计算机病毒概述

PAGE10计算机病毒与反病毒技术PAGE11第1章计算机病毒概述CHAPTERCHAPTER1第1章计 算 机 病 毒 概 述本章要点：计算机病毒的定义；计算机病毒的基本特征与分类；计算机病毒的命名规则；计算机病毒的危害与症状；计算机病毒的传播途径；计算机病毒的生命周期；计算机病毒简史；研究计算机病毒的基本原则。计算机技术的迅猛发展，给人们的工作和生活带来了前所未有的效率和便利。计算机在推动社会进步、人类文明建设中有举足轻重的作用和地位，已成为世人不争的事实。然而，计算机系统并不安全，计算机病毒就是最不安全的因素之一。只有真正地了解了计算机病毒，才能进一步防治和清除计算机病毒。1.1计算机病毒的定义计算机病毒（ComputerVirus）是一种人为制造的、能够进行自我复制的、具有对计算机资源的破坏作用的一组程序或指令的集合。这是计算机病毒的广义定义。类似于生物病毒，它能把自身附着在各种类型的文件上或寄生在存储媒介中，能对计算机系统和网络进行各种破坏，同时有独特的复制能力和传染性，能够自我复制——主动传染；另一方面，当文件被复制或在网络中从一个用户传送到另一个用户时——被动传染，它们就随同文件一起蔓延开来。在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。这一定义，具有一定的法律性和权威性，但笔者将这一定义称作计算机病毒的狭义定义。对计算机病毒，本教材采用广义定义，将特洛伊木马、宏病毒、网络蠕虫等具有一定争议的“程序/代码”，均作为病毒，这与众多杀毒软件对病毒的定义是一致的，如果要严格区分，可以将这些病毒称作“后计算机病毒”。也就是说，某些广义下的计算机病毒（如网络蠕虫），不具有狭义病毒的特征，并不感染其他正常程序，而是通过持续不断地反复复制自己、增加自己的拷贝数量、消耗系统资源（如内存、磁盘存储空间、网络资源等），最终导致系统崩溃。但是，在描述计算机病毒的特性等内容时，为了类比生物病毒以及便于理解，基本上基于狭义病毒进行讨论，而将某些广义病毒作为“专题”在单独的章节中进行讨论。计算机病毒与生物病毒一样，有其自身的病毒体（病毒程序）和寄生体（宿主HOST）。所谓感染或寄生，是指病毒将自身嵌入到宿主指令序列中。寄生体为病毒提供一种生存环境，是一种合法程序。当病毒程序寄生于合法程序之后，病毒就成为程序的一部分，并在程序中占有合法地位。这样合法程序就成为病毒程序的寄生体，或称为病毒程序的载体。病毒可以寄生在合法程序的任何位置。病毒程序一旦寄生于合法程序之后，就随原合法程序的执行而执行，随它的生存而生存，随它的消失而消失。为了增强活力，病毒程序通常寄生于一个或多个被频繁调用的程序中。病毒感染示意如图1.1所示。 （a）生物病毒感染与寄生 （b）计算机病毒感染与寄生图1.1病毒感染示意正如生物流感病毒和患流感的人是完全不同的两个客体，计算机病毒与病毒宿主是完全不同的两个概念。被人工或计算机病毒强制性插入了计算机病毒的系统驻留程序和磁盘文件，分别称为计算机病毒的内存宿主和磁盘宿主。每种计算机病毒都有磁盘宿主，大多数病毒有内存宿主。如果把内存宿主比喻成传播疾病的蚊子，则磁盘宿主是滋生蚊子的地方。因此，制止病毒传染就要“肃清”内存宿主，而根治病毒就要诊治磁盘宿主。1.2计算机病毒的基本特征与本质1.2.1计算机病毒的基本特征计算机病毒种类繁多、特征各异，但一般具有以下特性：自我复制能力；很强的感染性；一定的潜伏性；特定的触发性；很大的破坏性。1．计算机病毒的可执行性（程序性）程序性，既是计算机病毒的基本特征，也是计算机病毒最基本的一种表现形式。程序性也决定了计算机病毒的可防治性、可清除性。计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上的一段程序，因此它享有一切程序所能得到的权力。计算机病毒在运行时与合法程序争夺系统的控制权（病毒一般总是在运行其宿主程序之前首先运行自己，通过这种方法抢夺系统的控制权）。计算机病毒只有当它在计算机内得以运行时，才具有传染性和破坏性等活性，也就是说，计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行，而不运行带病毒的程序，则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字、查看计算机病毒的代码、打印病毒的代码，甚至拷贝病毒程序，却都不会感染上病毒。相反，计算机病毒一经在计算机上运行，在同一台计算机内病毒程序与正常系统程序或某种病毒与其他病毒程序争夺系统控制权时往往会造成系统崩溃，导致计算机瘫痪。反病毒技术就是要提前取得计算机系统的控制权，识别出计算机病毒的代码和行为，阻止其取得系统控制权，并及时将其清除。