20年重要计算机病毒

一、20年重要计算机病毒

1988年，当中国计算机反病毒第一人王江民看到自己编写工控软

件的计算机上有一个小球状的图标在跳来跳去的时候,并没有意识到

这个小小的东西会给计算机带来多大的麻烦。凭着过硬的汇编功底，

王江民很轻松地就把这个现在看来是中国出现的第一个病毒“小球”

手工清除了，并把清除病毒的杀毒程序命名为KV1,这就是中国最早

的计算机杀毒软件雏形。20年后的今天，计算机病毒已经超过100

万种，电脑和操作系统也已经更新升级了一代又一代，而每一个阶段,

总会有一些令人印象十分深刻的病毒，病毒在给计算机用户带来了许

许多多麻烦，上演着一幕幕虚拟世界的《罪与罚》。

（一）恶作剧时代。

从1988年出现“小球”病毒起至1992年之前，大部分病毒都是

恶作剧式的DOS病毒。他们在电脑用户的屏幕上用各种各样五花八门

的花样展现着自己，“小球”病毒在电脑屏幕上跳来跳去，“贪吃蛇”

则会吃掉所经过屏幕上的字符，有的会放出缤纷的礼花，干扰用户的

电脑操作，但并不对系统造成破坏。其它的还有“米开朗基罗”“黑

色星期五”“Stoned（石头）”病毒等等，这些病毒都通过感染硬盘或

软盘引导区，感染.COM和.EXE文件。这类病毒修改了部分中断向量

表,被感染的文件明显的增加了字节数，并且病毒代码主体没有加密,

也容易被查出和解除。略有对抗反病毒手段的只有YankeeDoole

病毒，当它发现你用DEBUG工具跟踪它的话，它会自动从文件中逃

走。

接着，又一些能对自身进行简单加密的病毒相继出现。它们加

密的目的主要是防止跟踪或掩盖有关特征等。后来还有一些对抗反病

毒技术和隐藏自己的病毒出现，1992年以后，一些病毒开始破坏系

统引导区，但由于那时候电脑主要是在高校和科研机关应用，普通家

庭根本没有机会接触到电脑，只有少数一些电脑使用者在关注它们，

病毒与电脑使用者之间就象是玩一场游戏，在杀与被杀之间斗智斗

勇，这是一场只有少数人才有资格参与的游戏。

(二)“快乐时光”不快乐。

1995年开始，WINDOWS视窗的推出和INTERNET的应用带来了病

毒的繁荣。WINDOWS和INTERNET给人们带来了“欢乐时光”，与此

同时，一种“欢乐时光(happytime)”病毒也在悄然来袭。“快乐

时光”能够通过电子邮件迅速传播，发送大量的带毒邮件，而且电脑

用户只要将鼠标光标点到这封邮件上，病毒就会被触发，向电脑中所

有的联系人发送同样的带毒邮件。

快乐时光使用了微软并利用OutlookExpress一个漏洞，该漏洞

可以在你没有点击运行附件时就将附件运行。快乐时光能够感染VBS、

html和脚本文件，成为互联网上长期的祸害，后来快乐时光又发展

成为新快乐时光并出现了很多变种，在系统日期月和日加起来等于

13的那天发作。一直到2005年才开始退出流行病毒行列。

那时候，很多电脑用户都不装杀毒软件，在电脑感到运行缓慢的

时候，往往会找来江民KV3000等杀毒软件临时杀毒，结果一杀就能

杀出数千上万个病毒出来，因为快乐时光是感染型病毒，电脑中有多

少脚本和网页文件，病毒就能感染多少，所以出现了杀出一万多个病

毒的奇观。

（三）CIH中国信息大劫难。

1998年2月，陈盈豪编写出了破坏性极大的Windows恶性病毒

CIH-1.2版，并定于每年的4月26日发作破坏，然后，悄悄的潜伏

在网上的一些供人下载的软件中。

一个月后，也就是到了1998年8月26日，CIH-1.4病毒首先跳

出来发作，我国部分地区遭到袭击，但损害面积不大。事后，为了避

免更大灾害，我国政府职能部门公安部发出了通缉三种CIH病毒的通

告。可是，使用正版杀毒软件的意识不被一些用户重视，又不经常保

持升级杀毒软件，CIH-1.2病毒又经过一年的传播，已传遍全世界，

世界性的巨大杀机潜伏下来了，一场人类史无前例的信息大劫难即将

暴发。

1999年4月26日，一个计算机行业难以忘却的日子，也就是到

了CIH-1.2病毒第二年的发作日，人们起早一上班便轻松的打开计算

机准备工作，可是，打开一台计算机后，只看到屏幕一闪便就黑暗一

片。再打开另外几台，也同样一闪后就再也启动不起来了.•.，计算

机史上，病毒造成的又一次巨大的浩劫发生了。第二天早上，上门请

求恢复硬盘数据的用户从江民公司的楼上一直排到了公司门前的马

路上，江民公司全体员工连夜免费为用户修复电脑硬盘数据，整整忙

了一个星期这种情况才有所缓解。

谈到造成那次计算机浩劫的主要原因，江民反病毒专家严绍文分

析说，主要原因是人们没有起码的防范意识。早在98年KV300+就可

以清除CIH病毒，但那时许多人掉以轻心，没有及时定期地对计算机

