電腦病毒總結(jié)
電腦病毒總結(jié)
計(jì)算機(jī)病毒是我們很討厭,不想被感染的,下面是學(xué)習(xí)啦小編為你整理的相關(guān)病毒總結(jié)內(nèi)容,希望對(duì)你有幫助。
計(jì)算機(jī)病毒發(fā)展史
計(jì)算機(jī)病毒及實(shí)例第一節(jié)計(jì)算機(jī)病毒歷史早在1949;一個(gè)大質(zhì)數(shù);設(shè)計(jì)者是羅伯特·莫里斯(RobertT.Morr;有察覺(jué)的情況下擴(kuò)散到上百萬(wàn)臺(tái)計(jì)算機(jī)中;更漂亮,許多語(yǔ)言也紛紛出籠,其中最有名的就屬JA;計(jì)算機(jī)病毒及實(shí)例第一節(jié) 計(jì)算機(jī)病毒歷史早在1949年,電腦的先驅(qū)者馮·諾伊曼在他的一篇文章《復(fù)雜自動(dòng)裝置的理論及組織的行為》中,即提出一種會(huì)自我繁殖的程序的可能----現(xiàn)在稱(chēng)為病毒,但沒(méi)引起注意。十年之后,在貝爾實(shí)驗(yàn)室中,這個(gè)概念在一個(gè)電子游戲中形成了。這個(gè)電子游戲叫“Core War”。Core War這個(gè)游戲由三個(gè)年輕的工程師完成,道格拉斯·麥耀萊、維特·維索斯基和羅伯特·莫里斯(后來(lái)那個(gè)編寫(xiě)蠕蟲(chóng)病毒的莫里斯的父親)。CoreWar的玩如下:雙方各編寫(xiě)一套程序,輸入同一部電腦中。這兩套程序在計(jì)算機(jī)內(nèi)存中運(yùn)行,它們相互追殺。有時(shí)它們回放下一些關(guān)卡,有時(shí)會(huì)停下來(lái)修復(fù)被對(duì)方破壞的指令。當(dāng)它們被困時(shí),可以自己復(fù)制自己,逃離險(xiǎn)境。因?yàn)樗鼈兌荚陔娔X的內(nèi)存(以前是用core做內(nèi)存的)游走,因此叫CoreWar。這個(gè)游戲的特點(diǎn),在於雙方的程序進(jìn)入電腦之后,玩游戲的人只能看著屏幕上顯示的戰(zhàn)況,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 為止。這個(gè)游戲分成好幾種,麥耀萊所寫(xiě)的叫 [達(dá)爾文],包含了 [物競(jìng)天擇 ,適者生存] 的意思 。它的游戲規(guī)則跟以上所描述的最接近。游戲雙方用匯編語(yǔ)言(Assembly Language)各寫(xiě)一套程式 ,叫有機(jī)體(organism)。這兩個(gè)有機(jī)體在電腦里爭(zhēng)斗不休,直到一方把另一方殺掉而取代之 ,便算分出勝負(fù)。另外有個(gè)叫爬行者 (Creeper)的程序,每一次把它讀出時(shí),它便自己復(fù)制一個(gè)副本。此外,它也會(huì)從一部電腦[爬]到另一部和它相連的電腦。很快地電腦中原有資料便被這些爬行者擠掉了。爬行者的唯一生存目的是繁殖。為了對(duì)付[爬行者],有人便寫(xiě)出了[收割者](Reaper)。它的唯一生存目的便是找到爬行者,把它們毀滅掉。當(dāng)所有爬行者都被收割掉之后,收割者便執(zhí)行程式中最后一項(xiàng)指令毀滅自己,從電腦中消失。[侏儒](Dwarf)并沒(méi)有達(dá)爾文等程式聰明。卻可是個(gè)極端危險(xiǎn)人物。它在內(nèi)存中邁進(jìn),每到第五個(gè)[地址](address)便把那里所儲(chǔ)存的東西變?yōu)榱?,這會(huì)使得原來(lái)的程序停止。最奇特的就是一個(gè)叫[印普](Imp)的戰(zhàn)爭(zhēng)程式了 ,它只有一行指令:MOV 01這條指令把身處的地址中所載的[0]寫(xiě)(移)到下一個(gè)地址中,當(dāng)印普展開(kāi)行動(dòng)之后,電腦中原有的每一行指令都被改為[MOV 01]。[雙子星](Germini)也相當(dāng)有趣。它的作用只有一個(gè):把自己復(fù)制,送到下一百個(gè)地址后,便拋棄掉[正本]。從雙子星衍生出一系列的程序。[犧牲者](Juggeraut)把自己復(fù)制后送到下十個(gè)地址之后,而[大雪人](Bigfoot)則把正本和復(fù)制品之間的地址定為某
