- 软件名称
- 计算机病毒
- 外文名
- Computer Virus
- 诞生年代
- 20世纪
- 特 点
- 传染性、隐蔽性、感染性、潜伏性
- 别 名
- 电脑病毒
目录
发展历史
播报编辑
病毒的学术基础
1949年,冯·诺伊曼在伊利诺伊大学,以"Theory and Organization of Complicated Automata"为题进行了演讲,首次描述了一个计算机程序如何复制自身。 [2]
1972年,Veith Risak在冯·诺伊曼的程序能够自我复制的工作基础上,发表文章"Self-reproducingautomata with minimal information exchange",首次描述了一个以西门子4004/35计算机系统为攻击目标,以汇编语言编写,具有完整功能的计算机病毒。 [3]
1970年代中期,大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序
1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业余时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序。这也可能就是计算机病毒的雏形。 [7]
主要特点
播报编辑
破坏性
潜伏性
计算机病毒在侵入计算机时可能并未引起用户注意,在攻击条件具备时再实施破坏,而在这一阶段计算机病毒可能已经进行大量的 传染并做了实施攻击的准备,比如如1999年破坏№BIOS的CIH病毒就在每年的4月26日爆发。与生物病毒类似,在计算机病毒爆发前,就以最大幅度传播。
传染性
依附性
基本原理
播报编辑
计算机病毒传播、感染和触发的原理机制计算机病毒的基本原理主要是指计算机病毒传播、感染和触发的机制。
传播机制
文件流动
网页脚本和插件
动态网页技术支持在网页中运行脚本和插件,它们需要在客户端运行,如Windows平台下支持VBScript、JavaScript脚本以及 AxtiveX控件等。一方面,在浏览器访问需要运行脚本的网页时,网页脚本立即被执行,这可能使系统直接感染恶意代码。另一方面,客户端浏览网页过程中,如果被网页内容欺骗并信任网页插件来源时,可能会选择主动安装相应插件,在这一过程中,可能会使得系统遭受感染。
电子邮件
电子邮件支持附件传输功能,它经常被利用于传播计算机病毒,当用户误认为邮件来源可靠时,通常会执行或保存这些附件,使系统受到感染。
数字内容播放
感染机制
以感染结构化文档为例,Word、Excel、Access、Visio、PowerPoint、WordPro等结构化文档以及相关的模版文件包含宏以实现一些自动的文档处理。制作病毒的人员利用WordBasic编程接口制作的具有病毒性质的宏集合。在打开一个带宏病毒的文档或模板时,激活了病毒宏,病毒宏还将自身复制到相关文档或模板中。由于WordBasic语言提供了许多系统底层调用,因此宏病毒可能对系统直接构成威胁。
触发机制
对已经侵入或感染到受害系统中的计算机病毒,使它们得到执行的方法、条件或途径。一方面,计算机病毒的触发机制往往取决于感染机制:比如当程序、组件和宏命令等被执行时,其中感染的计算机病毒将获得执行权。另一方面,为了加强计算机病毒的隐蔽性,一些计算机病毒需要参照时钟、时间、计数次数等因素决定是否开始执行。
计算机病毒分类
播报编辑
在计算机病毒的研究中,分类的目的是为了更好地描述、分析和理解计算机病毒的特性、危害及其成因,以便制定有效的防护和治疗措施。 [10]
1.病毒破坏能力
无危险型:病毒仅会减少内存,显示图像或声音警报,例如鬼病毒。
危险型:这些病毒会导致计算机系统操作中产生严重错误,例如 Hebrew 病毒。
2.病毒破坏情况
- 1.良性病毒:这些病毒不会直接对计算机系统产生破坏,只是通过传播显示其存在。
- 2.
3.病毒攻击的操作系统
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
4.病毒攻击的机型
- 1.
- 2.
- 3.
