電腦病毒總結(jié)

　　計算機(jī)病毒是我們很討厭，不想被感染的，下面是學(xué)習(xí)啦小編為你整理的相關(guān)病毒總結(jié)內(nèi)容，希望對你有幫助。

　　計算機(jī)病毒發(fā)展史

　　計算機(jī)病毒及實(shí)例第一節(jié)計算機(jī)病毒歷史早在1949;一個大質(zhì)數(shù);設(shè)計者是羅伯特·莫里斯(RobertT.Morr;有察覺的情況下擴(kuò)散到上百萬臺計算機(jī)中;更漂亮,許多語言也紛紛出籠,其中最有名的就屬JA;計算機(jī)病毒及實(shí)例第一節(jié) 計算機(jī)病毒歷史早在1949年，電腦的先驅(qū)者馮·諾伊曼在他的一篇文章《復(fù)雜自動裝置的理論及組織的行為》中，即提出一種會自我繁殖的程序的可能----現(xiàn)在稱為病毒，但沒引起注意。十年之后，在貝爾實(shí)驗(yàn)室中，這個概念在一個電子游戲中形成了。這個電子游戲叫“Core War”。Core War這個游戲由三個年輕的工程師完成，道格拉斯·麥耀萊、維特·維索斯基和羅伯特·莫里斯(后來那個編寫蠕蟲病毒的莫里斯的父親)。CoreWar的玩如下：雙方各編寫一套程序，輸入同一部電腦中。這兩套程序在計算機(jī)內(nèi)存中運(yùn)行，它們相互追殺。有時它們回放下一些關(guān)卡，有時會停下來修復(fù)被對方破壞的指令。當(dāng)它們被困時，可以自己復(fù)制自己，逃離險境。因?yàn)樗鼈兌荚陔娔X的內(nèi)存(以前是用core做內(nèi)存的)游走，因此叫CoreWar。這個游戲的特點(diǎn)，在於雙方的程序進(jìn)入電腦之后,玩游戲的人只能看著屏幕上顯示的戰(zhàn)況，而不能做任何更改，一直到某一方的程式被另一方的程式完全 [吃掉] 為止。這個游戲分成好幾種，麥耀萊所寫的叫 [達(dá)爾文]，包含了 [物競天擇 ,適者生存] 的意思 。它的游戲規(guī)則跟以上所描述的最接近。游戲雙方用匯編語言(Assembly Language)各寫一套程式 ,叫有機(jī)體(organism)。這兩個有機(jī)體在電腦里爭斗不休，直到一方把另一方殺掉而取代之 ,便算分出勝負(fù)。另外有個叫爬行者 (Creeper)的程序，每一次把它讀出時,它便自己復(fù)制一個副本。此外,它也會從一部電腦[爬]到另一部和它相連的電腦。很快地電腦中原有資料便被這些爬行者擠掉了。爬行者的唯一生存目的是繁殖。為了對付[爬行者]，有人便寫出了[收割者](Reaper)。它的唯一生存目的便是找到爬行者，把它們毀滅掉。當(dāng)所有爬行者都被收割掉之后，收割者便執(zhí)行程式中最后一項指令毀滅自己，從電腦中消失。[侏儒](Dwarf)并沒有達(dá)爾文等程式聰明。卻可是個極端危險人物。它在內(nèi)存中邁進(jìn)，每到第五個[地址](address)便把那里所儲存的東西變?yōu)榱悖@會使得原來的程序停止。最奇特的就是一個叫[印普](Imp)的戰(zhàn)爭程式了 ，它只有一行指令：MOV 01這條指令把身處的地址中所載的[0]寫(移)到下一個地址中，當(dāng)印普展開行動之后，電腦中原有的每一行指令都被改為[MOV 01]。[雙子星](Germini)也相當(dāng)有趣。它的作用只有一個：把自己復(fù)制，送到下一百個地址后，便拋棄掉[正本]。從雙子星衍生出一系列的程序。[犧牲者](Juggeraut)把自己復(fù)制后送到下十個地址之后，而[大雪人](Bigfoot)則把正本和復(fù)制品之間的地址定為某

