计算机病毒的定义
计算机病毒是一个程序,一段可执行码 ,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用备配返户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
1.计算机病毒的特点
计算机病毒具有以下几个特点:
(1) 寄生性
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2) 传染性
计算卖闷机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
(3) 潜伏性
有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
(4) 隐蔽性
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
2.计算机病毒的表现形式
计算机受到病毒感染后,会表现出不同的症状,下边把一些经常碰到的现象列出来,供用户参考。
(1) 机器不能正常启动
加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。
(2) 运行速度降低
如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。
(3) 磁盘空间迅速变小
由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。
(4) 文件内容和长度有所改变
一个文件存入磁盘后,本来它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。
(5) 经常出现“死机”现象
正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。如果机器经常死机,那可能是由于系统被病毒感染了。
(6) 外部设备工作异常
因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。
以上仅列出一些比较常见的病毒表现形式,肯定还会遇到一些其他的特殊现象,这就需要由用户自己判断了。
3.计算机病毒的预防
前面介绍了计算机病毒,现在讲一下怎样预防病毒的问题。首先,在思想上重视,加强管理,止病毒的入侵。凡是从外来的软盘往机器中拷信息,都应该先对软盘进行查仿饥毒,若有病毒必须清除,这样可以保证计算机不被新的病毒传染。此外,由于病毒具有潜伏性,可能机器中还隐蔽着某些旧病毒,一旦时机成熟还将发作,所以,要经常对磁盘进行检查,若发现病毒就及时杀除。思想重视是基础,采取有效的查毒与消毒方法是技术保证。检查病毒与消除病毒目前通常有两种手段,一种是在计算机中加一块防病毒卡,另一种是使用防病毒软件工作原理基本一样,一般用防病毒软件的用户更多一些。切记要注意一点,预防与消除病毒是一项长期的工作任务,不是一劳永逸的,应坚持不懈。
计算机病毒是在什么情况下出现的?
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。
(2)计算机软硬件产品的危弱性是根本的技术原因
计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式, 效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
(3)微机的普及应用是计算机病毒产生的必要环境
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延, 到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
计算机病毒是如何分类的?
计算机病毒可以从不同的角度分类。若按其表现性质可分为良性的和恶性的。良性的危害性小, 不破坏系统和数据, 但大量占用系统开销, 将使机器无法正常工作,陷于瘫痪。如国内出现的圆点病毒就是良性的。恶性病毒可能会毁坏数据文件, 也可能使计算机停止工作。若按激活的时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作, 而随机病毒一般不是由时钟来激活的。若按其入侵方式可分操作系统型病毒( 圆点病毒和大麻病毒是典型的操作系统病毒), 这种病毒具有很强的破坏力(用它自己的程序意图加入或取代部分操作系统进行工作), 可以导致整个系统的瘫痪;原码病毒, 在程序被编译之前插入到FORTRAN、C、或PASCAL等语言编制的源程序里, 完成这一工作的病毒程序一般是在语言处理程序或连接程序中;外壳病毒, 常附在主程序的首尾, 对源程序不作更改, 这种病毒较常见, 易于编写, 也易于发现, 一般测试可执行文件的大小即可知;入侵病毒, 侵入到主程序之中, 并替代主程序中部分不常用到的功能模块或堆栈区, 这种病毒一般是针对某些特定程序而编写的。若按其是否有传染性又可分为不可传染性和可传染性病毒。不可传染性病毒有可能比可传染性病毒更具有危险性和难以预防。若按传染方式可分磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒和一般应用程序传染的计算机病毒。若按其病毒攻击的机种分类, 攻击微型计算机的, 攻击小型机的, 攻击工作站的, 其中以攻击微型计算机的病毒为多, 世界上出现的病毒几乎90%是攻击IBM PC机及其兼容机。
计算机病毒的定义
一 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
二 计算机病毒的特点计算机病毒是人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。
三 病毒存在的必然性计算机的信息需要存取、复制、传送,病毒作为信息的一种形式可以随之繁殖、感染、破坏,而当病毒取得控制权之后,他们会主动寻找感染目标,使自身广为流传。
四 计算机病毒的长期性病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
五 计算机病毒的产生病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。病毒是人为的特制程序现在流行的病毒是由人为故意编写的,多数病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒.
