【文章內(nèi)容簡介】 病毒 這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的）一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術(shù)、超級病毒技術(shù)和隱蔽性病毒技術(shù)，將給當(dāng)前的反病毒技術(shù)帶來嚴(yán)峻的挑戰(zhàn)。 (3)外殼型病毒 外殼型病毒將其自身包圍在主程序的四周， 對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。 (4)操作系統(tǒng)型病毒 這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)進行工作，具有很強的破壞力，可以導(dǎo)致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。這種病毒在運行時，用自己的邏輯部分取代操作系統(tǒng)的合法程序模塊，根據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運行的地位與作用以及病毒取代操作系統(tǒng)的取代方式等，對操作系統(tǒng)進行破壞。 按照計算機病毒的破壞情況可 分兩類： (1)良性計算機病毒 良性病毒是指其不包含有立即對計算機系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進行擴散，從一臺計算機傳染到另一臺，并不破壞計算機內(nèi)的數(shù)據(jù)。有些人對這類計算機病毒的傳染不以為然，認為這只是惡作劇，沒什么關(guān)系。其實良性、惡性都是相對而言的。良性病毒取得系統(tǒng)控制權(quán)后，會導(dǎo)致整個系統(tǒng)運行效率降低，系統(tǒng)可用內(nèi)存總數(shù)減少，使某些應(yīng)用程序不能運行。它還與操作系統(tǒng)和應(yīng)用程序爭搶 CPU的控制權(quán)， 時時導(dǎo)致整個系統(tǒng)死鎖，給正常操作帶來麻煩。有時系統(tǒng)內(nèi)還會出現(xiàn)幾種病毒交叉感染的現(xiàn) 象，一個文件不停地反復(fù)被幾種病毒所感染。例如原來只有 10KB 的文件變成約 90KB，就是被幾種病毒反復(fù)感染了數(shù)十次。這不僅消耗掉大量寶貴的磁盤存儲空間，而且整個計算機系統(tǒng)也由于多種病毒寄生于其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統(tǒng)造成的損害。 (2)惡性計算機病毒 惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。這類病毒是很多的，如米開朗基羅病毒。當(dāng)米氏病毒發(fā)作時，硬盤的前 17 個扇區(qū)將被徹底破壞，使整個硬盤上的數(shù)據(jù)無法被恢復(fù)，造成的損失是無法挽回的。有的病毒還會對硬盤做格式化等破壞。這些操作代碼都是刻意編寫進病毒的，這是其本性之一。因此這類惡性病毒是很危險的，應(yīng)當(dāng)注意防范。所幸防病毒系統(tǒng)可以通陜郵職院 11 屆計算機系畢業(yè)設(shè)計（論文） 8 過監(jiān)控系統(tǒng)內(nèi)的這類異常動作識別出計算機病毒的存在與否，或至少發(fā)出警報提醒用戶注意。 傳染性是計算機病毒的本質(zhì)屬性，根據(jù)寄生部位或傳染對象分類，也即根據(jù)計算機病毒傳染方式進行分類，有以下幾種： (1)磁盤引導(dǎo)區(qū)傳染的計算機病毒 磁盤引導(dǎo)區(qū)傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記 錄隱藏在磁盤的其他地方。由于引導(dǎo)區(qū)是磁盤能正常使用的先決條件，因此，這種病毒在運行的一開始（如系統(tǒng)啟動）就能獲得控制權(quán)，其傳染性較大。由于在磁盤的引導(dǎo)區(qū)內(nèi)存儲著需要使用的重要信息，如果對磁盤上被移走的正常引導(dǎo)記錄不進行保護，則在運行過程中就會導(dǎo)致引導(dǎo)記錄的破壞。