(2)隱蔽型計算機病毒是壹種短小精悍的可執行程序,具有很高的編程技巧。它通常會粘在正常程序或者磁盤的引導扇區,或者磁盤上標記為壞簇的扇區,以及壹些空閑概率較高的扇區,這就是它的非法存儲。病毒試圖隱藏自己,以防止用戶註意到。
(3)傳染性是計算機病毒最重要的特征,是判斷壹段程序代碼是否為計算機病毒的依據。病毒程序壹旦入侵計算機系統,就開始搜索傳染程序或磁介質,然後通過自我復制迅速傳播。由於日益發達的計算機網絡,計算機病毒可以在很短的時間內通過像互聯網這樣的網絡傳播到世界各地。
(4)潛伏型計算機病毒具有附著在其他介質上並寄生的能力,我們稱之為計算機病毒的宿主。依靠病毒的寄生能力,病毒感染合法程序和系統後,並不立即攻擊,而是悄悄隱藏,然後在用戶不知情的情況下感染。這樣病毒的潛伏期越好,在系統中存在的時間就越長,病毒感染的範圍就越廣,危害就越大。
(5)表現性或破壞性無論何種病毒程序入侵系統,都會不同程度地影響操作系統的運行。即使是不直接造成破壞的病毒程序,也會占用系統資源(如內存空間、磁盤存儲空間、系統運行時間)。但是大多數病毒程序都要顯示壹些文字或者圖片,會影響系統的正常運行。壹些病毒程序刪除文件,加密磁盤中的數據,甚至破壞整個系統和數據,使其無法恢復,造成不可挽回的損失。因此,病毒程序的副作用會降低系統的工作效率,甚至導致系統崩潰和數據丟失。病毒程序的表現力或破壞性反映了病毒設計者的真實意圖。
(6)可觸發的計算機病毒壹般有壹個或幾個觸發條件。滿足其觸發條件或激活病毒的感染機制使其感染;或者激活病毒的表達或破壞部分。觸發器的本質是壹種條件控制,病毒程序可以根據設計者的要求在壹定條件下進行攻擊。這種情況可以是鍵入特定字符、使用特定文件、特定日期或時間,或者病毒的內置計數器達到壹定次數。
“計算機病毒”壹詞最早是由美國計算機病毒研究專家F-Cohen博士提出的。
“病毒”這個詞是從生物學中的病毒借來的。通過對計算機病毒的分析和研究,人們發現它在許多方面與生物病毒相似。研究反計算機病毒技術,首先要了解計算機病毒的特征和行為機制,為預防和消除計算機病毒提供堅實可靠的基礎。
再生機制是生物病毒的壹個重要特征。病毒通過感染從壹個有機體傳播到另壹個有機體。在適宜的條件下,大量繁殖,然後被感染的生物出現癥狀,甚至死亡。同樣,計算機病毒會通過各種渠道從被感染的計算機傳播到未被感染的計算機,在某些情況下,被感染的計算機會工作異常甚至癱瘓。這就是電腦病毒最重要的特征——感染和破壞。與生物病毒不同,計算機病毒是壹種人工編譯的計算機程序代碼。這個程序代碼壹旦進入計算機並被執行,就與系統中的程序相連,不斷感染(或連接、覆蓋)其他未被感染的程序。具有這種特殊功能的程序代碼稱為計算機病毒。攜帶這種程序代碼的計算機程序被稱為計算機病毒攜帶者或被感染的程序。是否具有傳染性是判斷壹個程序是否是計算機病毒的最重要的條件。正常的計算機程序不會強行把自己的代碼連接到其他程序上。比如DOS的格式化程序,它的程序代碼永遠不會連接到其他程序上。在系統生成過程中,有些系統的安裝程序會修改相關程序的參數配置,比如MSWindows系統。有些程序,比如Borland公司的SideKick,會通過自己的設置函數,根據用戶的要求修改自己的參數設置。壹些程序,例如Xcom通信程序,在運行時動態地改變它們自己的程序代碼,用於加密和防止復制或其他目的。