搜索
计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大!1·简介繁殖性破坏性传染性潜伏性隐蔽性可触发性2·特点原理病毒依附存储介质软盘、硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存,并设置触发条件,触发的条件是多样化的,可以是时钟,系统的日期,用户标识符,也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中,进行各种破坏活动等。病毒的传染是病毒性能的一个重要标志。在传染环节中,病毒复制一个自身副本到传染对象中去。分类破坏性良性病毒、恶性病毒、极恶性病毒、灾难性病毒。传染方式1·引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的主引导记录。2·文件型病毒是文件感染者,也称为“寄生病毒”。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。3·混合型病毒具有引导区型病毒和文件型病毒两者的特点。宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。4·宏病毒影响对文档的各种操作根据病毒存在的媒体划分:1·网络病毒——通过计算机网络传播感染网络中的可执行文件。2·文件病毒——感染计算机中的文件(如:COM,EXE,DOC等)。3·引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。3·原理及分类早在1949年,距离第一部商用电脑的出现还有好几年时,电脑先驱者德国科学家冯·诺伊曼(JohnVonNeumann)在他所提出的一篇论文《复杂自动装置的理论及组织的进行》中,就已把病毒程式的蓝图勾勒出来了,当时绝大部份的电脑专家都无法想像这种会自我繁殖的程式是可能的。只有少数几个科学家默默地研究冯·诺伊曼所提出的概念。直到十年后,在美国电话电报公司(AT&T)的贝尔(Bell)实验室中,三个年轻的程序员道格拉斯·麦基尔罗伊(H,DouglasMcIlroy)、维克多·维索特斯克(VictorVysottsky)以及罗伯特.莫里斯(RobertT.Morris),当时三人年纪都只有二十多岁,常在工作后留在实验室里玩起他们自己创造的电子游戏,这种电子游戏叫做“核心大战(corewar)”。附注:RobertT.Morris就是后来写了一个Worm病毒把Internet搞的天翻地覆的那个RobertT.MorrisJr.的爸爸,当时大Morris刚好是负责Arpanet网路安全。3·电脑病毒的老祖宗--核心大战(corewar)4·核心大战的产物--几种早期病毒爬行者的程序(Creeper)每一次把它读出时,它便自己复制一个副本。此外,它也会从一部电脑“爬”到另一部与其连网的电脑。很快地电脑中原有资料便被这些爬行者挤掉了。爬行者的唯一生存目地是繁殖。侏儒(Dwarf)它在内存系统中迈进,每到第五个地址(address)便把那里所储存的东西变为零,使得原来的正常程序停止。印普(Imp)它只有一行指令,那就是MOV01.MOV代表“MOVE”即移动的意思。它把身处的地址中所载的“0”写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为“MOV01”。换句话说,屏光幕上留下一大堆“MOV01”。双子星(Germini)它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉“正本”。第一份关于计算机病毒理论的学术工作(病毒一词当时并未使用)于1949年由约翰·冯·诺伊曼完成。以TheoryandOrganizationofComplicatedAutomata为题的一场在伊利诺伊大学的演讲,后改以Theoryofself-reproducingautomata为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。1980年,JürgenKraus于多特蒙德大学撰写他的学位论文Self-reproductionofprograms。论文中假设计算机程序可以表现出如同病毒般的行为。“病毒”一词最早用来表达此意是在弗雷德·科恩(FredCohen)1984年的论文《电脑病毒实验》。[8]1983年11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。1986年年初,巴基斯坦兄弟编写了“大脑(Brain)”病毒,又被称为“巴基斯坦”病毒。1987年,第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)编写。计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。1988年在财政部的计算机上发现的,中国最早的计算机病毒。1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。1990年,发展为复合型病毒,可感染COM和EXE文件。1992年,利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒。1995年,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,幽灵病毒流行中国。[9]典型病毒代表是“病毒制造机”“VCL”。1998年台湾大同工学院学生刘盈豪编制了CIH病毒。2000年最具破坏力的10种病毒分别是:Kakworm,爱虫,Apology-B,Marker,Pretty,Stages-A,Navidad,Ska-Happy99,WM97/Thus,XM97/Jin。[10]2003年,中国大陆地区发作最多的十个病毒,分别是:红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。