搜索
第5章计算机病毒概述在生物学中,病毒是那些能够侵入动物体并给动物体带来疾病的一种微生物。计算机病毒则是在计算机之间传输,并自己进行复制而给计算机系统带来一定后果的一类程序。计算机病毒是随着计算机软件技术的发展而逐渐产生的,是计算机科学技术高度发展与计算机文明得不到完善这样一种不平衡发展的结果。5.1计算机病毒的发生和发展5.1.1计算机病毒的起源在1977年夏季Tkomas.J.Ryan推出了轰动一时的科幻小说,名叫《TheAdolescenceofP-1》。在这本书中,作者构造了一种神秘的、能自我复制、利用信息通道传播的计算机程序,称为计算机病毒。这些病毒飘泊于电脑之内,游荡于硅片之间,控制了7000多台计算机的操作系统,引起混乱和不安。从科幻到大规模泛滥仅用了十多年时间,故有人认为计算机病毒起源于科幻小说。作为计算机病毒起源的另一种说法是恶作剧说。即一些人为了显示自己的计算机知识方面的天资,或出于报复心理,编写了恶作剧程序,并通过软盘交换特别是游戏盘的交换,引起计算机病毒的广泛传染软件制造商制造病毒程序计算机病毒的产生是一个历史问题,它是计算机科学技术高度发展与计算机文明得不到完善这样一种不平衡发展的结果。5.1.2计算机病毒的发展历史1977年,在科幻小说中提出了计算机病毒,1983年,美国计算机安全专家FredCohen通过实验证明了产生计算机病毒的现实性,制造了世界上第一例计算机病毒。并在1984年9月的加拿大多伦多国际信息处理联合会计算机安全技术委员会举行的年会上,发表了题为“计算机病毒:原理和实验”的论文。其后,又发表了“计算机和安全”等论文。1987年年初,美国东部一所医疗中心存储在计算机系统中的一些病历突然消失,经查是计算机病毒在作怪。这年的12月下旬圣诞节前夕,计算机病毒侵袭了IBM公司的国际电子信息网,向每个曾使用过该信息网的用户发出了相同的贺信,大量连锁信件使得该网络因不堪重负而瘫痪,这就是IBM圣诞树病毒。1988年11月2日的蠕虫病毒攻击Internet则把早期计算机病毒推向了高潮。一夜之间造成与该网络系统连接的6000多台计算机停机,其中包括美国国家航空和航天局、军事基地和主要大学,直接经济损失达9200多万美元。早期的计算机病毒有感染引导区和文件两类。直接修改部分中断向量表,而且不隐藏不加密自身代码,因此很容易被查出和解除。其代表是:感染引导区的Stone病毒、小球病毒和磁盘杀手等,感染文件的耶路撒冷病毒、维也纳病毒和扬基病毒等。其中扬基病毒略有对抗反病毒手段此后一些能对自身进行简单加密的病毒相继出现,其代表是1366、1824、1741等。DIR-2病毒的出现则改变了修改中断向量表方法,并且也改变了传染文件的病毒通常把病毒程序体直接链接在文件处的方法新世纪病毒类型的计算机病毒的出现,则标志着传染引导区和文件的双料病毒的产生。以CIH病毒为代表的纯32位Win95、Win98计算机病毒的出现,标志着以DOS系统攻击对象的计算机病毒将逐渐让位于针对Windows的病毒。数千种Word宏病毒的出现,则形成了计算机病毒的另一派系,由于宏病毒编写容易,互联网上又较多采用Word格式进行交流,从而通过互联网传播更加快了这类病毒的流传。变换自身代码的变形病毒也连续出现,使得一些病毒扫描软件时常漏查漏杀,象“台湾2号变形王”其病毒代码可变无限次,并且变形复杂,几乎达到了不可解除的状态。MutationEngine(变形金刚或称变形病毒生产机)遇到普通病毒后能将其改造成为变形病毒,给清除计算机病毒带来极大困难。红色代码病毒的出现,标志着病毒与黑客程序的结合。冲击波病毒的肆逆提醒我们时刻警惕病毒的危害,同时对软件系统漏洞存在的担忧美国《连线》杂志2011年10月7日在其网站首次曝光克里奇空军基地大约两周前发现遭电脑病毒入侵的消息,当后方控制人员在计算机系统平台操控无人机在阿富汗、伊拉克等地执行远程飞行任务时,这种植入式病毒可记录下控制人员的每一次按键操作,类似木马行为。