计算机网络病毒-第7册.docx-道客多多

资源描述

1、计算机百科知识计算机百科知识计算机网络病毒 (七 ) 本书编写组编山东科学技术出版社图书在版编目 (CIP)数据计算机百科知识 /本书编写组编济南山东科学技术出版社 2003ISBN 7-5331-1651-8计本计算机网络基本知识汇编 TP39中国版本图书馆 CIP 数据核字(2003)第 004271 号山东科学技术出版社出版发行 (济南市玉函路 16 号 250001)全国各地新华书店经销莒县新华印刷厂印刷开本 787 1092 1/32 印张 240 字数 4 000 千字2003 年 7 月第 1 版 2003 年

2、7 月第 1 次印刷印数 1 1 000 册书号 ISBN 7-5331-1651-8/ D 112定价 698.00 元计算机网络病毒目录国际上对病毒命名的惯例计算机病毒的传播途径计算机病毒的分类 .计算机病毒的发展阶段计算机病毒的生命周期计算机病毒的特性 .计算机病毒的危害及症状计算机病毒简史计算机感染病毒后的主要症状 . 病毒定义 .怎样面对病毒计算机病毒防范当前计算机病毒的最新特点 .计算机病毒杂谈预防病毒 .关于宏病毒 .病毒报告

3、 .教你如何对付 B ADTRANS 坏透了病毒 .圣诞新年防毒心 .谨防情书病毒的再度发作日本今年上半年病毒报告数增长 3 倍计算机网络病毒第一个跨 WINDOWS 和 LINUX 平台的病毒 WINUX 出现全球 26 个官方网站遭到黑客攻击 . 黑客擅闯英国核电站 2001 年 IT 业重大事件回顾 .数字音乐在网上的自由传播受阻 . 高科技企业股价下跌导致投资者亏损加剧 . ISP 倒闭增多惠普康柏试图合并消费者的隐私权被削弱 .IT 行业的发展势头受阻 MAC OS X

4、终于问世 .微软逃脱被分解的厄运 .谨防求职信再度肆虐 .微软 SQL 蠕虫愈演愈凶荣升病毒攻击排行榜首 . 恶性病毒中国黑客可通过邮件传播中国黑客 (WORM.RUNOUCE )病毒分析报告 .病毒传播速度惊人求职信变种危害最大 .藏身回收站国内惊现垃圾桶病毒 .打着密码的旗号新型蠕虫病毒开始传播 .中国黑客变种惊现夹带武器阻塞网络 . 中国黑客与中国黑客 II 分析比较报告 . 爱情森林惊现数个变种利用 QQ 及网页传播公安部通报我国电脑遭病毒破坏严重计算机网

5、络病毒国际上对病毒命名的惯例一般惯例为前缀+病毒名+后缀前缀表示该病毒发作的操作平台或者病毒的类型而 DOS 下的病毒一般是没有前缀的病毒名为该病毒的名称及其家族后缀一般可以不要的只是以此区别在该病毒家族中各病毒的不同可以为字母或者为数字以说明此病毒的大小例如 WM.Cap.A A 表示在 Cap 病毒家族中的一个变种 WM 表示该病毒是一个 Word 宏病毒下面我就讲解一下各种前缀的含义 WM: Word 宏病毒可以在 Word6.0 和Word95(Word7.0) 下传播发作也可以在 Word97(Word8.0)或以上的 Word

6、下传播发作但该病毒不是在 Word97 制作完成的 W97M: Word97 宏病毒这些是在 Word97 下制作完成并只在 Word97 或以上版本的或以上的 Word 传播发作 XM: Excel 宏病毒在 Excel5.0 和 Excel95 下制作完成并传播发作同样此种病毒也可以在 Excel97 或以上版本传播发作 X97M: 在 Excel97 下制作完成的 Excel 宏病毒此类病毒也可以在 Excel 5.0 和 Excel 97 下传播发计算机网络病毒作 XF: Excel 程式 Excel Formula 病毒此类病毒是用 Excel4.0 把程

