最新网络技术论文.doc

摘要计算机网络已普及到了社会中的各行各业。相较以前计算机有了翻天覆地的发展，然而紧随其后的，是计算机病毒的更大规模的发展。计算机病毒至今已从单纯的破坏进入到了恶意攻击时代。随着计算机网络的飞速发展，伴随而来的计算机病毒传播问题也越受人们关注，尤其是因特网已成了病毒传播的主要途径。计算机病毒给我们的工作、学习生活制造了很大的麻烦。因此，面向全社会普及计算机病毒的基础知识，增强大家的病毒防范意识，“全民皆兵”并配合适当的反病毒攻击，才能真正地做到防患于未来，这里将我多年的计算机病毒知识分享给大家，揭开计算机病毒的神秘面纱，让大家能更好地保护自己的计算机安全。目前计算机的应用遍及到社会的各个领域，同时计算机病毒也给我们带来了巨大的破坏和潜在的威胁，因此为了确保计算机能够安全工作，计算机病毒的防范工作，已经迫在眉睫。从计算机病毒的攻防入手，浅谈计算机病毒是如何攻击计算机和计算机病毒的特点及其防范措施。关键词：计算机病毒 计算机安全 入侵 防范 杀毒Abstract Computer network has age to society in all walks of life. Compared with the previous computer has great development, however, is followed by the computer virus more large-scale development. Computer virus has so far from the pure damage into a malicious attacks era.Along with the rapid development of the computer network, with a computer virus spread by people to pay attention to the problem, especially the Internet has become the main ways of the spread of the virus. Computer viruses to our work, study life trouble. Therefore, facing the whole society popularization of computer virus basic knowledge, enhance the virus protection consciousness, everybody national all soldiers and cooperate proper anti virus attacks, will really do in the future, precautionary here will be my years of computer virus knowledge sharing to everybody, unravel the mysteries of computer virus, let everybody can better protection of their computer security.At present the application of computer in all fields of society, and computer virus also brings us a great destruction and potential threat, so in order to ensure that a computer can work safety, the computer virus prevention work, is imminent. Starting from the computer virus attack, showing a computer virus is how to attack computers and computer virus characteristics and preventive measures.Keywords：Computer viruses Computer security intrusion prevent antivirus目录一、 绪论1（一） 认识计算机病毒11. 计算机病毒的定义12. 计算机病毒的特征23. 计算机病毒的新特点3（二） 计算机病毒的分类31. 按照计算机病毒攻击的系统分类32. 按照计算机病毒的链结方式分类43. 按照计算机病毒的寄生部位或传染对象分类44. 按照传播媒介分类5（三） 计算机病毒的命名规则5（四） 计算机病毒的传播方式7二、 计算机病毒发展历史介绍8（一） 计算机病毒产生的根源9（二） 计算机病毒的发展9阶段10（三） 我国计算机病毒现状111. 我国互联网高速发展112. 计算机病毒造成的经济损失123. 2010年上半年的十大病毒12（四） 计算机病毒情况13三、 计算机病毒的分析15（一）早期的DOS病毒151. DOS简介152. DOS病毒15（二） Windows时期的病毒161. 宏病毒（巨集病毒）162. 32位病毒16（三） 第二代病毒16（四） 系统型病毒的存储结构17（五） 文件型病毒的存储结构17（六） 典型结构的简单病毒示例18（七） 典型WIN95.CIH病毒解剖剖析18四、 计算机病毒的攻击20（一）计算机病毒的工作原理201. 