六 计算机病毒分类根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类:
其他计算机病毒介绍
按照计算机病毒存在的媒体进行分类根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。 按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。 按照计算机病毒破坏的能力进行分类根据病毒破坏的能力可划分为以下几种:无害型除了传染时减少磁盘的可用空间外,对系统没有其它影响。无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型这类病毒在计算机系统操作中造成严重的错误。非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。 按照计算机病毒特有的算法进行分类根据病毒特有的算法,病毒可以划分为:伴随型病毒这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。诡秘型病毒它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
七、计算机病毒的发展在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播.1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。 DOS可执行阶段1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。 伴随,批次型阶段1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。 幽灵,多形阶段1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。 生成器,变体机阶段1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器” ,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。 网络,蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。 视窗阶段1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。 宏病毒阶段1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没有公开,这类病毒查解比较困难 互连网阶段1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒. 爪哇(Java),邮件炸弹阶段1997年,随着万维网(Wold Wide Web)上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。
八 他的破坏行为计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,而且难以做全面的描述,根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:
攻击系统数据区,攻击部位包括:硬盘主引寻扇区、Boot扇区、FAT表、文件目录等。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。 攻击文件病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件等。 攻击内存内存是计算机的重要资源,也是病毒攻击的主要目标之一,病毒额外地占用和消耗系统的内存资源,可以导致一些较的大程序难以运行。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存等。 干扰系统运行病毒会干扰系统的正常运行,以此做为自己的破坏行为,此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、使文件打不开、使内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串行口、并行口等。 速度下降病毒激活时,其内部的时间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。 攻击磁盘攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。 扰乱屏幕显示病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。 键盘病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。 喇叭许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富,已发现的喇叭发声有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。 攻击CMOS 在机器的CMOS区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。 干扰打印机典型现象为:假报警、间断性打印、更换字符等。
九、计算机病毒的危害性计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络,致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了“小球”病毒,它对统计系统影响极大,此后由计算机病毒发作而引起的“病毒事件”接连不断,前一段时间发现的CIH、美丽杀等病毒更是给社会造成了很大损失。
3.计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒寄生方式有哪几种?
(1)寄生在磁盘引导扇区中:任何操作系统都有个自举过程, 例如DOS在启动时, 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。病毒程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。这样, 系统的一次初始化, 病毒就被激活了。它首先将自身拷贝到内存的高端并占据该范围, 然后置触发条件如INT 13H中断(磁盘读写中断)向量的修改, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。如果磁盘没有被感染(通过识别标志)则进行传染。
(2)寄生在可执行程序中:这种病毒寄生在正常的可执行程序中, 一旦程序执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后置触发条件, 也可能立即进行传染, 但一般不作表现。做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并在执行时首先执行它。这种病毒传染性比较强。
(3)寄生在硬盘的主引导扇区中:例如大麻病毒感染硬盘的主引导扇区, 该扇区与DOS无关。
计算机病毒的工作过程应包括哪些环节?
计算机病毒的完整工作过程应包括以下几个环节:
(1)传染源:病毒总是依附于某些存储介质, 例如软盘、 硬盘等构成传染源。
(2)传染媒介:病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。
(3)病毒激活:是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用--自我复制到传染对象中, 进行各种破坏活动等。
(4)病毒触发:计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符,也可能是系统一次通信等等。
(5)病毒表现:表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。
(6)传染:病毒的传染是病毒性能的一个重要标志。在传染环节中, 病毒复制一个自身副本到传染对象中去。
不同种类的计算机病毒的传染方法有何不同?
