计算机病毒通常是指什么 计算机病毒(一种恶意计算机代码)详细资料大全

计算机病毒(一种恶意计算机代码)详细资料大全  

计算机病毒（Computer Virus）是编制者在电脑程式中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程式代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

计算机病毒是一个程式，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的档案上，当档案被复制或从一个用户传送到另一个用户时，它们就随同档案一起蔓延开来。

基本介绍

中文名：计算机病毒外文名：Computer Virus诞生年代：20世纪危害最大：CIH  定义,发展,科幻小说,病毒程式,特征,原理,感染策略,非常驻型病毒,常驻型病毒,分类,命名,征兆预防,病毒征兆,保护预防,免杀技术以及新特征,

定义

计算机病毒 （Computer Virus）在《 中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在电脑程式中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程式代码”。 熊猫烧香病毒（尼姆亚病毒变种）计算机病毒与医学上的“病毒”不同，计算机病毒不是天然存在的，是人利用计算机软体和硬体所固有的脆弱性编制的一组指令集或程式代码。它能潜伏在计算机的存储介质（或程式）里，条件满足时即被激活，通过修改其他程式的方法将自己的精确拷贝或者可能演化的形式放入其他程式中。从而感染其他程式，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。

发展

第一份关于计算机病毒理论的学术工作（ "病毒" 一词当时并未使用）于 1949 年由约翰·冯·诺伊曼完成。以 " Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲，后改以 "Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个电脑程式如何复制其自身。 1980 年，Jürgen Kraus 于多特蒙德大学撰写他的学位论文 "Self-reproduction of programs"。论文中假设电脑程式可以表现出如同病毒般的行为。 “病毒”一词最早用来表达此意是在弗雷德·科恩 （Fred Cohen）1984年的论文《电脑病毒实验》。 1983 年 11月，在一次国际计算机安全学术会议上，美国学者科恩第一次明确提出计算机病毒的概念，并进行了演示。 1986年年初，巴基斯坦兄弟编写了“大脑（ Brain）”病毒，又被称为“巴基斯坦”病毒。 1987年，第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟：巴斯特（ Basit）和阿姆捷特（ Amjad）编写。计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。 1988年在财政部的计算机上发现的，中国最早的计算机病毒。 1989年，引导型病毒发展为可以感染硬碟，典型的代表有“石头2”。 1990年，发展为复合型病毒，可感染COM和EXE档案。 1992年，利用DOS载入档案的优先顺序进行工作，具有代表性的是“金蝉”病毒。 1995年，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器” ，幽灵病毒流行中国。典型病毒代表是“病毒制造机” “VCL”。 1998年台湾大同工学院学生陈盈豪编制了CIH病毒。 2000年最具破坏力的10种病毒分别是：Kakworm，爱虫， Apology-B， Marker ， Pretty ，Stages-A，Navidad，Ska-Happy99 ，WM97/Thus ，XM97/Jin。 2003年，中国大陆地区发作最多的十个病毒，分别是：红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。 2005年，1月到10月，金山反病毒监测中心共截获或监测到的病毒达到50179个，其中木马、蠕虫、黑客病毒占其中的91%，以盗取用户有价账号的木马病毒（如网银、QQ、网游）为主，病毒多达2000多种。 2007年1月，病毒累计感染了中国80%的用户，其中78%以上的病毒为木马、后门病毒。熊猫烧香肆虐全球。 2010年，越南全国计算机数量已500万台，其中93%受过病毒感染，感染电脑病毒共损失59000万亿越南盾。 2017年5月，一种名为“想哭”的勒索病毒席卷全球，在短短一周时间里，上百个国家和地区受到影响。据美国有线新闻网报导，截至2017年5月15日，大约有150个国家受到影响，至少30万台电脑被病毒感染。

科幻小说

而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德（David Gerrold）的《When H.A.R.L.I.E. was One》，描述了一个叫“病毒”的程式和与之对战的叫“抗体”的程式；另一部是约翰·布鲁勒尔（John Brunner）1975年的小说《震荡波骑士（ShakewaveRider）》，描述了一个叫做“磁带蠕虫”、在网路上删除数据的程式。

病毒程式

1960年代初，美国麻省理工学院的一些青年研究人员，在做完工作后，利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程式，然后输入到计算机中运行，并销毁对方的游戏程式。而这也可能就是计算机病毒的雏形。