程序型病毒的工作原理202. 引导型病毒的工作原理20（二） “熊猫烧香”病毒分析与处理21（三） 计算机病毒的引导过程23（四） 计算机病毒的触发机制23（五） 计算机病毒的破坏行为24五、 计算机病毒的防范25（一） 计算机病毒的表现25（二） 计算机病毒的检测、防范与清除251. 计算机病毒的检测252. 计算机病毒的防范253. 计算机病毒的清除26（三） 常用的反病毒软件26（四） 计算机染毒后的危害修复措施26（五） 典型杀毒软件的使用27参考文献28致谢2929一、 绪论随着计算机和网络应用的不断深入,计算机病毒已成为计算机系统安全的主要威胁。文章首先分析了计算机病毒的概念及其及其特征特点,接着通过对计算机病毒对计算机的危害，了解掌握防范计算机病毒的方法。（一） 认识计算机病毒随着计算机、因特网的普及和计算机病毒技术的日益成熟，计算机崩溃、重要数据遭到破坏和对视会造成社会财富的巨大浪费。那么，计算机病毒到底是什么样的，如何来的呢？我们必须对它的发展、结构和主要特征有一个清楚的认识。1986年，可令个人电脑的操作受到影响的电脑病毒首次被人发现。此后，电脑病毒的数目不断上升。一般来说，电脑病毒泛指一些能够影响电脑正常运作的有害程式。为何我们称这些有害程式为电脑病毒？电脑科研人员发现，电脑病毒与生物病毒有很多相似之处。第一，两者均需要贮存在一个主体内。就电脑病毒而言，主体通常指受感染的文件。电子邮件或磁盘。第二，两者均可自行衍生，由一个主体感染另一个主体。最后，两类病毒均会对主体造成损害。但两者之间最少有一点是不同的：电脑病毒是由人类编写而产生的，而生物病毒则是自然而生。电脑病毒与我们平时所说的医学上的生物病毒是不一样的，它实际上是一种电脑程式，只不过这种程式比较特殊，它是专门给人们捣乱和搞破坏的，它寄生在其它文件中，而且会不断地自我复制并传染给别的文件，没有一点好作用。简单来说，会使档案长度增加删减、不寻常的错误讯息出现，而且可以不断的去感染其它程式的程式，我们都可以通称它为电脑病毒。1. 计算机病毒的定义计算机病毒是一个程序，一段可执行码。最早是由美国计算机病毒研究专家F.Cohen博士提出的。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。 计算机病毒定义的描述不尽相同，长久以来一直没有公认的明确定义。从广义上讲，凡是能够引起计算机故障，破坏计算机数据的程序统称为“计算机病毒”。据此定义，诸如蠕虫、木马、恶意软件，此类程序等均可称为“计算机病毒”。直至1994年2月18日，我国正式实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码” 。此定义具有法律性、权威性。2. 计算机病毒的特征在计算机所具有的众多特征中，传染性、潜伏性、触发性和破坏性是他的基本特征。其次，它还有隐蔽性、针对性、衍生性和持久性等。传染性是病毒得以传播，破坏性体现了病毒的杀伤能力。大范围传染、众多病毒的破坏行为可能给用户以重创。但是，传染和破坏行为总是是系统或多或少地出现异常。频繁的传染和破坏会使病毒暴露，而不破坏、不传染又会使病毒失去杀伤力。1.传染性传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。 2.潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才会启动其表现（破坏）模块。只有这样它才可以进行广泛地传播。如“PETER-2”在每年2月17日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13日的星期五发作。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。3.触发性触发性是指计算机病毒的发作一般都有一个激发条件，即一个条件控制。这个田间根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等。4.破坏性任何病毒只有入侵系统，都会对系统及应用程序产生不同程度的影响。轻者会降低计算机工作效率，占用系统资源，种着可导致系统崩溃。由此特性可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或播出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，例如，GENP、小球、W-BOOT等。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。5.寄生性寄生性指病毒对其他文件会系统进行一系列非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程。这是病毒的最基本特征。6.隐蔽性计算机病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。7.针对性计算机病毒是针对特定的计算机和特定的操作系统。例如，有针对IBM PC及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。例如，小球病毒是针对IBM PC及其兼容机上的DOS操作系统的。8.衍生性这种特性为病毒制造者提供了一种创造新病毒的捷径。