什么是病毒?
拖延,而且往往难以根除。它们可以将自己附加到各种类型的文件中。将文件从一个用户复制或传输到另一个用户时,会使用复制文件。
用文件展开。
除了复制能力之外,一些计算机病毒还有其他共同特征:被污染的程序可以传播病毒载体。当你看到病毒载体时,似乎
它们可能已经破坏了文件,重新格式化了你的硬盘,或者导致了其他种类的灾难,当它们仅仅以文字和图像显示的时候。如果病毒没有
寄生在一个被污染的程序上,它仍然可以通过占用存储空间给你带来麻烦,降低你电脑的整体性能。
计算机病毒的定义可以从不同的角度给出。一种定义是通过磁盘、磁带、网络等媒介传播扩散,可以“感染”其他程序
这个项目。另一种是潜伏性、传染性、破坏性的程序,可以自我复制,借助某种载体而存在。另一个定义是一种人为的。
一种制造出来的程序,它潜伏或寄生在存储介质(如磁盘、内存)中或通过不同渠道传播的程序。当某个条件或时机成熟时,它会自我繁殖。
和传播,使计算机资源被不同的程序破坏等等。这些说法在某种意义上借用了生物病毒的概念,计算机病毒和生物病毒是一样的。
相似点是可以入侵计算机系统和网络,危害正常工作的“病原体”。它能对计算机系统造成各种破坏,同时还能自我恢复。
系统,会传染。
因此,计算机病毒是一种能够以某种方式潜伏在计算机存储介质(或程序)中,并在满足一定条件时被激活的计算机病毒。
破坏计算机资源的一组程序或指令。
1.根据计算机病毒攻击的系统分类(1),攻击DOS系统的病毒。这种病毒出现的最早,最多,品种最多。目前国内出现的计算机病毒基本都是这类病毒,占病毒总数的99%。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统的普及,Windows正逐渐取代DOS,从而成为病毒攻击的主要目标。目前,发现的第一个破坏计算机硬件的CIH病毒是Windows 9598病毒。
(3)攻击UNIX系统的病毒。目前UNIX系统应用广泛,很多大型操作系统都以UNIX为主要操作系统,因此UNIX病毒的出现也是对人类信息处理的严重威胁。
(4)攻击OS2系统的病毒。世界上发现了第一个攻击OS2系统的病毒。虽然简单,但也是不祥之兆。
2.根据病毒攻击模型分类(1)攻击微机的病毒。这是世界上传播最广的病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围极其广泛,它可以作为网络的节点计算机,也可以作为小型计算机网络的计算机网络主机。起初,人们认为计算机病毒只能发生在微型计算机上,小型机不会被病毒入侵。然而,自从6月5438+0988165438+10月互联网遭到蠕虫程序攻击后,人们才意识到小型机无法免受计算机病毒的侵害。
(3)攻击工作站的计算机病毒。近年来计算机工作站有了很大的进步,应用范围也有了很大的发展,所以不难想象攻击计算机工作站的病毒的出现对信息系统也是一个很大的威胁。
3.根据计算机病毒的链接方式进行分类。因为计算机病毒本身必须有攻击对象才能攻击计算机系统,所以计算机病毒攻击的对象是计算机系统的可执行部分。
(1)源病毒这种病毒攻击用高级语言编写的程序。病毒是在用高级语言编写的程序被编译成合法程序的一部分之前被插入到原程序中的。
(2)嵌入式病毒这种病毒将自己嵌入到已有的程序中,通过插入的方式将计算机病毒的主程序与它攻击的对象联系起来。这种电脑病毒很难写,一旦侵入程序体也很难消除。如果同时采用多态病毒技术、超级病毒技术和隐蔽病毒技术,将会给当前的反病毒技术带来严峻的挑战。
(3)外壳病毒外壳病毒围绕在主程序周围,不修改原程序。这种病毒最常见,容易编写,容易查找,一般测试文件的大小就可以知道。
(4)操作系统病毒这种病毒利用自己的程序加入或替换某些操作系统,破坏力很强,可以导致整个系统的瘫痪。点病毒和大麻病毒是典型的操作系统病毒。
