我在网上学习整理写的笔记,转载务必说明出处
计算机病毒概述
《中华人民共和国计算机信息系统安全保护条例》:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒的起源与发展
起源无关内容不讲。
病毒发展历史:
原始病毒阶段(1986~1989)
攻击目标较单一;主要通过截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染;
病毒程序不具有自我保护的措施,容易被人们分析和解剖
混合型病毒阶段(1989~1991)
(1)病毒攻击的目标趋于混合型,可以感染多个/种目标。
(2)病毒程序采取隐蔽的方法驻留内存和传染目标。
(3)病毒传染目标后没有明显的特征。
(4)病毒程序采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,增加人们剖析和检测病毒、解毒的难度。
(5)出现了许多病毒的变种,这些变种病毒较原病毒的传染性更隐蔽,破坏性更大。
多态性病毒阶段(1992~1995)
所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,放入宿主程序中的病毒程序大部分都是可变的,即同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的。
网络病毒阶段(1996~)
利用 Internet 作为其主要传播途径,因而,病毒传播快、隐蔽性强、破坏性大。
主动攻击型病毒
与传统病毒不同,蠕虫不依附在其他文件或媒介上,而是独立存在的病毒程序,利用系统的漏洞通过网络主动传播,可在瞬间传遍全世界。
即时通信与移动通信病毒阶段
袭击即时通信软件的病毒主要分为三类,一类是只以 QQ、 微信等即时通信软件为传播渠道的病毒;二类为专门针对即时通信软件,窃取用户的账号、密码的病毒;第三类是不断给用户发消息的骚扰型病毒。
手机病毒是以手机等移动通信设备为感染对象,以移动运营商网络为平台,通过发送短信、彩信、电子邮件、浏览网站、下载铃声等方式进行传播,从而导致用户手机关机、死机、 SIM 卡或芯片损毁、存储资料被删或向外泄露、发送垃圾邮件、拨打未知电话、通话被窃听、订购高额 SP(服务提供者)业务等损失的恶意程序。
病毒的演化:
病毒自身演化:以前病毒仍然被不断修改完善。
病毒种类演化:不同的平台,不同的应用场景,不同的网络环境等产生了不同的病毒。
病毒载体演化:一些新病毒变得越来越隐蔽,新型计算机病毒也越来越多,更多的病毒采用复杂的密码技术,在感染宿主程序时,病毒用随机的算法对病毒程序加密,然后放入宿主程序中,由于随机数算法的结果多达天文数字,放入宿主程序中的病毒程序每次都不相同。同一种病毒,具有多种形态,每一次感染,病毒的面貌都不相同,使检测和杀除病毒非常困难。
病毒攻击方法演化:系统漏洞、软件缺陷、应用模式、程序 BUG 等。
计算机病毒的基本概念
生物特点:
宿主
感染性
危害性
微小性
简单性
变异性
多样性
特异性
相容性和互斥性:计算机病毒 Jernsalem 只对.com 型文件感染一次,对.exe 文件则可以重复感染。
顽固性
生命周期:
开发期
传染期
潜伏期
发作期
发现期
消化期:反计算机病毒开发人员修改他们的软件以使其可以检测到新发现的计算机病毒。
消亡期
传播途径:
可移动存储设备来传播。这些设备包括硬盘、 U 盘、 CD、磁带等。
通过网页浏览传播。网页病毒是一些非法网站在其网页中嵌入恶意代码,这些代码一般是利用浏览器的漏洞,在用户的计算机中自动执行传播病毒。
网络主动传播。主要有蠕虫病毒。
电子邮件传播,病毒在附件中,当打开附件时,病毒就会被激活。
QQ、 微信等即时通信软件和点对点通信系统和无线通道传播。
网络钓鱼相结合的方法转播病毒。
手机等移动通信设备传播,因为手机可以轻松上网,无线通信网络将成为病毒传播的新的平台。
计算机工业的发展在为人类提供更多、更快捷的传输信息方式的同时,也为计算机病毒的传播提供了新的传播途径。
发作一般症状:
计算机无法启动。病毒破坏了操作系统的引导文件,最典型的病毒是 CIH 病毒。
计算机经常死机。病毒打开了较多的程序,或者是病毒自我复制,占用了大量的系统资源,造成机器经常死机。对于网络病毒,由于病毒为了传播,通过邮件服务和 QQ 等聊天软件传播,也会造成系统因为资源耗尽而死机。
文件无法打开。系统中可以执行的文件,突然无法打开。由于病毒感染了文件,可能会使文件损坏,或者是病毒破坏了可执行文件中操作系统中的关联,都会使文件出现打不开的现象。