　　一個大質(zhì)數(shù)。電腦病毒的出現(xiàn)一九八三年，科恩·湯普遜(KenThompson)是當(dāng)年一項杰出電腦獎得主。在頒獎典禮上,他作了一個演講，不但公開地證實(shí)了電腦病毒的存在，而且還告訴所有聽眾怎樣去寫自己的病毒程序。1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼 (LenAdleman) 將它命名為計算機(jī)病毒 (computer viruses)，并在每周一次的計算機(jī)安全討論會上正式提出，8 小時后專家們在 VAX11/750計算機(jī)系統(tǒng)上運(yùn)行，第一個病毒實(shí)驗(yàn)成功，一周后又獲準(zhǔn)進(jìn)行 5 個實(shí)驗(yàn)的演示，從而在實(shí)驗(yàn)上驗(yàn)證了計算機(jī)病毒的存在。一九八四年， [科學(xué)美國人]月刊(Scientific American)的專欄作家杜特尼(A. K. Dewdney)在五月號寫了第一篇討論[CoreWar]的文章,并且只要寄上兩塊美金，任何讀者都可以收到有關(guān)程序的綱領(lǐng)，在自己家中的電腦中開辟戰(zhàn)場。[病毒]一詞的正式出現(xiàn)在一九八五年三月份的[科學(xué)美國人]里 ,杜特尼再次討論[Core War]和病毒。在文章的開頭他便說：“當(dāng)去年五月有關(guān)[Core War]的文章印出來時,我并沒有想過我所談?wù)摰氖悄屈N嚴(yán)重的題目”文中還第一次提到[病毒]這個名稱。他提到說：“意大利的羅勃吐·歇魯?shù)?RobertoCerruti)和馬高·莫魯顧帝(Marco Morocutti)發(fā)明了一種破壞軟件的方法。他們想用病毒,而不是蠕蟲,來使得蘋果二號電腦受感染。歇魯?shù)軐懥艘环庑沤o杜特尼，信內(nèi)說：“馬高想寫一個像[病毒]一樣的程式，可以從一部蘋果電腦傳染到另一部蘋果電腦，使其受到感染?？墒俏覀儧]法這樣做，直到我想到這個病毒要先使軟盤受到感染，而電腦只是媒介。這樣，病毒就可以從張軟盤傳染到另一軟盤了。”1986 年初，在巴基斯坦的拉合爾 (Lahore)，巴錫特 (Basit) 和阿姆杰德 (Amjad) 兩兄弟經(jīng)營著一家 IBM-PC機(jī)及其兼容機(jī)的小商店。他們編寫了Pakistan 病毒，即 Brain。在一年內(nèi)流傳到了世界各地。1988 年 3 月 2 日，一種蘋果機(jī)的病毒發(fā)作，這天受感染的蘋果機(jī)停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機(jī)生日。1988 年 11 月 2 日，美國六千多臺計算機(jī)被病毒感染，造成 Internet不能正常運(yùn)行。這是一次非常典型的計算機(jī)病毒入侵計算機(jī)網(wǎng)絡(luò)的事件，迫使美國政府立即作出反應(yīng)，國防部成立了計算機(jī)應(yīng)急行動小組。這次事件中遭受攻擊的包括 5 個計算機(jī)中心和 12 個地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)、研究所和擁有政府合同的 250,000臺計算機(jī)。這次病毒事件，計算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá) 9600 萬美元。這個病毒程序

