中國計算機病毒發(fā)展史病毒防治教程

文檔可自由編輯打印4/4文檔可自由編輯打印文檔可自由編輯打印中國計算機病毒發(fā)展史_病毒防治教計算機病毒，是一段附著在其他程序上的，可以實現(xiàn)自我繁殖的程序代碼。自從1985年在美國被當眾證明其存在性之后，計算機病毒技術(shù)得到了突飛猛進的發(fā)展；各路高手出于種種目的，紛紛編寫了各式各樣的計算機病毒，在Win-Intel平臺上掀起了一股股計算機病毒狂潮。在這股狂潮中，作為一個計算機技術(shù)高速發(fā)展中的國家，中國首當其沖，受到了猛烈的沖擊。嶄露頭角大約是在1988年，隨著軟件交流，石頭和小球病毒跟隨軟盤悄悄地通過香港和美國進入了中國內(nèi)地，并在人們的懵懂之間在大型企業(yè)和研究所間廣為傳播。直到病毒發(fā)作，人們才猛然驚醒！目前一般認為，小球病毒是國內(nèi)發(fā)現(xiàn)的第一個計算機病毒。由于當時普遍使用軟盤來啟動系統(tǒng)，因此這兩個系統(tǒng)病毒在大江南北廣為流傳，成了當時國內(nèi)最流行的計算機系統(tǒng)病毒。跟隨系統(tǒng)病毒之后，各路文件病毒也迅速登陸，巴基斯坦、維也納和雨點等病毒令國人大為震驚之余，對其精湛的編程技藝，也有耳目一新的感覺。風聲鶴唳1989到1991年是計算機病毒在中國迅速壯大的階段，各色病毒揭竿而起，在中國大遍地開花。那時由于家庭電腦尚未普及，因此各家研究所和高等院校等計算機密集的地區(qū)成了計算機病毒的重災區(qū)，而且往往是多種不同病毒反復交叉感染。米開朗琪羅和黑色星期五這兩個文件病毒首開破壞軟件系統(tǒng)之先河，在神州大地上大肆破壞。以至于中央電視臺新聞聯(lián)播等各大新聞媒體紛紛報道，聲勢之大，一時無兩，決不遜色于名震世界的CIH病毒，甚至出現(xiàn)了“帶口罩防計算機病毒傳染”的笑話。更嚴重的是，國內(nèi)的程序開發(fā)高手在經(jīng)過短暫的迷惑之后，通過剖析病毒體，迅速掌握了病毒的編寫技術(shù)，廣州一號、中國炸彈、“六·四”和毛毛蟲等各種國產(chǎn)病毒紛紛登場亮相。這個時期出版的各種剖析計算機病毒的書刊，不能說不起了推波助瀾的作用；而好奇的大學生們，則成為了國產(chǎn)病毒的最先試制者。例如廣州一號，就是廣州大學一位在校學生研究病毒的副產(chǎn)品。不過，隨著軟件技術(shù)的發(fā)展，國人逐漸了解和掌握了計算機病毒，計算機病毒已不再神秘；SCAN和TBAV等反病毒軟件紛紛從國外引入，雷軍等人也開始嘗試自己編寫一些國產(chǎn)反病毒軟件。而華星等硬件防病毒卡更是風行一時，其硬件防病毒技術(shù)當時即使在全世界范圍內(nèi)也是處于領(lǐng)先地位的。巔峰之作在人們逐漸掌握反計算機病毒的之后，計算機病毒開始試圖通過各種方式來掩飾自己。長達4K的世紀病毒，通過全面地接管系統(tǒng)功能調(diào)用，做到了在帶毒環(huán)境下，除了反匯編內(nèi)存之外，其他軟件都絲毫不能覺察病毒的存在，可以說是一個編寫得最認真的病毒。到了1992年，舊的計算機病毒技術(shù)已經(jīng)完全被掌握，一些防病毒卡甚至宣稱可以防范所有的已知和未知的病毒，人們似乎已經(jīng)看到了計算機病毒的末日了。此時，一個叫做DIRII的病毒橫空出世。這個病毒編寫得是如此之巧妙，短短的512個字節(jié)的程序代碼，就鉆入了DOS操作系統(tǒng)的核心，實現(xiàn)了加密、解密和傳染的功能，而且巧妙地躲過了各種防病毒軟件和防毒卡的防線，達到增一分則太多，減一分則太少的境界。其高超的編程技術(shù)令人嘆為觀止，至今仍為計算機病毒的典范之作。DIRII病毒迅速摧毀了各種防病毒卡，為防病毒軟件開辟了一條新的道路。人們開始認識到，反計算機病毒是一個漫長而曲折的過程，而防病毒軟件因為其良好的兼容性，低廉的價格和方便的升級能力而逐漸得到了廣大用戶的認可。末路狂奔1993年以后，隨著DIRII病毒被徹底識穿，以及在KILL、SCAN和KVXXX系列等各種反病毒軟件的一路窮追猛打下，計算機病毒在中國似乎已經(jīng)窮途末路了。