|
|
|
计算机病毒出现于20世纪五六十年代,20世纪80年代开始为世人所知并不断发展壮大,到20世纪90年代,随着计算机、网络技术的发展,病毒所使用的技术越来越先进,种类越来越多,传播范围越来越广,传播速度也越来越快,影响力、破坏力和造成的损失也越来越大,成为计算机、网络安全的主要威胁之一。
|
|
|
美国计算机安全专家Frederick Cohen博士首先提出了计算机病毒的存在,他对计算机病毒的定义是:病毒是一种靠修改其他程序来插入或进行自我复制,从而感染其他程序的一段程序。
|
|
|
《中华人民共和国计算机信息系统安全保护条例》第二十八条中对计算机病毒的定义是:计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。
|
|
|
可见,计算机病毒实际上是一段可执行程序代码,其传播方式通常是把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一同蔓延开,如同生物病毒的传播一样,因此被形象地称为计算机病毒。
|
|
|
|
|
正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的,而计算机病毒一旦进入计算机并得以执行,会搜寻其他符合其感染条件的程序或存储介质,确定目标后将自身代码插入其中,达到自我繁殖的目的。类似于生物病毒从一个生物体扩散到另一个生物体,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。
|
|
|
|
计算机病毒隐藏在正常程序中,具有正常程序的一切特性。当用户调用正常程序时,其窃取到系统的控制权,先于正常程序执行。病毒的动作、目的对用户来说是未知的,是未经用户允许的。
|
|
|
|
计算机病毒代码通常设计得非常短小,它附在正常程序中或磁盘较隐蔽的地方,或以隐藏文件形式出现,如果不经过代码分析,病毒程序与正常程序是不容易区别的,具有很强的隐蔽性。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里感染大量程序,而且受到感染后,计算机系统通常仍能正常运行,用户不会感到任何异常。
|
|
|
|
大部分计算机病毒感染系统之后一般不会马上发作,可长期隐藏在系统中,只有在满足其特定条件时才启动表现(破坏)模块。例如,著名的“黑色星期五”病毒在每月13日又恰逢星期五时发作。
|
|
|
|
任何计算机病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机的工作效率,占用系统资源,重者可导致系统崩溃。
|
|
|
|
计算机病毒的不可预见性表现在对病毒的检测方面。由于目前软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒技术,因此对病毒的检测会有误报情况的发生,且计算机病毒的制作技术也在不断提高,病毒对反病毒软件永远是超前的。
|
|
|
|
计算机病毒的分类方法有很多种,同一种病毒按照不同的分类方法可能被划分到不同的类别。
|
|
|
|
按攻击的操作系统可以分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX或OS/2的病毒。
|
|
|
|
|
|
按链接方式可以分为源码型病毒、入侵型病毒、外壳型病毒、操作系统型病毒。
|
|
|
.源码型病毒是在程序被编译之前,插入目标源程序中,经过编译,成为合法程序的一部分。这类病毒程序一般寄生在编译处理程序或链接程序中。
|
|
|
.入侵型病毒也被称为嵌入型病毒,通常是寻找宿主程序的空隙将自己嵌入进去,使病毒程序与目标程序成为一体,变成合法程序的一部分。入侵型病毒往往会对宿主程序进行一定的修改,破坏力较强,检测和杀毒困难,清除这类病毒时往往会破坏合法程序。
|
|
|
.外壳型病毒通常链接在宿主程序的首尾,对原来的主程序不作修改或仅作简单修改。当宿主程序执行时,首先执行并激活病毒程序,使病毒感染、繁衍和发作。
|
|
|
.操作系统型病毒用自己的逻辑部分取代操作系统中的合法程序模块,从而寄生在计算机磁盘操作系统区。启动计算机时,能够先运行病毒程序,再运行启动程序,破坏力强。
|
|
|
|
按表现(破坏)情况可分为良性病毒和恶性病毒。良性病毒通常只表现自己,并不破坏计算机系统。例如出现一些画面、音乐,或是无聊的语句等。良性病毒会占用系统资源,多出自一些恶作剧者之手。恶性病毒则是有意或无意地破坏系统中的信息资源,例如破坏数据、删除文件,或加密磁盘、格式化磁盘等。
|
|
|
|
按寄生方式可分为引导型病毒、文件型病毒、混合型病毒。
|
|
|
