《第2章计算机病毒.docVIP

第二章 计算机病毒 学习目标： 了解计算机病毒的发展过程 理解计算机病毒的原理与分类 掌握不同种类计算机病毒的感染机制 了解计算机病毒的结构 分析计算机病毒程序和一般程序的联系和区别 能够判断计算机是否感染了病毒，并采取相应策略解决问题 2.1 引言 计算机病毒对计算机系统及网络产生的破坏效应，使人们清醒地认识到它所带来的危害。目前，每年的新病毒数量都是呈指数级增长，而且由于近年来传输媒介的改变和因特网的大面积普及，导致计算机病毒感染的对象也开始由工作站向网络设备（代理、防护和服务器设置等）转变，病毒的类型也由文件型向网络蠕虫型转变。如今，世界上很多国家的科研机构都在对病毒的现状和防护进行深入研究。 计算机病毒是指编制或者在计算机程序中插入的“破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。计算机病毒是类似于生物病毒所具有的一些特征，它会复制自己并传播到其他宿主，并对宿主造成损害。计算机病毒中的宿主也是计算机程序。计算机病毒在传播期间一般会隐蔽自己，经过特定的条件能够触发并产生破坏。 2.2计算机病毒的起源及发展 2.2.1计算机病毒的起源 关于计算机病毒的起源现在有几种说法，但还没有一个破人们所确认，也没有实质性的论述予以证明。下面将几种起源说简单介绍一下： 科学幻想起源说 1977年，美国科普作家托马斯·丁·雷恩推出轰动一时的《Adolescence of p-1》一书。书中构想了一种能够自我复制，利用信息通道传播的计算机程序，并称之为计算机病毒。这是世界上第一个幻想出来的计算机病毒。人类社会有许多现行的科学技术，都在先有幻想之后才成为现实。因此，不能否认这本书的问世对计算机病毒的产生所起的作用。 游戏程序起源说 在20世纪70年代，计算机在人们的生活中还没有得到普及，美国贝尔实验室的计算机程序员为了娱乐，在自己实验室的计算机上编制吃掉对方程序的程序，看谁先把对方的程序吃光，有人认为这是世界上第一个计算机病毒，但这也只是一个猜测。 软件商保护软件起源说 计算机软件是一种知识密集型的高科技产品，由于人们对于软件资源的保护不尽合理，这就使得许多合法的软件被非法复制的现象极为平常，从而使得软件制造商的利益受到了严重的侵害。因此，软件制造商为了处罚那些非法复制者，而在软件产品中加入了病毒程序并由一定条件触发感染。例如，Pakistani Brain病毒在一定程度上就证实了这种说法。该病毒是巴基斯坦的两兄弟为了追踪非法复制其软件的用户而编制的，它只是修改磁盘卷标，把卷标改为Brain以便识别。也正是因为如此，当计算机病毒出现之后，有人认为这是软件制造商为了保护自己的软件不被非法复制而导致的结果。 2.2.2计算机病毒的发展 在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。 DOS引导阶段 　　1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少，功能简单，一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播；1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”。 DOS可执行阶段 　　1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为“耶路撒冷”，“星期天”病毒，病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。 伴随、批次型阶段 1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒，它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文件时，改原来的COM文件为同名的EXE文件，再产生一个原名的伴随体，文件扩展名为COM，这样，在DOS加载文件时，病毒就取得控制权.这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非DOS操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。 多形阶段 1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点，每