项目病毒发展、分类与表现

项目病毒发展、分类与表现1病毒的发展、分类及表现课题引入计算机病毒的定义计算机病毒的分类计算机病毒的结构计算机病毒的危害项目病毒发展、分类与表现课题引入－项目背景计算机病毒的概念起源非常早，在第一部商用电脑出现之前好几年，计算机的先驱者冯·诺伊曼（JohnVonNeumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。项目病毒发展、分类与表现课题引入－项目背景1983年计算机病毒首次被确认，到1987年，计算机病毒才开始受到世界范围内的普遍重视；我国于1989年发现了计算机病毒；至今，在全世界发现的病毒已经几十万种，病毒的花样不断翻新，编程高手越来越多，令人防不胜防。计算机病毒的起源，到现在还没有一一个为大家所公认的确切说法。尽管如此，对于计算机病毒的发源地，大家一致认为是美国。关于计算机病毒的起源，现在有几种说法，但是没有一个被人们确认，也没有实质性的论述予以证明项目病毒发展、分类与表现课题引入－项目背景1975年，美国科普作家约翰·布鲁勒尔（JohnBrLiiler）写了一本名为《震荡波骑士》的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。1977年夏天，托马斯·捷·瑞安的科幻小说《P-1的春天》成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7,000台计算机，造成了一场灾难。这是世界上第一个幻想出来的计算机病毒,仅仅在10年之后，这种幻想的计算机病毒在世界各地大规模泛滥。项目病毒发展、分类与表现课题引入－项目背景人类社会有许多现行的科学技术，都是在先有幻想之后才成为现实的。因此，我们不能否认这些书的问世对计算机病毒的产生所起的作用。也许是有些人受到了这些书的启发才顿开茅塞，借助于他们对计算机硬件系统及软件系统的深入了解，发现了计算机病毒实现的可能并设计出了计算机病毒。与《P-1的春天》成为畅销书差不多同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”的游戏，进一步将电脑病毒“感染性”的概念体现出来。项目病毒发展、分类与表现课题引入－项目背景1983年11月3日，一位南加州大学的学生弗雷德·科恩在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。这种具备感染与破坏性的程序被真正称之为“病毒”，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼的专栏作家在讨论“磁芯大战”与苹果二型电脑（当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影）时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染性和破坏性的程序，终于有一个“病毒”的名字可以称呼了。项目病毒发展、分类与表现课题引入－项目背景到了1987年，第一个电脑病毒C-BRAIN终于诞生了（这可不是一件值得庆贺的事）。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特和阿姆捷特所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。项目病毒发展、分类与表现课题引入－项目背景这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团（如NuKE,Phalcon/Skism,VDV）。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。项目病毒发展、分类与表现课题引入－项目分析完成本项目需要解决的问题：什么是计算机病毒？计算机病毒如何分类？计算机病毒采用何种结构存储？计算机病毒有哪些危害？项目病毒发展、分类与表现课题引入－教学目标完成本项目需要实现的教学目标：计算机病毒的定义（理解）计算机病毒的分类（理解）计算机病毒的结构（重点掌握）计算机病毒的危害（掌握）项目病毒发展、分类与表现课题引入－应达到的职业能力了解计算机病毒的定义及分类熟练掌握计算机病毒的结构掌握计算机病毒带来的危害项目病毒发展、分类与表现项目问题1－计算机病毒的定义计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界，病毒（Virus）是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物，如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁殖后代，因此给寄主生物造成极大的危害。计算机病毒之所以被称为病毒，是因为它们与生物医学上的病毒也有着很多的相同点。例如，它们都具有寄生性、传染性和破坏性。项目病毒发展、分类与表现项目问题1－计算机病毒的定义我们通常所说的计算机病毒应该是为达到特殊目的制作和传播的计算机代码或程序，简单说就是恶意代码。