一個(gè)大質(zhì)數(shù)。電腦病毒的出現(xiàn)一九八三年,科恩·湯普遜(KenThompson)是當(dāng)年一項(xiàng)杰出電腦獎(jiǎng)得主。在頒獎(jiǎng)典禮上,他作了一個(gè)演講,不但公開(kāi)地證實(shí)了電腦病毒的存在,而且還告訴所有聽(tīng)眾怎樣去寫(xiě)自己的病毒程序。1983 年 11 月 3 日,弗雷德·科恩 (Fred Cohen) 博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序,倫·艾德勒曼 (LenAdleman) 將它命名為計(jì)算機(jī)病毒 (computer viruses),并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出,8 小時(shí)后專(zhuān)家們?cè)?VAX11/750計(jì)算機(jī)系統(tǒng)上運(yùn)行,第一個(gè)病毒實(shí)驗(yàn)成功,一周后又獲準(zhǔn)進(jìn)行 5 個(gè)實(shí)驗(yàn)的演示,從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。一九八四年, [科學(xué)美國(guó)人]月刊(Scientific American)的專(zhuān)欄作家杜特尼(A. K. Dewdney)在五月號(hào)寫(xiě)了第一篇討論[CoreWar]的文章,并且只要寄上兩塊美金,任何讀者都可以收到有關(guān)程序的綱領(lǐng),在自己家中的電腦中開(kāi)辟戰(zhàn)場(chǎng)。[病毒]一詞的正式出現(xiàn)在一九八五年三月份的[科學(xué)美國(guó)人]里 ,杜特尼再次討論[Core War]和病毒。在文章的開(kāi)頭他便說(shuō):“當(dāng)去年五月有關(guān)[Core War]的文章印出來(lái)時(shí),我并沒(méi)有想過(guò)我所談?wù)摰氖悄屈N嚴(yán)重的題目”文中還第一次提到[病毒]這個(gè)名稱(chēng)。他提到說(shuō):“意大利的羅勃吐·歇魯?shù)?RobertoCerruti)和馬高·莫魯顧帝(Marco Morocutti)發(fā)明了一種破壞軟件的方法。他們想用病毒,而不是蠕蟲(chóng),來(lái)使得蘋(píng)果二號(hào)電腦受感染。歇魯?shù)軐?xiě)了一封信給杜特尼,信內(nèi)說(shuō):“馬高想寫(xiě)一個(gè)像[病毒]一樣的程式,可以從一部蘋(píng)果電腦傳染到另一部蘋(píng)果電腦,使其受到感染??墒俏覀儧](méi)法這樣做,直到我想到這個(gè)病毒要先使軟盤(pán)受到感染,而電腦只是媒介。這樣,病毒就可以從張軟盤(pán)傳染到另一軟盤(pán)了。”1986 年初,在巴基斯坦的拉合爾 (Lahore),巴錫特 (Basit) 和阿姆杰德 (Amjad) 兩兄弟經(jīng)營(yíng)著一家 IBM-PC機(jī)及其兼容機(jī)的小商店。他們編寫(xiě)了Pakistan 病毒,即 Brain。在一年內(nèi)流傳到了世界各地。1988 年 3 月 2 日,一種蘋(píng)果機(jī)的病毒發(fā)作,這天受感染的蘋(píng)果機(jī)停止工作,只顯示“向所有蘋(píng)果電腦的使用者宣布和平的信息”。以慶祝蘋(píng)果機(jī)生日。1988 年 11 月 2 日,美國(guó)六千多臺(tái)計(jì)算機(jī)被病毒感染,造成 Internet不能正常運(yùn)行。這是一次非常典型的計(jì)算機(jī)病毒入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件,迫使美國(guó)政府立即作出反應(yīng),國(guó)防部成立了計(jì)算機(jī)應(yīng)急行動(dòng)小組。這次事件中遭受攻擊的包括 5 個(gè)計(jì)算機(jī)中心和 12 個(gè)地區(qū)結(jié)點(diǎn),連接著政府、大學(xué)、研究所和擁有政府合同的 250,000臺(tái)計(jì)算機(jī)。這次病毒事件,計(jì)算機(jī)系統(tǒng)直接經(jīng)濟(jì)損失達(dá) 9600 萬(wàn)美元。這個(gè)病毒程序