现阶段尚未发现信息丢失或泄露事件。病毒本身无碍控制人员操控无人机执行海外任务。迄今无法确认这一病毒是否属恶意病毒。病毒如何入侵基地计算机系统也仍未知。控制系统没有接入互联网,但独立系统并不意味着平台的绝对安全。2009年,伊拉克武装人员借助一款廉价软件成功入侵无人机图像系统,获取无人机拍摄的动态画面。控制系统的后台独立,但前端却有许多开放式端口,使病从“口”入成为可能。控制系统可能遭“流氓程序”攻击。因为克里奇空军基地借助移动存储设备在电脑间传输信息,这种信息传输方式在美军基地的计算机系统中已不多见。移动存储设备是病毒感染和传播的载体。计算机病毒在抗病毒技术发展的同时,自己也在不断发展,编制者手段越来越高明,病毒结构也越来越特别,抗击病毒有待于我们的研究和开发。5.2计算机病毒的定义计算机病毒实质上是指一段程序,它们通过把自己的一个副本附加到另一个程序上面进行复制。它们不仅出现在可执行程序中,也可通过嵌套在数据文件中进行扩散。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。5.2.2计算机病毒的特点计算机病毒一般具有如下重要特点:一段可存储可执行的非法程序。直接或间接地运行,与合法程序争夺系统的控制权。隐藏在可执行程序和数据文件中不易被人们察觉和发现有广泛的传染性。传染性是计算机病毒的特征。不具传染性的破坏程序不是计算机病毒。一个计算机病毒能够主动将自身的复制品或变体传染到其他对象上去,程序,系统中的某些部位启动带毒系统或运行带毒程序,掌握系统控制权,传染到整个系统或硬盘上。传染局部网络、大型计算机中心或多用户系统。计算机病毒的特点具有潜伏性。依附于其他媒体而寄生。可以在几周或者几个月甚至几年内隐藏在合法文件中。具有隐蔽性非授权加载到被感染对象在进入系统并破坏数据的过程中通常不被用户感觉到,而等到有明显变化时,往往计算机病毒已造成危害。对系统危害大,有时难以清除。破坏系统,删除、修改数据,还占用系统资源、干扰机器运行。所破坏的数据、程序和操作系统往往难以恢复。病毒有时不易清除。计算机病毒的特点具有欺骗性,某些病毒常以某种特殊的表现方式,引诱欺骗用户触发、激活病毒。从而实施其感染、破坏功能。有的病毒伪装成文件夹图标,或者图片图标由于是可执行文件,当然不会轻易双击,但如果病毒具有把扩展名隐蔽起来功能,则会使用户上当。计算机病毒的特点甚至还有冒充清除病毒,善意提醒的。如情书病毒的变种VBS.LoveLettrr.F,传播该病毒的电子邮件附件名为”VirusWarming.jpg.vbs”,主题为“dangerousviruswarning”,其内容是“Thereisadangerousviruscirculating.Pleaseclickattachedpicturetoviewitandlearntoavoidit引诱用户点击实际上是VBS脚本而非JPG图片的程序。5.3计算机病毒的分类计算机病毒的分类取决于所采用的分类标准。按给计算机系统带来后果的不同来划分,恶性病毒和“良性”病毒。恶性病毒是指那些一旦发作或在传染过程中会破坏系统数据,删除文件,摧毁计算机系统的危害性极大的计算机病毒。黑色星期五病毒,每逢星期五又是13日,就会删除磁盘上和系统中所有正在执行的文件磁盘杀手病毒在发作时,会把硬盘上的数据一块块破坏,直至全部破坏为止。“良性”病毒是指那些只是为了表现自己,并不破坏系统和数据的计算机病毒会大量占用CPU资源,增加系统开销,降低系统工作效率。如1575病毒,它常驻内存,感染COM文件和EXE文件。该病毒发作时,就会在屏幕上显示“绿毛虫”的信息,并不破坏系统和文件。“良性”病毒并非没有危害,它们会大量占用CPU资源,增加系统开销,降低系统工作效率1575病毒在发作时,就会影响程序的正常执行,只是危害性相对于恶性病毒来讲要小。