计算机病毒的特点及预防
《中华人民共和国计算机信息系统安全保护条例》对计算机病毒有明确定义。病毒是指“在计算机程序中编译或插入的病毒,破坏计算机功能或数据,影响计算机的使用,可以从熊猫烧香。”
我复制的一组计算机指令或程序代码。“在一般的教科书和通用资料中,定义为被感染的计算机利用计算机软硬件的缺陷,发送的一组破坏计算机数据,影响计算机正常工作的指令集或程序代码。计算机病毒第一次出现在20世纪70年代大卫·杰罗德的科幻小说中,当时H.A.R.L.I.E .就是其中之一。最早的科学定义出现在1983:Fred Cohen博士论文《计算机病毒实验》启动区的病毒以及“一种可以将自身注入(或进化)到其他程序中的计算机程序”。宏病毒和脚本病毒概念相同,传播机制类似于生物病毒,将自身注入细胞。
编辑此段落以防止
计算机病毒
病毒经常利用计算机操作系统的弱点传播。提高系统的安全性是反病毒的一个重要方面,但没有完美的系统。过分强调提高系统的安全性,会让系统把大部分时间花在查毒上,系统会失去可用性、实用性和易用性。另一方面,信息保密的要求让人们无法在泄密和抓病毒之间做出选择。病毒和反病毒作为一种技术对策会长期存在,两种技术都会随着计算机技术的发展而长期发展。
编辑此段落以生成
病毒不是来自突然或偶然的原因。突然断电和偶然的错误会在计算机的磁盘和内存中产生一些随机的代码和随机的指令,但这些代码是无序和混乱的。病毒是一种相对完善、精致、严谨的代码,按照严格的顺序组织,适应系统的网络环境。病毒不会偶然形成,需要有一定的长度。这个基本长度在概率上是不可能由随机码产生的。现在流行的病毒都是人故意写的,大部分病毒都能找到作者和出处信息。从大量的统计分析来看,病毒作者的主要情况和目的是:一些有天赋的程序员为了表现自己,证明自己的能力而对老板不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制密码,为了软件得不到报酬,等等。当然也有政治、军事、宗教、民族、专利的原因。
编辑此段落的特征
计算机病毒具有以下特征:
寄生的
计算机病毒寄生在其他程序中。这个程序执行的时候,病毒会起到破坏作用,但是在这个程序启动之前,不容易被发现。
传染性
计算机病毒不仅本身具有破坏性,而且具有传染性。病毒一旦被复制或变异,其速度让人防不胜防。传染性是病毒的基本特征。在生物界,病毒通过感染从一个有机体传播到另一个有机体。在适当的条件下,它可以大量繁殖,并使受感染的生物体出现症状,甚至死亡。同样,计算机病毒会通过各种渠道从被感染的计算机传播到未被感染的计算机,在某些情况下,被感染的计算机会工作异常,甚至使计算机网络瘫痪。
风险。与生物病毒不同,计算机病毒是一种人工编译的计算机程序代码。这个程序代码一旦进入计算机并被执行,就会搜索其他符合其感染条件的程序或存储介质,确定目标后再将自己的代码插入其中,达到自我复制的目的。只要一台电脑被感染,如果不及时处理,病毒就会在这台电脑上迅速传播,大量的文件(通常是可执行文件)都会被感染。被感染的文件成为了新的感染源,通过网络与其他机器进行数据交换或联系后,病毒会继续传播。正常的计算机程序一般不会把自己的代码强行连接到其他程序上。但病毒可以强制自己的代码感染所有符合其感染条件的未感染程序。计算机病毒可以通过各种可能的渠道感染其他计算机,如软盘和计算机网络。当您在计算机上发现病毒时,您在这台计算机上使用的软盘也感染了病毒,并且连接到这台计算机的其他计算机也可能感染了病毒。是否具有传染性是判断一个程序是否是计算机病毒的最重要的条件。病毒程序可以通过修改磁盘扇区信息或文件内容并将自己嵌入其中来感染和传播病毒。嵌入式程序称为主机程序;
潜伏
