電腦病毒與反病毒介紹

  電腦病毒最初的歷史,可以追溯至一九八二年。當時,電腦病毒這個名詞還未正式被定義,下面由小編給你做出詳細的!希望對你有幫助!

  :

  "It will get on all your disks

  It will infiltrate your chips

  Yes it's Cloner!

  It will stick to you like glue

  It will modify ram too

  Send in the Cloner!"

  電腦病毒和反病毒時間:

  1984 ― 電腦病毒正式被定義

  Fred Cohen於一九八四發表了一篇名為"電腦病毒 ― 理論與實驗***Computer Viruses ― Theory and Experiments***"的文章,當中除了為"電腦病毒"一詞下了明確的定義外,也描述了他與其他專家對電腦病毒研究的實驗成果。

  1986 ― 首種廣泛傳播於MS-DOS 個人電腦系統的電腦病毒

  首宗惡意並廣泛傳播的電腦病毒始於一九八六年,該種電腦病毒名為"腦***Brain*** ",由兩位巴基斯坦籍的兄弟所編寫,能破壞電腦的起動區***boot-sector***,亦被視為第一隻能透過自我隱藏來逃避偵測的病毒。

  1987 ― 檔案感染型病毒 ***Lehigh 和 聖誕蟲 Christmas Worm***

  一九八七年,Lehigh 病毒於美國Lehigh 大學被發現,是首隻檔案感染型病毒***File infectors***。檔案感染型病毒主要通過感染 .COM 檔案和 .EXE檔案,來破壞資料、損毀檔案配置表***FAT***或在染毒檔案執行的過程中感染其它程式。

  1988 ― 首種Macintosh 電腦病毒的出現以及CERT組織的成立

  第一種襲擊麥金塔***Macintosh***電腦的病毒 MacMag在這年出現,而"網際網路蟲"***Internet Worm*** 亦引起了第一波的網際網路危機。同年,世界第一隊電腦保安事故應變隊伍***Computer Security Response Team***成立並不斷髮展,也就演變成為今天著名的電腦保安事故應變隊伍協調中心***CERTR Coordination Center ,簡稱CERTR/CC***。

  1990 ― 首個病毒交流佈告欄上線和防毒產品的出現

  首個病毒交流佈告欄***Virus Exchange Bulletin Board Service, 簡稱VX BBS***於保加利亞上線,藉以給病毒程式設計者交換病毒程式碼及心得。同年,防毒產品如McAfee Scan等開始粉墨登場。

  1995 ― 巨集病毒的出現

  在windows 95 作業平臺初出現時,運行於DOS作業系統的電腦病毒仍然是電腦病毒的主流,而這些以DOS為本的病毒往往未能複製到windows 95 作業平臺上執行。不過,正當電腦用家以為可以鬆一口氣的時候,於一九九五年年底,首種運行於 MS-Word工作環境的巨集病毒***Macro Virus***,也正式面世。

  1996 ― Windows 95 繼續成為襲擊目標, Linux 作業平臺也不能倖免

  這年,巨集病毒Laroux成為首隻侵襲MS Excel 檔案的巨集病毒。而Staog 則是首隻襲擊Linux 作業平臺的電腦病毒。

  1998 - Back Orifice

  Back Orifice 讓駭客透過網際網路在未授權的情況下遙距操控另一部電腦,此病毒的命名也開了微軟旗下的Microsoft's Back Office產品一個玩笑。

  1999 ― 梅莉莎 ***Melissa*** 及 CIH 病毒

  梅莉莎為首種混合型的巨集病毒 -它透過襲擊MS Word作臺階,再利用MS Outlook及Outlook Express內的地址簿,將病毒透過***廣泛傳播。該年四月,CIH 病毒爆發,全球超過6000萬臺電腦被破壞。

  2000 ― 拒絕服務 ***Denial of Service*** 和戀愛郵件 ***Love Letters*** "I Love You"

  是次拒絕服務襲擊規模很大,致使雅虎、亞馬遜書店等主要網站服務癱瘓。同年,附著"I Love You"電郵傳播的Visual Basic 指令碼病毒檔更被廣泛傳播,終令不少電腦使用者明白到小心處理可疑電郵的重要性。該年八月,首隻運行於Palm 作業系統的木馬***Trojan*** 程式―"自由破解***Liberty Crack***",也終於出現了。這個木馬程式以破解Liberty ***一個運行於Palm 作業系統的Game boy 模擬器***作誘餌,致使使用者在無意中把這病毒透過紅外線資料交換或以電郵的形式在無線網中把病毒傳播。

  2002 ― 強勁多變的混合式病毒: 求職信***Klez*** 及 FunLove

  "求職信"是典型的混合式病毒,它除了會像傳統病毒般感染電腦檔案外,同時亦擁有蠕蟲***worm*** 及木馬程式的特徵。它利用了微軟郵件系統自動執行附件的安全漏洞,藉著耗費大量的系統資源,造成電腦執行緩慢直至癱瘓。該病毒除了以***作傳播途徑外,也可透過網路傳輸和電腦硬碟共享把病毒散播。