有些恶意代码会像生物病毒寄生在其它生物细胞中一样，它们隐藏和寄生在其它计算机用户的正常文件中伺机发作，并大量复制病毒体，感染计算机中的其它正常文件；很多计算机病毒也会像生物病毒给寄主带来极大伤害一样，给寄生的计算机造成巨大的破坏，给人类社会造成不利的影响，造成巨大的经济损失。同时，计算机病毒与生物病毒也有很多不同，例如，计算机病毒并不是天然存在的，它们是由一些别有用心的人利用计算机软、硬件所固有的缺陷有目的的编制而成的。项目病毒发展、分类与表现项目问题1－计算机病毒的定义从广义上讲，凡是人为编制的，干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的可自我复制的计算机程序或指令集合都是计算机病毒。在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。项目病毒发展、分类与表现项目问题1－计算机病毒的定义计算机病毒具有非法性、隐蔽性、潜伏性、触发性、表现性、破坏性、传染性、针对性、变异性和不可预见性。单独根据某一个特性是不能判断某个程序是否是病毒。例如“触发性”来讲，很多应用程序都具有一定的触发性，例如杀毒软件可以在满足一定条件下自动进行系统的病毒扫描，但是并不能说它就是病毒，而且恰恰相反，它是病毒的防护软件。因此，必须对病毒的特性有一个全面的了解项目病毒发展、分类与表现计算机病毒的主要特性非法性隐藏性潜伏性可触发性破坏性传染性表现性：病毒对操作系统的运行造成影响（cpu、内寸）针对性：针对不同机器或操作系统的病毒变异性：在发展和演化过程中产生变种不可预见性：破坏表现类似，但源代码千差万别项目病毒发展、分类与表现项目问题2－计算机病毒的分类从计算机病毒问世以来，病毒的发展非常迅速。从已经发现的计算机病毒来看，小到只有几十条命令，大到由上万条指令组成（简直就像个操作系统）。它们有的传播速度快，有的潜伏期长，有的感染计算机的所有程序和数据，有的进行自身繁衍占据磁盘空间，有的具有强大的破坏性。因此，认识这些复杂多样的病毒就需要对其进行分门别类。由于病毒的多样化发展，无法使用单一的分类方法进行区别，因此我们从不同的角度对病毒进行一下划分。项目病毒发展、分类与表现按照计算机病毒攻击的系统分类攻击DOS系统的病毒——这类病毒出现最早、数量最多，变种也最多。攻击Windows系统的病毒——由于Windows系统是多用户多任务的图形界面操作系统，深受用户的欢迎，Windows系统正逐渐成为病毒攻击的主要对象。攻击UNIX系统的病毒——当前，UNIX系统应用非常广泛，并且许多大型的网络设备均采用UNIX作为其主要的操作系统，所以UNIX病毒的出现，对人类的信息安全是一个严重的威胁。项目病毒发展、分类与表现按照计算机病毒的链接方式分类源码型病毒——该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。嵌入型病毒——这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。项目病毒发展、分类与表现按照计算机病毒的链接方式分类外壳型病毒——将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。操作系统型病毒——这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。项目病毒发展、分类与表现按照计算机病毒的破坏情况分类良性计算机病毒——是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统运行效率降低，系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权，适时导致整个系统死锁，给正常操作带来麻烦。因此也不能轻视所谓良性病毒对计算机系统造成的损害。项目病毒发展、分类与表现按照计算机病毒的破坏情况分类恶性计算机病毒——是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这些操作代码都是刻意编写进病毒的，这是其本性之一。因此这类恶性病毒是很危险的，应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否，至少发出警报提醒用户注意。项目病毒发展、分类与表现根据寄生部位或传染对象分类磁盘引导区传染的计算机病毒——磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。项目病毒发展、分类与表现根据寄生部位或传染对象分类操作系统传染的计算机病毒——操作系统是一个计算机系统得以运行的支持环境，它包括COM、EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。项目病毒发展、分类与表现根据寄生部位或传染对象分类可执行程序传染的计算机病毒。可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。项目病毒发展、分类与表现按照计算机病毒激活的时间分类定时型病毒——定时病毒是在某一特定时间发作的病毒，它是以时间为发作的触发条件，如果时间不满足，此类病毒将不会进行破坏活动。