什么是网络病毒?
计算机病毒是在计算机运行过程中破坏计算机信息或系统的人造程序。这个程序不是独立存在的,它隐藏在其他可执行程序中,具有破坏性、传染性和潜伏性。光线会影响机器的运行速度,使机器无法正常运行;更有甚者,机器会瘫痪,给用户带来不可估量的损失。这种破坏性的程序通常被称为计算机病毒。
1.计算机病毒的特征
计算机病毒具有以下特征:
(1)寄生
计算机病毒寄生在其他程序中。当这个程序被执行时,病毒就起了破坏作用。在这个程序开始之前,它
不容易被发现。
(2)传染性
计算机病毒不仅本身具有破坏性,而且具有传染性。病毒一旦被复制或变异,其速度是惊人的。
防不胜防。
(3)潜伏期
有些病毒就像定时炸弹,所以它们攻击的时间是预先设计好的。比如黑色星期五病毒,不到预定时间。
我甚至探测不到它,当条件满足时,它会突然爆炸,破坏系统。
(4)隐蔽
计算机病毒具有很强的隐蔽性,有些可以被病毒软件检测到,有些根本检测不到,有些是隐藏的,
它是多变的,这种病毒通常很难处理。
2.计算机病毒的表现形式
电脑被病毒感染后,会表现出不同的症状。以下是一些常见现象,供用户参考。
(1)机器无法正常启动。
通电后,机器根本无法启动,或者可以启动,但需要的时间比原来的启动时间长。有时会突然变黑。
屏幕现象。
(2)运行速度降低
如果发现运行程序时,读取数据的时间比以前长,保存或调整文件的时间增加,可能是由
由病毒引起的。
(3)磁盘空间迅速减少。
因为病毒程序要常驻内存,可以复制,所以内存空间变小甚至“0”,用户什么信息都进不去。
(4)文档的内容和长度发生了变化。
文件存储到磁盘后,其长度和内容不会发生变化,但由于病毒的干扰,文件长度可能会发生变化。
内容也可能出现乱码。有时文件的内容无法显示或显示后就消失了。
(5)频繁的“撞车”现象。
正常操作不会造成死机现象,即使是新手,命令输入也不会死机。如果机器经常死机,可能是
可能是因为系统被病毒感染了。
(6)外部设备运行异常
因为外接设备是由系统控制的,如果机器中了病毒,外接设备工作时可能会出现一些异常情况,有的
道不明的现象不是理论或经验所能解释的。
以上只是列举了一些常见的病毒表现,其他一些特殊现象肯定会遇到,需要用户自己判断。
3.计算机病毒的预防
计算机病毒以前也出现过。现在我们来谈谈如何预防病毒。首先从思想上重视,加强管理,阻止病毒的入侵。任何人把国外软盘上的信息复制到机器上,首先要检查软盘是否有病毒,如果有病毒,一定要清除,这样才能保证电脑不会被新的病毒感染。另外,由于病毒具有潜伏性,机器中可能隐藏着一些老病毒,一旦时机成熟就会发作。所以要经常检查磁盘,发现病毒及时查杀。思想重视是基础,有效的药物检测和消毒方法是技术保障。目前,通常有两种方法来检查和消除病毒。一种是给电脑加个杀毒卡,另一种是用杀毒软件,基本一样。一般使用杀毒软件的用户比较多。切记注意,预防和清除病毒是一个长期的任务,不是一劳永逸的,要持之以恒。
2.计算机病毒的定义
计算机病毒的定义《中华人民共和国计算机信息系统安全保护条例》对计算机病毒有明确的定义。病毒“是指在计算机程序中编译或插入的一组破坏计算机功能或数据、影响计算机使用并能自我复制的计算机指令或程序代码”。
二、计算机病毒的特点计算机病毒是人工特制的程序,具有自我复制的能力,传染性强,具有一定的潜伏性、特定的触发性和极大的破坏性。
三种病毒存在的必然性:计算机信息需要被访问、复制和传播。作为一种信息形式,病毒可以繁殖、感染和破坏。当病毒获得控制权后,它们会主动寻找被感染的目标并广泛传播。
计算机病毒的长期病毒往往利用计算机操作系统的弱点进行传播。提高系统的安全性是病毒防范的一个重要方面,但没有完美的系统。过分强调提高系统的安全性,会让系统把大部分时间花在查毒上,系统会失去可用性、实用性和易用性。另一方面,信息保密的要求让人们无法在泄密和抓病毒之间做出选择。病毒和反病毒将作为一种技术对策长期存在,两种技术都将随着计算机技术的发展而长期发展。