分析计算机病毒的结构可知，传染的破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人以其个人企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种）。这就是它的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。9.持久性即使在病毒程序被发现以后，数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下，由于病毒程序由一个受感染的复制通过网络系统反复传播，使得病毒程序的清除非常复杂。3. 计算机病毒的新特点网络时代，计算机病毒具有的新特点如下：主动通过网络和邮件系统传播传播速度极快危害性极大变种多难于控制难于根治、容易引起多次疫情具有病毒、蠕虫和后门（黑客）程序功能（二） 计算机病毒的分类从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4 -6种/月的速度递增。不过，孙悟空再厉害，也逃不过如来佛的手掌心，病毒再多，也逃不出下列种类。病毒分类是为了更好地了解它们。按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。这里举几种分类方式。1. 按照计算机病毒攻击的系统分类（1）攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99。（2）攻击Windows系统的病毒。由于Windows的图形用户界面（GUI）和多任务操作系统深受用户的欢迎， Windows正逐渐取代DOS，从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。（3）攻击UNIX系统的病毒。当前，UNIX系统应用非常广泛，并且许多大型的操作系统均采用 UNIX作为其主要的操作系统，所以UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。（4）攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不祥之兆。2. 按照计算机病毒的链结方式分类由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执行的部分。（1）源码型病毒该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。（2）嵌入型病毒这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。（3）外壳型病毒外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。（4）操作系统型病毒这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等，对操作系统进行破坏。3. 按照计算机病毒的寄生部位或传染对象分类传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，也即根据计算机病毒传染方式进行分类，有以下几种：(1)磁盘引导区传染的计算机病毒磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护，则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。(2)操作系统传染的计算机病毒操作系统是一个计算机系统得以运行的支持环境，它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。(3)可执行程序传染的计算机病毒可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导扇区型传染的计算机病毒；另一类是可执行文件型传染的计算机病毒。4. 按照传播媒介分类按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。(1)单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。(2)网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。（三） 计算机病毒的命名规则其实只要掌握一些病毒的命名规则，就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。目前全世界流行的病毒大约有8万种，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：. 。病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 _），可以采用数字与字母混合表示变种标识。综上所述，一个病毒的前缀对于快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能知道现在在你机子里呆着的病毒是哪个变种。常见的病毒名称前缀，如下：1、系统病毒：Win32、PE、Win95等； （感染Windows系统的.exe、.dll 等文件，并利用这些文件进行传播）2、蠕虫病毒：Worm； （通过网络攻击或者系统漏洞进行传播，往往还发送带毒邮件，阻塞网络）3、脚本病毒：Script。