进行病毒扫描，还有一部分用户没有升级，加上那时杀毒软件盗版成

风，种种原因聚集在一起，导致了99年CIH的大规模爆发。

对于CIH病毒，江民反病毒中心每年都会病毒发作情况监控，

2006年以后，随着使用以DOS为内核的WIN98和WINME操作系统的

人越来越少，CIH已经失去了发作的系统平台，江民反病毒中心连续

几年对CIH病毒发作情况进行了监测，数据表明CIH已经开始退出病

毒舞台。

（四）“梅丽莎”美丽杀手。

1999年在西方国家大爆发的melissa又称为“梅丽莎”或者美

丽杀手，是一种word97宏病毒，专门针对微软的电子邮件服务器ms

exchange和电子邮件收发系统outlook0该病毒利用outlook全域地

址表来获取信箱地址信息，并自动给表中前50个信箱发送电子邮件,

并在其后附加一个被感染的文件list.doc,内含大量的色情网址。该

病毒会在每台被感染的电脑上重复这样的动作，在短时间内形成连锁

反应，产生大量的电子邮件垃圾，造成邮件服务器严重阻塞以至最后

瘫痪。用户可以手工在注册表中添加类似病毒感染的表项，避免病毒

的传染，或者在发送电子邮件时不要启动word文字处理系统。“梅

丽莎”当年造成了超过8000万美元的经济损失。

（五）“求职信”不死毒王。

求职信病毒（wantjob）始现于2001年8月，因为病毒中带有特

征字句"Iwantagoodjob,Imustsupportmyparents.（我必须

找到一分工作来供养我的父母）"，因此被称之为“求职信”病毒。

“家庭”中的几位“重要”的成员，分别是：Worm.WantJob.61440.

Worm.WantJob.73744,Worm.WantJob.81936.Win32.Foroux.A

这是一个高危险性的恶性邮件病毒，因为病毒中带有特征字句“I

wantagoodjob,Imustsupportmyparents.（我必须找至“一分工

作来供养我的父母）"，因此被称之为“求职信”病毒。它与Nimda

病毒同样利用了IframeExecCommand漏洞,使没有打IE补丁的用户

收到邮件后会自动运行，具有非常强的传播性。

“求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域

网等破坏功能，而且在感染计算机后还不停的查询内存中的进程、检

查是否有一些杀毒软件存在。如果存在则将该杀毒软件的进程终止。

每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。该

病毒每过8小时就搜寻一切可写的网络资源（如局域网的完全共享目

录），随机产生一个文件名，加密后把复制过去。因此感染性极强。

主要特点是通过电子邮件系统进行传播，感染电脑之后能主动关闭许

多杀毒软件的运行，正是这一个特点使得它的传播速度明显快于其他

病毒，其次它还能感染通过在局域网与电脑相连接的共享驱动器。

求职信病毒如果感染的是WindowsNT/2000系统的计算机，即把

自己注册为系统服务进程，一般方法很难杀灭。它还不停地向外发送

邮件，把自己伪装成"Htm、Doc、Jpg、Bmp、Xis、Cpp、HtmkMpg、

Mpeg“类型文件中的一种，文件名也是随机产生的，很具隐蔽性。

该病毒将会自动搜索硬盘，用内存中的随机数据覆盖硬盘上的所有文

件，因此会给用户数据带来无法估量的损失。

求职信病毒后来也出现了大量的变种，历经数年而不衰，一段时

间被称为是“不死毒王”，直到2005年以后，当木马盗号病毒成为主

流,求职信才很少再被提起过。

(六)SQL杀手：史上最短小、杀伤力最大的蠕虫。

2003年1月25日，江民快速反病毒应急处理中心成功截获造成

全球互联网瘫痪的"SQL杀手"(worm.SQLhelkerm)蠕虫病毒。这是

一个病毒体极其短小，却具有极强的传播性病毒，病毒只用376个字

节的程序，就使全球互联网遭遇到重创。病毒不破坏文件、数据，但

是能消耗大量网络带宽资源，使得网络陷入瘫痪。

江民反病毒专家介绍，此病毒是利用MicrosoftSQLServer的

漏洞进行传播，由于MicrosoftSQLServer在世界范围内都很普及，

因此此次病毒攻击导致全球范围内的互联网瘫痪，在中国80%以上网

民受此次全球性病毒袭击影响而不能上网，很多企业的服务器被此病

毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律

宾和印度等国家的互联网也受到严重影响。这是继红色代码、尼姆达,

求职信病毒后又一起极速病毒传播案例。所以“SQL杀手”蠕虫的出

现，应该成为一个传奇...