计算机病毒的产生并非来自突然或偶然的原因。突然断电和偶然的错误会在电脑的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的。病毒是一种相对完善、精致、严谨的代码,按照严格的顺序组织,与系统网络环境相适应、相协调。病毒不会偶然形成,需要有一定的长度。这个基本长度是概率上的。病毒是人造的特殊程序。流行的病毒都是人故意写的。大多数病毒都能找到作者信息和出处信息。根据大量的数据分析统计,病毒作者的主要情况和目的是:一些有天赋的程序员为了表现自己,证明自己的能力,为了好奇,为了报复,为了祝贺求爱,为了控制密码,对老板不满。为拿不到钱的软件预留的陷阱等等。当然也有一些是专门为政治、军事、宗教、民族、专利需求而写的,包括一些病毒研究机构和黑客测试病毒。
计算机病毒的分类根据多年对计算机病毒的研究和科学、系统、严谨的方法,计算机病毒可以分为以下几种:根据计算机病毒属性的方法,计算机病毒可以按照以下属性进行分类:
根据计算机病毒存在的介质,病毒可分为网络病毒、文件病毒和引导病毒。网络病毒通过计算机网络传播,感染网络中的可执行文件。文件病毒感染电脑中的文件(如COM、EXE、DOC等。),引导病毒感染硬盘的引导扇区(Boot)和系统引导扇区(MBR),还有这三种情况的混合,比如多病毒(文件和引导)感染文件和引导扇区。这种病毒通常有复杂的算法,并且使用非常多。
根据计算机病毒感染的方式,可分为常驻病毒和非常驻病毒。驻留病毒感染计算机后,将自己的内存驻留部分放在内存(RAM)中,这部分程序与系统调用挂钩,合并到操作系统中。它一直处于活动状态,直到关闭或重新启动。非驻留病毒在激活时不会感染电脑内存,有些病毒会在内存中留下一小部分,但并不是通过这部分感染的。
根据计算机病毒的破坏能力,可分为以下几类:无害型除了感染时减少磁盘可用空间外,对系统没有其他影响。非危害性病毒只是降低内存,显示图像,发出声音之类的。危险的病毒会在计算机系统的操作中造成严重的错误。非常危险的病毒会删除程序,破坏数据,擦除系统内存区域和操作系统中的重要信息。这些病毒对系统造成的危害并不在于它们自身的算法中存在危险的调用,而是当它们被感染时,会造成不可预知的灾难性的破坏。其他程序中的病毒引起的错误也会破坏文件和扇区,这些病毒也是根据破坏能力进行分类的。一些无害的病毒现在也可能对新版的DOS、Windows和其他操作系统造成损害。比如早期有一种“Denzuk”病毒,在360K磁盘上运行良好,没有造成任何破坏,但在后来的高密度软盘上却可能造成大量数据丢失。
根据计算机病毒的具体算法进行分类。根据病毒的具体算法,病毒可分为:伴侣病毒,不改变文件本身,根据算法产生EXE文件的伴侣,同名不同扩展名(COM)。例如,XCOPY。EXE的同伴是XCOPY.COM。当病毒将自身写入COM文件时,它不会更改EXE文件。DOS加载文件时,先执行卫星,然后卫星加载并执行原来的EXE文件。“蠕虫”病毒通过计算机网络传播,不改变文件和数据信息。它利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,通过网络发送自己的病毒。有时它们存在于系统中,一般不占用除内存以外的其他资源。寄生病毒除了伴生病毒和“蠕虫”病毒外,都可以称为寄生病毒。它们被附加到系统的引导扇区或文件中,并通过系统的功能传播。根据算法的不同,可以分为:练习病毒包含错误,不能很好的传播,比如有的病毒处于调试阶段。神秘病毒一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区在内部修改DOS,很难看到资源,使用更先进的技术。利用DOS的空闲数据区工作。变异病毒(又称幽灵病毒)使用复杂的算法,使其传播的每一份拷贝都有不同的内容和长度。他们一般的做法是一种解码算法,混合了不相关的指令和改变后的病毒体。
七、计算机病毒的发展在病毒发展史上,病毒的出现是有规律的。一般情况下,新的病毒技术出现后,病毒发展迅速,然后反病毒技术的发展会抑制其传播。操作系统升级后,病毒也会调整到新的方式,产生新的病毒技术。它可以分为:
DOS引导阶段
