计算机病毒是什么样的？向上帝求助

病毒是一种计算机程序，它被故意设计成以某种方式附着在其他计算机程序上。当原始程序运行时，病毒程序也会运行。通过附加到其他程序上，病毒进行自我复制。病毒通过附着在原程序上甚至直接替换原程序的方式附着在原程序上；而且很多时候，病毒被感染了，就会被改造。被感染的程序可能是宏、磁盘的引导扇区，或者只是从引导磁盘加载的第一个程序。请注意定义中的这一段:“刻意设计”。病毒并不像一个事故那么简单有相当技术水平的程序员设计开发病毒，然后设法让它们进入没有防备的电脑。杀毒程序越强大，病毒作者就越难绕过杀毒程序。对于许多病毒作者来说，这是一个挑战；而对于另一些人来说，因为计算生活不稳定或者很悲惨，所以可以活得很开心。这真是可恨。他们可以通过解决Y2K危机而不依赖病毒来赚很多钱。病毒赢得了不好的名声，但事实上，很多病毒并没有那么有害。诚然，有些病毒会破坏文件或从事其他形式的破坏活动，但有许多病毒只是进行无害的骚扰，大多数用户甚至根本看不到它们。要成为病毒，程序只需要能够自我复制，其他行为都是多余的。然而，这些相对无害的病毒肯定不是完全无害的。它们消耗磁盘空间、内存和CPU资源，所以会影响机器的速度和效率。而且检查他们的杀毒程序也是消耗内存和CPU资源的；事实上，许多用户认为反病毒程序比病毒更慢，更令人讨厌。换句话说，即使病毒没做什么坏事，也会影响电脑的正常使用。相对于我们要用的病毒这个术语，病毒和类似于病毒的程序，其实在解释上是相当具体和有限的。还有其他类型的程序只满足前面定义的一部分。它们与病毒的相似之处在于，它们都在用户不知情的情况下移动，有些动作是在计算机内部故意设计的。这些类型的程序包括蠕虫、特洛伊木马和下载程序。所有这些程序，包括病毒，都是被称为恶意软件或恶意逻辑软件的程序的组成部分。蠕虫是一种不断自我复制但不会感染其他程序的程序。它将自身复制到软盘或从软盘复制，或通过网络复制；有时它在互联网上运行。一种蠕虫-主机蠕虫-仅使用网络将自身复制到其他主机；另一种蠕虫——网络蠕虫——在网络上传播自己的部分，然后通过网络运行不同的部分。蠕虫仍然可以存在于没有联网的电脑上，然后它们可以在硬盘上到处复制自己。特洛伊马的名字来源于著名的希腊神话《奥德赛》。故事中，希腊军队在特洛伊城前留下了一匹木马，木马肚子里潜伏着一支小部队。当特洛伊把特洛伊的马拉进城时，马里面的部队也一起进了城。希腊人跳出马腹，占领了特洛伊，结束了对特洛伊的长期围困。借用计算机领域特洛伊马的典故也有同样的意思。特洛伊马是一个程序，它隐藏在看似无害的程序中。当里面的程序运行时，特洛伊马就会启动并执行一些用户不想做的动作。特洛伊马不会复制自己。滴管也是一种程序，专门用来抵抗反病毒检测，通常采用加密手段防止反病毒程序发现。滴管的典型功能是传播和安装病毒。他们守卫着系统，等待着某些事件的发生。当特定事件发生时，下载程序启动，然后用自己的病毒感染系统。与这些项目相关的另一个概念是炸弹。炸弹通常被植入邪恶的部分，作为激活炸弹的手段。炸弹程序被设计成只有在特定事件发生时才会被激活。一些炸弹在特定时间被激活，通常使用系统时间。炸弹可以被设计成在新年前夕删除硬盘上的所有DOC文件，或者在名人生日时弹出一条消息。炸弹也可以被设计成由其他事件或条件触发:例如，炸弹可以等待程序启动20次，然后删除程序的模板文件。从这个角度来说，炸弹只是一个恶意脚本或调度程序。病毒可以被视为包括一个或多个恶意软件的程序的特殊例子。他们可以通过滴管传播(虽然他们自己不一定是滴管)，他们使用蠕虫技术来复制自己。虽然从技术上来说，病毒不是特洛伊马，但在两个方面与特洛伊马非常相似:一是做用户不想做的事；其次，通过依附于已有的程序，他们有效地将原程序变成了特洛伊马(他们隐藏在原程序中，当原程序启动时，病毒也随之启动，用户不想进行活动。病毒如何工作病毒以不同的方式工作，但有一些基本步骤:首先，病毒应该感染系统。