【正文】 網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬等等。 7. 干擾打印機(jī)。有的病毒激活時(shí)，能夠?qū)?CMOS區(qū)進(jìn)行寫入動(dòng)作，破壞 CMOS中的數(shù)據(jù)。 6. 攻擊 CMOS。許多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲。 5. 干擾鍵盤、喇叭或屏幕。此類行為也是花樣繁多，如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、打不開(kāi)文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、換現(xiàn)行盤、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲、擾亂串并接口等等。病毒攻擊內(nèi)存的方式有大量占用、改變內(nèi)存總量、禁止分配和蠶食內(nèi)存。內(nèi)存是計(jì)算機(jī)的重要資源，也是病毒攻擊的重要目標(biāo)。病毒對(duì)文件的攻擊方式很多，如刪除、改名、替換內(nèi)容、丟失簇、對(duì)文件加密等。一般來(lái)說(shuō)，攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒，受損的數(shù)據(jù)不易恢復(fù)。根據(jù)有關(guān)病毒資料可以把病毒的破壞目標(biāo)和攻擊部位歸納如下： 1. 攻擊系統(tǒng)數(shù)據(jù)區(qū)。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他的技術(shù)能力。人為編制的病毒人類一定會(huì)戰(zhàn)勝它。 6. 不可預(yù)見(jiàn)性 不同種類病毒的代碼千差萬(wàn)別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠(yuǎn)是超前的。被病毒使用的觸發(fā)條件多種多樣，而且往往是由多個(gè)條件的組合觸發(fā)。 (3) 利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器。病毒利用計(jì)數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計(jì)數(shù)器達(dá)到設(shè)定值，就執(zhí)行破壞操作。使計(jì)算機(jī)病毒發(fā)作的觸發(fā)條件主要有以下幾種： (1) 利用系統(tǒng)時(shí)鐘提供的時(shí)間作為觸發(fā)器，這種觸發(fā)機(jī)制被大量病毒使用。隨著病毒編寫技巧的提高，病毒代碼本身還進(jìn)行加密或變形，使得對(duì)計(jì)算機(jī)病毒的查找和分析更困難，容易造成漏查或錯(cuò)殺。正是由于這種隱蔽性，計(jì)算機(jī)病毒得以在用戶沒(méi)有察覺(jué)的情況下擴(kuò)散傳播。 在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里大量傳染。反病毒技術(shù)也正是抓住計(jì)算機(jī)病毒的這一特點(diǎn)提前與病毒取得系統(tǒng)控制權(quán)，阻止病毒取得系統(tǒng)控制權(quán)，然后識(shí)別出計(jì)算機(jī)病毒的代碼和行為。 計(jì)算機(jī)病毒一經(jīng)在系統(tǒng)中運(yùn)行，病毒首先要做初始化工作，在內(nèi)存中找到一片安身之地，隨后將自身與系統(tǒng)軟件掛起鉤來(lái)執(zhí)行感染程序。在這臺(tái)計(jì)算機(jī)上可以查看病毒文件的名字，查看或打印計(jì)算機(jī)病毒代碼，甚至拷貝病毒文件，系統(tǒng)都不會(huì)激活并感染病毒。如果計(jì)算機(jī)已經(jīng)連網(wǎng)，通過(guò)數(shù)據(jù)或程序共享，病毒就可以迅速傳染與之相連的計(jì)算機(jī)，若不加控制，就會(huì)在很短時(shí)間內(nèi)傳遍整個(gè)世界。每一臺(tái)被感染了病毒的計(jì)算機(jī)，本身既是一個(gè)受害者，又是計(jì)算機(jī)病毒的傳播者，通過(guò)各種可能的渠道，如軟盤、光盤、活動(dòng)硬盤、網(wǎng)絡(luò)去傳染其它的計(jì)算機(jī)。病毒代碼就是靠這種機(jī)制大量傳播和擴(kuò)散的。這一點(diǎn)與生物病毒的特點(diǎn)也最為相似。 2. 自我復(fù)制能力 自我復(fù)制也稱“再生”或“傳染”。良性病毒是指不包含立即直接破壞的代碼，只是為了表現(xiàn)其存在或?yàn)檎f(shuō)明某些事件而存在，如只顯示某些信息，或播放一段音樂(lè)，或沒(méi)有任何破壞動(dòng)作但不停地傳播。惡性病毒是指在代碼中包含有損傷、破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)直接造成嚴(yán)重?fù)p壞。 