7、序片断植入新的 Excel 文档中的 AM: 在 Access95 下制作完成并传播发作的 Access 的宏病毒 A97M: 在 Access97 下制作完成并传播发作的 Access 的宏病毒 W95: 顾名思义这类是 Windows95 病毒运行在 Windows95 操作系统下当然也可以运行在 Windows98 下 Win: Windows3.x 病毒感染 Windows3.x 操作系统的文件 W32:32 位 Windows 病毒感染所有的 32 位 WIdnows 平台 WNT: 同样是

8、32 位 Windows 病毒但只感染 Windows NT 操作系统 HLLC: 高级语言同伴 High Level Language Companion 病毒他们通常是 DOS 病毒通过新建一个附加的文件来传播 HLLP: 高级语言寄生 High Level Language PaRasItIc 病毒这些通常也是 DOS 病毒寄生在计算机网络病毒主文件中 HLLO: 高级语言改写 High Level Language OverwritIng 病毒通常是 DOS 病毒以病毒代码改写主文件 Trojan/Troj: 这并不是病毒只是

9、特洛伊木马通常装扮成有用的程序但通常有恶意代码特洛伊木马并不会传染 VBS: 用 Visual Basic Script 程序语言编写的病毒 AOL: 美国在线 AOL 环境下特殊的木马其目的通常位窃取 AOL 的密码等信息 PWSTEAL: 窃取密码等信息的木马 JAVA: 用 JAVA 程序语言编写的病毒计算机病毒的传播途径第一种途径通过不可移动的计算机硬件设备进行传播这些设备通常有计算机的专用 ASIC 芯片和硬盘等这种病毒虽然极少但破坏力却极强目前尚没有较好的检测手段对付第二种途径通过移

10、动存储设备来传播这些设备包括软盘磁带等在移动存储设备中软盘是使用最广泛移动最频繁的存储介质因此也成了计算机计算机网络病毒病毒寄生的温床目前大多数计算机都是从这计算机网络病毒类途径感染病毒的第三种途径通过计算机网络进行传播现代信息技术的巨大进步已使空间距离不再遥远相隔天涯如在咫尺但也为计算机病毒的传播提供了新的高速公路计算机病毒可以附着在正常文件中通过网络进入一个又一个系统国内计算机感染一种进口病毒已不再是什么大惊小怪的事

11、了在我们信息国际化的同时我们的病毒也在国际化估计以后这种方式将成为第一传播途径第四种途径通过点对点通信系统和无线通道传播目前这种传播途径还不是十分广泛但预计在未来的信息时代这种途径很可能与网络传播途径成为病毒扩散的两大时尚渠道计算机病毒的分类从第一个病毒出世以来究竟世界上有多少种病毒说法不一无论多少种病毒的数量仍在不断增加据国外统计计算机病毒以 10 种/周的速度递增另据我国公安部统计国内以 46 种/月的速度递增不过孙悟空再厉害也逃不过如来佛的手掌心病毒再多也逃不出下列种类

12、病毒分类是为了更好地了解它们按照计算机病毒的特点及特性计算机病毒的分类方法有许多种因此同一种病毒可能有计算机网络病毒多种不同的分法 1 按照计算机病毒攻击的系统分类1 攻击 DOS 系统的病毒这类病毒出现最早最多变种也最多目前我国出现的计算机病毒基本上都是这类病毒此类病毒占病毒总数的 992 攻击 Windows 系统的病毒由于 Windows 的图形用户界面 GUI 和多任务操作系统深受用户的欢迎 Windows 正逐渐取代 DOS 从而成为病毒攻击的主要对象目前发现的首例破坏计算机硬件

13、的 CIH 病毒就是一个 Windows95/98 病毒 3 攻击 UNIX 系统的病毒当前 UNIX 系统应用非常广泛并且许多大型的操作系统均采用 UNIX 作为其主要的操作系统所以 UNIX 病毒的出现对人类的信息处理也是一个严重的威胁 4 攻击 OS/2 系统的病毒世界上已经发现第一个攻击 OS/2 系统的病毒它虽然简单但也是一个不祥之兆 2 按照病毒的攻击机型分类1 攻击微型计算机的病毒这是世界上传染最为广泛的一种病毒 2 攻击小型机的计算机病毒小型机的应用范围是

