计算机病毒的分析与防范
1. 计算机病毒的引入
1983 年 11 月 3 日,弗雷德?科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机)
伦?艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出。
2. 计算机病毒发展史
1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等 。
1989年 全世界的计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户造成极大损失。
1991年 在“海湾战争”中,美军第一次将计算机病毒用于实战。
1992年 出现针对杀毒软件的“幽灵”病毒,如One-half。
1997年 1997年被公认为计算机反病毒界的“宏病毒”年。
1998年 出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计算机反病毒界的CIH病毒年)。
1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒 将成为病毒新的增长点。
2000年出现了拒绝服务(Denial of Service)和恋爱邮件(Love Letter)
这次拒绝服务袭击规模巨大,致使雅虎,亚马逊书店等主要网站服务瘫痪。
2002年多变的混合式病毒求职信(Klez)及FunLove病毒席卷全球。
2003年,冲击波(Blaster)病毒于8月开始爆发。
2004年,MyDoom、网络天空(NetSky)及震荡波(Sasser)病毒出现。
3. 基础知识——计算机病毒的本质
计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界,病毒(Virus)是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物,如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看到,而且不能独立生存,必须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁殖后代,因此给寄主生物造成极大的危害。计算机病毒之所以被称为病毒,是因为它们与生物医学上的病毒也有着很多的相同点。例如,它们都具有寄生性、传染性和破坏性。
《中华人民共和国计算机信息系统安全保护条例》第二十八条中将计算机病毒定义为:“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。”
病毒传播载体:网络、电磁性介质和光学介质。
病毒传染的基本条件:计算机系统的运行、读写介质(磁盘)上的数据和程序。
病毒的传播步骤:驻留内存、寻找传染的机会、进行传染。
病毒传染方式:引导扇区(包
括硬盘的主引导扇区)传染类、文件型病毒
4. 基础知识——计算机病毒的特点
1)传染性:自我复制。
2)破坏性:干扰系统、破坏数据、占用资源。
3)潜伏性:定期发作。
4)隐蔽性:计算机病毒式一种短小精悍的可执行程序,一般只有几百字节或几千字节,而且隐藏在不同的位置上。
5)寄生性
6)针对性
7)可触发性:控制条件,日期、时间、标识、计数器。
5. 基础知识——计算机病毒的分类
5.1按破坏性分类
良性病毒:是指那些只是为了表现自己而并不破坏系统数据,只占用系统CPU资源或干扰系统工作的一类计算机病毒。
恶性病毒:是指病毒制造者在主观上故意要对被感染的计算机实施破坏,这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘,使系统处于瘫痪状态。
5.2按照计算机病毒的寄生部位或传染对象分
磁盘引导区传染的计算机病毒
操作系统传染的计算机病毒
可执行程序传染的计算机病毒
5.3按寄生方式分类
系统引导型:系统引导时病毒装入内存,同时获得对系统的控制权,对外传播病毒,并且在一定条件下发作,实施破坏。
文件型(外壳型):将自身包围在系统可执行文件的周围、对原文件不作修改、运行可执行文件时,病毒程序首先被执行,进入到系统中,获得对系统的控制权。
源码型:在源被编译之前,插入到源程序中,经编译之后,成为合法程序的一部分。
入侵型:将自身入侵到现有程序之中,使其变成合法程序的一部分。
5.4按广义病毒概念分类
蠕虫(worm):监测IP地址,网络传播
逻辑炸弹(logic bomb):条件触发,定时器
特洛伊木马(Trojan Horse):隐含在应用程序上的一段程序,当它被执行时,会破坏用户的安全性。
陷门:在某个系统或者某个文件中设置机关,使得当提供特定的输入数据时,允许违反安全策略。
细菌(Germ): 不断繁殖,直至添满整个网络的存储系统
5.5按照计算机病毒攻击的系统分类
攻击DOS系统的病毒
攻击Windows系统的病毒
攻击UNIX/Linux系统的病毒
攻击OS/2系统的病毒
攻击Macintosh系统的病毒
其他操作系统上的病毒
5.6按照计算机病毒的链接方式分类
源码型病毒
嵌入型病毒
外壳型病毒
操作系统型病毒
5.7按照计算机病毒激活的时间分类
定时病毒
随机病毒
按照计算机病毒传播的媒介分类
单机病毒
网络病毒
5.8按照计算机病毒寄生方式和传染途径分类
引导型病毒
文件型病毒
混合型病毒
5.9按照计算机病毒特有的算法分类
伴随型病毒
“蠕虫”型病毒
寄生型病毒
练习型病毒
诡秘型病毒
变型病毒(又称幽灵
病毒)