它通常会成为受感染程序文件(com、EXE或引导扇区)的一部分。在过去，程序几乎总是通过被感染的软盘传播。现在，病毒经常从网络上下载，例如作为试用程序的安装文件的一部分、程序使用的宏或电子邮件附件。需要注意的是，邮件内容本身不可能是病毒。病毒是一种在被激活之前必须被执行的程序。病毒以电子邮件附件的形式传播，但不运行它就什么也做不了。只有当你启动附件(通常是双击附件)时，这个病毒才会被执行。有一个简单的方法可以帮助您抵御这种病毒:永远不要打开可执行文件(EXE或COM文件)或程序文件使用的数据文件(如OFFICE文件，其中可能包含宏)的附件。至于图片、声音等类型的文件，都是安全的。携带病毒的程序到达系统后，病毒也会驻留在PC上，就像木马程序一样。它隐藏在其他程序或文件中，由宿主程序启动。在被感染的可执行文件中，病毒对原程序进行了实质性修改，使原代码指向病毒代码，同时启动程序代码。通常，程序跳转到病毒代码，执行病毒代码，然后跳转回原始代码。这样，病毒被激活，系统被感染。一旦被激活，病毒要么会立即摧毁它——如果是直接作用型病毒的话；或者留在后台使用操作系统允许的TSR (Stop Stay)进程作为内存驻留程序。大多数病毒属于第二种类型，称为常驻病毒。因为TSR程序可以执行广泛的活动，从启动程序和备份文件到监视键盘或鼠标活动(甚至更多)。因此，常驻病毒可以被设计成做许多操作系统能做的事情。有了炸弹，它可以等待触发它的事件，然后在系统上移动。它能做的一件事就是扫描磁盘或网盘，找到其他正在运行(或可执行)的程序，然后把自己复制到这些程序上，全部感染。病毒类型病毒设计者不断尝试感染系统的新方法。但是真正的病毒种类仍然很少。它们是:引导病毒、文件病毒和宏病毒。这些类型名称不同，也有一些子类型，但意义是一样的。引导病毒，或引导扇区病毒，驻留在PC硬盘上的特定区域，只在计算机启动时读取和执行。真正的引导扇区病毒只感染DOS引导扇区，而一种叫做MBR病毒的亚型感染主引导记录。硬盘的这两个区域是在引导时读取的，所以病毒是在这个时候载入内存的。病毒会感染软盘的引导扇区，但无病毒和写保护的引导软盘始终是启动系统的安全方式。当然问题是保证软盘本身不被感染，这是杀毒程序应该做的。文件病毒，也称为寄生病毒，附着在可执行文件上，是最常见和讨论最多的病毒。这类病毒通常驻留在内存中，等待用户运行其他程序，以此作为触发它的事件，触发后再感染新打开的程序。因此，它们的复制非常简单，只需通过正常使用电脑即可。文件病毒有不同的类型，但它们的概念是相似的。宏病毒是一种比较新的类型，它的产生是因为很多程序都有内置的编程语言。程序中内置的编程语言旨在构建称为宏的小程序，以帮助用户自动完成工作。比如微软Office就有这样的内置语言。其实Office本身就提供了很多内置的宏。所谓宏病毒，也就是这些程序可以使用的宏。事实上，这种类型的病毒最早为人所知是因为它感染了Microsoft Word文件。当在目标程序中打开文档或模板时，如果它包含病毒宏，病毒就会运行并破坏它。此外，宏被设计为将自身复制到其他文档中，因此继续使用该软件将导致病毒不断传播。第四种类型的部分被称为多种病毒。这种病毒结合了引导扇区病毒和文件病毒的特点。如果您想获得大量病毒的列表及其危害的说明，请参考赛门铁克反病毒研究中心的病毒百科全书部分。越来越聪明宏病毒的概念是因为内置的编程语言可以访问内存和硬盘而产生的。而且，其实其他一些最新的技术，包括ActiveX控件，Java小程序，也有这个能力。他们在设计的时候，确实是想保护硬盘不受病毒侵害(Java比ActiveX强)，但实际情况是，这些程序仅仅因为访问了一个网站，就可以把自己安装到用户的电脑上。很显然，随着网络的完善，通过网络升级操作系统已经非常方便了(Windows 98和NT 5都可以通过网络升级)，所以我们在享受这种便利的同时，也把自己置于更大的被病毒和其他邪恶之物攻击的风险之中。