病毒的常识@@@@@@@@

病毒

一 、计算机病毒的定义

计算机病毒(computer  Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

计算机病毒(Computer Vires)其实是某些电脑高手利用电脑所固有的弱点编制的具有特殊功能的指令一种程序，是具有恶意攻击并破坏电脑软硬件的程序。这种程序和生物医学上的“病毒”一样，也有传染性和破坏性，具有再生能力，它会自动地通过修改其他程序并把本身嵌入其他程序或者将自身复制到其他存储介质中，从而“感染”其他程序，在满足一定条件时，该程序就干扰电脑正常工作，搞乱或破坏已有存储的信息，甚至引起整个电脑系统不能正常工作。

 

电脑病毒的产生过程是：设计→传播→潜伏→触发→破坏。

设计：电脑高手花费一段时间编写出可扩展的病毒指令程序。

传播：编写者将含有病毒代码的程序放在Intemet的FTP站、单位、学校或者盗版光盘中，进行广泛的传播。

潜伏：设计完美的病毒可以潜伏很长的时间，它不断地复制与传染，使其传染到更多的地方，造成巨大和无法挽回的损失。

触发和破坏：当病毒发作的条件满足时，病毒就开始进行破坏，效果与病毒的能力有关。

 

二、病毒的历史

最早由冯·诺伊曼提出一种可能性----现在称为病毒，但没引起注意。

 

1975 年，美国科普作家约翰·布鲁勒尔 (John Brunner) 写了一本名为《震荡波骑士》(Shock Wave Rider) 的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。

1977 年夏天，托马斯·捷·瑞安 (Thomas.J.Ryan) 的科幻小说《P-1的春天》(The Adolescence of P-1) 成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。

1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出，8 小时后专家们在 VAX11/750 计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5 个实验的演示，从而在实验上验证了计算机病毒的存在。

1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地。

1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。

1988 年 11 月 2 日，美国六千多台计算机被病毒感染，造成 Internet不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点，连接着政府、大学、研究所和拥有政府合同的 250,000 台计算机。这次病毒事件，计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特·莫里斯 (Robert T.Morris)，当年 23 岁，是在康乃尔 (Cornell) 大学攻读学位的研究生。

罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵 ARPANET 网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判 3 年缓刑，罚款 1 万美元，他还被命令进行 400 小时的新区服务。

1988 年底，在我国的国家统计部门发现小球病毒。

 

三、病毒基本具有以下特性：

1）非授权可执行性：计算机病毒具有正常程序的一切特性，它隐蔽在合法的程序或数据中，当用户运行正常程序时，病毒司机窃取得到系统控制权，先于正常程序执行。
2）广泛传染性：对于绝大多数计算机病毒来讲，传染是它的一个重要特性，传染性是衡量一种程序是否为病毒的首要条件。病毒可以通过各种渠道从已被感染的电脑扩散到未被感染的电脑，病毒一旦进入电脑并得以执行，便会搜寻符合其传染条件的程序和存储介质，它通过修改别的程序，并将自己全部代码复制在外壳中，从而达到扩散的目的。
3）隐蔽性：有些病毒是编程技巧极高的短小精悍的程序，一般只有几百个字节或1~2kB，并巧妙地隐藏在正常程序或磁盘的隐蔽部位，若不经过代码分析，病毒程序与正常程序无法区分开来。
4）破坏性：凡是软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。任何病毒只要侵入电脑，一旦发作，都会对系统及应用程序产生不同程度的破坏，轻者降低电脑性能；重者可导致系统崩溃、破坏数据，造成无法挽回的损失。其表现：占用CPU时间和内存开销，从而造成进程堵塞：对数据或文件进行破坏：打乱屏幕的显示等。
5）潜伏性：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大，它的危害就越大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘里呆上很长时间，一旦时机成熟，得到运行机会，就四处繁殖、扩散。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。 

 

       6）可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。

病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作；如果不满足，使病毒继续潜伏。

如CIH，触发条件：26日

7）寄生性：病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。

 

8）衍生性：分析计算机病毒的结构可知，传染和破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种），这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。

 

几年前，大多数病毒主要是通过软盘传播，但是，随着因特网的发展，现在的病毒正越来越多地通过网络进行传播。附着在电子邮件信息中的病毒，仅仅在几分钟内就可以侵染整个企业，让公司每年在生产损失和清除病毒开销上花费数百万美元。按美国国家计算机安全协会发布的统计资料，已有超过10，000种病毒被辨认出来，而且每个月都在产生200种新型病毒。为了安全，大部分机构必须常规性地对付病毒的突然爆发。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。

 

 

