計算機病毒原理與防范-計算機病毒概述

計算機病毒原理與防范

（第二版）計算機病毒概述第1章計算機病毒概述計算機病毒的產(chǎn)生與發(fā)展計算機病毒的基本概念計算機病毒的分類互聯(lián)網(wǎng)環(huán)境下病毒的多樣化引言計算機病毒與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，而是某些人利用計算機軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。從廣義上定義，凡是能夠引起計算機故障、破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。計算機的信息需要存取、復(fù)制和傳送，計算機病毒作為信息的一種形式可以隨之繁殖、感染和破壞。計算機病毒與反計算機病毒勢必成為一個長期的技術(shù)對抗過程。計算機病毒主要由反計算機病毒軟件來對付，而且反計算機病毒技術(shù)將成為一種長期的科研任務(wù)。1.1計算機病毒的產(chǎn)生與發(fā)展計算機病毒的起源計算機病毒的發(fā)展背景計算機病毒的發(fā)展歷史計算機病毒的起源科學(xué)幻想起源說1977年，美國科普作家托馬斯.丁.雷恩《P-1的青春》一書惡作劇起源說惡作劇者大多是那些對計算機知識和技術(shù)均有興趣的人，并且特別熱衷那些別人認為是不可能做成的事情游戲程序起源說20世紀70年代，美國貝爾實驗室的計算機程序員為了娛樂，在自己實驗室的計算機上編制吃掉對方程序的程序，軟件商保護軟件起源說軟件制造商為了處罰那些非法復(fù)制者，在軟件產(chǎn)品之中加入計算機病毒程序并由一定條件觸發(fā)并傳染。Permitnon-atomicdomains(atomicindivisible)歸納起來，計算機系統(tǒng)、Internet的脆弱性是產(chǎn)生計算機病毒的根本技術(shù)原因之一，計算機科學(xué)技術(shù)的不斷進步，個人計算機的快速普及應(yīng)用是產(chǎn)生計算機病毒的加速器。計算機病毒的發(fā)展背景計算機病毒的祖先：“CoreWar”（磁芯大戰(zhàn)早在1949年，計算機的先驅(qū)者馮.諾依曼在他的一篇論文《復(fù)雜自動機組織論》中，提出了計算機程序能夠在內(nèi)存中自我復(fù)制，即已把計算機病毒程序的藍圖勾勒出來，10年之后，在美國電話電報公司（AT&T）的貝爾實驗室中，3個年輕程序員在工作之余想出一種電子游戲叫做“CoreWar”（磁芯大戰(zhàn)）。計算機病毒的出現(xiàn)1983年,科恩.湯普遜（KenThompson）公開地證實了計算機病毒的存在，而且還告訴所有聽眾怎樣去寫自己的計算機病毒程序。計算機病毒”一詞的正式出現(xiàn)在1985年3月份的《科學(xué)美國人》里，杜特尼再次討論“CoreWar”和計算機病毒。在該文章中第一次提到“計算機病毒”這個名稱。計算機病毒就伴隨著計算機的發(fā)展而發(fā)展起來了。計算機病毒的發(fā)展歷史(1)萌芽時期，磁芯大戰(zhàn)--0世紀50年代末～60年代初大型計算機的時代--20世紀60年代晚期～70年代早期計算機病毒的思想基礎(chǔ)--美國科普作家約翰.布魯勒爾的《震蕩波騎士》和托馬斯.捷.瑞安的科幻小說《P-1的青春》DOS引導(dǎo)階段--20世紀80年代，獨立程序員出現(xiàn)了職業(yè)化趨勢DOS可執(zhí)行階段--在1989年出現(xiàn)可執(zhí)行文件型計算機病毒伴隨、批次型階段--1992年出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進行工作。幽靈、多形階段--1994年，用匯編語言實現(xiàn)同一功能已經(jīng)可以用不同的方式完成，這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。幽靈計算機病毒就是利用這個特點，每感染一次就產(chǎn)生不同的代碼。計算機病毒的發(fā)展歷史(2)生成器、變體機階段--1995年，在匯編語言中，一些數(shù)據(jù)的運算放在不同的通用寄存器中，可運算出同樣的結(jié)果，隨機地插入一些空操作和無關(guān)指令，也不影響運算的結(jié)果。網(wǎng)絡(luò)、蠕蟲階段--1995年，計算機病毒開始利用網(wǎng)絡(luò)進行傳播。