14、极为广泛的它既可以作为网络的一个节点计算机网络病毒机也可以作为小的计算机网络的主机起初人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰但自 1988 年 11 月份 Internet 网络受到 Worm 程序的攻击后使得人们认识到小型机也同样不能免遭计算机病毒的攻击 3 攻击工作站的计算机病毒近几年计算机工作站有了较大的进展并且应用范围也有了较大的发展所以我们不难想象攻击计算机工作站的病毒的出现

15、也是对信息系统的一大威胁 3 按照计算机病毒的链结方式分类由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击计算机病毒所攻击的对象是计算机系统可执行的部分 1 源码型病毒该病毒攻击高级语言编写的程序该病毒在高级语言所编写的程序编译前插入到原程序中经编译成为合法程序的一部分 2 嵌入型病毒这种病毒是将自身嵌入到现有程序中把计算机病毒的主体程序与其攻击的对象以插入的方式链接这种计算机病毒是难以编写的一旦侵入程序体后也较难消除如果同时采用多态性病毒技术超级病毒计算机网络病毒技术和隐蔽性病毒技术将给当前的反病毒技术带来严

16、峻的挑战 3 外壳型病毒外壳型病毒将其自身包围在主程序的四周对原来的程序不作修改这种病毒最为常见易于编写也易于发现一般测试文件的大小即可知 4 操作系统型病毒这种病毒用它自己的程序意图加入或取代部分操作系统进行工作具有很强的破坏力可以导致整个系统的瘫痪圆点病毒和大麻病毒就是典型的操作系统型病毒这种病毒在运行时用自己的逻辑部分取代操作系统的合法程序模块根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统

17、的取代方式等对操作系统进行破坏 4.按照计算机病毒的破坏情况分类按照计算机病毒的破坏情况可分两类 1 良性计算机病毒良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码这类病毒为了表现其存在只是不停地进行扩散从一台计算机传染到另一台并不破坏计算机内的数据有些人对这类计算机病毒计算机网络病毒的传染不以为然认为这只是恶作剧没什么关系其实良性恶性都是相对而言的良性病毒取得系统控制权后会导致整个系统运行效率降低系统可用内存总数减少使某些应用程序不能运行它还与操作系统和应用程序争抢

18、 CPU 的控制权时时导致整个系统死锁给正常操作带来麻烦有时系统内还会出现几种病毒交叉感染的现象一个文件不停地反复被几种病毒所感染例如原来只有 10KB 的文件变成约 90KB 就是被几种病毒反复感染了数十次这不仅消耗掉大量宝贵的磁盘存储空间而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作因此也不能轻视所谓良性病毒对计算机系统造成的损害 2 恶性计算机病毒恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作在其传染或发作时会对系统产生直接的破坏作用这类病毒是很多的如米开朗基罗病毒当米氏病毒发作时硬盘

19、的前 17 个扇区将被彻底破坏使整个硬盘上的数据无法被恢复造成的损失是无法挽回的有的病毒还会对硬盘做格式化等破坏这些操作代码都是刻意编写进病毒的这是其本性之一因此这类恶性病毒是很危险的应当注意计算机网络病毒防范所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否或至少发出警报提醒用户注意 5 按照计算机病毒的寄生部位或传染对象分类传染性是计算机病毒的本质属性根据寄生部位或传染对象分类也即根据计算机病毒传染方式进行分类有以下几种 1 磁盘引导区传染的计算机病毒磁盘引导区传染的病毒主

20、要是用病毒的全部或部分逻辑取代正常的引导记录而将正常的引导记录隐藏在磁盘的其他地方由于引导区是磁盘能正常使用的先决条件因此这种病毒在运行的一开始如系统启动就能获得控制权其传染性较大由于在磁盘的引导区内存储着需要使用的重要信息如果对磁盘上被移走的正常引导记录不进行保护则在运行过程中就会导致引导记录的破坏引导区传染的计算机病毒较多例如大麻和小球病毒就是这类病毒 2 操作系统传染的计算机病毒操作系统是一个计算机系统得以运行的支持环境它包括 COM EXE 等许多可执行程序及

