有關計算機病毒的知識

　　關于計算機病毒的認識，大家了解多少呢?下面就讓學習啦小編給大家詳細講解一下有關計算機病毒的知識吧，希望對大家有幫助。

　　　一、病毒的歷史

　　自從1946年第一臺馮-諾依曼型計算機ENIAC出世以來，計算機已被應用到人類社會的各個領域。然而， 1988年發(fā)生在美國的"蠕蟲病毒"事件，給計算機技術的發(fā)展罩上了一層陰影。蠕蟲病毒是由美國CORNELL大學研究生莫里斯編寫。雖然并無惡意，但在當時，"蠕蟲"在INTERNET上大肆傳染，使得數(shù)千臺連網(wǎng)的計算機停止運行，并造成巨額損失，成為一時的輿論焦點。 在國內，最初引起人們注意的病毒是80年代末出現(xiàn)的"黑色星期五"，"米氏病毒"，"小球病毒"等。因當時軟件種類不多，用戶之間的軟件交流較為頻繁且反病毒軟件并不普及，造成病毒的廣泛流行。后來出現(xiàn)的word宏病毒及win95下的CIH病毒，使人們對病毒的認識更加深了一步。 最初對病毒理論的構思可追溯到科幻小說。在70年代美國作家雷恩出版的《P1的青春》一書中構思了一種能夠自我復制，利用通信進行傳播的計算機程序，并稱之為計算機病毒。

　　二、病毒的產(chǎn)生

　　那么究竟它是如何產(chǎn)生的呢?那么究竟它是如何產(chǎn)生的呢?

　　1、開個玩笑，一個惡作劇。某些愛好計算機并對計算機技術精通的人士為了炫耀自己的高超技術和智慧，憑借對軟硬件的深入了解，編制這些特殊的程序。這些程序通過載體傳播出去后，在一定條件下被觸發(fā)。如顯示一些動畫，播放一段音樂，或提一些智力問答題目等，其目的無非是自我表現(xiàn)一下。這類病毒一般都是良性的，不會有破壞操作。

　　2、產(chǎn)生于個別人的報復心理。每個人都處于社會環(huán)境中，但總有人對社會不滿或受到不公證的待遇。如果這種情況發(fā)生在一個編程高手身上，那么他有可能會編制一些危險的程序。 在國外有這樣的事例：某公司職員在職期間編制了一段代碼隱藏在其公司的系統(tǒng)中，一旦檢測到他的名字在工資報表中刪除，該程序立即發(fā)作，破壞整個系統(tǒng)。類似案例在國內亦出現(xiàn)過。

　　3、用于版權保護。計算機發(fā)展初期，由于在法律上對于軟件版權保護還沒有象今天這樣完善。很多商業(yè)軟件被非法復制，有些開發(fā)商為了保護自己的利益制作了一些特殊程序，附在產(chǎn)品中。如：巴基斯坦病毒，其制作者是為了追蹤那些非法拷貝他們產(chǎn)品的用戶。用于這種目的的病毒目前已不多見。

　　三、病毒的特征

　　未經(jīng)授權而執(zhí)行。一般正常的程序是由用戶調用，再由系統(tǒng)分配資源，完成用戶交給的任務。其目的對用戶是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當用戶調用正常程序時竊取到系統(tǒng)的控制權，先于正常程序執(zhí)行，病毒的動作、目的對用戶時未知的，是未經(jīng)用戶允許的。

　　1. 傳染性.正常的計算機程序一般是不會將自身的代碼強行連接到其它程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道，如軟盤、計算機網(wǎng)絡去傳染其它的計算機。當你在一臺機器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器相聯(lián)網(wǎng)的其它計算機也許也被該病毒侵染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。

　　2. 隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常。試想，如果病毒在傳染到計算機上之后，機器馬上無法正常運行，那么它本身便無法繼續(xù)進行傳染了。正是由于隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散到上百萬臺計算機中。大部分的病毒的代碼之所以設計得非常短小，也是為了隱藏。病毒一般只有幾百或1k字節(jié)，而PC機對DOS文件的存取速度可達每秒幾百KB以上，所以病毒轉瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中，使人非常不易被察覺。