计算机病毒的命名规则
播报编辑
计算机病毒的命名规则包含了一些通用原则和国际惯例。这些命名规则有助于建立病毒的分类学体系,是反病毒技术的重要组成部分。 [10]
1. 通用命名规则
1.1 根据病毒出现的时间命名
有些病毒根据其出现或破坏系统的时间进行命名,通常与特定事件或日期相关。例如,13号星期五病毒(Friday the 13th)因在某个星期五的13号激活而得名。另一个例子是米开朗基罗病毒(Michaelangelo),因在3月6日(米开朗基罗的生日)发作而得名。
1.2 根据病毒表现的症状命名
有些病毒根据其感染系统后的表现症状命名。例如,乒乓病毒(Ping Pong,或称为“跳动的小球”病毒)是因其感染电脑后屏幕上显示类似弹跳小球的效果而得名。又如烟花病毒(Firework),是因为在感染的显示器上展示出类似烟花的视觉效果。
1.3 根据传播方式命名
某些病毒在其代码中嵌入了名字或通过显示的消息表明其名称。例如,大麻病毒(Marijuana)因为其代码中包含“Marijuana”字样而得名。其他例子包括磁盘杀手病毒(DiskKiller),激活时会显示相关信息,以及食人魔病毒(Ogre),因其代码中的标识符得名。
1.5 根据地理来源命名
1.6 根据代码长度命名
2. 国际病毒命名惯例
例如,WM.Cap.A.A病毒的命名结构如下:
- Cap表示病毒家族;
- A.A表示该病毒的具体变种。
计算机病毒的传播途径
播报编辑
1. 通过存储介质传播
2. 通过游戏软件传播
病毒通常隐藏在破解程序或安装文件中,用户在安装游戏时,病毒也随之进入计算机。病毒可能通过篡改系统文件、劫持游戏数据或盗取用户敏感信息来实现攻击。比如在一些破解游戏常常包含恶意软件或木马程序中,这些病毒可以记录用户的游戏账号、密码,甚至植入后门程序,远程控制用户的电脑。
3. 通过网络传播
随着互联网的普及,网络已成为计算机病毒最主要的传播途径。网络传播病毒的速度极快,影响范围广泛,常见的传播方式包括电子邮件、即时通讯软件、网站、文件下载等。
其中在网络传播中,病毒传播模型又细分为SIS 和 SIR模型。SIS模型(易感-感染-易感):在这个模型中,个体被感染后有可能恢复为易感状态,即再次受到感染。研究发现,在标度无关网络中,病毒能够在少数枢纽节点的不断感染与恢复之间维持稳定的传播状态。其中“标度无关网络”是一类特殊的复杂网络结构,它的特点是部分节点(称为“枢纽”)拥有极高的连接度,而大多数节点的连接较少。这种网络中,节点与其他节点相连的概率遵循幂律分布,也就是说,少数节点拥有大量连接,而多数节点仅与少数其他节点相连。SIR模型(易感-感染-恢复):相比之下,SIR模型中,个体感染后恢复为免疫状态,不再易感。这种模型更符合现实中的许多计算机病毒情况,例如使用杀毒软件后恢复的电脑不再受到同类病毒的感染。
4. 通过计算机硬件传播
计算机病毒的破坏机制
播报编辑
1. 蓄意破坏
计算机病毒的蓄意破坏取决于病毒编写者的意图和其技术水平。这类破坏主要表现为对计算机存储数据的直接损害。引导型病毒会覆盖硬盘引导区,导致原有的引导区数据永久丢失,系统无法恢复。其他病毒可能在感染后格式化硬盘,删除文件或篡改重要数据。 [10]
2. 偶然性破坏
病毒编写中的错误或疏忽可能导致偶然性破坏,甚至超出病毒编写者的初衷。病毒错误可能导致系统崩溃、重要数据丢失或不可预测的系统故障。此外,病毒的兼容性差异可能使其在不同系统环境中表现出不同的破坏性。 [10]
3. 附带性破坏
4. 心理及社会性破坏