計(jì)算機(jī)病毒的破壞性多種多樣。也有因?yàn)檎?、軍事、民族、宗教、專利等方面的需要而專門編寫的。根據(jù)對(duì)計(jì)算機(jī)病毒的產(chǎn)生、傳染和破壞行為的分析，總結(jié)出病毒的幾個(gè)主要特點(diǎn)： 1. 刻意編寫人為破壞 計(jì)算機(jī)病毒不是偶然自發(fā)產(chǎn)生的，而是人為編寫的有意破壞、嚴(yán)謹(jǐn)精巧的程序段，它是嚴(yán)格組織的程序代碼，與所在環(huán)境相互適應(yīng)并緊密配合。網(wǎng)絡(luò)病毒的查殺具有更大的難度，而且容易復(fù)發(fā)。 1997年，隨著萬(wàn)維網(wǎng)上 Java的普及，利用 Java語(yǔ)言進(jìn)行傳播和獲取資料的病毒開(kāi)始出現(xiàn)。 10. 互聯(lián)網(wǎng)階段 1997年，隨著因特網(wǎng)的發(fā)展，各種病毒也開(kāi)始利用因特網(wǎng)進(jìn)行傳播。這種病毒使用類Basic語(yǔ)言，編寫容易，感染 Word文檔文件。這種病毒使用Windows VXD（ 虛擬設(shè)備驅(qū)動(dòng)程序）技術(shù)，發(fā)作時(shí)不僅破壞硬盤數(shù)據(jù)，而且還對(duì)一些使用Flash ROM 芯片存儲(chǔ) BIOS程序的主板造成損壞。 8. 視窗階段 1996年，隨著 Windows Windows95的日益普及，利用 Windows傳播的病毒迅速發(fā)展，它們修改 (NE， PE)文件，典型的代表是 ，這類病毒的機(jī)制更為復(fù)雜，它們利用保護(hù)模式和API調(diào)用接口工作，解除方法也比較復(fù)雜。 7. 網(wǎng)絡(luò)，蠕蟲(chóng)階段 1995年以后，隨著網(wǎng)絡(luò)的普及，病毒大量利用網(wǎng)絡(luò)進(jìn)行傳播，但只是以上幾代病毒的改進(jìn)。比較典型的代表是“病毒制造機(jī)” VCL， 它可以在瞬間制造出成千上萬(wàn)種不同的病毒，查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法，需要在宏觀上分析指令，解碼后查解病毒。 6. 生成器，變體機(jī)階段 1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)插入一些空操作和無(wú)關(guān)指令，也不影響運(yùn)算的結(jié)果，這樣，一段解碼算法就可以由生成器生成。病毒能產(chǎn)生一段有上億種可能的代碼運(yùn)算程序，也稱 多態(tài) 病毒，病毒體被隱藏在解碼前的加密數(shù)據(jù)中，查解這類病毒必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼，加大了查毒的難度。 5. 多形型階段 1994年，隨著匯編語(yǔ)言編程技術(shù)的發(fā)展，實(shí)現(xiàn)同一功能可以用不同的方式來(lái)完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。在非 DOS操作系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作，較典型的代表是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢問(wèn)用戶名稱和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。具有代表性的是“金蟬”病毒，它感染 EXE文件時(shí)生成一個(gè)和 EXE同名的擴(kuò)展名為 COM的伴隨體； 它感染 COM文件時(shí)，將原來(lái)的 COM文件改為同名的 EXE文件，再產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為 .COM， 這樣，在 DOS加載文件時(shí)，病毒就取得控制權(quán)。如果只解除了感染文件上的病毒，而沒(méi)有清除引導(dǎo)區(qū)的病毒，那么在系統(tǒng)重新引導(dǎo)時(shí)病毒又將激活，會(huì)重新感染文件；如果只清除了引導(dǎo)區(qū)的病毒而沒(méi)有清除文件上的病毒，一旦執(zhí)行被感染文件，就又會(huì)感染硬盤引導(dǎo)區(qū)。 3. 混合型階段 1990年以后出現(xiàn)雙料病毒，既感染文件同時(shí)又感染引導(dǎo)記錄，也稱混合型病毒。病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改 DOS中斷，在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，將自己附加在可執(zhí)行文件中，被感染的文件長(zhǎng)度明顯變長(zhǎng)，病毒代碼沒(méi)有加密。 