一、计算机病毒的简介

1、名称的由来

由生物医学上的 “病毒” 一词借用而来。

（1）与生物医学上“病毒”的异同

• 同：都具有传染性、流行性、针对性等。
• 异：不是天生的，而是人为编制的具有特殊功能的程序。

---

2、病毒的起源

---

3、广义的定义

凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒（Computer Virus）

---

4、法律性、权威性的定义

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能够自我复制的一组计算机指令或者程序代码。

---

二、计算机病毒的特征

1、寄生性

• 依附于合法的程序之中。
• 病毒所寄生的合法程序被称为病毒的载体，也称为病毒的宿主程序。

---

2、传染性

• 通过各种渠道从已被感染的计算机扩散到未被感染的计算机。
• 是病毒的基本特征，是判别一个程序是否是计算机病毒的首要条件。

3、隐蔽性

• 短小精悍，发作前不易被用户察觉和发现。
• 存在的隐蔽性和传染的隐蔽性。

---

4、潜伏性

• 侵入系统后，不会立即进行活动
• 潜伏期越长，病毒的传染性越大

---

5、可触发性

因某个特征或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。

---

6、破坏性或表现性

降低系统的工作效率，占用系统资源。

---

7、针对性

只破坏某些特定的物理设备或系统。

---

8、新特点

• 主动通过网络和邮件系统传播
• 传播速度极快
• 变种多
• 具有病毒、蠕虫和黑客程序的功能

---

三、计算机病毒的传播途径

---

四、计算机病毒的分类

1、按照感染或者寄生的对象分类

（1）引导型病毒

• 藏匿在磁盘片或硬盘的第一个扇区
• 先于操作系统加载到内存中，获得完全的控制权

（2）文件型病毒

• 通常寄生在可执行文件中，如*.BAT, *.COM, *.EXE等。

（3）混合型病毒

• 既传染磁盘引导扇区又传染可执行文件的病毒。

---

2、按照计算机病毒的破坏情况分类

（1）良性病毒

ZDNet 安全不会对计算机系统直接进行破坏，只是具有一定表现症状的病毒。

（2）恶性病毒

会对系统产生直接的破坏的作用。

（3）中性病毒

只是疯狂复制自身的病毒，也就是常说的蠕虫型病毒。

---

3、按链接方式分类

（1）源码型病毒

在高级语言所编写的程序编译前插入到源程序中。

（2）入侵型病毒/嵌入型病毒

将自身嵌入到宿主程序中。

（3）外壳型病毒

寄生在宿主程序的前面或后面，并修改程序的第一个执行指令。

（4）操作系统型病毒

用自己的逻辑模块取代操作系统的部分合法程序模块。

---

4、从广义病毒定义的角度

（1）逻辑炸弹

修改计算机程序，使它在某种特殊条件下按某种不同的方式运行。逻辑炸弹也是由程序员插入其它程序代码中间的，但并不进行自我复制。

---

（2）特洛伊木马

A. 特征和行为

• 木马本身不进行自我复制。
• 被感染的计算机系统会表现出不寻常的行为或运行变慢。比如：有一个或多个不寻常的任务在运行；注册表和其他配置文件被修改;电子邮件会在用户不知情的情况下被发送等。

B. 攻击步骤 

• 设定好服务器程序
• 骗取对方执行服务器程序
• 寻找对方的IP地址
• 用客户端程序来控制对方的计算机

C. 传播途径

• 电子邮件的附件（木马非自我复制）
• 隐藏在用户与其他用户进行交流的文档和其他文件中
• 被其他恶意代码所携带，如蠕虫
• 会隐藏在从互联网上下载的捆绑的免费软件中

D. 预防

• 不要执行任何来历不明的软件或程序（无论是邮件中还是 Internet 上下载的）
• 上网的计算机要必备防毒软件（切记及时升级) 

---

（3）计算机蠕虫

---

（4）宏病毒

---

5、手机病毒

---

---

五、计算机病毒的防范技术

1、检测技术

是指通过一定的技术手段判定出病毒的技术。

• 在特征分类的基础上建立的病毒识别技术。
• 通过病毒行为或文件校验和的病毒判定技术。

（1）比较法

将原始的或正常的特征与被检测对象的特征比较。

由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化,从这些特征的比较中可以发现异常,从而判断病毒的有无。

A. 优点

简单、方便,不需专用软件。

B. 缺点

无法确认计算机病毒的种类和名称。

---

（2）病毒校验和法

计算出正常文件的程序代码的校验和，并保存起来，可供被检测对象对照比较，以判断是否感染了病毒。

A. 优点

可侦测到各式的计算机病毒，包括未知病毒。

B. 缺点

误判率高，无法确认病毒种类。

---

（3）分析法

该方法的使用人员主要是反计算机病毒技术的专业人员。

---

（4）搜索法

最普遍的计算机检测方法。

用每一种计算机病毒体含有的特定字符串对被检测对象进行扫描。

特征串选择的好坏，对于病毒的发现具有决定作用。

如何提取特征串，则需要足够的相关知识。

A. 缺点

被扫描的文件很长时，扫描所花时间也越多；不容易选出合适的特征串；计算机病毒代码库未及时更新时，无法识别新型计算机病毒；不易识别变形计算机病毒等。

---

（5）行为监测法

通过检测病毒在感染及破坏时表现出来的行为来判断病毒是否存在。

A. 优点

不仅可检测已知病毒，而且可预报未知病毒。

B. 缺点

有可能误报。

---

（6）病毒行为软件模拟法

专门用来对付多态病毒。

（7）感染实验法

• 利用病毒最重要的基本特性 —— 传染性。
• 检测时，先运行可疑系统中的程序，再运行一些确切知道不带毒的正常程序，然后观察这些正常程序的长度和校验和，如果发现有变化，可断言系统中有病毒。

---

各种方法进行有机的结合，各取所长。 

---

2、清除技术

---

3、免疫技术

---

4、预防技术