2022年关于计算机病毒的知识介绍.docx

2022年关于计算机病毒的知识介绍 计算机病毒的学问 计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机运用，能自我复制的一组计算机指令或者程序代码。 计算机病毒具有传播性、隐藏性、感染性、潜藏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期传染期潜藏期发作期发觉期消化期消亡期。 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、相互传染以及激活再生等生物病毒特征。计算机病毒有独特的复制实力，它们能够快速扩散，又经常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就伴同文件一起扩散开来。 定义 计算机病毒(Computer Virus)在中华人民共和国计算机信息系统平安爱护条例中被明确定义，病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机运用并且能够自我复制的一组计算机指令或者程序代码。 计算机病毒与医学上的病毒不同，计算机病毒不是自然存在的，是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜藏在计算机的存储介质(或程序)里，条件满意时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大 特征 繁殖性 计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是推断某段程序为计算机病毒的首要条件。 破坏性 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬件环境破坏。 传染性 计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件。 潜藏性 计算机病毒潜藏性是指计算机病毒可以依附于其它媒体寄生的实力，侵入后的病毒潜藏到条件成熟才发作， 会使电脑变慢。 隐藏性 计算机病毒具有很强的隐藏性，可以通过病毒软件检查出来少数，隐藏性计算机病毒时隐时现、改变无常，这类病毒处理起来特别困难。 可触发性 编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满意，计算机病毒就会发作，使系统遭到破坏。 原理 病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存， 并设置触发条件，触发的条件是多样化的， 可以是时钟，系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就起先自我复制到传染对象中，进行各种破坏活动等。 病毒的传染是病毒性能的一个重要标记。在传染环节中，病毒复制一个自身副本到传染对象中去。 感染策略 为了能够复制其自身，病毒必需能够运行代码并能够对内存运行写操作。基于这个缘由，很多病毒都是将自己附着在合法的可执行文件上。假如用户企图运行该可执行文件，那么病毒就有机会运行。病毒可以依据运行时所表现出来的行为分成两类。特别驻型病毒会马上查找其它宿主并伺机加以感染，之后再将限制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒会将自己加载内存并将限制权交给宿主。该病毒于背景中运行并伺机感染其它目标。 特别驻型病毒 特别驻型病毒可以被想成具有搜寻模块和复制模块的程序。搜寻模块负责查找可被感染的文件，一旦搜寻到该文件，搜寻模块就会启动复制模块进行感染。 常驻型病毒 常驻型病毒包含复制模块，其角色类似于特别驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜寻模块调用。病毒在被运行时会将复制模块加载内存，并确保当操作系统运行特定动作时，该复制模块会被调用。例如，复制模块会在操作系统运行其它文件时被调用。在这个例子中，全部可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如，一个快速感染者可以感染全部被访问到的文件。这会对杀毒软件造成特殊的问题。当运行全系统防护时，杀毒软件须要扫描全部可能会被感染的文件。假如杀毒软件没有察觉到内存中有快速感染者，快速感染者可以借此搭便车，利用杀毒软件扫描文件的同时进行感染。快速感染者依靠其快速感染的实力。但这同时会使得快速感染者简单被侦测到，这是因为其行为会使得系统性能降低，进而增加被杀毒软件侦测到的风险。相反的，慢速感染者被设计成偶而才对目标进行感染，如此一来就可避开被侦测到的机会。例如，有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图避开被侦测到的作法好像并不胜利。 分类 破坏性 良性病毒、恶性病毒、极恶性病毒、灾难性病毒。 传染方式 引导区型病毒主要通过软盘在操作系统中传播，感染引导区，扩散到硬盘，并能感染到硬盘中的主引导记录。 文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。 混合型病毒具有引导区型病毒和文件型病毒两者的特点。 宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。 连接方式 源码型病毒攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。 入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般状况下也难以被发觉，清除起来也较困难。 操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其干脆感染操作系统，这类病毒的危害性也较大。 外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。 计算机病毒种类繁多而且困难，根据不同的方式以及计算机病毒的特点及特性，可以有多种不同的分类方法。同时，依据不同的分类方法，同一种计算机病毒也可以属于不同的计算机病毒种类。 