計(jì)算機(jī)病毒原理與防范-計(jì)算機(jī)病毒概述

計(jì)算機(jī)病毒原理與防范

（第二版）計(jì)算機(jī)病毒概述第1章計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展計(jì)算機(jī)病毒的基本概念計(jì)算機(jī)病毒的分類互聯(lián)網(wǎng)環(huán)境下病毒的多樣化引言計(jì)算機(jī)病毒與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，而是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。從廣義上定義，凡是能夠引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。計(jì)算機(jī)的信息需要存取、復(fù)制和傳送，計(jì)算機(jī)病毒作為信息的一種形式可以隨之繁殖、感染和破壞。計(jì)算機(jī)病毒與反計(jì)算機(jī)病毒勢(shì)必成為一個(gè)長(zhǎng)期的技術(shù)對(duì)抗過(guò)程。計(jì)算機(jī)病毒主要由反計(jì)算機(jī)病毒軟件來(lái)對(duì)付，而且反計(jì)算機(jī)病毒技術(shù)將成為一種長(zhǎng)期的科研任務(wù)。1.1計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展計(jì)算機(jī)病毒的起源計(jì)算機(jī)病毒的發(fā)展背景計(jì)算機(jī)病毒的發(fā)展歷史計(jì)算機(jī)病毒的起源科學(xué)幻想起源說(shuō)1977年，美國(guó)科普作家托馬斯.丁.雷恩《P-1的青春》一書惡作劇起源說(shuō)惡作劇者大多是那些對(duì)計(jì)算機(jī)知識(shí)和技術(shù)均有興趣的人，并且特別熱衷那些別人認(rèn)為是不可能做成的事情游戲程序起源說(shuō)20世紀(jì)70年代，美國(guó)貝爾實(shí)驗(yàn)室的計(jì)算機(jī)程序員為了娛樂(lè)，在自己實(shí)驗(yàn)室的計(jì)算機(jī)上編制吃掉對(duì)方程序的程序，軟件商保護(hù)軟件起源說(shuō)軟件制造商為了處罰那些非法復(fù)制者，在軟件產(chǎn)品之中加入計(jì)算機(jī)病毒程序并由一定條件觸發(fā)并傳染。Permitnon-atomicdomains(atomicindivisible)歸納起來(lái)，計(jì)算機(jī)系統(tǒng)、Internet的脆弱性是產(chǎn)生計(jì)算機(jī)病毒的根本技術(shù)原因之一，計(jì)算機(jī)科學(xué)技術(shù)的不斷進(jìn)步，個(gè)人計(jì)算機(jī)的快速普及應(yīng)用是產(chǎn)生計(jì)算機(jī)病毒的加速器。計(jì)算機(jī)病毒的發(fā)展背景計(jì)算機(jī)病毒的祖先：“CoreWar”（磁芯大戰(zhàn)早在1949年，計(jì)算機(jī)的先驅(qū)者馮.諾依曼在他的一篇論文《復(fù)雜自動(dòng)機(jī)組織論》中，提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制，即已把計(jì)算機(jī)病毒程序的藍(lán)圖勾勒出來(lái)，10年之后，在美國(guó)電話電報(bào)公司（AT&T）的貝爾實(shí)驗(yàn)室中，3個(gè)年輕程序員在工作之余想出一種電子游戲叫做“CoreWar”（磁芯大戰(zhàn)）。計(jì)算機(jī)病毒的出現(xiàn)1983年,科恩.湯普遜（KenThompson）公開(kāi)地證實(shí)了計(jì)算機(jī)病毒的存在，而且還告訴所有聽(tīng)眾怎樣去寫自己的計(jì)算機(jī)病毒程序。計(jì)算機(jī)病毒”一詞的正式出現(xiàn)在1985年3月份的《科學(xué)美國(guó)人》里，杜特尼再次討論“CoreWar”和計(jì)算機(jī)病毒。在該文章中第一次提到“計(jì)算機(jī)病毒”這個(gè)名稱。計(jì)算機(jī)病毒就伴隨著計(jì)算機(jī)的發(fā)展而發(fā)展起來(lái)了。計(jì)算機(jī)病毒的發(fā)展歷史(1)萌芽時(shí)期，磁芯大戰(zhàn)--0世紀(jì)50年代末～60年代初大型計(jì)算機(jī)的時(shí)代--20世紀(jì)60年代晚期～70年代早期計(jì)算機(jī)病毒的思想基礎(chǔ)--美國(guó)科普作家約翰.布魯勒爾的《震蕩波騎士》和托馬斯.捷.