计算机病毒

**同医学上的病毒具有同样传染和破坏的特性 **

主要特性

1. 具有自我复制能力
2. 很强的感染性
3. 一定的潜伏性
4. 特定的触发性
5. 很大的破坏性

计算机病毒由生物医学上的病毒引申出来的 **
以广义上定义,凡是能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒**。

相关法律

1994 年 2 月 18 日《中华人民共和国计算机信息系统安全保护条例》 二十八条

计算机病毒概念

• 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用,并能自我复制的一一组计算机指令或程序试码。
• 计算机病毒在取得控制权之后，主动寻找目标、广泛传播

历史阶段

• 一、病毒原始阶段 1986~1989
• 二、混合型病毒 1989^ 91/92 (复杂)
• 原因:杀毒软件、局域网

1. 目标混合型，多个(种)目标
2. 隐蔽驻留内存、传染
3. 传染后无明显特征
4. 自我保护(加密技术、反跟踪技术、制造 障碍)
5. 破坏性更强

• 三、多态性病毒
• 四、生成器
• 五、网络阶段
• 趋势:

6. 计算机病毒演化
7. 千奇百怪病毒出现
8. 病毒载体隐蔽
9. 方法进步
10. 避开杀毒
11. 修改杀毒软件

• 计算机病毒生命周期

12. 开发期
13. 传染期（流行站点、程序）
14. 潜伏期（复制、传播）
15. 发作期（事件、日期、特定行为）（可能考）
16. 发现期（杀毒软件厂商）
17. 消化期（更新病毒库）
18. 消亡期（不是重要威胁）

传播过程

• 发病毒搭载计算机上感染系统
• 附加在某个文件上
• 文件的复制，传送 执行

存储方式

移动存储设备
磁带，CD，U 盘，硬盘如图，QQ，微信，MSN，网络钓鱼邮件，手机

计算机病毒发作的一般症状

• 一、计算机运行的比平常迟钝，程序载入时间比平常久
• 二、对一个简单的工作磁盘机。似乎花了比预期长的时间
• 三、不寻常或与系统正在运行的软件无关的错误信息出现。
• 四、硬盘的指示灯无缘无故的亮了，是程序同步存储多部磁盘机。
• 五、系统记忆体容量忽然大量减少，磁盘机可利用的空间突然减少
• 六、可执行文档的大小改变了
• 七、机体内增加了来路不明的常驻程序
• 八、档案奇怪的消失或答案的内容被附加了一些奇怪的资料
• 九、档案名称、文档名、日期和属性被更改过

**计算机病毒的分类考试会考在 3~4 种 **

**按照计算机病毒攻击的系统分类 **

• 攻击 dos 系统的计算机病毒
• 攻击 Windows 系统的计算机病毒
• 攻击 Unix 系统的计算机病毒
• 攻击 Os/2 系统的计算机病毒

**按照计算机病毒的寄生部位或传染对象分类(计算机病毒的部分或全部逻辑取代 正常引导记录，将正常的引导记录存在磁盘其他地方） **

• 磁盘引导区传染的计算机病毒
• 操作系统
• 可执行程序

**按照计算机病毒的攻击机型分类 **

• 攻击微型计算机的计算机病毒
• 小型机
• 工作站

**按照计算机病毒的链接方式分类 **

• 源码型计算机病毒：高级语言编写的程序，编译之前插入到源程序中
• 嵌入型：把自己嵌入到现有程序中
• 外壳型：易于编写，常见，易于发现
• 操作系统型：加入获取的部分操作系统

**按照计算机病毒的破坏情况分类 **

• 良性：不包含有立即对计算机系统产生直接破坏作用的代码。

1. 取得系统控制权
2. 使整个系统运行效率降低、系统可用内存减少
3. 死锁 恶性：在其包含有损伤和破坏计算机系统的操作和代码在其传染或发作时会对系 统产生直接的破坏作用。

**按照计算机病毒激活的时间分类 **

• 定时计算机病毒在某一特定时间才发作
• 随机计算机病毒一般不是时钟终来激活的

**按照计算机病毒的传播媒介分类 **

• 单机计算机病毒的载体是磁盘，常见的是计算机病毒，从软盘或 U 盘等移动载体 传
• 入硬盘感染系统，然后再传染其他的软盘或 U 盘，软盘等移动载体又传染其他系统
• 网络计算机病毒的传播媒介不再是移动式载体，而是网络通道，这种计算机病毒 传染能力更强，破坏力更大