Windows階段--利用Windows系統(tǒng)進行工作的計算機病毒開始發(fā)展，它們修改（NE，PE）文件宏病毒階段--Word宏語言也可以編制計算機病毒Internet階段--計算機病毒利用Internet進行傳播Java、郵件炸彈階段--利用Java語言進行傳播和資料獲取的計算機病毒開始出現(xiàn)，典型的代表是JavaSnake計算機病毒1.2計算機病毒的基本概念計算機病毒的生物特征計算機病毒的生命周期計算機病毒的傳播途徑計算機病毒發(fā)作的一般癥狀計算機病毒的生物特征宿主感染性危害性微小性簡單性變異性多樣性特異性相容性和互斥性頑固性計算機病毒的生命周期開發(fā)期--傳染期--將計算機病毒其復(fù)制并確認其已被傳播出去。潛伏期--計算機病毒是自然地復(fù)制的。計算機病毒的危害在于暗中占據(jù)存儲空間。發(fā)作期--帶有破壞機制的計算機病毒會在達到某一特定條件時發(fā)作，一旦遇上某種條件，例如，某個日期或出現(xiàn)了用戶采取的某特定行為。發(fā)現(xiàn)期--當(dāng)計算機病毒被檢測到并被隔離出來后，計算機病毒被通報和描述給反計算機病毒研究工作者。消化期--反計算機病毒開發(fā)人員修改他們的軟件以使其可以檢測到新發(fā)現(xiàn)的計算機病毒。消亡期--處于消亡期的某些計算機病毒已經(jīng)在很長時間里不再是一個重要的威脅了。計算機病毒的傳播途徑第一種途徑：通過不可移動的計算機硬件設(shè)備進行傳播。第二種途徑：通過移動存儲設(shè)備來傳播。第三種途徑：通過計算機網(wǎng)絡(luò)進行傳播。第四種途徑：通過點對點通信系統(tǒng)和無線通道傳播。其他未知途徑：計算機工業(yè)的發(fā)展在為人類提供更多、更快捷的傳輸信息方式的同時，也為計算機病毒的傳播提供了新的傳播途徑。計算機病毒發(fā)作的一般癥狀（1）計算機運行得比平常遲鈍，程序載入時間比平常久；（2）對一個簡單的工作，磁盤機似乎花了比預(yù)期長的時間；（3）不尋常、或與系統(tǒng)正在運行的軟件無關(guān)的錯誤訊息出現(xiàn)；（4）硬盤的指示燈無緣無故地亮了，或程序同時存取多部磁盤機；（5）系統(tǒng)記憶體容量忽然大量減少，磁盤可利用的空間突然減少；（6）可執(zhí)行文檔的大小改變了；（7）記憶體內(nèi)增加了來路不明的常駐程序；（8）檔案奇怪地消失或檔案的內(nèi)容被附加了一些奇怪的資料；（9）檔案名稱、文檔名、日期和屬性被更改過。1.3計算機病毒的分類計算機病毒的基本分類按照計算機病毒攻擊的系統(tǒng)分類 按照計算機病毒的寄生部位或傳染對象分類 按照計算機病毒的攻擊機型分類 按照計算機病毒的鏈接方式分類 按照計算機病毒的破壞情況分類 按照計算機病毒的寄生方式分類 按照計算機病毒激活的時間分類 按照計算機病毒的傳播媒介分類 按照計算機病毒特有的算法分類 按計算機病毒的傳染途徑分類 按照計算機病毒的破壞行為分類 按照計算機病毒的“作案”方式分類 計算機病毒的基本分類傳統(tǒng)開機型計算機病毒隱形開機型計算機病毒檔案感染型兼開機型計算機病毒目錄型計算機病毒傳統(tǒng)檔案型計算機病毒千面人計算機病毒突變引擎病毒隱形檔案型計算機病毒終結(jié)型計算機病毒W(wǎng)ord巨集計算機病毒按照計算機病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的計算機病毒攻擊Windows系統(tǒng)的計算機病毒攻擊UNIX系統(tǒng)的計算機病毒攻擊OS/2系統(tǒng)的計算機病毒按照計算機病毒的寄生部位或傳染對象分類磁盤引導(dǎo)區(qū)傳染的計算機病毒操作系統(tǒng)傳染的計算機病毒可執(zhí)行程序傳染的計算機病毒按照計算機病毒的攻擊機型分類攻擊微型計算機的計算機病毒攻擊小型機的計算機病毒攻擊工作站的計算機病毒按照計算機病毒的鏈接方式分類源碼型計算機病毒嵌入型計算機病毒外殼型計算機病毒操作系統(tǒng)型計算機病毒按照計算機病毒的破壞情況分類良性計算機病毒:不包含有立即對計算機系統(tǒng)產(chǎn)生直接破壞作用的代碼。惡性計算機病毒:在其包含有損傷和破壞計算機系統(tǒng)的操作的代碼，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。按照計算機病毒的寄生方式分類引導(dǎo)型計算機病毒--指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機病毒。文件型計算機病毒--指能夠寄生在文件中的計算機病毒。