電腦病毒總結(jié)
電腦病毒總結(jié)
計算機(jī)病毒是我們很討厭,不想被感染的,下面是學(xué)習(xí)啦小編為你整理的相關(guān)病毒總結(jié)內(nèi)容,希望對你有幫助。
計算機(jī)病毒發(fā)展史
計算機(jī)病毒及實例第一節(jié)計算機(jī)病毒歷史早在1949;一個大質(zhì)數(shù);設(shè)計者是羅伯特·莫里斯(RobertT.Morr;有察覺的情況下擴(kuò)散到上百萬臺計算機(jī)中;更漂亮,許多語言也紛紛出籠,其中最有名的就屬JA;計算機(jī)病毒及實例第一節(jié) 計算機(jī)病毒歷史早在1949年,電腦的先驅(qū)者馮·諾伊曼在他的一篇文章《復(fù)雜自動裝置的理論及組織的行為》中,即提出一種會自我繁殖的程序的可能----現(xiàn)在稱為病毒,但沒引起注意。十年之后,在貝爾實驗室中,這個概念在一個電子游戲中形成了。這個電子游戲叫“Core War”。Core War這個游戲由三個年輕的工程師完成,道格拉斯·麥耀萊、維特·維索斯基和羅伯特·莫里斯(后來那個編寫蠕蟲病毒的莫里斯的父親)。CoreWar的玩如下:雙方各編寫一套程序,輸入同一部電腦中。這兩套程序在計算機(jī)內(nèi)存中運(yùn)行,它們相互追殺。有時它們回放下一些關(guān)卡,有時會停下來修復(fù)被對方破壞的指令。當(dāng)它們被困時,可以自己復(fù)制自己,逃離險境。因為它們都在電腦的內(nèi)存(以前是用core做內(nèi)存的)游走,因此叫CoreWar。這個游戲的特點,在於雙方的程序進(jìn)入電腦之后,玩游戲的人只能看著屏幕上顯示的戰(zhàn)況,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 為止。這個游戲分成好幾種,麥耀萊所寫的叫 [達(dá)爾文],包含了 [物競天擇 ,適者生存] 的意思 。它的游戲規(guī)則跟以上所描述的最接近。游戲雙方用匯編語言(Assembly Language)各寫一套程式 ,叫有機(jī)體(organism)。這兩個有機(jī)體在電腦里爭斗不休,直到一方把另一方殺掉而取代之 ,便算分出勝負(fù)。另外有個叫爬行者 (Creeper)的程序,每一次把它讀出時,它便自己復(fù)制一個副本。此外,它也會從一部電腦[爬]到另一部和它相連的電腦。很快地電腦中原有資料便被這些爬行者擠掉了。爬行者的唯一生存目的是繁殖。為了對付[爬行者],有人便寫出了[收割者](Reaper)。它的唯一生存目的便是找到爬行者,把它們毀滅掉。當(dāng)所有爬行者都被收割掉之后,收割者便執(zhí)行程式中最后一項指令毀滅自己,從電腦中消失。[侏儒](Dwarf)并沒有達(dá)爾文等程式聰明。卻可是個極端危險人物。它在內(nèi)存中邁進(jìn),每到第五個[地址](address)便把那里所儲存的東西變?yōu)榱?,這會使得原來的程序停止。最奇特的就是一個叫[印普](Imp)的戰(zhàn)爭程式了 ,它只有一行指令:MOV 01這條指令把身處的地址中所載的[0]寫(移)到下一個地址中,當(dāng)印普展開行動之后,電腦中原有的每一行指令都被改為[MOV 01]。[雙子星](Germini)也相當(dāng)有趣。它的作用只有一個:把自己復(fù)制,送到下一百個地址后,便拋棄掉[正本]。從雙子星衍生出一系列的程序。[犧牲者](Juggeraut)把自己復(fù)制后送到下十個地址之后,而[大雪人](Bigfoot)則把正本和復(fù)制品之間的地址定為某
一個大質(zhì)數(shù)。電腦病毒的出現(xiàn)一九八三年,科恩·湯普遜(KenThompson)是當(dāng)年一項杰出電腦獎得主。在頒獎典禮上,他作了一個演講,不但公開地證實了電腦病毒的存在,而且還告訴所有聽眾怎樣去寫自己的病毒程序。1983 年 11 月 3 日,弗雷德·科恩 (Fred Cohen) 博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序,倫·艾德勒曼 (LenAdleman) 將它命名為計算機(jī)病毒 (computer viruses),并在每周一次的計算機(jī)安全討論會上正式提出,8 小時后專家們在 VAX11/750計算機(jī)系統(tǒng)上運(yùn)行,第一個病毒實驗成功,一周后又獲準(zhǔn)進(jìn)行 5 個實驗的演示,從而在實驗上驗證了計算機(jī)病毒的存在。