科技时代新浪首页 > 科技时代 > 学园 > 06年全国信息网络安全状况调查专题 > 正文

病毒基础防治知识-赛门铁克提供


http://www.sina.com.cn 2006年05月24日 19:13 新浪科技

医学上的病毒定义:

  是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。
 
• 计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的
• 有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚
• “计算机病毒”这一概念是1977年由美国著名科普作家“雷恩
”在一部科幻小说《P1的青春》中提出
• 1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。
• 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等
• 1989年全世界的计算机病毒攻击十分猖獗,其中"米开朗基罗"病毒给许多计算机用户造成极大损失。
• 1991年在“海湾战争”中,美军第一次将计算机病毒用于实战
• 1992年出现针对杀毒软件的"幽灵"病毒,如One-half。•
• 1997年1997年被公认为计算机反病毒界的“宏病毒”年。
• 1998年出现针对Windows95/98系统的病毒,如CIH(
1998年被公认为计算机反病毒界的CIH病毒年)。
• 1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。

  1、DOS引导阶段1987年,计算机病毒主要是引导型病毒,具有代表性的是“ 小球”和“石头”病毒。
 
  使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有"石头2"。
 
 
  2、DOS可执行阶段

  1989年,可执行文件型病毒出现,它们利用DOS系统加载执
行文件的机制工作,代表为"耶路撒冷","星期天"病毒,病毒代时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。
 
 
  3、批处理型阶段

  1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。它感染EXE文件时生成一个和EXE同名的扩件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。

  4、幽灵、多形阶段1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。5、生成器阶段1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器变体机就产生了。具有典型代表的是"病毒制造机"VCL

  6、网络、蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS

操作系统中,"蠕虫"是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文有时也在网络服务器和启动文件中存在。

  7、Windows病毒阶段1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件, 典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用8、宏病毒阶段1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。9、互连网阶段1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。

  1988年11月2日,Internet前身Arpanet网络遭到蠕虫的攻击,导致瘫痪,其始作俑者为康奈尔大学计算机科学系研究生罗伯特·莫里斯1998年出现的CIH病毒是一个全新的新型病毒。这种病毒与DOS下的传统病毒有很大不同,它使用面向Windows的VXD技术编制。该病毒是第一个直接攻击,导致硬件不能正常工作的计算机病毒。它主要感染Windows95/98的可执,导致主板损坏,同时破坏硬盘中的数据。

  1999年4月出现的梅丽莎病毒,是第一个通过电子邮件传播的病毒,短短24小时之内就使美国数万台服务器、数十万台工作站瘫痪,造成损失高达10亿美元。

  • 2001年出现的Codered“红色代码”病毒是一种新型网络病毒,其传播所使用的技术可以充分体现网络时代网络安全与病毒的巧妙结合,将网络蠕虫、计算机病毒、木马程序合为一体,开创了网络病毒传播的新路,可称之为划时代
  • 2001年9月出现的尼姆达病毒则利用了诸多Windows系统漏洞,其传播速度更快,感染能力更强

病毒的不同类型. 引导型病毒. DOS病毒
 
. 宏病毒. 脚本病毒
 
 通常感染的文件类型:

¾ 程序/可执行文件[NE, PE] (*.EXE)
 
 
¾ 设备驱动程序[LE, PE] (*.DLL, *.DRV, *.VXD)


¾ 其它带有可执行代码的文件(*.SCR, *.HLP, *.OCX)

¾

注册表或者配置文件的异常或可疑的改动

  许多Windows病毒都是将自己的代码插Append Prepend Insert 入到载体文件中去,从而文件长度会有所增加。
 
  其它一些复杂的Windows 病毒会自动查找可执行程序的空闲空间,将自身程序分成小段插入进去,因此文件长度不会改变。
 
  当被感染的文件用Word应用程序打开的时候,通常其中包含的宏代码就会复制到通用模板中去当病毒长驻在通用模板中时,它会自动生成一些额外的拷贝到别的被Word打开的文档中去自动在启动文件夹中添加一当启动文件夹中有宏病毒时,它会在所有用份自身的副本。Excel打开的电子表格中添夹自身的副本。

某些症状

¾ 被感染的文件的大小会增加

¾ 当你关闭文件时程序会问你是否要保存所做的更改,而实际上你并没有对文件做任何改动。
 
¾ 普通的文件被当作模板保存起来(针对Word宏病毒)

  如果一封邮件或某个网页有恶意脚本恶意脚本会利用网页浏览器或者邮件程序脚本解释执行程序
 
  导致它们可以传播和复制到其它的邮件接收者和网页的使用者

  当接收到一封带有脚本的邮件时,会有以下的信息显示
   
  点击Yes 会执行该脚本,有可能含有恶意代码;而点击No则会显示下面的信息
 
   现代计算机病毒类型

  . 特洛伊木马程序
  . 蠕虫. 后门程序. DDos 攻击程序. 玩笑程序. 恶意程序dropper

  特洛伊木马程序往往表面上看起来无害,但是会执行一些未预料或未经授权,通常是恶意的操作。

  计算机蠕虫是指一个程序(或一组程序),它会自我复制、传播到别的计算机系统中去。

  玩笑程序是普通的可执行程序,这些程序建立的目的是用于和计算
机用户开玩笑。

  这些玩笑程序设计时不是致力于破坏用户的数据,但是某些不知情的用户可能会引发不正当的操作,从而导致文件的损坏和数据的丢失。

 [1] [2] [3] [下一页]

发表评论

爱问(iAsk.com)



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有