详解计算机病毒

1.1 计算机病毒的基本概念

1.1.1计算机病毒的定义

        计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码 。

1.1.2计算机病毒的危害

• (1) 占用系统空间。计算机病毒是一段程序，会占用一定的磁盘空间和内存空间。病毒程序虽然很小，但随着病毒的繁殖，数量会急剧增加，将占用大量的磁盘空间和内存空间，最终致使系统存储空间消耗殆尽。
• (2) 占用CPU时间。计算机病毒在运行时会占用CPU时间，随着病毒数量的增加，将会消耗更多的CPU时间，这会导致系统运行速度变得异常缓慢，进一步还可能完全独占CPU时间，致使计算机系统无法向用户提供服务。
• (3) 破坏文件。计算机病毒可以增加或减少文件的长度，改变文件的内容，甚至删除文件。病毒还可以通过对磁盘的格式化使整个系统中的文件全部消失。
• (4) 破坏计算机软硬件系统。计算机病毒可破坏计算机软硬件系统，致使计算机出现异常情况，如提示一些莫名其妙的指示信息，显示异常图形等，甚至致使计算机运行减缓，完全停机。

CIH 病毒被认为是第一个破坏计算机硬件系统的病毒。

1.1.3计算机病毒的特征

• (1) 潜伏性
• (2) 传染性
• (3) 隐蔽性
• (4) 破坏性

在网络时代中的计算机病毒特征：

• (1) 普通计算机病毒的特征
• (1) 通过网络和邮件系统传播
• (2) 传播速度极快
• (3) 变种多
• (4) 具有病毒、蠕虫和黑客程序功能

1.2 计算机病毒的类型

1.2.1文件型病毒

        文件型病毒是当前最为普遍的病毒形式，通过在运行过程中插入指令，把自己依附在可执行文件上。然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行指令序列。文件型病毒使文件受感染的方式可分为如下两种：

• (1) 主动攻击型感染。当病毒程序在执行时，它不断地对磁盘上的文件进行检查，当发现被检测文件尚未被感染时，就去感染它，使其带有病毒。
• (2) 执行时感染。在病毒环境中，每当一个未被感染的程序在执行时，如果它是病毒所期待的文件类型，且磁盘没有写保护，该程序就会被感染病毒。病毒在感染其它文件时，通常是有针对性地。

1.2.2引导扇区病毒

        引导扇区病毒潜伏在磁盘上用于引导系统的引导区。当系统开机时，病毒便借助于引导过程进入系统，通常引导扇区病毒先执行自身的代码，然后再继续系统的启动进程。病毒通过复制代码使引导区病毒感染计算机系统或者软盘引导扇区或硬盘分区表。 在启动期间, 病毒加载到内存，一旦在内存, 病毒将感染由系统访问的任何非感染磁盘。

1.2.3宏病毒

        宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。

        宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且如果其他用户打开感染病毒的文档，宏病毒又会转移到他的计算机上。

        一般宏病毒具有传播极快，制作、变种方便，破坏可能性极大，兼容性不高等特点，目前的杀毒软件都能有效地防治和清除宏病毒。

1.2.4内存驻留病毒

        内存驻留病毒一旦执行，自己便占据内存驻留区。这是计算机运行程序和文件时载入它们的地方。病毒在内存中占据重要位置，病毒可以访问在计算机上运行的所有重要操作，它可以在文件和程序访问、修改或者操作时很轻松地破坏它们。计算机关闭时，所有内存中的数据都将被清除，包括病毒。但是，当病毒感染系统时，它会确保每次计算机启动时都将在内存中激活病毒。内存驻留病毒会通过占用系统资源来使用户的计算机变慢。它们可以破坏数据和系统文件，这会使用户的计算机不能正常工作。

1.2.5邮件病毒

        邮件病毒其实和普通的电脑病毒一样，只不过它们的传播途径主要是通过电子邮件，所以才被称为邮件病毒，由于它们一般通过邮件中“附件”夹带的方法进行扩散，只要接收者打开电子邮件中的附件，病毒就会被激活，它将把自身发送给该用户列表中的每个人，然后进行破坏活动。

        后来出现了更具破坏性的电子邮件病毒，它被直接嵌入到电子邮件中，只要接收者打开含有该病毒的电子邮件，病毒就会被激活。由于电子邮件病毒是通过Internet传播的，因此病毒的传播速度非常快，加上平时日常工作中电子邮件使用十分频繁，因此预防邮件病毒就显得至关重要。

1.3 病毒的预防和检测

1.3.1病毒的预防

预防计算机病毒应从管理和技术两方面进行。

• (1) 建立完善的计算机法制制度
• (2) 定期做好备份
• (3) 使用正版软件
• (4) 定期地进行病毒检测
• (5) 不轻易打开来历不明的电子邮件
• (6) 要定期检查硬盘、优盘，利用反病毒软件来清除其中的病毒
• 将.com文件和.exe文件赋以“只读”属性，预防病毒入侵

1.3.2常用病毒检测方法

常用病毒检测方法

特征代码法包括建立病毒数据库和扫描文件两个过程。

原理：

• 为了建立病毒数据库，应当采集病毒的样本，所收集的病毒样本种类越多，利用它去检测病毒的成功率也就越高。
• 在扫描文件过程中，打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可断定被查文件中感染有何种病毒。
• 特征代码法将硬盘上的文件与病毒数据库中的病毒样本严格匹配来发现病毒，这样可能会漏掉许多 多形态病毒。

优点：

• 检测准确快速
• 可识别病毒的名称
• 误报警率低
• 依据检测结果可做杀毒处理

缺点：

• 速度慢
  • 随着病毒种类的增多，检索时间将变长。必须对每一种病毒特征代码逐一检查。如果病毒种数庞大，检测病毒就需要巨大的时间开销。
• 不能检测多形态病毒
• 不能检测隐蔽性病毒
  • 隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具将被查文件中的病毒代码剥去，导致检测工具是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。

校验和法

原理：

• 计算正常文件内容的校验和，将该校验和写入本文件或别的文件中保存
• 在文件使用过程中，定期地或每次使用文件前，检查文件当前内容算出的校验和与原来保存的校验和是否一致，因而判定文件是否感染病毒，它既可发现已知病毒又可发现未知病毒。

优点：

• 方法简单
• 能发现未知病毒和被查文件的细微变化

缺点：

• 不能识别病毒种类
• 不能报出病毒名称
• 易误报警
  • 由于病毒感染并非文件内容改变的唯一原因，文件内容的改变有可能是正常程序引起的
• 影响文件的运行速度
• 不能对付隐蔽型病毒

行为监测法

利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。

原理：

• 通过对病毒长时间的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。

优点：

• 可发现未知病毒
• 可比较准确地预报未知的多数病毒

缺点：

• 可能会误报警
• 不能识别病毒名称
• 实现有一定难度

软件模拟法

        软件模拟法专门用来对付多形态计算机病毒。

        多形态病毒代码实施密码化，而且每次所用密钥不同，把病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多形态病毒，但是在检测出病毒后，因为不知病毒的种类，难于做杀毒处理。

原理：

• 成功地模拟CPU执行，在DOS虚拟机(Virtual Machine)下伪执行计算机病毒程序，安全地将其解密，使其显露本来的面目，再加以扫描。