搜索
计算机病毒简介AbriefintroductionofComputerVirus01发展历程2基本概念3分类简介4防治技术主要内容01发展历程developmenthistory上世纪40年代,克劳斯·拉克纳尔是哥伦比亚大学地球工程中心的教授,他还在洛斯阿拉莫斯国家实验室工作时,和朋友正在喝啤酒聊天——如何解决全球变暖问题?起源:一个关于串啤、环保和学霸的故事他们打算把空气中的二氧化碳转变成碳酸钙——石灰石、汉白玉、白垩,都是这种东西。从空气中提取二氧化碳然后变成固体的工作量和所需要的资源都是惊人的,不能指望有人投资或者国家拨款。一个全自动的转化过程。假设一台机器。它能够复制自身。它可以把太阳能转化为所需的电能。它可以很容易地获得制造它的原料。这像是一个细胞一样不停地分裂,而无穷无尽的太阳能将会让它们不停地繁殖下去,直到被制止为止。太阳能不是问题,而一台机器所需要的原料无非是铁、铜、铝、硅、碳这样的常见元素罢了,这些东西遍地都是,只要提取出来就行。只有一个问题:怎样让机器自我复制?这是大数学家迪尔卡都没有解决的问题!约翰·冯·诺依曼(1903~1957)原籍匈牙利,布达佩斯大学数学博士。20世纪最重要的数学家之一,在现代计算机、博弈论、核武器和生化武器等领域内的科学全才之一,被后人称为“计算机之父”和“博弈论之父”。第二次世界大战期间为第一颗原子弹的研制作出了贡献。为研制电子数字计算机提供了基础性的方案。晚年,研究自动机理论,著有对人脑和计算机系统进行精确分析的著作《计算机与人脑》。主要著作有《量子力学的数学基础》(1926)、《计算机与人脑》(1958)、《经典力学的算子方法》、《博弈论与经济行为》(1944)、《连续几何》(1960)等。冯·诺依曼认为,任何能够自我繁殖的系统,都应该同时具有两个基本功能。1通用构造器它必须能够构建某一个组成元素和结构与自己一致的下一代。2描述器它需要能够把对自身的描述传递给下一代。这样,只要有合适的原料,通用构造器就可以根据描述器的指示,生产出下一台机器,并且把描述的信息也传递给这台新机器。随后,新机器启动,再进入下一个循环,这种自增殖系统,称之为“冯·诺依曼机器人”奥克松斯计划克劳斯·拉克纳尔和克里斯托弗·文特打算按照冯·诺依曼的思路开展他们的工作,他们给这个项目起名叫奥克松斯(Auxons),这是从希腊语的“auxein”借过来的,意思是“成长”。他们给最初的原型机安装了高温熔炉用来获取需要的金属原料,并且打算把它扔到沙漠里面去。在那里,奥克松斯可以获得大量的原料和能量,并且不会有人来打扰。虽然失败了,也没有原理图遗留下来,但是在我的想法中,奥克松斯看起来应该跟Wall·E差不多……奥克松斯计划虽然失败了,但是冯先生成功了,他1949年以TheoryandOrganizationofComplicatedAutomata为题的一场在伊利诺伊大学的演讲,后改以Theoryofself-reproducingautomata为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。上世纪60年代初,贝尔实验室的一群小伙子们,在无聊的工作之余开始他们的炫技游戏,一不小心开创了两个先河。雏形:计算机游戏和病毒双料的祖师爷60年代,贝尔实验室三个才二十多岁、华横溢的年轻人——道格拉斯·麦克利、维克特·维索斯基以及罗伯特·莫里斯,按照冯氏理论开始了他们的游戏历程。游戏双方各写一套程序,输入同一部电脑中,这两套程序在电脑的内存中互相追杀对方,有时它们会设下一些关卡,有时会停下来自行修理(重新写)被对方破坏的几行指令;当它被困时,也可以把自己复制一次,逃离险境。因为当时使用磁芯作为存储设备,所以该游戏又称为“磁芯大战”。直到上世纪70-80年代,计算机病毒这个名字,才被开发出来并广为人知,在这里一大群文科生功不可没。