[2][11]2005年,1月到10月,金山反病毒监测中心共截获或监测到的病毒达到50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、QQ、网游)为主,病毒多达2000多种。[12]2007年1月,病毒累计感染了中国80%的用户,其中78%以上的病毒为木马、后门病毒。[13]熊猫烧香肆虐全球。[14]2010年,越南全国计算机数量已500万台,其中93%受过病毒感染,感染电脑病毒共损失59000万亿越南盾。[15][7]计算机病毒的发展概括1.第一代病毒第一代病毒的产生年限可以认为在1986-1989年之间,这一期间出现的病毒可以称之为传统的病毒,是计算机病毒的萌芽和滋生时期。由于当时计算机的应用软件少,而且大多是单机运行环境,因此病毒没有大量流行,流行病毒的种类也很有限,病毒的清除工作相对来说较容易。这一阶段的计算机病毒具有如下的一些特点:(1)病毒攻击的目标比较单一,或者是传染磁盘引导扇区,或者是传染可执行文件。(2)病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染。(3)病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可执行文件的长度增加、文件建立日期、时间发生变化,等等。这些特征容易被人工或查毒软件所发现。(4)病毒程序不具有自我保护的措施,容易被人们分析和解剖,从而使得人们容易编制相应的消毒软件。然而随着计算机反病毒技术的提高和反病毒产品的不断涌现,病毒编制者也在不断地总结自己的编程技巧和经验,千方百计地逃避反病毒产品的分析、检测和解毒,从而出现了第二代计算机病毒。计算机病毒发展阶段(一)2.第二代病毒第二二代病毒又称为混合型病毒(又有人称之为“超级病毒”),其产生的年限可以认为在1989-1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段。计算机局域网开始应用与普及,许多单机应用软件开始转向网络环境,应用软件更加成熟,由于网络系统尚未有安全防护的意识,缺乏在网络环境下病毒防御的思想准备与方法对策,给计算机病毒带来了第一次流行高峰。这一阶段的计算机病毒具有如下特点:(1)病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传染可执行文件。(2)病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和传染目标。(3)病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被传染文件原来的建立日期和时间,等等。(4)病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度。(5)出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大。总之,这一时期出现的病毒不仅在数量上急剧地增加,更重要的是病毒从编制的方式、方法,驻留内存以及对宿主程序的传染方式、方法等方面都有了较大的变化。计算机病毒发展阶段(二)第三代病毒的产生年限可以认为从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒,是最近几年来出现的新型的计算机病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,放人宿主程序中的病毒程序大部分都是可变的,即在搜集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点。正是由于这一特点,传统的利用特征码法检测病毒的产品不能检测出此类病毒。国内在1994年年底已经发现了多态性病毒——“幽灵”病毒,迫使许多反病毒技术部门开发了相应的检测和消毒产品。由此可见,第三阶段是病毒的成熟发展阶段。计算机病毒发展阶段(三)4.第四代病毒90年代中后期,随着远程网、远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传播至局域网内,再在局域网内传播扩散。1996年下半年随着国内Internet的大量普及,Email的使用,夹杂于Email内的WORD宏病毒已成为当前病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂,加上微软对DOC文档结构没有公开,给直接基于文档结构清除宏病毒带来了诸多不便。从某种意义上来讲,微软WordBasic的公开性以及DOC文档结构的封闭性,宏病毒对文档的破坏已经不仅仅属于普通病毒的概念,如果放任宏病毒泛滥,不采取强有力的彻底解决方法,宏病毒对中国的信息产业将会产生不测的后果。这一时期的病毒的最大特点是利用Internet作为其主要传播途径,因而,病毒传播快、隐蔽性强、破坏性大。此外,随着Windows95的应用,出现了Windows环境下的病毒。这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。诚然,计算机病毒的发展必然会促进计算机反病毒技术的发展,也就是说,新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战,致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样,势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性,迫使人们在反病毒的技术和产品上进行新的更新和换代。计算机病毒发展阶段(四)索非亚成为世界病毒的中心(1989-1992)在“铁幕”落下后,欧洲前社会主义国家成为了病毒云集的地方,其中尤以保加利亚为最。索非亚成为了制造新病毒的肥沃土壤。连制造病毒更有效的工具也出自这里。世界各国的网络安全事业兴起。各种以杀毒软件为主要产品的新兴公司占据互联网世界一隅。病毒发展带来的产业及早发现计算机病毒,是有效控制病毒危害的关键。检查计算机有无病毒主要有两种途径:一种是利用反病毒软件进行检测,一种是观察计算机出现的异常现象。下列现象可作为检查病毒的