病毒在运行时,用自己的逻辑部分替换操作系统的合法程序模块,根据病毒本身的特点,合法程序模块在被替换操作系统中的地位和作用,以及病毒替换操作系统的替换方法,对操作系统进行破坏。
4.根据计算机病毒的危害进行分类
根据破坏程度,计算机病毒可分为两类:
(1)良性计算机病毒良性计算机病毒是指它不包含任何可以立即直接破坏计算机系统的代码。这种病毒为了显示自己的存在,只是不停地从一台电脑传播到另一台电脑,而不破坏电脑里的数据。有些人不把这种电脑病毒当回事,认为这只是个恶作剧,与此无关。其实良性和恶性是相对的。良性病毒获得系统控制权后,会造成整个系统和应用争夺CPU的控制权,总会导致整个系统死锁,给正常运行带来麻烦。有时几个病毒在系统中交叉感染,一个文件被几个病毒反复感染。比如原来的存储空间只有10KB,由于多种病毒寄生其中,整个计算机系统无法正常工作。因此,我们不能低估所谓良性病毒对计算机系统造成的损害。
(2)恶性病毒,一种恶性计算机病毒,是指其代码中对计算机系统进行损害和破坏的操作,在被感染或攻击时会直接破坏系统。这样的病毒有很多,比如米开朗基罗病毒。米氏病毒爆发时,硬盘的前17扇区会被完全破坏,使整个硬盘上的数据无法恢复,造成的损失是无法挽回的。有些病毒还会格式化并破坏硬盘。这些操作码是故意写进病毒里的,这是它的本性之一。因此,这种恶性病毒是非常危险的,应该加以防范。幸运的是,反病毒系统可以通过监测系统中的这种异常行为来识别计算机病毒的存在,或者至少发出警报来提醒用户。
5.根据计算机病毒的寄生部位或传染对象。
传染性是计算机病毒的本质属性,可根据寄生部位或感染对象,即根据计算机病毒的感染方式进行分类,具体如下:
(1)在磁盘引导区感染的计算机病毒在磁盘引导区感染的病毒主要是用病毒的全部或部分逻辑替换正常的引导记录,将正常的引导记录隐藏在磁盘的其他地方。因为引导扇区是磁盘正常使用的前提条件,所以这种病毒可以在运行初期(如系统启动)获得控制权,传染性很强。由于需要使用的重要信息都存储在磁盘的引导区,如果从磁盘上移除的正常引导记录没有得到保护,就会导致运行时引导记录被破坏。导读区有很多电脑病毒,比如“大麻”“小球”病毒就是这样的病毒。
(2)操作系统感染的计算机病毒操作系统是计算机系统运行的支撑环境,包括。com 、. Exe等多种可执行程序和程序模块。被操作系统感染的计算机病毒是利用操作系统中提供的一些程序和程序模块进行寄生和传染的。通常这类病毒作为操作系统的一部分,只要电脑开始工作,就处于随时被触发的状态。操作系统的开放性和不完整性,为这类病毒的可能性和传染性提供了便利。被操作系统感染的病毒目前已经广泛存在,“黑色星期五”就是这样一种病毒。
(3)被可执行程序感染的计算机病毒被可执行程序感染的病毒通常寄生在可执行程序中。一旦程序被执行,病毒就会被激活。病毒程序将首先被执行,它将驻留在内存中,然后触发条件将被设置为感染。
对于上述三种病毒的分类,其实可以归纳为两类:一类是导致区域性感染的计算机病毒;另一种是被可执行文件感染的计算机病毒。
6.根据电脑病毒激活的时间。
根据计算机病毒的激活时间,可分为定时和随机。
定时病毒只在某个时间攻击,随机病毒一般不会被时钟激活。
7.按媒体分类
根据计算机病毒传播的媒介,可分为单机病毒和网络病毒。
(1)单机病毒单机病毒的载体是磁盘。常见的是病毒从软盘传到硬盘,感染系统,再感染其他软盘,进而感染其他系统。
(2)网络病毒网络病毒的传播媒介不再是移动载体,而是网络渠道,传染性和破坏性更强。
8.根据寄生方式和传播途径对计算机病毒进行分类人们习惯于根据寄生方式和传播途径对计算机病毒进行分类。计算机病毒根据其寄生方式大致可以分为两种,一种是引导病毒,一种是文件病毒;按其感染途径可分为常驻记忆型和非常驻记忆型,常驻记忆型又可按其常驻记忆模式细分。
混合病毒综合了引导病毒和文件病毒的特点。
引导病毒会重写(俗称“感染”)磁盘上引导扇区的内容,软盘或硬盘都可能感染该病毒。或者在硬盘上重写分区表(FAT)。如果你从感染病毒的软盘开始,它就会感染硬盘。