在這些情況下,修改後的程序確實發生了變化,但這些變化僅限於各自的應用系統內部,不會出現將自己的代碼連接到無關程序的情況。計算機病毒的再生機制,也就是它的感染機制,就是強制病毒代碼感染所有未感染的程序,並在壹臺計算機內部甚至壹組計算機之間快速感染和傳播。每壹臺感染了計算機病毒的電腦,既是受害者,又是計算機病毒新的感染源。被感染的電腦往往會在壹定程度上失去正常工作能力,運行速度降低,功能異常,文件和數據丟失。同時,計算機病毒通過各種可能的渠道感染其他計算機,如軟盤和計算機網絡。當妳在壹臺機器上發現病毒時,妳在這臺計算機上使用的軟盤經常被病毒感染;和鄰近該機器的其他幾臺計算機可能已經被該病毒感染。通過數據共享,計算機病毒的傳播速度會非常快,如果不加以控制,會在短時間內傳播到世界各個角落。可見,反計算機病毒的問題是壹個全球性的問題。國內發現的第壹個計算機病毒是國外稱為意大利病毒的球狀病毒。最早在國內發現的旅行者病毒,也隨著國際交往傳播到國外,其名字出現在國外殺毒軟件的病毒黑名單中。與生物病毒不同,所有的計算機病毒都是人為編寫的計算機程序代碼,是人為創造的,而不是天生的。這些刻意編寫的計算機程序代碼的原始形式可以是C語言、BASIC程序、匯編語言程序、批處理命令程序和機器指令程序。其特點是傳染性和破壞性。
計算機病毒的另壹個特點是,只有在計算機中運行時才具有傳染性和破壞性。也就是說,計算機CPU的控制權才是關鍵問題。如果計算機在正常程序而不是帶病毒程序的控制下運行,它總是可靠的。在這臺電腦上,妳可以查看病毒文件名,查看電腦病毒代碼,打印病毒代碼,甚至可以復制病毒程序,但妳不會感染病毒。殺毒技術人員整天在這樣的環境下工作。雖然他們的電腦也有各種電腦病毒的代碼,但是他們已經把這些病毒控制住了,電腦不會運行病毒程序,所以整個系統是安全的。相反,電腦病毒壹旦在電腦上運行,絕大多數病毒都要先做初始化工作,在內存中找壹個安全的地方,然後把自己和系統軟件掛鉤,再執行原來被感染的程序。在這壹系列操作中,最重要的是病毒與系統軟件掛鉤。只要系統沒有癱瘓,系統每執行壹次操作,病毒就有機會運行,危及那些沒有被感染的程序。當壹個病毒程序和壹個正常的系統程序,或者壹個病毒和其他病毒程序在同壹臺計算機中爭奪系統控制權時,往往會造成系統崩潰,導致計算機癱瘓。反病毒技術就是提前獲得對計算機系統的控制權,識別計算機病毒的代碼和行為,防止其獲得對系統的控制權。殺毒技術的優劣就體現在這壹點上。壹個好的反病毒系統不僅要可靠地識別已知計算機病毒的代碼,阻止它們運行或繞過它們對系統的控制(實現被感染程序的安全運行),還要識別系統中未知計算機病毒的行為,阻止它們感染和破壞系統。而低性能的反病毒系統只能完成對抗已知病毒的任務,對於未知病毒在系統中的傳播和破壞卻束手無策。所謂未知病毒,是指壹種以前從未被分析過的新型計算機病毒。1992開頭,DIR病毒對國內PC用戶來說是壹種未知病毒。面對未知的對手並不容易。DIRⅱⅱ病毒通過嵌入DOS系統的設備驅動鏈來攻擊IBMPC及其兼容機。它是壹種新的計算機病毒,其工作機制與以前的病毒不同。由於其奪取PC系統控制權的特殊方法,大量殺毒系統在其攻勢下被擊潰。從這個例子可以看出,目前對付計算機病毒並沒有完美的通用解決方案,反病毒技術需要不斷發展,對抗各種新型病毒。