根据计算机病毒属性的方法进行分类，计算机病毒可以依据下面的属性进行分类。 依据病毒存在的媒体划分： 网络病毒通过计算机网络传播感染网络中的可执行文件。 文件病毒感染计算机中的文件(如：COM，EXE，DOC等)。 引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。 还有这三种状况的混合型，例如：多型病毒(文件和引导型)感染文件和引导扇区两种目标，这样的病毒通常都具有困难的算法，它们运用特别规的方法侵入系统，同时运用了加密和变形算法。 依据病毒传染渠道划分： 驻留型病毒这种病毒感染计算机后，把自身的内存驻留部分放在内存(RAM)中，这一部分程序挂接系统调用并合并到操作系统中去，它处于激活状态，始终到关机或重新启动 非驻留型病毒这种病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。 依据破坏实力划分： 无害型除了传染时削减磁盘的可用空间外，对系统没有其它影响。 无危急型这类病毒仅仅是削减内存、显示图像、发出声音及同类影响。 危急型这类病毒在计算机系统操作中造成严峻的错误。 特别危急型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。 依据算法划分： 伴随型病毒这类病毒并不变更文件本身，它们依据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名(COM)，例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不变更EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 蠕虫型病毒通过计算机网络传播，不变更文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算机将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。 寄生型病毒除了伴随和蠕虫型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同还可细分为以下几类。 练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。 诡秘型病毒，它们一般不干脆修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等对DOS内部进行修改，不易看到资源，运用比较高级的技术。利用DOS空闲的数据区进行工作。 变型病毒(又称幽灵病毒)，这一类病毒运用一个困难的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被改变过的病毒体组成。 征兆预防 病毒征兆 屏幕上出现不应有的特别字符或图像、字符无规则变或脱落、静止、滚动、雪花、跳动、小球亮点、稀里糊涂的信息提等。 发出尖叫、蜂鸣音或非正常奏乐等。 常常无故死机，随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器以及其他设备无缘无故地 变成无效设备等现象。 磁盘标号被自动改写、出现异样文件、出现固定的坏扇区、可用磁盘空间变小、文件无故变大、失踪或被改乱、可执行文件(exe)变得无法运行等。 打印异样、打印速度明显降低、不能打印、不能打印汉字与图形等或打印时出现乱码。 收到来历不明的电子邮件、自动链接到生疏的网站、自动发送电子邮件等。 爱护预防 程序或数据神奇地消逝了，文件名不能分辨等;留意对系统文件、可执行文件和数据写爱护;不运用来历不明的程序或数据;尽量不用软盘进行系统引导。 不轻易打开来历不明的电子邮件;运用新的计算机系统或软件时，先杀毒后运用;备份系统和参数，建立系统的应急安排等。安装杀毒软件。分类管理数据。 免杀技术以及新特征 免杀是指：对病毒的处理，使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说病毒比杀毒软件还新，所以杀毒软件根本无法识别它是病毒，但由于传播后部分用户中毒向杀毒软件公司举报的缘由，就会引起平安公司的留意并将之特征码收录到自己的病毒库当中，病毒就会被杀毒软件所识别。 病毒作者可以通过对病毒进行再次爱护如运用汇编加花指令或者给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。 美国的Norton Antivirus、McAfee、PC-cillin，俄罗斯的Kaspersky Anti-Virus，斯洛伐克的NOD32等产品在国际上口碑较好，但杀毒、查壳实力都有限，目前病毒库总数量也都仅在数十万个左右。 自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新，得到最新的免杀版本的病毒并接着在用户感染的计算机上运行，比如熊猫烧香病毒的作者就创建了病毒升级服务器，在最勤时一天要对病毒升级8次，比有些杀毒软件病毒库的更新速度还快，所以就造成了杀毒软件无法识别病毒。 除了自身免杀自我更新之外，许多病毒还具有了对抗它的天敌杀毒软件和防火墙产品反病毒软件的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品，如病毒自身驱动级Rootkit爱护强制检测并退出杀毒软件进程，可以过主流杀毒软件主动防卫和穿透软、硬件还原的机器狗，自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废，从而病毒生存实力更加强大。 免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依靠于特征码技术检测的杀毒软件带来很大困扰。近年来，国际反病毒行业普遍开展了各种前瞻性技术探讨，试图扭转过分依靠特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件，代表厂商NOD32，Dr.Web，和基于行为分析技术的主动防卫软件，代表厂商中国的微点主动防卫软件等。 第11页 共11页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页第 11 页 共 11 页