计算机病毒概念与特性

计算机病毒特征有哪些(计算机病毒分析)(1)

计算机病毒是一组具有自我复制、传播能力的程序代码。

高级的计算机病毒具有变种和进化能力,可以对付反病毒程序

编写计算机病毒目的:破坏计算机功能、毁坏数据,从而影响计算机使用

计算机病毒传染和发作表现的症状:

计算机病毒都具有以下四个基本特点:

1)隐蔽性:计算机病毒附加在正常软件或文档中,例如可执行程序、电子邮件、Word文档等,一旦用户未察觉,病毒就触发执行,潜入到受害用户的计算机中.病毒的隐蔽性使得受害用户在不知不觉中感染病毒,对受害计算机造成系列危害操作。正因如此,计算机病毒才扩散传播。

2)传染性:计算机病毒的传染性是指计算机病毒可以进行自我复制,并把复制的病毒附加到无病毒的程序中,或者去替换磁盘引导区的记录,使得附加了病毒的程序或者磁盘变成了新的病毒源,又能进行病毒复制,重复原先的传染过程。计算机病毒与其他程序最本质的区别在于计算机病毒能传染,而其他的程序则不能。没有传染性的程序就不是计算机病毒。

3)潜伏性:计算机病毒感染正常的计算机之后,一般不会立即发作,而是等到触发条件满足时,才执行病毒的恶意功能,从而产生破坏作用。计算机病毒常见的触发条件是特定日期。

4)破坏性:计算机病毒对系统的危害性程度,取决于病毒设计者的设计意图。有的仅仅是恶作剧,有的破坏系统数据。简而言之,病毒的破坏后果是不可知的。由于计算机病毒是恶意的一段程序,故凡是由常规程序操作使用的计算机资源,计算机病毒均有可能对其进行破坏。据统计,病毒发作后,造成的破坏主要有数据部分丢失、系统无法使用、测览器配置被修改、网络无法使用、使用受限、受到远程控制、数据全部丢失等。据统计分析,浏览器配置被修改、数据丢失、网络无法使用最为常见,如图 所示。

计算机病毒特征有哪些(计算机病毒分析)(2)

计算机病毒组成与运行机制

计算机病毒由三部分组成:

计算机病毒的生命周期主要有两个阶段:

计算机病毒特征有哪些(计算机病毒分析)(3)

计算机病毒常见类型与技术

1. 引导型病毒

引导型病毒通过感染计算机系统的引导区而控制系统,病毒将真实的引导区内容修改或替换,当病毒程序执行后,才启动操作系统。因此,感染引导型病毒的计算机系统看似正常运转,而实际上病毒已在系统中隐藏,等待时机传染和发作。引导型房毒通常都是内存驻留的,典型的引导型病毒如磁盘杀手病毒、AntiExe 病毒等。

2. 宏病毒(Macro Viruses)

宏是 1995 年出现的应用程序编程语言,它使得文档处理中繁复的敲键操作自动化。所谓宏病毒就是指利用宏语言来实现的计算机病毒。宏病毒的出现改变了病毒的载体模式,以前病毒的载体主要是可执行文件,而现在文档或数据也可作为宏病毒的载体。

计算机病毒特征有哪些(计算机病毒分析)(4)

3. 多态病毒(Polymorphic Viruses)

多态病毒每次感染新的对象后,通过更换加密算法,改变其存在形式。一些多态病毒具有超过二十亿种呈现形式,这就意味着反病毒软件常常难以检测到它,一般需要采用启发式分析方法来发现。

多态病毒有三个主要组成部分;杂乱的病毒体、解密例程(decryptionroutine)、变化引擎(mutation engine)。

在一个多态病毒中,变化引擎和病毒体都被加密。一旦用户执行被多态病毒感染过的程序,则解密例程首先获取计算机的控制权,然后将病毒体和变化引擎进行解密。接下来,解密例程把控制权转让给病毒,重新开始感染新的程序。此时,病毒进行自我复制以及变化引擎随机访问内存(RAM)。病毒调用变化引擎,随机产生能够解开新病毒的解密例程。病毒加密产生新的病毒体和变化引擎,病毒将解密例程连同新加密的病毒和变化引擎一起放到程序中。这样一来,不仅病毒体被加密过,而且病毒的解密例程也随着感染不同而变化。因此,多态病毒没有固定的特征、没有固定的加密例程,从而就能逃避基于静态特征的病毒扫描器的检测。

4. 隐蔽病毒(Stealth Viruses)

隐蔽病毒试图将自身的存在形式进行隐藏,使得操作系统和反病毒软件不能发现。隐蔽病毒使用的技术有许多,主要包括:

计算机病毒特征有哪些(计算机病毒分析)(5)