**按照计算机病毒的寄生方式 **

1. 引导型病毒 又称操作系统型病毒，其病毒隐藏在操作系统的引导区，在系统启动时进入 内存，监视系统运行，待机传染和破坏。常见的有“大麻”，“小球”和“火炬”病毒等。
2. 文件型病毒 是寄生在文件中的计算机病毒，这种病毒感染可执行文件或数据文件。常见 的有“CIH”，“DIR-2”等。影响 Word 文档(.doc）和 Excle 工作簿（ .xls）进行打开、存 储、关闭和清除等操作的宏病毒也是一种文件型病毒，它目前占全部病毒的 80%,是病毒历 史上发展最快的病毒。
3. 复合型病毒 同时具有引导型和文件型病毒寄生方式的计算机病毒。它既感染磁盘的引导 区又感染可执行文件。常见的有“Filp”，“One-half”等病毒.

**按照计算机病毒特有的算法分类 **

• 伴随行计算机病毒
• 这一类病毒并不改变文件本身，他们根据算法产生 exe 文件。伴随体具有同样的名字和不同 的扩展名 com。例如 xcopy.exe。计算机病毒把自身写入.com。文件并不改变.exe 文件。当 dos 加载文件时，伴随体优先被执行。再有伴随体加载执行原来的.exe 文件
• 蠕虫型计算机病毒
• 这类计算机并不通过计算机网络传播，不改变文件和资料信息，利用网络从一台计算机的内 存传播到其他计算机的内存，寻找计算机地址。将自身的计算机病毒通过网络发送，有时他 们在系统存在，一般除了内存不占用其他资源.
• 寄生型计算机病毒
• 通过统的功能进行传播，按算法可分为如下几种
• 练习型计算机病毒：计算机病毒本身包含错误，不能进行很好的传播。调试阶段的病毒
• 诡秘型计算机病毒：使用技术使自己不易被看到
• 变型计算机病毒（幽灵）：复杂，内容长度都不一样。

**按照计算机病毒的传染途径分类 **

1. 感染磁盘上的引导扇区
2. 感染文件型计算机病毒按传染途径分为
3. 驻留
4. 不驻留

**按照计算机病毒的破坏行为分类 **

• 攻击系统数据区
• 攻击文件
• 攻击内存（占用，改内存，禁用）干扰系统运行
• 速度下降
• 攻击磁盘
• 扰乱屏幕显示
• 键盘
• 喇叭
• 攻击 cmos
• 干扰打印机

**按照计算机病毒的作案方式分类 **

• 暗藏型计算机病毒
• 杀手型
• 霸道型
• 超载型
• 间谍型
• 强制隔离型
• 欺骗型
• 干扰型

**Linux 平台下的病毒 **

1. 可执行文件型病毒
2. 蠕虫病毒
3. 脚本病毒
4. 后门程序

**互联网环境下病毒的多样化 **

1. 传播网络化
2. 电子邮件、
3. 文件下载、
4. 网页浏览
5. 利用操作系统和应用程序的漏洞
6. 传播方式多样
7. 病毒制作新
8. 诱惑性
9. 病毒形式多样化
10. 危害多样化

**单机–网络瘫痪（网络系统） **

1. 信息窃取
2. 传播非法信息

**计算机病毒的引导模块 **

• 将计算机病毒程序引入计算机内存，使得感染模块和表现模块处于活动状态，有 自我保护功能，未感染模块和表现模块设置启动条件。

**计算机病毒感染模块 **

• 功能

1. 判断当前系统环境是否满足感染条件
2. 如果满足启动感染功能，将病毒程序附加到其他宿主程序上

• 部分
• 感染条件判断子模块
• 感染功能实现子模块
• 计算机病毒表现模块

部分

1. 根据引导模块设置的触发条件
2. 如果满足启动计算机病毒程序（按照预定的计划执行）
3. 条件判断子模块
4. 表现功能自模块

**计算机病毒的生命周期（四个阶段） **

• 潜伏阶段：用户感觉不到病毒存在
• 传染阶段：将自身复制到其他程序或者磁盘某个区域之上。
• 触发阶段：病毒被激活来进行它想要完成的功能.和潜伏阶段一样,触发阶段可能 被不同的系统事件所引起.
• 发作阶段：功能被完成.这个功能可能是无害的,例如显示在屏幕上的一个消息: 或者是破坏的,例如破坏程序和数据文件.