VBS/JS； （使用脚本语言编写，通过网页进行的传播）4、木马/黑客病毒：Trojan / Hack。PSW / PWD； （木马侵入系统后隐藏，并向外泄露用户信息，而黑客病毒则有可视界面，能对用户电脑远程控制，两者往往成对出现，趋于整合）5、后门病毒：Backdoor； （通过网络传播，在系统上开后门，给用户的电脑带来安全隐患）6、种植程序病毒：Dropper； （运行时释放出一个或多个新的病毒，由新释放的病毒产生破坏）7、捆绑机病毒：Binder； （将病毒与一些应用程序捆绑为表面正常的文件，执行时病毒隐藏运行）8、宏病毒：Macro、Word(97)、Excel(97)等； （感染OFFICE文档，通过通用模板进行传播）9、其他 (1)破坏性程序：Harm； (2)玩笑型病毒：Joke； (3)拒绝攻击类：DoS； (4)溢出类病毒：Exploit； (5)黑客工具类：HackTool；（四） 计算机病毒的传播方式一、通过因特网传播 1. 电子邮件 2. 浏览网页和下载软件 3. 即时通讯软件 4. 网络游戏二、通过局域网传播 1. 文件共享 2. 系统漏洞攻击三、通过移动存储设备传播 1. 软盘 2. 磁带 3. 光盘 4. 移动硬盘 5. U盘(含数码相机、MP3等) 6. ZIP、JAZ磁盘 7. 磁光盘(MO)四、通过无线网络或设备传播 1. 智能手机、PDA 2. 无线通道二、 计算机病毒发展历史介绍早在1949年，距离第一部商用计算机的出现还有好几年时，计算机的先驱者冯.诺依曼在他的一篇论文复杂自动机组织论，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来，但当时， 绝大部分的计算机专家都无法想象这种会自我繁殖的程序是可能的，可是少数几个科学家默默地研究冯.诺依曼所提出的概念，直到十年之后，在美国电话电报公司(AT&T)的贝尔实验室中，三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工余想出一种电子游戏叫做磁芯大战，而它成了计算机病毒的祖先。1975年，美国科普作家约翰布鲁勒尔(John Brunner)写了一本名为震荡波骑士（Shock Wave Rider）的书，该书第一次描写了在资讯社会中，电脑作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。1977年夏天，托马斯捷瑞安（Thomas.J.Ryan）的科幻小说P-1的春天（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在电脑中互相传染的病毒，病毒最后控制了7,000台电脑，造成了一场灾难。1983年11月3日，弗雷德科恩（Fred Cohen）博士研制出一种在运行过程中可以复制自身的破坏性程式，伦艾德勒曼（Len Adleman）将它命名为电脑病毒（computer viruses），并在每周一次的电脑安全讨论会上正式提出，8小时后专家们在VAX11750电脑系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了电脑病毒的存在。1986年初，在巴基斯但的拉合尔（Lahore），巴锡特（Basit）和阿姆杰德（Amjad）两兄弟经营着一家IBM-PC机及其兼容机的小商店。他们编写了Pakistan病毒，即Brain。在一年内流传到了世界各地。1990年在美国出现第一例多形性病毒260病毒，又称幽灵病毒、千面人病毒，而在保加利亚出现用于病毒交换的VXBBS。1991年初欧洲出现病毒编写小组和俱乐部，如米兰的意大利人病毒研究实验室，英、美、澳等国家也先后成立了这样的组织。同年6月出现了第一本病毒杂志40-HEX。1992年初由国外传入我国的一种危害性圈套的文件型病毒DIR-II，其传染速度、传播范围及其隐蔽性堪称当时已发现的病毒之最。这是继莫里斯事件之后的第二起重大病毒。同年还出现了第一个能把普通病毒改造成多形病毒的变形引擎MTE。8月份，出现了第一个病毒开发软件包。同年还有人开始出售病毒软件包，黑色星期五、米开朗基罗等病毒也在国内外广泛流行。1993年美国财政一个BBS站上存放着几百个病毒原代码，引起了国际舆论的批评。1993年到期994年多形性病毒越来越多，越来越容易编写，有许多病毒开发软件包能直接生成多形病毒。1995年幽灵病毒流行中国，6月份国际上出现第一个感染数据文件的宏病毒。1998年台湾大同工学院学生刘盈豪编制了CIH病毒，6月份首先在台湾流行，此后通过网络，相继在澳大利亚、瑞士、荷兰、俄罗斯等国流行，同年8月此病毒传入我国内地，很多计算机用户的机器受到破坏，影响了计算机信息系统的安全运行。CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统FIASHBIOS芯片中的系统程序，导致主板损坏。目前该病毒已有三个版本，即1.2、1.3、1.4，发作日期是4月26日，6月26日和每月26日。2002年出现的“求职信”(I-Worm/Klez.H),2002年十大病毒之一，具有很强的隐蔽性。它是病毒传播和感染特性的集大成者，不但利用邮件进行传播、扩散，而且还感染局域网的远程共享目录，危害性较大，给国内外众多企业及个人用户造成巨大损失。