計算機病毒的原理

  計算機病毒與醫學上的“病毒”不同,計算機病毒不是天然存在的,是人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式程式碼。下面是小編收集整理的,希望對大家有幫助~~

  

  病毒依附儲存介質軟盤、 硬碟等構成傳染源。病毒傳染的媒介由工作的環境來定。病毒啟用是將病毒放在記憶體, 並設定觸發條件,觸發的條件是多樣化的, 可以是時鐘,系統的日期,使用者識別符號,也可以是系統一次通訊等。條件成熟病毒就開始自我複製到傳染物件中,進行各種破壞活動等。病毒的傳染是病毒效能的一個重要標誌。在傳染環節中,病毒複製一個自身副本到傳染物件中去。

  感染策略為了能夠複製其自身,病毒必須能夠執行程式碼並能夠對記憶體執行寫操作。基於這個原因計算機病毒工作原理,許多病毒都是將自己附著在合法的可執行檔案上。如果使用者企圖執行該可執行檔案,那麼病毒就有機會執行。病毒可以根據執行時所表現出來的行為分成兩類。非常駐型病毒會立即查詢其它宿主並伺機加以感染,之後再將控制權交給被感染的應用程式。常駐型病毒被執行時並不會查詢其它宿主。相反的,一個常駐型病毒會將自己載入記憶體並將控制權交給宿主。該病毒於背景中執行並伺機感染其它目標。  非常駐型病毒非常駐型病毒可以被想成具有搜尋模組和複製模組的程式。搜尋模組負責查詢可被感染的檔案,一旦搜尋到該檔案,搜尋模組就會啟動複製模組進行感染。

  常駐型病毒常駐型病毒包含複製模組,其角色類似於非常駐型病毒中的複製模組。複製模組在常駐型病毒中不會被搜尋模組呼叫。病毒在被執行時會將複製模組載入記憶體,並確保當作業系統執行特定動作時,該複製模組會被呼叫。例如,複製模組會在作業系統執行其它檔案時被呼叫。在這個例子中,所有可以被執行的檔案均會被感染。常駐型病毒有時會被區分成快速感染者和慢速感染者。快速感染者會試圖感染儘可能多的檔案。例如,一個計算機病毒工作原理快速感染者可以感染所有被訪問到的檔案。這會對防毒軟體造成特別的問題。當執行全系統防護時,防毒軟體需要掃描所有可能會被感染的檔案。如果防毒軟體沒有察覺到記憶體中有快速感染者,快速感染者可以藉此搭便車,利用防毒軟體掃描檔案的同時進行感染。快速感染者依賴其快速感染的能力。但這同時會使得快速感染者容易被偵測到,這是因為其行為會使得系統性能降低,進而增加被防毒軟體偵測到的風險。相反的,慢速感染者被設計成偶而才對目標進行感染,如此一來就可避免被偵測到的機會。例如,有些慢速感染者只有在其它檔案被拷貝時才會進行感染。但是慢速感染者此種試圖避免被偵測到的作法似乎並不成功。

  免殺技術以及新特徵免殺是指:對病毒的處理,使之躲過防毒軟體查殺的一種技術。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說“病毒比防毒軟體還新,所以防毒軟體根本無法識別它是病毒”,但由於傳播後部分使用者中毒向防毒軟體公司舉報的原因,就會引起安全公司的注意並將之特徵碼收錄到自己的病毒庫當中,病毒就會被防毒軟體所識別。

  病毒作者可以通過對病毒進行再次保護如使用匯編加花指令或者給文件加殼就可以輕易躲過防毒軟體的病毒特徵碼庫而免於被防毒軟體查殺。

  美國的Norton Antivirus、McAfee、PC-cillin,俄羅斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等產品在國際上口碑較好,但防毒、查殼能力都有限,目前病毒庫總數量也都僅在數十萬個左右。

  自我更新性是近年來病毒的又一新特徵。病毒可以藉助於網路進行變種更新,得到最新的免殺版本的病毒並繼續在使用者感染的計算機上執行,比如熊貓燒香病毒的作者就建立了“病毒升級伺服器”,在最勤時一天要對病毒升級8次,比有些防毒軟體病毒庫的更新速度還快,所以就造成了防毒軟體無法識別病毒。

  除了自身免殺自我更新之外,很多病毒還具有了對抗它的“天敵”防毒軟體和防火牆產品反病毒軟體的全新特徵,只要病毒執行後,病毒會自動破壞中毒者計算機上安裝的防毒軟體和防火牆產品,如病毒自身驅動級Rootkit保護強制檢測並退出防毒軟體程序,可以過主流防毒軟體“主動防禦”和穿透軟、硬體還原的機器狗,自動修改系統時間導致一些防毒軟體廠商的正版認證作廢以致防毒軟體作廢,從而病毒生存能力更加強大。

  免殺技術的泛濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種,給依賴於特徵碼技術檢測的防毒軟體帶來很大困擾。近年來,國際反病毒行業普遍開展了各種前瞻性技術研究,試圖扭轉過分依賴特徵碼所產生的不利局面。目前比較有代表性產品的是基於虛擬機器技術的啟發式掃描軟體,代表廠商NOD32,Dr.Web,和基於行為分析技術的主動防禦軟體,代表廠商中國的微點主動防禦軟體等。