關(guān)于計(jì)算機(jī)病毒的知識(shí)介紹
最近有網(wǎng)友想了解下計(jì)算機(jī)病毒的知識(shí),所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!
計(jì)算機(jī)病毒的知識(shí)
計(jì)算機(jī)病毒(Computer Virus)是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)的代碼,能影響計(jì)算機(jī)使用,能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。
計(jì)算機(jī)病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發(fā)性、表現(xiàn)性或破壞性。計(jì)算機(jī)病毒的生命周期:開(kāi)發(fā)期→傳染期→潛伏期→發(fā)作期→發(fā)現(xiàn)期→消化期→消亡期。
計(jì)算機(jī)病毒是一個(gè)程序,一段可執(zhí)行碼。就像生物病毒一樣,具有自我繁殖、互相傳染以及激活再生等生物病毒特征。計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力,它們能夠快速蔓延,又常常難以根除。它們能把自身附著在各種類型的文件上,當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí),它們就隨同文件一起蔓延開(kāi)來(lái)。
定義
計(jì)算機(jī)病毒(Computer Virus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。
計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同,計(jì)算機(jī)病毒不是天然存在的,是人利用計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)(或程序)里,條件滿足時(shí)即被激活,通過(guò)修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序,對(duì)計(jì)算機(jī)資源進(jìn)行破壞,所謂的病毒就是人為造成的,對(duì)其他用戶的危害性很大
特征
繁殖性
計(jì)算機(jī)病毒可以像生物病毒一樣進(jìn)行繁殖,當(dāng)正常程序運(yùn)行時(shí),它也進(jìn)行運(yùn)行自身復(fù)制,是否具有繁殖、感染的特征是判斷某段程序?yàn)橛?jì)算機(jī)病毒的首要條件。
破壞性
計(jì)算機(jī)中毒后,可能會(huì)導(dǎo)致正常的程序無(wú)法運(yùn)行,把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。破壞引導(dǎo)扇區(qū)及BIOS,硬件環(huán)境破壞。
傳染性
計(jì)算機(jī)病毒傳染性是指計(jì)算機(jī)病毒通過(guò)修改別的程序?qū)⒆陨淼膹?fù)制品或其變體傳染到其它無(wú)毒的對(duì)象上,這些對(duì)象可以是一個(gè)程序也可以是系統(tǒng)中的某一個(gè)部件。
潛伏性
計(jì)算機(jī)病毒潛伏性是指計(jì)算機(jī)病毒可以依附于其它媒體寄生的能力,侵入后的病毒潛伏到條件成熟才發(fā)作, 會(huì)使電腦變慢。
隱蔽性
計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性,可以通過(guò)病毒軟件檢查出來(lái)少數(shù),隱蔽性計(jì)算機(jī)病毒時(shí)隱時(shí)現(xiàn)、變化無(wú)常,這類病毒處理起來(lái)非常困難。
可觸發(fā)性
編制計(jì)算機(jī)病毒的人,一般都為病毒程序設(shè)定了一些觸發(fā)條件,例如,系統(tǒng)時(shí)鐘的某個(gè)時(shí)間或日期、系統(tǒng)運(yùn)行了某些程序等。一旦條件滿足,計(jì)算機(jī)病毒就會(huì)“發(fā)作”,使系統(tǒng)遭到破壞。
原理
病毒依附存儲(chǔ)介質(zhì)軟盤、 硬盤等構(gòu)成傳染源。病毒傳染的媒介由工作的環(huán)境來(lái)定。病毒激活是將病毒放在內(nèi)存, 并設(shè)置觸發(fā)條件,觸發(fā)的條件是多樣化的, 可以是時(shí)鐘,系統(tǒng)的日期,用戶標(biāo)識(shí)符,也可以是系統(tǒng)一次通信等。條件成熟病毒就開(kāi)始自我復(fù)制到傳染對(duì)象中,進(jìn)行各種破壞活動(dòng)等。
