计算机病毒原理与防范-计算机病毒概述

计算机病毒原理与防范

（第二版）计算机病毒概述第1章计算机病毒概述计算机病毒的产生与发展计算机病毒的基本概念计算机病毒的分类互联网环境下病毒的多样化引言计算机病毒与医学上的“病毒”不同，它不是天然存在的，而是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。从广义上定义，凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。计算机的信息需要存取、复制和传送，计算机病毒作为信息的一种形式可以随之繁殖、感染和破坏。计算机病毒与反计算机病毒势必成为一个长期的技术对抗过程。计算机病毒主要由反计算机病毒软件来对付，而且反计算机病毒技术将成为一种长期的科研任务。1.1计算机病毒的产生与发展计算机病毒的起源计算机病毒的发展背景计算机病毒的发展历史计算机病毒的起源科学幻想起源说1977年，美国科普作家托马斯.丁.雷恩《P-1的青春》一书恶作剧起源说恶作剧者大多是那些对计算机知识和技术均有兴趣的人，并且特别热衷那些别人认为是不可能做成的事情游戏程序起源说20世纪70年代，美国贝尔实验室的计算机程序员为了娱乐，在自己实验室的计算机上编制吃掉对方程序的程序，软件商保护软件起源说软件制造商为了处罚那些非法复制者，在软件产品之中加入计算机病毒程序并由一定条件触发并传染。Permitnon-atomicdomains(atomicindivisible)归纳起来，计算机系统、Internet的脆弱性是产生计算机病毒的根本技术原因之一，计算机科学技术的不断进步，个人计算机的快速普及应用是产生计算机病毒的加速器。计算机病毒的发展背景计算机病毒的祖先：“CoreWar”（磁芯大战早在1949年，计算机的先驱者冯.诺依曼在他的一篇论文《复杂自动机组织论》中，提出了计算机程序能够在内存中自我复制，即已把计算机病毒程序的蓝图勾勒出来，10年之后，在美国电话电报公司（AT&T）的贝尔实验室中，3个年轻程序员在工作之余想出一种电子游戏叫做“CoreWar”（磁芯大战）。计算机病毒的出现1983年,科恩.汤普逊（KenThompson）公开地证实了计算机病毒的存在，而且还告诉所有听众怎样去写自己的计算机病毒程序。计算机病毒”一词的正式出现在1985年3月份的《科学美国人》里，杜特尼再次讨论“CoreWar”和计算机病毒。在该文章中第一次提到“计算机病毒”这个名称。计算机病毒就伴随着计算机的发展而发展起来了。计算机病毒的发展历史(1)萌芽时期，磁芯大战--0世纪50年代末～60年代初大型计算机的时代--20世纪60年代晚期～70年代早期计算机病毒的思想基础--美国科普作家约翰.布鲁勒尔的《震荡波骑士》和托马斯.捷.瑞安的科幻小说《P-1的青春》DOS引导阶段--20世纪80年代，独立程序员出现了职业化趋势DOS可执行阶段--在1989年出现可执行文件型计算机病毒伴随、批次型阶段--1992年出现，它们利用DOS加载文件的优先顺序进行工作。幽灵、多形阶段--1994年，用汇编语言实现同一功能已经可以用不同的方式完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵计算机病毒就是利用这个特点，每感染一次就产生不同的代码。计算机病毒的发展历史(2)生成器、变体机阶段--1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机地插入一些空操作和无关指令，也不影响运算的结果。网络、蠕虫阶段--1995年，计算机病毒开始利用网络进行传播。