什麼叫計算機病毒
電腦中出現病毒的情況是很多的,當這種情況出現後,我們就需要對電腦做出相關的處理,否則就會影響我們的電腦使用。下面是小編收集整理的,希望對大家有幫助~~
編制或者在計算機程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式程式碼被稱為計算機病毒***Computer Virus***。具有破壞性,複製性和傳染性。快速導航知乎精選
|
|
概況
知乎精選最新
目
錄1宣告2法律定義3定義4預防5產生6特點寄生性傳染性隱蔽性破壞性可觸發性7分類前言存在的媒體傳染的方法破壞的能力病毒的演算法8發展DOS引導階段DOS可執行階段批次型階段多形階段變體機階段網路蠕蟲階段視窗階段巨集病毒階段網際網路階段郵件***階段9行為10危害11症狀12出現13檢查14方式命名途徑傳染過程15種類系統病毒蠕蟲病毒黑客病毒指令碼病毒巨集病毒後門病毒種植程式病毒破壞性程式病毒玩笑病毒捆綁機病毒16相關17事件18注意19處理20相關介紹21病毒的老祖宗22電腦系統中毒後怎麼辦
1宣告編輯
作為一名醫學工作者再次宣告 “病毒”與計算機病毒不是同義詞,“計算機病毒”只是用生物“病毒”作比喻,請在百科中完善病毒詞條的相關內容分佈,並讓使用者在搜尋時能獲得全面資訊。
計算機病毒***Computer Virus***在《中華人民共和國計算機資訊系統安全保護條例》中被明確定義,病毒指“編制者在計算機程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自我複製的一組計算機指令或者程式程式碼”。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式程式碼。它能通過某種途徑潛伏在計算機的儲存介質***或程式***裡,當達到某種條件時即被啟用,通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中。從而感染其他程式,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他使用者的危害性很大。
2法律定義編輯
行政法規及規章對病毒的定義能否適用於刑法
國務院頒佈的《中華人民共和國計算機資訊系統安全保護條例》,以及公安部出臺的《計算機病毒防治管理辦法》將計算機病毒均定義如下:計算機病毒,是指編制或者在計算機程式中插入的破壞計算機功能或者毀壞資料,影響計算機使用,並能自我複製的一組計算機指令或者程式程式碼。這是目前官方最權威的關於計算機病毒的定義,此定義也被通行的《計算機病毒防治產品評級準則》的國家標準所採納。
3定義編輯
計算機病毒***Computer Virus***在《中華人民共和國計算機資訊系統安全保護條例》中被明確定義
計算機病毒--熊貓燒香,病毒指“編制者在計算機程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自 我複製的一組計算機指令或者程式程式碼”。而在一般教科書及通用資料中被定義為:利用計算機軟體與硬體的缺陷或作業系統漏洞,由被感染機內部發出的破壞計算機資料並影響計算機正常工作的一組指令集或程式程式碼 。
計算機病毒最早出現在70年代 David Gerrold 科幻小說 When H.A.R.L.I.E. was One.最早科學定義出現在 1983:在Fred Cohen ***南加大*** 的博士論文 “計算機病毒實驗”“一種能把自己***或經演變***注入其它程式的計算機程式”啟動區病毒,巨集***macro***病毒,指令碼***script***病毒也是相同概念傳播機制同生物病毒類似.生物病毒是把自己注入細胞之中。
4預防編輯
病毒往往會利用計算機作業系統的弱點進行傳播,提高系統的安全性是防病毒的一個重要方面,但完美的系統是不存在的,過於強調提高系統的安全性將使系統多數時間用於病毒檢查,系統失去了可用性、實用性和易用性,另一方面,資訊保密的要求讓人們在洩密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長期存在,兩種技術都將隨計算機技術的發展而得到長期的發展。
5產生編輯
病毒不是來源於突發或偶然的原因。病毒來自於一次偶然的事件,那時的研究人員為了計算出當時網際網路的線上人數,然而它卻自己“繁殖”了起來導致了整個伺服器的崩潰和堵塞,有時一次突發的停電和偶然的錯誤,會在計算機的磁碟和記憶體中產生一些亂碼和隨機指令,但這些程式碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的程式碼,按照嚴格的秩序組織起來,與所在的系統網路環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機程式碼產生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和產地資訊,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程式設計師為了表現自己和證明自己的能力,出於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控制口令,為了軟體拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.