有些病毒就像定时炸弹,所以它们攻击的时间是预先设计好的。比如黑色星期五病毒,在预定时间之前根本检测不到,一旦条件具备就会立刻爆发,破坏系统。一个设计良好的计算机病毒程序进入系统后不会立即攻击,而是可以隐藏在合法文件中几周、几个月甚至几年来感染其他系统而不被发现。潜伏期越好,在系统中存在的时间就越长,病毒感染的范围就越大。潜伏性的第一种表现就是没有专门的检测程序是无法检测到病毒程序的,所以病毒可以在磁盘或者磁带中悄无声息的隐藏几天,甚至几年。一旦时机成熟,它们就会大量繁殖,扩散,继续为害。潜伏的第二种表现是指计算机病毒内部往往存在触发机制。当触发条件不满足时,计算机病毒除了感染什么也不做。一旦满足触发条件,一些会在屏幕上显示信息、图形或特殊符号,而另一些则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、加密数据文件、阻塞键盘和死锁系统。
伪装
计算机病毒具有很强的隐蔽性,有的可以被病毒软件检测到,有的根本检测不到,有的隐蔽多变,这类病毒通常很难对付。
破坏性
电脑中毒后,正常程序可能无法运行,电脑中的文件可能会被不同程度地删除或损坏。通常表现为:添加、删除、更改、移动。
可触发性
病毒因事件或数值的发生而诱发感染或攻击的特性称为可触发性。为了隐藏自己,病毒必须潜伏,做得更少。如果完全不动,一直潜伏,病毒既不能感染也不能破坏,就失去了杀伤力。病毒必须是隐藏的并保持其杀伤力,而且必须是可触发的。病毒的触发机制用于控制感染和破坏的频率。病毒有预定的触发条件,可能是时间、日期、文件类型或某些特定数据。当病毒运行时,触发机制检查是否满足预定条件,如果满足,则启动感染或破坏动作,使病毒感染或攻击;如果不满足,病毒就会继续潜伏。
编辑此段落分类
根据多年对计算机病毒的研究和科学、系统、严谨的方法,计算机病毒可以分为以下几种:根据计算机病毒属性的方法,计算机病毒可以按照以下属性进行分类:
通过病毒存在的媒体
根据病毒存在的介质,病毒可分为网络病毒、文件病毒和引导病毒。网络病毒通过计算机网络传播,感染网络中的可执行文件。文件病毒感染电脑中的文件(如COM、EXE、DOC等。),引导病毒感染硬盘的引导扇区(Boot)和系统引导扇区(MBR),还有这三种情况的混合,比如多病毒(文件和引导)感染文件和引导扇区。这种病毒通常有复杂的算法,并且使用非常多。
根据病毒感染的方法
根据病毒感染的方式,可分为常驻病毒和非常驻病毒。驻留病毒感染计算机后,将自己的内存驻留部分放在内存(RAM)中,这部分程序与系统调用挂钩,合并到操作系统中。它会一直保持活动状态,直到关闭或重新启动。非常驻病毒在有机会激活时不会感染计算机内存。有些病毒会在内存中留下一小部分,但并不是通过这部分感染的。这样的病毒也是分类的。
根据病毒破坏的能力
无害:除了在感染期间减少磁盘的可用空间之外,对系统没有其他影响。非危险型:这类病毒只是降低内存,显示图像,发出声音和同类声音。危险的:这种病毒会导致计算机系统的操作出现严重错误。非常危险:这种病毒会删除程序,破坏数据,清除操作系统中的系统内存区域和重要信息。这些病毒对系统造成的危害并不在于它们自身的算法中存在危险的调用,而是当它们被感染时,会造成不可预知的灾难性的破坏。其他程序中的病毒引起的错误也会破坏文件和扇区,这些病毒也是根据破坏能力进行分类的。一些无害的病毒现在也可能对新版的DOS、Windows和其他操作系统造成损害。比如早期有一种“Denzuk”病毒,在360K磁盘上运行良好,没有造成任何破坏,但在后来的高密度软盘上却可能造成大量数据丢失。
根据病毒算法
伴随病毒,不改变文件本身,根据算法生成EXE文件的伴随,同名不同扩展名(COM)。例如,XCOPY.EXE的伴星是XCOPY-COM。当病毒将自身写入COM文件时,它不会更改EXE文件。DOS加载文件时,先执行卫星,然后卫星加载并执行原来的EXE文件。“蠕虫”病毒通过计算机网络传播,不改变文件和数据信息。它利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,通过网络发送自己的病毒。有时它们存在于系统中,一般不占用除内存以外的其他资源。寄生病毒除了伴生病毒和“蠕虫”病毒外,都可以称为寄生病毒。它们被附加到系统的引导扇区或文件中,并通过系统的功能传播。根据它们算法的不同,可以分为:练习病毒,包含错误,不能很好的传播。比如有些病毒在调试阶段。神秘病毒一般不会直接修改DOS中断和扇区数据,而是通过设备技术、文件缓冲区等DOS内部修改来实现,很难看到资源,使用相对先进的技术。利用DOS的空闲数据区工作。变异病毒(又称幽灵病毒)使用复杂的算法,使其传播的每一份拷贝都有不同的内容和长度。他们一般的做法是一种解码算法,混合了不相关的指令和改变后的病毒体。
