网络安全 频道

从基础认识什么是计算机病毒

1 计算机病毒概述

计算机病毒英文名字Computer Virus简称CV。它是一种特殊的程序,由病毒引发的问题属于软件故障。这种程序能将自身传染给其它的程序,并能破坏计算机系统的正常工作,如系统不能正常引导,程序不能正确执行,文件莫明其妙地丢失,干扰打印机正常工作等,根据计算机病毒程序分析,总结了它们的共性。从而有这样一个概念:计算机的病毒是通过某种途径传染并寄生在磁盘特殊扇区或程序中,在系统启动或运行带毒的程序时伺机进入内存,当达到某种条件时被激活,可以对其它程序或磁盘特殊扇区进行自我传播,并可能对计算机系统进行干扰和破坏活动的一种程序。

2 计算机的病毒特性

病毒千奇百怪,不过万变不离其中,它们都有如下的特性:

● 传染性

传染性是所有病毒程序都具有的一大特性。通过传染,病毒就可以扩散,病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散,被嵌入的程序叫做宿主程序。

● 破坏性

大多计算机病毒在发作时候都具有不同程序的破坏性,有时干扰计算机系统的正常工作(例如,在屏幕上显示一个来回跳动的小球。干扰屏幕的正常显示)有的是用系统资源(例如,不断地复制自身,使文件长度加长,从而是用大量的磁盘咨询)有的则修改和删除磁盘数据或文件内容。

● 隐蔽性

计算机病毒的隐蔽性表现在两个方面,一是结果的隐蔽性,大多数病毒在进行传染时的速度极快,一般不只有外部表现,不易被人发现,二是病毒程序存在隐蔽性,一般的病毒程序都夹在正常程序中,很难被发现,而一旦病毒发作出来,往往已经给计算机系统造成了不同程序的破坏。

● 寄生性

病毒程序嵌入到宿主程序之中,依赖于宿主程序的执行而生存。这就是计算机病毒的寄生性,病毒程序在侵入到宿主程序中后,一般对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而可以进行自我复制和繁衍。

● 潜伏性

计算机病毒侵入系统后,一般不立即发作,而是具有一定的潜伏期,病毒不同其潜伏期的长短就不同,有的潜伏期为几个星期,又有的潜伏期为几年,在潜伏期中病毒程序只要在可能的条件下就会不断地进行自我复制繁衍和结果,一旦条件成熟,病毒就开始发作,发作的条件随病毒的不同而不同,这一条件是计算机病毒设计人员所设计的,病毒程序在运行时,每次都要检测发作条件。

3 计算机病毒存在方式

● 静态存在方式

计算机病毒寄生于磁盘,光盘等存储介质中。或存在于内存RAM虚拟盘,外部RAM盘或ROM盘,处于这种方式的病毒是“静态”的,不会去主动传染其它程序,更不会发作,当关机时,除了在内存RAM虚拟盘的病毒会消失以外。计算机外部存储介质上的病毒都会继续存在,静态病毒并不可怕,可怕的是它变成动态病毒。

● 动态存在方式

计算机病毒已经被调入内存,已经或随时可以获得控制权,此时病毒可能马上传染或发作,即进入活跃态,也可能将自身驻留于计算机的内存之中,进入潜伏态,一旦被激活就会进行传染和发作。病毒这种寄生在内存中的动态存在方式对用户来说是十分危险的,它像是一颗炸弹,随时会爆炸。不过,只要一关机动态病毒就消失,因此,消除计算机病毒的关键还是清除静态病毒,不然就不会出现动态病毒。

4

计算机病毒的存储方式

计算机病毒的存储方式有两种:第一种是内存驻留方式,第二种是磁盘存储方式。驻留内存是计算机病毒能够发挥作用的必要条件,而磁盘存储是病毒存在的客观条件。我们只要破坏掉病毒存储方式中的任意一种,都可以使计算机病毒丢失其原有特性,从而保证了我们计算机系统免受计算机病毒的侵扰。

4.1 内存驻留方式

病毒在内存中驻留的关键是选择存储空间,因而有以下几种内存驻留方式:

● 减少DOS系统可分配空间

● 利用系统的间隙

● 利用功能调用驻能

● 利用系统程序的使用空间

4.2 磁盘存储方式

要防治计算机病毒,就必须了解病毒在磁盘上可能的存储方式,一般情况下,计算机病毒存储在磁盘中的前提条件是病毒能够被系统复制载入内存,并且在条件成熟时,可获得对系统的控制权,目前较为流行的方式有文件驻入式和直接存取两种。

● 文件驻入式

● 直接存取扇区

5 计算机病毒传染原理

5.1 计算机病毒的传染过程分析

这里从Boot区传染病毒为例讨论计算机病毒在计算机系统完成一次传染的全过程、系统正常如下:

(1)开机后、由Boot时系统的基本设备进行检测;

(2)读入系统的逻辑第0扇区(即BOOT区)到内存的0000:7C00处;

(3)开始Boot(引导);

(4)判断A盘是否为系统盘、如果该盘不是系统盘、则提示:non_system disk or disk error, Replace and strike any key when ready;否则读入Bios并转达入Bios;

(5)然后系统正常运行。

如系统绕带有病毒在执行过程中,首先读入是病毒程序的代码:

(1)将BOOT区中病毒的代码(或部分)读入内存的0000:7C00处;

(2)病毒将自身完整化,并将自身完整的病毒程序举向内存xxxx:xxxx地址,如:小球病毒将自身举向内存的97C0:7C00处;

