一 、计算机病毒概述

1. 计算机病毒的概念：

从多个角度对"计算机病毒"进行定义：

• 1. 计算机病毒实际上是一段程序代码。类似自然界中的生物病毒,计算机病毒具有强大的复制能力,能够迅速地蔓延到网络，上的每一台计算机。病毒能够将自己隐藏在各种类型的文件上。当用户复制感染了病毒的文件后,病毒就伴随着文件的副本蔓延开来。此外,某些计算机病毒能够利用被污染的程序传送病毒的载体。当用户发现病毒载体似乎仅仅表现在文字或图像上时,它们可能已经损坏了文件、再格式化了用户的硬盘驱动器或引发了其他类型的灾害。有些计算机病毒危害性较小,它们通过占据内存空间降低了用户的计算机性能。
• 2. 国外普遍接受的定义是指一段附着在其他程序上的能够实现自我复制的程序代码。
• 3. 国内学术界存在以下几种“计算机病毒”的定义。一是通过磁盘、磁带和网络等媒介传播,能“感染”其他程序的计算机程序;二是可以实现自身复制并且借助一定的载体存在的具备潜伏性、传染性和破坏性的程序;三是人工设计的计算机程序,它通过不同的途径潜伏在存储媒体或程序中,当具备某种条件或时机时,它会自身复制并传播，使计算机资源受到不同程度的破坏等。计算机病毒类似生物病毒,能够入侵网络中的计算机系统,危害正常工作的计算机。它可以破坏网络中的计算机系统,即具有破坏性;同时可以复制自身,即具有传染性。
• 所以,计算机病毒就是可以通过特定途径潜伏在计算机存储介质(或程序)中，当某种条件具备时即被激活的，具有对计算机资源进行破坏作用的一组程序或指令集合。
• 4. 在《中华人民共和国计算机信息系统安全保护条例》中明确定义,病毒是指“编制或者在计算机程序中插人的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

这里需要指出的是计算机病毒也是一个程序,或者说是一段可执行的代码。而这个程序或者可执行代码对计算机功能或存储在计算机中的数据具有破坏性,并且具备传播性、隐蔽性、偷窃性等特性。更宽泛的称呼为“恶意代码”。

2. 计算机病毒的特征：

• 编制或在计算机程序中插人的破坏计算机功能或破坏数据,影响计算机使用并能自我复制的一组计算机指令或程序代码称为计算机病毒。
• 一般正常的程序执行过程为,用户调用程序→系统分配程序所需的资源→程序完成用户安排的任务,计算机用户明确地知道正常程序的运行目的。
• 与此不同,计算机病毒执行过程为,感染正常程序→正常程序运行时，窃取系统控制权→在正常程序运行前执行病毒代码，计算机用户不知道甚至不允许病毒的运行。

计算机病毒的主要特征如下：

1. 破坏性——病毒攻击后会对计算机系统与其中的应用程序产生一定程度的破坏。
2. 隐蔽性——病毒设计的短小精悍，隐藏到正常的程序中，使得病毒程序不易区分。
3. 潜伏性——病毒为大范围地破坏计算机，潜入后等特定条件满足才开始破坏。
4. 传染性——病毒通过修改正常程序的代码，将自身的副本添加到正常程序中来传播。
5. 不可预见性——不同病毒的设计代码千差万别，总是先于反病毒软件出现。
    

3. 计算机病毒的分类：

 

• 随着计算机网络应用的不断普及,网络中病毒的种类也在快速地增长。国外的调查报告显示,每周网络上新增10种计算机病毒。另外,根据我国公安部的统计,国内每月新增4~6种新型病毒。目前,针对计算机病毒存在多种分类方法。同一种病毒可能同时具备多种特征,因此在病毒分类上会产生交叉。

1. 根据计算机病毒侵入的操作系统来划分：

1. 侵人DOS操作系统的病毒。
2. 侵入Windows操作系统的病毒。
3. 侵人UNIX操作系统的病毒。
4. 侵人OS/2操作系统的病毒。
    

2. 根据计算机病毒的链接方式来划分：

1. 源代码病毒。这种病毒针对高级语言(C语言、VB语言等)编写的程序。病毒编写者蓄意将该病毒代码插人到高级语言所编写的源代码中,病毒代码经过编译后将构成合法程序的一部分。
2. 嵌人型病毒。这种病毒将自身嵌人到正常程序中,换句话说,病毒的主体程序与其侵人的程序以插人的方式进行链接。
3. 外壳型病毒。这种病毒并不修改正常程序,而将自身像外壳- .样包裹在正常程序周围,因此而得名。这种病毒包含的技术含量不高,初学程序设计的人即可编写。这种病毒会改变正常文件的大小，因此通过测试文件大小的方法即可将此病毒查出。
4. 操作系统型病毒。这种病毒破坏力很强,可以导致整个计算机操作系统瘫痪。该病毒的攻击机理是用预先编写好的病毒代码加人或代替部分操作系统代码进行工作的。这种病毒的典型代表是“圆点”病毒和“大麻”病毒,它们会严重地破坏操作系统。

