计算机病毒
维库,知识与思想的自由文库
|
病毒,在计算机领域,是一种能自我复制的计算机程序。新病毒每天以至少1020个的速度递增,而病毒的总数量在2005年已经超过47000种,2006年激增了新病毒23万种。
[编辑] 法律定义病毒的定义一直存在着争议,不少人包括世界各国的反病毒厂商都将基于网络的木马、后门程序以及恶意软件也归在电脑病毒之列查杀。 以下内容是中国大陆的电脑病毒的法律定义,司法部门凭这个就可以逮捕病毒制作和散播者。 1994年2月18日《中华人民共和国计算机信息系统安全保护条例》第二十八条[1]
[编辑] 病毒作者有不少病毒制作者黑客们被逮捕并予以起诉,判决的轻重各国都有所不同,如罗马尼亚西欧班尼花费15分钟写的MSBlast.F变种大约只感染了1000台计算机,按他们国家的法律他就有可能最高会被判15年有期徒刑,而1998年台湾病毒作者陈盈豪写的被一些人认为“迄今为止危害最大的病毒”[3]CIH,使全球6000万台计算机瘫痪,但他因为在被逮捕后无人起诉而免于法律制裁,在2001年有人以CIH受害者的身份起诉陈盈豪,才使他再次被逮捕,按照台湾當時的法律陈会被判损毁罪面临最高只3年以下的有期徒刑。 中国的木马程序“证券大盗”作者张勇因使用其木马程序截获股民账户密码,盗卖股票价值1141.9万元,非法获利38.6万元人民币,被逮捕后以盗窃罪起诉,最终的判决结果是无期徒刑。 据Peakis公司的分析报告称,目前全世界现有200万有能力写较成熟电脑病毒的程序员。[4] [编辑] 历史“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》。而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;另一部是约翰·布鲁勒尔(John Brunner)1975年的小说《震荡波骑士(ShakewaveRider)》,描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。[5] 1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。 [编辑] 运行环境以及传播途径由于世界操作系统桌面环境90%的市场都由微软Windows系列垄断[6][7] ,所以病毒作者纷纷把病毒攻击对象选为Windows。制作病毒者首先应该确定要攻击的操作系统版本有何漏洞,这才是他所写的病毒能够利用的关键,而Windows没有行之有效的固有安全功能,且用户常以管理员权限运行未经安全检查的软件,这也为Windows下病毒的泛滥提供了温床。对于Linux、Mac OS等操作系统,使用的人群比较少,病毒一般不会在此系统下爆发,但实际上是因为这些操作系统自身的安全架构与强制的使用规范十分严谨,通常可在Windows中使病毒施虐的方式变得毫无用处。病毒作者大多发布病毒的目的有多种,包括恶作剧、想搞破坏、报复及想出名与对研究病毒有特殊嗜好。 病毒主要通过网络浏览以及下载,盗版CD或DVD以及可移动磁盘等途径迅速传播。[8] [编辑] 命名以下表格所示是国际上对病毒命名惯例的前缀释义,DOS下的病毒一般无前缀:
中间部分指的是病毒的英文名,而后缀一般是变种代号。 [编辑] 特征在计算机科学裡,电脑病毒是类似生物病毒一样的程序,它会复制自己并传播到其他宿主,并对宿主造成损害。宿主也是程序,通常是操作系统,从而进一步传染到其他程序、其他的电脑。电脑病毒在传播期间一般会隐蔽自己,由特定的条件触发,并开始产生破坏。[9] 电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[10]、表现性或破坏性,通常只表现两种以上所述的特征就可以认定该程序是病毒。 计算机病毒的生命周期为开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期。[8][11] [编辑] 主要特征详解[编辑] 传播性病毒一般会自动利用25电子邮件端口传播,利用对象为微软操作系统捆绑的Outlook的某个漏洞。将病毒自动复制并群发给存储的通讯录名单成员。邮件标题较为吸引人点击,大多利用社会工程学如“我愛妳”这样家人朋友之间亲密的话语,以降低人的警戒性。如果病毒制作者再应用脚本漏洞,将病毒直接嵌入邮件中,那么用户一点邮件标题打开邮件就会中病毒。 [编辑] 隐蔽性最大的病毒不过1MB,一般的病毒仅在1KB左右,这样除了传播快速之外,隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中去,所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后,就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中,这样的文件夹通常有上千个系统文件,如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注,将病毒和一个吸引人的文件捆绑合并成一个文件,那么运行正常吸引他的文件时,病毒也在我们的操作系统中悄悄的运行了。 [编辑] 感染性某些病毒具有感染性,比如感染中毒用户计算机上的可执行文件,如exe、bat、scr、com格式,通过这种方法达到自我复制,对自己生存保护的目的。通常也可以利用网络共享的漏洞,复制并传播给邻近的计算机用户群,使邻里通过路由器上网的计算机或网吧的计算机的多台计算机的程序全部受到感染。 [编辑] 潜伏性部分病毒有一定的“潜伏期”,在特定的日子,如某个节日或者星期几按时爆发。如1999年破坏BIOS的CIH病毒就在每年的4月26日爆发。如同生物病毒一樣,這使電腦病毒可以在爆發之前以最大幅度散播開去。 [编辑] 可激发性根据病毒作者的“需求”,设置触发病毒攻击的“玄机”。如CIH病毒的制作者陈盈豪曾打算设计的病毒,就是「精心」为简体中文Windows系统所设计的。病毒运行后会主动检测中毒者操作系统的语言,如果发现操作系统语言为简体中文,病毒就会自动对计算机发起攻击,而语言不是简体中文版本的Windows,那么你即使运行了病毒,病毒也不会对你的计算机发起攻击或者破坏。[12] [编辑] 表现性病毒运行后,如果按照作者的设计,会有一定的表现特征,如CPU佔用率100%,在用户无任何操作下读写硬盘或其他磁盘数据,蓝屏死机,鼠标右键无法使用等。但这样明显的表现特征反倒帮助被感染病毒者发现自己已经感染病毒并清除病毒很有帮助,隐蔽性就不存在了。 [编辑] 破坏性某些威力强大的病毒,运行后直接格式化用户的硬盘数据,更为厉害一些可以破坏引导扇区以及BIOS,已经在硬件环境造成了相当大的破坏。 [编辑] 分类病毒类型根据中国国家计算机病毒应急处理中心发表的报告统计,占近45%的病毒是木马程序,蠕虫占病毒总数的25%以上,占15%以上的是脚本病毒,其余的病毒类型分别是:文件型病毒、破坏性程序和宏病毒。 [编辑] 木马/僵尸网络
[编辑] 有害软件
[编辑] 脚本病毒
[编辑] 免杀技术以及新特征免杀是指对病毒的处理使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前,本身就是免杀的,甚至可以说“病毒比杀毒软件还新,所以杀毒软件根本无法识别它是病毒”,但由于传播后部分用户中毒向杀毒软件公司举报的原因,就会引起安全公司的注意并将之特征码收录到自己的病毒库当中,病毒就会被杀毒软件所识别。 病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文件加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。 罗马尼亚的BitDefender,俄罗斯的Kaspersky Anti-Virus,Dr.Web,斯洛伐克的NOD32,Norton Antivirus,McAfee等产品在国际上口碑较好,但杀毒、查壳能力都有限,目前病毒库总数量也都仅在数十万个左右。 自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新,得到最新的免杀版本的病毒并继续在用户感染的计算机上运行,比如熊猫烧香病毒的作者就建立了“病毒升级服务器”,在最勤时一天要对病毒升级8次,比有的杀毒软件病毒库的更新速度还快,所以就造成了杀毒软件无法识别病毒。 除了自身免杀自我更新之外,个别病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反反病毒软件的全新特征,只要病毒运行后,病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并结束杀毒软件进程,自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废,从而病毒生存能力更加强大。 免杀技术的泛滥使得同一种原型病毒理论上可以衍生出近乎无穷无尽的变种,给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件(代表厂商NOD32,Dr.Web),和基于行为分析技术的主动防御软件(代表厂商微点主动防御软件)。 [编辑] 防範
[编辑] 参看
[编辑] 参考资料
[编辑] 相关文献
[编辑] 外部链接
|