2005年度中国大陆地区木马及后门程序取代蠕虫成为病毒主流，通过即时通讯工具(主要是QQ及MSN)以及系统漏洞进行传播的病毒已经取代电子邮件成为病毒传播的主要途径。2008年，江民反病毒中心监测到，上半年各种可以用来组建“僵尸网络”的BOT类病毒高发，由于电脑感染BOT病毒后，可以接受服务器端的远程控制，导致许多电脑用户不知不觉成为黑客的帮凶。2008年上半年，为了确保奥运会网络安全，江民反病毒中心配合国家计算机病毒处理中心集中处理BOT类病毒数千种，协助公安部门清理了多个“僵尸网络”病毒源头。如TrojanDropper.Psyme.gjs“怕米”变种gjs和Backdoor/Ceckno.cf“塞克诺”变种cf，是2008年猖狂于网络间的最新病毒。至今2010年2010年开门红 “暴风一号”成最新非主流病毒，2010年开门红 “暴风一号”成最新非主流病毒。这是一个由VBS脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。在计算机的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级时，病毒也会调整为新的方式，产生新的病毒技术。（一） 计算机病毒产生的根源那么究竟它是如何产生的呢？其过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。究其产生的原因不外乎以下几种：l 用于版权保护：这可能是计算机病毒产生的最初也是最根本的原因。现在，用于这种目的的计算机病毒已不多见。l 显示自己的计算机水平：某些爱好计算机并对计算机技术精通的人士为了炫耀自己高超的技术和智慧，凭借对软硬件的深入了解，编写这些特殊程序。尽管他们的本意并不想危害社会，但不幸的是，这些程序通过某些渠道传播出去后的确对社会造成了很大的危害。l 产生与别人的报复心里：在所有的计算机病毒中，危害最大的就是有报复性目的故意制造的计算机病毒。l 用于特殊目的：此类计算机病毒通常用于某些组织（如军事、政府秘密研究所），或个人为了保存某些资料，或防止别人入侵相应的计算机系统等。（二） 计算机病毒的发展9阶段1、DOS引导阶段1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。 当时的计算机硬件较少，功能简单，一般需要通过软盘启动后使用。引导型病毒利用 软盘得启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内 存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。1989年，引导型病 毒发展为可以感染硬盘，典型的代表有石头2。2、DOS可执行阶段1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为 耶路撒冷,星期天病毒，病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调 用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒 ，可感染COM和EXE文件。3、批处理型阶段1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。它感染EXE文 件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时，改为原来的COM文件为同名 的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒就 取得控制权。4、幽灵、多形阶段1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式 的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点，每感染一次 就产生不同的代码。5、生成器阶段1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的 结果，随机的插入一些空操作和无关指令，也不影响运算的结果，这样，一段解码算法就可以 由生成器生成。当生成的是病毒时，这种复杂的称之为病毒生成器和变体机就产生了。具有典 型代表的是病毒制造机VCL6、网络、蠕虫阶段1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改 进。在非DOS操作系统中，蠕虫是典型的代表，它不占用除内存以外的任何资源，不修改磁 盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启 动文件中存在。7、Windows病毒阶段1996年，随着Windows和Windows95的日益普及，利用Windows进行工作的病毒开始发展 ，它们修改(NE,PE)文件，典型的代表是DS.3873,这类病毒的机制更为复杂，它们利用保护模 式和API调用接口工作，清除方法也比较复杂。8、宏病毒阶段1996年，随着Windows Word功能的增强，使用Word宏语言也可以编制病毒，这种病毒 使用类Basic语言，编写容易，感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病 毒也归为此类。