現在人都知道有電腦病毒,不過,你真正地了解它嗎?希望本文能夠讓你更深刻地認識病毒,提高我們的安全意識。
一、病毒的定義
電腦病毒與醫學上的“病毒”不同,它不是天然存在的,是某些人利用電腦軟、硬件所固有的脆弱性,編制具有特殊功能的程序。由於它與生物醫學上的“病毒”同樣有傳染和破壞的特性,因此這一名詞是由生物醫學上的“病毒”概念引申而來。
從廣義上定義,凡能夠引起電腦故障,5自學網,破壞電腦數據的程序統稱為電腦病毒。依據此定義,諸如邏輯炸彈,蠕蟲等均可稱為電腦病毒。在國內,專家和研究者對電腦病毒也做過不盡相同的定義,但一直沒有公認的明確定義。
二、病毒的命名
病毒的命名沒有固定的方法,有的按病毒第一次出現的地點來命名,如“ZHENJIANG_JES”其樣本最先來自鎮江某用戶。也有的按病毒中出現的人名或特征字符,如“ZHANGFANG—1535”,“DISK KILLER”,“上海一號”。有的按病毒發作時的症狀命名,如“火炬”,“蠕蟲”。當然,也有按病毒發作的時間來命名的,如“NOVEMBER 9TH”在11月9日發作。有些名稱包含病毒代碼的長度,如“PIXEL.xxx”系列,“KO.xxx”等體。
三、電腦病毒的發展趨勢
在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑制其流傳。同時,操作系統進行升級時,病毒也會調整為新的方式,產生新的病毒技術。總的說來,病毒可以分為以下幾個發展階段:
1.DOS引導階段
1987年,電腦病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。由於,那時的電腦硬件較少,功能簡單,一般需要通過軟盤啟動後使用。而引導型病毒正是利用了軟盤的啟動原理工作,修改系統啟動扇區,在電腦啟動時首先取得控制權,減少系統內存,修改磁盤讀寫中斷,影響系統工作效率,在系統存取磁盤時進行傳播。
2.DOS可執行階段
1989年,可執行文件型病毒出現,它們利用DOS系統加載執行文件的機制工作,如“耶路撒冷”,“星期天”等病毒。可執行型病毒的病毒代碼在系統執行文件時取得控制權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。1990年,發展為復合型病毒,可感染COM和EXE文件。
3.伴隨體型階段
1992年,伴隨型病毒出現,它們利用DOS加載文件的優先順序進行工作。具有代表性的是“金蟬”病毒,它感染EXE文件的同時會生成一個和EXE同名的擴展名為COM伴隨體;它感染COM文件時,改為原來的COM文件為同名的EXE文件,在產生一個原名的伴隨體,文件擴展名為COM。這樣,在DOS加載文件時,病毒會取得控制權,優先執行自己的代碼。該類病毒並不改變原來的文件內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可,非常容易。其典型代表的是“海盜旗”病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。
4.變形階段
1994年,匯編語言得到了長足的發展。要實現同一功能,通過匯編語言可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。而典型的多形病毒─幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。
5.變種階段
1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關命令,也不影響運算的結果。這樣,某些解碼算法可以由生成器生成不同的變種。其代表作品─“病毒制造機”VCL,它可以在瞬間制造出成千上萬種不同的病毒,查解時不能使用傳統的特征識別法,而需要在宏觀上分析命令,解碼後查解病毒,大大提高了復雜程度。
6.網絡、蠕蟲階段
1995年,隨著網絡的普及,病毒開始利用網絡進行傳播,它們只是以上幾代病毒的改進。在Windows操作系統中,“蠕蟲”是典型的代表,它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡功能搜索網絡地址,將自身向下一地址進行傳播,有時也在網絡服務器和啟動文件中存在。
7.窗口階段
1996年,隨著Windows的日益普及,利用Windows進行工作的病毒開始發展,自學教程,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的急智更為復雜,它們利用保護模式和API調用接口工作,解除方法也比較復雜。
8.宏病毒階段
1996年,隨著MS Office功能的增強及盛行,使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言,編寫容易,感染Word文件文件。由於Word文件格式沒有公開,這類病毒查解比較困難。
9.互聯網、感染郵件階段
1997年,隨著因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,電腦就有可能中毒。
10.爪哇、郵件炸彈階段
1997年,隨著互聯網上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒。還有一些利用郵件服務器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它就嚴重影響因特網的效率。
四、病毒的演化及發展過程
當前電腦病毒的最新發展趨勢主要可以歸結為以下幾點:
1.病毒在演化
任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟件更難檢測。
2.千奇百怪病毒出現
現在操作系統很多,因此,病毒也瞄准了很多其他平台,不再僅僅局限於Microsoft Windows平台了。
3.越來越隱蔽
一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒采用復雜的密碼技術,在感染宿主程序時,病毒用隨機的算法對病毒程序加密,然後放入宿主程序中,由於隨機數算法的結果多達天文數字,所以,放入宿主程序中的病毒程序每次都不相同。這樣,同一種病毒,具有多種形態,每一次感染,病毒的面貌都不相同,猶如一個人能夠“變臉”一樣,檢測和殺除這種病毒非常困難。同時,制造病毒和查殺病毒永遠是一對矛盾,既然殺毒軟件是殺病毒的,而就有人卻在搞專門破壞殺病毒軟件的病毒,一是可以避過殺病毒軟件,二是可以修改殺病毒軟件,使其殺毒功能改變。因此,反病毒還需要很多專家的努力!