3.根据计算机病毒的传染对象来划分：

1. 磁盘引导型病毒。磁盘引导区传染的病毒是用自身的部分或全部逻辑来替代正常的引导记录的，同时将正常的引导记录隐藏在磁盘的其他区域。由于计算机读取磁盘首先要读取其引导区,因此这种病毒在运行之初(如系统启动时)就能轻易地获得计算机的控制权,其传染性很强。由于在磁盘引导区内存储着磁盘使用的重要信息,因此,如果磁盘上被隐藏的正常引导记录没有及时地得到保护,那么在磁盘写入的过程中正常引导记录就会被破坏。这类病毒很多,如“大麻”病毒和“小球”病毒。
2. 操作系统型病毒。计算机操作系统由扩展名为. sys.. exe和. dll等多种可执行程序及程序模块组成。操作系统型病毒传染的目标为操作系统中的一些程序和程序模块。一般来说，作为计算机操作系统的一部分，只要计算机开机,操作系统型病毒就处于随时被触发的状态。计算机操作系统的开放性和不完整性为这类病毒的产生与传染创造了基础条件。“黑色星期五”就是典型的操作系统型病毒。
3. 感染可执行程序的病毒。以可执行程序为媒介传播的病毒通常隐藏在可执行程序中,一旦可执行程序被执行,寄生在其中的病毒就会被激活。病毒程序首先被执行,然后常驻内存,通过设置病毒的触发条件进行大范围的传播。
4. 感染带有宏的文档。随着计算机网络的推广、普及，公司的白领们习惯使用Internet来传递Word文档,病毒家族中的新成员一宏病毒开始 粉墨登场。宏病毒寄生，于Word文档或模板的宏中。一旦用户打开包含宏病毒的文档,宏病毒就会被激活并转移到用户计算机的Normal模板中。如此一来,计算机用户自动保存的Word文档就会携带这种宏病毒。更糟糕的是，如果其他的用户在自己的计算机中打开了已经感染这种宏病毒的Word文档,宏病毒就会轻易地转移到此用户的计算机中。
5. 以上4种病毒,实际上可以概括为两大类:一类是病毒隐藏在计算机的引导扇区中;另一类是病毒隐藏在计算机的文件中。

4.根据计算机病毒的传播媒介来划分：

1. 单机型病毒。单机型病毒的传播媒介是磁盘。
2. 网络型病毒。网络型病毒的传播媒介不再是磁盘,它们通过计算机网络进行传播。

5.根据计算机病毒隐藏的媒体来划分：

1. 网络型病毒。攻击对象为网络中的可执行文件,网络型病毒利用计算机网络进行传播。
2. 文件型病毒。攻击对象为计算机中存储的文件(如COM、EXE及DOC等)。
3. 引导区型病毒。攻击对象为硬盘的启动扇区(Boot)和硬盘的引导扇区(MBR)。
4. 混合型病毒。混合型病毒同时具有引导区型病毒和文件型病毒的特征,如多型病毒(文件型和引导型)的攻击对象为存储在硬盘中的文件和硬盘引导扇区两种目标。混合型病毒通常都具有加密和变形算法,使用非法的途径人侵计算机系统,所以这类病毒的危害性更大。