“人为的特制程序”是任何计算机病毒都固有的本质属性，这一属性也决定了病毒的面目各异且多变。2．计算机病毒的传染性病毒一词来源于生物学，传染性也相应成了计算机病毒最基本的特性。计算机病毒的传染性是指病毒具有把自身复制到其他程序的能力。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。计算机病毒一旦进入计算机并得以执行，就会搜寻符合其传染条件的其他程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。而被感染的目标又成了新的传染源，当它被执行以后，便又去感染另一个可以被其传染的目标。计算机病毒的这种将自身复制到感染目标中的“再生机制”，使得病毒能够在系统中迅速扩散。正常的计算机程序一般是不会将自身的代码强行链接到其他程序之上的，而病毒却能使自身的代码强行传染到一切符合其传染条件的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当用户在一台计算机上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台计算机联网的其他计算机也许也感染了该病毒。是否具有传染性，是判别一个程序是否为计算机病毒的首要条件。传染性也决定了计算机病毒的可判断性。3．计算机病毒的非授权性计算机病毒未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务，其目的对用户是可见的、透明的。而病毒隐藏在正常程序中，其在系统中的运行流程一般是：做初始化工作→寻找传染目标→窃取系统控制权→完成传染破坏活动，其目的对用户是未知的，是未经用户允许的。4．计算机病毒的隐蔽性计算机病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的，而一旦病毒发作表现出来，往往已经给计算机系统造成了不同程度的破坏。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。计算机病毒的隐蔽性表现在两个方面：=1\*GB3①传染的隐蔽性。大多数病毒的代码设计得非常精巧而又短小，一般只有几百字节或几千字节，而PC机对文件的存取速度可达每秒几百字节以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，且一般不具有外部表现，从而不易被人发现。如果计算机病毒在屏幕上显示一些图案或信息，或演奏一段乐曲，往往此时该计算机内已有许多病毒的拷贝，并正在制造灾难。=2\*GB3②病毒程序存在的隐蔽性。病毒通常以隐蔽的方式存在，且被病毒感染的计算机在多数情况下仍能维持其部分功能，不会因为感染上病毒而使整台计算机不能启动，或者因为某个程序被病毒感染，而损坏得不能运行。如果出现这种情况，病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后，其原有功能基本上不受影响，病毒代码附于其上而得以存活并不断地得到运行的机会，去传染出更多的复制体，与正常程序争夺系统的控制权和系统资源，不断地破坏系统，最终导致整个系统的瘫痪。5．计算机病毒的潜伏性一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘或光盘里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做别的破坏，只有当触发条件满足时，才会激活病毒的表现（破坏）模块而出现中毒症状。6．计算机病毒的可触发性计算机病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性，称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动作、一直潜伏，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，就必须具有可触发性。病毒的触发机制是用来控制感染和破坏动作的频率的。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒实施感染或攻击；如果不满足，使病毒继续潜伏。病毒具有的预定触发条件，可能是时间、日期、文件类型或某些特定数据等任何因素，如“PETER-2”在每年2月27日会提出三个问题，答错后会将硬盘加密；著名的“黑色星期五”在逢某月13日的星期五发作。这些病毒在平时隐藏得很好，只有在条件满足时才会露出本来面目。病毒的触发条件越多，则传染性越强。7．计算机病毒的破坏性所有的计算机病毒都是一种可执行程序，而这一可执行程序又必然要运行，因此，所有的计算机病毒都对计算机系统造成不同程度的影响，轻者降低计算机系统工作效率、占用系统资源（如占用内存空间、磁盘存储空间以及系统运行时间等），重者导致数据丢失、系统崩溃，其具体情况取决于入侵系统的病毒程序，取决于计算机病毒设计者的目的。