特征

繁殖性计算机病毒可以像生物病毒一样进行繁殖，当正常程式运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程式为计算机病毒的首要条件。破坏性计算机中毒后，可能会导致正常的程式无法运行，把计算机内的档案删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬体环境破坏。传染性计算机病毒传染性是指计算机病毒通过修改别的程式将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程式也可以是系统中的某一个部件。潜伏性 计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作， 会使电脑变慢。 隐蔽性计算机病毒具有很强的隐蔽性，可以通过病毒软体检查出来少数，隐蔽性计算机病毒时隐时现、变化无常，这类病毒处理起来非常困难。可触发性编制计算机病毒的人，一般都为病毒程式设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程式等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏。

原理

病毒依附存储介质软碟、 硬碟等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在记忆体， 并设定触发条件，触发的条件是多样化的， 可以是时钟，系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中，进行各种破坏活动等。 病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。

感染策略

为了能够复制其自身，病毒必须能够运行代码并能够对记忆体运行写操作。基于这个原因，许多病毒都是将自己附着在合法的执行档上。如果用户企图运行该执行档，那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染，之后再将控制权交给被感染的应用程式。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒会将自己载入记忆体并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。

非常驻型病毒

非常驻型病毒可以被想成具有搜寻模组和复制模组的程式。搜寻模组负责查找可被感染的档案，一旦搜寻到该档案，搜寻模组就会启动复制模组进行感染。

常驻型病毒

常驻型病毒包含复制模组，其角色类似于非常驻型病毒中的复制模组。复制模组在常驻型病毒中不会被搜寻模组调用。病毒在被运行时会将复制模组载入记忆体，并确保当作业系统运行特定动作时，该复制模组会被调用。例如，复制模组会在作业系统运行其它档案时被调用。在这个例子中，所有可以被运行的档案均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的档案。例如，一个快速感染者可以感染所有被访问到的档案。这会对防毒软体造成特别的问题。当运行全系统防护时，防毒软体需要扫描所有可能会被感染的档案。如果防毒软体没有察觉到记忆体中有快速感染者，快速感染者可以借此搭便车，利用防毒软体扫描档案的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到，这是因为其行为会使得系统性能降低，进而增加被防毒软体侦测到的风险。相反的，慢速感染者被设计成偶而才对目标进行感染，如此一来就可避免被侦测到的机会。例如，有些慢速感染者只有在其它档案被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。

分类

破坏性良性病毒、恶性病毒、极恶性病毒、灾难性病毒。传染方式 引导区型病毒主要通过软碟在作业系统中传播，感染引导区，蔓延到硬碟，并能感染到硬碟中的"主引导记录"。 档案型病毒是档案感染者，也称为“寄生病毒”。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的档案。 混合型病毒具有引导区型病毒和档案型病毒两者的特点。 宏病毒是指用BASIC语言编写的病毒程式暂存在Office文档上的宏代码。宏病毒影响对文档的各种操作。 连线方式 源码型病毒攻击高级语言编写的源程式，在源程式编译之前插入其中，并随源程式一起编译、连线成执行档。源码型病毒较为少见，亦难以编写。 入侵型病毒可用自身代替正常程式中的部分模组或堆叠区。因此这类病毒只攻击某些特定程式，针对性强。一般情况下也难以被发现，清除起来也较困难。 作业系统型病毒可用其自身部分加入或替代作业系统的部分功能。因其直接感染作业系统，这类病毒的危害性也较大。 外壳型病毒通常将自身附在正常程式的开头或结尾，相当于给正常程式加了个外壳。大部份的档案型病毒都属于这一类。 计算机病毒种类繁多而且复杂，按照不同的方式以及计算机病毒的特点及特性，可以有多种不同的分类方法。同时，根据不同的分类方法，同一种计算机病毒也可以属于不同的计算机病毒种类。 按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类。 根据病毒存在的媒体划分： 网路病毒——通过计算机网路传播感染网路中的执行档。 档案病毒——感染计算机中的档案（如：COM，EXE，DOC等）。 引导型病毒——感染启动扇区（Boot）和硬碟的系统引导扇区（MBR）。 还有这三种情况的混合型，例如：多型病毒（档案和引导型）感染档案和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。 根据病毒传染渠道划分： 驻留型病毒——这种病毒感染计算机后，把自身的记忆体驻留部分放在记忆体（RAM）中，这一部分程式挂接系统调用并合并到作业系统中去，它处于激活状态，一直到关机或重新启动 非驻留型病毒——这种病毒在得到机会激活时并不感染计算机记忆体，一些病毒在记忆体中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。 根据破坏能力划分： 无害型——除了传染时减少磁碟的可用空间外，对系统没有其它影响。 无危险型——这类病毒仅仅是减少记忆体、显示图像、发出声音及同类影响。 危险型——这类病毒在计算机系统操作中造成严重的错误。 非常危险型——这类病毒删除程式、破坏数据、清除系统记忆体区和作业系统中重要的信息。 根据算法划分： 伴随型病毒——这类病毒并不改变档案本身，它们根据算法产生EXE档案的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM档案并不改变EXE档案，当DOS载入档案时，伴随体优先被执行到，再由伴随体载入执行原来的EXE档案。 “蠕虫”型病毒——通过计算机网路传播，不改变档案和资料信息，利用网路从一台机器的记忆体传播到其它机器的记忆体，计算机将自身的病毒通过网路传送。有时它们在系统存在，一般除了记忆体不占用其它资源。 寄生型病毒——除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或档案中，通过系统的功能进行传播，按其算法不同还可细分为以下几类。
练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。
诡秘型病毒，它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和档案缓冲区等对DOS内部进行修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒（又称幽灵病毒），这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