系统经常提示内存不足。在打开很少程序的情况下,系统经常提示内存不足,通常是病毒占用了大量的系统资源。
磁盘空间不足。自我复制型的病毒,通常会在病毒激活后,进行自我复制,占用硬盘的大量空间。
数据突然丢失。硬盘突然有大量数据丢失,可能是病毒具有删除文件的破坏性导致的。
系统运行速度特别慢。在运行某个程序时,系统响应的时候特别长,响应的时间远远超出了正常响应时间。例如上网速度变慢或连接不到网络。
键盘、鼠标被锁死。部分病毒,可以锁定键盘、鼠标在系统中的使用。
系统每天增加大量来历不明的文件。这一般是病毒进行变种,或入侵系统时遗留下的垃圾文件。
系统自动加载某些程序。系统启动时,病毒可能会修改注册表的键值,自动在后台运行某个程序。部分病毒,如 QQ 病毒,还会自动发送消息。
计算机病毒的分类
一般分类方法:
传统病毒:传统病毒通过改变文件或者其他东西进行传播,通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒。
宏病毒
恶意脚本
木马程序:当木马( Trojan)程序被激活或启动后用户无法终止其运行。广义上说,所有的网络服务程序都是木马,判定木马病毒的标准不好确定,通常的标准是:在用户不知情的情况下安装,隐藏在后台,服务器端一般没有界面无法配置的即为木马病毒。
黑客程序:黑客程序是用来攻击/破坏别人的计算机, 对使用者本身的机器没有损害。
蠕虫程序:蠕虫( Worm)病毒是一种可以利用操作系统的漏洞、电子邮件、 P2P 软件等自动传播自身的病毒。
破坏性程序:破坏性程序( Harm)启动后,破坏用户的计算机系统,如删除文件、格式化硬盘等。常见的是 bat 文件,也有一些是可执行文件,有一部分和恶意网页结合使用。纯粹的开机型计算机病毒多利用软盘开机时侵入计算机系统,然后再伺机感染其他的软盘或硬盘,例如:“ Stoned 3(米开朗基罗)”、 “ Disk Killer”和“ Head Eleven”等。
系统分类:
DOS 系统的计算机病毒
Windows 系统的计算机病毒
UNIX 系统的计算机病毒
OS/2 系统的计算机病毒
Macintosh 系统的病毒(Mac OS)
其他操作系统的病毒(Android,PDA)
寄生部位或传染对象分类:
磁盘引导区传染的计算机病毒:磁盘引导区传染的计算机病毒主要是用计算机病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。
操作系统传染的计算机病毒:操作系统是计算机系统得以运行的支持环境,它包括许多可执行工具及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块或漏洞等寄生并传染的。
可执行程序传染的计算机病毒:寄生在可执行程序中,一旦程序被执行,计算机病毒也就被激活,而且计算机病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
计算机病毒的攻击机型分类:
攻击微型计算机的计算机病毒
攻击小型机的计算机病毒
攻击工作站的计算机病毒
攻击大型机的病毒
攻击计算机网络的病毒
攻击手机的病毒
计算机病毒的链接方式分类:
源码型计算机病毒:该计算机病毒能攻击用高级语言编写的程序,并在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
嵌入型计算机病毒:将自身嵌入到现有程序中,把病毒的主体程序与其攻击的对象以插入的方式链接。
外壳型计算机病毒:将其自身包围在主程序的四周,对原来的程序不做修改。这种计算机病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知道。
操作系统型计算机病毒:这种计算机病毒用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。 “圆点”计算机病毒和“大麻”计算机病毒就是典型的操作系统型计算机病毒。这种计算机病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据计算机病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用,以及计算机病毒取代操作系统的取代方式等的不同,对操作系统实施不同程度的破坏。
定时炸弹型病毒:许多微机上配有供系统时钟用的扩充板,扩充板上有可充电电池和 CMOS 存储器,定时炸弹型病毒可避开系统的中断调用,通过低层硬件访问对 CMOS 存储读写。因而这类程序利用这一地方作为传染、触发、破坏的标志,甚至干脆将病毒程序的一部分寄生到这个地方,因这个地方有锂电池为它提供保护,不会因关机或断电而丢失,所以这类病毒十分危险。