9、互连网阶段1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的 数据包和邮件越来越多，如果不小心打开了这些邮件，机器就有可能中毒。计算机病毒阶段发展如图21图21 计算机病毒发展阶段图（三） 我国计算机病毒现状1. 我国互联网高速发展l 截至2010年6月，总体网民规模达到4.2亿，突破了4亿关口，较2009年底增加3600万人。互联网普及率攀升至31.8%，较2009年底提高2.9个百分点。 l 截至2009年底，国内网站数量达到323万个，年增长率12.3%。其中，电子商务、网络广告、网络游戏、搜索引擎为一季度主要增长领域，市场规模同比增长均超过20%。l 7月15日消息，中国互联网络信息中心（CNNNIC）今日发布的最新报告显示，2010年上半年，我国境内的域名和网站数量都出现了不同程度的减少。根据报告，截至2010年6月，我国域名总数下降为1121万，其中.CN域名725万，.CN在域名总数中的占比从80%降至64.7%。与此同时，.COM域名增加53.5万，比重从16.6%提升至29.6%。同时，中国的网站数量（即域名注册者在中国境内的网站数）减少到279万个，降幅13.7%。其中，.CN网站为205万个，占网站整体的73.7%。2. 计算机病毒造成的经济损失遥远的病毒早已经成为了计算机史上的历史，国人对于计算机病毒印象最深的，恐怕还是从1998年开始爆发的“CIH”病毒，它被认为是有史以来第一种在全球范围内造成巨大破坏的计算机病毒，导致无数台计算机的数据遭到破坏。在全球范围内造成了2000万至8000万美元的损失。具体如下：图2-2 病毒名称爆发年限损失估计CIH病毒1998年6月全球约5亿美元梅利莎(Melissa)1999年3月全球约3亿6亿美元爱虫(Iloveyou)2000年全球超过100亿美元红色代码(CodeRed)2001年7月全球约26亿美元冲击波(Blaster)2003年夏季数百亿美元巨无霸（Sobig)2003年8月50亿100亿美元MyDoom2004年1月百亿美元震荡波(Sasser)2004年4月5亿10亿美元熊猫烧香(Nimaya)2006年上亿美元网游大盗2007年千万美元扫荡波2008年9600万美元手机僵尸2010年200万以上图2-2 近年爆发的病毒及其损失状况3. 2010年上半年的十大病毒2010年上半年，瑞星拦截到5.96亿人次网民感染病毒，平均每天感染人次达331万。按感染人数、变种数量和代表性进行综合评估，瑞星选出了2010年上半年的十大病毒，“微软漏洞蠕虫王”成为上半年的“毒王”，共感染网民700余万人次。与去年的毒王相比，其感染侵害的人数有大幅降低。如下图23所示图23 2010年上半年十大毒王（四） 计算机病毒情况我国计算机用户病毒感染情况：今年计算机病毒感染率为74%，继续呈下降趋势；多次感染病毒的比率为5 2 %，比去年减少9% 。这说明我国计算机用户的计算机病毒防范意识和防范能力在增强。2005 年5月至2006 年5 月，全国没有出现网络大范围感染的病毒疫情。计算机病毒造成的损失情况：今年调查结果显示，计算机病毒发作造成损失的比例为62%。浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。我国计算机病毒传播的主要途径网络浏览或下载仍是感染计算机病毒最多的途径。通过优盘等移动存储介质传播病毒的比率明显增加。这是由于优盘应用日益广泛，优盘支持程序自动运行，计算机病毒通过Autorun.inf文件自动调用运行病毒程序，从而感染用户计算机系统。因此，对移动存储介质的管理有待加强。我国最流行的十种计算机病毒 “木马代理”和“下载助手”是传播最广的两种计算机病毒。这两种计算机病毒可以从指定的网址自动下载木马或恶意代码，运行后盗取用户的账号、密码等信息发送到指定的信箱或网页。“传奇木马”和“QQ 木马”能够窃取用户的游戏帐号和密码。“灰鸽子”和“德芙”具有后门功能。当前我国网络流行病毒的本土化趋势更加明显，很多病毒主要是针对国内一些应用程序专门制作的。国际计算机病毒的发展趋势：2006 年12 月1 日至7 日，国家计算机病毒应急处理中心随公安部代表团，参加了在新西兰奥克兰市召开的第九届亚洲反病毒研究者协会（AVAR）年会暨国际反病毒大会。来自澳大利亚、新西兰、日本、韩国、印度、新加坡、马来西亚、美国、法国、冰岛、捷克、罗马尼亚、斯洛伐克、英国、德国、西班牙、中国和中国香港等二十多个国家和地区的120 多位代表参加了本届会议。此次会议研讨的主题是“数字安全从预防到起诉”。报告人主要来自于政府部门、警察部门、研究机构、反病毒组织和一些著名的反病毒公司。会议共作了20个专题报告和两个小组专题讨论，主要围绕2006年以来计算机病毒发展新动态、各种防治技术措施和有关政策法规等专题进行了研讨。随着计算机网络的发展普及，计算机病毒也日益频繁，无孔不入，各种计算机故障也越来越多。然而抑制病毒的反病毒软件也问世而出。三、 计算机病毒的分析（一）早期的DOS病毒DOS病毒是指基于dos操作系统而设计的病毒。1. DOS简介DOS是19811995年的个人电脑上使用的一种主要的操作系统。由于早期的DOS系统是由微软公司为IBM的个人（PC）电脑开发的，故而即称之为PC-DOS，又以其公司命名为MS-DOS，因此后来其他公司开发的与MS-DOS兼容的操作系统，也延用了这种称呼方式，如：DR-DOS、Novell-DOS .，以及国人开发的汉字DOS（CC-DOS）等等。 