病毒的社会性破坏不仅限于技术层面,还包括心理层面的恐慌和社会影响。病毒可能导致商业机密泄露,财务数据被窃取,严重损害企业声誉。发现病毒感染会引起恐慌,进而影响计算机的使用效率,甚至带来不可估量的社会后果。 [10]
计算机病毒的隐藏方式
播报编辑
计算机病毒的隐蔽性,是其能够持续危害系统的关键。在病毒的发展历程中,隐藏技术逐渐演变,形成了多种隐蔽形式,极大地增加了病毒的检测难度。而计算机病毒的隐藏技术经历了从简单的窗口与进程隐藏、文件隐藏,逐渐发展到线程注射、钩子技术,以及后来的Rootkit等高级手段。 [11]
1. 病毒的隐蔽性特征
2. 早期的隐藏技术
2.1 隐藏窗口与进程
此外,病毒编写者利用未公开的API函数RegisterServiceProcess,将病毒注册为“服务进程”。由于Windows 9x的任务管理器不会显示此类进程,这让病毒在用户的系统中能够悄然存在。
2.2 隐藏文件
3. 线程注射技术的兴起
随着计算机技术的发展,病毒编写者开始采用更加高级的隐藏手段,其中线程注射技术成为了木马病毒的重要隐藏手段。
3.1 线程与进程的区别
在了解线程注射之前,首先需要理解进程与线程的概念。进程是指一个程序在运行时占用的内存空间。一个进程可以产生多个线程,每个线程执行进程中的一部分代码,多线程技术使得程序可以同时执行多个任务,从而提高运行效率。
3.2 远程线程注射
远程线程注射(Remote Thread Injection)技术允许一个进程将代码注入到另一个进程的内存空间中。注入的线程成为目标进程的一部分,从而实现病毒代码的隐藏执行。此技术通过跨进程内存空间的访问,实现了木马的隐蔽操作。
4. 钩子技术(Hook)的应用
钩子(Hook)是一种消息截获机制,允许程序监视特定窗口的消息。当消息到达目标窗口之前,钩子函数先行处理。病毒编写者利用钩子技术,可以在用户毫无察觉的情况下截获输入输出信息,如键盘输入和屏幕内容等,从而实现窃取数据等恶意行为。
5. 隐藏技术的进化
随着Windows NT体系的普及,许多早期的隐藏技术失效,病毒编写者不断探索新的隐藏手段,如内核级隐藏和Rootkit技术等。现代病毒更加复杂,其隐藏方式不仅包括线程注射,还结合了系统层面的深度隐藏手段,使得传统的杀毒软件更加难以检测。
计算机病毒的清除与预防
播报编辑
1.计算机病毒的清除
计算机病毒的清除尽量在保全被感染程序功能的情况下移除计算机病毒或使其失效。
手工清除:对引导型计算机病毒,清除存在于主引导记录或分区引导记录中的计算机病毒,并根据原引导代码恢复引导程序,但为了抵御计算机病毒对原引导代码的覆盖,一般需要预先备份它们。常驻内存的一些计算机病毒可能受到操作系统的保护,一般要求用干净的启动盘启动后再实施检测和清除。
软件工具清除:早期较为著名的杀毒软件有江民杀毒、如今国内的计算机杀毒软件有电脑管家、360、火绒等。国外杀毒软件比较著名的有卡巴斯基、小红伞等。另外一方面,由于计算系统的不断完善,系统的稳定性和抗干扰性不断增强,一般的计算机病毒很难以穿过当前计算机系统所建立的防火墙。
2. 计算机病毒的预防
从开发者的角度出发: 对于计算机病毒要实现定时检测和在线检测,其中,在线检测指一旦有文件被打开就实施检测;在线监控程序行为;备份和恢复重要数据, 例如主引导代码和中断向量表等;保护重要文件;隔离可疑文件; 制定安全防范策略;在线更新恶意代码特征 [8]。
对于网络用户而言,培养良好的上网习惯,培养自觉的信息安全意识,例如:对不明邮件及附件慎重打开;尽可能使用较为复杂的密码;不要执行从网络下载后未经杀毒处理的软件等;不要随便浏览或登录陌生的网站,加强个人保护 [9];