命名

计算机病毒命名，DOS系统下病毒无前缀。 （一般病毒命名格式：<前缀>.<病毒名>.<后缀>）前缀含义 WM Word6.0、Word95宏病毒 WM97 Word97宏病毒 XM Excel5.0、Excel95宏病毒 X97M Excel5.0和Excel97版本下发作 XF Excel程式病毒 AM Aess95宏病毒 AM97M Aess97宏病毒 W95 Windows95、98病毒 Win Windows3.x病毒 W32 32位病毒，感染所有32位Windows系统 WINT 32位Windows病毒，只感染Windows NT Trojan/Troj 特洛伊木马 VBS VBScript程式语言编写的病毒 VSM Visio VBA宏或script的宏或script病毒 JS JScript程式语言编写的病毒 PE 32位定址的Windows病毒 OSX OS X的病毒 OSXL OS X Lion或者更新版本的病毒

征兆预防

病毒征兆

萤幕上出现不应有的特殊字元或图像、字元无规则变或脱落、静止、滚动、雪花、跳动、小球亮点、莫名其妙的信息提等。 发出尖叫、蜂鸣音或非正常奏乐等。 经常无故当机，随机地发生重新启动或无法正常启动、运行速度明显下降、记忆体空间变小、磁碟驱动器以及其他设备无缘无故地变成无效设备等现象。 磁碟机（2007年） 磁碟标号被自动改写、出现异常档案、出现固定的坏扇区、可用磁碟空间变小、档案无故变大、失踪或被改乱、执行档（ exe）变得无法运行等。 列印异常、列印速度明显降低、不能列印、不能列印汉字与图形等或列印时出现乱码。 收到来历不明的电子邮件、自动连结到陌生的网站、自动传送电子邮件等。

保护预防

程式或数据神秘地消失了，档案名称不能辨认等；注意对系统档案、可执行档案和数据写保护；不使用来历不明的程式或数据；尽量不用软碟进行系统引导。 不轻易打开来历不明的电子邮件；使用新的计算机系统或软体时，先防毒后使用；备份系统和参数，建立系统的应急计画等。安装防毒软体。分类管理数据。

免杀技术以及新特征

免杀是指：对病毒的处理，使之躲过防毒软体查杀的一种技术。通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说“病毒比防毒软体还新，所以防毒软体根本无法识别它是病毒”，但由于传播后部分用户中毒向防毒软体公司举报的原因，就会引起安全公司的注意并将之特征码收录到自己的病毒库当中，病毒就会被防毒软体所识别。 病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻易躲过防毒软体的病毒特征码库而免于被防毒软体查杀。 美国的Norton Antivirus、McAfee、PC-cillin，俄罗斯的Kaspersky Anti-Virus，斯洛伐克的NOD32等产品在国际上口碑较好，但防毒、查壳能力都有限，目前病毒库总数量也都仅在数十万个左右。 自我更新性是近年来病毒的又一新特征。病毒可以借助于网路进行变种更新，得到最新的免杀版本的病毒并继续在用户感染的计算机上运行，比如熊猫烧香病毒的作者就创建了“病毒升级伺服器”，在最勤时一天要对病毒升级8次，比有些防毒软体病毒库的更新速度还快，所以就造成了防毒软体无法识别病毒。 除了自身免杀自我更新之外，很多病毒还具有了对抗它的“天敌”防毒软体和防火墙产品反病毒软体的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的防毒软体和防火墙产品，如病毒自身驱动级Rootkit保护强制检测并退出防毒软体进程，可以过主流防毒软体“主动防御”和穿透软、硬体还原的机器狗，自动修改系统时间导致一些防毒软体厂商的正版认证作废以致防毒软体作废，从而病毒生存能力更加强大。 免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依赖于特征码技术检测的防毒软体带来很大困扰。近年来，国际反病毒行业普遍开展了各种前瞻性技术研究，试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软体，代表厂商NOD32，Dr.Web，和基于行为分析技术的主动防御软体，代表厂商中国的微点主动防御软体等。