“SQL杀手”病毒能够大面积传播的奥秘在于，病毒在入侵未受

保护的机器后，首先取得三个Win32API地址,GetTickCount、socket、

sendto,接着病毒使用GetTickCount获得一个随机数，进入一个死

循环继续传播。在该循环中蠕虫使用获得的陨机数生成一个随机的

ip地址，然后将自身代码发送至1434端口（MicrosoftSQLServer

开放端口），该蠕虫传播速度极快，它使用广播数据包方式发送自身

代码，每次均攻击子网中所有255台可能存在机器，而受到感染的电

脑又开始进行下一轮攻击，病毒以255的几何级倍级传播，因此能够

在短短一小时左右迅速传遍全球。

（七）冲击波。

2003年8月12日，是继1999年4月26后又一个让电脑用户难

以忘记的日子。这天，几乎所有WIN2000以上操作系统的用户一连上

网就被提示系统将要在一分钟内重启，局域网用户的电脑也出现同样

症状。截止到今年4月份，据微软统计，这个被命名为“冲击波”的

病毒已经感染了近千万台电脑。冲击波利用微软操作系统RPC漏洞传

播，扫描TCP端口，对所有存在漏洞的机器发送攻击代码，病毒无需

进入硬盘，在内存中即可导致被扫描到的机器频繁重启。

一时间，冲击波病毒在全球范围内的泛滥不可遏止，全国上百万

台计算机、上千个局域网被感染，并以极快的速度传播。

“这次大规模蠕虫病毒的爆发可以说是2-3年以来国内反应最为

强烈的一次”，江民科技董事长王江民在接受新浪科技独家采访时表

示，“从江民目前的统计来看，本次遭受攻击的电脑系统主要集中在

WindowsXP及Windows2000上，大概占到60-70%的比例，另外少量

WindowsMe及98系统也遭到了不同程度的攻击”。

12日上午，江民公司率先在国内提交了该病毒的解决方案并及

时升级了病毒库，同时向国家公安部等相关部门提交了病毒样本。

据江民公司的技术人员介绍，冲击波病毒是一种蠕虫病毒，其样

本大小为6176字节，感染的操作系统为Windows2000和XP及2003

操作系统，病毒会下载并运行病毒文件Msblast.exe,最终将会导致

机器停止响应。

王江民认为，蠕虫病毒将是互联网时期最为肆虐的电脑病毒，而

在今后的时间内，可能还会不同程度的爆发。对于本次冲击波病毒，

王江民表示，相比之前的CIH病毒，这个病毒的传播能力颇强，就象

它自身的名字一样，基本是按指数上升的。

随着互联网信息时代的到来，网络安全已经成为企业和个人不得

不面临的问题，“准确的说，根本没有所谓永久性的安全防护措施，

对用户而言，提高防护意识可能更重要！”

（八）震荡波：不平常的五一。

2004年5月1日，人们正沉浸在五一长假的快乐当中，震荡波

病毒开始发难，其攻击手段与冲击波如出一辙，仍然是利用微软操作

系统漏洞以及开放的端口从内存到内存对连在网上的电脑进行攻击

的，一时，反病毒公司的热线电脑响声四起，反映自己奔四电脑比

586还慢，上不了网、频繁重启的求助电话一个接着一个，“震荡波”

