中國計算機病毒發展史

　　計算機病毒，是一段附著在其他程序上的，可以實現自我繁殖的程序代碼。自從1985年在美國被當眾證明其存在性之後，計算機病毒技術得到了突飛猛進的發展； 各路高手出於種種目的，紛紛編寫了各式各樣的計算機病毒，在Win-Intel平台上掀起了一股股計算機病毒狂潮。在這股狂潮中，作為一個計算機技術高速發展中的國家，中國首當其沖，受到了猛烈的沖擊。

　　嶄露頭角

　　大約是在1988年，隨著軟件交流，石頭和小球病毒跟隨軟盤悄悄地通過香港和美國進入了中國內地，並在人們的懵懂之間在大型企業和研究所間廣為傳播。直到病毒發作，人們才猛然驚醒！目前一般認為，小球病毒是國內發現的第一個計算機病毒。由於當時普遍使用軟盤來啟動系統，因此這兩個系統病毒在大江南北廣為流傳，成了當時國內最流行的計算機系統病毒。跟隨系統病毒之後，各路文件病毒也迅速登陸，巴基斯坦、維也納和雨點等病毒令國人大為震驚之余，對其精湛的編程技藝，也有耳目一新的感覺。

　　風聲鶴唳

　　1989到1991年是計算機病毒在中國迅速壯大的階段，各色病毒揭竿而起，在中國大遍地開花。那時由於家庭電腦尚未普及，因此各家研究所和高等院校等計算機密集的地區成了計算機病毒的重災區，而且往往是多種不同病毒反復交叉感染。米開朗琪羅和黑色星期五這兩個文件病毒首開破壞軟件系統之先河，在神州大地上大肆破壞。以至於中央電視台新聞聯播等各大新聞媒體紛紛報道，聲勢之大，一時無兩，決不遜色於名震世界的CIH病毒，甚至出現了“帶口罩防計算機病毒傳染”的笑話。更嚴重的是，國內的程序開發高手在經過短暫的迷惑之後，通過剖析病毒體，迅速掌握了病毒的編寫技術，廣州一號、中國炸彈、“六·四”和毛毛蟲等各種國產病毒紛紛登場亮相。這個時期出版的各種剖析計算機病毒的書刊，不能說不起了推波助瀾的作用；而好奇的大學生們，則成為了國產病毒的最先試制者。例如廣州一號，就是廣州大學一位在校學生研究病毒的副產品。不過，隨著軟件技術的發展，國人逐漸了解和掌握了計算機病毒，計算機病毒已不再神秘；SCAN和TBAV等反病毒軟件紛紛從國外引入，雷軍等人也開始嘗試自己編寫一些國產反病毒軟件。而華星等硬件防病毒卡更是風行一時，其硬件防病毒技術當時即使在全世界范圍內也是處於領先地位的。

　　巅峰之作

　　在人們逐漸掌握反計算機病毒的之後，計算機病毒開始試圖通過各種方式來掩飾自己。長達4K的世紀病毒，通過全面地接管系統功能調用，做到了在帶毒環境下，除了反匯編內存之外，其他軟件都絲毫不能覺察病毒的存在，可以說是一個編寫得最認真的病毒。到了1992年，舊的計算機病毒技術已經完全被掌握，一些防病毒卡甚至宣稱可以防范所有的已知和未知的病毒，人們似乎已經看到了計算機病毒的末日了。此時，一個叫做DIR II的病毒橫空出世。這個病毒編寫得是如此之巧妙，短短的512個字節的程序代碼，就鑽入了DOS操作系統的核心，實現了加密、解密和傳染的功能，而且巧妙地躲過了各種防病毒軟件和防毒卡的防線，達到增一分則太多，減一分則太少的境界。其高超的編程技術令人歎為觀止，至今仍為計算機病毒的典范之作。DIR II病毒迅速摧毀了各種防病毒卡，為防病毒軟件開辟了一條新的道路。人們開始認識到，反計算機病毒是一個漫長而曲折的過程，而防病毒軟件因為其良好的兼容性，低廉的價格和方便的升級能力而逐漸得到了廣大用戶的認可。

　　末路狂奔

　　1993年以後，隨著DIR II病毒被徹底識穿，以及在 KILL、SCAN和KVXXX系列等各種反病毒軟件的一路窮追猛打下，計算機病毒在中國似乎已經窮途末路了。各種新病毒都只能是昙花一現，再也不能掀起什麼大的波瀾。值得注意的是，1995年以後，由於家用電腦的普及和盜版光盤的興起，一些病毒也借助於盜版光盤之勢，迅速壯大。

　　最著名的是夜賊病毒，當時幾乎在所有的盜版光盤上都有它的影蹤。當年就為了安全帶毒安裝光盤上的軟件（光盤上的病毒可是無法殺除的），特地編寫了一個ANTI1150程序。不過，火山爆發總是在沉寂之中醞釀的。此時，國外出現了各種專門討論計算機病毒技術的地下站點，他們編寫病毒雜志，散發IVP、VCL和G2000等各種專門的計算病毒引擎。 借助於這些工具，任何懂得簡單的匯編語言的人，都可以編寫出自己需要的計算機病毒。1997年，以上這幾個計算病毒引擎軟件都通過互連網絡和盜版光盤傳入中國，並帶來一定的危害。在這個時期，病毒的數量呈現了幾何數級的增長，截至止1996年，估計各種病毒及其變體就超過了一萬種。