破坏情况分类:
良性病毒
恶性病毒
寄生方式分类:
覆盖式寄生病毒:覆盖式寄生病毒把病毒自身的程序代码部分或全部覆盖在宿主程序上,破坏宿主程序的部分或全部功能。
链接式寄生病毒:链接式寄生病毒将自身的程序代码通过链接的方式依附于其宿主程序的首部、中间或尾部,而不破坏宿主程序。
填充式寄生病毒:填充式寄生病毒将自身的程序代码侵占其宿主程序的空闲存储空间而不破坏宿主程序的存储空间。
转储式寄生病毒:转储式寄生病毒是改变其宿主程序代码的存储位置,使病毒自身的程序代码侵占宿主程序的存储空间。
激活的时间分类:
定时计算机病毒仅在某一特定时间才发作。
随机计算机病毒一般不是由时钟来激活的。
传播媒介分类:
单机计算机病毒(U盘病毒等)
网络计算机病毒
特有算法分类:
伴随型计算机病毒:这一类计算机病毒并不改变文件本身,它们根据算法产生.exe 文件的伴随体,具有同样的名字和不同的扩展名(.com),例如, Xcopy.exe 的伴随体是 Xcopy.com,计算机病毒把自身写入.com 文件,并不改变.exe 文件,当 DOS 加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe 文件。
“蠕虫”型计算机病毒:这类计算机病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台计算机的内存传播到其他计算机的内存,寻找计算网络地址,将自身的计算机病毒通过网络发送。有时它们在系统中存在,一般除了内存不占用其他资源。
寄生型计算机病毒除了伴随型病毒和“蠕虫”型病毒,其他计算机病毒均可称为寄生型计算机病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法可分为如下几种。
(1)练习型计算机病毒:计算机病毒自身包含错误,不能进行很好的传播,例如一些在调试阶段的计算机病毒。
(2)诡秘型计算机病毒:通过设备技术和文件缓冲区等 DOS 内部修改,使其资源不易被看到,使用比较高级的技术,利用 DOS 空闲的数据区进行工作。
(3)变型计算机病毒(又称幽灵计算机病毒):这一类计算机病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的计算机病毒体组成。
传染途径分类:
感染磁盘上的引导扇区的内容的计算机病毒。
感染文件型计算机的病毒。
驻留内存方式分类:
驻留内存型:驻留内存型按其驻留内存方式又可细分。
高端驻留型
常规驻留型
内存控制链驻留型
设备程序补丁驻留型
不驻留内存型
破坏行为分类:
攻击系统数据区:硬盘主引寻扇区、Boot 扇区、FAT 表和文件目录等
攻击文件
攻击内存
干扰系统运行
速度下降
攻击磁盘
扰乱屏幕显示
键盘
喇叭
攻击 CMOS: CMOS 区保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。
干扰打印机
攻击网络
“作案方式”分类:
暗藏型计算机病毒:进入系统后潜伏,等待事件发生或预定事件到达。
杀手型计算机病毒:专门用来篡改和毁伤某一个或某一组特定的文件、数据
霸道型计算机病毒:中断整个计算机的工作,迫使信息系统瘫痪。
超载型计算机病毒:大量复制和繁殖, 抢占内存和硬盘空间。
间谍型计算机病毒:从计算机中寻找特定信息和数据,并将其发送到指定的地点。
强制隔离型计算机病毒:破坏计算机网络系统的整体功能, 使各个子系统与控制中心,以及各子系统间相互隔离。
欺骗型计算机病毒:对系统程序进行删改或给敌方系统注入假情报。
干扰型计算机病毒:对计算机系统或工作环境进行干扰和破坏。
Linux 平台下的病毒分类:
可执行文件型病毒
蠕虫病毒
脚本病毒
后门程序
互联网环境下病毒的多样化
网络病毒特点:
传播网络化
利用操作系统和应用程序的漏洞(部分)
传播方式多样
病毒制作技术
诱惑性
病毒形式多样化
危害多样化
即时通信病毒:
QQ、微信等方式传播,拥有实时性高、跨平台性广、成本低、效率高等诸多优势,一般传播方式有两种:
自动发送恶意文本消息,一般都包含一个或多个网址,指向恶意网页,收到消息的用户一旦点击打开了恶意网页就会从恶意网站上自动下载并运行病毒程序。
利用即时通信软件的传送文件功能,将自身直接发送出去。
手机病毒:
蓝牙设备传播的病毒
针对移动通信商的手机病毒
针对手机 BUG 的病毒
利用短信或彩信进行攻击的病毒
流氓软件:
广告软件
间谍软件
浏览器劫持
行为记录软件
恶意共享软件
搜索引擎劫持
自动拨号软件
网络钓鱼