病毒在短短12天时间内，即接连出现6个变种，感染了全球约1800

万台电脑，损失高达5亿美元。

4月13日到4月29日，江民反病毒专家们刚刚截获并消灭了专

偷网上银行资金的病毒“网银大盗”病毒，5月1日，国家计算机病

毒应急中心发现，一种利用微软操作系统漏洞的蠕虫病毒正在对互联

网发起攻击，并陆续接到江苏、宁夏、北京、黑龙江、辽宁和广东等

地区用户报告。凭着与计算机病毒多年的实战经验，专家们认为这个

病毒潜在的危害巨大，病毒利用的是WindowsLSASS的一个已知漏洞

(MS04-011),被攻击的计算机会出现系统频繁重启的现象，与去年大

面积爆发的冲击波病毒危害十分相似。反病毒专家们担心的是，虽然

去年4月份微软就发布了这个漏洞补丁，但我国仍有相当部分用户没

有打上这个漏洞补丁。

当日，国家计算机病毒应急处理中心紧急与以江民为首的我国反

病毒通道厂商联系，要求反病毒厂商紧急升级杀毒软件病毒库。江民

国内率先响应了国家应急中心的指示，以最快速度升级了KV系列杀

毒软件病毒库，并在江民反病毒资讯网发布了病毒技术分析报告以及

相关解决方案。

(九)网银大盗：网上银行大劫难。

2003年4月21日，一条平时不为人关注的计算机病毒新闻登上

了京城各大报刊的头版，江民反病毒专家发布消息称，他们截获一种

专门盗取某网上银行用户名和密码的木马病毒，这种病毒会在用户计

算机中创建可执行文件与挂钩和发信模块文件，并修改注册表，病毒

在系统启动时即可运行。病毒主程序开启2个计时器，计时器1每隔

3秒钟检查是否有常用反病毒和防火墙软件运行，一旦发现则立即终

止这些进程，同时还自动回写病毒注册表项和病毒文件。计时器2每

隔0.5秒搜索用户的IE窗口，如果发现用户正在"某网上银行"的登

录界面，则尝试窃取注册卡号和密码。一旦成功，就把窃取到的信息

保存到共享内存中，电脑与网络再次连通后，木马就会把共享内存中

保存的用户帐号和密码通过电子邮件发送给病毒作者。

“网银大盗”系一种间谍软件，属于木马类病毒，该病毒利用某

网上银行系统漏洞，偷取网上银行用户银行卡号和密码，并自动发送

给病毒作者。截止犯罪嫌疑人被捕时，该犯罪团伙已成功窃取资金

4.8万元。在江民及某网上银行技术人员的努力下，该病毒于4月

中旬即被查杀，某网上银行也已经进行了紧急技术升级，堵上了这个

漏洞，避免了一场即将发生的网上银行浩劫，保护了某网上银行用户

上千亿万资金安全。

(十)证券大盗。

2004年11月25日，江民反病毒中心截获“证券大盗”木马病

毒(Trojan/PSW.Soufan)。该木马可以盗取多家证券交易系统的交

易账号和密码，被盗号的股民帐户存在被人恶意操纵的可能。

据江民反病毒专家介绍，病毒运行后，自动监控一些特定的金融

证券网站页面，当病毒监测到包含多家券商名称的网站标题窗口时，

就开始使用键盘钩子程序自动记录用户登陆信息，包括用户名和密

码，同时，病毒还通过屏幕快照将用户登陆时窗口画面保存为图片，

在记录达到一定次数后，将记录的信息和图片通过电子邮件发送给病

毒作者。

江民公司研发部总经理何公道认为，该病毒可能造成的危害在

于，黑客可以恶意操纵被盗的股票，将某高价股票高买低卖，然后使

用自己的账户将同一股票低买高卖，赚取中间的差价，给被盗股民带

来巨大的损失。更为狡猾的是，“证券大盗”病毒每次运行后即“自

杀”，并删除自身在系统中留下的文件，达到消毁“罪证”的目的，

“作案”手段十分隐蔽。

令人吃惊的是，2006年5月14日，新华社报道，据公安部门侦

察，截止到犯罪嫌疑人被捕时，证券大盗病毒作者已利用“证券大盗”

病毒程序，在不到2个月时间里，截获股民股票账户、密码，盗买、

盗卖股票价值1141.17万元，非法获利38.6万元。5月9日下午，

南昌市中级人民法院一审以盗窃罪判处主犯张勇无期徒刑，从犯王

浩、邹亮分别被判13年和12年有期徒刑。证券大盗给人们留下深深

的思考！

(十一)敲诈者。

2006年6月11日，国内首例旨在敲诈被感染用户钱财的木马病

毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”

(Trojan/Agent.bq),病毒可恶意隐藏用户文档，并借修复数据之名

向用户索取钱财。“敲诈者”给中毒的电脑用户带来了巨大麻烦。

山东某公司财务部电脑感染了“敲诈者”，导致财务报表莫名失踪,

用户不得已紧急飞往北京寻求数据恢复。广州某从事鞋业国际贸易的

网友因感染该病毒，导致一笔巨额外贸订单丢失，白白损失数十万元。

而唐山某银行的用户也因为感染了敲诈者，导致单位工资报表被隐

藏，一时难以恢复。“敲诈者”病毒可谓作恶多端，一时网上人人喊

打，被病毒侵害丢失巨额外贸订单的网友“大叔”甚至极端地在网上

发帖，称要悬赏十万严惩名为“欧阳俊曦”的病毒作者。

据国内率先截获“敲诈者”病毒的江民科技反病毒工程师介绍，

仅江民反病毒中心已接到110余例用户中毒求助报告，而全国估计至

少有数千人感染该病毒，目前该反病毒中心已截获该病毒的7个变

种。新华社6月19日报道，经过病毒留下的线索和技术分析，江民

反病毒工程师锁定了一网名为“俊曦”的人，怀疑此人即为“敲诈者”

