【正文】 ，計(jì)算機(jī)病毒也會(huì)通過各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒，如不及時(shí)處理，那么病毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散，其中的大量文件 (一般是可執(zhí)行文件 )會(huì)被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會(huì)繼續(xù)進(jìn)行傳染 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其他程序之上的 。 而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上 。 計(jì)算機(jī)病毒可通過各種可能的渠道 ， 如軟盤 、 計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī) 。 當(dāng)您在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí) ， 往往曾在這臺(tái)計(jì)算機(jī)上用過的軟盤已感染上了病毒 ， 而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)也許也被該病毒染上了 。 是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件 。 病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到病毒的傳染和擴(kuò)散。被嵌入的程序叫做宿主程序。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (3) 病毒的潛伏性 。 一個(gè)編制精巧的計(jì)算機(jī)病毒程序 ， 進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作 ， 可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中 ， 對(duì)其他系統(tǒng)進(jìn)行傳染 ， 而不被人發(fā)現(xiàn) 。 病毒的潛伏性愈好 ， 其在系統(tǒng)中的存在時(shí)間就會(huì)愈長 ， 病毒的傳染范圍就會(huì)愈大 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 潛伏性的第一種表現(xiàn)是指：病毒程序不用專用檢測程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就四處繁殖、擴(kuò)散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指：計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對(duì)數(shù)據(jù)文件加密、封鎖鍵盤以及使系統(tǒng)死鎖等。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (4) 病毒的可觸發(fā)性。因某個(gè)事件或數(shù)值的出現(xiàn)而誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動(dòng)作。如果完全不動(dòng)，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來控制感染和破壞動(dòng)作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，就啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或攻擊；如果不滿足，則使病毒繼續(xù)潛伏。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (5) 病毒的破壞性 。 所有的計(jì)算機(jī)病毒都是一種可執(zhí)行程序 ， 而這一可執(zhí)行程序又必然要運(yùn)行 ， 所以對(duì)系統(tǒng)來講 ， 所有的計(jì)算機(jī)病毒都存在一個(gè)共同的危害 ， 即降低計(jì)算機(jī)系統(tǒng)的工作效率 ， 占用系統(tǒng)資源 ， 其具體情況取決于入侵系統(tǒng)的病毒程序 。 計(jì)算機(jī)病毒的破壞性主要取決于計(jì)算機(jī)病毒設(shè)計(jì)者的目的，如果病毒設(shè)計(jì)者的目的在于徹底破壞系統(tǒng)的正常運(yùn)行，那么這種病毒對(duì)于計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊造成的后果是難以設(shè)想的，它可以毀掉系統(tǒng)的部分?jǐn)?shù)據(jù)，也可以破壞全部數(shù)據(jù)并使之無法恢復(fù)。但并非所有的病毒都會(huì)對(duì)系統(tǒng)產(chǎn)生極其惡劣的破壞作用。有時(shí)幾種本沒有多大破壞作用的病毒交叉感染，也會(huì)導(dǎo)致系統(tǒng)崩潰等重大惡果。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (6) 病毒攻擊的主動(dòng)性 。 病毒對(duì)系統(tǒng)的攻擊是主動(dòng)的 ， 不以人的意志為轉(zhuǎn)移 。 也就是說 ， 從一定的程度上講 ， 計(jì)算機(jī)系統(tǒng)無論采取多么嚴(yán)密的保護(hù)措施都不可能徹底地排除病毒對(duì)系統(tǒng)的攻擊 ， 而保護(hù)措施充其量是一種預(yù)防的手段而已 。 (7) 病毒的針對(duì)性。計(jì)算機(jī)病毒是針對(duì)特定的計(jì)算機(jī)和特定的操作系統(tǒng)的。例如，有針對(duì) IBM PC機(jī)及其兼容機(jī)的，有針對(duì) Apple公司的 Macintosh的，還有針對(duì) UNIX操作系統(tǒng)的。但目前，大多數(shù)病毒主要還是針對(duì) PC機(jī)系列的。