计算机病毒原理与防治
计算机病毒概述
计算机病毒的简介和特征
计算机病毒的简介
- F.Cohen博士:计算机病毒是一段附着在其它程序上的、可以自我繁殖的程序代码.复制后生成的新病毒同样具有感染其它程序的功能
- 《中华人民共和国计算机病毒防治管理办法》:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码
- 狭义: 一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码
- 广义:包含狭义上的计算机病毒,还包含蠕虫、木马、后门、僵尸、Rootkit、流氓软件、间谍软件、广告软件、Exploit、黑客工具等
- 在生命周期中,病毒一般会经历如下四个阶段:
- 潜伏阶段
- 传染阶段
- 触发阶段
- 发作阶段(表现/破坏)
潜伏阶段:该阶段病毒处于休眠状态,这些病毒最终会被某些条件(如日期,某特定程序或特定文件的出现,内存的容量超过一定范围等)所激活.当然,并不是所有的病毒都经历此阶段
传播阶段:病毒程序将自身复制到其他程序或磁盘的某个区域上,或者传播到其他计算机中,每个被感染的程序或者计算机又因此包含了病毒的复制品,从而也就进入了传播阶段
触发阶段:病毒在被激活后,会执行某一特定功能从而达到某种目的.和处于潜伏期的病毒一样,触发阶段病毒的触发条件是一些系统事件,譬如可以为病毒复制自身的次数,也可以是系统日期或者时间,如CIH1.2病毒于4月26日爆发
发作阶段:病毒在触发条件成熟时,即可在系统中发作.由病毒发作体现出来的破坏程度是不同的:有些是无害的,有些则给系统带来巨大危害
计算机病毒的特征
- 传染性
- 具有把自身复制到其它程序中的能力
- 非授权性
- 隐蔽性、潜伏性
- 不可预见性
破坏性(破坏性取决于病毒设计者的目的和水平)
- 破坏数据信息
- 抢占系统资源
- 破坏硬件
可触发性
- 计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性
计算机病毒的结构方式
- 编码方式:大多数采用汇编语言编写
- 破坏机制:循环执行,破坏系统
- 结构方式:指令程序的物理存储
计算机所能识别的语言只有机器语言,即由0和1构成的代码.但通常人们编程时,不采用机器语言,因为它非常难于记忆和识别.目前通用的编程语言有两种形式汇编语言和高级语言.汇编语言的实质和机器语言是相同的,都是直接对硬件操作,只不过指令采用了英文缩写的标识符,更容易识别和记忆
计算机病毒的分类
按病毒攻击的机型分类
- 攻击微型机的病毒
- 攻击小型机的病毒
- 攻击工作站的病毒
按病毒攻击的操作系统分类
- DOS (PingPong,YanKee,DirII…)
- Windows (Boza,Punch,CIH…)
- UNIX (Bliss,Adore…)
- Macintosh 麦金托什(Mac.simpsons)
- OS/2 (蓝色怪人)
- 其它操作系统(手机病毒、PDA病毒)
按病毒的破坏情况分类
- 良性病毒(无害病毒、无危险病毒)
- 是不包含对计算机系统产生直接破坏作用的代码的计算机病毒
- 恶性病毒(危险病毒、极为危险病毒)
- 指在代码中包含有破坏计算机系统操作代码的计算机病毒
按传播媒介分类
- 单机病毒
- 单机病毒的载体是磁盘或光盘.常见的是通过从软盘传入硬盘,感染系统后,再传染其它软盘.软盘又感染其它系统
- 网络病毒
- 网络为病毒提供了最好的传播途径,它的破坏力是前所未有的.网络病毒利用计算机网络的协议或命令以及Email等进行传播,常见的是通过QQ、BBS、Email、FTP、Web等传播
按病毒的寄生方式和感染途径分类
- 引导型病毒
- 主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方(感染硬盘,软盘主引导扇区)
- 文件型病毒
- 寄生在可执行程序中,一旦程序执行,病毒就被激活,进行预定活动
- 混合型病毒
- 多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法
计算机病毒的传播途径
- 感染本地文件、局域网共享目录中的文件(复制副本到对方目录)
- 寻找Email地址,发送垃圾邮件(携带病毒体)
- 通过网络共享软件(如KaZza)传播
- 通过后门进行传播
- 通过IRC传播(QQ、MSN…)
- 通过U盘、硬盘、光盘等磁介质传播
- 利用软件漏洞进行传播
- 无线电、短信…
计算机病毒的基本防治方法
应持有的态度
- 不存在这样一种反病毒软硬件,能够防治未来产生的所有病毒
- 不存在这样一种病毒程序,能够让未来的所有反病毒软硬件都无法检测
- 目前的反病毒软件和硬件以及安全产品都是易耗品
- 必须经常进行更新、升级
- 病毒产生在前,反病毒手段滞后的现状,将是一个长期的过程
原则
预防为主,防治结合
基本防治方法
- 提高防范意识
- 个人不传播、编制计算机病毒
- 不打开来历不明、未预期收到的邮件
- 不随便访问某些网站、不随便在这些网站上下载文件
- 重要文件定期备份
- 提高操作系统的抗病毒能力
- 问题:操作系统漏洞
- 解决:提高操作系统的抗病毒能力.打开系统自动更新,尽快获得补丁
- 安装反病毒软件和防火墙
- 瑞星、金山、Norton、卡巴斯基、Macfee…
- 注意定期更新病毒库