沒有程序代碼分析或計算機病毒靜態代碼分析,病毒程序不容易與正常程序區分開來。在沒有防護措施的情況下,計算機病毒程序在獲得系統控制權後,不到1秒就可以感染上百個程序,屏幕上也沒有異常顯示。感染操作完成後,計算機系統仍然可以運行,被感染的程序仍然可以執行,就像計算機中什麽也沒有發生壹樣。這種現象就是電腦病毒感染的隱蔽性。正是由於這種隱形性,計算機病毒可以在用戶毫無察覺的情況下,在世界上數百萬臺計算機上遊蕩。我們來想象壹下,如果電腦病毒每感染壹個新程序就在屏幕上顯示壹條信息“我是病毒程序,我要幹壞事了”,那麽電腦病毒早就被控制住了。誠然,有些病毒非常“勇於暴露自己”,在屏幕上顯示壹些圖案或信息,或者時不時播放壹段音樂。通常此時那臺計算機中有許多病毒副本。很多電腦用戶對電腦病毒沒有概念,更談不上心理警惕。當他們看到這些新奇的屏幕顯示和音效時,以為是來自計算機系統,卻沒有意識到這些病毒正在破壞計算機系統,制造災難。例如,當DiskKiller病毒破壞磁盤數據時,屏幕上會顯示以下信息:“Diskkillervision 1.00 byogresoft,April1,1989。請不要在處理過程中關閉tturnoffthePowerorRemoveThemediskettewhileprocessing。在這兩句話中,第壹句的意思是:“磁盤黑仔1.00版OgreSoftware公司1989於1年4月出版。”第二句話的意思是:“處理過程中請不要關機或取出磁盤。”然後屏幕顯示“正在處理”,意思是“正在處理”。這時,DiskKiller病毒鎖定鍵盤,對磁盤上的數據進行加密和轉換。計算機的處理速度很快。當妳在屏幕上看到上面的信息時,很多數據已經被病毒破壞了。計算機病毒的第二個隱蔽性是,被病毒感染的計算機在大多數情況下仍能保持部分功能,以至於整臺計算機因為病毒感染而無法啟動,或者某個程序壹旦被病毒感染,就會被破壞,無法運行。如果出現這種情況,病毒就不會在世界範圍內傳播。電腦病毒設計的匠心也在這裏。壹個正常程序被計算機病毒感染後,其原有功能基本不受影響,病毒代碼附著其上得以存活,從而獲得更多的運行機會,感染更多的副本,與正常程序爭奪系統的控制權和磁盤空間,不斷破壞系統,導致整個系統癱瘓。病毒的代碼非常巧妙和簡短。典型的是小家庭。這個家族的病毒都很短,最小的病毒代碼長度只有133字節。壹般PC對DOS文件的訪問速度可以達到每秒100KB以上,所以病毒把這幾百個字節感染到正常程序中只需要壹眨眼的時間,是很難被檢測到的。
與隱蔽性相關的是計算機病毒的潛伏性。潛伏性的第壹種表現就是沒有專門的檢測程序是無法檢測到病毒程序的,所以病毒可以在磁盤或者磁帶中悄無聲息的隱藏幾天,甚至幾年。壹旦時機成熟,它們就會大量繁殖,擴散,繼續為害。潛伏的第二種表現是指計算機病毒內部往往存在觸發機制。當觸發條件不滿足時,計算機病毒除了感染什麽也不做。壹旦滿足觸發條件,壹些會在屏幕上顯示信息、圖形或特殊符號,而另壹些則執行破壞系統的操作,如格式化磁盤、刪除磁盤文件、加密數據文件、阻塞鍵盤和死鎖系統。使用計算機病毒有三個主要的觸發條件。(1)利用計算機中實時時鐘提供的時間作為觸發條件是很多病毒采用的,有的精確到百分之幾秒,有的只區分年份。表11列出了壹些病毒的觸發時間,可以作為預防計算機病毒的參考。(2)利用病毒中的計數器作為觸發器,計算機病毒利用計數器記錄事件發生的次數,壹旦計數器達到壹定的設定值,就會進行破壞性操作。