瑞安的科幻小說(shuō)《P-1的青春》DOS引導(dǎo)階段--20世紀(jì)80年代，獨(dú)立程序員出現(xiàn)了職業(yè)化趨勢(shì)DOS可執(zhí)行階段--在1989年出現(xiàn)可執(zhí)行文件型計(jì)算機(jī)病毒伴隨、批次型階段--1992年出現(xiàn)，它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。幽靈、多形階段--1994年，用匯編語(yǔ)言實(shí)現(xiàn)同一功能已經(jīng)可以用不同的方式完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈計(jì)算機(jī)病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。計(jì)算機(jī)病毒的發(fā)展歷史(2)生成器、變體機(jī)階段--1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)地插入一些空操作和無(wú)關(guān)指令，也不影響運(yùn)算的結(jié)果。網(wǎng)絡(luò)、蠕蟲階段--1995年，計(jì)算機(jī)病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播。Windows階段--利用Windows系統(tǒng)進(jìn)行工作的計(jì)算機(jī)病毒開(kāi)始發(fā)展，它們修改（NE，PE）文件宏病毒階段--Word宏語(yǔ)言也可以編制計(jì)算機(jī)病毒Internet階段--計(jì)算機(jī)病毒利用Internet進(jìn)行傳播Java、郵件炸彈階段--利用Java語(yǔ)言進(jìn)行傳播和資料獲取的計(jì)算機(jī)病毒開(kāi)始出現(xiàn)，典型的代表是JavaSnake計(jì)算機(jī)病毒1.2計(jì)算機(jī)病毒的基本概念計(jì)算機(jī)病毒的生物特征計(jì)算機(jī)病毒的生命周期計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒發(fā)作的一般癥狀計(jì)算機(jī)病毒的生物特征宿主感染性危害性微小性簡(jiǎn)單性變異性多樣性特異性相容性和互斥性頑固性計(jì)算機(jī)病毒的生命周期開(kāi)發(fā)期--傳染期--將計(jì)算機(jī)病毒其復(fù)制并確認(rèn)其已被傳播出去。潛伏期--計(jì)算機(jī)病毒是自然地復(fù)制的。計(jì)算機(jī)病毒的危害在于暗中占據(jù)存儲(chǔ)空間。發(fā)作期--帶有破壞機(jī)制的計(jì)算機(jī)病毒會(huì)在達(dá)到某一特定條件時(shí)發(fā)作，一旦遇上某種條件，例如，某個(gè)日期或出現(xiàn)了用戶采取的某特定行為。發(fā)現(xiàn)期--當(dāng)計(jì)算機(jī)病毒被檢測(cè)到并被隔離出來(lái)后，計(jì)算機(jī)病毒被通報(bào)和描述給反計(jì)算機(jī)病毒研究工作者。消化期--反計(jì)算機(jī)病毒開(kāi)發(fā)人員修改他們的軟件以使其可以檢測(cè)到新發(fā)現(xiàn)的計(jì)算機(jī)病毒。消亡期--處于消亡期的某些計(jì)算機(jī)病毒已經(jīng)在很長(zhǎng)時(shí)間里不再是一個(gè)重要的威脅了。計(jì)算機(jī)病毒的傳播途徑第一種途徑：通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播。第二種途徑：通過(guò)移動(dòng)存儲(chǔ)設(shè)備來(lái)傳播。第三種途徑：通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播。第四種途徑：通過(guò)點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道傳播。其他未知途徑：計(jì)算機(jī)工業(yè)的發(fā)展在為人類提供更多、更快捷的傳輸信息方式的同時(shí)，也為計(jì)算機(jī)病毒的傳播提供了新的傳播途徑。計(jì)算機(jī)病毒發(fā)作的一般癥狀（1）計(jì)算機(jī)運(yùn)行得比平常遲鈍，程序載入時(shí)間比平常久；（2）對(duì)一個(gè)簡(jiǎn)單的工作，磁盤機(jī)似乎花了比預(yù)期長(zhǎng)的時(shí)間；（3）不尋常、或與系統(tǒng)正在運(yùn)行的軟件無(wú)關(guān)的錯(cuò)誤訊息出現(xiàn)；（4）硬盤的指示燈無(wú)緣無(wú)故地亮了，或程序同時(shí)存取多部磁盤機(jī)；（5）系統(tǒng)記憶體容量忽然大量減少，磁盤可利用的空間突然減少；（6）可執(zhí)行文檔的大小改變了；（7）記憶體內(nèi)增加了來(lái)路不明的常駐程序；（8）檔案奇怪地消失或檔案的內(nèi)容被附加了一些奇怪的資料；（9）檔案名稱、文檔名、日期和屬性被更改過(guò)。