一九八四年, [科學(xué)美國人]月刊(Scientific American)的專欄作家杜特尼(A. K. Dewdney)在五月號寫了第一篇討論[CoreWar]的文章,并且只要寄上兩塊美金,任何讀者都可以收到有關(guān)程序的綱領(lǐng),在自己家中的電腦中開辟戰(zhàn)場。[病毒]一詞的正式出現(xiàn)在一九八五年三月份的[科學(xué)美國人]里 ,杜特尼再次討論[Core War]和病毒。在文章的開頭他便說:“當(dāng)去年五月有關(guān)[Core War]的文章印出來時,我并沒有想過我所談?wù)摰氖悄屈N嚴(yán)重的題目”文中還第一次提到[病毒]這個名稱。他提到說:“意大利的羅勃吐·歇魯?shù)?RobertoCerruti)和馬高·莫魯顧帝(Marco Morocutti)發(fā)明了一種破壞軟件的方法。他們想用病毒,而不是蠕蟲,來使得蘋果二號電腦受感染。歇魯?shù)軐懥艘环庑沤o杜特尼,信內(nèi)說:“馬高想寫一個像[病毒]一樣的程式,可以從一部蘋果電腦傳染到另一部蘋果電腦,使其受到感染。可是我們沒法這樣做,直到我想到這個病毒要先使軟盤受到感染,而電腦只是媒介。這樣,病毒就可以從張軟盤傳染到另一軟盤了。”1986 年初,在巴基斯坦的拉合爾 (Lahore),巴錫特 (Basit) 和阿姆杰德 (Amjad) 兩兄弟經(jīng)營著一家 IBM-PC機(jī)及其兼容機(jī)的小商店。他們編寫了Pakistan 病毒,即 Brain。在一年內(nèi)流傳到了世界各地。1988 年 3 月 2 日,一種蘋果機(jī)的病毒發(fā)作,這天受感染的蘋果機(jī)停止工作,只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機(jī)生日。1988 年 11 月 2 日,美國六千多臺計算機(jī)被病毒感染,造成 Internet不能正常運(yùn)行。這是一次非常典型的計算機(jī)病毒入侵計算機(jī)網(wǎng)絡(luò)的事件,迫使美國政府立即作出反應(yīng),國防部成立了計算機(jī)應(yīng)急行動小組。這次事件中遭受攻擊的包括 5 個計算機(jī)中心和 12 個地區(qū)結(jié)點,連接著政府、大學(xué)、研究所和擁有政府合同的 250,000臺計算機(jī)。這次病毒事件,計算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá) 9600 萬美元。這個病毒程序
病毒設(shè)計者
設(shè)計者是羅伯特·莫里斯 (Robert T.Morris),當(dāng)年 23 歲,是在康乃爾 (Cornell) 大學(xué)攻讀學(xué)位的研究生。羅伯特·莫里斯設(shè)計的病毒程序利用了系統(tǒng)存在的弱點。由于羅伯特·莫里斯成了入侵 ARPANET網(wǎng)的最大的電子入侵者,而獲準(zhǔn)參加康乃爾大學(xué)的畢業(yè)設(shè)計,并獲得哈佛大學(xué) Aiken 中心超級用戶的特權(quán)。他也因此被判 3 年緩刑,罰款 1 萬美元,他還被命令進(jìn)行400 小時的新區(qū)服務(wù)。1988 年底,在我國的國家統(tǒng)計部門發(fā)現(xiàn)小球病毒。第二節(jié) 計算機(jī)病毒原理計算機(jī)病毒定義1994年2月18日,我國正式頒布實施了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》,在《條例》第二十八條中明確指出:“計算機(jī)病毒,是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù),影響計算機(jī)使用,并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。”此定義具有法律性、權(quán)威性。(此節(jié)內(nèi)容摘自《計算機(jī)安全管理與實用技術(shù)》一書)計算機(jī)病毒原理病毒的工作原理是什么呢?病毒是一個程序,一段人為編制的計算機(jī)程序代碼。它通過想辦法在正常程序運(yùn)行之前運(yùn)行,并處于特權(quán)級狀態(tài)。