前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >计算机病毒原理与防治技术-计算机病毒及防治

计算机病毒原理与防治技术-计算机病毒及防治

作者头像
囍楽云
发布2022-12-29 10:08:25
6690
发布2022-12-29 10:08:25
举报
文章被收录于专栏:囍楽云博客

  10.3 计算机病毒及防治

  在目前网络十分普及的情况下,几乎所有的计算机用户都遇到过病毒的侵袭,以致影响学习、生活和工作。所以,即使是一个普通的用户,学会病毒的防治,也具有很重要的价值。

  10.3.1什么是计算机病毒

  “计算机病毒”为什么叫做病毒?首先,与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。其次,由于它与生物医学上的“病毒”同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。

  在国内,专家和研究者对计算机病毒也做过许多不尽相同的定义。1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。

  自从盛行以来,含有Java和技术的网页逐渐被广泛使用,一些别有用心的人于是利用Java和的特性来撰写病毒。以Java病毒为例,Java病毒并不能破坏储存媒介上的资料,但若你使用浏览器来浏览含有Java病毒的网页,Java病毒就可以强迫你的不断的开启新窗口,直到系统资源被耗尽,而你也只有重新启动。所以在出现后,计算机病毒就应加入只要是对使用者造成不便的程序代码,就可以被归类为计算机病毒。

  10.3.2计算机病毒分类

  计算机病毒有许多不同的种类,可以根据不同的准则来对病毒进行分类:

  (1)根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。

  (2)根据病毒传染的方法可分为驻留型病毒和非驻留型病毒。

  (3)根据病毒破坏的能力可划分为无害型,无危险型,危险型,非常危险型。

  (4)根据病毒特有的算法,病毒可以划分为伴随型病毒,“蠕虫”型病毒,寄生型病毒,练习型病毒,诡秘型病毒,变型病毒(又称幽灵病毒)。

  下面介绍两个比较常见的名词:特洛伊木马和蠕虫

  (1)特洛伊木马程序

  正如其名称所暗示,一个特洛伊木马程序隐藏着编写者的某种企图而丝毫不为用户所知。特洛伊木马程序通常被用于进行破坏或者对某个系统进行恶意操作,但是表面上伪装成良性的程序,它们同样能对计算机造成严重损害。与一般病毒不同的是,特洛伊木马不对自身进行复制。

  (2)蠕虫程序

  蠕虫程序和病毒一样复制自身。但是,与病毒在文件之间进行传播不同,它们是从一台计算机传播到另一台计算机,从而感染整个系统。蠕虫程序比计算机病毒更加阴险,因为它们在计算机之间进行传播时很少依赖(或者完全不依赖)人的行为。计算机蠕虫程序是一种通过某种网络媒介——电子邮件,TCP/IP协议等——自身从一台计算机复制到其他计算机的程序。蠕虫程序倾向于在网络上感染尽可能多的计算机,而不是在一台计算上尽可能多地复制自身(像计算机病毒那样)。典型的蠕虫病毒只需感染目标系统(或运行其代码)一次;在最初的感染之后,蠕虫程序就会通过网络自动向其他计算机传播。

  10.3.3 计算机病毒的发展过程

  在计算机病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。具体来说,计算机病毒的发展可分成以下几个阶段,这几个阶段并不是按严格的时间顺序的。

  1. DOS引导阶段

  1980年代中后期,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。

  当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。

  1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”病毒。

  2. DOS可执行阶段

  1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表性的病毒有“耶路撒冷”,“星期天”等。病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。

  后来,可执行文件型病毒发展为复合型病毒,可感染COM和EXE文件。

  3. 伴随、批次型阶段

  伴随型病毒是利用DOS加载文件的优先顺序进行工作的。具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,较典型的是“海盗旗”病毒,它在得到机会执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的,和“海盗旗”病毒类似的一类病毒。

  4. 幽灵、多形阶段

  随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如,“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。

  5. 生成器、变体机阶段

  在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果计算机病毒原理与防治技术,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。

  6. 网络、蠕虫阶段

  随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。

  7. 阶段

  随着操作系统的日益普及,利用进行工作的病毒开始发展,它们修改系统文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。

  8. 宏病毒阶段

  随着 Word功能的增强,使用Word宏语言也可以编制病毒。这种病毒使用类Basic语言,编写容易计算机病毒原理与防治技术,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。

  9. 互联网阶段

  随着因特网的发展,各种病毒也开始利用因特网进行传播,携带病毒的邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。随着因特网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是病毒。还有利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。

  10.3.4 几种计算机流行病毒介绍

  在现今的网络时代,计算机病毒具有快速产生和流行的特点,每隔一段时间,都会有一些新的、危害能力更强的病毒出现。下面介绍的几种病毒是最近两、三年比较著名的病毒。

  1. 红色代码病毒

  “红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络技术与病毒的巧妙结合,开创了网络病毒传播的新路,可称之为划时代的病毒。稍加改造,就是非常致命的病毒,可以完全取得所攻破计算机的所有权限。可以为所欲为,盗走机密数据,严重威胁网络安全。

  该病毒采用了一种叫做“缓存区溢出”的黑客技术,通过微软公司IIS系统漏洞进行感染,它使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行,病毒驻留后再次通过此漏洞感染其它服务器。这个蠕虫病毒使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。

  与其它病毒不同的是,“红色代码”病毒并不将病毒信息写入被攻击服务器的硬盘。它只存在于内存,传染时不通过文件这一常规载体,而是借助这个服务器的网络连接攻击其它的服务器,直接从一台计算机内存传到另一台计算机内存。当本地IIS服务程序收到某个来自“红色代码”发送的请求数据包时,由于存在漏洞,导致处理函数的堆栈溢出。当函数返回时,原返回地址已被病毒数据包覆盖,程序运行线程跑到病毒数据包中,此时病毒被激活,并运行在IIS服务程序的堆栈中。

  而“红色代码II”是“红色代码”的变种病毒,该病毒代码首先会判断内存中是否已注册了一个名为的Atom(系统用于对象识别),如果已存在此对象,表示此机器已被感染,病毒进入无限休眠状态;未感染则%

本文共 3127 个字数,平均阅读时长 ≈ 8分钟

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档