MS-DOS发展，从早期1981年不支持硬盘分层目录的DOS1.0，到当时广泛流行的DOS3.3，再到非常成熟支持CD-ROM的DOS6.22，以及后来隐藏到Windows9X下的DOS7.X，前前后后已经经历了20年，至今仍然活跃在PC舞台上，扮演着重要的角色。 DOS是在直接内存下运行，程序设计员只能在1MB以下的存储器上操作。DOS容许使用的内存空间只有640KB（其他的348KB为ROM BIOS和其他卡所保留）， 在DOS下无法运行超过640KB的大程序。 2. DOS病毒所谓“DOS时代的病毒”，意思是说这是从DOS时代就有的病毒，大家可别以为现在已经进入Windows 的年代，就不会感染DOS时期的病毒。其实由于Windows 充其量不过是一套架构在DOS上的操作系统，因此即使是处在Windows 之下，一不小心还是会感染病毒的！耶路撒冷（Jerusalem）这个古董级病毒其实有个更广为人知的别称，叫做“黑色星期五”。为什么会有这么有趣的别称？道理很简单：因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者所执行的程式，症状相当凶狠。米开朗基罗（Michelangelo）米开朗基罗的名字，对于一些早一点的电脑使用者而言，真可说是大名鼎鼎，如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外，更重要的是它的杀伤力惊人：每年到了3月6日米开朗基罗生日（这也就是它为什么叫做，米开朗基罗的原因）时，这个病毒就会以Format硬盘来为这位大师祝寿。于是乎，你辛苦建立的所有资料都毁于一旦，永无翻身之日。猴子（Monkey）Monkey据说是第一个“引导型”的病毒，只要你使用被Monkey感染过的系统软盘开机，病毒就会入侵到你的电脑中，然后伺机移走硬盘的分区表，让你一开机就会出现“Invalid drive specification”的信息。比起“文件型” 病毒只有执行过受感染文件才会中毒的途径而言， Monkey的确是更为难缠了。音乐虫病毒（Music Bug）这个发作时会大声唱歌，甚至造成资料流失、无法开机的病毒，正是台湾土产的病毒。所以，当你听到电脑自动传来一阵阵音乐声时，别以为你的电脑比别人聪明，那很有可能是中毒了。其实这种会唱歌的病毒也不少，有另一个著名的病毒（叫什么名字倒忘了）发作时还会高唱着“两只老虎”呢！（二） Windows时期的病毒随着Windows 3.1在全球的风行，正式宣告了个人电脑操作环境进入Windows时代。紧接着， Windows 9598的大为畅销，使得现在几乎所有个人电脑的操作环境都是在Windows状态下。而在Windows环境下最为知名的，大概就属“宏病毒”与“32位病毒”了。1. 宏病毒（巨集病毒）宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机并驻留在 Normal 模板上。自此所有自动保存的文档都会“感染”上该宏病毒，其他用户打开了染毒文档，宏病毒又会转移到其他计算机。特点：制作、变种方便，隐蔽性强，传播迅速，破坏可能性极大，但兼容性不高等。危害：不能正常打印、改变文件存储、将文件改名、乱复制文件、封闭菜单、删除选项、无法正常编辑、只能存为模板格式、破坏数据文档、设置密码、调用系统命令造成破坏。2. 32位病毒所谓“32位病毒”，则是在Windows 95之后所产生的一种新型态文件型病毒，它虽然同样是感染exe执行文件，但是这种病毒专挑Windows的32位程式下手，其中最著名的就是大为流行的CIH病毒了。CIH病毒的厉害之处，在于他可以把自己的本体拆散塞在被感染的文件中，因此受感染的文件大小不会有所变化，杀毒软件也不易察觉。而最后一个版本的CIH病毒，除了每个月26日发作，将你的硬盘Format掉之外，有时候还会破坏主板BIOS内的资料，让你根本无法开机！虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒，不过由于它的威力实在强大，大家还是小心为上。（三） 第二代病毒前面所谈的各式各样的病毒，基本上都是属于传统型的病毒，也就是所谓“第一代病毒”。会有这样的称呼方式，主要是用来区分因为Internet蓬勃发展之后，最新出现的崭新病毒。这种新出现的病毒，由于本质上与传统病毒有很大的差异性，因此就有人将之称为“第二代病毒”。第二代病毒与第一代病毒最大的差异，就是在于第二代病毒传染的途径是基于浏览器的，这种发展真是有点令人瞠目结舌！原来，为了方便网页设计者在网页上能制造出更精彩的动画，让网页能更有空间感，几家大公司联手制订出Active X及Java的技术。而透过这些技术，甚至能够分辨你使用的软件版本，建议你应该下载哪些软件来更新版本，对于大部分的一般使用者来说，是颇为方便的工具。但若想要让这些网页的动画能够正常执行，浏览器会自动将这些Active X 及Java applets的程式下载到硬盘中。在这个过程中，恶性程式的开发者也就利用同样的渠道，经由网络渗透到个人电脑之中了。这就是近来崛起的“第二代病毒”，也就是所谓的“网络病毒”。（四） 系统型病毒的存储结构一、 基本概念系统型病毒是指专门传染操作系统的启动扇区，主要是指传染硬盘主引导扇区和DOS引导扇区的病毒。二、 存储结构此类病毒程序被划分为两部分， 第一部分存放在磁盘引导扇区中，第二部分则存放在磁盘其他的扇区中。三、 简要说明1