各種新病毒都只能是曇花一現(xiàn)，再也不能掀起什么大的波瀾。值得注意的是，1995年以后，由于家用電腦的普及和盜版光盤的興起，一些病毒也借助于盜版光盤之勢，迅速壯大。最著名的是夜賊病毒，當時幾乎在所有的盜版光盤上都有它的影蹤。當年就為了安全帶毒安裝光盤上的軟件（光盤上的病毒可是無法殺除的），特地編寫了一個ANTI1150程序。不過，火山爆發(fā)總是在沉寂之中醞釀的。此時，國外出現(xiàn)了各種專門討論計算機病毒技術(shù)的地下站點，他們編寫病毒雜志，散發(fā)IVP、VCL和G2000等各種專門的計算病毒引擎。借助于這些工具，任何懂得簡單的匯編語言的人，都可以編寫出自己需要的計算機病毒。1997年，以上這幾個計算病毒引擎軟件都通過互連網(wǎng)絡(luò)和盜版光盤傳入中國，并帶來一定的危害。在這個時期，病毒的數(shù)量呈現(xiàn)了幾何數(shù)級的增長，截至止1996年，估計各種病毒及其變體就超過了一萬種。死灰復燃1996年，計算機病毒技術(shù)又有了突飛猛進，為了躲避反病毒軟件的監(jiān)視，新的變種病毒應運而生。以前例如雨點等病毒只是運用簡單的一維變形技術(shù)來掩飾自己，現(xiàn)在，二維變形以至于無窮變形病毒開始出現(xiàn)，以前那種采用特征代碼串來標識計算機病毒的技術(shù)又開始失效。真是道高一尺，魔高一丈。最先傳入中國的是“幽靈”，隨后是“猴子”等兩棲（同時感染系統(tǒng)和文件）變形病毒，這些病毒先后在一定范圍內(nèi)流行。不過由于反病毒軟件的及時跟進，以及國人已經(jīng)習慣于綜合使用各種反病毒軟件，因此這些病毒都沒有能掀起太大的風浪。不過令人擔憂的是，隨著國際互連網(wǎng)絡(luò)的普及，計算機病毒編寫者開始通過互連網(wǎng)絡(luò)來交流編程技術(shù)和心得體會。網(wǎng)上也出現(xiàn)了專門的變種病毒工具，使用這些工具，任何人都可以編寫出帶無窮變形的計算機病毒。國內(nèi)的福州大學系列變形病毒就是這些工具的產(chǎn)品。值得慶幸的是，隨著計算機硬件的提高，Windows以至于Windows95逐漸成為國人通用的操作系統(tǒng)。與DOS系統(tǒng)技術(shù)徹底被掌握不同，Windows以及Windows95完全沒有被公開，其中的很多系統(tǒng)功能和特點尚未被一般人掌握，因此針對Windows和Windows95的病毒很少見，以前一直只在一些地下站點看見過，而且都是一些試驗產(chǎn)品，技術(shù)尚未完全成熟。在Windows平臺下，系統(tǒng)和文件病毒的數(shù)量要大大減少了。黃昏插曲提到中國的病毒的發(fā)展，就不能不提以下的這一段插曲。1997年，有好事者在美國的地球村免費網(wǎng)站上建立了一個叫做“毒島論壇”的站點，專門討論反病毒技術(shù)，評比國內(nèi)的反病毒軟件和提供它們的的解密程序。這年有一種不甚起眼，但是不能不提的888病毒，這是一個系統(tǒng)病毒，實際上并不流行，只是因為某一軟件公司的大肆宣揚，才使之在業(yè)界廣為人知。雖然業(yè)界盛傳某公司利用制毒、放毒和殺毒來宣傳自己，但是事實一直沒有什么端倪。到了97年的下半年，“毒島論壇”宣稱KV300軟件中有病毒！并且迅速在網(wǎng)上公布了病毒的反匯編代碼（由于KV300軟件是經(jīng)過加密的，因此一般人無法簡單地看到這一段代碼）。數(shù)天之后，出于種種考慮，數(shù)家反病毒軟件公司在京召開了記者招待會，聲討這種行為。而江民公司自己則辯稱這是一個“邏輯鎖”，不是病毒。經(jīng)過反匯編了相關(guān)的代碼，發(fā)現(xiàn)“邏輯鎖”的機理與以前宣傳的888病毒完全相同！它利用了微軟的MS-DOS編程上的一個小錯誤，導致系統(tǒng)啟動時進入死循環(huán)。其實早在1992年就有人在《電腦》雜志上介紹了這個問題，并把它用于加密硬盤。而IBM的PC-DOS就沒有這個錯誤。事情最后以江民公司被認定違反了《計算機安全管理條例》，罰款3000元告終，而KV300似乎沒有受到太大的影響，“毒島論壇”還因此被查封。