細(xì)致講解病毒的知識(shí)

1、細(xì)致講解病毒的知識(shí)日期：2009年4月15日 作者： ·· 一、病毒的歷史 自從1946年第一臺(tái)馮-諾依曼型計(jì)算機(jī)ENIAC出世以來，計(jì)算機(jī)已被運(yùn)用 到人類社會(huì)的各個(gè)領(lǐng)域。然而， 1988年發(fā)生在美國(guó)的"蠕蟲病毒"事件，給計(jì)算機(jī)技能的發(fā)展罩上了一層陰影。蠕蟲病毒是由美國(guó)CORNELL大學(xué)研究生莫里斯編寫。雖然并無惡意，但在當(dāng)時(shí)，"蠕蟲"在INTERNET上大肆傳染，使得數(shù)千臺(tái)連網(wǎng)的計(jì)算機(jī)停止運(yùn)行，并造成巨額損失，成為一時(shí)的輿論焦點(diǎn)。 在國(guó)內(nèi)，最初引起人們留心的病毒是80年代末出現(xiàn)的"黑色星期五"，"米氏病

2、毒"，"小球病毒"等。因當(dāng)時(shí)軟件種類不多，用戶之間的軟件交流較為頻繁且反病毒軟件并不普及，造成病毒的廣泛流行。后來出現(xiàn)的word宏病毒及win95下的CIH病毒，使人們對(duì)病毒的認(rèn)識(shí)更加深了一步。 最初對(duì)病毒理論的構(gòu)思可追溯到科幻小說。在70年代美國(guó)作家雷恩出版的P1的青春一書中構(gòu)思了一種能夠自我復(fù)制，運(yùn)用 通信執(zhí)行 傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。二、病毒的產(chǎn)生 那么究竟它是如何 產(chǎn)生的呢？那么究竟它是如何 產(chǎn)生的呢？ 1、開個(gè)玩笑，一個(gè)惡作劇。某些愛好計(jì)算機(jī)并對(duì)計(jì)算機(jī)技能精通的人士為了炫耀自己的高超技能和智慧，憑借對(duì)軟硬件的深入了解，編制這些特殊的程序。這

3、些程序通過載體傳播出去后，在一定條件下被觸發(fā)。如顯示一些動(dòng)畫，播放一段音樂，或提一些智力問答題目等，其目的無非是自我表現(xiàn)一下。這類病毒一般都是良性的，不會(huì)有破壞操作。 2、產(chǎn)生于個(gè)別人的報(bào)復(fù)心理。每個(gè)人都處于社會(huì)環(huán)境中，但總有人對(duì)社會(huì)不滿或受到不公證的待遇。如果這種情況發(fā)生在一個(gè)編程老手身上，那么他有可能會(huì)編制一些危險(xiǎn)的程序。 在國(guó)外有這樣的事例：某公司職員在職期間編制了一段代碼潛藏在其公司的系統(tǒng)中，一旦檢測(cè)到他的名字在工資報(bào)表中刪除，該程序立即發(fā)作，破壞整個(gè)系統(tǒng)。類似案例在國(guó)內(nèi)亦出現(xiàn)過。 3、用于版權(quán)保衛(wèi)。計(jì)算機(jī)發(fā)展初期，由于在法律上對(duì)于軟件版權(quán)保衛(wèi)還沒有象今天這樣完備。很多商業(yè)軟件被非法復(fù)

4、制，有些開發(fā)商為了保衛(wèi)自己的利益打造了一些特殊程序，附在產(chǎn)品中。如：巴基斯坦病毒，其打造者是為了追蹤那些非法copy 他們產(chǎn)品的用戶。用于這種目的的病毒目前已不多見。三、病毒的特征未經(jīng)授權(quán)而執(zhí)行。一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對(duì)用戶是可見的、透明的。而病毒具有正常程序的一切特征，它潛藏在正常程序中，當(dāng)用戶調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶時(shí)未知的，是未經(jīng)用戶允許的。1. 傳染性.正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其它程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上

5、。計(jì)算機(jī)病毒可通過各種可能的渠道，如軟盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其它的計(jì)算機(jī)。當(dāng)你在一臺(tái)機(jī)器上發(fā)覺了病毒時(shí)，往往曾在這臺(tái)計(jì)算機(jī)上用過的軟盤已感染上了病毒，而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其它計(jì)算機(jī)也許也被該病毒侵染上了。能不能具有傳染性是判別一個(gè)程序能不能為計(jì)算機(jī)病毒的最主要條件。 2. 隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或硬盤代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護(hù)方法的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，運(yùn)用戶不會(huì)感到任何異常。試想，如果病毒在傳染到計(jì)算機(jī)上之后，機(jī)器馬上