编辑此段落发展
在病毒发展史上,病毒的出现是有规律的。一般新的病毒技术出现后,病毒发展迅速,然后反病毒技术的发展会抑制其传播。操作系统升级后,病毒也会调整到新的方式,产生新的病毒技术。它可以分为:
DOS引导阶段
1987计算机病毒主要是引导病毒,代表病毒有“小球”和“石头”病毒。当时的电脑硬件较少,功能简单,一般需要通过软盘启动后才能使用。可引导病毒通过使用软盘的启动原理工作。他们修改系统启动扇区,在计算机启动时先获得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统访问磁盘时扩散。1989年,开机病毒发展到感染硬盘,典型代表是“石头2”;
DOS可执行阶段
1989,可执行文件病毒出现。他们利用DOS系统中加载和执行文件的机制,以“耶路撒冷”病毒和“星期日”病毒为代表。该病毒代码在系统执行文件时获得控制权,修改DOS中断,在系统调用时被感染,并将其自身附加到可执行文件中,从而增加了文件长度。1990,发展成复合病毒,可以感染com和EXE文件。
伴随和批量阶段
1992年,伴随病毒出现,它们利用DOS下加载文件的优先级来工作。代表病毒是“金蝉”,它在感染EXE文件时会生成一个与EXE同名但扩展名为COM的同伴。当它感染一个文件时,它会将原来的COM文件更改为同名的EXE文件,然后产生一个具有原来名称和COM文件扩展名的卫星。这样,当DOS加载文件时,病毒就获得了控制权。这种病毒的特点是不改变原始文件内容、日期和属性,在清除病毒时只删除其卫星。在非DOS操作系统中,一些伴生病毒利用操作系统的描述语言进行工作。典型的就是“海盗旗”病毒。执行时,它会询问用户名和密码,然后返回一条错误消息并删除自己。批量病毒是一种在DOS下工作的病毒,类似于“盗旗”病毒。
幽灵,多态阶段
1994,随着汇编语言的发展,同样的功能可以用不同的方式来完成,这些方式的组合使得一段看似随机的代码产生了同样的运算结果。Ghost病毒正是利用了这一特点,每次感染都会产生不同的代码。比如“半”病毒,就是生成一段有上亿种可能解码算法的数据,病毒体在解码前就隐藏在数据中,需要解码这一段数据才能查出这类病毒,增加了病毒检测的难度。多态病毒是一种综合性病毒,可以感染引导区和程序区。大部分都有解码算法,一个病毒往往需要两个以上的子程序才能清除。
发电机,不同的机器级
1995在汇编语言中,有些数据操作放在不同的通用寄存器中,也能得到同样的结果。随机插入一些空操作和无关指令,操作结果不受影响。这样,可以由生成器生成解码算法。当生成器生成的结果是一个病毒时,就产生了这个复杂的“病毒生成器”,而变体机就是一个增加解码复杂度的指令生成机制。这一阶段的典型代表是“病毒制造者”VCL,他可以在一瞬间制造成千上万种不同的病毒。传统的特征识别方法在搜索时无法使用,需要对指令进行宏观分析,解码后搜索病毒。
网络,蠕虫阶段
1995随着网络的普及,病毒开始通过网络传播,这只是对前几代病毒的改进。在非DOS操作系统中,“蠕虫”是一个典型的代表。它不占用除内存以外的任何资源,不修改磁盘文件,利用网络函数搜索网络地址,并将自身扩散到下一个地址,有时存在于网络服务器和启动文件中。
窗口阶段
1996随着Windows和Windows95的日益普及,利用Windows工作的病毒开始发展。他们修改(NE,PE)文件,典型代表就是DS.3873这些病毒的机制比较复杂。他们使用保护模式和API调用接口工作,移除的方法也比较复杂。1996宏病毒阶段,随着Windows Word功能的增强,也可以利用Word的宏语言编写病毒。这种病毒使用类似Basic的语言,容易编写,感染Word文档等文件。Excel和AmiPro中工作机制相同的病毒也属于这一类。因为Word文档的格式不公开,所以很难查出这类病毒。