病毒設(shè)計(jì)者
設(shè)計(jì)者是羅伯特·莫里斯 (Robert T.Morris),當(dāng)年 23 歲,是在康乃爾 (Cornell) 大學(xué)攻讀學(xué)位的研究生。羅伯特·莫里斯設(shè)計(jì)的病毒程序利用了系統(tǒng)存在的弱點(diǎn)。由于羅伯特·莫里斯成了入侵 ARPANET網(wǎng)的最大的電子入侵者,而獲準(zhǔn)參加康乃爾大學(xué)的畢業(yè)設(shè)計(jì),并獲得哈佛大學(xué) Aiken 中心超級(jí)用戶(hù)的特權(quán)。他也因此被判 3 年緩刑,罰款 1 萬(wàn)美元,他還被命令進(jìn)行400 小時(shí)的新區(qū)服務(wù)。1988 年底,在我國(guó)的國(guó)家統(tǒng)計(jì)部門(mén)發(fā)現(xiàn)小球病毒。第二節(jié) 計(jì)算機(jī)病毒原理計(jì)算機(jī)病毒定義1994年2月18日,我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,在《條例》第二十八條中明確指出:“計(jì)算機(jī)病毒,是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”此定義具有法律性、權(quán)威性。(此節(jié)內(nèi)容摘自《計(jì)算機(jī)安全管理與實(shí)用技術(shù)》一書(shū))計(jì)算機(jī)病毒原理病毒的工作原理是什么呢?病毒是一個(gè)程序,一段人為編制的計(jì)算機(jī)程序代碼。它通過(guò)想辦法在正常程序運(yùn)行之前運(yùn)行,并處于特權(quán)級(jí)狀態(tài)。這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行,對(duì)計(jì)算機(jī)的某些資源進(jìn)行監(jiān)視。它會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì),確定目標(biāo)后再將自身代碼插入其中,達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒,如不及時(shí)處理,那么病毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散,其中的大量文件(一般是可執(zhí)行文件)會(huì)被感染。而被感染的文件又成了新的傳染源,再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過(guò)網(wǎng)絡(luò)接觸,病毒會(huì)繼續(xù)進(jìn)行傳染。一般正常的程序是由用戶(hù)調(diào)用,再由系統(tǒng)分配資源,完成用戶(hù)交給的任務(wù)。其目的對(duì)用戶(hù)是可見(jiàn)的、透明的。而病毒具有正常程序的一切特性,它隱藏在正常程序中,當(dāng)用戶(hù)調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán),先于正常程序執(zhí)行,病毒的動(dòng)作、目的對(duì)用戶(hù)時(shí)未知的,是未經(jīng)用戶(hù)允許的。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤(pán)較隱蔽的地方,也有個(gè)別的以隱含文件形式出現(xiàn)。目的是不讓用戶(hù)發(fā)現(xiàn)它的存在。如果不經(jīng)過(guò)代碼分析,病毒程序與正常程序是不容易區(qū)別開(kāi)來(lái)的。一般在沒(méi)有防護(hù)措施的情況下,計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后,可以在很短的時(shí)間里傳染大量程序。