2. DOS可執(zhí)行文件階段 1989年，可執(zhí)行文件型病毒出現(xiàn)，一般只傳染 .COM和 .EXE可執(zhí)行文件。病毒自身代碼不隱藏不加密，所以查、解都很容易。當(dāng)時(shí)計(jì)算機(jī)數(shù)量較少，功能簡(jiǎn)單，一般需要通過(guò)軟盤啟動(dòng)后使用。 1988年 11月的一次病毒發(fā)作，造成Inter網(wǎng)上的 6200多用戶系統(tǒng)癱瘓，經(jīng)濟(jì)損失達(dá)九千多萬(wàn)美元，隨后一系列病毒事件的發(fā)生，才引起人們對(duì)計(jì)算機(jī)病毒高度重視，并在國(guó)際計(jì)算機(jī)領(lǐng)域掀起了一個(gè)探討病毒的高潮。 世界上第一例被證實(shí)的病毒是在 1983年。 計(jì)算機(jī)病毒的歷史 隨著計(jì)算機(jī)在各行各業(yè)的大量應(yīng)用，計(jì)算機(jī)病毒也隨之滲透到計(jì)算機(jī)世界的每個(gè)角落，常以人們意想不到的方式侵入計(jì)算機(jī)系統(tǒng)。通過(guò)分析研究計(jì)算機(jī)病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。第 4章 計(jì)算機(jī)病毒防治 計(jì)算機(jī)病毒概述 DOS環(huán)境下的病毒 宏病毒 網(wǎng)絡(luò)病毒 現(xiàn)代計(jì)算機(jī)病毒流行特性 殺毒軟件技術(shù) 典型病毒介紹 常用反病毒軟件產(chǎn)品 習(xí) 題 計(jì)算機(jī)病毒概述 病毒的定義 “計(jì)算機(jī)病毒”一詞最早是由美國(guó)計(jì)算機(jī)病毒研究專家 ?！安《尽币辉~是借用生物學(xué)中的病毒。計(jì)算機(jī)病毒在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為：“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒的流行引起人們的普遍關(guān)注，成為影響計(jì)算機(jī)安全運(yùn)行的一個(gè)重要因素。直到 1987年，病毒并沒(méi)有真正在世界上傳播開(kāi)來(lái)，也沒(méi)有引起人們的重視，更沒(méi)有被充分認(rèn)識(shí)到將造成多大的危害。 計(jì)算機(jī)病毒的發(fā)展經(jīng)歷了以下幾個(gè)階段： 1. DOS引導(dǎo)階段 1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”、“石頭”、 Azusa / HongKong / 2708病毒等。引導(dǎo)型病毒利用軟盤的啟動(dòng)原理工作，它們修改系統(tǒng)引導(dǎo)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，在系統(tǒng)存取操作磁盤時(shí)傳播，影響系統(tǒng)工作效率。 1989年引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭 2”。它們利用 DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作，如“耶路撒冷”、“星期天”病毒。同樣這類病毒容易查、解。 常見(jiàn)的有 Flip/Omicron Xqr invader/侵入者、Plastique/塑料炸彈、 ALFA/3072 Ghost/OneHalf/3544（ 幽靈）、 Natas（ 幽靈王）、TPVO/3783等。 4. 伴隨、批次型階段 1992年，伴隨型病毒出現(xiàn)，它們利用 DOS加載文件的優(yōu)先順序進(jìn)行工作。這類病毒的特點(diǎn)是不改變?cè)瓉?lái)的文件內(nèi)容、日期及屬性，解除病毒時(shí)只要將其伴隨體刪除即可。批次型病毒是工作在 DOS下的和“海盜旗”病毒類似的一類病毒。幽靈病毒就是利用這個(gè)特點(diǎn)，每感染一次就產(chǎn)生不同的代碼。多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感染程序區(qū)，多數(shù)具有解碼算法，一種病毒往往要兩段以上的子程序方能解除。當(dāng)生成的是病毒時(shí)，這種復(fù)雜的病毒生成器和變體機(jī)就產(chǎn)生了。變體機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)。在非DOS操作系統(tǒng)中，“蠕蟲(chóng)”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。 近一兩年流行的 CIH病毒就是一種專門感染W(wǎng)indows95/98程序文件的病毒。 9. 宏病毒階段 1996年，隨著 Windows Word功能的增強(qiáng)，使用Word宏語(yǔ)言也可以編制病毒。