互联网阶段
1997,随着互联网的发展,各种病毒开始通过互联网传播,携带病毒的数据包和邮件越来越多。如果不小心打开这些邮件,机器可能会中毒。
邮件炸弹阶段
1997随着Java在Wold万维网上的普及,利用Java语言传播和获取信息的病毒开始出现,典型代表就是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,比如邮件炸弹病毒,会严重影响互联网的效率。
编辑此段落行为
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏的强度取决于病毒作者的主观愿望和他的技术能量。成千上万的病毒在不断发展壮大,其破坏行为也是多种多样的。无法列举它们的破坏行为,也很难进行全面的描述。根据现有的病毒资料,病毒的破坏目标和攻击部位可以概括为:攻击系统数据区,攻击部位包括:硬盘主搜索扇区、引导扇区、FAT表、文件目录等。一般来说,攻击系统数据区的病毒是恶性病毒,损坏的数据不容易恢复。攻击文件,病毒攻击文件的方式有很多种,可以列举如下:删除、重命名、替换内容、丢失部分程序代码、反转内容、空白写入时间、碎片化、伪造文件、丢失文件簇、丢失数据文件等。攻击内存,内存是电脑的重要资源,也是病毒攻击的主要目标之一。病毒会占用和消耗系统的内存资源,这会使一些大型程序难以运行。病毒攻击内存的方式有:大量占用内存、改变内存总量、禁止分配内存、吃内存等。干扰系统的运行,这类病毒会把干扰系统的正常运行作为自己的破坏行为。这种行为也是五花八门,可以列举如下:不执行命令、干扰内部命令的执行、误报、文件打不开、内部堆栈溢出、占用特殊数据区、倒时钟、重启、崩溃、强行游戏、扰乱串口、并口等。速度下降,病毒被激活时,其内部延时程序启动,时间的循环计数计入时钟,迫使电脑处于空闲状态,电脑速度明显下降。攻击磁盘,攻击磁盘数据,不写磁盘,从写操作改为读操作,写磁盘时丢失字节等。扰乱屏幕显示,病毒扰乱屏幕显示的方式有很多种,可以列举如下:字符掉落、换行、反转、显示上一屏、光标掉落、滚动、晃动、乱涂乱画、吃字符等。键盘病毒干扰键盘操作,已发现的方法有:敲钟、封锁键盘、换字、擦除缓存中的字符、重复、无序输入等。喇叭病毒,很多病毒运行的时候,会让电脑的喇叭发出声音。有的病毒作者通过扩音器发出各种声音,有的病毒作者让病毒播放旋律优美的世界名曲,以优雅的曲调扼杀人们的信息财富。扬声器的声音有以下几种方式:播放音乐、警笛声、炸弹噪音、啁啾声、滴答声、滴答声等等。攻击CMOS,在机器的CMOS区域,系统的重要数据,如系统时钟、磁盘类型、内存容量等。,被存储,并且它们有校验和。当一些病毒被激活时,它们可以写入CMOS区域并破坏系统CMOS中的数据。干扰打印机的典型现象有:假报警、间歇打印、改变字符等。
编辑此段危险
计算机资源的丢失和破坏不仅会造成巨大的资源和财富浪费,还可能造成社会灾难。随着信息社会的发展,计算机病毒的威胁越来越严重,反病毒的任务更加艰巨。1988 165438+10月2日下午0点59分,23岁的美国康奈尔大学计算机科学研究生莫里斯(Morris)将其蠕虫程序输入计算机网络,导致拥有数万台计算机的网络被封锁。这一事件如同计算机领域的一场大地震,引起了巨大的反响,震惊了全世界,引起了人们对计算机病毒的恐慌,也让更多的计算机专家关注并投身于计算机病毒的研究。1988下半年,我国统计局系统首次发现“小球”病毒,对统计系统造成了较大影响。此后,计算机病毒爆发引发的“病毒事件”不断,前段时间发现的CIH、梅丽莎等病毒给社会造成了巨大损失。
编辑此症状
