目錄
第1章 計算機病毒概述
1.1 計算機病毒的產生與發展
病毒不是來源於突發的原因。
電腦病毒的製造卻來自於一次偶然的事件,那時的研究人員爲了計算出當時互
計算機病毒矢量圖(17張)聯網的在線人數,然而它卻自己“繁殖”了起來導致了整個服務器的崩潰和堵塞,
有時一次突發的停電和偶然的錯誤,會在計算機的磁盤和內存中產生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的系統網絡環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼產生的。
現在流行的病毒是由人爲故意編寫的,多數病毒可以找到作者和產地信息,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程序員爲了表現自己和證明自己的能力,出於對上司的不滿,爲了好奇,爲了報復,爲了祝賀和求愛,爲了得到控制口令,爲了軟件拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.
1.2 計算機病毒的基本概念
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自
我複製的一組計算機指令或者程序代碼”。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)裏,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人爲造成的,對其他用戶的危害性很大!
1.3 計算機病毒的分類
分類依據
根據多年對計算機病毒的研究,按照科學的、系統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
按病毒存在的媒體
根據病毒存在的媒體,病毒可以劃分爲網絡病毒,文件病毒,引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件,文件病毒感染計算機中的文件(如:COM,EXE,DOC等),引導型病毒感染啓動扇區(Boot)和硬盤的系統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有複雜的算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形算法。
按病毒傳染的方法
根據病毒傳染的方法可分爲駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的內存駐留部分放在內存(RAM)中,這一部分程序掛接系統調用併合併到操作系統中去,他處於激活狀態,一直到關機或重新啓動.非駐留型病毒在得到機會激活時並不感染計算機內存,一些病毒在內存中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分爲非駐留型病毒。
按病毒破壞的能力
無害型:除了傳染時減少磁盤的可用空間外,對系統沒有其它影響。
無危險型:這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。
危險型:這類病毒在計算機系統操作中造成嚴重的錯誤。
非常危險型:這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害,並不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。
按病毒的算法
伴隨型病毒,這一類病毒並不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
“蠕蟲”型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一臺機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在系統存在,一般除了內存不佔用其它資源。
寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱爲寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播,按其算法不同可分爲:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。
詭祕型病毒它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩衝區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閒的數據區進行工作。
變型病毒(又稱幽靈病毒)這一類病毒使用一個複雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
習題
第2章 計算機病毒的工作機制
2.1 病毒的工作步驟分析
2.2 計算機病毒的引導機制
2.3 計算機病毒的傳染機制
2.4 計算機病毒的觸發機制
2.5 計算機病毒的破壞機制
2.6 計算機病毒的傳播機制
習題
第3章 計算機病毒的表現
3.1 計算機病毒發作前的表現
3.2 計算機病毒發作時的表現
3.3 計算機病毒發作後的表現
習題
第4章 新型計算機病毒的發展趨勢及特點和技術
4.1 新型計算機病毒的發展趨勢
4.2 新型計算機病毒發展的主要特點
4.3 新型計算機病毒的主要技術
習題
第5章 計算機病毒檢測技術
5.1 計算機反病毒技術的發展歷程
5.2 計算機病毒檢測技術原理
5.3 計算機病毒主要檢測技術和特點
習題
第6章 典型計算機病毒的原理、防範和清除
6.1 計算機病毒防範和清除的基本原則和技術
6.2 引導區計算機病毒
6.3 文件型病毒
文件型病毒系計算機病毒的一種,主要通過感染計算機中的可執行文件(.exe)和命令文件(.com)。文件型病毒是對計算機的源文件進行修改,使其成爲新的帶毒文件。一旦計算機運行該文件就會被感染,從而達到傳播的目的。
文件型病毒分兩類:一種是將病毒加在COM前部,一種是加在文件尾部。
文件型病毒傳染的對象主要是.COM和.EXE文件。
我們把所有通過操作系統的文件系統進行感染的病毒都稱作文件病毒,所以這是一類數目非常巨大的病毒。理論上可以製造這樣一個病毒,該病毒可以感染基本上所有操作系統的可執行文件。目前已經存在這樣的文件病毒,可以感染所有標準的DOS可執行文件:包括批處理文件、DOS下的可加載驅動程序(.SYS)文件以及普通的COM/EXE可執行文件。當然還有感染所有視窗操作系統可執行文件的病毒,可感染文件的種類包括:視窗3.X版本,視窗9X版本,視窗NT和視窗2000版本下的可執行文件,後綴名是EXE、DLL或者VXD、SYS。
除此之外,還有一些病毒可以感染高級語言程序的源代碼,開發庫和編譯過程所生成的中間文件。病毒也可能隱藏在普通的數據文件中,但是這些隱藏在數據文件中的病毒不是獨立存在的,必須需要隱藏在普通可執行文件中的病毒部分來加載這些代碼。從某種意義上,宏病毒—隱藏在字處理文檔或者電子數據表中的病毒也是一種文件型病毒。
6.4 文件與引導複合型病毒
6.5 腳本病毒
腳本病毒通常是JavaScript代碼編寫的惡意代碼, 一般帶有廣告性質,會修改您的IE首頁、修改註冊表等信息,造成用戶使用計算機不方便。
6.6 宏病毒
宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活,轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
6.7 特洛伊木馬病毒
6.8 蠕蟲病毒
蠕蟲病毒是一種常見的計算機病毒。它是利用網絡進行復制和傳播,傳染途徑是通過網絡和電子郵件。最初的蠕蟲病毒定義是因爲在DOS環境下,病毒發作時會在屏幕上出現一條類似蟲子的東西,胡亂吞喫屏幕上的字母並將其改形。蠕蟲病毒是自包含的程序(或是一套程序),它能傳播自身功能的拷貝或自身(蠕蟲病毒)的某些部分到其他的計算機系統中(通常是經過網絡連接)。
6.9 黑客型病毒
6.10 後門病毒
6.11 32位 操作系統下的計算機病毒
6.12 壓縮文件病毒
6.13 安全建議
習題
第7章 網絡安全
第8章 常用反病毒軟件
第9章 中國計算機病毒法律與制度建設
附錄一 中華人民共和國刑法(相關摘錄)
附錄二 中華人民共和國計算機信息系統安全保護條例
附錄三 計算機病毒防治管理辦法
附錄四 計算機信息網絡國際聯網安全保護管理辦法
附錄五 中華人民共和國計算機信息網絡國際聯網管理暫行規定
參考文獻 [2]