基本介紹
- 中文名:微機病毒
- 又稱:計算機病毒
- 類別:網路 安全
- 特點:隱藏程式中未經允許執行系統控制
- 特徵:傳染性隱蔽性潛伏性破壞性等
- 結構:引導部分,傳染部分,表現部分
定義,產生,特徵,傳染性,隱蔽性,潛伏性,破壞性,不可預見,歷史,分析,命名,分類,現象,
定義
從廣義上定義,凡能夠引起微機故障,破壞微機數據正常運行的程式統稱為微機病毒。以前各種資料對病毒做過不盡相同的定義,但一直沒有公認的明確定義。直至1994年2月18日,我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》,在《條例》第二十八條中明確規定了病毒的定義:“是指編制或者在電腦程式中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我複製的一組計算機指令或者程式代碼。”此定義具有法律性、權威性。
產生
那么究竟它是如何產生的呢?那么究竟它是如何產生的呢?
開個玩笑,一個惡作劇
某些愛好微機並對微機技術精通的人士(黑客)為了炫耀自己的高超技術和智慧,憑藉對軟硬體的深入了解,編制這些特殊的程式。這些程式通過載體傳播出去後,在一定條件下被觸發。如顯示一些動畫,播放一段音樂,或提一些智力問答題目等,其目的無非是自我表現一下。這類病毒一般都是良性的,不會有破壞操作。
產生於個別人的報復心理
每個人都處於社會環境中,但總有人對社會不滿或受到不公證的待遇。如果這種情況發生在一個編程高手身上,那么他有可能會編制一些危險的程式(病毒)。 在國外有這樣的事例:某公司職員在職期間編制了一段代碼隱藏在其公司的系統中,一旦檢測到他的名字在工資報表中刪除,該程式立即發作,破壞整個系統。類似案例在國內亦出現過。
用於著作權保護
微機發展初期,由於在法律上對於軟體著作權保護還沒有象今天這樣完善。很多商業軟體被非法複製,有些開發商為了保護自己的利益製作了一些特殊程式,附在產品中。如:巴基斯坦病毒,其製作者是為了追蹤那些非法拷貝他們產品的用戶。用於這種目的的病毒已不多見。
特徵
未經授權而執行。一般正常的程式是由用戶調用,再由系統分配資源,完成用戶交給的任務。其目的對用戶是可見的、透明的。而病毒具有正常程式的一切特性,它隱藏在正常程式中,當用戶調用正常程式時竊取到系統的控制權,先於正常程式執行,病毒的動作、目的對用戶時未知的,是未經用戶允許的。
傳染性
正常的微機程式一般是不會將自身的代碼強行連線到其它程式之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程式之上。微機病毒可通過各種可能的渠道,如軟碟、微機網路去傳染其它的微機。當你在一台機器上發現了病毒時,往往曾在這台微機上用過的軟碟已感染上了病毒,而與這台機器相聯網的其它微機也許也被該病毒侵染上了。是否具有傳染性是判別一個程式是否為微機病毒的最重要條件。
隱蔽性
病毒一般是具有很高編程技巧、短小精悍的程式。通常附在正常程式中或磁碟代碼分析,病毒程式與正常程式是不容易區別開來的。一般在沒有防護措施的情況下,微機病毒程式取得系統控制權後,可以在很短的時間裡傳染大量程式。而且受到傳染後,微機系統通常仍能正常運行,使用戶不會感到任何異常。試想,如果病毒在傳染到微機上之後,機器馬上無法正常運行,那么它本身便無法繼續進行傳染了。正是由於隱蔽性,微機病毒得以在用戶沒有察覺的情況下擴散到上百萬台微機中。大部分的病毒的代碼之所以設計得非常短小,也是為了隱藏。病毒一般只有幾百或1k位元組,而PC機對DOS檔案的存取速度可達每秒幾百KB以上,所以病毒轉瞬之間便可將這短短的幾百位元組附著到正常程式之中,使人非常不易被察覺。