如果病毒设计者的目的在于彻底破坏系统的正常运行的话，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复，如CIH病毒。但并非所有的病毒都对系统产生极其恶劣的破坏作用，如GENP、小球、W-BOOT等“良性病毒”。有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃等重大恶果。计算机病毒的破坏性，决定了病毒的危害性。8．计算机病毒攻击的主动性计算机病毒对系统的攻击是主动的，是不以人的意志为转移的。也就是说，在一定程度上，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。9．计算机病毒的针对性要使计算机病毒得以运行，就必须具有适合其发生作用的特定软硬件环境，即某一种病毒一般只能在某种特定的操作系统和硬件平台上运行，而不可能在所有的操作系统和硬件平台上都能实施攻击功能，如CIH病毒只能在Windows9x中爆发。计算机病毒的针对性，是由计算机病毒的程序性决定的。10．计算机病毒的衍生性分析计算机病毒的结构可知，病毒的传染、破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种），这就是计算机病毒的衍生性。衍生性这种特性，为一些好事者提供了一种创造新病毒的捷径。衍生出来的变种病毒造成的后果可能比原版病毒更严重。计算机病毒本身具有的这种衍生性，是导致产生变体病毒的必然原因。这种衍生病毒可以是人为结果，也可以是“计算机病毒自动生成”这种人工智能的结果。11．计算机病毒的寄生性（依附性）病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。12．计算机病毒的不可预见性从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存、改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且有些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术，使用这种方法对病毒进行检测势必会造成较多的误报。计算机病毒新技术的不断涌现，也加大了对未知病毒的预测难度，决定了计算机病毒的不可预见性。事实上，反病毒软件预防措施和技术手段往往滞后于病毒的产生速度。13．计算机病毒的诱惑欺骗性某些病毒常以某种特殊的表现方式，引诱、欺骗用户不自觉地触发、激活病毒，从而实施其感染、破坏功能。例如，情书病毒的变种之一VBS.LoveLetter.F（又名Virus.Warning），传播该病毒的电子邮件附件名为“VirusWarning.jpg.vbs”，主题为“Dangerousviruswarning（危险病毒警告）”，其内容是“Thereisadangerousviruscirculating.Pleaseclickattachedpicturetoviewitandlearntoavoidit（目前病毒正在泛滥，请看附图并学会如何避开病毒）”，引诱用户点击实为VBS脚本而非JPG图片的附件。14．计算机病毒的持久性即使在病毒程序被发现以后，数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下，由于病毒程序由一个受感染的拷贝通过网络系统反复传播，使得病毒程序的清除非常复杂。1.2.2计算机病毒的本质无论是DOS病毒还是Win32病毒，其本质是一致的，都是人为制造的程序，其本质特点是程序的无限重复执行或复制，因为病毒的最大特点是其传染性，而传染性的原因是其自身程序不断复制的结果，即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己。计算机病毒利用计算机系统使用过程中出现的频繁中断或操作（如图1.2所示），通过修改地址，使病毒指令程序插入中断程序与正常程序之间。因此，感染计算机病毒后，计算机在每次运行正常程序之前，均先运行一次病毒程序，将病毒循环往复地读入内存或执行病毒指令，从而使病毒不断被复制，并在系统中得以传播。图1.3描述了带病毒的DOS自举过程。 图1.2正常DOS自举 图1.3带病毒的DOS自举1.3计算机病毒的分类1.3.1分类的目的分类学的创始人CarolusLinnaeus曾经说过：“对事物的研究，首先从认识事物开始。认识事物，需要根据不同的特性或属性区分事物，并对事物进行系统分类。所以说，分类是科学研究的基础。”