有关计算机病毒的知识

　　关于计算机病毒的认识，大家了解多少呢?下面就让学习啦小编给大家详细讲解一下有关计算机病毒的知识吧，希望对大家有帮助。

　　　一、病毒的历史

　　自从1946年比较好台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而， 1988年发生在美国的"蠕虫病毒"事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，"蠕虫"在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。 在国内，最初引起人们注意的病毒是80年代末出现的"黑色星期五"，"米氏病毒"，"小球病毒"等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒，使人们对病毒的认识更加深了一步。 最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。

　　二、病毒的产生

　　那么究竟它是如何产生的呢?那么究竟它是如何产生的呢?

　　1、开个玩笑，一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。

　　2、产生于个别人的报复心理。每个人都处于社会环境中，但总有人对社会不满或受到不公证的待遇。如果这种情况发生在一个编程高手身上，那么他有可能会编制一些危险的程序。 在国外有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。

　　3、用于版权保护。计算机发展初期，由于在法律上对于软件版权保护还没有象今天这样完善。很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。

　　三、病毒的特征

　　未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。

　　1. 传染性.正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

　　2. 隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间预测（数据为往年仅供参考）里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。

　　3. 潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如"PETER-2"在每年2月27日会提三个问题，答错后会将硬盘加密。***的"黑色星期五"在逢13号的星期五发作。国内的"上海一号"会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。

　　4. 破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻病毒与恶性病毒。良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。

　　5. 不可预见性。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的(如驻内存，改中断)。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。

　　四、病毒的定义

　　从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出："计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。"此定义具有法律性、权威性。(此节内容摘自《计算机安全管理与实用技术》一书)

　　五、病毒的分析

　　计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分:

　　1、引导部分的作用是将病毒主体加载到内存，为传染部分做准备(如驻留内存，修改中断，修改高端内存，保存原中断向量等操作)。

　　2、传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式，传染条件上各有不同。

　　3、表现部分是病毒间差异***的部分，前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分，这部分根据编制者的不同目的而千差万别，或者根本没有这部分。

　　六、病毒的命名

　　对病毒命名，各个反毒软件亦不尽相同，有时对一种病毒不同的软件会报出不同的名称。如"SPY"病毒，VRV起名为SPY，KV300则叫"TPVO-3783"。给病毒起名的方法不外乎以下几种：

　　1、按病毒出现的地点，如"ZHENJIANG_JES"其样本***来自镇江某用户。

　　2、按病毒中出现的人名或特征字符，如"ZHANGFANG-1535"，"DISK KILLER"，"上海一号"。

　　3、按病毒发作时的症状命名，如"火炬"，"蠕虫"。

　　4、按病毒发作的时间预测（数据为往年仅供参考），如"NOVEMBER 9TH"在11月9日发作。有些名称包含病毒代码的长度，如"PIXEL.xxx"系列,"KO.xxx"等 。计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分。

　　七、病毒的分类

　　从比较好个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。如此多的种类，做一下分类可更好地了解它们。

　　1、按破坏性可分为：良性病毒，恶性病毒。前面已介绍过。

　　(1)良性病毒：仅仅显示信息、奏乐、发出声响，自我复制的。

　　(2)恶性病毒：封锁、干扰、中断输入输出、使用户无法打印等正常工作，甚至电脑中止运行。

　　(3)极恶性病毒：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统死机、崩溃、无法重启。

　　(4)灾难性病毒：破坏分区表信息、主引导信息、FAT，删除数据文件，甚至格式化硬盘等。

　　2、新兴一族：宏病毒。

　　按传染方式分为：引导型病毒、文件型病毒和混合型病毒。

　　(1)文件型病毒：一般只传染磁盘上的可执行文件(COM，EXE)。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。

　　(2)混合型病毒：兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径(如97年国内流行较广的"TPVO-3783(SPY)")。

　　按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。

　　(1)源码型病毒：较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。

　　(2)入侵型病毒：可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。

　　(3)操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。

　　(4)外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。

　　病毒现象种种 用户在运行外来软件或从Internet网下载文件时，很可能无意中给计算机感染上病毒，但绝大多数的用户不能马上发现自己的计算机被感染上病毒，当然我们可以根据种种现象去判断您的微机是否感染上病毒。其现象分为：

　　1、病毒发作前：

　　(1)计算机无故死机

　　(2)计算机无法启动

　　(3)Windows3.X运行不正常

　　(4)Windows9X无法正常启动

　　(5)微机运行速度明显变慢

　　(6)曾正常运行的软件常报内存不足

　　(7)微机打印和通讯发 生异常

　　(8)曾正常运行的应用程序发生死机或者非法错误

　　(9)系统文件的时间预测（数据为往年仅供参考）、日期、长度发生变化

　　(10)运行Word，打开文档后，该文件另存时只能以模板方式保存

　　(11)无意中要求对软盘进行写操作

　　(12)磁盘空间迅速减少

　　(13)网络数据卷无法调用

　　(14)基本内存发生变化 根据上述几点，我们就可以判断您的微机和网络是否感染上病毒，如当前流行的Win95.CIH病毒，通常也会表现为某些应用软件经常发生死机。

　　2、病毒发作中病毒的发作，有的只按时间预测（数据为往年仅供参考）来确定，有的按重复感染的次数来确定，但更多数是随机发生。发作时表现为：⑴提示一段话 ⑵发出动听的音乐 ⑶产生特定的图象 ⑷硬盘灯不断闪烁 ⑸进行游戏算法 ⑹Windows桌面图标发生变化

　　3、病毒发作后 恶性病毒发作后会导致下列情况： ⑴硬盘无法启动，数据丢失 ⑵系统文件丢失 ⑶文件目录发生混乱 ⑷部分文档丢失 ⑸部分文档自动加密码 ⑹丢失被病毒加密的有关数据 ⑺修改某些Autoexec.bat文件，增加Format一项，导致计算机重新启动时格式化硬盘上的所有数据 ⑻使部分可升级主板的BIOS程序混乱，主板被破坏。引导型病毒一般侵占硬盘的引导区(即BOOT区)，感染病毒后，引导记录会发生变化。