6、不能正常運(yùn)行，那么它本身便不能繼續(xù)執(zhí)行 傳染了。正是由于隱蔽性，計(jì)算機(jī)病毒得以在用戶沒有察覺的情況下擴(kuò)散到上百萬臺(tái)計(jì)算機(jī)中。大部分的病毒的代碼之所以設(shè)計(jì)得非常短小，也是為了潛。病毒一般只有幾百或1k字節(jié)，而PC機(jī)對(duì)DOS文件的存取速度可達(dá)每秒幾百KB以上，所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中，使人非常不易被察覺。 3. 潛伏性。大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期潛藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。只有這樣它才可執(zhí)行 廣泛地傳播。如"PETER-2"在每年2月27日會(huì)提三個(gè)疑問，答錯(cuò)后會(huì)將硬盤加密。著名的"

7、;黑色星期五"在逢13號(hào)的星期五發(fā)作。國(guó)內(nèi)的"上海一號(hào)"會(huì)在每年三、六、九月的13日發(fā)作。當(dāng)然，最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時(shí)會(huì)潛藏得很好，只有在發(fā)作日才會(huì)露出本來面目。 4. 破壞性。任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及運(yùn)用 程序產(chǎn)生程度不同的影響。輕病毒與惡性病毒。良性病毒可能只顯示些畫面或出點(diǎn)音樂、無聊的語(yǔ)句，或者根本沒有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源。這類病毒較多，如：GENP、小球、W-BOOT等。惡性病毒則有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密硬盤、格式化硬盤，有的對(duì)數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險(xiǎn)惡用心。 5. 不

8、可預(yù)見性。從對(duì)病毒的檢測(cè)方面來看，病毒還有不可預(yù)見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的（如駐內(nèi)存，改中斷）。有些人運(yùn)用 病毒的這種共性，打造了聲稱可查所有病毒的程序。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也運(yùn)用了類似病毒的操作甚至借鑒了某些病毒的技能。運(yùn)用這種要領(lǐng)對(duì)病毒執(zhí)行 檢測(cè)勢(shì)必會(huì)造成較多的誤報(bào)情況。而且病毒的打造技能也在不斷的提高，病毒對(duì)反病毒軟件永遠(yuǎn)是超前的。四、病毒的解釋從廣義上解釋，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。依據(jù)做過不盡相同的解釋，但一直沒有公認(rèn)的明確解釋。直至1994年2月18日，我國(guó)正式

9、頒布實(shí)施了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保衛(wèi)條例，在條例第二十八條中明確指出："計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)運(yùn)用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。"此解釋具有法律性、權(quán)威性。（此節(jié)內(nèi)容摘自計(jì)算機(jī)安全管理與實(shí)用技能一書） 五、病毒的分析 計(jì)算機(jī)病毒的種類雖多，但對(duì)病毒代碼執(zhí)行 分析、比較可看出，它們的主要結(jié)構(gòu)是類似的，有其共同特點(diǎn)。整個(gè)病毒代碼雖短小但也包含三部分：引導(dǎo)部分，傳染部分，表現(xiàn)部分: 1、引導(dǎo)部分的作用是將病毒主體加載到內(nèi)存，為傳染部分做準(zhǔn)備（如駐留內(nèi)存，修改中斷，修改高端內(nèi)存，保存原中斷向量等操作

10、）。 2、傳染部分的作用是將病毒代碼復(fù)制到傳染目標(biāo)上去。不同類型的病毒在傳染形式，傳染條件上各有不同。 3、表現(xiàn)部分是病毒間差異最大的部分，前兩個(gè)部分也是為這部分服務(wù)的。大部分的病毒都是有一定條件才會(huì)觸發(fā)其表現(xiàn)部分的。如：以時(shí)鐘、計(jì)數(shù)器作為觸發(fā)條件的或用鍵盤輸入特定字符來觸發(fā)的。這一部分也是最為靈活的部分，這部分根據(jù)編制者的不同目的而千差萬別，或者根本沒有這部分。 六、病毒的命名 對(duì)病毒命名，各個(gè)反毒軟件亦不盡相同，有時(shí)對(duì)一種病毒不同的軟件會(huì)報(bào)出不同的名稱。如"SPY"病毒，VRV起名為SPY，KV300則叫"TPVO-3783"。給病毒起名的要領(lǐng)不外乎

11、以下幾種： 1、按病毒出現(xiàn)的地點(diǎn)，如"ZHENJIANG_JES"其樣本最先來自鎮(zhèn)江某用戶。 2、按病毒中出現(xiàn)的人名或特征字符，如"ZHANGFANG-1535"，"DISK KILLER"，"上海一號(hào)"。 3、按病毒發(fā)作時(shí)的癥狀命名，如"火炬"，"蠕蟲"。 4、按病毒發(fā)作的時(shí)間，如"NOVEMBER 9TH"在11月9日發(fā)作。有些名稱包含病毒代碼的長(zhǎng)度，如"PIXEL.xxx"系列,"KO.xxx"等 。計(jì)算機(jī)病毒