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (8) 病毒的非授權(quán)性。病毒未經(jīng)授權(quán)而執(zhí)行。一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對(duì)用戶是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當(dāng)用戶調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶是未知的，是未經(jīng)用戶允許的。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (9) 病毒的隱蔽性。病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會(huì)感到任何異常，好像不曾在計(jì)算機(jī)內(nèi)發(fā)生過什么。試想，如果病毒在傳染到計(jì)算機(jī)上之后，機(jī)器馬上無法正常運(yùn)行，那么它本身便無法繼續(xù)進(jìn)行傳染了。正是由于隱蔽性，計(jì)算機(jī)病毒得以在用戶沒有察覺的情況下擴(kuò)散并游蕩于世界上幾百萬臺(tái)計(jì)算機(jī)中。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 大部分病毒的代碼之所以設(shè)計(jì)得非常短小 ， 也是為了隱藏 。 病毒一般只有幾百字節(jié)或 1?KB， 而 PC機(jī)對(duì)文件的存取速度可達(dá)幾百 KB每秒以上 ， 所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中 ， 使人非常不易察覺 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 計(jì)算機(jī)病毒的隱蔽性表現(xiàn)在兩個(gè)方面： ① 傳染的隱蔽性。大多數(shù)病毒在進(jìn)行傳染時(shí)速度是極快的，一般不具有外部表現(xiàn)，不易被人發(fā)現(xiàn)。讓我們?cè)O(shè)想，如果計(jì)算機(jī)病毒每當(dāng)感染一個(gè)新的程序時(shí)都在屏幕上顯示一條信息“我是病毒程序，我要干壞事了”，那么計(jì)算機(jī)病毒早就被控制住了。確實(shí)有些病毒非?！坝掠诒┞蹲约骸?，時(shí)不時(shí)在屏幕上顯示一些圖案或信息，或演奏一段樂曲。往往此時(shí)那臺(tái)計(jì)算機(jī)內(nèi)已有許多病毒的拷貝了。許多計(jì)算機(jī)用戶對(duì)計(jì)算機(jī)病毒沒有任何概念，更不用說心理上的警惕了。他們見到這些新奇的屏幕顯示和音響效果，還以為是來自計(jì)算機(jī)系統(tǒng)，而沒有意識(shí)到這些病毒正在損害計(jì)算機(jī)系統(tǒng)，正在制造災(zāi)難。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) ② 病毒程序存在的隱蔽性。一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)，而一旦病毒發(fā)作出來，往往已經(jīng)給計(jì)算機(jī)系統(tǒng)造成了不同程度的破壞。被病毒感染的計(jì)算機(jī)在多數(shù)情況下仍能維持其部分功能，不會(huì)一感染上病毒，整臺(tái)計(jì)算機(jī)就不能啟動(dòng)了，或者某個(gè)程序一旦被病毒所感染，就被損壞得不能運(yùn)行了，如果出現(xiàn)這種情況，病毒也就不能流傳于世了。計(jì)算機(jī)病毒設(shè)計(jì)的精巧之處也在這里。正常程序被計(jì)算機(jī)病毒感染后，其原有功能基本上不受影響，病毒代碼附于其上而得以存活，得以不斷地得到運(yùn)行的機(jī)會(huì)，去傳染出更多的復(fù)制體，與正常程序爭奪系統(tǒng)的控制權(quán)和磁盤空間，不斷地破壞系統(tǒng)，導(dǎo)致整個(gè)系統(tǒng)的癱瘓。病毒的代碼設(shè)計(jì)得非常精巧而又短小。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (10) 病毒的衍生性。這種特性為一些好事者提供了一種創(chuàng)造新病毒的捷徑。分析計(jì)算機(jī)病毒的結(jié)構(gòu)可知，傳染的破壞部分反映了設(shè)計(jì)者的設(shè)計(jì)思想和設(shè)計(jì)目的。而這可以被其他掌握原理的人以其個(gè)人的企圖進(jìn)行任意改動(dòng)，從而又衍生出一種不同于原版本的新的計(jì)算機(jī)病毒 (又稱為變種 )。這就是計(jì)算機(jī)病毒的衍生性。這種變種病毒造成的后果可能比原版病毒嚴(yán)重得多。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (11) 病毒的寄生性 (依附性 )。病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對(duì)宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進(jìn)行自我復(fù)制和繁衍。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (12) 病毒的不可預(yù)見性。從對(duì)病毒的檢測方面來看，病毒還有不可預(yù)見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的 (如駐內(nèi)存，改中斷 )。有些人利用病毒的這種共性，制作了聲稱可查所有病毒的程序。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術(shù)，使用這種方法對(duì)病毒進(jìn)行檢測勢必造成較多的誤報(bào)情況。而且病毒的制作技術(shù)也在不斷地提高，病毒對(duì)反病毒軟件永遠(yuǎn)是超前的。新一代計(jì)算機(jī)病毒甚至連一些基本的特征都隱藏了，有時(shí)可通過觀察文件長度的變化來判別。