病毒的傳染是病毒性能的一個(gè)重要標(biāo)志。在傳染環(huán)節(jié)中,病毒復(fù)制一個(gè)自身副本到傳染對(duì)象中去。
感染策略
為了能夠復(fù)制其自身,病毒必須能夠運(yùn)行代碼并能夠?qū)?nèi)存運(yùn)行寫操作。基于這個(gè)原因,許多病毒都是將自己附著在合法的可執(zhí)行文件上。如果用戶企圖運(yùn)行該可執(zhí)行文件,那么病毒就有機(jī)會(huì)運(yùn)行。病毒可以根據(jù)運(yùn)行時(shí)所表現(xiàn)出來(lái)的行為分成兩類。非常駐型病毒會(huì)立即查找其它宿主并伺機(jī)加以感染,之后再將控制權(quán)交給被感染的應(yīng)用程序。常駐型病毒被運(yùn)行時(shí)并不會(huì)查找其它宿主。相反的,一個(gè)常駐型病毒會(huì)將自己加載內(nèi)存并將控制權(quán)交給宿主。該病毒于背景中運(yùn)行并伺機(jī)感染其它目標(biāo)。
非常駐型病毒
非常駐型病毒可以被想成具有搜索模塊和復(fù)制模塊的程序。搜索模塊負(fù)責(zé)查找可被感染的文件,一旦搜索到該文件,搜索模塊就會(huì)啟動(dòng)復(fù)制模塊進(jìn)行感染。
常駐型病毒
常駐型病毒包含復(fù)制模塊,其角色類似于非常駐型病毒中的復(fù)制模塊。復(fù)制模塊在常駐型病毒中不會(huì)被搜索模塊調(diào)用。病毒在被運(yùn)行時(shí)會(huì)將復(fù)制模塊加載內(nèi)存,并確保當(dāng)操作系統(tǒng)運(yùn)行特定動(dòng)作時(shí),該復(fù)制模塊會(huì)被調(diào)用。例如,復(fù)制模塊會(huì)在操作系統(tǒng)運(yùn)行其它文件時(shí)被調(diào)用。在這個(gè)例子中,所有可以被運(yùn)行的文件均會(huì)被感染。常駐型病毒有時(shí)會(huì)被區(qū)分成快速感染者和慢速感染者??焖俑腥菊邥?huì)試圖感染盡可能多的文件。例如,一個(gè)快速感染者可以感染所有被訪問(wèn)到的文件。這會(huì)對(duì)殺毒軟件造成特別的問(wèn)題。當(dāng)運(yùn)行全系統(tǒng)防護(hù)時(shí),殺毒軟件需要掃描所有可能會(huì)被感染的文件。如果殺毒軟件沒(méi)有察覺(jué)到內(nèi)存中有快速感染者,快速感染者可以借此搭便車,利用殺毒軟件掃描文件的同時(shí)進(jìn)行感染??焖俑腥菊咭蕾嚻淇焖俑腥镜哪芰Α5@同時(shí)會(huì)使得快速感染者容易被偵測(cè)到,這是因?yàn)槠湫袨闀?huì)使得系統(tǒng)性能降低,進(jìn)而增加被殺毒軟件偵測(cè)到的風(fēng)險(xiǎn)。相反的,慢速感染者被設(shè)計(jì)成偶而才對(duì)目標(biāo)進(jìn)行感染,如此一來(lái)就可避免被偵測(cè)到的機(jī)會(huì)。例如,有些慢速感染者只有在其它文件被拷貝時(shí)才會(huì)進(jìn)行感染。但是慢速感染者此種試圖避免被偵測(cè)到的作法似乎并不成功。
分類
破壞性
良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒。
傳染方式
引導(dǎo)區(qū)型病毒主要通過(guò)軟盤在操作系統(tǒng)中傳播,感染引導(dǎo)區(qū),蔓延到硬盤,并能感染到硬盤中的"主引導(dǎo)記錄"。
文件型病毒是文件感染者,也稱為“寄生病毒”。它運(yùn)行在計(jì)算機(jī)存儲(chǔ)器中,通常感染擴(kuò)展名為COM、EXE、SYS等類型的文件。
混合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特點(diǎn)。
宏病毒是指用BASIC語(yǔ)言編寫的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對(duì)文檔的各種操作。
連接方式
源碼型病毒攻擊高級(jí)語(yǔ)言編寫的源程序,在源程序編譯之前插入其中,并隨源程序一起編譯、連接成可執(zhí)行文件。源碼型病毒較為少見(jiàn),亦難以編寫。
入侵型病毒可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序,針對(duì)性強(qiáng)。一般情況下也難以被發(fā)現(xiàn),清除起來(lái)也較困難。
操作系統(tǒng)型病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng),這類病毒的危害性也較大。
外殼型病毒通常將自身附在正常程序的開(kāi)頭或結(jié)尾,相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類。
