【正文】 ，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺機子上迅速擴散，其中的大量文件 (一般是可執(zhí)行文件 )會被感染。而被感染的文件又成了新的傳染源，再與其他機器進行數(shù)據(jù)交換或通過網(wǎng)絡接觸，病毒會繼續(xù)進行傳染 第 10章 網(wǎng)絡安全技術(shù)設計 正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的 。 而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上 。 計算機病毒可通過各種可能的渠道 ， 如軟盤 、 計算機網(wǎng)絡去傳染其他的計算機 。 當您在一臺機器上發(fā)現(xiàn)了病毒時 ， 往往曾在這臺計算機上用過的軟盤已感染上了病毒 ， 而與這臺機器相聯(lián)網(wǎng)的其他計算機也許也被該病毒染上了 。 是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件 。 病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序。 第 10章 網(wǎng)絡安全技術(shù)設計 (3) 病毒的潛伏性 。 一個編制精巧的計算機病毒程序 ， 進入系統(tǒng)之后一般不會馬上發(fā)作 ， 可以在幾周或者幾個月內(nèi)甚至幾年內(nèi)隱藏在合法文件中 ， 對其他系統(tǒng)進行傳染 ， 而不被人發(fā)現(xiàn) 。 病毒的潛伏性愈好 ， 其在系統(tǒng)中的存在時間就會愈長 ， 病毒的傳染范圍就會愈大 。 第 10章 網(wǎng)絡安全技術(shù)設計 潛伏性的第一種表現(xiàn)是指：病毒程序不用專用檢測程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就四處繁殖、擴散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指：計算機病毒的內(nèi)部往往有一種觸發(fā)機制，不滿足觸發(fā)條件時，計算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件加密、封鎖鍵盤以及使系統(tǒng)死鎖等。 第 10章 網(wǎng)絡安全技術(shù)設計 (4) 病毒的可觸發(fā)性。因某個事件或數(shù)值的出現(xiàn)而誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運行時，觸發(fā)機制檢查預定條件是否滿足，如果滿足，就啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，則使病毒繼續(xù)潛伏。 第 10章 網(wǎng)絡安全技術(shù)設計 (5) 病毒的破壞性 。 所有的計算機病毒都是一種可執(zhí)行程序 ， 而這一可執(zhí)行程序又必然要運行 ， 所以對系統(tǒng)來講 ， 所有的計算機病毒都存在一個共同的危害 ， 即降低計算機系統(tǒng)的工作效率 ， 占用系統(tǒng)資源 ， 其具體情況取決于入侵系統(tǒng)的病毒程序 。 計算機病毒的破壞性主要取決于計算機病毒設計者的目的，如果病毒設計者的目的在于徹底破壞系統(tǒng)的正常運行，那么這種病毒對于計算機系統(tǒng)進行攻擊造成的后果是難以設想的，它可以毀掉系統(tǒng)的部分數(shù)據(jù)，也可以破壞全部數(shù)據(jù)并使之無法恢復。但并非所有的病毒都會對系統(tǒng)產(chǎn)生極其惡劣的破壞作用。有時幾種本沒有多大破壞作用的病毒交叉感染，也會導致系統(tǒng)崩潰等重大惡果。 第 10章 網(wǎng)絡安全技術(shù)設計 (6) 病毒攻擊的主動性 。 病毒對系統(tǒng)的攻擊是主動的 ， 不以人的意志為轉(zhuǎn)移 。 也就是說 ， 從一定的程度上講 ， 計算機系統(tǒng)無論采取多么嚴密的保護措施都不可能徹底地排除病毒對系統(tǒng)的攻擊 ， 而保護措施充其量是一種預防的手段而已 。 (7) 病毒的針對性。計算機病毒是針對特定的計算機和特定的操作系統(tǒng)的。例如，有針對 IBM PC機及其兼容機的，有針對 Apple公司的 Macintosh的，還有針對 UNIX操作系統(tǒng)的。但目前，大多數(shù)病毒主要還是針對 PC機系列的。 第 10章 網(wǎng)絡安全技術(shù)設計 (8) 病毒的非授權(quán)性。病毒未經(jīng)授權(quán)而執(zhí)行。一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務。