然而，更新的病毒也可以在這個(gè)問題上蒙蔽用戶，它們利用文件中的空隙來存放自身代碼，使文件長度不變。許多新病毒則采用變形來逃避檢查，這也成為新一代計(jì)算機(jī)病毒的基本特征。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (13) 病毒的欺騙性 。 計(jì)算機(jī)病毒行動(dòng)詭秘 ， 計(jì)算機(jī)對(duì)其反應(yīng)遲鈍 ， 往往把病毒造成的錯(cuò)誤當(dāng)成事實(shí)接受下來 ， 故它很容易獲得成功 。 (14) 病毒的持久性。即使在病毒程序被發(fā)現(xiàn)以后，數(shù)據(jù)和程序以至操作系統(tǒng)的恢復(fù)都非常困難。特別是在網(wǎng)絡(luò)操作情況下，由于病毒程序由一個(gè)受感染的拷貝通過網(wǎng)絡(luò)系統(tǒng)反復(fù)傳播，使得病毒程序的清除非常復(fù)雜。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 2. 計(jì)算機(jī)病毒的分類 計(jì)算機(jī)病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。操作系統(tǒng)進(jìn)行升級(jí)時(shí)，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。因此，病毒的分類是按階段劃分的。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 1) ?DOS引導(dǎo)階段 1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是小球和石頭病毒。當(dāng)時(shí)的計(jì)算機(jī)硬件較少，功能簡單，一般需要通過軟盤啟動(dòng)后使用。引導(dǎo)型病毒利用軟盤的啟動(dòng)原理工作，它們修改系統(tǒng)啟動(dòng)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率，在系統(tǒng)存取磁盤時(shí)進(jìn)行傳播。 1989年，引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭 2”。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 2) ?DOS可執(zhí)行階段 1989年 ， 可執(zhí)行文件型病毒出現(xiàn) ， 它們利用 DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作 ， 代表為 “ 耶路撒冷 ” 、 “ 星期天 ” 病毒 。病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán) ， 修改 DOS中斷 ， 在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染 ， 并將自己附加在可執(zhí)行文件中 ， 使文件長度增加 。 1990年發(fā)展為復(fù)合型病毒 ， 可感染 COM和 EXE文件 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 3) 伴隨 、 批次型階段 1992年，伴隨型病毒出現(xiàn)，它們利用 DOS加載文件的優(yōu)先順序進(jìn)行工作。具有代表性的是“金蟬”病毒，它感染 EXE文件時(shí)生成一個(gè)和 EXE同名的擴(kuò)展名為 COM的伴隨體：它感染 COM文件時(shí)，改原來的 COM文件為同名的 EXE文件，再產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為 COM。這樣，在 DOS加載文件時(shí)，病毒就取得控制權(quán)。這類病毒的特點(diǎn)是不改變?cè)瓉淼奈募?nèi)容、日期及屬性，解除病毒時(shí)只要將其伴隨體刪除即可。在非 DOS操作系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語言進(jìn)行工作，具有典型代表的是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢問用戶名稱和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。批次型病毒是工作在 DOS下的和“海盜旗”病毒類似的一類病毒。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 4) 幽靈 、 多形階段 1994年，隨著匯編語言的發(fā)展，實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。例如，“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼，加大了查毒的難度。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 5) 生成器 、 變體機(jī)階段 1995年，在匯編語言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)插入一些空操作和無關(guān)指令，也不影響運(yùn)算結(jié)果，這樣，一段解碼算法就可以由生成器生成。當(dāng)生成的是病毒時(shí)，這種復(fù)雜的稱之為病毒的生成器和變體機(jī)就產(chǎn)生了。具有典型代表的是“病毒制造機(jī)” VCL，它可以在瞬間制造出成千上萬種不同的病毒，查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法，需要在宏觀上分析指令，解碼后查解病毒。變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 6) 網(wǎng)絡(luò) 、 蠕蟲階段 1995年，隨著網(wǎng)絡(luò)的普及，病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播，它們只是以上幾代病毒的