以毒之名:咱们文科生有力量1970年代,雷恩在《P1的青春》一书中构思了一种可以自我复制,利用通信进行传播的计算机程序,并第一次称之为“计算机病毒”。大卫·杰洛德(DavidGerrold)的《WhenH.A.R.L.I.E.wasOne》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;约翰·布鲁勒尔(JohnBrunner)的小说《震荡波骑士(ShakewaveRider)》,描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。弗雷德·科恩1983年11月3日,弗雷德·科恩在UNIX系统下,编写了一个会自动复制并在计算机间进行传染从而引起系统死机的小程序。该程序对电脑并无害处,潜伏于更大的合法程序当中,通过软盘(当前出售的电脑多不再用)传到电脑上。一些电脑专家也曾警告,电脑病毒是有可能存在的,但科恩是第一个真正通过实践记录电脑病毒的人。1984年,将这些程序以论文发表,在其博士论文给出了电脑病毒的第一个学术定义,这也是今天公认的标准,从而引起了轰动。计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。同时可以通过数学方法严格证明,这样的病毒能够在任何允许信息共享的系统中传播,不论是否有安全技术。算机病毒不是利用操作系统的错误或缺陷的程序。它是正常的用户程序,它仅使用那些每天都使用的正常操作。——弗雷德·科恩1984年,《科学美国人》(又称环球科学)月刊的专栏作家杜特尼在5月刊号写了第一篇讨论“磁芯大战”的文章,并且只要寄上两块美金,任何读者都可以收到有关写程序的纲领,在自己家的电脑中开辟战场。在1985年3月份的《科学美国人》里,杜特尼再次讨论“磁芯大战”和病毒。在文章的开头他便说:“当去年5月有关‘磁芯大战’的文章印出来时,我并没有想过我所谈论的是那么严重的题目……”文中多次提到“病毒”这个名称。“意大利的电脑程序员利用感染磁碟的方式使其它电脑受到破坏性程序的感染。就这样,潘多拉之盒被打开了,许多程序员都了解了病毒的原理,进而开始尝试编制这种具有隐蔽性、攻击性和传染性的特殊程序。病毒从隐秘走向公开,先是利用磁碟,然后是利用网络,迅速在全世界范围内扩散开来,成为电脑用户的头号敌人。”——杜特尼上世纪70-80年代,出现了很多病毒或者疑似病毒的计算机程序,除了磁芯大战之类鼻祖型雏形只为,谁是第一个病毒一直存在着很大的争议。灰色领奖台:到底谁才是第一名Creeper时间:1971开发者:罗伯特·托马斯简介:通过阿帕网传播,显示“我是Creeper,有本事来抓我呀!”。Creeper在网络中移动,从一个系统跳到另外一个系统并自我复制。ElkCloner时间:1982开发者:里奇.斯克伦塔简介:通过软盘传播,并感染了成千上万的机器,但它是无害的:它只是在用户的屏幕上显示一首诗,其中有两句是这样的:“它将进入你所有的磁盘/它会进入你的芯片。”C-BRAIN时间:1986开发者:基斯坦兄弟巴斯特和阿姆捷特简介:他们在当地经营一家贩卖个人计算机的商店,为了防止他们的软件被任意盗拷而编写。只要有人盗拷他们的软件,C-BRAIN就会发作,并耗尽磁盘空间。在财政部的计算机无法正常使用,经技术论证确定为C-BRAIN系列变种病毒造成的,这是中国本土发现的最早的计算机病毒。1988:登陆中国以“石头-2”为代表的新型病毒开始大规模爆发,不同于以往以软盘为感染对象的老战友,新型的病毒编写技术更成熟、代码更复杂,由于硬盘是“长期驻留”在计算机上的大容量高速存储设备,从此之后复制、传播更加便利对“体积”的要求也放宽了。1989:开辟第二战场——转战硬盘在此之前,计算机病毒均为引导型病毒,它们是通过磁盘到磁盘的形式进行感染的,随着“金蝉(1992)”等复合型病毒的出现,实现了从文件到文件的感染进一步拓宽了计算机病毒的感染途径,从表现上看也更像生物病毒入侵细胞的过程。