其目的對用戶是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的。 第 10章 網(wǎng)絡安全技術(shù)設計 (9) 病毒的隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常，好像不曾在計算機內(nèi)發(fā)生過什么。試想，如果病毒在傳染到計算機上之后，機器馬上無法正常運行，那么它本身便無法繼續(xù)進行傳染了。正是由于隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散并游蕩于世界上幾百萬臺計算機中。 第 10章 網(wǎng)絡安全技術(shù)設計 大部分病毒的代碼之所以設計得非常短小 ， 也是為了隱藏 。 病毒一般只有幾百字節(jié)或 1?KB， 而 PC機對文件的存取速度可達幾百 KB每秒以上 ， 所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中 ， 使人非常不易察覺 。 第 10章 網(wǎng)絡安全技術(shù)設計 計算機病毒的隱蔽性表現(xiàn)在兩個方面： ① 傳染的隱蔽性。大多數(shù)病毒在進行傳染時速度是極快的，一般不具有外部表現(xiàn)，不易被人發(fā)現(xiàn)。讓我們設想，如果計算機病毒每當感染一個新的程序時都在屏幕上顯示一條信息“我是病毒程序，我要干壞事了”，那么計算機病毒早就被控制住了。確實有些病毒非?！坝掠诒┞蹲约骸?，時不時在屏幕上顯示一些圖案或信息，或演奏一段樂曲。往往此時那臺計算機內(nèi)已有許多病毒的拷貝了。許多計算機用戶對計算機病毒沒有任何概念，更不用說心理上的警惕了。他們見到這些新奇的屏幕顯示和音響效果，還以為是來自計算機系統(tǒng)，而沒有意識到這些病毒正在損害計算機系統(tǒng)，正在制造災難。 第 10章 網(wǎng)絡安全技術(shù)設計 ② 病毒程序存在的隱蔽性。一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)，而一旦病毒發(fā)作出來，往往已經(jīng)給計算機系統(tǒng)造成了不同程度的破壞。被病毒感染的計算機在多數(shù)情況下仍能維持其部分功能，不會一感染上病毒，整臺計算機就不能啟動了，或者某個程序一旦被病毒所感染，就被損壞得不能運行了，如果出現(xiàn)這種情況，病毒也就不能流傳于世了。計算機病毒設計的精巧之處也在這里。正常程序被計算機病毒感染后，其原有功能基本上不受影響，病毒代碼附于其上而得以存活，得以不斷地得到運行的機會，去傳染出更多的復制體，與正常程序爭奪系統(tǒng)的控制權(quán)和磁盤空間，不斷地破壞系統(tǒng)，導致整個系統(tǒng)的癱瘓。病毒的代碼設計得非常精巧而又短小。 第 10章 網(wǎng)絡安全技術(shù)設計 (10) 病毒的衍生性。這種特性為一些好事者提供了一種創(chuàng)造新病毒的捷徑。分析計算機病毒的結(jié)構(gòu)可知，傳染的破壞部分反映了設計者的設計思想和設計目的。而這可以被其他掌握原理的人以其個人的企圖進行任意改動，從而又衍生出一種不同于原版本的新的計算機病毒 (又稱為變種 )。這就是計算機病毒的衍生性。這種變種病毒造成的后果可能比原版病毒嚴重得多。 第 10章 網(wǎng)絡安全技術(shù)設計 (11) 病毒的寄生性 (依附性 )。病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對宿主程序進行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進行自我復制和繁衍。 第 10章 網(wǎng)絡安全技術(shù)設計 (12) 病毒的不可預見性。從對病毒的檢測方面來看，病毒還有不可預見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的 (如駐內(nèi)存，改中斷 )。有些人利用病毒的這種共性，制作了聲稱可查所有病毒的程序。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術(shù)，使用這種方法對病毒進行檢測勢必造成較多的誤報情況。而且病毒的制作技術(shù)也在不斷地提高，病毒對反病毒軟件永遠是超前的。新一代計算機病毒甚至連一些基本的特征都隱藏了，有時可通過觀察文件長度的變化來判別。然而，更新的病毒也可以在這個問題上蒙蔽用戶，它們利用文件中的空隙來存放自身代碼，使文件長度不變。許多新病毒則采用變形來逃避檢查，這也成為新一代計算機病毒的基本特征。 第 10章 網(wǎng)絡安全技術(shù)設計 (13) 病毒的欺騙性 。 