计算机病毒知识大全.docx
《计算机病毒知识大全.docx》由会员分享,可在线阅读,更多相关《计算机病毒知识大全.docx(9页珍藏版)》请在冰豆网上搜索。
计算机病毒知识大全
一、
中华人民共和国《计算机信息系统安全保护条例》中被明确定义,病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机代码。
计算机病毒是一个程序,一段可执行码。
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
可以从不同角度分析计算机病毒的定义。
一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序。
另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。
还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。
当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。
这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。
它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
二、
计算机病毒技术的研究,首先要认清计算机病毒的特点和行为机理,为防范和清除计算机病毒提供充实可靠的依据。
根据对计算机病毒的产生、传染和破坏行为的分析;总结出计算机病毒一般具有以下几个特点:
破坏性:
凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。
其表现:
占用CPU时间内存开销,从而造成进程堵塞;对数据或文件进行破坏;打乱屏幕的显示等。
隐蔽性:
病毒程序大多夹在正常程序中,很难被发现。
潜伏性:
病毒侵入后,一般不立即活动,需要等一段时间,只有在满足其特定条件后才启动其表现模块,显示发作信息或进行系统破坏。
使计算机病毒发作的触发条件主要有以下几种:
/利用系统时钟提供的时间作为触发器,这种触发机制被大量病毒使用。
/利用病毒体自带的计数器作为触发器。
病毒利用计数器记录某种事件的发生次数,一旦计数器达到设定值,就执行破坏操作。
这些事件可以是计算机开机次数,可以是病毒程序被运行的次数,还可以是从开机起被运行过的程序数量等。
/利用计算机内执行的某些特定操作作为触发器。
特定操作可以是用户按下某些特定键的组合,可以是执行的命令,可以是对磁盘的读写。
被病毒使用的触发条件多种多样,而且往往是由多个条件的组合触发。
大多数病毒的组合条件基于时间的,再辅以读写磁盘操作,按键操作以及其他条件。
传染性:
对于绝大多数计算机病毒来讲,传染是它的一个重要特性。
它通过修改别的程序,并自身的拷贝包括进去,从而达到扩散的目的。
计算机病毒是一种可直接或间接执行的文件,是依附于系统特点的文件,是没有文件名的秘密程序,但它的存在却不能以独立文件的形式存在,它必须是以附着在现有的硬软件资源上的形式而存在的。
三、
1.第一代病毒。
第一代病毒的产生年限可以认为在1986-1989年之间,这一期间出现的病毒可以称之为传统的病毒,是计算机病毒的萌芽和滋生时期。
由于当时计算机的应用软件少,而且大多是单机运行环境,因此病毒没有大量流行,流行病毒的种类也很有限,病毒的清除工作相对来说较容易。
这一阶段的计算机病毒具有如下的一些特点:
▓病毒攻击的目标比较单一,或者是传染磁盘引导扇区,或者是传染可执行文件。
▓病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染。
▓病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可执行文件的长度增加、文件建立日期、时间发生变化,
等等。
这些特征容易被人工或查毒软件所发现。
病毒程序不具有自我保护的措施,容易被人们分析和解剖,从而使得人们容易编制相应的消毒软件。
然而随着计算机反病毒技术的提高和反病毒产品的不断涌现,病毒编制者也在不断地总结自己的编程技巧和经验,千方百计地逃避反病毒产品的分析、检测和解毒,从而出现了第二代计算机病毒。
2.第二代病毒
第二代病毒又称为混合型病毒(又有人称之为“超级病毒”),其产生的年限可以认为在1989-1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段。
计算机局域网开始应用与普及,许多单机应用软件开始转向网络环境,应用软件更加成熟,由于网络系统尚未有安全防护的意识,缺乏在网络环境下病毒防御的思想准备与方法对策,给计算机病毒带来了第一次流行高峰。
这一阶段的计算机病毒具有如下特点:
病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传染可执行文件病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和传染目标。
病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被传染文件原来的建立日期和时间,等等。
病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度。
出现许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大。
总之,这一时期出现的病毒不仅在数量上急剧地增加,更重要的是病毒从编制的方式、方法,驻留内存以及对宿主程序的传染方式、方法等方面都有了较大的变化。
3.第三代病毒
第三代病毒的产生年限可以认为从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒,是最近几年来出现的新型的计算机病毒。
所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,放人宿主程序中的病毒程序大部分都是可变的,即在搜集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点。
正是由于这一特点,传统的利用特征码法检测病毒的产品不能检测出此类病毒。
据资料介绍,此类病毒的首创者是MarkWashburn,他并不是病毒的有意制造者,而是一位反病毒的技术专家。
他编写的1260病毒就是一种多态性病毒,此病毒1990年1月问世,有极强的传染力,被传染的文件被加密,每次传染时都更换加密密钥,而且病毒程序都进行了相当大的改动。
他编写此类病毒的目的是为了研究,他将此类病毒散发给他的同事,其目的是为了向他们证明特征代码检测法不是在任何场合下都是有效的。
然而,不幸的是,为研究病毒而发明的此种病毒超出了反病毒的技术范围,流入了病毒技术中。