引導(dǎo)區(qū)傳染的計算機病毒較多，例如， “ 大麻 ”和 “ 小球 ” 病毒就是這類病毒。 (2)操作系統(tǒng)傳染的計算機病毒 操作系統(tǒng)是一個計算機系統(tǒng)得以運行的支持環(huán)境，它包括。 COM、。 EXE 等許多可執(zhí)行程序及程序模塊。操作系統(tǒng)傳染的計算機病毒就是利用操作系統(tǒng)中所提供的 一些程序及程序模塊寄生并傳染的。通常，這類病毒作為操作系統(tǒng)的一部分，只要計算機開始工作，病毒就處在隨時被觸發(fā)的狀態(tài)。而操作系統(tǒng)的開放性和不絕對完善性給這類病毒出現(xiàn)的可能性與傳染性提供了方便。操作系統(tǒng)傳染的病毒目前已廣泛存在， “ 黑色星期五 ” 即為此類病毒。 (3)可執(zhí)行程序傳染的計算機病毒 可執(zhí)行程序傳染的病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒也就被激活，病毒程序首先被執(zhí)行，并將自身駐留內(nèi)存，然后設(shè)置觸發(fā)條件，進行傳染。 對于以上三種病毒的分類，實際上可以歸納為兩大類：一類是引導(dǎo)扇區(qū)型傳染的計算機病毒 ；另一類是可執(zhí)行文件型傳染的計算機病毒。 照計算機病毒激活的時間可分為定時的和隨機的。 定時病毒僅在某一特定時間才發(fā)作，而隨機病毒一般不是由時鐘來激活的。 按照計算機病毒的傳播媒介來分類，可分為單機病毒和網(wǎng)絡(luò)病毒。 (1)單機病毒 單機病毒的載體是磁盤，常見的是病毒從軟盤傳人硬盤，感染系統(tǒng)，然后再傳染其他軟盤，軟盤又傳染其他系統(tǒng)。 (2)網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒的傳播媒介不再是移動式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強，破壞力更大。 傳染途徑分類 陜郵職院 11 屆計算機系畢業(yè)設(shè)計（論文） 9 人們習(xí)慣將計算機病毒按寄生方式和傳染途徑來分類。計算機病毒按其寄生方式大致可分為兩類，一是引導(dǎo)型病毒，二是文件型病毒；它們再按其傳染途徑又可分為駐留內(nèi)存型和不駐留內(nèi)存型，駐留內(nèi)存型按其駐留內(nèi)存方式又可細分。 混合型病毒集引導(dǎo)型和文件型病毒特性于一體。 引導(dǎo)型病毒會去改寫（即一般所說的 “ 感染 ” ）磁盤上的引導(dǎo)扇區(qū)（ BOOT SECTOR）的內(nèi)容， 軟盤或硬盤都有可能感染病毒。再不然就是改寫硬盤上的分區(qū)表（ FAT）。如果用已感染病毒的軟盤來啟動的話，則會感染硬盤。 引導(dǎo)型病毒是一種在 ROM BIOS之后，系統(tǒng)引導(dǎo)時出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是 BIOS 中斷服務(wù)程序。引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放在某個固定的位置，并且控制權(quán)的轉(zhuǎn)交方式是以物理地址為依據(jù)，而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)，因而病毒占據(jù)該物理位置即可獲得控制權(quán)，而將真正的引導(dǎo)區(qū)內(nèi)容搬家轉(zhuǎn)移或替換，待病毒程序被執(zhí)行后，將控制權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容，使得這個帶病毒的系統(tǒng)看似正常運轉(zhuǎn)，而病毒己隱藏在系統(tǒng)中伺機傳染、發(fā)作。 有的病毒會潛伏一段時間， 等到它所設(shè)置的日期時才發(fā)作。 有的則會在發(fā)作時在屏幕上顯示一些帶有 “ 宣示 ” 或 “ 警 告 ” 意味的信息。這些信息不外是叫您不要非法拷貝軟件，不然就是顯示特定的圖形，再不然就是放一段音樂給您聽 ?? 。病毒發(fā)作后，不是摧毀分區(qū)表，導(dǎo)致無法啟動，就是直接 FORMAT 硬盤。