6特點編輯
計算機病毒具有以下幾個特點:
計算機網路
寄生性
計算機病毒寄生在其他程式之中,當執行這個程式時,病毒就起破壞作用,而在未啟動這個程式之前,它是不易被人發覺的。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的計算機程式程式碼,這段程式程式碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或儲存介質,確定目標後再將自身程式碼插入其中,達到自我繁殖的目的。只要一臺計算機染毒,如不及時處理,那麼病毒會在這臺電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如軟盤、計算機網路去傳染其他的計算機。當您在一臺機器上發現了病毒時,往往曾在這臺計算機上用過的軟盤已感染上了病毒,而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。
潛伏性
有些病毒像***一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶裡呆上幾天,甚至幾年,一旦時機成熟,得到執行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示資訊、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對資料檔案做加密、封鎖鍵盤以及使系統死鎖等。
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
破壞性
計算機中毒後,可能會導致正常的程式無法執行,把計算機內的檔案刪除或受到不同程度的損壞 。通常表現為:增、刪、改、移。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案型別或某些特定資料等。病毒執行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
7分類編輯
前言
根據多年對計算機病毒的研究,按照科學的、系統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
存在的媒體
根據病毒存在的媒體,病毒可以劃分為網路病毒,檔案病毒,引導型病毒。網路病毒通過計算機網路傳播感染網路中的可執行檔案,檔案病毒感染計算機中的檔案***如:COM,EXE,DOC等***,引導型病毒感染啟動扇區***Boot***和硬碟的系統引導扇區***MBR***,還有這三種情況的混合型,例如:多型病毒***檔案和引導型***感染檔案和引導扇區兩種目標,這樣的病毒通常都具有複雜的演算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形演算法。
傳染的方法
根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的記憶體駐留部分放在記憶體***RAM***中,這一部分程式掛接系統呼叫併合併到作業系統中去,他處於啟用狀態,一直到關機或重新啟動.非駐留型病毒在得到機會啟用時並不感染計算機記憶體,一些病毒在記憶體中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
破壞的能力
無害型:除了傳染時減少磁碟的可用空間外,對系統沒有其它影響。
無危險型:這類病毒僅僅是減少記憶體、顯示影象、發出聲音及同類音響。
危險型:這類病毒在計算機系統操作中造成嚴重的錯誤。
非常危險型:這類病毒刪除程式、破壞資料、清除系統記憶體區和作業系統中重要的資訊。這些病毒對系統造成的危害,並不是本身的演算法中存在危險的呼叫,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程式產生的錯誤也會破壞檔案和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它作業系統造成破壞。例如:在早期的病毒中,有一個“Denzuk”病毒在360K磁碟上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的資料丟失。
病毒的演算法
伴隨型病毒,這一類病毒並不改變檔案本身,它們根據演算法產生EXE檔案的伴隨體,具有同樣的名字和不同的副檔名***COM***,例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM檔案並不改變EXE檔案,當DOS載入檔案時,伴隨體優先被執行到,再由伴隨體載入執行原來的EXE檔案。
“蠕蟲”型病毒,通過計算機網路傳播,不改變檔案和資料資訊,利用網路從一臺機器的記憶體傳播到其它機器的記憶體,計算網路地址,將自身的病毒通過網路傳送。有時它們在系統存在,一般除了記憶體不佔用其它資源。
寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或檔案中,通過系統的功能進行傳播,按其演算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在除錯階段。
詭祕型病毒它們一般不直接修改DOS中斷和扇區資料,而是通過裝置技術和檔案緩衝區等DOS內部修改,不易看到資源,使用比較高階的技術。利用DOS空閒的資料區進行工作。
變型病毒***又稱幽靈病毒***這一類病毒使用一個複雜的演算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。
8發展編輯
在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑制其流傳。作業系統升級後,病毒也會調整為新的方式,產生新的病毒技術。它可劃分為:
DOS引導階段
1987年,計算機病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。當時的計算機硬體較少,功能簡單,一般需要通過軟盤啟動後使用.引導型病毒利用軟盤的啟動原理工作,它們修改系統啟動扇區,在計算機啟動時首先取得控制權,減少系統記憶體,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播;
***,引導型病毒發展為可以感染硬碟,典型的代表有“石頭2”;
DOS可執行階段
***,可執行檔案型病毒出現,它們利用DOS系統載入執行檔案的機制工作,代表為“耶路撒冷”,“星期天”病毒,病毒程式碼在系統執行檔案時取得控制權,修改DOS中斷,在系統呼叫時進行傳染,並將自己附加在可執行檔案中,使檔案長度增加。
1990年,發展為複合型病毒,可感染COM和EXE檔案。
批次型階段
1992年,伴隨型病毒出現,它們利用DOS載入檔案的優先順序進行工作,具有代表性的是“金蟬”病毒,它感染EXE檔案時生成一個和EXE同名但副檔名為COM的伴隨體;它感染檔案時,改原來的COM檔案為同名的EXE檔案,再產生一個原名的伴隨體,副檔名為COM,這樣,在DOS載入檔案時,病毒就取得控制權.這類病毒的特點是不改變原來的檔案內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可。在非DOS作業系統中,一些伴隨型病毒利用作業系統的描述語言進行工作,具有典型代表的是“海盜旗”病毒,它在得到執行時,詢問使用者名稱稱和口令,然後返回一個出錯資訊,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。
多形階段
1994年,隨著組合語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的程式碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的程式碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程式,病毒體被隱藏在解碼前的資料中,查解這類病毒就必須能對這段資料進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程式區,多數具有解碼演算法,一種病毒往往要兩段以上的子程式方能解除。
變體機階段
1995年,在組合語言中,一些資料的運算放在不同的通用暫存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼演算法就可以由生成器生成,當生成器的生成結果為病毒時,就產生了這種複雜的“病毒生成器” ,而變體機就是增加解碼複雜程度的指令生成機制。這一階段的典型代表是“病毒製造機” VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在巨集觀上分析指令,解碼後查解病毒。
網路蠕蟲階段
1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是以上幾代病毒的改進.在非DOS作業系統中,“蠕蟲”是典型的代表,它不佔用除記憶體以外的任何資源,不修改磁碟檔案,利用網路功能搜尋網路地址,將自身向下一地址進行傳播,有時也在網路伺服器和啟動檔案中存在。
視窗階段
1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改***NE,PE***檔案,典型的代表是DS.3873,這類病毒的機制更為複雜,它們利用保護模式和API呼叫介面工作,解除方法也比較複雜。
巨集病毒階段
1996年,隨著Windows Word功能的增強,使用Word巨集語言也可以編制病毒,這種病毒使用類Basic語言、編寫容易、感染Word文件等檔案,在Excel和AmiPro出現的相同工作機制的病毒也歸為此類,由於Word文件格式沒有公開,這類病毒查解比較困難。
網際網路階段
1997年,隨著因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的資料包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒;
郵件***階段
1997年,隨著全球資訊網***Wold Wide Web***上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒,還有一些利用郵件伺服器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴重影響因特網的效率。
9行為編輯
計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷髮展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下: 攻擊系統資料區,攻擊部位包括:硬碟主引尋扇區、Boot扇區、FAT表、檔案目錄等。迫使計算機空轉,計算機速度明顯下降。攻擊磁碟,攻擊磁碟資料、不寫盤、寫操作變讀操作、寫盤時丟位元組等。 擾亂螢幕顯示,病毒擾亂螢幕顯示的方式很多,可列舉如下:字元跌落、環繞、倒置、顯示前一屏、游標下跌、滾屏、抖動、亂寫、吃字元等。