這段程序代碼一旦進(jìn)入計算機(jī)并得以執(zhí)行,對計算機(jī)的某些資源進(jìn)行監(jiān)視。它會搜尋其他符合其傳染條件的程序或存儲介質(zhì),確定目標(biāo)后再將自身代碼插入其中,達(dá)到自我繁殖的目的。只要一臺計算機(jī)染毒,如不及時處理,那么病毒會在這臺機(jī)子上迅速擴(kuò)散,其中的大量文件(一般是可執(zhí)行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸,病毒會繼續(xù)進(jìn)行傳染。一般正常的程序是由用戶調(diào)用,再由系統(tǒng)分配資源,完成用戶交給的任務(wù)。其目的對用戶是可見的、透明的。而病毒具有正常程序的一切特性,它隱藏在正常程序中,當(dāng)用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán),先于正常程序執(zhí)行,病毒的動作、目的對用戶時未知的,是未經(jīng)用戶允許的。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方,也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析,病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護(hù)措施的情況下,計算機(jī)病毒程序取得系統(tǒng)控制權(quán)后,可以在很短的時間里傳染大量程序。而且受到傳染后,計算機(jī)系統(tǒng)通常仍能正常運(yùn)行,使用戶不會感到任何異常。試想,如果病毒在傳染到計算機(jī)上之后,機(jī)器馬上無法正常運(yùn)行,那么它本身便無法繼續(xù)進(jìn)行傳染了。正是由于隱蔽性,計算機(jī)病毒得以在用戶沒有察覺的情況下擴(kuò)散到上百萬臺計算機(jī)中。大部分的病毒的代碼之所以設(shè)計得非常短小,也是為了隱藏。病毒一般只有幾百或1k字節(jié),而PC機(jī)對DOS文件的存取速度可達(dá)每秒幾百KB以上,所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中,使人非常不易被察覺。大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作,它可長期隱藏在系統(tǒng)中,只有在滿足其特定條件時才啟動其表現(xiàn)(破壞)模塊。只有這樣它才可進(jìn)行廣泛地傳播。如“PETER-2"在每年2月27日會提三個問題,答錯后會將硬盤加密。著名的“黑色星期五”在逢13號的星期五發(fā)作。國內(nèi)的“上海一號”會在每年三、六、九月的13日發(fā)作。當(dāng)然,最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時會隱藏得很好,只有在發(fā)作日才會露出本來面目。任何病毒只要侵入系統(tǒng),都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計算機(jī)工作效率,占用系統(tǒng)資源,重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫面或出點音樂、無聊的語句,或者根本沒有任何破壞動作,但會占用系統(tǒng)資源。這類病毒較多,如:GENP、小球、W-BOOT等。惡性病毒則有明確得目的,或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤,有的對數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險惡用心。病毒分類按傳染方式分為:引導(dǎo)型病毒、文件型病毒和混合型病毒。文件型病毒一般只傳染磁盤上的可執(zhí)行文件(COM,EXE)。在用戶調(diào)用染毒的可執(zhí)行文件時,病毒首先被運(yùn)行,然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點是附著于正常程序文件,成為程序文件的一個外殼或部件。