计算机病毒的寄生对象
寄生在计算机硬盘的主引导扇区中（一般采用替代法）
寄生在计算机磁盘逻辑分析引导扇区中
寄生在可执行程序中（链接法）

传染方式

• 一种方式是计算机病毒的被动感染，用户在复制磁盘或文件时，把一个计算机病 毒由一个信息载体复制到另一个息载体上，当然也可能通过网络上的信息传递， 把一个计算机并不程序从另一方传递到另一方。（用户行为）
• 另外一种方式是计算机病毒的主动传染，计算机病毒与计算机系统的运行以及计 算机病毒程序处于激活状态为先决条件。此外，计算机病毒传染的时间性，满足 病毒处于激活状态，传染条件满足 其传染方式也可分为立即传染和伺机传染。 、
• 立即传染计算机病毒被执行，瞬间抢在宿主执行前。立刻感染盘上其他程序，再去执行宿主程序
• 伺机感染：驻留在内存中是否满足感染条件

计算机病毒传染过程

• 主动传染计算机病毒是病毒载体，外储存器进入系统内存储器（常驻内存、监视） 病毒引导模块，将病毒传染模块驻留到内存，修改系统中断向量入口地址，INT 13H 使得中的向量指向传染模块
• 一旦系统执行读写操作或者系统功能调用，传染模块被激活，判断满足条件，将 自身传染给磁盘或程序转移到原中断程序执行原有操作。

正常计算机 dos 启动过程

1. 加电开机之后进入系统的检测程序
2. 从系统盘 0 面 0 到 1 扇区（逻辑 0 扇区）读入 boot 引导程序到内存 0000：7c00
3. 转入 boot 执行
4. boot 判断是否为系统盘 是 IBM BIO.COM IBM BIO.COM 隐含文件
5. 执行文件。Command.com。装入内存
6. 系统正常运行，dos 启动成功

复制步骤

1. 将 boot 区中的计算机病毒代码首先读入内存的 0000：7c00
2. 将自身全部代码读入内存的某一安全区、常驻内存、监视系统运行
3. 修改 INT 13H 中断服务处理程序的入口地址，指向病毒控制模块执行
4. 病毒全部内存后，才读入正常的 boot 内容 0000：7c00
5. 计算机病毒伺机等待，等待感染新的盘

如果有攻击对象

1. 将目标盘引导上去读入内存，判断
2. 如果满足将计算机病毒的部或部分写入 boot 区，将正常的磁盘引导区程序写 入磁盘特写位置
3. 返回正常的 INT 13H 中断服务处理程序,完成的目标盘的感染 感染性，杀伤力大，潜伏期短

计算机病毒的触发机制

• 日期触发
• 时间触发
• 键盘触发
• 感染触发
• 启动触发
• 访问磁盘次数次触发
• 调用中断功能触发
• CPU 型号、主板型号触发

计算机病毒的传播机制

1. 计算机病毒直接从有盘站复制到服务器
2. 计算机病毒先传染工作站，在工作站内驻留等运行网络盘内程序时，在传染给 服务器。
3. 计算机病毒先传染工作站，在工作站内驻留在计算机病毒运行时直接通过映像 路径传染到服务器中
4. 远程工作站被侵入，进入到网络服务器
5. 网络环境通过邮件传输，
6. 邮件，彩信，短信应用程序

计算机病毒发作前的表现

1. 算机经常性无缘无故的死机
2. 操作系统无法正常启动
3. 运行速度异常
4. 内存不足的错误
5. 打印、通信及主机接口发生异常
6. 无意中要求对软盘进行写操作
7. 以前能正常运行的应用程序经常发生死机或错误
8. 系统文件的时间，日期和大小发生变化
9. 宏病毒的表现现象
10. 磁盘空间迅速减少
11. 网络驱动器卷或共享目录无法调用
12. 陌生人发来的电子邮件
13. 自动链接到一些陌生的网站

计算机病毒发作时的表现

1. 显示器屏幕异常
2. 声音异常
3. 硬盘灯不断闪烁
4. 进行游戏算法
5. Windows 桌面图标发生变化
6. 计算机突然死机或重启
7. 自动发送电子邮件
8. 鼠标键盘失控被感染
9. 系统被打开服务端口
10. 反计算机病毒软件无法正常工作

计算机病毒发作后的表现

1. 硬盘无法启动，数据丢失文件，
2. 文件目录丢失或破坏
3. 数据密级异常
4. 使部分可软件升级主板的 BIOS 程序混乱
5. 网络瘫痪
6. 其他异常现象

