更新时间:2024-09-19 17:54
计算机病毒(Computer Virus)是一种由恶意编写者在计算机程序中插入的代码。它能够寻找并依附于宿主程序,通过修改其他程序并将自身代码插入其中来实现自我复制。这种恶意代码通常具有传染性、隐蔽性和破坏性,能够影响计算机系统的正常运行。计算机病毒的名称来源于生物病毒,因其类似于生物病毒的感染和传播机制。
病毒的学术基础
1984年,Fred Cohen发表论文“Computer Viruses – Theory and Experiments”,这是第一篇明确将可自我复制的程序成为病毒的论文。
1987年,Fred Cohen发表了证明:没有一种算法可以完美地检测所有可能的病毒。科幻小说中的病毒
1970年代中期,大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序
17975年,约翰·布鲁勒尔(John Brunner)的小说《震荡波骑士(ShakewaveRider)》,描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。病毒程序的雏形
1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业余时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序。这也可能就是计算机病毒的雏形。
破坏性
计算机病毒对系统具有破坏性,这也是其与普通程序最大的区别。它能够破坏计算机数据,甚至造成大范围的计算机瘫痪,对计算机用户造成较大的安全损失。
潜伏性
计算机病毒在侵入计算机时可能并未引起用户注意,在攻击条件具备时再实施破坏,而在这一阶段计算机病毒可能已经进行大量的 传染并做了实施攻击的准备,比如如1999年破坏№BIOS的CIH病毒就在每年的4月26日爆发。与生物病毒类似,在计算机病毒爆发前,就以最大幅度传播。
传染性
计算机病毒在执行中或在传播中借助一些机制复制自身到其他 系统或载体中,比如感染中毒用户计算机上的可执行文件,如exe、bat、scr、com格式,通过这种方法达到自我复制,对自己生存保护的目的。依附性
计算机病毒往往依附于系统中的某个程序、数据文件或磁盘扇区,在它们被应用时才会被执行。
计算机病毒的生命周期主要包括编制代码、传播、感染、触发、运行等环节[9]
计算机病毒的基本原理主要是指计算机病毒传播、感染和触发的机制。传播机制
传播机制是指计算机病毒散布和侵入受害系统的方法,它包括计算机病毒自我复制和传播的情况,也包括恶意代码被复制和被传播 的情况等。文件流动
文件流动的主要途径是移动介质和网络下载,病毒可能在文件流动中得到传播。网页脚本和插件
动态网页技术支持在网页中运行脚本和插件,它们需要在客户端运行,如Windows平台下支持VBScript、JavaScript脚本以及 AxtiveX控件等。一方面,在浏览器访问需要运行脚本的网页时,网页脚本立即被执行,这可能使系统直接感染恶意代码。另一方面,客户端浏览网页过程中,如果被网页内容欺骗并信任网页插件来源时,可能会选择主动安装相应插件,在这一过程中,可能会使得系统遭受感染。 电子邮件
电子邮件支持附件传输功能,它经常被利用于传播计算机病毒,当用户误认为邮件来源可靠时,通常会执行或保存这些附件,使系统受到感染。数字内容播放
一些视频和音频播放器支持显示网页或弹出窗口显示它们,播放器缺乏浏览器那样的安全检查,更容易遭受通过网页实施的计算机病毒的攻击。感染机制
恶意代码依附于宿主或隐藏于系统中的方法,实施它的前提是计算机病毒已经进入受害系统。按照不同的感染对象,感染机制可以分为:感染引导系统、感染执行文件、感染结构化文档、感染网络服务和客户端等。
以感染结构化文档为例,Word、Excel、Access、Visio、PowerPoint、WordPro等结构化文 档以及相关的模版文件包含宏以实现一些自动的文档处理。制作病毒的人员利用WordBasic编程接口制作的具有病毒性质的宏集合。在打开一个带宏病毒的文档或模板时,激活了病毒宏,病毒宏还将自身复制到相关文档或模板中。由于WordBasic语言提供了许多系统底层调用,因此宏病毒可能对系统直接构成威胁。触发机制
对已经侵入或感染到受害系统中的计算机病毒,使它们得到执行的方法、条件或途径。一方面,计算机病毒的触发机制往往取决于感染机制:比如当程序、组件和宏命令等被执行时,其中感染的计算机病毒将获得执行权。另一方面,为了加强计算机病毒的隐蔽性,一些计算机病毒需要参照时钟、时间、计数次数等因素决定是否开始执行。
计算机病毒的清除
计算机病毒的清除尽量在保全被感染程序功能的情况下移除计算机病毒或使其失效。
手工清除:对引导型计算机病毒,清除存在于主引导记录或分区引导记录中的计算机病毒,并根据原引导代码恢复引导程序,但为了抵御计算机病毒对原引导代码的覆盖,一般需要预先备份它们。常驻内存的一些计算机病毒可能受到操作系统的保护,一般要求用干净的启动盘启动后再实施检测和清除。
软件工具清除:早期较为著名的杀毒软件有江民杀毒、目前国内的计算机杀毒软件有电脑管家、360 等。国外杀毒软件比较著名的有卡巴斯基等。另外一方面,由于计算系统的不断完善,系统的稳定性和抗干扰性不断增强,一般的计算机病毒很难以穿过当前计算机系统所建立的防火墙。计算机病毒的预防
从开发者的角度出发: 对于计算机病毒要实现定时检测和在线检测,其中,在线检测指一旦有文件被打开就实施检测;在线监控程序行为;备份和恢复重要数据, 例如主引导代码和中断向量表等;保护重要文件;隔离可疑文件; 制定安全防范策略;在线更新恶意代码特征。
对于网络用户而言,培养良好的上网习惯,培养自觉的信息安全意识,例如:对不明邮件及附件慎重打开;尽可能使用较为复杂的密码;不要执行从网络下载后未经杀毒处理的软件等;不要随便浏览或登录陌生的网站,加强个人保护;