這些事件可以是計算機開機的次數、病毒程序運行的次數以及自計算機開機以來已運行的程序總數。(3)使用在計算機中執行的某些特定操作作為觸發器。具體操作可以是用戶按下某個組合鍵,執行格式化命令,或者讀寫磁盤的某些扇區。表11計算機病毒的觸發次數列表計算機病毒使用的觸發條件是多種多樣的,它們往往不只使用上述條件中的壹種,而是多種條件的組合。大多數病毒的組合觸發條件是以時間為基礎,輔以磁盤讀寫操作、按鍵操作等條件。比如系統時鐘在整點或者壹點半的時候,系統在讀盤,盤沒有被感染等等。壹旦滿足這些條件,球病毒的屏幕顯示部分被激活,壹個球在屏幕上彈跳。如果顯示器是CGA類型,並且正在使用漢字系統,則整個屏幕顯示將保持上下滾動,使操作根本不可能。細小病毒的觸發條件在各種觸發條件中比較典型,包括時間條件和功能操作條件,條件之間也存在邏輯與和邏輯或關系。利用這種觸發條件,計算機病毒並不是隨時隨地的顯示自己,而是在合適的時間向妳演示——當條件滿足時,從只是在屏幕上顯示壹些信息,到破壞數據,讓整個系統崩潰。計算機病毒的破壞性是多種多樣的。壹種分類方法是將病毒分為惡性病毒和良性病毒。惡性病毒是指其代碼中破壞和摧毀計算機系統的操作,在被感染或攻擊時會直接摧毀系統。這樣的病毒有很多,比如米開朗基羅病毒。米氏病毒爆發時,硬盤的前17扇區會被完全破壞,使整個硬盤上的數據無法恢復,造成的損失是無法挽回的。有些病毒還會格式化並破壞硬盤。這些操作碼是故意寫進病毒裏的,這是它的本性之壹。因此,這種惡性病毒是非常危險的,應該加以防範。幸運的是,反病毒系統可以通過監測系統中的這種異常行為來識別計算機病毒的存在,或者至少發出警報來提醒用戶。良性病毒是指它不包含任何可以立即直接破壞計算機系統的代碼。這種病毒為了顯示自己的存在,只是不停地從壹臺電腦傳播到另壹臺電腦,而不破壞電腦裏的數據。有些人不把這種電腦病毒當回事,認為這只是個惡作劇,與此無關。其實良性和惡性是相對的。良性病毒獲得系統控制權後,會導致整個系統運行效率下降,系統可用內存總量減少,使得部分應用無法運行。它還與操作系統和應用程序爭奪對CPU的控制權,總是導致整個系統死鎖,給正常運行帶來麻煩。有時幾個病毒在系統中交叉感染,壹個文件被幾個病毒反復感染。比如原來只有10KB的文件變成了90KB左右,也就是說被幾個病毒反復感染了幾十次。這不僅消耗了大量寶貴的磁盤存儲空間,而且由於多種病毒寄生其中,整個計算機系統也無法正常工作。因此,我們不能低估所謂良性病毒對計算機系統造成的損害。?計算機病毒的實現方式千差萬別,很多病毒采用加密技術,使得被感染的程序很難恢復原來的形態,也就是反病毒工作。目前還沒有通用可靠的病毒自動清除方法。許多研究者在這方面做了很多努力,國外的壹些商業軟件也有免疫功能,但都有缺陷,不盡如人意。有些病毒對系統造成的損害是不可逆的,無法修復被感染的文件。當被新病毒感染時,不僅要仔細分析病毒代碼,還要對病毒和計算機系統有壹個全面的了解,這需要花費大量的時間和精力。因此,反計算機病毒工作最重要的是防止病毒入侵系統。壹旦損壞,修復起來會很麻煩,甚至無法修復。