而且受到傳染后,計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行,使用戶(hù)不會(huì)感到任何異常。試想,如果病毒在傳染到計(jì)算機(jī)上之后,機(jī)器馬上無(wú)法正常運(yùn)行,那么它本身便無(wú)法繼續(xù)進(jìn)行傳染了。正是由于隱蔽性,計(jì)算機(jī)病毒得以在用戶(hù)沒(méi)有察覺(jué)的情況下擴(kuò)散到上百萬(wàn)臺(tái)計(jì)算機(jī)中。大部分的病毒的代碼之所以設(shè)計(jì)得非常短小,也是為了隱藏。病毒一般只有幾百或1k字節(jié),而PC機(jī)對(duì)DOS文件的存取速度可達(dá)每秒幾百KB以上,所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中,使人非常不易被察覺(jué)。大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作,它可長(zhǎng)期隱藏在系統(tǒng)中,只有在滿(mǎn)足其特定條件時(shí)才啟動(dòng)其表現(xiàn)(破壞)模塊。只有這樣它才可進(jìn)行廣泛地傳播。如“PETER-2"在每年2月27日會(huì)提三個(gè)問(wèn)題,答錯(cuò)后會(huì)將硬盤(pán)加密。著名的“黑色星期五”在逢13號(hào)的星期五發(fā)作。國(guó)內(nèi)的“上海一號(hào)”會(huì)在每年三、六、九月的13日發(fā)作。當(dāng)然,最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時(shí)會(huì)隱藏得很好,只有在發(fā)作日才會(huì)露出本來(lái)面目。任何病毒只要侵入系統(tǒng),都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率,占用系統(tǒng)資源,重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫(huà)面或出點(diǎn)音樂(lè)、無(wú)聊的語(yǔ)句,或者根本沒(méi)有任何破壞動(dòng)作,但會(huì)占用系統(tǒng)資源。這類(lèi)病毒較多,如:GENP、小球、W-BOOT等。惡性病毒則有明確得目的,或破壞數(shù)據(jù)、刪除文件或加密磁盤(pán)、格式化磁盤(pán),有的對(duì)數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險(xiǎn)惡用心。病毒分類(lèi)按傳染方式分為:引導(dǎo)型病毒、文件型病毒和混合型病毒。文件型病毒一般只傳染磁盤(pán)上的可執(zhí)行文件(COM,EXE)。在用戶(hù)調(diào)用染毒的可執(zhí)行文件時(shí),病毒首先被運(yùn)行,然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。其特點(diǎn)是附著于正常程序文件,成為程序文件的一個(gè)外殼或部件。這是較為常見(jiàn)的傳染方式?;旌闲筒《炯嬗幸陨蟽煞N病毒的特點(diǎn),既染引導(dǎo)區(qū)又染文件,因此擴(kuò)大了這種病毒的傳染途徑隨著計(jì)算機(jī)技術(shù)的發(fā)展,新的病毒也不斷出現(xiàn)。我們?cè)诒菊碌淖詈笠还?jié)將介紹宏病毒的機(jī)理和一個(gè)實(shí)例。電腦病毒的新趨勢(shì)傳統(tǒng)型病毒的一個(gè)特點(diǎn), 就是一定有一個(gè)「寄主」程序,病毒就窩藏的這些程序里。最常見(jiàn)的就是一些可執(zhí)行檔,像是副檔名為.EXE及.COM的檔案。但是由於微軟的WORD愈來(lái)愈流行,且WORD所提供的宏命令功能又很強(qiáng),使用WORD宏命令寫(xiě)出來(lái)的病毒也愈來(lái)愈多于是就出現(xiàn)了以.DOC文件為“寄主”的也會(huì)宏病毒。另外,不需要寄主的病毒也出現(xiàn)了,其實(shí),它們寄生在「Internet」上。如果Internet上的網(wǎng)頁(yè)只是單純用HTML寫(xiě)成的話, 那麼要傳播病毒的機(jī)會(huì)可說(shuō)是非常小了。但是呢, 為了讓網(wǎng)頁(yè)看起來(lái)更生動(dòng),