鍵盤病毒,干擾鍵盤操作,已發現有下述方式:響鈴、封鎖鍵盤、換字、抹掉快取區字元、重複、輸入紊亂等。 喇叭病毒,許多病毒執行時,會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音,有的病毒作者讓病毒演奏旋律優美的世界名曲,在高雅的曲調中去殺戮人們的資訊財富,已發現的喇叭發聲有以下方式:演奏曲子、警笛聲、***噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS , 在機器的CMOS區中,儲存著系統的重要資料,例如系統時鐘、磁碟型別、記憶體容量等,並具有校驗和。有的病毒啟用時,能夠對CMOS區進行寫入動作,破壞系統CMOS中的資料。 干擾印表機,典型現象為:假報警、間斷性列印、更換字元等。
10危害編輯
計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨著資訊化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱鉅了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯***Morris***將其編寫的蠕蟲程式輸入計算機網路,致使這個擁有數萬臺計算機的網路被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年,我國在統計局系統首次發現了“小球”病毒,它對統計系統影響極大,此後由計算機病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。
11症狀編輯
1.計算機系統執行速度減慢。
2.計算機系統經常無故發生宕機。
3.計算機系統中的檔案長度發生變化。
4.計算機儲存的容量異常減少。
5.系統引導速度減慢。
6.丟失檔案或檔案損壞。
7.計算機螢幕上出現異常顯示。
8.計算機系統的蜂鳴器出現異常聲響。
9.磁碟卷標發生變化。
10.系統不識別硬碟。
11.對儲存系統異常訪問。
12.鍵盤輸入異常。
13.檔案的日期、時間、屬性等發生變化。
14.檔案無法正確讀取、複製或開啟。
15.命令執行出現錯誤。
16.虛假報警。
17.換當前盤。有些病毒會將當前盤切換到C盤。
18.時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。
19.WINDOWS作業系統無故頻繁出現錯誤。
20.系統異常重新啟動。
21.一些外部裝置工作異常。
22.異常要求使用者輸入密碼。
23.WORD或EXCEL提示執行“巨集”。
24.使不應駐留記憶體的程式駐留記憶體。
12出現編輯
計算機病毒的產生是計算機技術和以計算機為核心的社會資訊化程序發展到一定階段的必然產物。它產生的背景是:
***1***計算機病毒是計算機犯罪的一種新的衍化形式
計算機病毒是高技術犯罪, 具有瞬時性、動態性和隨機性。不易取證, 風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機應用領域的表現;
***2***計算機軟硬體產品的脆弱性是根本的技術原因
計算機是電子產品。資料從輸入、儲存、處理、輸出等環節, 易誤入、篡改、丟失、作假和破壞;程式易被刪除、改寫;計算機軟體設計的手工方式, 效率低下且生產週期長;人們至今沒有辦法事先了解一個程式有沒有錯誤, 只能在執行中發現、修改錯誤, 並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。
13檢查編輯
如何檢查筆記本是否中了病毒?以下就是?檢查步驟:
一、程序
首先排查的就是程序了,方法簡單,開機後,什麼都不要啟動!
第一步:直接開啟工作管理員,檢視有沒有可疑的程序,不認識的程序可以Google或者百度一下。
卡通版中毒的電腦 第二步:開啟冰刃等軟體,先檢視有沒有隱藏程序***冰刃中以紅色標出***,然後檢視系統程序的路徑是否正確。
第三步:如果程序全部正常,則利用Wsyscheck等工具,檢視是否有可疑的執行緒注入到正常程序中。
二、自啟動專案
程序排查完畢,如果沒有發現異常,則開始排查啟動項。
第一步:用msconfig察看是否有可疑的服務,開始,執行,輸入“msconfig”,確定,切換到服務選項卡,勾選“隱藏所有Microsoft服務”複選框,然後逐一確認剩下的服務是否正常***可以憑經驗識別,也可以利用搜索引擎***。
第二步:用msconfig察看是否有可疑的自啟動項,切換到“啟動”選項卡,逐一排查就可以了。
第三步,用Autoruns等,檢視更詳細的啟動項資訊***包括服務、驅動和自啟動項、IEBHO等資訊***。
三、網路連線
ADSL使用者,在這個時候可以進行虛擬撥號,連線到Internet了。
然後直接用冰刃的網路連線檢視,是否有可疑的連線,對於IP地址
如果發現異常,不要著急,關掉系統中可能使用網路的程式***如迅雷等下載軟體、防毒軟體的自動更新程式、IE瀏覽器等***,再次檢視網路連線資訊。
四、安全模式
重啟,直接進入安全模式,如果無法進入,並且出現藍屏等現象,則應該引起警惕,可能是病毒入侵的後遺症,也可能病毒還沒有清除!
五、映像劫持
開啟登錄檔編輯器,定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti,檢視有沒有可疑的映像劫持專案,如果發現可疑項,很可能已經中毒。
六、CPU時間
如果開機以後,系統執行緩慢,還可以用CPU時間做參考,找到可疑程序,方法如下:
開啟工作管理員,切換到程序選項卡,在選單中點“檢視”,“選擇列”,勾選“CPU時間”,然後確定,單擊CPU時間的標題,進行排序,尋找除了SystemIdleProcess和SYSTEM以外,CPU時間較大的程序,這個程序需要引起一定的警惕。
14方式編輯
命名
很多時候大家已經用防毒軟體查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數字的病毒名,這時有些人就蒙了,那麼長一串的名字,我怎麼知道是什麼病毒啊?