21、程序模计算机网络病毒块操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的通常这类病毒作为操作系统的一部分只要计算机开始工作病毒就处在随时被触发的状态而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便操作系统传染的病毒目前已广泛存在黑色星期五即为此类病毒 3 可执行程序传染的计算机病毒可执行程序传染的病毒通常寄生在可执行程序中一旦程序被执行病毒也就被激活病毒程序首先被执行并将自身驻留内存然后设置触发条件进行传染对于以上

22、三种病毒的分类实际上可以归纳为两大类一类是引导扇区型传染的计算机病毒另一类是可执行文件型传染的计算机病毒 6 按照计算机病毒激活的时间分类按照计算机病毒激活的时间可分为定时的和随机的定时病毒仅在某一特定时间才发作而随机病毒一般不是由时钟来激活的 7 按照传播媒介分类按照计算机病毒的传播媒介来分类可分为单机计算机网络病毒病毒和网络病毒计算机网络病毒表1 单机病毒单机病毒的载体是磁盘常见的是病毒从软盘传人硬盘感染系统然后再传染其他软盘软盘又传染其他系统 2 网络病毒网络病毒的传播媒介不再是移动式载体而是网络通道这

23、种病毒的传染能力更强破坏力更大 8 按照寄生方式和传染途径分类人们习惯将计算机病毒按寄生方式和传染途径来分类计算机病毒按其寄生方式大致可分为两类一是引导型病毒二是文件型病毒它们再按其传染途径又可分为驻留内存型和不驻留内存型驻留内存型按其驻留内存方式又可细分混合型病毒集引导型和文件型病毒特性于一体引导型病毒会去改写即一般所说的感染磁盘上的引导扇区 BOOT SECTOR 的内容软盘或硬盘都有可能感染病毒再不然就是改写硬盘上的分区 FAT 如果用已感染病毒的软盘来启动的话则会感

24、染硬盘引导型病毒是一种在 ROM BIOS 之后系统引导时出现的病毒它先于操作系统依托的环境是 BIOS 中断服务程序计算机网络病毒引导型病毒是利用操作系统的引导模块放在某个固定的位置并且控制权的转交方式是以物理地址为依据而不是以操作系统引导区的内容为依据因而病毒占据该物理位置即可获得控制权而将真正的引导区内容搬家转移或替换待病毒程序被执行后将控制权交给真正的引导区内容使得这个带病毒的系统看似正常运转而病毒己隐藏在系统中伺机传染发作有的病毒会潜伏一段时间等到它所设置的日

25、期时才发作有的则会在发作时在屏幕上显示一些带有宣示或警告意味的信息这些信息不外是叫您不要非法拷贝软件不然就是显示特定的图形再不然就是放一段音乐给您听病毒发作后不是摧毁分区表导致无法启动就是直接 FORMAT 硬盘也有一部分引导型病毒的手段没有那么狠不会破坏硬盘数据只是搞些声光效果让您虚惊一场引导型病毒几乎清一色都会常驻在内存中差别只在于内存中的位置所谓常驻是指应用程序把要执行的部分在内存中驻留一份这样就可不必在每次要执行它的时候都到硬盘中搜寻以提高效率引导型病毒按其寄生对象的不同又可分为两

26、类计算机网络病毒即 MBR 主引导区病毒 BR 引导区病毒 MBR 病毒也称为分区病毒将病毒寄生在硬盘分区主引导程序所占据的硬盘 0 头 0 柱面第 1 个扇区中典型的病毒有大麻 Stoned 2708 等 BR 病毒是将病毒寄生在硬盘逻辑 0 扇区或软盘逻辑 0 扇区即 0 面 0 道第 1 个扇区典型的病毒有 BRaIn 小球病毒等顾名思义文件型病毒主要以感染文件扩展名为 .COM .EXE 和OVL 等可执行程序为主它的安装必须借助于病毒的载体程序即要运行病毒的载体程序方能把文件型病毒引人内存已感染病