也有一部分引導(dǎo)型病毒的 “ 手段 ” 沒有那么狠，不會破壞硬盤數(shù)據(jù)，只是搞些 “ 聲光效果 ” 讓您虛驚一場。 引導(dǎo)型病毒幾乎清一色都會常駐在內(nèi)存中，差別只在于內(nèi)存中的位置。（所謂 “ 常駐 ” ，是指應(yīng)用程序把要執(zhí)行的部分在內(nèi)存中駐留一份。這樣就可不必在每次要執(zhí)行它的時候都到硬盤中搜尋，以提高效率）。 引導(dǎo)型病毒按其寄生對象的不同又可分為兩類，即 MBR（主 引導(dǎo)區(qū)）病毒， BR（引導(dǎo)區(qū)）病毒。 MBR 病毒也稱為分區(qū)病毒，將病毒寄生在硬盤分區(qū)主引導(dǎo)程序所占據(jù)的硬盤 0 頭 0 柱面第 1個扇區(qū)中。典型的病毒有大麻（ Stoned）、 2708 等。 BR 病毒是將病毒寄生在硬盤邏輯 0扇區(qū)或軟盤邏輯 0扇區(qū)（即 0 面 0 道第 1個扇區(qū)）。典型的病毒有 Brain、 小球病毒等。 顧名思義，文件型病毒主要以感染文件擴展名為 .COM、 .EXE 和， OVL 等可執(zhí)行程序為主。它的安裝必須借助于病毒的載體程序，即要運行病毒的載體程序，方能把文件型病毒引人內(nèi)存。已感染病毒的文件執(zhí)行速度會減緩，甚至 完全無法執(zhí)行。有些文件遭感染后，一執(zhí)行就會遭到刪除。大多數(shù)的文件型病毒都會把它們自己的程序碼復(fù)制到其宿主的開頭或結(jié)尾處。這會造成已感染病毒文件的長度變長，但用戶不一定能用 DIR命令列出其感染病毒前的長度。 也有部分病毒是直接改寫 “ 受害文件 ” 的程序碼，因此感染病毒后文件的長度仍然維持不變。 感染病毒的文件被執(zhí)行后，病毒通常會趁機再對下一個文件進行感染。有的高明一點的病毒，會在每次進行感染的時候，針對其新宿主的狀況而編寫新的病毒碼，然后才進行感染，因此，這種病毒沒有固定的病毒碼 — 以掃描病毒碼的方式來檢測病毒的查 毒軟件，陜郵職院 11 屆計算機系畢業(yè)設(shè)計（論文） 10 遇上這種病毒可就一點用都沒有了。但反病毒軟件隨著病毒技術(shù)的發(fā)展而發(fā)展，針對這種病毒現(xiàn)在也有了有效手段。 大多數(shù)文件型病毒都是常駐在內(nèi)存中的。 文件型病毒分為源碼型病毒、嵌入型病毒和外殼型病毒。源碼型病毒是用高級語言編寫的，若不進行匯編、鏈接則無法傳染擴散。嵌入型病毒是嵌入在程序的中間，它只能針對某個具體程序，如 dBASE 病毒。 這兩類病毒受環(huán)境限制尚不多見。目前流行的文件型病毒幾乎都是外殼型病毒，這類病毒寄生在宿主程序的前面或后面，并修改程序的第一個執(zhí)行指令，使病毒先于宿主程序執(zhí)行，這樣隨著宿主程序 的使用而傳染擴散。 文件外殼型病毒按其駐留內(nèi)存方式可分為高端駐留型、常規(guī)駐留型、內(nèi)存控制鏈駐留型、設(shè)備程序補丁駐留型和不駐留內(nèi)存型。 混合型病毒綜合系統(tǒng)型和文件型病毒的特性，它的 “ 性情 ” 也就比系統(tǒng)型和文件型病毒更為 “ 兇殘 ” 。此種病毒透過這兩種方式來感染，更增加了病毒的傳染性以及存活率。不管以哪種方式傳染，只要中毒就會經(jīng)開機或執(zhí)行程序而感染其他的磁盤或文件，此種病毒也是最難殺滅的。 引導(dǎo)型病毒相對文件型病毒來講，破壞性較大，但為數(shù)較少，直到 90 年代中期，文件型病毒還是最流行的病毒。但近幾年情形有所變化，宏病毒 后來居上，據(jù)美國國家計算機安全協(xié)會統(tǒng)計，這位 “ 后起之秀 ” 已占目前全部病毒數(shù)量的 80％以上。另外，宏病毒還可衍生出各種變形變種病毒，這種 “ 父生子子生孫 ” 的傳播方式實在讓許多系統(tǒng)防不勝防，這也使宏病毒成為威脅計算機系統(tǒng)的 “ 第一殺手 ” 。 隨著微軟公司 Word 字處理軟件的廣泛使用和計算機網(wǎng)絡(luò)尤其是 Inter 的推廣普及，病毒家族又出現(xiàn)一種新成員，這就是宏病毒。宏病毒是一種寄存于文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，宏病毒就會被激活，轉(zhuǎn)移到計算機上，并駐留在Normal 模板上。