1.计算机系统的运行速度很慢。计算机系统经常无缘无故地崩溃。3.计算机系统中的文件长度已经改变。4.计算机的存储容量异常减少。5.系统启动速度变慢。6.丢失或损坏的文件。7.计算机屏幕上出现异常显示。8.计算机系统的蜂鸣器有异常声音。9.磁盘卷标已经更改。10.系统无法识别硬盘。11.异常访问存储系统。12.键盘输入异常。13.文件的日期、时间和属性已更改。14.无法正确读取、复制或打开文件。15.命令执行出错。16.假警报。17.更改当前磁盘。有些病毒会将当前磁盘切换到磁盘C. 18。时钟倒转。有些病毒会将系统命名为时间反转和逆向计时。19.WINDOWS操作系统经常无缘无故出错。20.系统异常重启。21.一些外部设备工作不正常。22.异常要求用户输入密码。23.WORD或EXCEL提示执行“宏”。24.不应驻留在内存中的程序驻留在内存中。
编辑此段落以显示
计算机病毒的出现是计算机技术发展和以计算机为中心的社会信息化进程发展到一定阶段的必然产物。其背景是:(1)计算机病毒是计算机犯罪的一种新的衍生形式。计算机病毒是一种高科技犯罪,具有即时性、动态性和随机性。取证难,风险小,伤害大,从而激发犯罪意识和犯罪活动。是一些人在计算机应用领域的恶作剧和报复心理的表现;(2)计算机软硬件产品的脆弱性是根本的技术原因。电脑是电子产品。数据从输入、存储、处理、输出等环节,容易误入歧途、篡改、丢失、欺诈和破坏;程序容易被删除和重写;计算机软件设计的手工方式效率低,生产周期长;到目前为止,人们没有办法事先知道一个程序是否有错误,只能在运行过程中发现并修改错误,不知道其中隐藏了多少错误和缺陷。这些漏洞为病毒的入侵提供了便利。
编辑此段落模式
名字
很多时候,人们已经用杀毒软件找出了一串英文带数字的病毒名称,比如后门。特洛伊rmtbomb 12。Win32.SendIP.15等等。这时候就有人上当了。这么长一串名字怎么知道是什么病毒?其实只要掌握一些病毒的命名规则,就可以通过杀毒软件报告中出现的病毒名称来判断病毒的一些特征:一般格式为:;。& lt病毒名称>。& lt病毒后缀>特洛伊马病毒
病毒前缀是指一种病毒,用于区分病毒的种族分类。不同种类的病毒有不同的前缀。比如我们常见的特洛伊病毒的前缀特洛伊,蠕虫病毒的前缀蠕虫等等,等等。病毒名称是指病毒的家族特征,用于区分和识别病毒家族。例如,著名的CIH病毒的姓统一为“CIH”,振荡波蠕虫病毒的姓为“萨瑟”。病毒后缀是指病毒的变异特征,用于区分特定家族病毒的某一变种。一般用英文的26个字母来表示。比如Worm。Sasser.b指的是振荡波蠕虫病毒的变种B,所以一般称为“振荡CIH病毒”。
摇摆波变异体b”或“振荡波变异体b”如果病毒有多个变异体,可以混合使用数字和字母来表示变异体识别。病毒的主要名称由分析师根据病毒体使用的特征字符串、特定行为或编译平台来确定。如果不能确定,可以用字符串“Agent”代替主名,大小小于10k的文件可以命名为“Samll”。版本信息版本信息只允许是数字,版本信息不清楚不添加版本信息。主名变体号如果病毒的主要行为类型、行为类型、宿主文件类型和主名相同,则认为是同一个家族的病毒。这时候就需要变种号来区分不同的病毒记录。如果一个版本号不够,最多可以扩展3位数,而且都是小写字母A-Z,比如aa,ab,aaa,aab等等。由系统自动计算,无需人工输入或选择。从属名病毒使用的带有辅助功能的可执行文件,通常会作为病毒添加到病毒库中。这种类型的病毒记录需要有附属名称,以区别于病毒主体的病毒记录。目前有以下几种附属名:客户端描述:控制终端KEY_HOOK描述:模块API_HOOK描述:模块安装描述:模块Dll描述:文件是一个动态库,包含多个函数(空)描述:没有附属名。该记录是病毒主记录的子名称变体号。如果病毒的主要行为类型、行为类型、宿主文件类型、主要名称、主要名称变体号和附属名称都相同,则认为是同一家族的病毒。这时候就需要变种号来区分不同的病毒记录。变体号为不发音字母A-Z,如果一个版本号不够,最多可以扩展三位,如aa、ab、aaa、aab等。由系统自动计算,无需人工输入或选择。病毒长度病毒长度字段仅用于主要行为类型为病毒的病毒,字段值为数字。字段值为0表示病毒长度可变。
小路
计算机病毒之所以被称为病毒,是因为它们具有传染性。传统渠道通常如下:(1)通过软盘,通过使用软盘被外界感染,比如,不同。