　　死灰復燃

　　1996年，計算機病毒技術又有了突飛猛進，為了躲避反病毒軟件的監視，新的變種病毒應運而生。以前例如雨點等病毒只是運用簡單的一維變形技術來掩飾自己，現在，二維變形以至於無窮變形病毒開始出現，以前那種采用特征代碼串來標識計算機病毒的技術又開始失效。真是道高一尺，魔高一丈。最先傳入中國的是“幽靈”，隨後是“猴子”等兩棲（同時感染系統和文件）變形病毒，這些病毒先後在一定范圍內流行。不過由於反病毒軟件的及時跟進，以及國人已經習慣於綜合使用各種反病毒軟件，因此這些病毒都沒有能掀起太大的風浪。不過令人擔憂的是，隨著國際互連網絡的普及，計算機病毒編寫者開始通過互連網絡來交流編程技術和心得體會。網上也出現了專門的變種病毒工具，使用這些工具，任何人都可以編寫出帶無窮變形的計算機病毒。國內的福州大學系列變形病毒就是這些工具的產品。值得慶幸的是，隨著計算機硬件的提高，Windows以至於Windows 95逐漸成為國人通用的操作系統。與DOS系統技術徹底被掌握不同， Windows以及Windows 95完全沒有被公開，其中的很多系統功能和特點尚未被一般人掌握，因此針對Windows和Windows95的病毒很少見，以前一直只在一些地下站點看見過，而且都是一些試驗產品，技術尚未完全成熟。在Windows平台下，系統和文件病毒的數量要大大減少了。

　　黃昏插曲

　　提到中國的病毒的發展，就不能不提以下的這一段插曲。

　　1997年，有好事者在美國的地球村免費網站上建立了一個叫做“毒島論壇”的站點，專門討論反病毒技術，評比國內的反病毒軟件和提供它們的的解密程序。這年有一種不甚起眼，但是不能不提的888病毒，這是一個系統病毒，實際上並不流行， 只是因為某一軟件公司的大肆宣揚，才使之在業界廣為人知。雖然業界盛傳某公司利用制毒、放毒和殺毒來宣傳自己，但是事實一直沒有什麼端倪。到了97年的下半年，“毒島論壇”宣稱KV300軟件中有病毒！並且迅速在網上公布了病毒的反匯編代碼（由於KV 300軟件是經過加密的，因此一般人無法簡單地看到這一段代碼）。數天之後，出於種種考慮，數家反病毒軟件公司在京召開了記者招待會，聲討這種行為。而江民公司自己則辯稱這是一個“邏輯鎖”，不是病毒。經過反匯編了相關的代碼，發現“邏輯鎖”的機理與以前宣傳的888病毒完全相同！它利用了微軟的 MS-DOS編程上的一個小錯誤，導致系統啟動時進入死循環。其實早在1992年就有人在《電腦》雜志上介紹了這個問題，並把它用於加密硬盤。而IBM的PC-DOS就沒有這個錯誤。事情最後以江民公司被認定違反了《計算機安全管理條例》，罰款3000元告終，而KV300似乎沒有受到太大的影響，“毒島論壇”還因此被查封。不過業界公司應該從中吸取經驗教訓，如果此事發生在國外，則違法的公司很可能被客戶告得傾家蕩產。

　　異軍突起

　　1997年，在沉寂了一小段時間以後，病毒又找到了新的突破點，這次是微軟的文書處理和電子表格軟件Word和 Excel成了犧牲品。高手門利用了功能強大的宏語言，編制了各色各樣的宏病毒。隨後是各種各樣的好奇者，簡單地利用宏編輯器改造了自己的產品！現在，編寫病毒程序已經不是一門“陽春白雪”的技藝，任何人只要拿一個現成的宏病毒，甚至拿微軟的用戶手冊看一下，就可以編寫出一種新病毒來！據一些反病毒軟件站點報告，全世界一個星期就有近千種新病毒出現，而其中絕大部分是宏毒。在這一場宏病毒大戰中，我國台灣的各路高手充分展示了自己的身手，台灣一號病毒甚至跑到了微軟的正版光盤上。國人們向世界顯示，我們的電腦技術是先進的！同時，一大批反病毒軟件開發者為了搞清楚微軟密不公開的Word文檔格式而搞得焦頭爛額。最後，通過不洩努力，國內各家反病毒軟件公司總算又通過了這一關；不過因為沒有微軟的支持，誤殺或者殺壞Word文件也是常有的事。反倒是此時馮志宏閒庭信步，輕而易舉地就完成了Word 97以前各版本的Word文件的密碼自動解除工作。

　　風雲再起

　　1997年下半年，一個叫做SPY的可以攻擊NE（16位Windows格式可執行文件）格式程序的病毒，曾經在南方流行一時，敲響了Windows病毒進攻的警鐘。此病毒是隨著盜版光盤，從港台傳入的。盜版光盤再次扮演了一個可恥而可怕的角色。到了1998年的年中，Win95.CIH病毒終於攻破了Windows95平台。這個病毒創造了幾個之最：CIH病毒是第一個流行的攻擊PE格式32位保護模式程序的病毒；CIH病毒是第一個可以破壞計算機硬件的病毒。以前的病毒最多只能破壞軟件系統，而CIH病毒不但可以直接利用IOS指令摧毀硬盤數據（這種方法導致就算你的主板具有防病毒功能，也無能為力），更通過清洗存儲在Flash EPROM中的BIOS指令，導致系統主板無法工作，徹底破壞機器。CIH病毒利用VXD技術逃過了當時所有的反病毒軟件的監測，並且令當時所有宣稱可以防病毒的主板大失顏面。從中我們可以體會到，反病毒技術的研究是永無止境的。值得慶幸的是，這一次社會各界反映及時，各新聞媒體紛紛報道，各反病毒軟件公司迅速升級自己的產品，使之可以監測和清除CIH病毒。

　　據網上的一封道歉信報道，CIH病毒是台灣一個叫做陳盈豪的學生編寫的。通過反編譯發現，這個病毒系利用SIDT指令來獲取系統的核心級執行權限，進而截獲系