其實只要我們掌握一些病毒的命名規則,我們就能通過防毒軟體的報告中出現的病毒名來判斷該病毒的一些共有的特性了:一般格式為:<病毒字首>.<病毒名>.<病毒字尾>
病毒字首是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其字首也是不同的。比如我們常見的木馬病毒的字首 Trojan ,蠕蟲病毒的字首是 Worm 等等還有其他的。
病毒名是指一個病毒的家族特徵,是用來區別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統一的“ CIH ”,振盪波蠕蟲病毒的家族名是“ Sasser ”。
病毒字尾是指一個病毒的變種特徵,是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示,如 Worm.Sasser.b 就是指 振盪波蠕蟲病毒的變種B,因此一般稱為 “振
蕩波B變種”或者“振盪波變種B”。如果該病毒變種非常多,可以採用數字與字母混合表示變種標識。
主名稱
病毒的主名稱是由分析員根據病毒體的特徵字串、特定行為或者所使用的編譯平臺來定的,如果無法確定則可以用字串”Agent”來代替主名稱,小於10k大小的檔案可以命名為“Samll”。
版本資訊
版本資訊只允許為數字,對於版本資訊不明確的不加版本資訊。
主名稱變種號
如果病毒的主行為型別、行為型別、宿主檔案型別、主名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴充套件3位,並且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。
附屬名稱
病毒所使用的有輔助功能的可執行的檔案,通常也作為病毒新增到病毒庫中,這種型別的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種:
Client 說明:後門程式的控制端
KEY_HOOK 說明:用於掛接鍵盤的模組
API_HOOK 說明:用於掛接API的模組
Install 說明:用於安裝病毒的模組
Dll 說明:檔案為動態庫,並且包含多種功能
***空*** 說明:沒有附屬名稱,這條記錄是病毒主體記錄
附屬名稱變種號
如果病毒的主行為型別、行為型別、宿主檔案型別、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴充套件3位,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。
病毒長度
病毒長度欄位只用於主行為型別為感染型***Virus***的病毒,欄位的值為數字。欄位值為0,表示病毒長度可變。
途徑
計算機病毒之所以稱之為病毒是因為其具有傳染性的本質。傳統渠道通常有以下幾種:
***1***通過軟盤
通過使用外界被感染的軟盤, 例如, 不同渠道來的系統盤、來歷不明的軟體、遊戲盤等是
機械式串列埠硬碟最普遍的傳染途徑。由於使用帶有病毒的軟盤, 使機器感染病毒發病, 並傳染給未被感染的“乾淨”的軟盤。大量的軟盤交換, 合法或非法的程式拷貝, 不加控制地隨便在機器上使用各種軟體造成了病毒感染、氾濫蔓延的溫床。
***2***通過硬碟
通過硬碟傳染也是重要的渠道, 由於帶有病毒機器移到其它地方使用、維修等, 將乾淨的軟盤傳染並再擴散。
***3***通過光碟
因為光碟容量大,儲存了海量的可執行檔案,大量的病毒就有可能藏身於光碟,對只讀式光碟,不能進行寫操作,因此光碟上的病毒不能清除。以謀利為目的非法盜版軟體的製作過程中,不可能為病毒防護擔負專門責任,也決不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前,盜版光碟的泛濫給病毒的傳播帶來了很大的便利。
***4***通過網路
這種傳染擴散極快, 能在很短時間內傳遍網路上的機器。
隨著Internet的風靡,給病毒的傳播又增加了新的途徑,它的發展使病毒可能成為災難,病毒的傳播更迅速,反病毒的任務更加艱鉅。Internet帶來兩種不同的安全威脅,一種威脅來自檔案下載,這些被瀏覽的或是被下載的檔案可能存在病毒。另一種威脅來自***。大多數Internet郵件系統提供了在網路間傳送附帶格式化文件郵件的功能,因此,遭受病毒的文件或檔案就可能通過閘道器和郵件伺服器湧入企業網路。網路使用的簡易性和開放性使得這種威脅越來越嚴重。
傳染
計算機病毒的傳染分兩種。一種是在一定條件下方可進行傳染, 即條件傳染。另一種是對一種傳染物件的反覆傳染即無條件傳染。