.引导型病毒是在系统启动时先于正常系统的引导程序将其自身装入到系统中。引导型病毒把自己的病毒程序放在软盘的引导区以及硬盘的主引导记录区或引导扇区,计算机启动时,会把引导区的病毒程序当作正常的引导程序来运行。因此,也被称为磁盘引导型、引导扇区型、磁盘启动型、系统型病毒等。
|
|
|
.文件型病毒以感染可执行文件的病毒为主,还有一些病毒可以感染高级语言程序的源代码、开发库或是编译过程中所生成的中间文件。文件型病毒也可能隐藏在普通的数据文件中,但它们不是独立存在的,必须由隐藏在可执行文件中的病毒部分来加载这些代码。
|
|
|
.混合型病毒也被称为综合型、复合型病毒,它既具有引导型病毒的特点,又具有文件型病毒的特点。
|
|
|
|
|
计算机病毒检测就是采用各种检测方法将病毒识别出来。识别病毒的技术主要有特征判定技术(静态判定技术)、行为判定技术(动态判定技术)。
|
|
|
|
特征判定技术是根据病毒程序的特征,如感染标记、特征程序段内容、文件长度变化、文件校验和变化等,对病毒进行分类处理,以后在程序运行中凡有类似的特征点出现,则认定是病毒。
|
|
|
|
(1)比较法。比较法的工作原理是将可能的感染对象(引导扇区或计算机文件)与原始备份进行比较,如果发现不一致则说明有染毒的可能性。比较法以保留干净的原始备份为前提,不需要专门的查毒程序,用常规的具有比较功能的软件即可进行。优点是简单、方便,能够发现已知病毒和未知病毒。缺点是无法确认计算机病毒种类的名称及发现的异常是否真是病毒。
|
|
|
(2)校验和检测法。校验和检测法的工作原理是计算正常文件内容的校验和并保存,通过定期或实时地检测文件,比对当前文件算出的校验和与保存的校验和是否一致,判断文件是否感染了病毒。其优点是简单,能够发现已知病毒和未知病毒,并检测出文件的细微变化。缺点是不能够识别病毒种类。由于病毒感染并非文件内容改变的唯一原因(软件版本更新、变更密码、修改运行参数等都会引起文件发生变化),所以该方法容易产生病毒误报。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,从而对有毒文件计算出正常的校验和,因此校验和检测对隐蔽性病毒无效。
|
|
|
(3)特征扫描法。特征扫描法的工作原理是对新发现的病毒样本进行分析,抽取其特征代码加入资料库中。查毒时,用资料库中的特征代码与被检测对象进行比对,如果发现与资料库中相吻合的特征代码,即可判定出相应的病毒。特征扫描法的优点在于能够准确地查出病毒并确定病毒的种类和名称,病毒误报警率低。缺点是不能检测未知病毒,特征代码库必须不断地丰富和更新。由于搜集已知病毒的特征代码,费用开销大。在网络服务器上,因长时间检索会使整个网络性能降低。
|
|
|
(4)启发式扫描法。启发式扫描法是凭借过去的经历和知识逼近问题的技巧来检测病毒。它检查一个文件的特征,例如大小或结构体系,并且通过代码的行为来确定被感染的可能性。启发式扫描法是为了克服传统扫描工具不能检测未知病毒的缺点而提出的新技术。它专门用来寻找未知病毒及与已知病毒特征接近、但还未被收录的病毒。启发式检测技术也被用来寻找那些已知的、不提供自身特征的一些病毒,如一些新的变形病毒。
|
|
|
|
通常病毒会具有一些正常程序少有的特有行为,例如:占用INT 13H;修改DOS系统数据区的内存常量;向.COM和.EXE可执行文件做写入动作;病毒程序与宿主程序的切换等。行为判定技术解决如何有效地辨别病毒行为与正常程序行为。行为监测法是常用的行为判定技术,其工作原理就是利用病毒的特有行为监测病毒。通过监视程序行为,发现病毒并报警。行为监测法的优点是可以相当准确地预报未知的多数病毒,缺点是可能虚假报警和不能识别病毒名称,而且实现起来有一定的难度。
|
|
|
|
计算机病毒严重干扰了人们对计算机的使用,各种病毒防治方法也不断涌现,一般常用的有以下几种:
|
|
|
|
(2)网络杀毒。现在病毒传播的主要手段是通过网络进行的,在本地网络的入口设置病毒防治系统,可以有效防止病毒进入本地局域网。一般可以在路由器、防火墙中加入反病毒模块,专门针对网络蠕虫、邮件病毒、网页恶意代码等。
|
|
|
(3)个人防火墙。防火墙能够在一定程度上起到屏蔽Internet上恶意攻击的目的。现在反病毒厂商与防火墙厂商开展了各种合作。同时,反病毒厂商也积极开发自己的个人防火墙,在产品上实现反病毒与防黑客二者合一。
|
|
|
(4)邮件杀毒。电子邮件在带来方便和快捷的同时,也充当了病毒传播的主要工具。很多极具破坏力的病毒都把电子邮件作为一个重要的传播渠道。对于一款杀毒软件而言,邮件杀毒的功能必不可少。邮件杀毒可以分为对已经收到的邮件进行查杀和接收邮件时的实时查杀。
|
|
|
(5)数据备份恢复系统。能杀灭所有病毒的软件不一定就是最好的软件。因为对任何人而言,原有的信息才是最为重要的,防病毒软件所应做的,除了要将病毒全部杀灭,更重要的是要将遭到病毒破坏的数据信息恢复到正常状态。因此,数据备份恢复系统应该成为病毒防治软件必备的功能部件。
|
|
|