　　3. 潛伏性。大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)(破壞)模塊。只有這樣它才可進行廣泛地傳播。如"PETER-2"在每年2月27日會提三個問題，答錯后會將硬盤加密。著名的"黑色星期五"在逢13號的星期五發(fā)作。國內的"上海一號"會在每年三、六、九月的13日發(fā)作。當然，最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時會隱藏得很好，只有在發(fā)作日才會露出本來面目。

　　4. 破壞性。任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應用程序產(chǎn)生程度不同的影響。輕病毒與惡性病毒。良性病毒可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。這類病毒較多，如：GENP、小球、W-BOOT等。惡性病毒則有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險惡用心。

　　5. 不可預見性。從對病毒的檢測方面來看，病毒還有不可預見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的(如駐內存，改中斷)。有些人利用病毒的這種共性，制作了聲稱可查所有病毒的程序。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術。使用這種方法對病毒進行檢測勢必會造成較多的誤報情況。而且病毒的制作技術也在不斷的提高，病毒對反病毒軟件永遠是超前的。

　　四、病毒的定義

　　從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)做過不盡相同的定義，但一直沒有公認的明確定義。直至1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出："計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。"此定義具有法律性、權威性。(此節(jié)內容摘自《計算機安全管理與實用技術》一書)

　　五、病毒的分析

　　計算機病毒的種類雖多，但對病毒代碼進行分析、比較可看出，它們的主要結構是類似的，有其共同特點。整個病毒代碼雖短小但也包含三部分：引導部分，傳染部分，表現(xiàn)部分:

　　1、引導部分的作用是將病毒主體加載到內存，為傳染部分做準備(如駐留內存，修改中斷，修改高端內存，保存原中斷向量等操作)。

　　2、傳染部分的作用是將病毒代碼復制到傳染目標上去。不同類型的病毒在傳染方式，傳染條件上各有不同。

　　3、表現(xiàn)部分是病毒間差異最大的部分，前兩個部分也是為這部分服務的。大部分的病毒都是有一定條件才會觸發(fā)其表現(xiàn)部分的。如：以時鐘、計數(shù)器作為觸發(fā)條件的或用鍵盤輸入特定字符來觸發(fā)的。這一部分也是最為靈活的部分，這部分根據(jù)編制者的不同目的而千差萬別，或者根本沒有這部分。

　　六、病毒的命名

　　對病毒命名，各個反毒軟件亦不盡相同，有時對一種病毒不同的軟件會報出不同的名稱。如"SPY"病毒，VRV起名為SPY，KV300則叫"TPVO-3783"。給病毒起名的方法不外乎以下幾種：

　　1、按病毒出現(xiàn)的地點，如"ZHENJIANG_JES"其樣本最先來自鎮(zhèn)江某用戶。

　　2、按病毒中出現(xiàn)的人名或特征字符，如"ZHANGFANG-1535"，"DISK KILLER"，"上海一號"。

　　3、按病毒發(fā)作時的癥狀命名，如"火炬"，"蠕蟲"。

　　4、按病毒發(fā)作的時間，如"NOVEMBER 9TH"在11月9日發(fā)作。有些名稱包含病毒代碼的長度，如"PIXEL.xxx"系列,"KO.xxx"等 。計算機病毒的種類雖多，但對病毒代碼進行分析、比較可看出，它們的主要結構是類似的，有其共同特點。整個病毒代碼雖短小但也包含三部分：引導部分，傳染部分，表現(xiàn)部分。

　　七、病毒的分類

　　從第一個病毒出世以來，究竟世界上有多少種病毒，說法不一。無論多少種，病毒的數(shù)量仍在不斷增加。據(jù)國外統(tǒng)計，計算機病毒以10種/周的速度遞增，另據(jù)我國公安部統(tǒng)計，國內以4種/月的速度遞增。如此多的種類，做一下分類可更好地了解它們。