這類計算機病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。復(fù)合型計算機病毒--兼具引導(dǎo)型病毒和文件型病毒寄生方式的計算機病毒。按照計算機病毒激活的時間分類計算機病毒可分為定時的和隨機的兩類。定時計算機病毒僅在某一特定時間才發(fā)作.隨機計算機病毒一般不是由時鐘來激活的。按照計算機病毒的傳播媒介分類單機計算機病毒--單機計算機病毒的載體是磁盤，常見的是計算機病毒從軟盤或U盤等移動載體傳入硬盤，感染系統(tǒng)，然后再傳染其他軟盤或U盤，軟盤等移動載體又傳染其他系統(tǒng)。網(wǎng)絡(luò)計算機病毒--網(wǎng)絡(luò)計算機病毒的傳播媒介不再是移動式載體，而是網(wǎng)絡(luò)通道，這種計算機病毒的傳染能力更強，破壞力更大。按照計算機病毒特有的算法分類伴隨型計算機病毒--這一類計算機病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生.exe文件的伴隨體，具有同樣的名字和不同的擴展名（.com），例如，Xcopy.exe的伴隨體是X，計算機病毒把自身寫入.com文件并不改變.exe文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的.exe文件?！叭湎x”型計算機病毒--這類計算機病毒通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺計算機的內(nèi)存?zhèn)鞑サ狡渌嬎銠C的內(nèi)存，尋找計算網(wǎng)絡(luò)地址，將自身的計算機病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其他資源。寄生型計算機病毒--通過系統(tǒng)的功能進行傳播，按算法可分為如下幾種。練習(xí)型計算機病毒詭秘型計算機病毒變型計算機病毒（又稱幽靈計算機病毒）按計算機病毒的傳染途徑分類計算機病毒按其傳染途徑大致可分為兩類：一是感染磁盤上的引導(dǎo)扇區(qū)BootSector的內(nèi)容的計算機病毒；二是感染文件型計算機的病毒。它們再按其傳染途徑又可分為駐留內(nèi)存型和不駐留內(nèi)存型，駐留內(nèi)存型按其駐留內(nèi)存方式又可細分?；旌闲陀嬎銠C病毒集感染引導(dǎo)型和文件型計算機病毒特性于一體。引導(dǎo)型計算機病毒會去改寫（即一般所說的“感染”）磁盤上的引導(dǎo)扇區(qū)BootSector的內(nèi)容，軟盤或硬盤都有可能感染計算機病毒；或是改寫硬盤上的分區(qū)表FAT。如果用已感染計算機病毒的軟盤來啟動的話，則會感染硬盤。按照計算機病毒的破壞行為分類攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊文件攻擊內(nèi)存干擾系統(tǒng)運行速度下降攻擊磁盤擾亂屏幕顯示鍵盤喇叭攻擊CMOS干擾打印機按照計算機病毒的“作案”方式分類暗藏型計算機病毒殺手型計算機病毒霸道型計算機病毒超載型計算機病毒間諜型計算機病毒強制隔離型計算機病毒欺騙型計算機病毒干擾型計算機病毒Linux平臺下的病毒分類1.可執(zhí)行文件型病毒2.蠕蟲（worm）病毒3.腳本病毒4.后門程序1.4互聯(lián)網(wǎng)環(huán)境下病毒的多樣化1.傳播網(wǎng)絡(luò)化2.利用操作系統(tǒng)和應(yīng)用程序的漏洞3.傳播方式多樣4.病毒制作技術(shù)新5.誘惑性6.病毒形式多樣化7.危害多樣化即時通訊病毒即時通訊(IM)類病毒是指主要指通過即時通訊軟件(如MSN、QQ等)向用戶的聯(lián)系人自動發(fā)送惡意消息或自身文件來達到傳播目的的蠕蟲等病毒。IM類病毒通常有兩種工作模式：一種是自動發(fā)送惡意文本消息，另一種是利用即時通訊軟件的傳送文件功能，將自身直接發(fā)送出去。手機病毒1．通過“無紅傳送”藍牙設(shè)備傳播的病毒“卡比爾”、“Lasco.A”。2．針對移動通訊商的手機病毒“蚊子木馬”。3．針對手機BUG的病毒“移動黑客”。4．利用短信或彩信進行攻擊的“Mobile.SMSDOS”病毒流氓軟件廣告軟件間諜軟件瀏覽器劫持行為記錄軟件惡意共享軟件搜索劫持自動撥號軟件網(wǎng)絡(luò)釣魚習(xí)題1．簡述計算機病毒的發(fā)展。2．計算機病毒與生物病毒的本質(zhì)區(qū)別是什么？3．給出計算機病毒的基本特征。4．