从病毒的传染方式上来讲, 所有病毒到目前为止可以归结于三类:感染用户程序的计算机病毒;感染操作系统文件的计算机病毒;感染磁盘引导扇区的计算机病毒。这三类病毒的传染方式均不相同。
感染用户应用程序的计算机病毒的传染方式是病毒以链接的方式对应用程序进行传染。这种病毒在一个受传染的应用程序执行时获得控制权, 同时扫描计算机系统在硬盘或软盘上的另外的应用程序, 若发现这些程序时, 就链接在应用程序中, 完成传染, 返回正常的应用程序并继续执行。
感染操作系统文件的计算机病毒的传染方式是通过与操作系统中所有的模块或程序链接来进行传染。由于操作系统的某些程序是在系统启动过程中调入内存的, 所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存的。病毒进入内存后就判断是否满足条件时则进行传?/ca>
如果你的计算机感染了病毒,那么系统的运行速度会大幅度变慢。病毒入侵后,首先占领内存这个据点,然后便以此为根据地在内存中开始漫无休止地复制自己,随着它越来越庞大,很快就占用了系统大量的内存,导致正常程序运行时因缺少主内存而变慢,甚至不能启动;同时病毒程序会迫使CPU转而执行无用的垃圾程序,使得系统始终处于忙碌状态,从而影响了正常程序的运行,导致计算敬陪机速度变慢。下面我们就介绍几种能使系统变慢的病毒。
1、使系统变慢的bride病毒
病毒类型:黑客程序
发作时间:随机
传播方式:网络
感染对象:网络
警惕程度:★★★★
病毒介绍:
此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。运行时会自动连接网站,如果无法连接到此网站,则病毒会休眠野桐几分钟,然后修改注册表将自己加入注册表自启动项,病毒会释放出四个病毒体和一个有漏洞的病毒邮件并通过邮件系统向外乱发邮件,病毒还会释放出FUNLOVE病毒感染局域网计算机,最后病毒还会杀掉已知的几十家反病毒软件,使这些反病毒软件失效。
病毒特征
如果用户发现计算机中有这些特征,则很有可能中了此病毒。
·病毒运行后会自动连接网站。
·病毒会释放出Bride.exe,Msconfig.exe,Regedit.exe三个文件到系统目录;释放出:Help.eml, Explorer.exe文件到桌面。
·病毒会在注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中加入病毒Regedit.exe的路径。
·病毒运行时会释放出一个FUNLOVE病毒并将之执行,而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。
·病毒会寻找计算机中的邮件地址,然后按照地址向外大量发送标题为:<被感染的计算机机名>(例:如果用户的计算机名为:张冬, 则病毒邮件的标题为:张冬)的病毒邮件。
·病毒还会杀掉几十家国外著名的反病毒软件。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了Bride(Worm.bride)病毒,请用户立刻用手中的杀毒软件进行清除。
2、使系统变慢的阿芙伦病毒
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/文件
感染对象:网络
警惕程度:★★★★
病毒介绍:
此病毒可以在Windows 9X、Windows NT、Windows 2000、Windows XP等操作系统环境下正常运行。病毒运行时将自己复到到TEMP、SYSTEM、RECYCLED目录下,并随机生成文件名。该病毒运行后,会使消耗大量的系统资源,使系统明显变慢,并且杀掉一些正在运行的反病毒软件,建立四个线程在局域网中疯狂传播。
病毒特征
如果用户发现计算机中有这些特征,则很有可能中了此病毒:
·病毒运行时会将自己复到到TEMP、SYSTEM、RECYCLED目录下,文件名随机
·病毒运行时会使系统明显变慢
·病毒会杀掉一些正在运行的反病毒软件
·病毒会修改注册表的自启动项进行自启动
·病毒会建立四个线程在局域网中传播
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“阿芙伦(Worm.Avron)”病毒,由于此病毒没有固定的病毒文件名,所以,最好还是选用杀毒软件进行清除。
3、恶性蠕虫 震荡波
病毒名称: Worm.Sasser
中文名称: 震荡波
病毒别名: W32/Sasser.worm [Mcafee]
病毒类型: 蠕虫
受影响系统:WinNT/Win2000/WinXP/Win2003
病毒感染症状:
·莫名其妙地死机或重新启动计算机;
·系统速度极慢,cpu占用100%;
·网络变慢;
·最重要的是,任务管理器里有一个叫"avserve.exe"的进程在运行!