随机型病毒——与定时型病毒不同的是随机型病毒，此类病毒不是通过时钟进行触发。项目病毒发展、分类与表现按照传播媒介分类单机病毒——单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。网络病毒——网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。项目病毒发展、分类与表现项目问题3－计算机病毒的结构计算机病毒与其它客观存在的事物一样，都有一定的结构。如果没有这些结构的支撑，它就无法体现计算机病毒的诸多特性，无法实现病毒的各种功能。病毒本身是一些计算机程序代码，就必定拥有一定的程序结构。当今计算机的设计思想都来源于冯·诺伊曼，病毒作为程序就必定需要一定的存储结构。我们了解计算机病毒的结构，主要是了解计算机病毒的程序结构和计算机病毒的存储结构。项目病毒发展、分类与表现计算机病毒的程序结构各种计算机病毒程序大小不同、长短各异，但是它们一般都包含三个部分：引导模块、传染模块、表现或破坏模块项目病毒发展、分类与表现计算机病毒的存储结构病毒按照寄生方式可以分为引导型病毒和文件型病毒两种，同时按照其传染途径分成驻留内存型和不驻留内存型。计算机病毒大部分都存储在磁盘中，其发作又要通过引导模块将其代码装入内存从磁盘存储结构和内存驻留结构两方面了解计算机病毒的存储结构。项目病毒发展、分类与表现病毒的磁盘存储结构了解病毒的磁盘存储结构，首先必须了解磁盘的空间划分。磁盘格式化之后包括主引导记录区、引导记录区、文件分区表、目录区和数据区，根据病毒磁盘的存储结构不同，病毒主要分成系统型病毒和文件型病毒。系统型病毒是指专门传染操作系统的启动扇区，主要是硬盘主引导区和DOS引导扇区的病毒。文件型病毒主要是指感染系统中的可执行文件或者依赖于可执行文件发作的病毒。项目病毒发展、分类与表现病毒的内存驻留结构计算机病毒一般都驻留在常规内存中，相对来讲，检测这些计算机病毒也比较方便。但是，计算机病毒不仅仅只能驻留在常规内存中，现在已经发现驻留在高端内存中的病毒。研究病毒的内存驻留结构可以划分为系统病毒的内存驻留结构和文件病毒的内存驻留结构，其中文件病毒的内存驻留结构又可以分为高端驻留型、常规驻留型、内存控制链驻留型和设备程序补丁驻留型等。

项目病毒发展、分类与表现项目问题4－计算机病毒的危害在计算机病毒产生的初期，人们对病毒的危害主要注重于病毒对计算机信息系统的直接破坏作用。随着计算机和计算机病毒的发展，人们逐渐意识到，除了对计算机信息系统的破坏之外，病毒的错误和兼容性问题可能会带来不可预测的危害。同时，病毒的传播与破坏，给计算机用户的心理造成巨大的压力，其隐藏的破坏力也是不能低估的。项目病毒发展、分类与表现计算机病毒的危害前面我们介绍了病毒的分类和结构，知道了计算机病毒的复杂多样性。因此，不同病毒的发作现象也是不同的，总体来说，病毒发作的表现主要集中在以下几个方面：大部分病毒在发作的时候会直接破坏计算机系统的重要数据，其使用的手段包括格式化磁盘、改写文件分配表、删除重要文件、写入大量的“垃圾数据”等等；计算机病毒作为具有破坏作用的程序或指令，在执行的时候必然会抢占一部分系统资源，尤其是大部分计算机病毒都是常驻内存的，其所需内存长度与病毒本身的长度大致相当，这将导致很多正常的应用程序无法使用；很多计算机病毒的运行需要对计算机的工作状态进行监控，这就会干扰系统的正常运行，影响计算机的运行速度。项目病毒发展、分类与表现计算机病毒的主要表现现象计算机运行速度的变化——主要现象包括：计算机的反应速度比平时迟钝很多；应用程序的载入比平时要多花费很长的时间；开机时间过长。计算机磁盘的变化——主要现象包括：对一个简单的磁盘存储操作比预期时间长很多；当没有存取数据时，硬盘指示灯无缘无故的亮了；磁盘的可用空间大量的减少；磁盘的扇区坏道增加；磁盘或者磁盘驱动器不能访问。项目病毒发展、分类与表现计算机病毒的主要表现现象计算机内存的变化——主要现象包括：系统内存的容量突然间大量的减少；内存中出现了不明的常驻程序。计算机文件系统的变化——主要现象包括：可执行程序的大小被改变了；重要的文件奇怪的消失；文件被加入了一些奇怪的内容；文件的名称、日期、扩展名等属性被更改；系统出现一些特殊的文件；驱动程序被修改导致很多外设无法正常工作。项目病毒发展、分类与表现计算机病毒的主要表现现象异常的提示信息和现象——主要现象包括：出现不寻常的错误提示信息，例如出现“writeprotecterrorondriverA”，表示病毒试图存取软盘进行感染，再例如访问C盘时提示“NotreadyerrordriveAabort,Retry,Fail?”；开机之后几秒钟突然黑屏；无法找到外部设备，例如无法检索到计算机硬盘；计算机发出奇怪的声音；计算机经常死机或者重新启动；启动应用程序时出现错误提示信息对话框；菜单或对话框的显示失真。项目病毒发展、分类与表现计算机故障与病毒特征区别前面我们介绍了病毒的发作现象，如果计算机出现了某些特别现象不一定说明计算机就是中了病毒，因为计算机本身不可避免的会有一些硬件或者软件的故障，在判断是否是病毒的原因导致计算机不正常的时候，也要综合考虑这些计算机本身的软件或者硬件故障。项目病毒发展、