6.根据计算机病毒的功能来划分：

1. 感染型病毒(Virus)。感染型病毒入侵计算机系统,首先要选择宿主文件，将病毒代码添加到宿主文件上,这样病毒就会和宿主文件同时在计算机系统中运行。宿主文件感染病毒后,其正常功能不会发生改变,但是其正常功能运行的同时也会执行病毒的功能,因此这种病毒具有较强的欺骗性。因为感染型病毒隐藏在宿主文件中,宿主文件的功能没有消失,因此用户不能简单地将染毒文件删除，只能清除病毒。这类病毒清理起来比较困难，因此它的危害性最大。
2. 蠕虫病毒(Worm)。蠕虫病毒的传播载体众多,如操作系统漏洞、电子邮件、局域网中可共享的目录、文件传输软件(如MSN、OICQ、IRC等)、移动存储设备(如USB盘、移动硬盘)等。此外,蠕虫病毒使用其子类型的行为特征来表示病毒的传播方式。例如,IM病毒利用即时通信作为载体进行传播;Mail病毒借助电子邮件进行传播;MSN病毒以MSN作为媒介进行传播; ICQ病毒利用ICQ软件进行传播; QQ病毒借助OICQ软件进行传播; P2P病毒以P2P软件作为媒介进行传播; IR病毒利用ICR软件进行传播。这类病毒的传播媒介广泛,传播能力强,对用户计算机系统的危害较大,所以它的危害等级仅次于感染型病毒,位居第二。
3. 后门程序(Backdoor)。后门程序是指在计算机系统用户不知情甚至是不允许的情况下,对被感染的系统进行远程操纵。由于这种程序在运行时隐藏了自身,因此用户很难通过常规的手段阻止其非法活动。作为木马病毒的特例,后门程序可以对被攻击的对象进行远程操纵(如文件管理、进程控制等)。它的危害等级为第三。
4. 木马病毒(Trojan)。木马病毒是指在计算机系统用户不知情甚至是不允许的情况下,在被人侵的系统上通过隐蔽的方式运行,而用户很难通过常规的手段阻止其非法活动。木马病毒的编写者受利益的驱使,编写出了木马病毒的子类型。换句话说,病毒的编写者通过木马病毒子类型的行为实现了他们的非法目的。
5. 病毒工具(virus tool)。 病毒工具是指在本地计算机以网络为媒介人侵其他计算机的工具。
6. 病毒生成器(constructor)。病毒生成器是指能够产生不同种类的病毒的程序。病毒一般由几个固定模块组成,如传染模块、表现模块等。每类模块都积累了大量不同的实现,从大量实现中恰当的择、组合,如同拼积木一样就可以产生新的病毒。
7. 搞笑程序(joke)。搞笑程序的目的是愚弄计算机用户,使他们产生不必要的心理恐惧,而不是危害他们的计算机系统。
    

4. 计算机病毒的破坏行为：
不同的病毒针对计算机系统实施的破坏行为也有所不同,其中有代表性的破坏行为如下。

1. 攻击计算机系统的数据区:少数恶性病毒攻击计算机的硬盘主引导扇区、Boot扇区、FAT表、文件目录等关键内容,且受损的数据无法进行恢复。
2. 攻击系统文件:其表现为删除系统文件,修改系统文件的名称，替换系统文件的内容,删除部分程序代码等。
3. 攻击系统内存:任何程序要想执行必须要获得系统的内存资源,这样内存也就进入了病毒攻击的范围。病毒攻击内存的方式主要有窃取内存的控制权,占用大量内存,更改内存总量。
4. 干扰系统运行:拒绝和干扰用户指令的运行,系统内部堆栈溢出，侵占特殊数据区，更改时钟，自动重启计算机，导致计算机死机等。
5. 系统速度降低:不少病毒的程序中存在无意义的空循环，导致计算机空转，系统速度明显降低。
6. 攻击系统磁盘:删除硬盘中的数据,不存盘,存盘操作变为读取磁盘操作,存盘时丢失数据等。
7. 扰乱系统屏幕显示:字符显示错乱、跌落、环绕、倒置,光标下跌,滚屏、抖动等。
8. 攻击系统键盘:单击按键响铃.封锁键盘，替换字符，删除数据缓冲区中的字符,字符的重复输入。
9. 攻击系统扬声器:发出异常的声音,如演奏曲子声、警笛声、炸弹噪声、鸟鸣声、嘟嘟声、嘀嗒声。
10. 攻击系统CMOS:对系统CMOS区进行非法写人操作，破坏系统CMOS区中的原有数据。
11. 干扰系统打印机:导致打印机打印不连续,替换字符等。
     

5. 计算机病毒的作用机理：
病毒的作用机理表现在其引导、传染和破坏3个方面。
(1)计算机病毒的引导机理。

• 计算机病毒通常寄生在系统磁盘引导区和可执行文件中。病毒的寄生方式有潜代和链接两种。一般情况下,计算机病毒通过潜代的方式寄生在系统的引导扇区,它们通过链接的方式寄生在可执行的文件中。计算机病毒的潜代寄生方式为,病毒侵占了引导扇区中系统文件的空间首先寄生在系统引导区，当计算机系统启动时,病毒程序会被自动装载到系统内存中并被执行,其次病毒的干扰程序和破坏程序会被装载到内存的相应位置并且在特定的条件下被激活,使得计算机系统运行被感染的病毒。

