计算机病毒的特点

计算机病毒的发展

在病毒的发展史上， 病毒的出现是有规律的， 一般情况下一种新的病毒技术出现后， 病毒迅速发展， 接着反病毒技术的发展会抑制其流传。 操作系统升级后，病毒也会调整为新的方式， 产生新的病毒技术。 它可划分为：

DOS 引导阶段

1987 年， 计算机病毒主要是引导型病毒， 具有代表性的是“小球” 和“石头”病毒。 当时的计算机硬件较少, 功能简单, 一般需要通过软盘启动后使用. 引导型病毒利用软盘的启动原理工作, 它们修改系统启动扇区, 在计算机启动时首先取得控制权, 减少系统内存, 修改磁盘读写中断, 影响系统工作效率, 在系统存取磁盘时进行传播;

1989 年, 引导型病毒发展为可以感染硬盘, 典型的代表有“石头 2” ;

DOS 可执行阶段

1989 年, 可执行文件型病毒出现, 它们利用 DOS 系统加载执行文件的机制工作,代表为“耶路撒冷” , “星期天” 病毒, 病毒代码在系统执行文件时取得控制权, 修改 DOS 中断, 在系统调用时进行传染, 并将自己附加在可执行文件中, 使文件长度增加。

1990 年, 发展为复合型病毒, 可感染 COM 和 E*E 文件。

批次型阶段

1992 年, 伴随型病毒出现, 它们利用 DOS 加载文件的优先顺序进行工作， 具有代表性的是“金蝉” 病毒, 它感染 E*E 文件时生成一个和 E*E 同名但扩展名为 COM的伴随体; 它感染文件时, 改原来的 COM 文件为同名的 E*E 文件, 再产生一个原名的伴随体, 文件扩展名为 COM， 这样, 在 DOS 加载文件时, 病毒就取得控制权. 这类病毒的特点是不改变原来的文件内容, 日期及属性, 解除病毒时只要将其伴随体删除即可。 在非 DOS 操作系统中, 一些伴随型病毒利用操作系统的描述语言进行工作, 具有典型代表的是“海盗旗” 病毒, 它在得到执行时, 询问用户 名称和口 令, 然后返回一个出错信息, 将自身删除。 批次型病毒是工作在 DOS 下的和“海盗旗” 病毒类似的一类病毒。

多形阶段

1994 年, 随着汇编语言的发展, 实现同一功能可以用不同的方式进行完成, 这些方式的组合使一段看似随机的代码产生相同的运算结果。 幽灵病毒就是利用这个特点, 每感染一次就产生不同的代码。 例如“一半” 病毒就是产生一段有上亿种可能的解码运算程序, 病毒体被隐藏在解码前的数据中, 查解这类病毒就必须能对这段数据进行解码, 加大了 查毒的难度。 多形型病毒是一种综合性病毒, 它既能感染引导区又能感染程序区, 多数具有解码算法, 一种病毒往往要两段以上的子程序方能解除。

变体机阶段

1995 年, 在汇编语言中, 一些数据的运算放在不同的通用寄存器中, 可运算出同样的结果, 随机的插入一些空操作和无关指令, 也不影响运算的结果, 这样, 一段解码算法就可以由生成器生成， 当生成器的生成结果为病毒时, 就产生了 这种复杂的“病毒生成器” ， 而变体机就是增加解码复杂程度的指令生成机制。 这一阶段的典型代表是“病毒制造机” VCL, 它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法, 需要在宏观上分析指令, 解码后查解病毒。

网络蠕虫阶段

1995 年, 随着网络的普及, 病毒开始利用网络进行传播, 它们只是以上几代病毒的改进. 在非 DOS 操作系统中, “蠕虫” 是典型的代表, 它不占用除内存以外的任何资源, 不修改磁盘文件, 利用网络功能搜索网络地址, 将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

视窗阶段

1996 年, 随着 Windows 和 Windows95 的日益普及, 利用 Windows 进行工作的病毒开始发展, 它们修改(NE, PE) 文件, 典型的代表是 DS. 3873, 这类病毒的机制更为复杂, 它们利用保护模式和 API 调用接口 工作, 解除方法也比较复杂。

宏病毒阶段

1996 年, 随着 Windows Word 功能的增强, 使用 Word 宏语言也可以编制病毒, 这种病毒使用类 Basic 语言、 编写容易、 感染 Word 文档等文件， 在 E*cel 和 AmiPro出现的相同工作机制的病毒也归为此类， 由于 Word 文档格式没有公开， 这类病毒查解比较困难。

互联网阶段

1997 年, 随着因特网的发展, 各种病毒也开始利用因特网进行传播, 一些携带病毒的数据包和邮件越来越多, 如果不小心打开了 这些邮件, 机器就有可能中毒;邮件炸弹阶段

1997 年, 随着万维网(Wold Wide Web) 上 Java 的普及, 利用 Java 语言进行传播和资料获取的病毒开始出现, 典型的代表是 JavaSnake 病毒， 还有一些利用邮件服务器进行传播和破坏的病毒， 例如 Mail-Bomb 病毒， 它会严重影响因特网的效率。

计算机病毒的行为

计算机病毒的破坏行为体现了 病毒的杀伤能力。 病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。 数以万计不断发展扩张的病毒，其破坏行为千奇百怪， 不可能穷举其破坏行为， 而且难以做全面的描述， 根据现有的病毒资料可以把病毒的破坏目 标和攻击部位归纳如下： 攻击系统数据区， 攻击部位包括： 硬盘主引寻扇区、 Boot 扇区、 FAT 表、 文件目 录等。 迫使计算机空转， 计算机速度明显下降。 攻击磁盘， 攻击磁盘数据、 不写盘、 写操作变读操作、写盘时丢字节等。

扰乱屏幕显示， 病毒扰乱屏幕显示的方式很多， 可列举如下： 字符跌落、 环绕、 倒置、 显示前一屏、 光标下跌、 滚屏、 抖动、 乱写、 吃字符等。键盘病毒， 干扰键盘操作， 已发现有下述方式： 响铃、 封锁键盘、 换字、 抹掉缓存区字符、 重复、 输入紊乱等。

喇叭病毒， 许多病毒运行时， 会使计算机的喇叭发出响声。 有的病毒作者通过喇叭发出种种声音， 有的病毒作者让病毒演奏旋律优美的世界名曲， 在高雅的曲调中去杀戮人们的信息财富， 已发现的喇叭发声有以下方式： 演奏曲子、 警笛声、 炸弹噪声、 鸣叫、 咔咔声、 嘀嗒声等。

攻击 CMOS ， 在机器的 CMOS 区中， 保存着系统的重要数据， 例如系统时钟、磁盘类型、 内存容量等， 并具有校验和。 有的病毒激活时， 能够对 CMOS 区进行写入动作， 破坏系统 CMOS 中的数据。

干扰打印机， 典型现象为： 假报警、 间断性打印、 更换字符等。