在與計算機病毒的鬥爭中,壹個非常重要的任務就是對計算機病毒進行分類和命名。計算機病毒的分類有很多種:根據病毒對計算機系統的破壞性質,有良性病毒和惡性病毒,如上所述。根據病毒攻擊的類型,有Mac病毒、IBMPC病毒和小型機病毒。根據危害對象,有破壞電腦的病毒和破壞網絡通信的病毒。對侵犯IBM PCs的PC病毒可以有壹個更科學的分類,即本書應該重點關註和打擊的病毒。這種分類的目的是了解病毒的工作機制,根據病毒的特點采取更有效的方法防禦和清除計算機病毒。對於PC病毒,壹般公認並科學地分為引導區病毒、文件病毒和混合病毒(即同時感染引導區和文件的病毒)。這種劃分方法對病毒的檢測、清除和預防具有指導意義。它不僅指出了不同種類的病毒在PC中的寄生部位,還指出了病毒的攻擊目標。因此,我們可以采取相應的措施來保護易受病毒攻擊的部分,如分區表所在的主引導扇區、DOS引導扇區和可執行文件,進而找到全面有效的防計算機病毒措施。?和國際情況壹樣,國內常見的PC病毒中,引導型病毒的種類比文件型病毒少,混合型病毒最少。這三種類型的病毒都是良性和惡性的。常見的文件病毒有耶路撒冷、1575、揚基病毒、648、V2000、1701落葉病毒等。常見的引導區病毒有大麻、球狀體、米氏病毒、6.4病毒、香港病毒等。常見的混合病毒有新世紀病毒、Flip等。計算機病毒通常有多個名稱。在討論病毒預防時,人們常常不得不弄清楚他們談論的是否是同壹種病毒。比如1701病毒的別名有落葉病毒、淚滴病毒、1704病毒、雨滴病毒、感冒病毒等。在國外,雨滴病毒也被稱為流感病毒和JOJO病毒。香港病毒又叫阻斷病毒、非打印病毒、封鎖病毒、端口病毒。因此得出的統計數據有時會有偏差。目前,國際上還沒有壹個統壹的標準來協調和指導該領域的命名工作。AVPD是壹個美國反病毒產品開發者組織,它正在協調其成員之間的計算機病毒的收集、識別和命名以及反病毒產品的開發。當我們看不到壹個病毒的確切描述和它的公認名稱時,人們會根據它的工作機制、表現形式、所包含的ASCII字符串、病毒程序的代碼長度、攻擊日期或時間、發現病毒的地點、被病毒攻擊的模型、病毒中表現模塊所顯示的聲音或圖形以及病毒發現者當時所能理解的各種特征來給它命名。前面提到的1701和香港病毒都屬於這種情況。給壹種新的計算機病毒命名的目的是為了使人們能夠快速準確地識別病毒,從而預防和治療病毒。因此,命名應最能反映病毒的特征,並使其不容易與現有的其他計算機病毒混淆。
如今,計算機病毒已經成為電腦用戶的壹大公害,其損失和損害難以估量。而壹些惡作劇者,壹些報復心強的程序員,壹些破壞者和壹些出於政治目的,經濟利益和軍事目的的病毒編寫者還在制造各種各樣的計算機病毒。有些病毒只是以前的壹些病毒的變種。有人通過反匯編等各種手段修改原病毒的內部模塊,如表達模塊、破壞模塊、感染模塊等,使之成為基於原病毒而又不同於原病毒的新的計算機病毒,這就是計算機病毒的變異。有些病毒變種只是簡單地改變了原病毒的顯示信息,卻對感染模塊等重要代碼保持不變。而其他變體在修改壹些重要的代碼後使用新的機制工作。這個時候,這個變種已經進化成了壹種新的病毒,不能再稱為其原型病毒的變種。生物界的病毒也在以幾乎相同的方式進化。壹個病毒可能產生幾個基本特征相同的病毒株,成為壹個病毒家族。當發生突變時,就會產生新的病毒。人們已經有了成功的經驗和藥物作為對抗舊病毒及其變種的對策,但對於沒有經過仔細研究和測試的新病毒,很難采取適當的對策。人們在處理計算機病毒時也遇到過類似的問題。如何準確捕獲普通軟件無法識別的新型病毒,並分析研究其工作機理和特征,需要專業知識。不分析其感染機制,就無法開發出預防和清除病毒的工具軟件。