Windows阶段--利用Windows系统进行工作的计算机病毒开始发展，它们修改（NE，PE）文件宏病毒阶段--Word宏语言也可以编制计算机病毒Internet阶段--计算机病毒利用Internet进行传播Java、邮件炸弹阶段--利用Java语言进行传播和资料获取的计算机病毒开始出现，典型的代表是JavaSnake计算机病毒1.2计算机病毒的基本概念计算机病毒的生物特征计算机病毒的生命周期计算机病毒的传播途径计算机病毒发作的一般症状计算机病毒的生物特征宿主感染性危害性微小性简单性变异性多样性特异性相容性和互斥性顽固性计算机病毒的生命周期开发期--传染期--将计算机病毒其复制并确认其已被传播出去。潜伏期--计算机病毒是自然地复制的。计算机病毒的危害在于暗中占据存储空间。发作期--带有破坏机制的计算机病毒会在达到某一特定条件时发作，一旦遇上某种条件，例如，某个日期或出现了用户采取的某特定行为。发现期--当计算机病毒被检测到并被隔离出来后，计算机病毒被通报和描述给反计算机病毒研究工作者。消化期--反计算机病毒开发人员修改他们的软件以使其可以检测到新发现的计算机病毒。消亡期--处于消亡期的某些计算机病毒已经在很长时间里不再是一个重要的威胁了。计算机病毒的传播途径第一种途径：通过不可移动的计算机硬件设备进行传播。第二种途径：通过移动存储设备来传播。第三种途径：通过计算机网络进行传播。第四种途径：通过点对点通信系统和无线通道传播。其他未知途径：计算机工业的发展在为人类提供更多、更快捷的传输信息方式的同时，也为计算机病毒的传播提供了新的传播途径。计算机病毒发作的一般症状（1）计算机运行得比平常迟钝，程序载入时间比平常久；（2）对一个简单的工作，磁盘机似乎花了比预期长的时间；（3）不寻常、或与系统正在运行的软件无关的错误讯息出现；（4）硬盘的指示灯无缘无故地亮了，或程序同时存取多部磁盘机；（5）系统记忆体容量忽然大量减少，磁盘可利用的空间突然减少；（6）可执行文档的大小改变了；（7）记忆体内增加了来路不明的常驻程序；（8）档案奇怪地消失或档案的内容被附加了一些奇怪的资料；（9）档案名称、文档名、日期和属性被更改过。1.3计算机病毒的分类计算机病毒的基本分类按照计算机病毒攻击的系统分类 按照计算机病毒的寄生部位或传染对象分类 按照计算机病毒的攻击机型分类 按照计算机病毒的链接方式分类 按照计算机病毒的破坏情况分类 按照计算机病毒的寄生方式分类 按照计算机病毒激活的时间分类 按照计算机病毒的传播媒介分类 按照计算机病毒特有的算法分类 按计算机病毒的传染途径分类 按照计算机病毒的破坏行为分类 按照计算机病毒的“作案”方式分类 计算机病毒的基本分类传统开机型计算机病毒隐形开机型计算机病毒档案感染型兼开机型计算机病毒目录型计算机病毒传统档案型计算机病毒千面人计算机病毒突变引擎病毒隐形档案型计算机病毒终结型计算机病毒Word巨集计算机病毒按照计算机病毒攻击的系统分类攻击DOS系统的计算机病毒攻击Windows系统的计算机病毒攻击UNIX系统的计算机病毒攻击OS/2系统的计算机病毒按照计算机病毒的寄生部位或传染对象分类磁盘引导区传染的计算机病毒操作系统传染的计算机病毒可执行程序传染的计算机病毒按照计算机病毒的攻击机型分类攻击微型计算机的计算机病毒攻击小型机的计算机病毒攻击工作站的计算机病毒按照计算机病毒的链接方式分类源码型计算机病毒嵌入型计算机病毒外壳型计算机病毒操作系统型计算机病毒按照计算机病毒的破坏情况分类良性计算机病毒:不包含有立即对计算机系统产生直接破坏作用的代码。恶性计算机病毒:在其包含有损伤和破坏计算机系统的操作的代码，在其传染或发作时会对系统产生直接的破坏作用。按照计算机病毒的寄生方式分类引导型计算机病毒--指寄生在磁盘引导区或主引导区的计算机病毒。文件型计算机病毒--指能够寄生在文件中的计算机病毒。