電腦病毒如何診斷和防護
計算機病毒ComputerVirus在《中華人民共和國計算機資訊系統安全保護條例》中被明確定義,病毒指“編制或者在計算機程式中插入的破壞計算機功能或者破壞資料,影響計算機使用並且能夠自熊貓燒香病毒。下面由小編給你做出詳細的診斷和防護電腦病毒介紹!希望對你有幫助!
診斷和防護電腦病毒介紹:
我複製的一組計算機指令或者程式程式碼”。而在一般教科書及通用資料中被定義為:利用計算機軟體與硬體的缺陷,由被感染機內部發出的破壞計算機資料並影響計算機正常工作的一組指令集或程式程式碼。計算機病毒最早出現在70年代DavidGerrold科幻小說WhenH.A.R.L.I.E.wasOne.最早科學定義出現在1983:在FredCohen南加大的博士論文“計算機病毒實驗”“一種能把自己或經演變注入其它程式的計算機程式”啟動區病毒,巨集macro病毒,指令碼script病毒也是相同概念傳播機制同生物病毒類似.生物病毒是把自己注入細胞之中。
電腦病毒預防:
病毒往往會利用計算機作業系統的弱點進行傳播,提高系統的安全性是防病毒的一個重要方面,但完美的系統是不存在的,過於強調提高系統的安全性將使系統多數時間用於病毒檢查,系統失去了可用性、實用性和易用性,另一方面,資訊保密的要求讓人們在洩密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長期存在,兩種技術都將隨計算機技術的發展而得到長期的發展。
電腦病毒產生:
病毒不是來源於突發或偶然的原因。一次突發的停電和偶然的錯誤,會在計算機的磁碟和記憶體中產生一些亂碼和隨機指令,但這些程式碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的程式碼,按照嚴格的秩序組織起來,與所在的系統網路環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機程式碼產生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和產地資訊,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程式設計師為了表現自己和證明自己的能力,出於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控制口令,為了軟體拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.
電腦病毒診斷:
計算機病毒具有以下幾個特點:
寄生性
計算機病毒寄生在其他程式之中,當執行這個程式時,病毒就起破壞作用,而在未啟動這個程式之前,它是不易被人發覺的。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱計算機網路
瘓。與生物病毒不同的是,計算機病毒是一段人為編制的計算機程式程式碼,這段程式程式碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或儲存介質,確定目標後再將自身程式碼插入其中,達到自我繁殖的目的。只要一臺計算機染毒,如不及時處理,那麼病毒會在這臺機子上迅速擴散,其中的大量檔案一般是可執行檔案會被感染。而被感染的檔案又成了新的傳染源,再與其他機器進行資料交換或通過網路接觸,病毒會繼續進行傳染。正常的計算機程式一般是不會將自身的程式碼強行連線到其他程式之上的。而病毒卻能使自身的程式碼強行傳染到一切符合其傳染條件的未受到傳染的程式之上。計算機病毒可通過各種可能的渠道,如軟盤、計算機網路去傳染其他的計算機。當您在一臺機器上發現了病毒時,往往曾在這臺計算機上用過的軟盤已感染上了病毒,而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。病毒程式通過修改磁碟扇區資訊或檔案內容並把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程式叫做宿主程式;
潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,可以在幾周或者幾個月內甚至幾年內隱藏在合法檔案中,對其他系統進行傳染,而不被人發現,潛伏性愈好,其在系統中的存在時間就會愈長,病毒的傳染範圍就會愈大。潛伏性的第一種表現是指,病毒程式不用專用檢測程式是檢查不出來的,因此病毒可以靜靜地躲在磁碟或磁帶裡呆上幾天,甚至幾年,一旦時機成熟,得到執行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示資訊、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對資料檔案做加密、封鎖鍵盤以及使系統死鎖等;
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
破壞性
計算機中毒後,可能會導致正常的程式無法執行,把計算機內的檔案刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案型別或某些特定資料等。病毒執行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
電腦病毒分類:
根據多年對計算機病毒的研究,按照科學的、系統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
按病毒存在的媒體
根據病毒存在的媒體,病毒可以劃分為網路病毒,檔案病毒,引導型病毒。網路病毒通過計算機網路傳播感染網路中的可執行檔案,檔案病毒感染計算機中的檔案如:COM,EXE,DOC等,引導型病毒感染啟動扇區Boot和硬碟的系統引導扇區MBR,還有這三種情況的混合型,例如:多型病毒檔案和引導型感染檔案和引導扇區兩種目標,這樣的病毒通常都具有複雜的演算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形演算法。
按病毒傳染的方法
根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的記憶體駐留部分放在記憶體RAM中,這一部分程式掛接系統呼叫併合併到作業系統中去,他處於啟用狀態,一直到關機或重新啟動.非駐留型病毒在得到機會啟用時並不感染計算機記憶體,一些病毒在記憶體中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
按病毒破壞的能力
無害型:除了傳染時減少磁碟的可用空間外,對系統沒有其它影響。無危險型:這類病毒僅僅是減少記憶體、顯示影象、發出聲音及同類音響。危險型:這類病毒在計算機系統操作中造成嚴重的錯誤。非常危險型:這類病毒刪除程式、破壞資料、清除系統記憶體區和作業系統中重要的資訊。這些病毒對系統造成的危害,並不是本身的演算法中存在危險的呼叫,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程式產生的錯誤也會破壞檔案和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它作業系統造成破壞。例如:在早期的病毒中,有一個“Denzuk”病毒在360K磁碟上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的資料丟失。
按病毒的演算法
伴隨型病毒,這一類病毒並不改變檔案本身,它們根據演算法產生EXE檔案的伴隨體,具有同樣的名字和不同的副檔名COM,例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM檔案並不改變EXE檔案,當DOS載入檔案時,伴隨體優先被執行到,再由伴隨體載入執行原來的EXE檔案。“蠕蟲”型病毒,通過計算機網路傳播,不改變檔案和資料資訊,利用網路從一臺機器的記憶體傳播到其它機器的記憶體,計算網路地址,將自身的病毒通過網路傳送。有時它們在系統存在,一般除了記憶體不佔用其它資源。寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或檔案中,通過系統的功能進行傳播,按其演算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在除錯階段。詭祕型病毒它們一般不直接修改DOS中斷和扇區資料,而是通過裝置技術和檔案緩衝區等DOS內部修改,不易看到資源,使用比較高階的技術。利用DOS空閒的資料區進行工作。變型病毒又稱幽靈病毒這一類病毒使用一個複雜的演算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。
電腦病毒發展:
在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑制其流傳。作業系統升級後,病毒也會調整為新的方式,產生新的病毒技術。它可劃分為:
DOS引導階段
1987年,計算機病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。當時的計算機硬體較少,功能簡單,一般需要通過軟盤啟動後使用.引導型病毒利用軟盤的啟動原理工作,它們修改系統啟動扇區,在計算機啟動時首先取得控制權,減少系統記憶體,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播;,引導型病毒發展為可以感染硬碟,典型的代表有“石頭2”;
DOS可執行階段
,可執行檔案型病毒出現,它們利用DOS系統載入執行檔案的機制工作,代表為“耶路撒冷”,“星期天”病毒,病毒程式碼在系統執行檔案時取得控制權,修改DOS中斷,在系統呼叫時進行傳染,並將自己附加在可執行檔案中,使檔案長度增加。1990年,發展為複合型病毒,可感染COM和EXE檔案。
伴隨、批次型階段
1992年,伴隨型病毒出現,它們利用DOS載入檔案的優先順序進行工作,具有代表性的是“金蟬”病毒,它感染EXE檔案時生成一個和EXE同名但副檔名為COM的伴隨體;它感染檔案時,改原來的COM檔案為同名的EXE檔案,再產生一個原名的伴隨體,副檔名為COM,這樣,在DOS載入檔案時,病毒就取得控制權.這類病毒的特點是不改變原來的檔案內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可。在非DOS作業系統中,一些伴隨型病毒利用作業系統的描述語言進行工作,具有典型代表的是“海盜旗”病毒,它在得到執行時,詢問使用者名稱稱和口令,然後返回一個出錯資訊,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。
幽靈、多形階段
