不能打印汉字与图形等或打印时出现乱码。收到来历不明的电子邮件、自动链接到陌生的网站、自动发送电子邮件等。[27-28]
保护预防程序或数据神秘地消失了,文件名不能辨认等;注意对系统文件、可执行文件和数据写保护;不使用来历不明的程序或数据;尽量不用软盘进行系统引导。不轻易打开来历不明的电子邮件;使用新的计算机系统或软件时,先杀毒后使用;备份系统和参数,建立系统的应急计划等。安装杀毒软件。分类管理数据。[28-29]
免杀技术以及新特征免杀是指:对病毒的处理,使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前,本身就是免杀的,甚至可以说“病毒比杀毒软件还新,所以杀毒软件根本无法识别它是病毒”,但由于传播后部分用户中毒向杀毒软件公司举报的原因,就会引起安全公司的注意并将之特征码收录到自己的病毒库当中,病毒就会被杀毒软件所识别。[30] 病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。美国的Norton Antivirus、McAfee、PC-cillin,俄罗斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等产品在国际上口碑较好,但杀毒、查壳能力都有限,目前病毒库总数量也都仅在数十万个左右。自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新,得到最新的免杀版本的病毒并继续在用户感染的计算机上运行,比如熊猫烧香病毒的作者就创建了“病毒升级服务器”,在最勤时一天要对病毒升级8次,比有些杀毒软件病毒库的更新速度还快,所以就造成了杀毒软件无法识别病毒。除了自身免杀自我更新之外,很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征,只要病毒运行后,病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程,可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗,自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废,从而病毒生存能力更加强大。免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种,给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件,代表厂商NOD32,Dr.Web,和基于行为分析技术的主动防御软件,代表厂商中国的微点主动防御软件等。[31]