計(jì)算機(jī)病毒種類繁多而且復(fù)雜,按照不同的方式以及計(jì)算機(jī)病毒的特點(diǎn)及特性,可以有多種不同的分類方法。同時(shí),根據(jù)不同的分類方法,同一種計(jì)算機(jī)病毒也可以屬于不同的計(jì)算機(jī)病毒種類。
按照計(jì)算機(jī)病毒屬性的方法進(jìn)行分類,計(jì)算機(jī)病毒可以根據(jù)下面的屬性進(jìn)行分類。
根據(jù)病毒存在的媒體劃分:
網(wǎng)絡(luò)病毒——通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件。
文件病毒——感染計(jì)算機(jī)中的文件(如:COM,EXE,DOC等)。
引導(dǎo)型病毒——感染啟動(dòng)扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR)。
還有這三種情況的混合型,例如:多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo),這樣的病毒通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng),同時(shí)使用了加密和變形算法。
根據(jù)病毒傳染渠道劃分:
駐留型病毒——這種病毒感染計(jì)算機(jī)后,把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中,這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,它處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng)
非駐留型病毒——這種病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過(guò)這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。
根據(jù)破壞能力劃分:
無(wú)害型——除了傳染時(shí)減少磁盤的可用空間外,對(duì)系統(tǒng)沒(méi)有其它影響。
無(wú)危險(xiǎn)型——這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類影響。
危險(xiǎn)型——這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。
非常危險(xiǎn)型——這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。
根據(jù)算法劃分:
伴隨型病毒——這類病毒并不改變文件本身,它們根據(jù)算法產(chǎn)生EXE文件的伴隨體,具有同樣的名字和不同的擴(kuò)展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件,當(dāng)DOS加載文件時(shí),伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來(lái)的EXE文件。
“蠕蟲(chóng)”型病毒——通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存,計(jì)算機(jī)將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在,一般除了內(nèi)存不占用其它資源。
寄生型病毒——除了伴隨和“蠕蟲(chóng)”型,其它病毒均可稱為寄生型病毒,它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中,通過(guò)系統(tǒng)的功能進(jìn)行傳播,按其算法不同還可細(xì)分為以下幾類。
練習(xí)型病毒,病毒自身包含錯(cuò)誤,不能進(jìn)行很好的傳播,例如一些病毒在調(diào)試階段。
詭秘型病毒,它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等對(duì)DOS內(nèi)部進(jìn)行修改,不易看到資源,使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。
變型病毒(又稱幽靈病毒),這一類病毒使用一個(gè)復(fù)雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。
征兆預(yù)防
病毒征兆