1994年,隨著組合語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的程式碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的程式碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程式,病毒體被隱藏在解碼前的資料中,查解這類病毒就必須能對這段資料進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程式區,多數具有解碼演算法,一種病毒往往要兩段以上的子程式方能解除。
生成器,變體機階段
1995年,在組合語言中,一些資料的運算放在不同的通用暫存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼演算法就可以由生成器生成,當生成器的生成結果為病毒時,就產生了這種複雜的“病毒生成器”,而變體機就是增加解碼複雜程度的指令生成機制。這一階段的典型代表是“病毒製造機”VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在巨集觀上分析指令,解碼後查解病毒。
網路,蠕蟲階段
1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是以上幾代病毒的改進.在非DOS作業系統中,“蠕蟲”是典型的代表,它不佔用除記憶體以外的任何資源,不修改磁碟檔案,利用網路功能搜尋網路地址,將自身向下一地址進行傳播,有時也在網路伺服器和啟動檔案中存在。
視窗階段
1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改NE,PE檔案,典型的代表是DS.3873,這類病毒的機制更為複雜,它們利用保護模式和API呼叫介面工作,解除方法也比較複雜。巨集病毒階段1996年,隨著WindowsWord功能的增強,使用Word巨集語言也可以編制病毒,這種病毒使用類Basic語言、編寫容易、感染Word文件等檔案,在Excel和AmiPro出現的相同工作機制的病毒也歸為此類,由於Word文件格式沒有公開,這類病毒查解比較困難。
互連網階段
1997年,隨著因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的資料包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒;
郵件炸彈階段
1997年,隨著全球資訊網WoldWideWeb上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒,還有一些利用郵件伺服器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴重影響因特網的效率。
編輯本段行為
計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷髮展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下:攻擊系統資料區,攻擊部位包括:硬碟主引尋扇區、Boot扇區、FAT表、檔案目錄等。一般來說,攻擊系統資料區的病毒是惡性病毒,受損的資料不易恢復。攻擊檔案,病毒對檔案的攻擊方式很多,可列舉如下:刪除、改名、替換內容、丟失部分程式程式碼、內容顛倒、寫入時間空白、變碎片、假冒檔案、丟失檔案簇、丟失資料檔案等。攻擊記憶體,記憶體是計算機的重要資源,也是病毒攻擊的主要目標之一,病毒額外地佔用和消耗系統的記憶體資源,可以導致一些較大的程式難以執行。病毒攻擊記憶體的方式如下:佔用大量記憶體、改變記憶體總量、禁止分配記憶體、蠶食記憶體等。干擾系統執行,此型別病毒會干擾系統的正常執行,以此作為自己的破壞行為,此類行為也是花樣繁多,可以列舉下述諸方式:不執行命令、干擾內部命令的執行、虛假報警、使檔案打不開、使內部棧溢位、佔用特殊資料區、時鐘倒轉、重啟動、宕機、強制遊戲、擾亂序列口、並行口等。速度下降,病毒啟用時,其內部的時間延遲程式啟動,在時鐘中納入了時間的迴圈計數,迫使計算機空轉,計算機速度明顯下降。攻擊磁碟,攻擊磁碟資料、不寫盤、寫操作變讀操作、寫盤時丟位元組等。擾亂螢幕顯示,病毒擾亂螢幕顯示的方式很多,可列舉如下:字元跌落、環繞、倒置、顯示前一屏、游標下跌、滾屏、抖動、亂寫、吃字元等。鍵盤病毒,干擾鍵盤操作,已發現有下述方式:響鈴、封鎖鍵盤、換字、抹掉快取區字元、重複、輸入紊亂等。喇叭病毒,許多病毒執行時,會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音,有的病毒作者讓病毒演奏旋律優美的世界名曲,在高雅的曲調中去殺戮人們的資訊財富,已發現的喇叭發聲有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。攻擊CMOS,在機器的CMOS區中,儲存著系統的重要資料,例如系統時鐘、磁碟型別、記憶體容量等,並具有校驗和。有的病毒啟用時,能夠對CMOS區進行寫入動作,破壞系統CMOS中的資料。干擾印表機,典型現象為:假報警、間斷性列印、更換字元等。
編輯本段危害