1992年上半年,在保加利亚发现了黑夜复仇者(DarkAvenger)病毒的变种“MutationDarkAvenger”。
这是世界上最早发现的多态性的实战病毒,它可用独特的加密算法产生几乎无限数量的不同形态的同一病毒。
据悉该病毒作者还散布一种名为“多态性发生器”的软件工具,利用此工具将普通病毒进行编译即可使之变为多态性病毒。
国内在1994年年底已经发现了多态性病毒——“幽灵”病毒,迫使许多反病毒技术部门开发了相应的检测和消毒产品。
由此可见,第三阶段是病毒的成熟发展阶段。
在这一阶段中病毒的发展主要是病毒技术的发展,病毒开始向多维化方向发展,即传统病毒传染的过程与病毒自身运行的时间和空间无关,而新型的计算机病毒则将与病毒自身运行的时间、空间和宿主程序紧密相关,这无疑将导致计算机病毒检则和消除的困难。
4.第四代病毒
90年代中后期,随着远程网、远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制,首先通过广域网传播至局域网内,再在局域网内传播扩散。
1996年下半年随着国内Internet的大量普及,Email的使用,夹杂于Email内的WORD宏病毒已成为当前病毒的主流。
由于宏病毒编写简单、破坏性强、清除繁杂,加上微软对DOC文档结构没有公开,给直接基于文档结构清除宏病毒带来了诸多不便。
从某种意义上来讲,微软WordBasic的公开性以及DOC文档结构的封闭性,宏病毒对文档的破坏已经不仅仅属于普通病毒的概念,如果放任宏病毒泛滥,不采取强有力的彻底解决方法,宏病毒对中国
的信息产业将会产生不测的后果。
这一时期的病毒的最大特点是利用Internet作为其主要传播途径,因而,病毒传播快、隐蔽性强、破坏性大。
此外,随着Windows95的应用,出现了Windows环境下的病毒。
这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。
诚然,计算机病毒的发展必然会促进计算机反病毒技术的发展,也就是说,新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战,致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。
这样,势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性,迫使人们在反病毒的技术和产品上进行新的更新和换代。
到目前为止,反病毒技术已经成为了计算机安全的一种新兴的计算机产业或称反病毒工业。
四、
第一种途径:
?
通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机的专用ASIC芯片和硬盘等。
这种病毒虽然极少,但破坏力却极强,目前尚没有较好的检测手段对付。
第二种途径:
通过移动存储设备来传播这些设备包括软盘、磁带等。
在移动存储设备中,软盘是使用最广泛移动最频繁的存储介质,因此也成了计算机病毒寄生的“温床”。
目前,大多数计算机都是从这类途径感染病毒的。
第三种途径:
通过计算机网络进行传播。
现代信息技术的巨大进步已使空间距离不再遥远,“相隔天涯,如在咫尺”,但也为计算机病毒的传播提供了新的“高速公路”。
计算机病毒可以附着在正常文件中通过网络进入一个又一个系统,国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。
在我们信息国际化的同时,我们的病毒也在国际化。
估计以后这种方式将成为第一传播途径。
第四种途径:
通过点对点通信系统和无线通道传播。
目前,这种传播途径还不是十分广泛,但预计在未来的信息时代,这种途径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。
五、
1、安装杀毒软件和网络防火墙。
上网前或启动机器后马上运行这些软件,就好像给你的机器“穿”上了一层厚厚的“保护衣”,就算不能完全杜绝网络病毒的袭击,起码也能把大部分的网络病毒“拒之门外”。
安装软件后,要坚持定期更新病毒库和杀毒程序,以最大限度地发挥出软件应有的功效。
2、下载文件后进行仔细查毒。
网络病毒之所以得以泛滥,很大程度上跟人们的惰性和侥幸心理有关。
当你下载文件后,最好立即用杀毒软件扫描一遍,尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心,因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。
3、拒绝不良诱惑。
很多中了恶意网页病毒的朋友,都是因为访问不良站点惹的祸,因此,不去浏览这类网页会让你省心不少。
另外,当你在论坛、聊天室等地方看到有推荐浏览某个URL时,要千万小心,以免不幸“遇害”。
4、预防邮件病毒。
发现邮箱中出现不明来源的邮件应小心谨慎对待,尤其是带有可执行附件的邮件,如.EXE、.VBS、.JS等。
并且一些类似广告用语标题的邮件,最好马上把它删掉。
如非必要,尽量关闭邮件“预览”特性。
很多嵌入在HTML格式邮件中的病毒代码会在预览的时候执行,我们经常从媒体看到这样一种恐怖说法:
“用户只要收到这些带病毒的邮件,即使不打开,病毒也能发作”,其实就是病毒代码在邮件预览的时候执行的。
5、为操作系统的各种漏洞打上最新的补丁。
当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多),我们平时除了注意及时对系统软件和网络软件进行必要升级外,还要尽快为各种漏洞打上最新的补丁。
6、有“备”无患,打造最后防线。
正所谓“智者千虑,必有一失”,为保证计算机内重要数据的安全,定时备份非常重要。
如果我们能做好备份工作,即使遭受网络病毒的全面破坏,也能把损失减至最小。
为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播。
六、常见病毒感染情况统计列表:
感染计算机病毒的一般种类
引导型
文件型
脚本病毒
木马程序
蠕虫
宏病毒
感染病毒造成的常见危害
数据受损或丢失
密码、帐号被盗
浏览器配置被修改
受到非法远程控制
系统使用受限
处理病毒的方式
咨询病毒应急中心
使用杀毒软件
求助防病毒软件研究机构
求助其他安全机构
七、计算机病毒研究的发展前景。
计算机病毒研究的历程是不断发展的要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。
实施跟踪研究应着重围绕以下方面进行:
一是计算机病毒的数学模型。
二是计算机病毒的注入方式,重点研究“固化”病毒的激发。
三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。
四是研究对付计算机病毒的安全策略及防御技术。
升级会员 