四、病毒的种类：

1）按破坏性分为：良性；恶性。

 

2）按激活时间分为：定时；随机

 

3）按传染方式分为：

引导型：当系统引导时进入内存，控制系统；

文件型：病毒一般附着在可执行文件上 ；

混合型：既可感染引导区，又可感染文件。

 

4）按连接方式分为：

OS型：替换OS的部分功能，危害较大；

源码型：要在源程序编译之前插入病毒代码；较少；

外壳型：附在正常程序的开头或末尾；最常见；

入侵型：病毒取代特定程序的某些模块；难发现。

 

5）按照病毒特有的算法分为：

伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。

寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。

变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

五、病毒的生命周期

1)休眠阶段：在这个阶段中，病毒不执行操作，而是等待被某些事件激活，这些事件包括一个特定日期、其他程序或文件的出现、磁盘容量超出了某些限度等。并非所有病毒都有这一阶段；

2)传播阶段：病毒将与其自身完全相同的 副本植入其他程序或磁盘的某些系统区域。每个被感染的程序中都将包含病毒的一个副本，并且这些副本会自动进入传播阶段，继续向其他程序传播病毒。

3)触发阶段：病毒在这一阶段被激活以执行其预先设计的功能。和睡眠阶段类似，病毒进入触发阶段可以由很多系统事件引起，其中包括病毒副本复制的数量达到某个数值。

4)执行阶段：在这个阶段中，病毒将实现其预期的功能。这些功能可能无害，比如在屏幕上显示一条消息；也可能是破坏的，比如对程序或数据文件造成损坏等。

六、网络环境下的病毒防治原则与策略  

 

如果说防病毒是治标的话，那么解病毒软件则是治本。

计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

“防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。

“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。

“解毒”是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。

 

Ø防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。

Ø综合防护：木桶原理；防火墙与防毒软件结合

Ø最佳均衡原则：占用较小的网络资源

Ø管理与技术并重

Ø正确选择反毒产品

Ø多层次防御：病毒检测、数据保护、实时监控

Ø注意病毒检测的可靠性：经常升级；

七、网络病毒

含义1：

在网上传播、并对网络进行破坏的病毒。

含义2：专指HTML、E-mail、Java等Internet病毒。

例：蠕虫病毒，木马程序等。

2001年9月18日，Nimda worm 在Internet上迅速传播。该病毒感染Windows 系列多种计算机系统，其传播速度之快、影响范围之广、破坏力之强都超过其前不久发现的Code Red II。

 

特点：网上蔓延，危害更大。

1）网上传染方式多，工作站、服务器交叉感染

2）混合特征：集文件感染、蠕虫、木马等于一身

3）利用网络脆弱性、系统漏洞

4）更注重欺骗性

5）清除难度大，破坏性强。

 

网络病毒的防范：

相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。网络防病毒最大的优势在于网络的管理功能，如果没有把管理功能加上，很难完成网络防毒的任务。只有管理与防范相结合，才能保证系统的良好运行。

管理功能就是管理全部的网络设备：从Hub、交换机、服务器到PC，软盘的存取、局域网上的信息互通及与Internet的接驳等等，所有病毒能够进来的地方。一般来讲，计算机病毒的防治在于完善操作系统和应用软件的安全机制，但在网络环境下，可相应采取新的防范手段。

在网络环境下，病毒传播扩散快，仅用单机防杀病毒产品已经难以清除网络病毒，必须有适用于局域网、广域网的全方位防杀病毒产品。

为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；可在内部网络服务器上安装网络病毒防治软件；可在单机上安装单机环境的反病毒软件安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。如上图所示本地网络与其它网络（包括INTERNET和各种局域网）间的数据交换、本地网络工作站与服务器间的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤，这样就保证了网络病毒的实时查杀与防治,其常见功能如下：

1 持续扫描

能保持全天24小时监控，实时扫描所有进出网络的文件。

2强大的病毒查解功能

可查解已知病毒99.36%以上，未知病毒85%以上。

3自动报警功能

发现病毒时可立即产生报警，通知管理员，并可追踪病毒来源。

4 功能强大的扫描日志与报告

记录规定时间内追踪网络所有病毒的活动，可给出扫描报告、扫描日志等多种报告。

5 其它功能

·能递归地扫描包裹和压缩文件中的病毒

·内含的智能分析模块-“代码分析”能够查到新的还没有命名的病毒

·能够检查和解除在内存中驻留的病毒

·检查文件和系统扇区并找到它们的变化

·快速升级

·可以按照用户需要设置保存和装入工作配置

·友好的帮助系统和病毒信息资料

·查毒、解毒、设置、相关工具于一体。