1990:完全体形态——感染可执行文件项目引导型文件型感染位置引导扇区任意可执行文件共存性差好大小限制引导扇区大小存储大小交叉感染难度高低实现功能少多查杀难度较小大传染能力弱(仅能感染引导盘)强病毒危害大极大制作难度极高较低海湾战争期间,美国通过芯片植入式病毒入侵了伊拉克防控网络,造成了伊防控系统全线瘫痪超过12小时——虽然该嵌入式后门是否能成为计算机病毒尚有争议,但很多人仍然认为,这是计算机病毒的第一次战场处女秀。1990:新式武器——计算机病毒首次用于战争1990年,美国获悉一个重要情报:伊拉克将从法国购买一种用于防空系统的新型电脑打印机,准备通过约旦首都安曼偷运回巴格达。于是,美国间谍买通了安曼机场的守卫人员,运送打印机的飞机一降落到安曼,他就偷偷溜进机舱,用一套带有计算机病毒的同类芯片换下了电脑打印机中的芯片。伊拉克人毫无察觉,将带有病毒芯片的电脑打印机安装到了防空系统上。海湾战争爆发后,美国人通过无线网络激活了电脑打印机芯片内的计算机病毒,病毒侵入伊拉克防空系统的电脑网络中,使整个系统陷入瘫痪。美国由此取得了海湾战争中的关键性胜利。这是世界上首次将计算机病毒用于实战并取得较好效果的战例,从而也使网络空间战初现端倪。随着病毒的泛滥,杀毒软件行业兴起,早期的安全专家们使用“搜索匹配”的方法识别病毒,他们分析各类病毒源代码,并生成“识别码”以此来判断某一文件是否为病毒。但1995年之后随着“幽灵”、“VCL”等病毒的诞生,识别病毒已经越来越难了。1995:变种时代到来——可自变异的病毒问世在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。直到现在指令“加花”依然是病毒免杀的最常见手段1998年KV300+识别库大小630K今天360识别库大小607M1999年4月26日,CIH病毒1.2版首次大规模爆发,全球超过六千万台电脑受到了不同程度的破坏。这是第一个破坏硬件系统的恶性病毒。由原集嘉通讯公司(技嘉子公司)手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。1998:从虚幻到现实——CIH病毒大爆发2000年之后,种类繁多,数量繁多的病毒被开发出来。病毒的编写不再是炫技和个人爱好,逐渐出现了产业化的倾向,以营利为目的的地下病毒工厂逐渐繁荣起来千禧年:蓬勃发展的新世纪2000Kakworm,爱虫,Apology-B,Marker,Pretty,Stages-A,Navidad,Ska-Happy99,WM97/Thus,XM97/Jin红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH50179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号的木马病毒(如网银、QQ、网游)为主,病毒多达2000多种20032005中国大陆地区主要流行计算机病毒伊朗铀浓缩的根基是上世纪60年代末,由欧洲设计IR-1离心机,这种老旧的设计,精度低、稳定性差、寿命短,所以伊朗采用了离心机的冗余策略,阵列中每个离心机组都有在线备份,即一个坏掉,可以马上切换到另外一个使其工作,并使用基于西门子的S7-417级联保护器进行控制。2010年震网病毒入侵了这些保护器,并采用了来自好莱坞的策略——记录21秒传感器数据,然后循环播放——这样在监控中心就不会发现离心机状态变化,当离心机异常时也不会予以调整。最终导致整个离心机阵列寿命大幅度缩短。直至该病毒被发现,伊朗核工业被拖慢了最少两年。BADUSB在2014年美国黑帽大会上,柏林SRLabs的安全研究人员和独立安全研究人员KarstenNohl展示了他们称为“BadUSB的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。