  自一九九九年開始,Funlove 病毒已為伺服器及個人電腦帶來很大的煩腦,受害者中不乏著名企業。一旦被其感染,電腦便處於帶毒執行狀態,它會在建立一個背景工作執行緒,搜尋所有本地驅動器和可寫入的網路資源,繼而在網路中完全共享的檔案中迅速地傳播。

  2003 ― 衝擊波 ***Blaster*** and 大無極 ***SOBIG***

  "衝擊波"病毒於八月開始爆發,它利用了微軟作業系統Windows 2000 及Windows XP的保安漏洞,取得完整的使用者許可權在目標電腦上執行任何的程式碼,並透過網際網路,繼續攻擊網路上仍存有此漏洞的電腦。由於防毒軟體也不能過濾這種病毒,病毒迅速蔓延至多個國家,造成大批電腦癱瘓和網路連線速度減慢。

  繼"衝擊波"病毒之後,第六代的"大無極"電腦病毒***SOBIG.F***肆虐,並透過***擴散。該"大無極" 病毒不但會偽造寄件人身分,還會根據電腦通訊錄內的資料,發出大量以 ‘Thank you!', ‘Re: Approved' 等為主旨的電郵外,此外,它也可以驅使染毒的電腦自動下載某些網頁,使編寫病毒的作者有機會竊取電腦使用者的個人及商業資料。

  2004― 悲慘命運***MyDoom***、網路天空***NetSky***及震盪波***Sasser***

  "悲慘命運"病毒於一月下旬出現,它利用***作傳播媒介,以"Mail Transaction Failed"、"Mail Delivery System"、"Server Report"等字眼作電郵主旨,誘使使用者開啟帶有病毒的附件檔。受感染的電腦除會自動轉寄病毒電郵外,還會令電腦系統開啟一道後門,供駭客用作攻擊網路的仲介。它還會對一些著名網站***如SCO及微軟***作分散式拒絕服務攻擊 ***Distributed Denial of Service, DDoS***,其變種更阻止染毒電腦訪問一些著名的防毒軟體廠商網站。由於它可在三十秒內寄出高達一百封***,令許多大型企業的***服務被迫中斷,在電腦病毒史上,其傳播速度創下了新紀錄。

  防毒公司都會以A、B、C等英文字母作為同一只病毒變種的命名。網路天空***NetSky***這種病毒,被評為史上變種速度最快的病毒,因為它自二月中旬出現以來,在短短的兩個月內,其變種的命名已經用盡了26個英文字母,接踵而至的是以雙碼英文字母名稱如NetSky.AB。它透過***作大量傳播,當收件人運行了帶著病毒的附件後,病毒程式會自動掃瞄電腦硬碟及網路磁碟機來蒐集電郵地址,透過自身的電郵傳送引擎,轉發偽冒寄件者的病毒電郵,而且病毒電郵的主旨、內文及附件檔案名稱都是多變的。

  "震盪波"病毒與較早前出現的衝擊波病毒雷同,都是針對微軟視窗作業系統的保安漏洞,也不需依賴***作傳播媒介。它利用系統內的緩衝溢位漏洞,導致電腦連續地重新開機並不斷感染網際網路上其他電腦。以短短18天的時間,它取代了衝擊波,創下了修補程式公佈後最短攻擊週期紀錄

  現在人都知道有電腦病毒,不過,你真正地瞭解它嗎?希望本文能夠讓你更深刻地認識病毒,提高我們的安全意識。

  電腦病毒和反病毒一、病毒的定義

  電腦病毒與醫學上的“病毒”不同,它不是天然存在的,是某些人利用電腦軟、硬體所固有的脆弱性,編制具有特殊功能的程式。由於它與生物醫學上的“病毒”同樣有傳染和破壞的特性,因此這一名詞是由生物醫學上的“病毒”概念引申而來。

  從廣義上定義,凡能夠引起電腦故障,破壞電腦資料的程式統稱為電腦病毒。依據此定義,諸如邏輯炸彈,蠕蟲等均可稱為電腦病毒。在國內,專家和研究者對電腦病毒也做過不盡相同的定義,但一直沒有公認的明確定義。

  電腦病毒和反病毒二、病毒的命名

  病毒的命名沒有固定的方法,有的按病毒第一次出現的地點來命名,如“ZHENJIANG_JES”其樣本最先來自鎮江某使用者。也有的按病毒中出現的人名或特徵字元,如“ZHANGFANG-1535”,“DISK KILLER”, “上海一號”。有的按病毒發作時的症狀命名,如“火炬”,“蠕蟲”。當然,也有按病毒發作的時間來命名的,如“NOVEMBER 9TH”在11月9日發作。有些名稱包含病毒程式碼的長度,如“PIXEL.xxx”系列,“ KO.xxx”等體。