潛伏性
大部分的病毒感染系統之後一般不會馬上發作,它可長期隱藏在系統中,只有在滿足其特定條件時才啟動其表現(破壞)模組。只有這樣它才可進行廣泛地傳播。如"PETER-2"在每年2月27日會提三個問題,答錯後會將硬碟加密。著名的"黑色星期五"在逢13號的星期五發作。國內的"上海一號"會在每年三、六、九月的13日發作。當然,最令人難忘的便是26日發作的CIH。這些病毒在平時會隱藏得很好,只有在發作日才會露出本來面目。
破壞性
任何病毒只要侵入系統,都會對系統及應用程式產生程度不同的影響。輕病毒與惡性病毒。良性病毒可能只顯示些畫面或出點音樂、無聊的語句,或者根本沒有任何破壞動作,但會占用系統資源。這類病毒較多,如:GENP、小球、W-BOOT等。惡性病毒則有明確得目的,或破壞數據、刪除檔案或加密磁碟、格式化磁碟,有的對數據造成不可挽回的破壞。這也反映出病毒編制者的險惡用心。
不可預見
從對病毒的檢測方面來看,病毒還有不可預見性。不同種類的病毒,它們的代碼千差萬別,但有些操作是共有的(如駐記憶體,改中斷)。有些人利用病毒的這種共性,製作了聲稱可查所有病毒的程式。這種程式的確可查出一些新病毒,但由於軟體種類極其豐富,且某些正常程式也使用了類似病毒的操作甚至借鑑了某些病毒的技術。使用這種方法對病毒進行檢測勢必會造成較多的誤報情況。而且病毒的製作技術也在不斷的提高,病毒對反病毒軟體永遠是超前的。
歷史
自從1946年第一台馮-諾依曼型微機ENIAC出世以來,微機已被套用到人類社會的各個領域。然而, 1988年發生在美國的"蠕蟲病毒"事件,給微機技術的發展罩上了一層陰影。蠕蟲病毒是由美國CORNELL大學研究生莫里斯編寫。雖然並無惡意,但在當時,"蠕蟲"在INTERNET上大肆傳染,使得數千台連網的微機停止運行,並造成巨額損失,成為一時的輿論焦點。 在國內,最初引起人們注意的病毒是80年代末出現的"黑色星期五","米氏病毒","小球病毒"等。因當時軟體種類不多,用戶之間的軟體交流較為頻繁且反病毒軟體並不普及,造成病毒的廣泛流行。後來出現的word宏病毒及win95下的CIH病毒,使人們對病毒的認識更加深了一步。 最初對病毒理論的構思可追溯到科幻小說。在70年代美國作家雷恩出版的《P1的青春》一書中構思了一種能夠自我複製,利用通信進行傳播的微機程式,並稱之為微機病毒。
分析
表現部分:
1、引導部分的作用是將病毒主體載入到記憶體,為傳染部分做準備(如駐留記憶體,修改中斷,修改高端記憶體,保存原中斷向量等操作)。
2、傳染部分的作用是將病毒代碼複製到傳染目標上去。不同類型的病毒在傳染方式,傳染條件上各有不同。
3、表現部分是病毒間差異最大的部分,前兩個部分也是為這部分服務的。大部分的病毒都是有一定條件才會觸發其表現部分的。如:以時鐘、計數器作為觸發條件的或用鍵盤輸入特定字元來觸發的。這一部分也是最為靈活的部分,這部分根據編制者的不同目的而千差萬別,或者根本沒有這部分。
命名
對病毒命名,各個反毒軟體亦不盡相同,有時對一種病毒不同的軟體會報出不同的名稱。如"SPY"病毒,VRV起名為SPY,KV300則叫"TPVO-3783"。給病毒起名的方法不外乎以下幾種:
1、按病毒出現的地點,如"ZHENJIANG_JES"其樣本最先來自鎮江某用戶。
