一、計算機病毒的簡介

1、名稱的由來

由生物醫學上的 “病毒” 一詞借用而來。

（1）與生物醫學上“病毒”的異同

• 同：都具有傳染性、流行性、針對性等。
• 異：不是天生的，而是人為編制的具有特殊功能的程序。

---

2、病毒的起源

---

3、廣義的定義

凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒（Computer Virus）

---

4、法律性、權威性的定義

指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據、影響計算機使用，并能夠自我復制的一組計算機指令或者程序代碼。

---

二、計算機病毒的特征

1、寄生性

• 依附于合法的程序之中。
• 病毒所寄生的合法程序被稱為病毒的載體，也稱為病毒的宿主程序。

---

2、傳染性

• 通過各種渠道從已被感染的計算機擴散到未被感染的計算機。
• 是病毒的基本特征，是判別一個程序是否是計算機病毒的首要條件。

3、隱蔽性

• 短小精悍，發作前不易被用戶察覺和發現。
• 存在的隱蔽性和傳染的隱蔽性。

---

4、潛伏性

• 侵入系統后，不會立即進行活動
• 潛伏期越長，病毒的傳染性越大

---

5、可觸發性

因某個特征或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。

---

6、破壞性或表現性

降低系統的工作效率，占用系統資源。

---

7、針對性

只破壞某些特定的物理設備或系統。

---

8、新特點

• 主動通過網絡和郵件系統傳播
• 傳播速度極快
• 變種多
• 具有病毒、蠕蟲和黑客程序的功能

---

三、計算機病毒的傳播途徑

---

四、計算機病毒的分類

1、按照感染或者寄生的對象分類

（1）引導型病毒

• 藏匿在磁盤片或硬盤的第一個扇區
• 先于操作系統加載到內存中，獲得完全的控制權

（2）文件型病毒

• 通常寄生在可執行文件中，如*.BAT, *.COM, *.EXE等。

（3）混合型病毒

• 既傳染磁盤引導扇區又傳染可執行文件的病毒。

---

2、按照計算機病毒的破壞情況分類

（1）良性病毒

ZDNet 安全不會對計算機系統直接進行破壞，只是具有一定表現癥狀的病毒。

（2）惡性病毒

會對系統產生直接的破壞的作用。

（3）中性病毒

只是瘋狂復制自身的病毒，也就是常說的蠕蟲型病毒。

---

3、按鏈接方式分類

（1）源碼型病毒

在高級語言所編寫的程序編譯前插入到源程序中。

（2）入侵型病毒/嵌入型病毒

將自身嵌入到宿主程序中。

（3）外殼型病毒

寄生在宿主程序的前面或后面，并修改程序的第一個執行指令。

（4）操作系統型病毒

用自己的邏輯模塊取代操作系統的部分合法程序模塊。

---

4、從廣義病毒定義的角度

（1）邏輯炸彈

修改計算機程序，使它在某種特殊條件下按某種不同的方式運行。邏輯炸彈也是由程序員插入其它程序代碼中間的，但并不進行自我復制。

---

（2）特洛伊木馬

A. 特征和行為

• 木馬本身不進行自我復制。
• 被感染的計算機系統會表現出不尋常的行為或運行變慢。比如：有一個或多個不尋常的任務在運行；注冊表和其他配置文件被修改;電子郵件會在用戶不知情的情況下被發送等。

B. 攻擊步驟?

• 設定好服務器程序
• 騙取對方執行服務器程序
• 尋找對方的IP地址
• 用客戶端程序來控制對方的計算機

C. 傳播途徑

• 電子郵件的附件（木馬非自我復制）
• 隱藏在用戶與其他用戶進行交流的文檔和其他文件中
• 被其他惡意代碼所攜帶，如蠕蟲
• 會隱藏在從互聯網上下載的捆綁的免費軟件中

D. 預防

• 不要執行任何來歷不明的軟件或程序（無論是郵件中還是 Internet 上下載的）
• 上網的計算機要必備防毒軟件（切記及時升級)?

---

（3）計算機蠕蟲

---

（4）宏病毒

---

5、手機病毒

---

---

五、計算機病毒的防范技術

1、檢測技術

是指通過一定的技術手段判定出病毒的技術。

• 在特征分類的基礎上建立的病毒識別技術。
• 通過病毒行為或文件校驗和的病毒判定技術。

（1）比較法

將原始的或正常的特征與被檢測對象的特征比較。

由于病毒的感染會引起文件長度和內容、內存以及中斷向量的變化,從這些特征的比較中可以發現異常,從而判斷病毒的有無。

A. 優點

簡單、方便,不需專用軟件。

B. 缺點

無法確認計算機病毒的種類和名稱。

---

（2）病毒校驗和法

計算出正常文件的程序代碼的校驗和，并保存起來，可供被檢測對象對照比較，以判斷是否感染了病毒。

A. 優點

可偵測到各式的計算機病毒，包括未知病毒。

B. 缺點

誤判率高，無法確認病毒種類。

---

（3）分析法

該方法的使用人員主要是反計算機病毒技術的專業人員。

---

（4）搜索法

最普遍的計算機檢測方法。

用每一種計算機病毒體含有的特定字符串對被檢測對象進行掃描。

特征串選擇的好壞，對于病毒的發現具有決定作用。

如何提取特征串，則需要足夠的相關知識。

A. 缺點

被掃描的文件很長時，掃描所花時間也越多；不容易選出合適的特征串；計算機病毒代碼庫未及時更新時，無法識別新型計算機病毒；不易識別變形計算機病毒等。

---

（5）行為監測法

通過檢測病毒在感染及破壞時表現出來的行為來判斷病毒是否存在。

A. 優點

不僅可檢測已知病毒，而且可預報未知病毒。

B. 缺點

有可能誤報。

---

（6）病毒行為軟件模擬法

專門用來對付多態病毒。

（7）感染實驗法

• 利用病毒最重要的基本特性 —— 傳染性。
• 檢測時，先運行可疑系統中的程序，再運行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長度和校驗和，如果發現有變化，可斷言系統中有病毒。

---

各種方法進行有機的結合，各取所長。?

---

2、清除技術

---

3、免疫技術

---

4、預防技術