1987计算机病毒主要是引导病毒,代表病毒有“小球”和“石头”病毒。当时的电脑硬件较少,功能简单,一般需要通过软盘启动后才能使用。可引导病毒通过使用软盘的启动原理工作。他们修改系统的启动扇区,在电脑启动时先获得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率。1989年,可引导病毒发展到感染硬盘,典型代表是“石头2”。18960.888888888617
在DOS可执行阶段(1989),出现了可执行文件病毒。他们利用DOS系统中加载和执行文件的机制来工作,以“耶路撒冷”和“星期日”病毒为代表。病毒代码在系统执行文件时获得控制权,修改DOS中断,在系统调用时被感染,并将其自身附加到可执行文件中,从而增加了文件长度。1990,发展成复合病毒,可以感染com和EXE文件。
伴随,在1992的批处理阶段,伴随病毒出现了,它们利用DOS中加载文件的优先级顺序来工作。代表病毒是“金蝉”,感染EXE文件时生成一个与EXE同名但扩展名为COM的同伴;当它感染一个文件时,它会将原来的COM文件更改为同名的EXE文件,然后产生一个具有原来名称和COM文件扩展名的卫星。这样,当DOS加载文件时,病毒就获得了控制权。这种病毒的特点是不改变原始文件内容、日期和属性,在清除病毒时只删除其卫星。在非DOS操作系统中,一些伴生病毒利用操作系统的描述语言进行工作。典型的就是“海盗旗”病毒。执行时,它会询问用户名和密码,然后返回一条错误消息并删除自己。批量病毒是一种在DOS下工作的病毒,类似于“盗旗”病毒。
Ghost,多态阶段1994,随着汇编语言的发展,同样的功能可以用不同的方式来完成,这些方式的组合使得一段看似随机的代码产生了同样的运算结果。Ghost病毒正是利用了这一特点,每次感染都会产生不同的代码。比如“半”病毒,就是生成一段有上亿种可能解码算法的数据,病毒体在解码前就隐藏在数据中,需要解码这一段数据才能查出这类病毒,增加了病毒检测的难度。多态病毒是一种综合性病毒,可以感染引导区和程序区。大部分都有解码算法,一个病毒往往需要两个以上的子程序才能清除。
生成器,变体机阶段1995,在汇编语言中,一些数据操作放在不同的通用寄存器中,同样可以计算出结果,随机插入一些空操作和无关指令,不影响运算结果。这样,生成器可以生成解码算法。当生成器生成的结果是病毒时,就产生了这个复杂的“病毒生成器”,而变种机只是增加了解码的复杂度。这一阶段的典型代表是“病毒制造者”VCL,他可以在一瞬间制造成千上万种不同的病毒。传统的特征识别方法在搜索时无法使用,需要对指令进行宏观分析,解码后搜索病毒。
网络,蠕虫阶段1995,随着网络的普及,病毒开始通过网络传播,这只是前几代病毒的改进。在非DOS操作系统中,“蠕虫”是一个典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络函数搜索网络地址,并把自己传播到下一个地址,有时还存在于网络服务器和启动文件中。
在Windows 1996时期,随着Windows和Windows95的日益普及,利用Windows工作的病毒开始发展。他们修改(NE,PE)文件,典型代表就是DS.3873这些病毒的机制比较复杂。他们使用保护模式和API调用接口工作,移除的方法也比较复杂。
1996宏病毒阶段,随着Windows Word功能的增强,也可以利用Word的宏语言编写病毒。这类病毒使用类似Basic的语言,很容易编写,会感染Word文档等文件。Excel和AmiPro中工作机制相同的病毒也属于这一类。因为Word文档的格式不公开,所以很难查出这类病毒。
1997互联网阶段,随着互联网的发展,各种病毒开始通过互联网传播,携带病毒的数据包和邮件越来越多。如果不小心打开这些邮件,机器可能会中毒。
Java,在1997的邮件炸弹阶段,随着Java在Wold万维网上的普及,利用Java语言传播和获取信息的病毒开始出现,典型代表就是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,比如邮件炸弹病毒,会严重影响互联网的效率。
八、计算机病毒的破坏行为计算机病毒的破坏行为体现了病毒的查杀能力。病毒破坏的强度取决于病毒作者的主观愿望和他的技术能量。成千上万的病毒在不断发展壮大,其破坏行为也是多种多样的。无法列举它们的破坏行为,也很难进行全面的描述。根据现有的病毒资料,这些病毒的破坏目标和攻击部位可以归纳如下:
攻击系统的数据区,包括:硬盘主引导扇区、引导扇区、FAT表、文件目录等。一般来说,攻击系统数据区的病毒是恶性病毒,损坏的数据不容易恢复。
文件病毒攻击文件的方式有很多种,可以列举如下:删除、重命名、替换内容、丢失部分程序代码、反转内容、写时间空白、碎片化、伪造文件、丢失文件簇、丢失数据文件等。
攻击内存是计算机的重要资源,也是病毒攻击的主要目标之一。病毒会占用和消耗系统的内存资源,这会使一些大型程序难以运行。病毒攻击内存的方式有:大量占用内存、改变内存总量、禁止分配内存、吃内存等。
一个干扰系统正常运行的病毒,会把干扰系统正常运行作为自己的破坏行为。这种行为也是五花八门,可以举出以下几种方式:不执行命令、干扰内部命令的执行、误报、文件打不开、内部堆栈溢出、占用特殊数据区、倒时钟、重启、崩溃、强行游戏、扰乱串口、并口等。
降速病毒被激活时,其内部延时程序启动,时间的循环计数计入时钟,强制电脑空闲,电脑速度明显降低。
攻击磁盘攻击磁盘数据,不写磁盘,写操作改为读操作,写磁盘时丢失字节。
病毒干扰屏幕显示的方式有很多种,可以列举如下:字符掉落、换行、反转、显示上一屏、光标掉落、滚动、晃动、乱涂乱画、吃字符等。
键盘病毒干扰键盘操作,已发现的途径有以下几种:敲钟、阻塞键盘、换字、擦除缓存中的字符、复制、无序输入等。
喇叭很多病毒在运行的时候会让电脑的喇叭发出声音。有的病毒作者通过扩音器发出各种声音,有的病毒作者让病毒播放旋律优美的世界名曲,以优雅的曲调扼杀人们的信息财富。扬声器的声音有以下几种方式:播放音乐、警笛声、炸弹噪音、啁啾声、滴答声、滴答声等等。
攻击机器CMOS区的CMOS,系统的重要数据,比如系统时钟,磁盘类型,内存容量等。,并且它们有校验和。当一些病毒被激活时,它们可以写入CMOS区域并破坏系统CMOS中的数据。
干扰打印机的典型现象有:误报警、间歇打印、字符改变等。
九、计算机病毒的危害计算机资源的丢失和破坏不仅会造成资源和财富的巨大浪费,还可能造成社会灾难。随着信息社会的发展,计算机病毒的威胁越来越严重,反病毒的任务更加艰巨。1988 165438+10月2日下午0点59分,23岁的美国康奈尔大学计算机科学研究生莫里斯(Morris)将其蠕虫程序输入计算机网络,导致拥有数万台计算机的网络被封锁。这一事件如同计算机领域的一场大地震,引起了巨大的反响,震惊了全世界,引起了人们对计算机病毒的恐慌,也让更多的计算机专家关注并投身于计算机病毒的研究。1988下半年,我国统计局系统首次发现“小球”病毒,对统计系统造成了较大影响。此后,计算机病毒攻击引发的“病毒事件”不断,前段时间发现的CIH、美人杀等病毒给社会造成了巨大损失。
3.计算机病毒是一种程序和可执行代码。就像生物病毒一样,计算机病毒具有独特的复制能力。计算机病毒传播很快,而且通常很难根除。它们可以将自己附加到各种类型的文件中。当文件从一个用户复制或传输到另一个用户时,它们会随着文件一起传播。
除了复制能力之外,一些计算机病毒还有其他共同特征:被污染的程序可以传播病毒载体。当你看到病毒携带者只出现在文字和图像中时,他们可能已经破坏了文件,重新格式化了你的硬盘或造成了其他类型的灾难。如果病毒没有寄生在被感染的程序上,它仍然会通过占用存储空间和降低计算机的整体性能来给你带来麻烦。
计算机病毒的定义可以从不同的角度给出。一种定义是通过磁盘、磁带和网络等介质传播并能“感染”其他程序的程序。另一种是潜伏性、传染性、破坏性的程序,可以自我复制,借助某种载体而存在。另一种定义是人造程序,通过不同的渠道潜伏或寄生在存储介质(如磁盘、内存)或程序中。当某个条件或时机成熟时,它会自我复制传播,通过不同的程序破坏电脑的资源等等。从某种意义上说,这些说法借用了生物病毒的概念。计算机病毒与生物病毒的相似之处在于,它们都是可以入侵计算机系统和网络,危害正常工作的“病原体”。它能对计算机系统造成各种破坏,同时还能自我复制,具有传染性。
因此,计算机病毒是一组程序或指令,它们可以以某种方式潜伏在计算机存储介质(或程序)中,在满足一定条件时被激活,从而破坏计算机资源。