新型计算机病毒的发展趋势

• 网络化
• 人性化
• 隐蔽化
• 多样化
• 平民化
• 智能化
• 网络病毒技术不断突破
• 网络上恶意惩处传播方式多样
• 网银木马数量迅猛增长
• 计算机病毒变种的数量成为危害的新标准
• 混合病毒
• 黑色产业链
• 云安全服务将成为新趋势
• 云安全 p2p 网格技术，云计算等分布式计算技术的混合

新型计算机病毒发展的主要特点

• 流行计算机病毒开始体现出以往计算机病毒截然不同的特征与和发展方向，更加 呈现综合性的特点，功能越来越强大
• 它可以感染引导区可执行文件。更主要的是与网络结合，通过电子邮件，局域网， 聊天软件甚至浏览网页等多种途径进行传播，同时还兼有黑客后门功能，进行密 码猜测，实施远程控制并且中止计算机病毒软件和防火墙的运行
• 计算机病毒通常利用操作系统的漏洞进行感染和破坏

1. 利用系统漏洞将成为计算机病毒有力的传播方式
2. 局域网内快速传播
3. 以多种方式快速传播
4. 欺骗性增强
5. 大量消耗系统与网络资源
6. 更广泛的混合型特征
7. 计算机病毒与黑客技术的融合
8. 计算机病毒出现频度高，计算机病毒生成工具多，计算机病毒的变种多
9. 难于控制和彻底根治，容易引起多次疫情

新型计算机病毒的传播途径

• 传播途径：软盘，光盘，硬盘，bbs，网络，
• 计算机病毒传播呈现多样性
• 一隐藏在及时通讯软件中的计算机病毒
• 二在 irc 中的计算机病毒
• 三点对点计算机病毒
• 新型计算机病毒的最主要载体
• 网络蠕虫成为最主要和破坏力最大的计算机病毒类型
• 恶意网页木马和计算机病毒
• 新型计算机病毒的主要技术
• ActiveX 与 Java
• 计算机病毒的驻留内存技术
• 修改中断向量表技术
• 计算机病毒隐藏技术
• 静态隐藏技术
• 秘密行动法
• 自加密技术
• 多态技术
• 插入性病毒技术

动态隐藏技术

1. 反 debug 跟踪技术
2. 检测系统调试寄存器，防止计算机病毒被动态跟踪调试
3. 进程注入技术
4. 超级计算机病毒技术
5. 对抗计算机病毒防范系统技术

技术的遗传与结合

基于 Windows 的计算机病毒

1. 什么是 Windows 计算机病毒？
2. 为什么 Windows 计算机病毒这么多危害系统主机的非授权主机进程表现形式 为计算机病毒，木马，蠕虫，后门和漏洞等以下分析并简单比较主机不安全因素 的影响及范围
3. Windows 系统与计算机病毒的斗争

恶意代码：

1. 计算机病毒：是程序，也是对功能数据进行破坏的代码，还会产生自我复制。其特点有 感染性，潜伏性，触发性，破坏性，表现性，传播性等。
2. 木马：全称特洛伊木马，共有 6 代：最原始的木马（简单密码窃取）；具备了服务端/客 户端（冰河）；数据传递（ICMP 类型木马，利用畸形报文增加查杀能力）；进程隐藏（选择 方式：反弹端口）；驱动级木马（rootkit 深度隐藏）；黏虫技术（身份认证，usbkey，杀毒软 件）。需要注意的是木马病毒不是木马。
3. 后门：与木马一样隐藏在系统中，具有权限；但体积小，功能单一，不一定具有感染性 和隐蔽性。
4. 蠕虫：网络中复制传播。其特性为传播，自我复制，一般不受感染。
5. 网络僵尸：将大量主机感染 bot 程序，有两种方式一对一和一对多。网络僵尸组合起来 就是僵尸网络。bot 是一种病毒或蠕虫。
6. rootkit：在安装目标上隐藏自身指定的文件进程网络链接等。
7. 勒索软件：像木马，骚扰恐吓绑架用户的文件，勒索钱财，通常用真实货币，比特币， 其他虚拟货币交易。
8. 间谍软件：除了主动收集信息，其他与木马无差别。
9. 恶作剧软件
10. 软件下载器：可被病毒或木马利用进行传播。
11. 恶意脚本：基于 JavaScript，VBScript 设计的前端语言脚本病毒，在网页传播。
12. 宏病毒：存在于 office 工具集