一、计算机病毒概述

计算机病毒是必然产物。

计算机病毒是一种人为制造的，侵入计算机系统、寄生于应用程序或系统可执行部分，并可以自我复制、传播，具有激活型、攻击性的程序代码。

计算机病毒宿主

病毒大多不以文件形式存在，寄生在合法程序上（可以是引导程序，可执行程序，word文档）。

计算机病毒起源

病毒起源 

病毒发展 

 

二、病毒的命名与分类

病毒命名方法

• 采用病毒体字节数，如1055/4099病毒
• 病毒体内或传染过程中的特征字符串，如CIH、爱虫病毒
• 发作的现象，如小球病毒
• 发作的时间以及相关的时间，黑色星期五病毒
• 病毒的发源地，如合肥2号

（通常还会加上指明病毒属性的前后缀，一种病毒可能有多种名字）

病毒分类

按所供给操作系统划分法

• DOS病毒
• Windows病毒
• Linux病毒
• Unix病毒

寄生方法分类

• 覆盖型：病毒用自身的代码，部分或全部的覆盖在寄生的宿主上，使原宿主的部分功能或全部功能被破坏
• 代替型：病毒用自身的程序代码替代原宿主程序代码。病毒程序能完成或简单完成被替代程序代码的主要功能，因而可以减少被发现的机会。
• 填充型：将自身的代码隐藏在寄生宿主内部为存有信息的空白存储单元。
• 链接型：病毒代码附加到宿主程序上，并不破坏宿主代码。
• 转储型：将其宿主程序的部分代码或全部代码转出到其他储存空间，而病毒本身侵占宿主程序原来的存储空间。这类病毒一般感染磁盘引导区。

传染目标分类法

• 引导型：修改系统启动扇区，启动时取得控制权，进行传播破坏
• 文件型：感染可执行文件，调用文件时运行
• 混合型：既感染引导区又感染文件

破坏性分类法

• 良性
• 恶性

三、病毒特征

• 刻意编写人为破坏：破坏数据、删除文件、格式化磁盘、破坏主板
• 主动传染性：自我复制，扩散传播
• 隐藏性：难以识别，体积短小，加密，变形
• 可激活性：具有潜伏期，满足触发条件后才发作（触发器：系统时钟，并独自带计数器，特定操作）
• 不可预见性

 

 

四、病毒程序结构

计算机病毒程序是为了特殊目的而编制的，他通过修改其他程序而把自己复制进去，并且传染该程序。一般来说，计算机病毒程序包括三个功能模块。

引导模块

借助宿主程序，将病毒程序从外存引进内存，以便使传染模块和破坏模块进入活动状态。另外，引导模块还可以降分别存放的病毒程序链接在一起，重新进行装配，形成新的病毒程序，破坏计算机系统。

传染模块

将病毒迅速传染，尽可能扩大染毒范围。病毒的传染模块由两部分组成：条件判断部分和程序主体部分，前者负责将病毒程序与宿主程序链接，完成传染病毒的工作。

破坏模块

病毒编织者的意图，就是攻击破坏计算机系统，所以破坏模块是病毒程序的核心部分。破坏模块在进行各种攻击之前，首先判断破坏条件是否成立，只有条件全部满足时，破坏模块才开始其破坏活动。 

这些模块功能独立，同时又相互关联，构成病毒程序的整体。

五、现代计算机病毒特征

攻击对象趋于混合型

同时感染系统引导区和可执行文件

反跟踪技术

增强隐蔽性

加密技术处理

病毒体繁衍不同变种

自我变形，自我保护，自我恢复

六、计算机病毒防治

病毒的弱点

• 病毒是一段程序，需要宿主。
• 宿主必须是可执行部分，
• 病毒的任何感染行为总是会改变宿主，或完全替代宿主的一部分代码，或修改部分代码，或改变操作系统定位该宿主的指针。
• 如果病毒要存活、繁衍，其程序代码就必须能够被执行，即病毒要有转变为激活态的机会——否则就不能进行传染、表现或破坏。

杀毒软件技术

病毒扫描程序

内存扫描程序 

完整性检查程序 

行为监视器