破坏方式:
·利用WINDOWS平台的 Lsass 漏洞进行广泛传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。
·和最近出现的大部分蠕虫病毒不同,该病毒并不通过颂稿坦邮件传播,而是通过命令易受感染的机器
下载特定文件并运行,来达到感染的目的。
·文件名为:avserve.exe
解决方案:
·请升级您的操作系统,免受攻击
·请打开个人防火墙屏蔽端口:445、5554和9996,防止名为avserve.exe的程序访问网络
·手工解决方案:
首先,若系统为WinMe/WinXP,则请先关闭系统还原功能;
步骤一,使用进程程序管理器结束病毒进程
右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“avserve.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”进入 系统安装目录(Winnt或windows),找到文件“avser ve.exe”,将它删除;然后进入系统目录(Winntsystem32或windowssystem32),找 到文件"*_up.exe", 将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始——>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
在右边的面板中, 找到并删除如下项目:"avserve.exe" = %SystemRoot%avserve.exe
关闭注册表编辑器。
第二部份 系统加速
一、Windows 98
一、病毒定义 所谓病毒就是一段代码,其本质和大家使用的QQ、WORD什么的程序没有区别,只不过制作者令其具有了自我复制和定时发作进行破坏功能。一般病毒都在1K到数K大小。 二、病毒种类 我们所遇到的病毒可分引导型(感染磁盘引导区)程序型(感染可执行文件)宏病毒(感染WORD文档)等。 三、病毒工作原理 计算机系统的内存是一个非常重要的资源,我们可以认为所有的工作都需要在内存中运行(相当与人的大脑),所以控制了内存就相当于控制了人的大脑,病毒一般都是通过各种方式把自己植入内存,获取系统最高控制权,然后感染在内存中运行的程序。(注意,所有的程序都在内存中运行,也就是说,在感染了病毒后,你所有运行过的程序都有可能被传染上,感染那些文件这由病毒的特性所决定) 1、程序型病毒的工作原理。 这是目前最多的一类病毒,主要感染.exe 和 .dll 等可执行文件和动态连接库文件,比如很多的蠕虫病毒都是这样。注意蠕虫病毒不是一个病毒,而是一个种类。他的特点是针对目前INTERNET高速发展,主要在网络上传播,当他感染了一台计算机之后,可以自动的把自己通过网络发送出去,比如发送给同一居欲网的用户或者自动读取你的EMAIL列表,自动给你的朋友发EMAIL等等。感染了蠕虫病毒的机器一秒种可能会发送几百个包来液燃探测起周围的机器。会造成网络资源的巨大浪费。所以这次我们杀毒主要是针对这种病毒。 那么病毒是怎么传染的那? 切记:病毒传染的前提就是,他必须把自己复制到内存中,硬盘中的带毒文件如果没有被读入内寸,是不会传染的,这在杀毒中非常重要。而且,计算机断电后内存内容会丢失这我想闹卜虚大家都知道。 所以:病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。 2、程序型病毒是怎么传播的。 病毒传播最主要的途径是网络,还有软盘和光盘。