從目前蔓延傳播病毒來看所謂條件傳染, 是指一些病毒在傳染過程中, 在被傳染的系統中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統時, 發現有自己的標誌則不再進行傳染, 如果是一個新的系統或軟體, 首先讀特定位置的值, 並進行判斷, 如果發現讀出的值與自己標識不一致, 則對這一系統或應用程式, 或資料盤進行傳染, 這是一種情況;另一種情況, 有的病毒通過對檔案的型別來判斷是否進行傳染, 如黑色星期五病毒只感染.COM或.EXE檔案等等;還有一種情況有的病毒是以計算機系統的某些裝置為判斷條件來決定是否感染。例如***病毒可以感染硬碟, 又可以感染軟盤, 但對B驅動器的軟盤進行讀寫操作時不傳染。但我們也發現有的病毒對傳染物件反覆傳染。例如黑色星期五病毒只要發現.EXE檔案就進行一次傳染, 再執行再進行傳染反覆進行下去。
可見有條件時病毒能傳染, 無條件時病毒也可以進行傳染。
過程
在系統執行時, 病毒通過病毒載體即系統的外儲存器進入系統的記憶體儲器, 常駐記憶體。該病毒在系統記憶體中監視系統的執行, 當它發現有攻擊的目標存在並滿足條件時, 便從記憶體中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用系統INT 13H讀寫磁碟的中斷又將其寫入系統的外儲存器軟盤或硬碟中, 再感染其他系統。
可執行檔案感染病毒後又怎樣感染新的可執行檔案?
可執行檔案.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入記憶體的條件是在執行被傳染的檔案時進入記憶體的。一旦進入記憶體, 便開始監視系統的執行。當它發現被傳染的目標時, 進行如下操作:
***1***首先對執行的可執行檔案特定地址的標識位資訊進行判斷是否已感染了病毒;
***2***當條件滿足, 利用INT 13H將病毒連結到可執行檔案的首部或尾部或中間, 並存大磁碟中;
***3***完成傳染後, 繼續監視系統的執行, 試圖尋找新的攻擊目標。
作業系統型病毒是怎樣進行傳染的?
正常的PC DOS啟動過程是:
***1***加電開機後進入系統的檢測程式並執行該程式對系統的基本裝置進行檢測;
***2***檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot載入程式到記憶體的0000: 7C00處;
***3***轉入Boot執行;
***4***Boot判斷是否為系統盤, 如果不是系統盤則提示;
non-system disk or disk error
Replace and strike any key when ready
否則, 讀入IBM BIO-COM和IBM DOS-COM兩個隱含檔案;
***5***執行IBM BIOCOM和IBM DOS-COM兩個隱含檔案, 將COMMAND-COM裝入記憶體;
***6***系統正常執行, DOS啟動成功。
如果系統盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為:
***1***將Boot區中病毒程式碼首先讀入記憶體的0000: 7C00處;
***2***病毒將自身全部程式碼讀入記憶體的某一安全地區、常駐記憶體, 監視系統的執行;
***3***修改INT 13H中斷服務處理程式的***地址, 使之指向病毒控制模組並執行之。因為任何一種病毒要感染軟盤或者硬碟, 都離不開對磁碟的讀寫操作, 修改INT 13H中斷服務程式的***地址是一項少不了的操作;
***4***病毒程式全部被讀入記憶體後才讀入正常的Boot內容到記憶體的0000: 7C00處, 進行正常的啟動過程;
***5***病毒程式伺機等待隨時準備感染新的系統盤或非系統盤。
如果發現有可攻擊的物件, 病毒要進行下列的工作:
***1***將目標盤的引導扇區讀入記憶體, 對該盤進行判別是否傳染了病毒;
***2***當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁碟的引導區程式寫入磁碟特寫位置;
***3***返回正常的INT 13H中斷服務處理程式, 完成了對目標盤的傳染。
作業系統型病毒對非系統盤感染病毒後最簡單的處理方法是什麼?
因為作業系統型病毒只有在系統引導時才進入記憶體, 開始活動, 對非系統盤感染病毒後, 不從它上面引導系統, 則病毒不會進入記憶體。這時對已感染的非系統盤消毒最簡單的方法是將盤上有用的檔案拷貝出來, 然後將帶毒盤重新格式化即可。
電腦中出現病毒查殺的方法