屏幕上出現(xiàn)不應(yīng)有的特殊字符或圖像、字符無(wú)規(guī)則變或脫落、靜止、滾動(dòng)、雪花、跳動(dòng)、小球亮點(diǎn)、莫名其妙的信息提等。
發(fā)出尖叫、蜂鳴音或非正常奏樂(lè)等。
經(jīng)常無(wú)故死機(jī),隨機(jī)地發(fā)生重新啟動(dòng)或無(wú)法正常啟動(dòng)、運(yùn)行速度明顯下降、內(nèi)存空間變小、磁盤驅(qū)動(dòng)器以及其他設(shè)備無(wú)緣無(wú)故地
變成無(wú)效設(shè)備等現(xiàn)象。
磁盤標(biāo)號(hào)被自動(dòng)改寫、出現(xiàn)異常文件、出現(xiàn)固定的壞扇區(qū)、可用磁盤空間變小、文件無(wú)故變大、失蹤或被改亂、可執(zhí)行文件(exe)變得無(wú)法運(yùn)行等。
打印異常、打印速度明顯降低、不能打印、不能打印漢字與圖形等或打印時(shí)出現(xiàn)亂碼。
收到來(lái)歷不明的電子郵件、自動(dòng)鏈接到陌生的網(wǎng)站、自動(dòng)發(fā)送電子郵件等。
保護(hù)預(yù)防
程序或數(shù)據(jù)神秘地消失了,文件名不能辨認(rèn)等;注意對(duì)系統(tǒng)文件、可執(zhí)行文件和數(shù)據(jù)寫保護(hù);不使用來(lái)歷不明的程序或數(shù)據(jù);盡量不用軟盤進(jìn)行系統(tǒng)引導(dǎo)。
不輕易打開(kāi)來(lái)歷不明的電子郵件;使用新的計(jì)算機(jī)系統(tǒng)或軟件時(shí),先殺毒后使用;備份系統(tǒng)和參數(shù),建立系統(tǒng)的應(yīng)急計(jì)劃等。安裝殺毒軟件。分類管理數(shù)據(jù)。
免殺技術(shù)以及新特征
免殺是指:對(duì)病毒的處理,使之躲過(guò)殺毒軟件查殺的一種技術(shù)。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說(shuō)“病毒比殺毒軟件還新,所以殺毒軟件根本無(wú)法識(shí)別它是病毒”,但由于傳播后部分用戶中毒向殺毒軟件公司舉報(bào)的原因,就會(huì)引起安全公司的注意并將之特征碼收錄到自己的病毒庫(kù)當(dāng)中,病毒就會(huì)被殺毒軟件所識(shí)別。
病毒作者可以通過(guò)對(duì)病毒進(jìn)行再次保護(hù)如使用匯編加花指令或者給文檔加殼就可以輕易躲過(guò)殺毒軟件的病毒特征碼庫(kù)而免于被殺毒軟件查殺。
美國(guó)的Norton Antivirus、McAfee、PC-cillin,俄羅斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等產(chǎn)品在國(guó)際上口碑較好,但殺毒、查殼能力都有限,目前病毒庫(kù)總數(shù)量也都僅在數(shù)十萬(wàn)個(gè)左右。
自我更新性是近年來(lái)病毒的又一新特征。病毒可以借助于網(wǎng)絡(luò)進(jìn)行變種更新,得到最新的免殺版本的病毒并繼續(xù)在用戶感染的計(jì)算機(jī)上運(yùn)行,比如熊貓燒香病毒的作者就創(chuàng)建了“病毒升級(jí)服務(wù)器”,在最勤時(shí)一天要對(duì)病毒升級(jí)8次,比有些殺毒軟件病毒庫(kù)的更新速度還快,所以就造成了殺毒軟件無(wú)法識(shí)別病毒。
除了自身免殺自我更新之外,很多病毒還具有了對(duì)抗它的“天敵”殺毒軟件和防火墻產(chǎn)品反病毒軟件的全新特征,只要病毒運(yùn)行后,病毒會(huì)自動(dòng)破壞中毒者計(jì)算機(jī)上安裝的殺毒軟件和防火墻產(chǎn)品,如病毒自身驅(qū)動(dòng)級(jí)Rootkit保護(hù)強(qiáng)制檢測(cè)并退出殺毒軟件進(jìn)程,可以過(guò)主流殺毒軟件“主動(dòng)防御”和穿透軟、硬件還原的機(jī)器狗,自動(dòng)修改系統(tǒng)時(shí)間導(dǎo)致一些殺毒軟件廠商的正版認(rèn)證作廢以致殺毒軟件作廢,從而病毒生存能力更加強(qiáng)大。
免殺技術(shù)的泛濫使得同一種原型病毒理論上可以派生出近乎無(wú)窮無(wú)盡的變種,給依賴于特征碼技術(shù)檢測(cè)的殺毒軟件帶來(lái)很大困擾。近年來(lái),國(guó)際反病毒行業(yè)普遍開(kāi)展了各種前瞻性技術(shù)研究,試圖扭轉(zhuǎn)過(guò)分依賴特征碼所產(chǎn)生的不利局面。目前比較有代表性產(chǎn)品的是基于虛擬機(jī)技術(shù)的啟發(fā)式掃描軟件,代表廠商N(yùn)OD32,Dr.Web,和基于行為分析技術(shù)的主動(dòng)防御軟件,代表廠商中國(guó)的微點(diǎn)主動(dòng)防御軟件等。