但在用户缺乏对病毒和系统的了解情况下,也会产生较大的破坏性。“良性”病毒必然会降低系统运行速度,“良性”只是一个相对的概念,它也是对计算机系统的非授权入侵,是对系统正常工作的一种干扰和破坏。决不能对所谓的“良性”病毒掉以轻心,更不能出于恶作剧的想法去制造病毒。另一种划分方法:按病毒的寄生和传染方式来划分,文件型病毒和系统引导型病毒以及混合型病毒。文件型病毒:专门感染可执行文件(以EXE和COM为主)的计算机病毒。病毒与可执行文件链接。运行被感染的文件,病毒获得系统控制权,驻留内存监视系统的运行,寻找满足传染条件的宿主程序进行传染。黑色星期五病毒,DIR-2病毒,瀑布病毒和维也纳病毒就是常见的文件型病毒。文件型病毒的症状是染毒的可执行文件字节明显增大,系统可用空间减少,显示非法信息以及覆盖重要文件,造成系统死机等。一些文件型病毒如DIR-2病毒并不会使感染病毒的程序字节增加。感染带有宏能力的数据文件的计算机宏病毒则是一代新的文件型病毒。系统引导型病毒是常驻计算机引导区,通过改变计算机引导区的正常分区来达到破坏目的的。磁盘格式化后,会在引导扇区建立操作系统的引导记录。硬盘,则有两个引导区,一个是主引导区,另一个是DOS引导区又称逻辑引导区;软盘,只有一个引导区。引导区内所存储的内容应该是正常的引导记录。系统引导型病毒用病毒程序的全部或部分来取代正常的引导记录,把正常的引导记录隐藏在磁盘的其它存储空间中。磁盘的引导区是磁盘正常工作的先决条件,系统引导型病毒在系统启动时,就获得了控制权,从而使得这类病毒具有很大的传染性和危害性。在防治计算机病毒技术提高的同时,病毒程序制造者的手段也越来越高,有些计算机病毒既感染引导区又感染可执行文件,即出现了所谓混合性病毒,新世纪病毒能传染硬盘的主引导扇区和所有在系统中执行的文件。5.4计算机病毒命名规则按照病毒发作时间命名,如黑色星期五病毒,米氏病毒,米开朗基罗的生日3月6日发作;按照病毒发作症状命名,如小球病毒,发作时在屏幕上出现小球而不断运动,杨基病毒发作时奏“YankeeDodle”的美国民歌;按照病毒字节长度命名:如幽灵病毒因为病毒代码长度为3544,故又成为3544病毒。国际上,科学的命名方式是三元组命名规则:病毒前縀.病毒名.病毒后縀。病毒前縀是指病毒的种类,区别病毒的种族进行分类;木马病毒的前縀Trojan,蠕虫病毒的前縀是Worm等等。病毒名是指病毒的家族特征,区别和标识病毒家族的,如CIH病毒的家族名都是统一的“CIH”,振荡波蠕虫病毒的家族名是“Sasser”。病毒后縀是指病毒的变种特征,区别具体某个家族病毒的某个变种的。一般采用英文中的26个字母来表示,如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B;如果该病毒变种非常多,可以采用数字与字母混合表示变种标识。一个病毒的前縀对于快速判断该病毒属于哪种类型的病毒有非常大的帮助。通过判断病毒类型,对病毒有大概的评估通过病毒名可查找资料等方式进一步了解该病毒的详细特征。病毒后縀能知道现在的病毒是哪个变种。1、系统病毒系统病毒的前縀为:Win32、PE、Win95、W32、W2K等。公有特性是可以感染windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前縀是:Worm。公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。3、木马病毒木马病毒前縀是:Trojan,黑客病毒前縀名一般为Hack。一般的木马如QQ消息尾巴木马Trojan.QQ3344,还有针对网络游戏的木马病毒如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之类的一般表示这个病毒有盗取密码的功能黑客病毒网络