這是較為常見的傳染方式?;旌闲筒《炯嬗幸陨蟽煞N病毒的特點,既染引導(dǎo)區(qū)又染文件,因此擴(kuò)大了這種病毒的傳染途徑隨著計算機(jī)技術(shù)的發(fā)展,新的病毒也不斷出現(xiàn)。我們在本章的最后一節(jié)將介紹宏病毒的機(jī)理和一個實例。電腦病毒的新趨勢傳統(tǒng)型病毒的一個特點, 就是一定有一個「寄主」程序,病毒就窩藏的這些程序里。最常見的就是一些可執(zhí)行檔,像是副檔名為.EXE及.COM的檔案。但是由於微軟的WORD愈來愈流行,且WORD所提供的宏命令功能又很強(qiáng),使用WORD宏命令寫出來的病毒也愈來愈多于是就出現(xiàn)了以.DOC文件為“寄主”的也會宏病毒。另外,不需要寄主的病毒也出現(xiàn)了,其實,它們寄生在「Internet」上。如果Internet上的網(wǎng)頁只是單純用HTML寫成的話, 那麼要傳播病毒的機(jī)會可說是非常小了。但是呢, 為了讓網(wǎng)頁看起來更生動,
更漂亮,許多語言也紛紛出籠, 其中最有名的就屬JAVA和ActiveX了。從而,它們就成為新一代病毒的溫床。JAVA和ActiveX的執(zhí)行方式,是把程式碼寫在網(wǎng)頁上,當(dāng)你連上這個網(wǎng)站時, 瀏覽器就把這些程式碼讀下來, 然后用使用者自己系統(tǒng)里的資源去執(zhí)行它。這樣,使用者就會在神不知鬼不覺的狀態(tài)下,執(zhí)行了一些來路不明的程序。對于傳統(tǒng)病毒來講,病毒是寄生在「可執(zhí)行的」程序代碼中的。新的病毒的機(jī)理告訴我們,病毒本身是能執(zhí)行的一段代碼,但它們可以寄生在非系統(tǒng)可執(zhí)行文檔里。只是這些文檔被一些應(yīng)用軟件所執(zhí)行。在德國漢堡一個名為Chaos Computer 的俱樂部,有一個俱樂部成員完成一只新型態(tài)的病毒-----這只病毒可以找出Internet用戶的私人銀行資料, 還可以進(jìn)入銀行系統(tǒng)將資金轉(zhuǎn)出, 不需要個人身份證明,也不需要轉(zhuǎn)帳密碼。當(dāng)使用者在瀏覽全球網(wǎng)站時, 這個病毒會自動經(jīng)由Active X 控制載入。Active X 控制可搜尋使用者計算機(jī)的硬盤, 來尋找IntuitQuicken這個已有全球超過九百萬使用者的知名個人理財軟體。一旦發(fā)現(xiàn)Quicken的檔案, 這個病毒就會下轉(zhuǎn)帳指令。計算機(jī)病毒防范電腦病毒檢測技術(shù)一臺計算機(jī)染上病毒之后,會有許多明顯或不明顯的特征。例如是文件的長度和日期忽然改變,系統(tǒng)執(zhí)行速度下降或出現(xiàn)一些奇怪的信息或無故死機(jī),或更為嚴(yán)重的硬盤已經(jīng)被格式化。我們常用的防毒軟件是如何去發(fā)現(xiàn)它們的呢?他們就是利用所謂的病毒碼(Virus Pattern)。病毒碼其實可以想像成是犯人的指紋,當(dāng)防毒軟件公司收集到一只新的病毒時, 他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這只病毒的二進(jìn)制程序碼 (Binary Code) ,來當(dāng)做掃毒程序辨認(rèn)此病毒的依據(jù), 而這段獨一無二的二進(jìn)制程序碼就是所謂的病毒碼。 在電腦中所有可以執(zhí)行的程序(如 *.EXE,*.COM)幾乎都是由二進(jìn)制程序碼所組成, 也就是電腦的最基本語言-- 機(jī)器碼。就連宏病毒在內(nèi), 雖然它只是包含在Word文件中的宏命令集,可是它也是以二進(jìn)制代碼的方式存在於Word文件中。反病毒軟件常用下列技術(shù)來查找病毒的:1.病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析后, 根據(jù)其特徵, 編成病毒碼, 加入資料庫中。以后每當(dāng)執(zhí)行掃毒程序時, 便能立刻掃描目標(biāo)文件, 并作病毒碼比對,即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的PC-cillin及Server Protect, 利用深層掃描技術(shù),在即時掃瞄各個或大或小的檔案時,平均只需1/20秒的時間), 大多數(shù)防毒軟件均采用這種方式, 但其缺點是無法偵測到未知的新病毒及以變種病毒。