1.3計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的基本分類按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類 按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類 按照計(jì)算機(jī)病毒的攻擊機(jī)型分類 按照計(jì)算機(jī)病毒的鏈接方式分類 按照計(jì)算機(jī)病毒的破壞情況分類 按照計(jì)算機(jī)病毒的寄生方式分類 按照計(jì)算機(jī)病毒激活的時(shí)間分類 按照計(jì)算機(jī)病毒的傳播媒介分類 按照計(jì)算機(jī)病毒特有的算法分類 按計(jì)算機(jī)病毒的傳染途徑分類 按照計(jì)算機(jī)病毒的破壞行為分類 按照計(jì)算機(jī)病毒的“作案”方式分類 計(jì)算機(jī)病毒的基本分類傳統(tǒng)開(kāi)機(jī)型計(jì)算機(jī)病毒隱形開(kāi)機(jī)型計(jì)算機(jī)病毒檔案感染型兼開(kāi)機(jī)型計(jì)算機(jī)病毒目錄型計(jì)算機(jī)病毒傳統(tǒng)檔案型計(jì)算機(jī)病毒千面人計(jì)算機(jī)病毒突變引擎病毒隱形檔案型計(jì)算機(jī)病毒終結(jié)型計(jì)算機(jī)病毒W(wǎng)ord巨集計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的計(jì)算機(jī)病毒攻擊Windows系統(tǒng)的計(jì)算機(jī)病毒攻擊UNIX系統(tǒng)的計(jì)算機(jī)病毒攻擊OS/2系統(tǒng)的計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒操作系統(tǒng)傳染的計(jì)算機(jī)病毒可執(zhí)行程序傳染的計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的攻擊機(jī)型分類攻擊微型計(jì)算機(jī)的計(jì)算機(jī)病毒攻擊小型機(jī)的計(jì)算機(jī)病毒攻擊工作站的計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的鏈接方式分類源碼型計(jì)算機(jī)病毒嵌入型計(jì)算機(jī)病毒外殼型計(jì)算機(jī)病毒操作系統(tǒng)型計(jì)算機(jī)病毒按照計(jì)算機(jī)病毒的破壞情況分類良性計(jì)算機(jī)病毒:不包含有立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。惡性計(jì)算機(jī)病毒:在其包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作的代碼，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。按照計(jì)算機(jī)病毒的寄生方式分類引導(dǎo)型計(jì)算機(jī)病毒--指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。文件型計(jì)算機(jī)病毒--指能夠寄生在文件中的計(jì)算機(jī)病毒。這類計(jì)算機(jī)病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。復(fù)合型計(jì)算機(jī)病毒--兼具引導(dǎo)型病毒和文件型病毒寄生方式的計(jì)算機(jī)病毒。按照計(jì)算機(jī)病毒激活的時(shí)間分類計(jì)算機(jī)病毒可分為定時(shí)的和隨機(jī)的兩類。定時(shí)計(jì)算機(jī)病毒僅在某一特定時(shí)間才發(fā)作.隨機(jī)計(jì)算機(jī)病毒一般不是由時(shí)鐘來(lái)激活的。按照計(jì)算機(jī)病毒的傳播媒介分類單機(jī)計(jì)算機(jī)病毒--單機(jī)計(jì)算機(jī)病毒的載體是磁盤，常見(jiàn)的是計(jì)算機(jī)病毒從軟盤或U盤等移動(dòng)載體傳入硬盤，感染系統(tǒng)，然后再傳染其他軟盤或U盤，軟盤等移動(dòng)載體又傳染其他系統(tǒng)。網(wǎng)絡(luò)計(jì)算機(jī)病毒--網(wǎng)絡(luò)計(jì)算機(jī)病毒的傳播媒介不再是移動(dòng)式載體，而是網(wǎng)絡(luò)通道，這種計(jì)算機(jī)病毒的傳染能力更強(qiáng)，破壞力更大。