12、的種類雖多，但對(duì)病毒代碼執(zhí)行分析、比較可看出，它們的主要結(jié)構(gòu)是類似的，有其共同特點(diǎn)。整個(gè)病毒代碼雖短小但也包含三部分：引導(dǎo)部分，傳染部分，表現(xiàn)部分。 七、病毒的分類 從第一個(gè)病毒出世以來，究竟世界上有多少種病毒，說法不一。無論多少種，病毒的數(shù)量仍在不斷添加。據(jù)國(guó)外統(tǒng)計(jì)，計(jì)算機(jī)病毒以10種/周的速度遞增，另?yè)?jù)我國(guó)公安部統(tǒng)計(jì)，國(guó)內(nèi)以4種/月的速度遞增。如此多的種類，做一下分類可更好地了解它們。1、按破壞性可分為：良性病毒，惡性病毒。前面已介紹過。 （1）良性病毒：僅僅顯示信息、奏樂、發(fā)出聲響，自我復(fù)制的。 （2）惡性病毒：封鎖、干擾、中斷輸入輸出、運(yùn)用戶不能打印等正常工作，甚至計(jì)算機(jī)中止運(yùn)行。 （

13、3）極惡性病毒：死機(jī)、系統(tǒng)崩潰、刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置導(dǎo)致系統(tǒng)死機(jī)、崩潰、不能重啟。 （4）災(zāi)難性病毒：破壞分區(qū)表信息、主引導(dǎo)信息、FAT，刪除數(shù)據(jù)文件，甚至格式化硬盤等。2、新興一族：宏病毒。按傳染形式分為：引導(dǎo)型病毒、文件型病毒和混合型病毒。 （1）文件型病毒：一般只傳染硬盤上的可執(zhí)行文件（COM，EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時(shí)，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個(gè)外殼或部件。這是較為多見的傳染形式。 （2）混合型病毒：兼有以上兩種病毒的特點(diǎn)，既染引導(dǎo)區(qū)又染文件，因此擴(kuò)大了這種病毒的傳染途徑

14、（如97年國(guó)內(nèi)流行較廣的"TPVO-3783（SPY）"）。按連接形式分為：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。 （1）源碼型病毒：較為少見，亦難以編寫。因?yàn)樗舾呒?jí)語(yǔ)言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時(shí)剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。 （2）入侵型病毒：可用自身代替正常程序種的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下也難以被發(fā)覺，清理起來也較困難。 （3）操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。 （4）外殼型

15、病毒：將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類。病毒現(xiàn)象種種 用戶在運(yùn)行外來軟件或從Internet網(wǎng)下載文件時(shí)，很可能無意中給計(jì)算機(jī)感染上病毒，但絕大多數(shù)的用戶不能馬上發(fā)覺自己的計(jì)算機(jī)被感染上病毒，當(dāng)然我們可以根據(jù)種種現(xiàn)象去判斷您的微機(jī)能不能感染上病毒。其現(xiàn)象分為： 1、病毒發(fā)作前：（1）計(jì)算機(jī)無故死機(jī)（2）計(jì)算機(jī)不能啟動(dòng)（3）Windows3.X運(yùn)行不正常（4）Windows9X不能正常啟動(dòng)（5）微機(jī)運(yùn)行速度明顯變慢（6）曾正常運(yùn)行的軟件常報(bào)內(nèi)存不足（7）微機(jī)打印和通訊發(fā) 生異常（8）曾正常運(yùn)行的運(yùn)用 程序發(fā)生死機(jī)或者非法不正確 （9）系統(tǒng)文件的時(shí)間、日期、長(zhǎng)度發(fā)生變化（10）運(yùn)行Word，打開文檔后，該文件另存時(shí)只能以模板形式保存（11）無意中要求對(duì)軟盤執(zhí)行 寫操作（12）硬盤空間高速 減少（13）網(wǎng)絡(luò)數(shù)據(jù)卷不能調(diào)用（14）基本內(nèi)存發(fā)生變化 根據(jù)上述幾點(diǎn)，我們就可以判斷您的微機(jī)和網(wǎng)絡(luò)能不能感染上病毒，如當(dāng)前流行的Win95.CIH病毒，通常也會(huì)表現(xiàn)為某些運(yùn)用 軟件經(jīng)常發(fā)生死機(jī)。2、病毒發(fā)作中病毒的發(fā)作，有的只按時(shí)間來確定，有的按重復(fù)感染的次數(shù)來確定，但更多數(shù)是隨機(jī)發(fā)生。發(fā)作時(shí)表現(xiàn)為：提示一段