　　病毒設(shè)計者

　　設(shè)計者是羅伯特·莫里斯 (Robert T.Morris)，當(dāng)年 23 歲，是在康乃爾 (Cornell) 大學(xué)攻讀學(xué)位的研究生。羅伯特·莫里斯設(shè)計的病毒程序利用了系統(tǒng)存在的弱點(diǎn)。由于羅伯特·莫里斯成了入侵 ARPANET網(wǎng)的最大的電子入侵者，而獲準(zhǔn)參加康乃爾大學(xué)的畢業(yè)設(shè)計，并獲得哈佛大學(xué) Aiken 中心超級用戶的特權(quán)。他也因此被判 3 年緩刑，罰款 1 萬美元，他還被命令進(jìn)行400 小時的新區(qū)服務(wù)。1988 年底，在我國的國家統(tǒng)計部門發(fā)現(xiàn)小球病毒。第二節(jié) 計算機(jī)病毒原理計算機(jī)病毒定義1994年2月18日，我國正式頒布實(shí)施了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。”此定義具有法律性、權(quán)威性。(此節(jié)內(nèi)容摘自《計算機(jī)安全管理與實(shí)用技術(shù)》一書)計算機(jī)病毒原理病毒的工作原理是什么呢?病毒是一個程序，一段人為編制的計算機(jī)程序代碼。它通過想辦法在正常程序運(yùn)行之前運(yùn)行，并處于特權(quán)級狀態(tài)。這段程序代碼一旦進(jìn)入計算機(jī)并得以執(zhí)行，對計算機(jī)的某些資源進(jìn)行監(jiān)視。它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺計算機(jī)染毒，如不及時處理，那么病毒會在這臺機(jī)子上迅速擴(kuò)散，其中的大量文件(一般是可執(zhí)行文件)會被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會繼續(xù)進(jìn)行傳染。一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對用戶是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當(dāng)用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動作、目的對用戶時未知的，是未經(jīng)用戶允許的。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護(hù)措施的情況下，計算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會感到任何異常。試想，如果病毒在傳染到計算機(jī)上之后，機(jī)器馬上無法正常運(yùn)行，那么它本身便無法繼續(xù)進(jìn)行傳染了。正是由于隱蔽性，計算機(jī)病毒得以在用戶沒有察覺的情況下擴(kuò)散到上百萬臺計算機(jī)中。大部分的病毒的代碼之所以設(shè)計得非常短小，也是為了隱藏。病毒一般只有幾百或1k字節(jié)，而PC機(jī)對DOS文件的存取速度可達(dá)每秒幾百KB以上，所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中，使人非常不易被察覺。大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)(破壞)模塊。只有這樣它才可進(jìn)行廣泛地傳播。如“PETER-2"在每年2月27日會提三個問題，答錯后會將硬盤加密。著名的“黑色星期五”在逢13號的星期五發(fā)作。國內(nèi)的“上海一號”會在每年三、六、九月的13日發(fā)作。當(dāng)然，最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時會隱藏得很好，只有在發(fā)作日才會露出本來面目。任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫面或出點(diǎn)音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。這類病毒較多，如：GENP、小球、W-BOOT等。惡性病毒則有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險惡用心。病毒分類按傳染方式分為：引導(dǎo)型病毒、文件型病毒和混合型病毒。文件型病毒一般只傳染磁盤上的可執(zhí)行文件(COM，EXE)。在用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運(yùn)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件，成為程序文件的一個外殼或部件。這是較為常見的傳染方式?；旌闲筒《炯嬗幸陨蟽煞N病毒的特點(diǎn)，既染引導(dǎo)區(qū)又染文件，因此擴(kuò)大了這種病毒的傳染途徑隨著計算機(jī)技術(shù)的發(fā)展，新的病毒也不斷出現(xiàn)。我們在本章的最后一節(jié)將介紹宏病毒的機(jī)理和一個實(shí)例。電腦病毒的新趨勢傳統(tǒng)型病毒的一個特點(diǎn), 就是一定有一個「寄主」程序,病毒就窩藏的這些程序里。最常見的就是一些可執(zhí)行檔,像是副檔名為.EXE及.COM的檔案。但是由於微軟的WORD愈來愈流行，且WORD所提供的宏命令功能又很強(qiáng),使用WORD宏命令寫出來的病毒也愈來愈多于是就出現(xiàn)了以.DOC文件為“寄主”的也會宏病毒。另外，不需要寄主的病毒也出現(xiàn)了，其實(shí)，它們寄生在「Internet」上。如果Internet上的網(wǎng)頁只是單純用HTML寫成的話, 那麼要傳播病毒的機(jī)會可說是非常小了。但是呢, 為了讓網(wǎng)頁看起來更生動,