計算機病毒行動詭秘 ， 計算機對其反應遲鈍 ， 往往把病毒造成的錯誤當成事實接受下來 ， 故它很容易獲得成功 。 (14) 病毒的持久性。即使在病毒程序被發(fā)現(xiàn)以后，數(shù)據(jù)和程序以至操作系統(tǒng)的恢復都非常困難。特別是在網(wǎng)絡操作情況下，由于病毒程序由一個受感染的拷貝通過網(wǎng)絡系統(tǒng)反復傳播，使得病毒程序的清除非常復雜。 第 10章 網(wǎng)絡安全技術(shù)設計 2. 計算機病毒的分類 計算機病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會抑制其流傳。操作系統(tǒng)進行升級時，病毒也會調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。因此，病毒的分類是按階段劃分的。 第 10章 網(wǎng)絡安全技術(shù)設計 1) ?DOS引導階段 1987年，計算機病毒主要是引導型病毒，具有代表性的是小球和石頭病毒。當時的計算機硬件較少，功能簡單，一般需要通過軟盤啟動后使用。引導型病毒利用軟盤的啟動原理工作，它們修改系統(tǒng)啟動扇區(qū)，在計算機啟動時首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤時進行傳播。 1989年，引導型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭 2”。 第 10章 網(wǎng)絡安全技術(shù)設計 2) ?DOS可執(zhí)行階段 1989年 ， 可執(zhí)行文件型病毒出現(xiàn) ， 它們利用 DOS系統(tǒng)加載執(zhí)行文件的機制工作 ， 代表為 “ 耶路撒冷 ” 、 “ 星期天 ” 病毒 。病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權(quán) ， 修改 DOS中斷 ， 在系統(tǒng)調(diào)用時進行傳染 ， 并將自己附加在可執(zhí)行文件中 ， 使文件長度增加 。 1990年發(fā)展為復合型病毒 ， 可感染 COM和 EXE文件 。 第 10章 網(wǎng)絡安全技術(shù)設計 3) 伴隨 、 批次型階段 1992年，伴隨型病毒出現(xiàn)，它們利用 DOS加載文件的優(yōu)先順序進行工作。具有代表性的是“金蟬”病毒，它感染 EXE文件時生成一個和 EXE同名的擴展名為 COM的伴隨體：它感染 COM文件時，改原來的 COM文件為同名的 EXE文件，再產(chǎn)生一個原名的伴隨體，文件擴展名為 COM。這樣，在 DOS加載文件時，病毒就取得控制權(quán)。這類病毒的特點是不改變原來的文件內(nèi)容、日期及屬性，解除病毒時只要將其伴隨體刪除即可。在非 DOS操作系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語言進行工作，具有典型代表的是“海盜旗”病毒，它在得到執(zhí)行時，詢問用戶名稱和口令，然后返回一個出錯信息，將自身刪除。批次型病毒是工作在 DOS下的和“海盜旗”病毒類似的一類病毒。 第 10章 網(wǎng)絡安全技術(shù)設計 4) 幽靈 、 多形階段 1994年，隨著匯編語言的發(fā)展，實現(xiàn)同一功能可以用不同的方式進行完成，這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。幽靈病毒就是利用這個特點，每感染一次就產(chǎn)生不同的代碼。例如，“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類病毒就必須能對這段數(shù)據(jù)進行解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。 第 10章 網(wǎng)絡安全技術(shù)設計 5) 生成器 、 變體機階段 1995年，在匯編語言中，一些數(shù)據(jù)的運算放在不同的通用寄存器中，可運算出同樣的結(jié)果，隨機插入一些空操作和無關指令，也不影響運算結(jié)果，這樣，一段解碼算法就可以由生成器生成。當生成的是病毒時，這種復雜的稱之為病毒的生成器和變體機就產(chǎn)生了。具有典型代表的是“病毒制造機” VCL，它可以在瞬間制造出成千上萬種不同的病毒，查解時就不能使用傳統(tǒng)的特征識別法，需要在宏觀上分析指令，解碼后查解病毒。變體機就是增加解碼復雜程度的指令生成機制。 第 10章 網(wǎng)絡安全技術(shù)設計 6) 網(wǎng)絡 、 蠕蟲階段 1995年，隨著網(wǎng)絡的普及，病毒開始利用網(wǎng)絡進行傳播，它們只是以上幾代病毒的