不過業(yè)界公司應該從中吸取經(jīng)驗教訓，如果此事發(fā)生在國外，則違法的公司很可能被客戶告得傾家蕩產(chǎn)。異軍突起1997年，在沉寂了一小段時間以后，病毒又找到了新的突破點，這次是微軟的文書處理和電子表格軟件Word和Excel成了犧牲品。高手門利用了功能強大的宏語言，編制了各色各樣的宏病毒。隨后是各種各樣的好奇者，簡單地利用宏編輯器改造了自己的產(chǎn)品！現(xiàn)在，編寫病毒程序已經(jīng)不是一門“陽春白雪”的技藝，任何人只要拿一個現(xiàn)成的宏病毒，甚至拿微軟的用戶手冊看一下，就可以編寫出一種新病毒來！據(jù)一些反病毒軟件站點報告，全世界一個星期就有近千種新病毒出現(xiàn)，而其中絕大部分是宏毒。在這一場宏病毒大戰(zhàn)中，我國臺灣的各路高手充分展示了自己的身手，臺灣一號病毒甚至跑到了微軟的正版光盤上。國人們向世界顯示，我們的電腦技術(shù)是先進的！同時，一大批反病毒軟件開發(fā)者為了搞清楚微軟密不公開的Word文檔格式而搞得焦頭爛額。最后，通過不泄努力，國內(nèi)各家反病毒軟件公司總算又通過了這一關(guān)；不過因為沒有微軟的支持，誤殺或者殺壞Word文件也是常有的事。反倒是此時馮志宏閑庭信步，輕而易舉地就完成了Word97以前各版本的Word文件的密碼自動解除工作。風云再起1997年下半年，一個叫做SPY的可以攻擊NE（16位Windows格式可執(zhí)行文件）格式程序的病毒，曾經(jīng)在南方流行一時，敲響了Windows病毒進攻的警鐘。此病毒是隨著盜版光盤，從港臺傳入的。盜版光盤再次扮演了一個可恥而可怕的角色。到了1998年的年中，Win95.CIH病毒終于攻破了Windows95平臺。這個病毒創(chuàng)造了幾個之最：CIH病毒是第一個流行的攻擊PE格式32位保護模式程序的病毒；CIH病毒是第一個可以破壞計算機硬件的病毒。以前的病毒最多只能破壞軟件系統(tǒng)，而CIH病毒不但可以直接利用IOS指令摧毀硬盤數(shù)據(jù)（這種方法導致就算你的主板具有防病毒功能，也無能為力），更通過清洗存儲在FlashEPROM中的BIOS指令，導致系統(tǒng)主板無法工作，徹底破壞機器。CIH病毒利用VXD技術(shù)逃過了當時所有的反病毒軟件的監(jiān)測，并且令當時所有宣稱可以防病毒的主板大失顏面。從中我們可以體會到，反病毒技術(shù)的研究是永無止境的。值得慶幸的是，這一次社會各界反映及時，各新聞媒體紛紛報道，各反病毒軟件公司迅速升級自己的產(chǎn)品，使之可以監(jiān)測和清除CIH病毒。據(jù)網(wǎng)上的一封道歉信報道，CIH病毒是臺灣一個叫做陳盈豪的學生編寫的。通過反編譯發(fā)現(xiàn)，這個病毒系利用SIDT指令來獲取系統(tǒng)的核心級執(zhí)行權(quán)限，進而截獲系統(tǒng)的核心功能調(diào)用。這實際上可以說是Windows95系統(tǒng)（Windows98同樣有這個問題）的一個漏洞。所幸的是WindowsNT已經(jīng)封鎖了這一條指令，因此CIH病毒無法在WindowsNT下興風作浪。經(jīng)過反編譯了著名的Synmatec（即生產(chǎn)NortonAntivirus的公司）提供的Kill_Cih程序后發(fā)現(xiàn)，原來Synmatec就是照搬CIH病毒的原理，實行以毒攻毒，同樣利用SIDT指令來獲取系統(tǒng)的核心級執(zhí)行權(quán)限，以達到檢測、殺除和預防CIH病毒的目的?？梢哉f，病毒和反病毒這一正一反兩種技術(shù)，就是在這種互相推動中不斷前進的。群雄逐鹿如今，計算機病毒變得更加活躍，木馬、蠕蟲、后門病毒等輪番攻擊互聯(lián)網(wǎng)，甚至出現(xiàn)了06年炒得火熱的流氓軟件。2000年以來，由于病毒的基本技術(shù)和原理被越來越多的人所掌握，新病毒的出現(xiàn)以及原有病毒的變種層出不窮，病毒的增長速度也遠遠超過的以往任何時期。根據(jù)最新的07年上半年病毒總結(jié)