这类计算机病毒程序感染可执行文件或数据文件。复合型计算机病毒--兼具引导型病毒和文件型病毒寄生方式的计算机病毒。按照计算机病毒激活的时间分类计算机病毒可分为定时的和随机的两类。定时计算机病毒仅在某一特定时间才发作.随机计算机病毒一般不是由时钟来激活的。按照计算机病毒的传播媒介分类单机计算机病毒--单机计算机病毒的载体是磁盘，常见的是计算机病毒从软盘或U盘等移动载体传入硬盘，感染系统，然后再传染其他软盘或U盘，软盘等移动载体又传染其他系统。网络计算机病毒--网络计算机病毒的传播媒介不再是移动式载体，而是网络通道，这种计算机病毒的传染能力更强，破坏力更大。按照计算机病毒特有的算法分类伴随型计算机病毒--这一类计算机病毒并不改变文件本身，它们根据算法产生.exe文件的伴随体，具有同样的名字和不同的扩展名（.com），例如，Xcopy.exe的伴随体是X，计算机病毒把自身写入.com文件并不改变.exe文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的.exe文件。“蠕虫”型计算机病毒--这类计算机病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台计算机的内存传播到其他计算机的内存，寻找计算网络地址，将自身的计算机病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其他资源。寄生型计算机病毒--通过系统的功能进行传播，按算法可分为如下几种。练习型计算机病毒诡秘型计算机病毒变型计算机病毒（又称幽灵计算机病毒）按计算机病毒的传染途径分类计算机病毒按其传染途径大致可分为两类：一是感染磁盘上的引导扇区BootSector的内容的计算机病毒；二是感染文件型计算机的病毒。它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。混合型计算机病毒集感染引导型和文件型计算机病毒特性于一体。引导型计算机病毒会去改写（即一般所说的“感染”）磁盘上的引导扇区BootSector的内容，软盘或硬盘都有可能感染计算机病毒；或是改写硬盘上的分区表FAT。如果用已感染计算机病毒的软盘来启动的话，则会感染硬盘。按照计算机病毒的破坏行为分类攻击系统数据区攻击文件攻击内存干扰系统运行速度下降攻击磁盘扰乱屏幕显示键盘喇叭攻击CMOS干扰打印机按照计算机病毒的“作案”方式分类暗藏型计算机病毒杀手型计算机病毒霸道型计算机病毒超载型计算机病毒间谍型计算机病毒强制隔离型计算机病毒欺骗型计算机病毒干扰型计算机病毒Linux平台下的病毒分类1.可执行文件型病毒2.蠕虫（worm）病毒3.脚本病毒4.后门程序1.4互联网环境下病毒的多样化1.传播网络化2.利用操作系统和应用程序的漏洞3.传播方式多样4.病毒制作技术新5.诱惑性6.病毒形式多样化7.危害多样化即时通讯病毒即时通讯(IM)类病毒是指主要指通过即时通讯软件(如MSN、QQ等)向用户的联系人自动发送恶意消息或自身文件来达到传播目的的蠕虫等病毒。IM类病毒通常有两种工作模式：一种是自动发送恶意文本消息，另一种是利用即时通讯软件的传送文件功能，将自身直接发送出去。手机病毒1．通过“无红传送”蓝牙设备传播的病毒“卡比尔”、“Lasco.A”。2．针对移动通讯商的手机病毒“蚊子木马”。3．针对手机BUG的病毒“移动黑客”。4．利用短信或彩信进行攻击的“Mobile.SMSDOS”病毒流氓软件广告软件间谍软件浏览器劫持行为记录软件恶意共享软件搜索劫持自动拨号软件网络钓鱼习题1．简述计算机病毒的发展。2．计算机病毒与生物病毒的本质区别是什么？3．给出计算机病毒的基本特征。4．