对事物进行系统的分类研究，其作用与意义主要体现在以下几个方面。=1\*GB3①描述：描述研究对象，将其转化为易于理解、分析和管理的对象。=2\*GB3②理解：好的分类方法有助于人们更清晰、更系统地理解所研究的对象。=3\*GB3③预测：通过对已知领域或已知事物的系统分类研究，可以进一步预测未知领域，或者为进一步的研究提供指导。一个病毒通常会具有多个属性，分类的主要问题在于选择哪些属性作为分类的依据，依据不同，分类自然不同。1.3.2按照计算机病毒的破坏能力、破坏情况分类1．根据病毒破坏的能力分类（1）无危害型除了传染时减少磁盘的可用空间外，对系统没有其他影响，例如Elkcloner病毒。（2）无危险型这类病毒仅仅是减少内存、显示图像、发出声音等，例如女鬼病毒。（3）危险型这类病毒在计算机系统操作中造成严重的错误，例如Hebrew病毒。（4）非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息，例如CIH病毒。病毒对系统造成的危害，并不局限于病毒本身的算法中存在的危险调用，还包括当它们传染时引起的无法预料的、灾难性的破坏。由病毒引起其他程序产生的错误也会破坏文件和扇区，这些病毒也按照它们引起的破坏能力划分。一些现在的无危害型病毒也可能会对未来新版的操作系统造成破坏。例如，在早期的病毒中，Denzuk病毒在360KB磁盘上能够很好地工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。2．按照计算机病毒的破坏情况分类（1）良性病毒良性病毒是不包含对计算机系统产生直接破坏作用的代码的计算机病毒。这类病毒为了表现其存在，只是不停地进行传播，并不破坏计算机系统和数据，但它会使系统资源急剧减少，可用空间越来越少，最终导致系统崩溃。如国内出现的小球病毒就是良性的。良性病毒又可分为无危害型病毒和无危险型病毒。（2）恶性病毒恶性病毒指在代码中包含损伤和破坏计算机系统的操作、在其传染或发作时会对系统产生直接破坏作用的计算机病毒。这类病毒很多，如米开朗基罗病毒，当其发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据丢失。有的病毒还会对硬盘进行格式化操作。恶性病毒又分为危险型病毒和非常危险型病毒。需要指出的是，良性和恶性是相比较而言的，不可轻视任何一种病毒对计算机系统造成的损害。1.3.3按照计算机病毒攻击的操作系统分类1．攻击DOS系统的病毒这类病毒出现较早，种类及其变种极其多。尽管DOS技术在1995年以后基本上处于停滞状态，但这类病毒的数量和传播仍在发展，只是比较缓慢而已。2．攻击Windows系统的病毒从1995年以后，Windows逐渐取代DOS而成为微型计算机的主流操作系统，也使其成为病毒的主要攻击对象，首例破坏计算机硬件的CIH病毒就是一个以VxD为技术核心的Windows9x病毒。3．攻击UNIX系统的病毒当前，UNIX和Linux应用非常广泛，并且大多数大型服务器均采用UNIX为主要操作系统，UNIX病毒的出现，对信息处理是一个严重的威胁。4．攻击OS/2系统的病毒第一个真正OS/2操作系统意义下的病毒，是在1996年2月发现的AEP病毒，该病毒首次能够将自身依附在OS/2可执行文件的后面实施感染功能，而在AEP病毒之前出现在OS/2系统上的“病毒”，要么只能使用该“病毒”文件替换原来的文件，要么只能以伴随病毒的形式出现，均不具备计算机病毒的传染性这一基本特征。第一个针对OS/2的病毒虽简单，但却是一个不好的开端。5．攻击Macintosh系统的病毒如Mac.simpsons是使用AppleScript编写的病毒程序，它将自己发送到OutlookExpress或Entourage邮件程序的用户地址。6．其他操作系统上的病毒如手机病毒、PDA病毒等。第一例手机病毒是2000年6月在西班牙发现的VBS.Timofonica病毒。该病毒通过运营商Telefonica的移动系统向该系统内的任意用户发送骂人的短消息。1.3.4按照计算机病毒攻击的机型分类1．攻击微型计算机的病毒这是最为庞大的病毒家族。例如，攻击Commodore公司生产的微型计算机的Amiga病毒，攻击Apple公司生产的微型计算机的MacMag病毒，攻击IBM和其他公司生产的微型计算机及其兼容机的病毒，如巴基斯坦病毒。2．攻击工作站的病毒计算机硬件的飞速发展，使工作站的能力大大加强，并且应用范围也有了较大的发展，所以不难想象，攻击工作站的病毒是对信息系统的一大威胁。3．攻击小型计算机的病毒小型计算机的应用极为广泛，既可以作为网络中的节点机，又可以作为网络主机。1988年，Internet受到了莫里斯蠕虫病毒攻击，改变了病毒只攻击微机的传统观念。如WANK.com和HL.com通过VAX型号的计算机传播。4．攻击中、大型计算机