　　1、按破壞性可分為：良性病毒，惡性病毒。前面已介紹過。

　　(1)良性病毒：僅僅顯示信息、奏樂、發(fā)出聲響，自我復制的。

　　(2)惡性病毒：封鎖、干擾、中斷輸入輸出、使用戶無法打印等正常工作，甚至電腦中止運行。

　　(3)極惡性病毒：死機、系統(tǒng)崩潰、刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置導致系統(tǒng)死機、崩潰、無法重啟。

　　(4)災難性病毒：破壞分區(qū)表信息、主引導信息、FAT，刪除數(shù)據(jù)文件，甚至格式化硬盤等。

　　2、新興一族：宏病毒。

　　按傳染方式分為：引導型病毒、文件型病毒和混合型病毒。

　　(1)文件型病毒：一般只傳染磁盤上的可執(zhí)行文件(COM，EXE)。在用戶調用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內存伺機傳染其他文件或直接傳染其他文件。其特點是附著于正常程序文件，成為程序文件的一個外殼或部件。這是較為常見的傳染方式。

　　(2)混合型病毒：兼有以上兩種病毒的特點，既染引導區(qū)又染文件，因此擴大了這種病毒的傳染途徑(如97年國內流行較廣的"TPVO-3783(SPY)")。

　　按連接方式分為：源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。

　　(1)源碼型病毒：較為少見，亦難以編寫。因為它要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。

　　(2)入侵型病毒：可用自身代替正常程序種的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。

　　(3)操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。

　　(4)外殼型病毒：將自身附在正常程序的開頭或結尾，相當于給正常程序加了個外殼。大部份的文件型病毒都屬于這一類。

　　病毒現(xiàn)象種種 用戶在運行外來軟件或從Internet網(wǎng)下載文件時，很可能無意中給計算機感染上病毒，但絕大多數(shù)的用戶不能馬上發(fā)現(xiàn)自己的計算機被感染上病毒，當然我們可以根據(jù)種種現(xiàn)象去判斷您的微機是否感染上病毒。其現(xiàn)象分為：

　　1、病毒發(fā)作前：

　　(1)計算機無故死機

　　(2)計算機無法啟動

　　(3)Windows3.X運行不正常

　　(4)Windows9X無法正常啟動

　　(5)微機運行速度明顯變慢

　　(6)曾正常運行的軟件常報內存不足

　　(7)微機打印和通訊發(fā) 生異常

　　(8)曾正常運行的應用程序發(fā)生死機或者非法錯誤

　　(9)系統(tǒng)文件的時間、日期、長度發(fā)生變化

　　(10)運行Word，打開文檔后，該文件另存時只能以模板方式保存

　　(11)無意中要求對軟盤進行寫操作

　　(12)磁盤空間迅速減少

　　(13)網(wǎng)絡數(shù)據(jù)卷無法調用

　　(14)基本內存發(fā)生變化 根據(jù)上述幾點，我們就可以判斷您的微機和網(wǎng)絡是否感染上病毒，如當前流行的Win95.CIH病毒，通常也會表現(xiàn)為某些應用軟件經(jīng)常發(fā)生死機。

　　2、病毒發(fā)作中病毒的發(fā)作，有的只按時間來確定，有的按重復感染的次數(shù)來確定，但更多數(shù)是隨機發(fā)生。發(fā)作時表現(xiàn)為：⑴提示一段話 ⑵發(fā)出動聽的音樂 ⑶產(chǎn)生特定的圖象 ⑷硬盤燈不斷閃爍 ⑸進行游戲算法 ⑹Windows桌面圖標發(fā)生變化

　　3、病毒發(fā)作后 惡性病毒發(fā)作后會導致下列情況： ⑴硬盤無法啟動，數(shù)據(jù)丟失 ⑵系統(tǒng)文件丟失 ⑶文件目錄發(fā)生混亂 ⑷部分文檔丟失 ⑸部分文檔自動加密碼 ⑹丟失被病毒加密的有關數(shù)據(jù) ⑺修改某些Autoexec.bat文件，增加Format一項，導致計算機重新啟動時格式化硬盤上的所有數(shù)據(jù) ⑻使部分可升級主板的BIOS程序混亂，主板被破壞。引導型病毒一般侵占硬盤的引導區(qū)(即BOOT區(qū))，感染病毒后，引導記錄會發(fā)生變化。