27、毒的文件执行速度会减缓甚至完全无法执行有些文件遭感染后一执行就会遭到删除大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头或结尾处这会造成已感染病毒文件的长度变长但用户不一定能用 DIR 命令列出其感染病毒前的长度也有部分病毒是直接改写受害文件的程序码因此感染病毒后文件的长度仍然维持不变感染病毒的文件被执行后病毒通常会趁机再对下一个文件进行感染有的高明一点的病毒会在每次进行感染的时候针对其新宿主的状况而编写新的病毒码然后才进行感染因此这种病毒没有固定的

28、病毒码以扫描病毒码的方式来检测病毒的查毒软件遇上这种病毒可计算机网络病毒就一点用都没有了但反病毒软件随着病毒技术的发展而发展针对这种病毒现在也有了有效手段大多数文件型病毒都是常驻在内存中的文件型病毒分为源码型病毒嵌入型病毒和外壳型病毒源码型病毒是用高级语言编写的若不进行汇编链接则无法传染扩散嵌入型病毒是嵌入在程序的中间它只能针对某个具体程序如 dBASE 病毒这两类病毒受环境限制尚不多见目前流行的文件型病毒几乎都是外壳型病毒这类病毒寄生在宿主程序的前面或后面并修改程序的第一个执行指令使病毒先于宿主程序执行这样随着宿主程序的使用而传染扩

29、散文件外壳型病毒按其驻留内存方式可分为高端驻留型常规驻留型内存控制链驻留型设备程序补丁驻留型和不驻留内存型混合型病毒综合系统型和文件型病毒的特性它的性情也就比系统型和文件型病毒更为凶残此种病毒透过这两种方式来感染更增加了病毒的传染性以及存活率不管以哪种方式传染只要中毒就会经开机或执行程序而感染其他的磁盘或文件此种病毒也是最难杀灭的引导型病毒相对文件型病毒来讲破坏性较大计算机网络病毒但为数较少直到 90 年代中期文件型病毒还是最流行的病毒但近几年情形有所变化宏病毒后来居上据美国国家计算机安全协会统计这位

30、后起之秀已占目前全部病毒数量的 80 以上另外宏病毒还可衍生出各种变形变种病毒这种父生子子生孙的传播方式实在让许多系统防不胜防这也使宏病毒成为威胁计算机系统的第一杀手随着微软公司 Word 字处理软件的广泛使用和计算机网络尤其是 Internet 的推广普及病毒家族又出现一种新成员这就是宏病毒宏病毒是一种寄存于文档或模板的宏中的计算机病毒一旦打开这样的文档宏病毒就会被激活转移到计算机上并驻留在 Normal 模板上从此以后所有自动保存的文档都会感染上这种宏病毒而且如果其他用户打开了感染病毒的文档宏病毒又

31、会转移到他的计算机上计算机病毒的发展阶段第一代病毒第一代病毒的产生年限可以认为在 19861989 年之间这一期间出现的病毒可以称之为传统的病毒计算机网络病毒是计算机病毒的萌芽和滋生时期由于当时计算机的应用软件少而且大多是单机运行环境因此病毒没有大量流行流行病毒的种类也很有限病毒的清除计算机网络病毒工作相对来说较容易这一阶段的计算机病毒具有如下的一些特点 1 病毒攻击的目标比较单一或者是传染磁盘引导扇区或者是传染可执行文件 2 病毒程序主要采取截获系统中断向量的方式监视系统的运行状态并在一定

32、的条件下对目标进行传染 3 病毒传染目标以后的特征比较明显如磁盘上出现坏扇区可执行文件的长度增加文件建立日期时间发生变化等等这些特征容易被人工或查毒软件所发现 4 病毒程序不具有自我保护的措施容易被人们分析和解剖从而使得人们容易编制相应的消毒软件然而随着计算机反病毒技术的提高和反病毒产品的不断涌现病毒编制者也在不断地总结自己的编程技巧和经验千方百计地逃避反病毒产品的分析检测和解毒从而出现了第二代计算机病毒第二代病毒第二代病毒又称为混合型

