3.7.1 计算机病毒介绍

作者: 刘宝旭 蒋文保 王晓箴编著 出处:电子工业出版社博文视点 　2007-12-17 19:42　   砖    好    评论  条 　进入论坛

阅读提示：《黑客入侵的主动防御》第三章主要讲了黑客入侵的传统防御技术，本节是计算机病毒介绍.

3.7.1  计算机病毒介绍

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其他一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存储空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时，它会自生复制并传播，使计算机的资源受到不同程序的破坏等。这些说法在某种意义上借用了生物学病毒的概念，计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络，危害正常工作的“病原体”。它能够对计算机系统进行各种破坏，同时能够自我复制，具有传染性。

所以，计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

1．计算机病毒的引导过程

计算机病毒的引导过程一般包括以下三方面。

（1）驻留内存病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。
（2）窃取系统控制权在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。
（3）恢复系统功能病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。

有的病毒在加载之前进行动态反跟踪和病毒体解密。对于寄生在磁盘引导扇区的病毒来说，病毒引导程序占有了原系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。这样系统一启动，病毒引导模块就会自动地装入内存并获得执行权，然后该引导程序负责将病毒程序的传染模块和发作模块装入内存的适当位置，并采取常驻内存技术以保证这两个模块不会被覆盖，接着对该两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装入内存，使系统在带毒状态下运行。 对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件一执行首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。

破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量入口地址（一般为时钟中断INT 8H，或与时钟中断有关的其他中断，如INT 1CH），使该中断向量指向病毒程序的破坏模块。这样，当系统或被加载的程序访问该中断向量时，病毒破坏模块被激活，在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏活动，这种破坏活动不一定都是删除磁盘文件，有的可能是显示一串无用的提示信息，例如，在用感染了“大麻病毒”的系统盘进行启动时，屏幕上会出现“Your PC is now Stoned!”。有的病毒在发作时，会干扰系统或用户的正常工作，例如“小球”病毒在发作时，屏幕上会出现一个上下来回滚动的小球。而有的病毒，一旦发作，则会造成系统死机或删除磁盘文件。例如，“黑色星期五”病毒在激活状态下，只要判断当天既是13号又是星期五，则病毒程序的破坏模块即把当前感染该病毒的程序从磁盘上删除。

计算机病毒的破坏行为体现了病毒的杀伤力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，难以做全面的描述。病毒破坏目标和攻击部位主要是系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。
 
2．计算机病毒的发展趋势

在新世纪，电脑病毒呈现了网络化、人性化、隐蔽化、多样化、平民化的发展趋势。

（1）网络化
与传统的计算机病毒不同的是，许多新的病毒（恶意程序）是利用当前最新的基于因特网的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。例如“爱虫”病毒是用VBScript语言编写的，只要通过Windows操作系统下自带的编辑软件修改病毒代码中的一部分，就能轻而易举地制造病毒变种，以躲避反病毒软件的追击。
另外新病毒利用Java、ActiveX、VBScript等技术，可以潜伏在HTML页面里，在上网浏览时触发。“Kakworm”病毒利用ActiveX控件中存在的缺陷传播，装有IE浏览器或Office 2000的电脑都可能被感染。这个病毒的出现使原来不打开带毒邮件附件而直接删除的防邮件病毒方法完全失效。更为令人担心的是，一旦这种病毒被赋予其他计算机病毒的恶毒的特性，造成的危害很有可能超过任何现有的计算机病毒。
由于电脑病毒的网络化，造成现在病毒的传播速度超过了最大胆的想像，24小时之内，病毒可以传播到世界上任何一个角落！

（2）人性化
充分利用了心理学的知识，注重针对人类的心理如好奇、贪婪等。2007年上半年，互联网上爆发了一种名为“MSN性感相册”的蠕虫病毒，通过MSN传播。该病毒会自动搜索电脑中MSN的联系人名单，并随机发送名为“photos.zip”的压缩包。好奇者接收打开后，计算机即被感染。

（3）隐蔽化
相比较而言，新一代病毒更善于隐藏、伪装自己。主题会在传播中改变，或者具有极具诱惑性的主题、附件名；许多病毒会伪装成常用程序，或者将病毒代码写入文件内部长度不发生变化，使用户防不胜防。主页病毒的附件homepage.html.vbs并非一个HTML文档，而是一个恶意的VB脚本程序，一旦执行后，就会向用户地址簿中的所有电子邮件地址发送带毒的电子邮件副本。再比如维罗纳病毒，将病毒写入邮件正文，而且主题、附件名极具诱惑性、主题众多，更替频繁，使用户麻痹大意而感染。而matrix等病毒会自动隐藏、变形，甚至阻止受害用户访问反病毒网站和向病毒记录的反病毒地址发送电子邮件，无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。

还有的病毒在本地没有代码，代码存在于远程的机器上，这样杀毒软件更难以发现病毒的踪迹。
（4）多样化
新病毒层出不穷，老病毒也充满活力，并呈现多样化的趋势。1999年，普遍发作的电脑病毒分析显示，虽然新病毒不断产生，但较早的病毒发作仍很普遍。1999年，报道最多的病毒是1996年就首次发现并到处传播的宏病毒Laroux。新病毒可以通过可执行程序、脚本文件、HTML网页、QQ、MSN甚至网络游戏等多种形式发展。更为棘手的是，新病毒的手段更加阴狠，破坏性更强。2004年4月30日震荡波（Sasser）病毒被首次发现，短短一个星期时间之内就感染了全球1800万台电脑，成为当年当之无愧的“毒王”，给全球经济造成了几百亿美元的损失。

（5）平民化
由于脚本语言的广泛使用，专用病毒生成工具的流行，电脑病毒已经变成了“小学生的游戏”。以前的病毒制作者都是专家，编写病毒在于表现自己高超的技术。但是“库尔尼科娃”病毒的设计者不同，他只是修改了下载的VBS蠕虫孵化器，“库尔尼科娃”病毒就诞生了。据报道，VBS蠕虫孵化器被人们从因特网上下载了1.5万次以上。正是由于这类工具太容易得到，使得现在新病毒出现的频率超出以往任何时候。

回书目   上一节   下一节