病毒的作者。据“俊曦”在MSN上留言，他传播病毒不过是为了“买

点面包充饥”。“俊曦”自称是有着二十年编程经验的程序员，以前

沉溺于技术赚钱不多得不到周围人承认，现在感觉“经常用左腿走路

累，突然换右脚感觉快多了”，暗示编写程序不如编写病毒赚钱。他

还透露将掀起“更大的风暴”。另据介绍，病毒作者还透露“敲诈者”

病毒是2006年6月6日制作完成并传播的，而这一天恰好是西方国

家的魔鬼日，病毒作者对此颇为自得，自称事前并无预谋，如此巧合

“似有神助”。

“敲诈者”病毒案例引起了公安部及广东省公安厅领导的高度重

视，广州警方成立了专案组，迅速锁定了病毒制造者欧阳某，并于7

月3日晚9时许，在广州白云区某小区内将犯罪嫌疑人抓获，当场查

获作案工具计算机2台以及手机卡和银行卡一批。从案发到侦破仅用

了19天时间。

（十二）熊猫烧香。

2006与2007年岁交替之际，一名为“熊猫烧香”的计算机病毒

在互联网上掀起轩然大波。从去年12月首次出现至今，短短一个多

月，病毒已迅速在全国蔓延，受害用户至少上百万，计算机反病毒公

司的热线电话关于该病毒的咨询和求助一直不断，互联网上到处是受

害者无奈的求助、怨恨、咒骂，电脑里到处是熊猫烧香的图标，重要

文件被破坏，局域网彻底瘫痪，病毒造成的损失无法估量。

1月18日，国内最大的计算机反病毒厂商江民科技监测到，“威

金”病毒新变种“熊猫烧香”仍在疯狂传播，上演着最后的疯狂。江

民科技监测发现，近阶段该病毒的传播手段更是无所不用其及，继一

些IT专业门户及资讯网站成为病毒帮凶后，一家普及率非常高的影

音播放软件网站也感染了该病毒，用户点击网页即可中毒。“熊猫烧

香”不但可以终止大量的杀毒软件和防火墙程序，而且还禁止用户使

用GHOST恢复系统，通过U盘、共享文件夹、系统默认共享、IE漏

洞、QQ漏洞、系统弱口令等等多种途径传播，局域网中一台机器感

染，可以瞬间传遍整个网络。

江民反病毒专家介绍，导致病毒快速传播目前存在三大原因。一

个大量的企业用户使用国外杀毒软件，而国外杀毒软件对于此类国产

病毒响应速度特别慢。二是一部分网站编辑或网站管理人员本身机器

感染了病毒，由于病毒能够修改HTML文件，当他们把受感染文件上

传到服务器后，访问者点击此类受感染网页即中毒。三是病毒综合利

用了多种漏洞和传播途径，如利用微软MS06-014漏洞感染HTML文件,

通过QQ最新漏洞传播自身，通过网络文件共享、默认共享、系统弱

口令、U盘及移动硬盘等多种途径传播。

（十三）磁碟机。

近日，越来越多的企业用户向江民反病毒中心求助，称他们的企

业网络正在遭受病毒侵袭，电脑运行缓慢，出现系统蓝屏、死机等现

象，可执行文件被病毒感染，整个网络安全面临严重的病毒威胁。

江民反病毒工程师经提取病毒样本分析后认为，多数企业都遭受

了同一病毒“千足虫”（又名磁碟机）病毒侵害。千足虫（磁碟机）

早在去年就被江民反病毒中心截获，近期频繁变种，大有卷土重来之

势。“磁碟机”病毒能够利用多种手段终止杀毒软件运行，并可导致

被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的

系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用

了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身

保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

江民反毒专家何公道认为，磁碟机病毒是近几年以来发现的病毒

技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒

软件能力均十倍于“熊猫烧香”。磁碟机病毒的发作标志着计算机病

毒进入了驱动病毒时代。

计算机病毒从2006年开始，又有了重大的发展。病毒的目标已

经从以前的炫耀技术彻底转向经济利益，网络上流行的病毒大都是盗

号窃密的木马病毒，而病毒技术也日新月异，病毒通过Rootkit技术

和映象劫持技术隐藏自身的进程、注册表键值，通过插入进程、线程

避免被杀毒软件查杀，通过实时监测对自身进程进行回写，避免被杀

毒软件查杀，通过还原系统SSDTHOOK和还原其它内核HOOK技术破

坏反病毒软件，其中仅映象劫持技术就包括“进程映像劫持”、“磁

盘映像劫持”、“域名映像劫持”、“系统DLL动态连接库映像劫持”