更漂亮,許多語(yǔ)言也紛紛出籠, 其中最有名的就屬JAVA和ActiveX了。從而,它們就成為新一代病毒的溫床。JAVA和ActiveX的執(zhí)行方式,是把程式碼寫(xiě)在網(wǎng)頁(yè)上,當(dāng)你連上這個(gè)網(wǎng)站時(shí), 瀏覽器就把這些程式碼讀下來(lái), 然后用使用者自己系統(tǒng)里的資源去執(zhí)行它。這樣,使用者就會(huì)在神不知鬼不覺(jué)的狀態(tài)下,執(zhí)行了一些來(lái)路不明的程序。對(duì)于傳統(tǒng)病毒來(lái)講,病毒是寄生在「可執(zhí)行的」程序代碼中的。新的病毒的機(jī)理告訴我們,病毒本身是能執(zhí)行的一段代碼,但它們可以寄生在非系統(tǒng)可執(zhí)行文檔里。只是這些文檔被一些應(yīng)用軟件所執(zhí)行。在德國(guó)漢堡一個(gè)名為Chaos Computer 的俱樂(lè)部,有一個(gè)俱樂(lè)部成員完成一只新型態(tài)的病毒-----這只病毒可以找出Internet用戶(hù)的私人銀行資料, 還可以進(jìn)入銀行系統(tǒng)將資金轉(zhuǎn)出, 不需要個(gè)人身份證明,也不需要轉(zhuǎn)帳密碼。當(dāng)使用者在瀏覽全球網(wǎng)站時(shí), 這個(gè)病毒會(huì)自動(dòng)經(jīng)由Active X 控制載入。Active X 控制可搜尋使用者計(jì)算機(jī)的硬盤(pán), 來(lái)尋找IntuitQuicken這個(gè)已有全球超過(guò)九百萬(wàn)使用者的知名個(gè)人理財(cái)軟體。一旦發(fā)現(xiàn)Quicken的檔案, 這個(gè)病毒就會(huì)下轉(zhuǎn)帳指令。計(jì)算機(jī)病毒防范電腦病毒檢測(cè)技術(shù)一臺(tái)計(jì)算機(jī)染上病毒之后,會(huì)有許多明顯或不明顯的特征。例如是文件的長(zhǎng)度和日期忽然改變,系統(tǒng)執(zhí)行速度下降或出現(xiàn)一些奇怪的信息或無(wú)故死機(jī),或更為嚴(yán)重的硬盤(pán)已經(jīng)被格式化。我們常用的防毒軟件是如何去發(fā)現(xiàn)它們的呢?他們就是利用所謂的病毒碼(Virus Pattern)。病毒碼其實(shí)可以想像成是犯人的指紋,當(dāng)防毒軟件公司收集到一只新的病毒時(shí), 他們就會(huì)從這個(gè)病毒程式中截取一小段獨(dú)一無(wú)二而且足以表示這只病毒的二進(jìn)制程序碼 (Binary Code) ,來(lái)當(dāng)做掃毒程序辨認(rèn)此病毒的依據(jù), 而這段獨(dú)一無(wú)二的二進(jìn)制程序碼就是所謂的病毒碼。 在電腦中所有可以執(zhí)行的程序(如 *.EXE,*.COM)幾乎都是由二進(jìn)制程序碼所組成, 也就是電腦的最基本語(yǔ)言-- 機(jī)器碼。就連宏病毒在內(nèi), 雖然它只是包含在Word文件中的宏命令集,可是它也是以二進(jìn)制代碼的方式存在於Word文件中。反病毒軟件常用下列技術(shù)來(lái)查找病毒的:1.病毒碼掃描法將新發(fā)現(xiàn)的病毒加以分析后, 根據(jù)其特徵, 編成病毒碼, 加入資料庫(kù)中。以后每當(dāng)執(zhí)行掃毒程序時(shí), 便能立刻掃描目標(biāo)文件, 并作病毒碼比對(duì),即能偵測(cè)到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢(shì)科技的PC-cillin及Server Protect, 利用深層掃描技術(shù),在即時(shí)掃瞄各個(gè)或大或小的檔案時(shí),平均只需1/20秒的時(shí)間), 大多數(shù)防毒軟件均采用這種方式, 但其缺點(diǎn)是無(wú)法偵測(cè)到未知的新病毒及以變種病毒。