33、病毒又有人称之为超级病毒其产生的年限可以认为在 19891991 年之间它是计算机病毒由简单发展到复杂由单纯计算机网络病毒走向成熟的阶段计算机局域网开始应用与普及许多单机应用软件开始转向网络环境应用软件更加成熟由于网络系统尚未有安全防护的意识缺乏在网络环境下病毒防御的思想准备与方法对策给计算机病毒带来了第一次流行高峰这一阶段的计算机病毒具有如下特点 1 病毒攻击的目标趋于混合型即一种病毒既可传染磁盘引导扇区又可能传染可执行文件 2 病毒程序不采用明显地截获中断向量的方

34、法监视系统的运行而采取更为隐蔽的方法驻留内存和传染目标 3 病毒传染目标后没有明显的特征如磁盘上不出现坏扇区可执行文件的长度增加不明显不改变被传染文件原来的建立日期和时间等等 4 病毒程序往往采取了自我保护措施如加密技术反跟踪技术制造障碍增加人们分析和解剖的难度同时也增加了软件检测解毒的难度 5 出现许多病毒的变种这些变种病毒较原病毒的传染性更隐蔽破坏性更大总之这一时期出现的病毒不仅在数量上急剧地增加更重要的是病毒从编制的方式方法驻留内存以及对宿主程序的传染方式方

35、法等方面都有了计算机网络病毒较大的变化第三代病毒第三代病毒的产生年限可以认为从 1992 年开始至 1995 年此类病毒称为多态性病毒或自我变形病毒是最近几年来出现的新型的计算机病毒所谓多态性或自我变形的含义是指此类病毒在每次传染目标时放人宿主程序中的病毒程序大部分都是可变的即在搜集到同一种病毒的多个样本中病毒程序的代码绝大多数是不同的这是此类病毒的重要特点正是由于这一特点传统的利用特征码法检测病毒的产品不能检测出此类病毒据资料介绍此类病毒的

36、首创者是 Mark Washburn 他并不是病毒的有意制造者而是一位反病毒的技术专家他编写的 1260 病毒就是一种多态性病毒此病毒 1990 年 1 月问世有极强的传染力被传染的文件被加密每次传染时都更换加密密钥而且病毒程序都进行了相当大的改动他编写此类病毒的目的是为了研究他将此类病毒散发给他的同事其目的是为了向他们证明特征代码检测法不是在任何场合下都是有效的然而不幸的是为研究病毒而发明的此种病毒超出了反病毒的技术范围流入了病毒技术中 1992 年上半年在保加利亚发现计算机网络病毒者了黑夜复仇 D

37、ark Avenger 病毒的变种 Mutation Dark Avenger 这是世界上最早发现的多态性的实战病毒它可用独特的加密算法产生几乎无限数量的不同形态的同一病毒据悉该病毒作者还散布一种名为多态性发生器的软件工具利用此工具将普通病毒进行编译即可使之变为多态性病毒国内在 1994 年年底已经发现了多态性病毒幽灵病毒迫使许多反病毒技术部门开发了相应的检测和消毒产品由此可见第三阶段是病毒的成熟发展阶段在这一阶段中病毒的发展主要是病毒技术的发展病毒开始向多维化方向发展即传统病毒传染的过程与病毒自身运行的时间和空间无关

38、而新型的计算机病毒则将与病毒自身运行的时间空间和宿主程序紧密相关这无疑将导致计算机病毒检则和消除的困难第四代病毒 90 年代中后期随着远程网远程访问服务的开通病毒流行面更加广泛病毒的流行迅速突破地域的限制首先通过广域网传播至局域网内再在局域网内传播扩散 1996 年下半年随着国内 Internet 的大量普及 EMail 的使用夹杂于 EMail 内的 WORD 宏病毒已成为当前病毒的主流由于宏病毒编写简计算机网络病毒单破坏性强清除繁杂加上微软对 DOC 文档结构没有公开给直接基于文档