(3)修改中断向量INT 13H 的向量入口,使之指向病毒的控制的摸块从而病毒程序得到控制权;

(4)读入正常的BOOT区内容列内存的0000:7C00处进行正常的启动过程;

(5)此时病毒获得控制权并监视系统的运行。

如在运行中,有受攻击的对象,病毒进行如下操作:

(1)读入目标的逻辑第0扇区(对于软盘);

(2)判断是否传染;

(3)如果满足传染条件,则将病毒的全部或部分写入Boot区将病毒的部分代码及正常的Boot引导程序或者仅正常的Boot引导程序写入磁盘的特定位置;

(4)对于这一特定的存储空间,或以坏簇标志FF7、或不标;

(5)返回病毒程序、由病毒程序引入正常的INT 13H中断程序,此时这段病毒程序已完成了对目标盘的传染过程,目标盘中就含有了这种病毒的一个自身复制品,上面的1,2两个步骤完成了这种病毒的“繁殖”过程,已经驻入内存中的病毒仍然监视系统的运行。

针对可执行文件传染的病毒,其传染原理与对Boot区传染的病毒原理一样,只是病毒是在被传染的文件执行的病毒驻入内存,其驻入内存的过程如下(有一受染文件HZG.com并设其病毒x与其首链接)

(1)运行HZG.com;

(2)系统对这一文件进行读操作;

(3)由于病毒在文件的首部,因而可直接执行病毒程序X;

(4)X读入内存并完成自身的完整化;

(5)获得中断向量并使之转向病毒程序;

(6)病毒获得对系统的控制权,并监视系统运行;

(7)读入正常的HZG.COM文件并使之获得控制权;

此时,病毒X驻入系统的内存,开始监视系统的运行、当它发现被传染的目标时,做如下工作:

(1)读入HZG.COM前的特定地址信息(标识位)进行判断;

(2)满足条件,则利用中断INT 13H(磁盘读/写)将病毒与HZG.COM文件链接,并存入目标中;

(3)定成传染,继续监视系统的运行。

对病毒与文件的尾部连接情况而言,则病毒正传染过程中在正常的目标前头设置一条或几条JMP指令,使程序开始运行,即指向病毒程序,使其正常文件运行前首先运行了病毒程序,其传染与其上类似。

5.2 计算机病毒传染方式

计算机不运行时不存在对磁盘的读写或数据共享;没有磁盘的读写,病毒不能传入磁性存储介质、而只能驻留于内存之中或驻留于存储设备之中,不能驻入内存,那么计算机运行就含有很频繁的磁盘读写工作,所以就容易得到病毒传染的先决条件。

有了条件病毒是如何传染的呢?

(1)驻入内存:病毒要达到传染的目的必须驻留于内存之中,所以病毒传染的第一步是驻留内存;

(2)寻找传染机会:病毒驻入内存之后,首先寻找可进行攻击的对象,并判定这一对象是否可被传染(有些病毒的传染是无条件的);

(3)进行传染:当病毒寻找到传染的对象并判定可进行传染之后,通过INT 13H这一磁盘中断服务程序达到传染磁盘的目的,并将其写入磁盘系统;

一般病毒将在内存中申请一空间,以便常驻内存或为常驻内存程序(TSR),病毒为使自己不被发现,此时一般不覆盖其它数据的,通常病毒程序写给于内存高端,其传染方式如上病毒存储方式。

6 计算机病毒来源渠道主要从以下5个方面

● 盗版软件

盗版软件在互相拷贝流传的过程中,根本无法保证不会被病毒所寄生;而且因为盗版是一种非法的行为,故制造病毒的人会专门利用盗版软件

来传播他的作品,以避开法律责任。

● 公开软件

无论是完全公开的软件,或是半开放的公享软件,都是容许人们随便拷贝的,跟盗版软件一样,人们根本无法确认该公开软件是否有病毒寄生,但由于是合法的行为,故其带病毒的机率不如盗版软件高。

● 电子公告栏

在使用电子公告栏(BBS)时要注意,由于任何人都可随便地从公告上拦载或录下文件,所以根本无法保证录下来的程序是否有病毒寄生。

● 通讯与网络

与电子公告栏相似,我们无法保证传来的程序,或远程请求的程序有没有病毒寄生或感染。

● 正版软件

有些软件公司,为了避免被盗版使用,会在其产品中放入口令暗号检查的程序,这种程序可促动早已准备好的病毒并发,对盗版用户表示以惩戒。

7 结束语

综上所述,仅预防病毒软件已经不足以应付病毒攻击,我们需要一个全面的、积极的、自适应的安全威胁管理方法,它应该包括三方面要素:隔离(Isolate)——识别出正在进行的攻击;遏制(Contain)——防止安全威胁范围扩大;消灭(Extinguish)——用合适的补丁程序、杀毒工具等消除迫在眉睫的威胁,同时防火墙和其它反病毒类软件都是很好的安全产品,但是要让你的网络体系具有较高级别的安全等级,还需要你具有一定的主动性。一个具有主动性的网络安全模型是以一个良好的安全策略为起点的。之后你需要确保这个安全策略可以被彻底贯彻执行。最后,由于移动办公用户的存在,你的企业和网络经常处在变化中,你需要时刻对那些黑客、蠕虫、恶意员工以及各种互联网罪犯提前行动。要做到先行一步,你应该时刻具有主动性的眼光并在第一时刻更新的你安全策略,同时你要确保系统已经安装了足够的防护产品,来阻止黑客的各种进攻尝试。

1
相关文章