等多种方式。目前几乎所有的盗取网络游戏帐号的木马病毒都具备了

以上一种以上的技术特征，几乎所有最新的程序应用技术都被病毒一

一应用，电脑一旦感染病毒，普通用户根本无能力彻底清除，只能求

助专业技术人员。未来的计算机病毒将综合利用以上新技术，使得杀

毒软件查杀难度更大。

二、20年重要反病毒技术

从1988年我国发现第一个病毒“小球”算起，至今中国计算机

反病毒之路已经走过了二十年。二十年弹指一挥间，计算机病毒和反

病毒技术发生了翻天覆地的变化，计算机病毒迄今为止已经超过了一

百万种，而计算机反病毒技术也已经更新了一代又一代。作为中国最

早从事计算机反病毒研究的安全软件企业之一，江民科技以亲身经历

见证和参与书写了中国计算机反病毒二十年辉煌历史。

中国计算机反病毒发展史以1998年为界分为前十年和后十年两

个重要阶段。前十年历史主要是查杀感染文件型和引导区病毒的历

史，后十年主要是针对蠕虫和木马的历史。发展到今天，计算机病毒

更加复杂，多数新病毒是集后门、木马、蠕虫等特征于一体的混合型

病毒，而病毒技术也从以前以感染文件和复制自身，给电脑用户带来

麻烦和恶作剧为目的，变成了以隐藏和对抗杀毒软件并最终实施盗号

窃秘为目的。特别是进入2008年以来，病毒逃避杀毒软件追杀的能

力在不断提升，内核级驱动、映像劫持、ROOTKIT,注册表关联、插

入进程/线程、加壳加密等等，病毒从来没有象今天这样，将新技术

应用的如此全面，如此完善。而魔高一尺，道高一丈，计算机反病毒

技术在与计算机病毒的较量中也得到了升华，与20年前相比已经已

经有了质的飞跃。

（一）DOS杀毒时代。

无论是病毒还是反病毒，在一定时间阶段内必定是基于某一类主

流平台的，从DOS时代至今，操作平台发生了三次重大演变，从DOS

进展到WINODWS时代，从WINDOWS单机操作到目前互联时代，计算机

已经单一的信息孤岛发展成为全球互联网中的一个信息节点，相应地

计算机病毒的发展也与此息息相关。

（二）DEBUG手工杀毒。

1988年至1989年，我国先后出现了最早的计算机病毒“小球”