　　更漂亮,許多語言也紛紛出籠, 其中最有名的就屬JAVA和ActiveX了。從而，它們就成為新一代病毒的溫床。JAVA和ActiveX的執(zhí)行方式,是把程式碼寫在網(wǎng)頁上,當(dāng)你連上這個網(wǎng)站時, 瀏覽器就把這些程式碼讀下來, 然后用使用者自己系統(tǒng)里的資源去執(zhí)行它。這樣，使用者就會在神不知鬼不覺的狀態(tài)下，執(zhí)行了一些來路不明的程序。對于傳統(tǒng)病毒來講，病毒是寄生在「可執(zhí)行的」程序代碼中的。新的病毒的機(jī)理告訴我們，病毒本身是能執(zhí)行的一段代碼，但它們可以寄生在非系統(tǒng)可執(zhí)行文檔里。只是這些文檔被一些應(yīng)用軟件所執(zhí)行。在德國漢堡一個名為Chaos Computer 的俱樂部,有一個俱樂部成員完成一只新型態(tài)的病毒-----這只病毒可以找出Internet用戶的私人銀行資料, 還可以進(jìn)入銀行系統(tǒng)將資金轉(zhuǎn)出, 不需要個人身份證明,也不需要轉(zhuǎn)帳密碼。當(dāng)使用者在瀏覽全球網(wǎng)站時, 這個病毒會自動經(jīng)由Active X 控制載入。Active X 控制可搜尋使用者計算機(jī)的硬盤, 來尋找IntuitQuicken這個已有全球超過九百萬使用者的知名個人理財軟體。一旦發(fā)現(xiàn)Quicken的檔案, 這個病毒就會下轉(zhuǎn)帳指令。計算機(jī)病毒防范電腦病毒檢測技術(shù)一臺計算機(jī)染上病毒之后，會有許多明顯或不明顯的特征。例如是文件的長度和日期忽然改變，系統(tǒng)執(zhí)行速度下降或出現(xiàn)一些奇怪的信息或無故死機(jī)，或更為嚴(yán)重的硬盤已經(jīng)被格式化。我們常用的防毒軟件是如何去發(fā)現(xiàn)它們的呢?他們就是利用所謂的病毒碼(Virus Pattern)。病毒碼其實(shí)可以想像成是犯人的指紋,當(dāng)防毒軟件公司收集到一只新的病毒時, 他們就會從這個病毒程式中截取一小段獨(dú)一無二而且足以表示這只病毒的二進(jìn)制程序碼 (Binary Code) ,來當(dāng)做掃毒程序辨認(rèn)此病毒的依據(jù), 而這段獨(dú)一無二的二進(jìn)制程序碼就是所謂的病毒碼。 在電腦中所有可以執(zhí)行的程序(如 *.EXE,*.COM)幾乎都是由二進(jìn)制程序碼所組成, 也就是電腦的最基本語言-- 機(jī)器碼。就連宏病毒在內(nèi), 雖然它只是包含在Word文件中的宏命令集,可是它也是以二進(jìn)制代碼的方式存在於Word文件中。反病毒軟件常用下列技術(shù)來查找病毒的：1.病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析后, 根據(jù)其特徵, 編成病毒碼, 加入資料庫中。以后每當(dāng)執(zhí)行掃毒程序時, 便能立刻掃描目標(biāo)文件, 并作病毒碼比對,即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的PC-cillin及Server Protect, 利用深層掃描技術(shù),在即時掃瞄各個或大或小的檔案時,平均只需1/20秒的時間), 大多數(shù)防毒軟件均采用這種方式, 但其缺點(diǎn)是無法偵測到未知的新病毒及以變種病毒。