 (2)计算机病毒的传染机理。

• 所谓传染，是指计算机病毒从硬盘中的一个程序传播到另一个程序,从一台计算机感染另一台计算机的动态过程。一般来说,计算机病毒传播的载体是U盘或移动硬盘,这些载体是计算机病毒寄生的温床。当然,病毒的传染需要满足特定的条件,一般来说有两种情况。一是计算机病毒的被动感染。当计算机用户使用移动硬盘或U盘等外接设备时,病毒会寄生在这些设备中从一台计算机传播到另一台计算机,或是以网络流氓程序为传播媒介从一台计算机传播到其他的计算机。二是计算机病毒的主动感染。计算机病毒程序被激活需要满足特定的条件,当这些条件满足时,系统启动时这些病毒程序会被自动激活,开始从一个载体向另外的载体传播和扩散。

(3)计算机病毒的破坏机理。

• 计算机病毒的破坏机制类似病毒的传染机制。计算机病毒通过更改某一中断向量的人口地址使该中断向量指向病毒程序的破坏模块。在这种情况下,当系统满足了该中断向量时,激活病毒程序的条件得到满足,计算机病毒开始运行。计算机病毒运行时，会删除部分系统文件,极大地干扰了操作系统和正常程序的运行。

二、计算机病毒的检测与防御

计算机病毒的隐蔽性非常强:病毒不发作时,计算机没有任何的异常;病毒一旦发作,轻则导致计算机速度减慢,重则导致计算机系统崩溃。因此,在日常的学习和工作中,计算机用户有必要了解计算机系统中是否存在病毒。普通计算机用户可以根据下面的现象来辨别计算机系统中是否存在病毒。

1. 计算机系统的启动速度明显变慢,并且计算机出现自动重启的异常现象。
2. 计算机在工作过程中，无缘无故出现死机的异常现象。
3. 计算机系统桌面上的图标显示异常。.
4. 计算机系统桌面上出现了异常的摘要,如奇怪的提示信息、异样的字符等。
5. 计算机运行某--正版的软件时,系统经常提示内存空间不足。
6. 计算机硬盘中存储的文件遭到破坏，文件中的数据被非法修改甚至丢失。
7. 计算机的音箱无缘无故地发出奇怪的声音。
8. 计算机系统不能够识别存在的固定硬盘。
9. 你的朋友抱怨你总是给他发送包含奇怪信息的邮件,或你的电子邮箱中出现了大量的来历不明的电子邮件。.
10. 计算机系统连接的打印机的速度明显变慢,或者打印出一些奇怪的字符。
11. 计算机系统中存储的文件并没有被修改但是文件长度有所增加。
12. 计算机系统不能正常地存储数据和文件。
     

病毒查杀软件一般都是采用基于特征的手段检测病毒，还有基于校验和检测的方式：

• 作为代码的病毒,其本身是一个二进制串。无论是否恶意,不同的代码必然是不同的二进制串,那么也必然可以找到作为其特征而唯一确定该二进制串的子串或子序列。子串与子序列都是原始串的一段内容,它们的不同在于:子串在原始中是连续出现的;而子序列中的内容则可以属于原始串中相距甚远的不同部分,只是内容在子序列中出现的先后顺序和原始串中的先后顺序一致。
   
• 基于校验和的病毒检测主要是基于数据完整性检测的思想。病毒总是有自己的代码实体,并且需要存储于被感染系统的某个位置上。如果有办法记录系统中每个文件的具体大小、内容,系统关键区域的具体数据,每次查看系统时,如果发现某处数据的样貌与其应有的样貌不一致,那就意味着数据的完整性被破坏了。这种破坏有可能就是病毒造成的,或者是因为病毒代码寄居于此,或者是病毒的表现模块的破坏效果。通过对系统中数据的完整性检测可能发现病毒的迹。
• 使用校验和进行完整性检验可以发现由于病毒等原因而造成的完整性破坏。对比基于特征的病毒检测,基于校验和的检测无法确定是哪种病毒侵人,甚至无法确定是否是病毒侵人;但是相对于只能检测出知晓已知病毒人侵的基于特征的检测,校验和检测可以发现未知病毒造成的数据改变。

普通的计算机用户可以注意以下的方面,来有效地防范计算机病毒：

1. 在本地的计算机上安装正版的反病毒软件。
2. 利用安全监视软件监视浏览器的运行。
3. 开启防火墙软件或反病毒软件附带的防火墙。
4. 及时更新病毒库。
5. 培养使用文件前先检测病毒的好习惯。
6. 谨慎使用盗版软件。
7. 专盘专用。
8. 及时备份。
9. 关闭未使用和不需要的服务和进程。
10. 及时修补系统安全漏洞。

计算机病毒的清除：

1. 利用杀毒软件清除计算机病毒
2. 格式化计算机硬盘重新安装操作系统
3. 手动清除计算机病毒（专业工程师）

信息安全与技术（第二版）