2、按病毒中出現的人名或特徵字元,如"ZHANGFANG-1535","DISK KILLER","上海一號"。
3、按病毒發作時的症狀命名,如"火炬","蠕蟲"。
4、按病毒發作的時間,如"NOVEMBER 9TH"在每年11月9日發作。有些名稱包含病毒代碼的長度,如"PIXEL.xxx"系列,"KO.xxx"等 。引導部分,傳染部分,表現部分。
分類
從第一個病毒出世以來,究竟世界上有多少種病毒,說法不一。無論多少種,病毒的數量仍在不斷增加。據國外統計,微機病毒以10種/周的速度遞增,另據我國公安部統計,國內以4種/月的速度遞增。如此多的種類,做一下分類可更好地了解它們。
按破壞性可分為:良性病毒,惡性病毒
(1)良性病毒:僅僅顯示信息、奏樂、發出聲響,自我複製的。
(2)惡性病毒:封鎖、干擾、中斷輸入輸出、使用戶無法列印等正常工作,甚至電腦中止運行。
(4)災難性病毒:破壞分區表信息、主引導信息、FAT,刪除數據檔案,甚至格式化硬碟等。
新興一族:宏病毒
(1)檔案型病毒:一般只傳染磁碟上的執行檔(COM,EXE)。在用戶調用染毒的執行檔時,病毒首先被運行,然後病毒駐留記憶體伺機傳染其他檔案或直接傳染其他檔案。其特點是附著於正常程式檔案,成為程式檔案的一個外殼或部件。這是較為常見的傳染方式。
(2)混合型病毒:兼有以上兩種病毒的特點,既染引導區又染檔案,因此擴大了這種病毒的傳染途徑(如97年國內流行較廣的"TPVO-3783(SPY)")。
(2)入侵型病毒:可用自身代替正常程式種的部分模組或堆疊區。因此這類病毒只攻擊某些特定程式,針對性強。一般情況下也難以被發現,清除起來也較困難。
(3)作業系統型病毒:可用其自身部分加入或替代作業系統的部分功能。因其直接感染作業系統,這類病毒的危害性也較大。
現象
病毒現象種種,用戶在運行外來軟體或從Internet網下載檔案時,很可能無意中給微機感染上病毒,但絕大多數的用戶不能馬上發現自己的微機被感染上病毒,當然我們可以根據種種現象去判斷您的微機是否感染上病毒。其現象分為:
病毒發作前
(1)微機無故當機。
(2)微機無法啟動。
(3)Windows3.X運行不正常。
(4)Windows9X無法正常啟動。
(5)微機運行速度明顯變慢。
(6)曾正常運行的軟體常報記憶體不足。
(7)微機列印和通訊發生異常。
(8)曾正常運行的應用程式發生當機或者非法錯誤 。
(9)系統檔案的時間、日期、長度發生變化。
(10)運行Word,打開文檔後,該檔案另外儲存時只能以模板方式保存。
(11)無意中要求對軟碟進行寫操作 。
(12)磁碟空間迅速減少。
(13)網路數據卷無法調用。
(14)基本記憶體發生變化 根據上述幾點,我們就可以判斷您的微機和網路是否感染上病毒,如當前流行的Win95.CIH病毒,通常也會表現為某些套用軟體經常發生當機。
病毒發作中
病毒的發作,有的只按時間來確定,有的按重複感染的次數來確定,但更多數是隨機發生。發作時表現為:⑴提示一段話 ⑵發出動聽的音樂 ⑶產生特定的圖象 ⑷硬碟燈不斷閃爍 ⑸進行遊戲算法 ⑹Windows桌面圖示發生變化 。
3、病毒發作後 惡性病毒發作後會導致下列情況:
⑴硬碟無法啟動,數據丟失 。
⑵系統檔案丟失 。
⑶檔案目錄發生混亂。
⑷部分文檔丟失 。
⑸部分文檔自動加密碼 。
⑹丟失被病毒加密的有關數據 。
⑺修改某些Autoexec.bat檔案,增加Format一項,導致微機重新啟動時格式化硬碟上的所有數據。