比如,我正在工作时,朋友拿来一个带病毒的软盘,比如,该病毒感染了磁盘里的A文件,我运行了一下这个A文件,病毒就被读如内存,如果你不运行染毒文件,程序型病毒是不会感染你的机器的(不要骂,我这里说的是程序型病毒,后面我会说引导型病毒,他只要打开软盘就会感染)当染毒文件被运行,病毒就进入内存,并获取了内存控制权,开始感染所有之后运行的文件。比如我运行了WORD。EXE ,则该文件被感染,病毒把自己复制一份,加在WORD.EXE文件的后面,会使该文件长度增加1到几个K。(不是所有病毒都这样,我举这个离子只是想介绍病毒感染过程) 好,接下来,比如说我关机了,则内存中的病毒被清除,我机子中所有的染毒文件只有WORD.exe。第二天,我又开机时,内存是干净的。比如我需要用WORD,于是,该染毒文件中的病毒被读如内存,继续感染下面运行的程序,周而复始,时间越长,染毒文件越多。 到了一定时间,病毒开始发作(根据病毒作者定义的条件,有的是时间,比如CIH,有的是感染规模等等)执行病毒作者定义的操作,比如无限复制,占用系统资源、删除文件、将自己向网络传播甚至格式化磁盘等等。 但是,无论如何,病毒只不过是一段代码,他不可能破坏硬件(欢迎和我讨论),就算是CIH也不是破坏硬件,他只是改写了BIOS中的数据,实际上还是软破坏。什么叫破坏硬件?就是病毒发作时,你的硬盘啪的一下裂成两半,可能吗? 所以,完全不必惧怕病毒,他不会让我门受到太大的经济损失,如果我们养成良好的工作习惯的话(比如自己的文档不要保存在C盘等,后面我会细说) 3、引导型病毒的工作原理 看了前面的病毒传染过程,大家很容易想到,只要我启动计算机后不运行染毒程序,直接删除不就可以了。实际上,现在的病毒没有那么弱智的,下面我门来看看其他的几种传染机制,首先看看引导型病毒 刚才说了,病毒必须进入内存才可以继续感染,只有被运行他才可以进入内存,那么与等用户来运行,如果用户长期不用这个染度文件,岂不是等的花而也谢了。引导型病毒感染的不是文件,而是磁盘引导区,他把自己写入引导区,这样,只要磁盘被读写,病毒就首先被读取入内存。这就是为什么杀毒要用干净的启动盘启动,为的就是防止引导型病毒。下面我详细的谈一下磁盘引导区,看不懂的可以跳过去。 4、引导型病毒是如何传播的 在计算机启动时,必须读取硬盘主引导区获得分区信息,再读取C:盘引导区获取操作系统信息,这时候任何杀毒软件都无法控制,这样我先介绍一下计算机的启动顺序弊核,大家只要记住一点就是:任何程序都要被读入内存才会起作用。 计算机加电后,内存是空的,首先从BIOS中读取一些启动参数到内存中,这些命令控制计算机去做下一步工作就是自检。(BIOS就是固化在ROM中的基本输入输出系统的意思,ROM是只读存储器,因为计算机是一个机电设备,他不会自己干什么事情,必须由软件,也就是人事先写好的程序来控制他工作,而这些程序必须被读入内存才可以控制计算机,哈哈越扯越远了,不说了,在将就变成计算机基础讲座了,哈哈) 接下来,计算机自检,发现硬盘,读取硬盘主引导程序到内存中,再读取C盘的引导程序到内存中,再读取操作系统文件到内存中,然后开始由操作系统文件控制计算机开始启动。启动完毕后,读入各种自动运行的文件,比如天网放火墙、QQ、病毒监测软件、等等, 前面说过,谁先进入内存,谁先占据系统控制权,从上面的启动顺序可以发现,如果病毒在引导区,那么,他被读入内存的时候,杀毒软件还不知道在那里呢。 举个离子:比如我拿了一张染有引导型病毒的软盘用,当我双击A盘图标后,计算机开始读软盘,首先读入软盘引导区,病毒随之进入内存,并立即把自己写入硬盘引导区(如果开了病毒检测,则时可以检测到并杀之)。