按照計(jì)算機(jī)病毒特有的算法分類伴隨型計(jì)算機(jī)病毒--這一類計(jì)算機(jī)病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生.exe文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（.com），例如，Xcopy.exe的伴隨體是X，計(jì)算機(jī)病毒把自身寫入.com文件并不改變.exe文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來(lái)的.exe文件。“蠕蟲”型計(jì)算機(jī)病毒--這類計(jì)算機(jī)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)計(jì)算機(jī)的內(nèi)存?zhèn)鞑サ狡渌?jì)算機(jī)的內(nèi)存，尋找計(jì)算網(wǎng)絡(luò)地址，將自身的計(jì)算機(jī)病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在，一般除了內(nèi)存不占用其他資源。寄生型計(jì)算機(jī)病毒--通過(guò)系統(tǒng)的功能進(jìn)行傳播，按算法可分為如下幾種。練習(xí)型計(jì)算機(jī)病毒詭秘型計(jì)算機(jī)病毒變型計(jì)算機(jī)病毒（又稱幽靈計(jì)算機(jī)病毒）按計(jì)算機(jī)病毒的傳染途徑分類計(jì)算機(jī)病毒按其傳染途徑大致可分為兩類：一是感染磁盤上的引導(dǎo)扇區(qū)BootSector的內(nèi)容的計(jì)算機(jī)病毒；二是感染文件型計(jì)算機(jī)的病毒。它們?cè)侔雌鋫魅就緩接挚煞譃轳v留內(nèi)存型和不駐留內(nèi)存型，駐留內(nèi)存型按其駐留內(nèi)存方式又可細(xì)分。混合型計(jì)算機(jī)病毒集感染引導(dǎo)型和文件型計(jì)算機(jī)病毒特性于一體。引導(dǎo)型計(jì)算機(jī)病毒會(huì)去改寫（即一般所說(shuō)的“感染”）磁盤上的引導(dǎo)扇區(qū)BootSector的內(nèi)容，軟盤或硬盤都有可能感染計(jì)算機(jī)病毒；或是改寫硬盤上的分區(qū)表FAT。如果用已感染計(jì)算機(jī)病毒的軟盤來(lái)啟動(dòng)的話，則會(huì)感染硬盤。按照計(jì)算機(jī)病毒的破壞行為分類攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊文件攻擊內(nèi)存干擾系統(tǒng)運(yùn)行速度下降攻擊磁盤擾亂屏幕顯示鍵盤喇叭攻擊CMOS干擾打印機(jī)按照計(jì)算機(jī)病毒的“作案”方式分類暗藏型計(jì)算機(jī)病毒殺手型計(jì)算機(jī)病毒霸道型計(jì)算機(jī)病毒超載型計(jì)算機(jī)病毒間諜型計(jì)算機(jī)病毒強(qiáng)制隔離型計(jì)算機(jī)病毒欺騙型計(jì)算機(jī)病毒干擾型計(jì)算機(jī)病毒Linux平臺(tái)下的病毒分類1.可執(zhí)行文件型病毒2.蠕蟲（worm）病毒3.腳本病毒4.后門程序1.4互聯(lián)網(wǎng)環(huán)境下病毒的多樣化1.傳播網(wǎng)絡(luò)化2.利用操作系統(tǒng)和應(yīng)用程序的漏洞3.傳播方式多樣4.病毒制作技術(shù)新5.誘惑性6.病毒形式多樣化7.危害多樣化即時(shí)通訊病毒即時(shí)通訊(IM)類病毒是指主要指通過(guò)即時(shí)通訊軟件(如MSN、QQ等)向用戶的聯(lián)系人自動(dòng)發(fā)送惡意消息或自身文件來(lái)達(dá)到傳播目的的蠕蟲等病毒。IM類病毒通常有兩種工作模式：一種是自動(dòng)發(fā)送惡意文本消息，另一種是利用即時(shí)通訊軟件的傳送文件功能，將自身直接發(fā)送出去。手機(jī)病毒1．通過(guò)“無(wú)紅傳送”藍(lán)牙設(shè)備傳播的病毒“卡比爾”、“Lasco.A”。2．針對(duì)移動(dòng)通訊商的手機(jī)病毒“蚊子木馬”。3．針對(duì)手機(jī)BUG的病毒“移動(dòng)黑客”。4．利用短信或彩信進(jìn)行攻擊的“Mobile.SMSDOS”病毒流氓軟件廣告軟件間諜軟件瀏覽器劫持行為記錄軟件惡意共享軟件搜索劫持自動(dòng)撥號(hào)軟件網(wǎng)絡(luò)釣魚習(xí)題1．簡(jiǎn)述計(jì)算機(jī)病毒的發(fā)展。2．計(jì)算機(jī)病毒與生物病毒的本質(zhì)區(qū)別是什么？3．給出計(jì)算機(jī)病毒的基本特征。4．