39、结构清除宏病毒带来了诸多不便从某种意义上来讲微软 Word BasIc 的公开性以及 DOC 文档结构的封闭性宏病毒对文档的破坏已经不仅仅属于普通病毒的概念如果放任宏病毒泛滥不采取强有力的彻底解决方法宏病毒对中国的信息产业将会产生不测的后果这一时期的病毒的最大特点是利用 Internet 作为其主要传播途径因而病毒传播快隐蔽性强破坏性大此外随着 W indows95 的应用出现了 Windows 环境下的病毒这些都给病毒防治和传统 DOS 版杀毒软件带来新的挑战诚然计算机病毒的发展必然会促进计算机反病毒技术的发展也就是

40、说新型病毒的出现向以行为规则判定病毒的预防产品以病毒特征为基础的检测产品以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力这样势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性迫使人们在反病毒的技术和产品上进行新的更新和换代到目前为止反病毒技术已经成为了计算机安全计算机网络病毒的一种新兴的计算机产业或称反病毒工业计算机病毒的生命周期计算机病毒的产生过程可分为程序设计传播潜伏触发运行实行攻击计

41、算机病毒拥有一个生命周期从生成开始到完全根除结束下面我们描述病毒生命周期的各个时期开发期在几年前制造一个病毒需要计算机编程语言的知识但是今天有一点计算机编程知识的人都可以制造一个病毒通常计算机病毒是一些误人歧途的试图传播计算机病毒和破坏计算机的个人或组织制造的传染期在一个病毒制造出来后病毒的编写者将其拷贝并确认其已被传播出去通常的办法是感染一个流行的程序再将其放入 BBS 站点上校园和其他大型组织当中分发其复制物潜伏期病毒是自然地复制的一个设计良好的病毒可以在它活化前长时期里被复制这就给了它充裕的传播时间这时病毒的危害在于暗中占据存储

42、空间发作期带有破坏机制的病毒会在遇至某一特定条件时发作一旦遇上某种条件比如某个日期或出现了用户采取的某特定行为病毒就被活化了没计算机网络病毒有感染程序的病毒属于没有活化这时病毒的危害在于暗中占据存储空间发现期这一段并非总是这样做但通常如此当一个病毒被检测到并被隔离出来后它被送到计算机安全协会或反病毒厂家在那里病毒被通报和描述给反病毒研究工作者通常发现病毒是在病毒成为计算机社会的灾难之前完成的消化期在这一阶段反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒这段时间的长短取决于开发人员的素质和病毒的类型消亡期若是所有

43、用户安装了最新版的杀毒软件那么任何病毒都将被扫除这样没有什么病毒可以广泛地传播但有一些病毒在消失之前有一个很长的消亡期至今还没有哪种病毒已经完全消失但是某些病毒已经在很长时间里不再是一个重要的威胁了计算机病毒的特性计算机病毒一般具有以下特性 1 计算机病毒的程序性可执行性计算机病毒与其他合法程序一样是一段可执行程序但它不是一个完整的程序而是寄生在其他可执行程序上因此它享有一切程序所能得到的权力计算机网络病毒在病毒运行时与合法程序争夺系统的控制权计算机病毒只有当它在计算机内得以运行时才

44、具有传染性和破坏性等活性也就是说计算机 CPU 的控制权是关键问题若计算机在正常程序控制下运行而不运行带病毒的程序则这台计算机总是可靠的在这台计算机上可以查看病毒文件的名字查看计算机病毒的代码打印病毒的代码甚至拷贝病毒程序却都不会感染上病毒反病毒技术人员整天就是在这样的环境下工作他们的计算机虽也存有各种计算机病毒的代码但己置这些病毒于控制之下计算机不会运行病毒程序整个系统是安全的相反计算机病毒一经在计算机上运行在同一台计算机内病毒程序与正常系统程序或某种病毒与其他病毒程序争夺系统控制权时往往会造成系统崩溃导致计算机瘫痪反病毒技术就是要提前取得计算机系统的控制权识别出计算机病毒的代码和行为阻止其取得系统控制权反病毒技术的优劣就是体现在这一点上一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码阻止其运行或旁路掉其对系统的控制权实现安全带毒运行被感染程序还应该识别出未知计算机病毒在系统内的行为阻止其传染和破坏系统的行动

展开阅读全文