如果没有装杀毒软件,检测布道,则下次开机时,计算机自检之后,读硬盘引导区时就会同时读入病毒,接下来,病毒获得系统控制权,改写操作系统文件,隐藏自己,然后计算机继续启动进入WIN200桌面,然后病毒检测才开始运行,病毒完全可能已经把自己伪装起来,让杀毒软件找不到。 所以这中病毒一定要用启动盘启动后,再杀,就是为了跳过读硬盘引导区那一段。在后面我会纤细介绍。 5、病毒如何自动把自身装入内存。 刚才介绍了现在的病毒不会等待用户去运行染毒文件才进驻内存,他们都有自己的办法运行自己,进驻内存,但是有一个共同的特征就是,他必须把自己放在合适的位置,让系统在启动的某个阶段自动去调用他。因为计算机刚刚加电的时候,系统控制权是在BIOS手里的(因为他最早装入内存),而BIOS是保存在只读的ROM中的,所以这时,系统是无毒的,所以引导型病毒要做的就是在BIOS向操作系统交权之前也就是读取启动盘时截取之。 那么程序型病毒怎么把自身装如内存呢?他没有截取控制权的这个能力,BIOS会顺利的把控制权交给操作系统,这时,用户看到的就是开始启动WIN200,由于操作系统在启动时会读取大量的动态联结库文件,病毒就可以把自己放在一个合适的位置上,然后告诉WIN2000启动时把自己读如内存,这一步很好实现,比如大家都知道,QQ启动时会被自动运行,实际上,程序型病毒自动运行自己的办法和QQ从本质上是相同的。就是让系统在启动的某个阶段自动去调用而已。 下面先介绍蠕虫病毒,用他携带的木马程序的自动运行方式来介绍一下这个过程。 四、关于蠕虫病毒 我们学校网络中最多的就是蠕虫病毒,所以我要单独的说一下。 蠕虫病毒是在INTERNET高速发展后出现的病毒,他具有了一些新特性。大部分的蠕虫病毒是程序型的,不会感染引导区,他们一般通过邮件传播(注意,不是唯一的传播方式,所有传统的传播方式都会传播之,并且许多蠕虫病毒会自己搜索网络上没有感染的机器并感染之,他实际上是一个写的很好的以太网传输状态的检测工具^_^),并且大多携带木马程序,具有根据微软服务软件的漏洞来入侵计算机的攻击能力,大部分蠕虫病毒并不破坏计算机里的信息,只是疯狂的去感染其他的计算机。感染了蠕虫病毒的计算机会不停的向外发送信息包,占用CPU可在80%以上,造成本机运行极其缓慢,网络拥塞,甚至可以导致网络瘫痪。 一般蠕虫病毒会携带木马程序,安装在系统目录中,那么他是怎么自动运行的那,等一会我通过一个例子来介绍。 五、什么是木马 在我校很多机器中都有木马软件。 木马就是远程控制软件的一种,也称为后门软件,其作用就是利用操作系统的漏洞或者使用者的疏忽来进入系统并在远程控制下从系统内部攻击系统。因特洛伊木马病毒是一种比较早期的成功的此种软件,且有古代战争典故,想必大家都知道。所以,后来多称此种带有攻击性质的远程控制软件为木马 而其他的一些不带攻击性质的远程控制软件其实原理都是一样的,比如, 塞门铁客(英文不会写)的大名鼎鼎的PCANYWHERE就是一个很成功的远程控制软件 木马可以被杀毒软件查杀,所以,这里也把他作为病毒来处理。 六、杀毒软件为什么能杀毒 1、 为什么杀毒软件必须不停的升级 病毒就是一段代码,用一些语言写出来,比如汇编等。没种病毒都会有一些特征,叫做病毒特征码,实际上就是病毒代码中的一段读一无二的字符。举个容易理解的例子(实际上不是这样):比如有个病毒发作后会格式化C:盘,那么病毒代码中就会有这么一句命令:FORMAT C:/U (实际上病毒不会去用DOS命令的,那太高级了,他会直接调用13号中断写硬盘,所以这里只是一个例子),那么就可以用FORMAT C: /U这样一个字符串作为这个病毒的特征代码,杀毒时,把所有的文件打开,从头到尾的搜索,如果找到着段代码,就报告发现病毒,然后清除之。 