一、计算机病毒概述
计算机病毒是必然产物。
计算机病毒是一种人为制造的,侵入计算机系统、寄生于应用程序或系统可执行部分,并可以自我复制、传播,具有激活型、攻击性的程序代码。
计算机病毒宿主
病毒大多不以文件形式存在,寄生在合法程序上(可以是引导程序,可执行程序,word文档)。
计算机病毒起源
病毒起源
病毒发展
二、病毒的命名与分类
病毒命名方法
- 采用病毒体字节数,如1055/4099病毒
- 病毒体内或传染过程中的特征字符串,如CIH、爱虫病毒
- 发作的现象,如小球病毒
- 发作的时间以及相关的时间,黑色星期五病毒
- 病毒的发源地,如合肥2号
(通常还会加上指明病毒属性的前后缀,一种病毒可能有多种名字)
病毒分类
按所供给操作系统划分法
- DOS病毒
- Windows病毒
- Linux病毒
- Unix病毒
寄生方法分类
- 覆盖型:病毒用自身的代码,部分或全部的覆盖在寄生的宿主上,使原宿主的部分功能或全部功能被破坏
- 代替型:病毒用自身的程序代码替代原宿主程序代码。病毒程序能完成或简单完成被替代程序代码的主要功能,因而可以减少被发现的机会。
- 填充型:将自身的代码隐藏在寄生宿主内部为存有信息的空白存储单元。
- 链接型:病毒代码附加到宿主程序上,并不破坏宿主代码。
- 转储型:将其宿主程序的部分代码或全部代码转出到其他储存空间,而病毒本身侵占宿主程序原来的存储空间。这类病毒一般感染磁盘引导区。
传染目标分类法
- 引导型:修改系统启动扇区,启动时取得控制权,进行传播破坏
- 文件型:感染可执行文件,调用文件时运行
- 混合型:既感染引导区又感染文件
破坏性分类法
- 良性
- 恶性
三、病毒特征
- 刻意编写人为破坏:破坏数据、删除文件、格式化磁盘、破坏主板
- 主动传染性:自我复制,扩散传播
- 隐藏性:难以识别,体积短小,加密,变形
- 可激活性:具有潜伏期,满足触发条件后才发作(触发器:系统时钟,并独自带计数器,特定操作)
- 不可预见性
四、病毒程序结构
计算机病毒程序是为了特殊目的而编制的,他通过修改其他程序而把自己复制进去,并且传染该程序。一般来说,计算机病毒程序包括三个功能模块。
引导模块
借助宿主程序,将病毒程序从外存引进内存,以便使传染模块和破坏模块进入活动状态。另外,引导模块还可以降分别存放的病毒程序链接在一起,重新进行装配,形成新的病毒程序,破坏计算机系统。
传染模块
将病毒迅速传染,尽可能扩大染毒范围。病毒的传染模块由两部分组成:条件判断部分和程序主体部分,前者负责将病毒程序与宿主程序链接,完成传染病毒的工作。
破坏模块
病毒编织者的意图,就是攻击破坏计算机系统,所以破坏模块是病毒程序的核心部分。破坏模块在进行各种攻击之前,首先判断破坏条件是否成立,只有条件全部满足时,破坏模块才开始其破坏活动。
这些模块功能独立,同时又相互关联,构成病毒程序的整体。
五、现代计算机病毒特征
攻击对象趋于混合型
同时感染系统引导区和可执行文件
反跟踪技术
增强隐蔽性
加密技术处理
病毒体繁衍不同变种
自我变形,自我保护,自我恢复
六、计算机病毒防治
病毒的弱点
- 病毒是一段程序,需要宿主。
- 宿主必须是可执行部分,
- 病毒的任何感染行为总是会改变宿主,或完全替代宿主的一部分代码,或修改部分代码,或改变操作系统定位该宿主的指针。
- 如果病毒要存活、繁衍,其程序代码就必须能够被执行,即病毒要有转变为激活态的机会——否则就不能进行传染、表现或破坏。
杀毒软件技术
病毒扫描程序
内存扫描程序
完整性检查程序
行为监视器