計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨著資訊化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱鉅了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯Morris將其編寫的蠕蟲程式輸入計算機網路,致使這個擁有數萬臺計算機的網路被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年,我國在統計局系統首次發現了“小球”病毒,它對統計系統影響極大,此後由計算機病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。
編輯本段症狀
1.計算機系統執行速度減慢。2.計算機系統經常無故發生宕機。3.計算機系統中的檔案長度發生變化。4.計算機儲存的容量異常減少。5.系統引導速度減慢。6.丟失檔案或檔案損壞。7.計算機螢幕上出現異常顯示。8.計算機系統的蜂鳴器出現異常聲響。9.磁碟卷標發生變化。10.系統不識別硬碟。11.對儲存系統異常訪問。12.鍵盤輸入異常。13.檔案的日期、時間、屬性等發生變化。14.檔案無法正確讀取、複製或開啟。15.命令執行出現錯誤。16.虛假報警。17.換當前盤。有些病毒會將當前盤切換到C盤。18.時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。19.WINDOWS作業系統無故頻繁出現錯誤。20.系統異常重新啟動。21.一些外部裝置工作異常。22.異常要求使用者輸入密碼。23.WORD或EXCEL提示執行“巨集”。24.是不應駐留記憶體的程式駐留記憶體。
電腦病毒出現:
計算機病毒的產生是計算機技術和以計算機為核心的社會資訊化程序發展到一定階段的必然產物。它產生的背景是:1計算機病毒是計算機犯罪的一種新的衍化形式計算機病毒是高技術犯罪,具有瞬時性、動態性和隨機性。不易取證,風險小破壞大,從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機應用領域的表現;2計算機軟硬體產品的脆弱性是根本的技術原因計算機是電子產品。資料從輸入、儲存、處理、輸出等環節,易誤入、篡改、丟失、作假和破壞;程式易被刪除、改寫;計算機軟體設計的手工方式,效率低下且生產週期長;人們至今沒有辦法事先了解一個程式有沒有錯誤,只能在執行中發現、修改錯誤,並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。
電腦病毒傳播方式:
命名
很多時候大家已經用防毒軟體查出了自己的機子中了例如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等等這些一串英文還帶數字的病毒名,這時有些人就蒙了,那麼長一串的名字,我怎麼知道是什麼病毒啊?其實只要我們掌握一些病毒的命名規則,我們就能通過防毒軟體的報告中出現的病毒名來判斷該病毒的一些共有的特性了:一般格式為:<病毒字首>.<病毒名>.<病毒字尾>木馬病毒
病毒字首是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其字首也是不同的。比如我們常見的木馬病毒的字首Trojan,蠕蟲病毒的字首是Worm等等還有其他的。病毒名是指一個病毒的家族特徵,是用來區別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統一的“CIH”,振盪波蠕蟲病毒的家族名是“Sasser”。病毒字尾是指一個病毒的變種特徵,是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示,如Worm.Sasser.b就是指振盪波蠕蟲病毒的變種B,因此一般稱為“振CIH病毒
蕩波B變種”或者“振盪波變種B”。如果該病毒變種非常多,可以採用數字與字母混合表示變種標識。主名稱病毒的主名稱是由分析員根據病毒體的特徵字串、特定行為或者所使用的編譯平臺來定的,如果無法確定則可以用字串”Agent”來代替主名稱,小於10k大小的檔案可以命名為“Samll”。版本資訊版本資訊只允許為數字,對於版本資訊不明確的不加版本資訊。主名稱變種號如果病毒的主行為型別、行為型別、宿主檔案型別、主名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴充套件3位,並且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。附屬名稱病毒所使用的有輔助功能的可執行的檔案,通常也作為病毒新增到病毒庫中,這種型別的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種:Client說明:後門程式的控制端KEY_HOOK說明:用於掛接鍵盤的模組API_HOOK說明:用於掛接API的模組Install說明:用於安裝病毒的模組Dll說明:檔案為動態庫,並且包含多種功能空說明:沒有附屬名稱,這條記錄是病毒主體記錄附屬名稱變種號如果病毒的主行為型別、行為型別、宿主檔案型別、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴充套件3位,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。病毒長度病毒長度欄位只用於主行為型別為感染型Virus的病毒,欄位的值為數字。欄位值為0,表示病毒長度可變。