和“大麻”，而当时国内并没有杀毒软件，这时候，一些程序员使用

微软的软件缺陷调试程序DEBUG来跟踪清除病毒，这也成为最早最原

始的手工杀毒技术。DEBUG通过跟踪程序运行过程，寻找病毒的突破

口，然后通过DEBUG强大的编译功能将其清除。由于DEBUG强大的侦

错能力，在早期的反病毒工作中发挥了重大作用，但由于使用DEGUG

需要精通汇编语言和一些硬盘底层技术，所以，能够熟练使用DEBUG

杀病毒的人并不多，而早期经常使用DEBUG跟踪破解病毒的程序员，

在长期的杀毒工作过程中积累了经验以及病毒样本，多数成为后来计

算机反病毒行业的中坚技术力量。

就在那个时候，江民科技创始人王江民每次利用DEBUG杀掉一个

病毒，就编写一个程序，命名为KV1,当杀掉100个病毒，就把他们

集中起来，叫做KV100,一直到风靡全国的KV300,这样，普通的电

脑用户不需要掌握DEBUG,只需用KV就可以杀毒了。当然，计算机

病毒发展到现在，仅江民杀毒软件KV2006就可以清除超过13万种病

毒，我们的杀毒软件也早就不再用杀毒数来命名，而是采用了国际通

用的以年代命名的方法。随着操作系统和病毒技术的发展，以及DOS

病毒的退出历史舞台，现在的反病毒工程师已经很少用DEBUG去破解

病毒，而是普遍应用了IDA、OllyDbg等反编译程序，但用DEBUG手

工杀毒至今仍然是老一代反病毒人员津津乐道和难以忘怀的往事。

（三）广谱智能杀毒技术。

当病毒数量激剧上升，达到几千几万种的时候，人们发现，许多

新病毒其实就是老病毒变种，病毒作者在老病毒的基础上修改一些字

节数，添加一些新特征，这样就让杀毒软件无法识别了。这时候，如

果仍然采用一个一个病毒分析的方法，无疑工作量很大。能不能有一

种办法，提取出一个此类病毒的共同特征，以后不管这种病毒出现多

少变种，都可以用一种特码征去查杀。经过技术上的攻关和一次次测

试，我们研发成功了广谱智能杀毒技术，这种杀毒技术是在对此类变

种病毒的充分剖解的基础上，精心提取的病毒共同特征，只要在杀毒

软件中添加了广谱特征码，变种再多也可以做到以不变应万变。

（四）宏病毒杀毒技术。

1997年下半年，微软的Office逐渐普及，然而，不知从什么时

候开始，许多用户开始发现，平时很正常的WORD文档无法打印，一

篇稿件写完后去无法保存.....一场“宏”病毒大潮来袭！江民公司

反病毒中心接到的求助电话开始越来越多，经过反病毒工程师分析，

导致此类怪现象的原因，是因为电脑用户的WORD文档中多了一个未

知的“宏”。“宏”是WORD中的一种自动执行的一组操作命令，病

毒正是利用WORD此项功能，将一些有害的代码添加为“宏”命令，

从而破坏WORD的正常使用，甚至可以删除WORD文档。由于这种“宏”

极具传染性，所以被称为“宏病毒”。

然而，由于微软的WORD文档格式和算法是保密的，而“宏病毒”