在Excel和 AmiPro上出現(xiàn)的相同工作機(jī)制的病毒也歸為此類。一些攜帶病毒的數(shù)據(jù)包和郵件越來(lái)越多，如果不小心打開(kāi)了這些郵件，機(jī)器就有可能中毒。這類病毒的主要特點(diǎn)是：它們一般不需要宿主程序，多數(shù)都能夠跨平臺(tái)，借助網(wǎng)絡(luò)迅速傳播，破壞系統(tǒng)數(shù)據(jù)；有一些能夠竊取使用者的重要數(shù)據(jù)資料，如個(gè)人的數(shù)據(jù)文件、網(wǎng)絡(luò)帳號(hào)密碼、信用卡信息等。 計(jì)算機(jī)病毒的特點(diǎn) 要做好反病毒技術(shù)的研究，首先要認(rèn)清計(jì)算機(jī)病毒的特點(diǎn)和行為機(jī)理，為防范和清除計(jì)算機(jī)病毒提供充實(shí)可靠的依據(jù)。編寫病毒的動(dòng)機(jī)一般有以下幾種情況：為了表現(xiàn)和證明自己；出于對(duì)上級(jí)的不滿；出于好奇的“惡作劇”；為了報(bào)復(fù)；為了紀(jì)念某一事件等等。有的病毒編制者為了相互交流或合作，甚至形成了專門的病毒組織。若按破壞性粗略分類，可以分為良性病毒和惡性病毒。它的破壞目的非常明確，如破壞數(shù)據(jù)、刪除文件、格式化磁盤、破壞主板等，因此惡性病毒非常危險(xiǎn)。但是這類病毒的潛在破壞還是有的，它使內(nèi)存空間減少，占用磁盤空間，降低系統(tǒng)運(yùn)行效率，使某些程序不能運(yùn)行，它還與操作系統(tǒng)和應(yīng)用程序爭(zhēng)搶 CPU的控制權(quán)，嚴(yán)重時(shí)導(dǎo)致系統(tǒng)死機(jī)、網(wǎng)絡(luò)癱瘓。再生機(jī)制是判斷是不是計(jì)算機(jī)病毒的最重要依據(jù)。在一定條件下，病毒通過(guò)某種渠道從一個(gè)文件或一臺(tái)計(jì)算機(jī)傳染到另外沒(méi)有被感染的文件或計(jì)算機(jī)，輕則造成被感染的計(jì)算機(jī)數(shù)據(jù)破壞或工作失常，重則使計(jì)算機(jī)癱瘓。攜帶病毒代碼的文件稱為計(jì)算機(jī)病毒載體或帶毒程序。 在染毒的計(jì)算機(jī)上曾經(jīng)使用過(guò)的軟盤，很有可能已被計(jì)算機(jī)病毒感染，如果拿到其它機(jī)器上使用，病毒就會(huì)通過(guò)帶毒軟盤傳染這些機(jī)器。 3. 奪取系統(tǒng)控制權(quán) 當(dāng)計(jì)算機(jī)在正常程序控制之下運(yùn)行時(shí)，系統(tǒng)運(yùn)行是穩(wěn)定的。病毒為了完成感染、破壞系統(tǒng)的目的必然要取得系統(tǒng)的控制權(quán)，這是計(jì)算機(jī)病毒的另外一個(gè)重要特點(diǎn)。在這一系列的操作中，最重要的是病毒與系統(tǒng)掛起鉤來(lái)，即取得系統(tǒng)控制權(quán)，系統(tǒng)每執(zhí)行一次操作，病毒就有機(jī)會(huì)執(zhí)行它預(yù)先設(shè)計(jì)的操作，完成病毒代碼的傳播或進(jìn)行破壞活動(dòng)。 4. 隱蔽性 不經(jīng)過(guò)程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序不易區(qū)別開(kāi)。而在受到傳染后，一般計(jì)算機(jī)系統(tǒng)仍然能夠運(yùn)行，被感染的程序也能執(zhí)行，用戶不會(huì)感到明顯的異常，這便是計(jì)算機(jī)病毒的隱蔽性。計(jì)算機(jī)病毒的隱蔽性還表現(xiàn)在病毒代碼本身設(shè)計(jì)得非常短小，一般只有幾百到幾 K字節(jié)，非常便于隱藏到其它程序中或磁盤的某一特定區(qū)域內(nèi)。 5. 潛伏性 大部分病毒在感染系統(tǒng)后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，除了傳染外，不表現(xiàn)出破壞性，這樣的狀態(tài)可能保持幾天，幾個(gè)月甚至幾年，只有在滿足其特定條件后才啟動(dòng)其表現(xiàn)模塊，顯示發(fā)作信息或進(jìn)行系統(tǒng)破壞。 (2) 利用病毒體自帶的計(jì)數(shù)器作為觸發(fā)器。 這些事件可以是計(jì)算機(jī)開(kāi)機(jī)的次數(shù)，可以是病毒程序被運(yùn)行的次數(shù)，還可以是從開(kāi)機(jī)起被運(yùn)行過(guò)的程序數(shù)量，等等。特定操作可以是用戶按下某些特定鍵的組合，可以是執(zhí)行的命令，可以是對(duì)磁盤的讀寫。大多數(shù)病毒的組合條件是基于時(shí)間的，再輔以讀寫盤操作，按鍵操作以及其它條件。 新的操作系統(tǒng)和應(yīng)用系統(tǒng)的出現(xiàn)，軟件技術(shù)的不斷發(fā)展，也為計(jì)算機(jī)病毒提供了新的發(fā)展空間，對(duì)未來(lái)病毒的預(yù)測(cè)更加困難，