從此以后，所有自動保存的 文檔都會 “ 感染 ” 上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機上 。 計算機病毒發(fā)展的主要階段 在計算機病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會抑制其流傳。當(dāng)操作系統(tǒng)進行升級時，病毒也會調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。根據(jù)計算機病毒發(fā)展的特點主要劃分為： 1． DOS 引導(dǎo)階段 1987 年，計算機病毒主要是引導(dǎo)型病毒，具有代表性的是：小球和石頭病毒。當(dāng)時的計算機硬件較少，功能簡單，一般需要通過軟盤啟動后 使用。引導(dǎo)型病毒利用軟盤的啟動原理工作，它們修改系統(tǒng)啟動扇區(qū)，在計算機啟動時首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤時進行傳播。 1989 年，引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭 2”病毒。 2． DOS 可執(zhí)行階段 陜郵職院 11 屆計算機系畢業(yè)設(shè)計（論文） 11 1989 年，可執(zhí)行文件型病毒出現(xiàn)，它們利用 DOS 系統(tǒng)加載執(zhí)行文件的機制工作，其典型代表為“耶路撒冷”、“星期天”病毒。病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權(quán)，修改 DOS中斷，在系統(tǒng)調(diào)用時進行傳染，并將自己附加在可執(zhí)行文件中，使文件長度增加。 1990 年發(fā)展 為復(fù)合型病毒，可感染 COM和 EXE 文件。 3．伴隨、批次型階段 1992 年，伴隨型病毒出現(xiàn)，它們利用 DOS加載文件的優(yōu)先順序進行工作。具有代表性的是“金蟬”病毒，它感染 EXE文件時生成一個和 EXE同名的擴展名為 COM 伴隨體；它感染 COM 文件時，將原來的 COM 文件改為同名的 EXE文件，再產(chǎn)生一個原名的伴隨體，文件擴展名為 COM。這樣，在 DOS 加載文件時，病毒就取得控制權(quán)。這類病毒的特點是不改變原來的文件內(nèi)容、日期及屬性，解除病毒時只要將其伴隨體刪除即可。在非 DOS 操作系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語 言進行工作，具有典型代表的是“海盜旗”病毒，它在得到執(zhí)行時，詢問用戶名稱和口令，然后返回一個出錯信息，將自身刪除。 批次型病毒是工作在 DOS 下的和“海盜旗”病毒類似的一類病毒。 4．幽靈、多形階段 1994 年，隨著匯編語言的發(fā)展，實現(xiàn)同一功能可以用不同的方式進行完成，這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。幽靈病毒就是利用這個特點，每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查找這類病毒就必須能對這段數(shù)據(jù)進行解碼，加大了查毒 的難度。 多形病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。 5．生成器、變體機階段 1995 年，在匯編語言中，一些數(shù)據(jù)的運算放在不同的通用寄存器中，可運算出同樣的結(jié)果，隨機地插入一些空操作和無關(guān)指令，也不影響運算的結(jié)果，這樣，一段解碼算法就可以由生成器生成。當(dāng)生成的是病毒時，這種復(fù)雜的病毒生成器和變體機就產(chǎn)生了。具有典型代表的是“病毒制造機”，它可以在瞬間制造出成千上萬種不同的病毒，查找時就不能使用傳統(tǒng)的特征識別法，需要在宏觀上分析指令、解 碼后查找病毒。變體機就是增加解碼復(fù)雜程度的指令生成機制。 6．網(wǎng)絡(luò)、蠕蟲階段 1995 年，隨著網(wǎng)絡(luò)的普及，病毒開始利用網(wǎng)絡(luò)進行傳播，它們只是以上幾代病毒的改進。在非 DOS 操作系統(tǒng)中，“蠕