可引导病毒是在ROM BIOS后系统引导时出现的病毒。它先于操作系统,依赖于BIOS中断服务程序。引导病毒利用操作系统的引导模块将其放在固定的位置,控制权的转移是基于物理地址,而不是基于操作系统引导区的内容。所以病毒可以通过占据物理位置来获得控制权,真正的引导区内容会被移动或替换。病毒程序执行后,控制权会交给真正的引导区内容,使得带有病毒的系统看似运行正常,病毒一直隐藏在系统中伺机感染和攻击。
有些病毒会潜伏一段时间,直到设定的日期才会发作。还有的会在攻击过程中在屏幕上显示一些带有“声明”或者“警告”含义的信息。这些消息无非是要求你不要非法复制软件,或者显示特定的拒鹅图片,或者给你放一段音乐。病毒攻击后,要么分区表被破坏导致无法启动,要么直接使用格式化硬盘。还有一些可启动的病毒没有那么恶意,不会破坏硬盘数据,只是搞一些“声光效果”让你虚惊一场。
可引导病毒几乎总是留在内存中,唯一的区别是在内存中的位置。(所谓“常驻”是指应用程序在内存中保留一份待执行部分的副本。这样就不用每次想执行的时候都去搜硬盘了。
可引导病毒根据寄生对象可以分为两类,分别是MBR(主引导区)病毒和BR(引导区)病毒。MBR病毒又称分区病毒,是寄生在硬盘分区主引导程序占用的硬盘0头0柱面的1扇区的病毒。典型的病毒有大麻(飘飘欲仙)、2708等。BR病毒寄生在硬盘的逻辑0扇区或软盘的逻辑0扇区(即0面0磁道的1扇区)的病毒。典型的病毒有脑病毒、球状病毒等。
顾名思义,文件病毒主要使用被感染的文件扩展名作为。com 、. Exe和。Ovl和其他可执行程序。它的安装必须依靠病毒载体程序,也就是运行病毒载体程序,才能将文件病毒引入内存。被感染文件的执行速度会变慢甚至完全无法执行。有些文件被感染后一执行就会被删除。大多数文件病毒将自己的代码复制到宿主的开头或结尾。这将导致受感染文件的长度变得更长,但用户可能无法使用DIR命令列出它们在感染前的长度。有些病毒直接重写“受害者文件”的代码,因此感染病毒后文件长度保持不变。
被感染的文件执行后,病毒通常会趁机感染下一个文件。有些聪明的病毒每次被感染都会根据自己新宿主的情况写一个新的病毒代码,然后就会被感染。所以这种病毒没有固定的病毒代码——扫描病毒代码检测病毒的病毒检测软件遇到这种病毒就没用了。但是杀毒软件是随着病毒技术的发展而发展起来的,现在已经有了对付这种病毒的有效手段。
大多数文件病毒都驻留在内存中。
文件病毒分为源病毒、嵌入病毒和外壳病毒。源码病毒是用高级语言写的,没有编译链接是传播不了的。嵌入式病毒嵌入在程序的中间,而且只能针对特定的程序,比如dBASE病毒。这两类病毒很少受到环境的限制。目前流行的文件病毒大多是外壳病毒,它们寄生在宿主程序的前面或后面,通过修改程序的第一条执行指令,使病毒先于宿主程序执行,从而随着宿主程序的使用而传播。
混合病毒结合了系统病毒和文件病毒的特点,其“气质”比系统病毒和文件病毒更“凶残”。这种病毒通过这两种方式感染,增加了病毒的传染性和存活率。不管是哪种感染方式,只要中毒,都会通过引导或执行程序感染其他磁盘或文件,这种病毒也是最难查杀的。
可引导病毒比文件病毒更具破坏性,但数量很少。直到20世纪90年代中期,文件病毒仍然是最流行的病毒。但是这几年情况变了,宏病毒后来居上。根据美国国家计算机安全协会的统计,这种“后起之秀”已经占到目前所有病毒的80%以上。此外,宏病毒还能生成各种变形病毒,确实让很多系统防不胜防,这也让宏病毒成为威胁计算机系统的“第一杀手”。
随着微软Word文字处理软件的广泛使用和计算机网络特别是互联网的普及,病毒家族中出现了一个新成员,这就是宏病毒。宏病毒是一种注册在文档或模板的宏中的计算机病毒。一旦这样的文档被打开,宏病毒就会被激活,转移到计算机上,驻留在普通模板上。从此以后,所有自动保存的文档都会感染这个宏病毒,如果其他用户打开被感染的文档,宏病毒就会转移到他的电脑上。