  電腦病毒和反病毒三、電腦病毒的發展趨勢

  在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑制其流傳。同時,作業系統進行升級時,病毒也會調整為新的方式,產生新的病毒技術。總的說來,病毒可以分為以下幾個發展階段:

  1.DOS引導階段

  1987年,電腦病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。由於,那時的電腦硬體較少,功能簡單,一般需要通過軟盤啟動後使用。而引導型病毒正是利用了軟盤的啟動原理工作,修改系統啟動扇區,在電腦啟動時首先取得控制權,減少系統記憶體,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播。

  2.DOS可執行階段

  ***,可執行檔案型病毒出現,它們利用DOS系統載入執行檔案的機制工作,如“耶路撒冷”,“星期天”等病毒。可執行型病毒的病毒程式碼在系統執行檔案時取得控制權,修改DOS中斷,在系統呼叫時進行傳染,並將自己附加在可執行檔案中,使檔案長度增加。1990年,發展為複合型病毒,可感染COM和EXE 檔案。

  3.伴隨體型階段

  1992年,伴隨型病毒出現,它們利用DOS載入檔案的優先順序進行工作。具有代表性的是“金蟬”病毒,它感染EXE檔案的同時會生成一個和EXE同名的副檔名為COM伴隨體;它感染COM檔案時,改為原來的COM 檔案為同名的EXE檔案,在產生一個原名的伴隨體,副檔名為COM。這樣,在DOS載入檔案時,病毒會取得控制權,優先執行自己的程式碼。該類病毒並不改變原來的檔案內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可,非常容易。其典型代表的是“海盜旗”病毒,它在得到執行時,詢問使用者名稱稱和口令,然後返回一個出錯資訊,將自身刪除。

  4.變形階段

  1994年,組合語言得到了長足的發展。要實現同一功能,通過組合語言可以用不同的方式進行完成,這些方式的組合使一段看似隨機的程式碼產生相同的運算結果。而典型的多形病毒-幽靈病毒就是利用這個特點,每感染一次就產生不同的程式碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程式,病毒體被隱藏在解碼前的資料中,查解這類病毒就必須能對這段資料進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程式區,多數具有解碼演算法,一種病毒往往要兩段以上的子程式方能解除。

  5.變種階段

  1995年,在組合語言中,一些資料的運算放在不同的通用暫存器中,可運算出同樣的結果,隨機的插入一些空操作和無關命令,也不影響運算的結果。這樣,某些解碼演算法可以由生成器生成不同的變種。其代表作品-“病毒製造機”VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時不能使用傳統的特徵識別法,而需要在巨集觀上分析命令,解碼後查解病毒,大大提高了複雜程度。

  6.網路、蠕蟲階段

  1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是以上幾代病毒的改進。在Windows作業系統中,“蠕蟲”是典型的代表,它不佔用除記憶體以外的任何資源,不修改磁碟檔案,利用網路功能搜尋網路地址,將自身向下一地址進行傳播,有時也在網路伺服器和啟動檔案中存在。

  7.視窗階段

  1996年,隨著Windows的日益普及,利用Windows進行工作的病毒開始發展,它們修改***NE,PE***檔案,典型的代表是DS.3873,這類病毒的急智更為複雜,它們利用保護模式和API呼叫介面工作,解除方法也比較複雜。

  8.巨集病毒階段

  1996年,隨著MS Office功能的增強及盛行,使用Word巨集語言也可以編制病毒,這種病毒使用類Basic 語言,編寫容易,感染Word檔案檔案。由於Word檔案格式沒有公開,這類病毒查解比較困難。

  9.網際網路、感染郵件階段

  1997年,隨著因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的資料包和郵件越來越多,如果不小心打開了這些郵件,電腦就有可能中毒。

  10.爪哇、郵件炸彈階段

  1997年,隨著網際網路上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒。還有一些利用郵件伺服器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它就嚴重影響因特網的效率。

  電腦病毒和反病毒四、病毒的演化及發展過程

  當前電腦病毒的最新發展趨勢主要可以歸結為以下幾點:

  1.病毒在演化

  任何程式和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使防毒軟體更難檢測。

  2.千奇百怪病毒出現

  現在作業系統很多,因此,病毒也瞄準了很多其他平臺,不再僅僅侷限於Microsoft Windows平臺了。

  3.越來越隱蔽

  一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒採用複雜的密碼技術,在感染宿主程式時,病毒用隨機的演算法對病毒程式加密,然後放入宿主程式中,由於隨機數演算法的結果多達天文數字,所以,放入宿主程式中的病毒程式每次都不相同。這樣,同一種病毒,具有多種形態,每一次感染,病毒的面貌都不相同,猶如一個人能夠“變臉”一樣,檢測和殺除這種病毒非常困難。同時,製造病毒和查殺病毒永遠是一對矛盾,既然防毒軟體是殺病毒的,而就有人卻在搞專門破壞殺病毒軟體的病毒,一是可以避過殺病毒軟體,二是可以修改殺病毒軟體,使其防毒功能改變。因此,反病毒還需要很多專家的努力!