所在的文件位置却并不确定，而且杀毒软件清除宏病毒的还不能破坏

WORD文档，这给杀除“宏”带来很大的困难。在求助微软中国公司

未果的情况下，经过江民反病毒研究中心一个月的攻关，终于把WORD

格式研究的透透彻彻，于是马上升级KV300杀毒引擎和病毒库，彻底

解决了宏病毒的难题。那个时候，衡量一款杀毒软件的杀毒能力，只

要看他处理“宏”病毒的情况就可以了，而KV300是国内首家可以彻

底解除宏病毒的杀毒软件，随着其它杀毒软件也开始加入清除“宏病

毒”的功能，慢慢地“宏”病毒开始逐渐被消灭。

（五）杀双料病毒和变形病毒。

除了广谱杀毒技术和宏病毒杀毒技术外，清除变形病毒和引导

区、文件型的“双料”病毒也是DOS时代较为典型的杀毒技术。“双

料”病毒既感染磁盘引导区、又感染可执行文件，常见的有

Flip/Omicron.XqR（Newcentury）.Invader/侵入者、Plastique/

塑料炸弹、3584/郑州（狼）、3072（秋天的水）、ALFA/3072-2,

Ghost/One_Half/3544（幽灵）、Natas（幽灵王）、TPVO/3783等，如果

只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时

又将病毒调入内存，会重新感染文件。如果只解除了主引导区的病毒,

而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主

引导区感染。狡诈的变形加密病毒，象乱线团一个，几乎让人解不开。

用具有特殊技术的查毒方法，使上述病毒在静态环境中是很容易被发

现。所谓静态环境就是指重新加电，用干净软盘引导系统。这样，就

可在内存无病毒的状态下，用具有特殊扫描方法的软件去主动搜索病

毒。即我们可用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显

影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网

络敏感系统等等，这样，变形病毒的问题也得到了解决。

（六）WINDOWS视窗时代从“杀毒”至》“反病毒”的关键一跃。

随着WINDOWS95和WINDOWS98操作系统的逐渐普及，电脑开始进

入可视化视窗时代，随着电脑与外界数据交换越来越频繁，电脑病毒

开始从各种入口入侵。除了软盘，光盘、硬盘、网上邻居、电子邮件、

网络下载、注册表等等都可能成为病毒感染的通道。病毒越来越多，

一味地杀毒将使电脑用户疲于应付，这时，反病毒工程师开始意识到

有效防御病毒比单纯杀毒对于用户来讲价值更大。1999年，江民公

司首家研发成功病毒实时监控技术，首次突破了杀毒软件的单一杀毒

概念，开创了从“杀毒”到“反病毒”新时代。从此，杀毒软件也开

始摆脱了一张杀毒盘的概念，首次安装版本，以KVW3000等为代表。

安装版的杀毒软件与操作系统同步运行，对通过文件、邮件、网

页等途径进入电脑的数据进行实时过滤，发现病毒在内存阶段立即清

除，抵御病毒于系统之外。

随着这一技术的发展和完善，目前实时监控技术已经非常完善，

如江民杀毒软件现在已具备了七套实时监控系统，具有文件监视、邮

件监视、网页监视、即时通信监视、木马'注册表监视、脚本监视、

隐私信息保护等七大实时监控功能，从各大病毒入侵通道封杀病毒，

成为目前杀毒软件最主流最具价值的核心技术。目前，衡量一款杀毒

软件的防杀能力，也主要通过测式实时监控性能，例如，发现网页上

的病毒，是在下载过程中（内存阶段）报警并清除还是在下载完毕后

才能报警并处理？经过层层压缩和加密的病毒，杀毒软件是根目录时

便能侦测到并报警，还是选择了这个病毒压缩包才能报警？病毒实时

监控技术又包含了比特动态滤毒技术、深层杀毒技术、神经敏感系统

技术等，这些技术使得杀毒软件在实时监控病毒时更灵敏，清除病毒

也更彻底。

（七）互联网时代：主动防御新时代。

近年来，伴随着互联网的高速发展，病毒也进入了愈加猖狂和泛

滥的新阶段，并呈现出了以下几个特征:

1、病毒的种类和数量在迅速增长。江民公司2008年1月2日发

布的《2007年度病毒疫情报告》中显示表明：截止到2007年底，江

民反病毒中心共截获新病毒总数为36万3000余种，较06年增长

501%。截止到2007年12月份,病毒累计感染计算机3441万4793台，

其中78%以上的病毒为木马、后门。而仅2008年上半年，江民反病

毒中心共截获新病毒206439种，1至6月全国共有9871681台计算机

感染了病毒。目前江民反病毒中心日处理病毒数量达到最高达到上万

种。

2、传播手段越来越广泛。木马、病毒通过移动存储设备、网页

挂马、网址欺骗、视频文件传播、部分知名软件的漏洞等进行疯狂传

播。

3、病毒的技术水平越来越高。病毒制造者不断更新着病毒的制

造技术，不断推出病毒的新变种，利用新的技术手段隐藏自身进程，

通过加壳和免杀技术终止杀毒软件的运行，逃避杀毒软件对于病毒的

查杀，达到传播有害程序、破坏数据文件、非法窃取利益的目的。更

值得关注的是，进入2008年以来，大部分主流病毒技术都进入了驱

动级，开始与杀毒软件争抢系统驱动的控制权，从而控制杀毒软件，

致使杀毒软件功能失效。

4、病毒的危害越来越大。更多的木马和病毒破坏电脑系统、造

成死机、蓝屏、数据丢失、窃取用户帐号密码等，给用户造成巨大的

损失和破坏。“熊猫烧香”、“机器狗”、“ARP病毒”、“磁碟机”

这些病毒迅速在互联网上疯狂传播，被感染的计算机数量急速增长,

严重影响着个人用户和企业用户的信息安全。

伴随着计算机病毒的飞速发展，一些新的计算机反病毒技术也应

运而生。

（八）未知病毒主动防御技术。

未知病毒主动防御的核心原理是依据行为判断，不同于常规的特

征扫描技术。主动防御监测系统主要是依靠本身的鉴别系统，分析某

种应用程序运行进程的行为，从而判断它的行为，达到主动防御的目

的。

当前的杀毒软件都是通过从病毒样本中提取病毒特征值来构成

病毒特征库，采用特征扫描技术，通过与计算机中的应用程序或者文

件等的特征值逐一比对，来判断计算机是否已经被病毒感染，即由专

业反病毒人员在反病毒公司对可疑程序进行人工分析研究。杀毒软件

厂商只有通过用户上报或者通过技术人员在网络上搜索才能捕获到

新病毒，然后从新病毒中提取病毒特征值添加到病毒库中，用户通过

升级获取最新的病毒库，才能判断某个程序是病毒。

如果用户不升级，用户计算机上安装的杀毒软件就不能防范新出

现的病毒，这也是专业反病毒工程师一直强调用户要及时升级杀毒软

件病毒库的原因。这种特征值扫描技术的原理决定了杀毒软件的滞后

性，使用户不能对网络新病毒及时防御，网络病毒的频频爆发，已经

使国际国内反病毒领域开始意识到，杀毒软件赖以生存的事后“补丁”

式技术越来越被动，所以主动防御监测技术应运而生。

（九）BOOTSCAN系统启动前杀毒技术。

近年来，一系列计算机新技术被病毒利用，人们发现，病毒开始

越来越难清除了，中了病毒无法查出，查出病毒无法清除，甚至杀毒

软件被病毒干掉的事情经常发生。“ROOTKIT”、插入线程、进程这

些计算机新技术已经成为木马病毒的常用办法。针对此类疑难病毒，

BOOTSCAN系统启动前杀毒技术应运而生，江民反病毒研究中心在

2005年9月研发成功的此项技术能够在系统启动之前就开始调用杀

毒引擎扫描和清除病毒，而在这一阶段病毒的这些自我保护和对抗反

病毒技术的功能还