从我描述的这个过程大家就可以明白,为什么杀毒软件必须不停的升级,因为,只有一种病毒被发现后,他的特征代码才能被找到,才能被杀毒软件识别。 2、 一个病毒从制作、传播到被杀死过程的例子: 某个软件天才某天心情好,写了一个病毒,然后开始通过网络传播,然后大批的机器被感染,然后用户向杀毒软件公司抱怨有病毒杀不了,(其实大部分是杀毒软件公司的工作人员更早发现该病毒),然后,软件公司得到病毒样本,开始分析样本,找到病毒特征码,然后更新其病毒库,令其在杀毒时也查找这种病毒码,然后通知用户,请他们升级其购买的软件。然后用户升级,再杀毒,结果,该病毒被杀死,同时新的病毒被发现,周而复始。 所以,杀毒软件永远跟在病毒的后面这是毫无疑问的。从我的叙述中大家可以发现,实际上,如果一种病毒被发现,几乎所有的公司都会得到他的样本并分析出他的特征码,然后另其自己的杀毒软件可以杀死该毒,那么,各种杀毒软件的优劣从何而来呢? 3、 什么杀毒软件好? 其实,大家都有一样的病毒库,但是,在我刚才描述的查毒过程中,大家不知道有没有注意到,实际上他是等于在磁盘的所有文件中寻找某段特征代码,如果你的硬盘有20G的数据,他就要把这20G的数据过滤一遍,逐个字符来对比,其速度我不说你们也能想到。更要命的是一般的病毒库都装了几万中病毒代码,哈哈,这么查上几万遍,查下来,估计你也从我们学校毕业了。所以实际上各个公司都有自己的杀毒引擎,实际上这才是核心技术,他使用的独特的算法高速检查,但就算这样,查一遍下来至少也要几个小时。所以,为了提高杀毒效率,可以令杀毒程序只检查一些可能被感染的文件,比如。EXE 。DLL等,象。BMP 。MPG就不会被检查,这样,时间就缩短了很多,然后,他们可以只检查每个。EXE文件的文件头,从这里可以发现病毒修改的蛛丝马迹。然后,他们开始把一些不常见的病毒排除出病毒库之外,只检查一些常见的病毒,就是所谓的快速杀毒。这是为什么不同软件查出不同病毒的原因之一,再下来,也是最关键的一点,就是杀毒软件根据病毒代码判断病毒是完全有可能发生误判,错判的,提高判断的准确性必须以牺牲查毒时间为代价。所以,不同公司的杀毒引擎提供不同的判断方法,导致了可能有的软件查不出来的毒别的软件可以查出。 所以,所有的杀毒软件都包括两个主要的部分,一是杀毒引擎,另一个是病毒数据库。病毒数据库必须不停的更新,就我校的情况我个人推荐半个月更新一次。 我认为,各种杀毒软件其实功能相差不多,主要是看哪个可以迅速更新,再好的杀毒软件不跟新等于没有。
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据肆搏,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
其触发机制是:裂桥祥C盘存在autoexec.bat文件,当我们用带有此病毒的启动软盘启动微机时,若C盘也有autoexec.bat文件,则病毒将C盘原autoexec.bat文件改名为消旅auto.bat,把自身复制到C盘并显示“Hello Word!”。如果按以前的分类,它可以算是个良性病毒(但再良的病毒都要占用系统资源)。当然它还无加密和没有严重破坏系统的行为,但要是把echo Hello Word!改为format c:或deltree c:/y等那就……
病毒是兆吵腊一种程序!不过病毒的程序很大牌它会破坏电脑中的程序或者非法偷看电脑里面的档碰州案!病毒也族滑等同于软件的!