mslszb计算机病毒百科名片编制与科学定义(一)(图)

mslszb

电脑病毒百科名片

计算机程序中写入或插入的一组计算机指令或程序代码，能够破坏计算机功能或破坏数据，影响计算机的使用并能自我复制，称为计算机病毒。具有破坏性、复制性和传染性。

定义

计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中有明确的定义，病毒是指“编译或者插入计算机程序，破坏计算机功能或者数据，影响计算机的计算机程序”。使用并且可以

我复制的一套计算机指令或程序代码”。在一般教材和一般资料中，定义为：利用计算机软硬件的缺陷，从被感染机器发送来的一组计算机数据，破坏计算机数据和影响计算机的正常运行 指令集或程序代码 计算机病毒最早出现在 1970 年代 David Gerrold 的科幻小说When HARLIE is One 中，最早的科学定义出现在 1983 年：在 Fred Cohen (USC) 的博士论文《计算机》中病毒实验“将自身注入（或已进化）到其他程序中的计算机程序”启动区病毒、宏病毒、脚本病毒也是同一个概念。传播机制类似于生物病毒。

预防

电脑病毒

病毒经常利用计算机操作系统的弱点进行传播。提高系统安全性是防病毒的一个重要方面，但完美的系统并不存在。过分强调提高系统安全性，会使系统大部分时间花在病毒检查上。，系统失去可用性、实用性和易用性。另一方面，信息保密的要求使人们无法在泄露机密和感染病毒之间做出选择。病毒和杀毒将作为一种技术长期存在，随着计算机技术的发展，这两种技术都会长期发展。

生产

病毒不是由突然或偶然的原因产生的。突然断电和意外错误会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序的、混乱的，而病毒则是相对完善、复杂和严谨的代码。组织严密，与所在的系统网络环境相适应和配合。病毒不会是偶然形成的，它需要有一定的长度。这个基本长度在概率上是不可能通过随机码生成的。目前流行的病毒都是人为刻意编写的，大部分病毒都能找到作者和出处信息。从大量的统计分析来看，病毒作者的主要情况和目的是：一些天才程序员为了表达自己和证明自己的能力，出于对老板的不满，出于好奇，为了报复，为了祝贺和求爱，为了获得控制密码，为了得到软件不拿报酬陷阱等等。当然，还有政治、军事、宗教、民族等方面的原因。专为满足专利等方面的需求而编写，包括一些病毒研究机构和黑客测试病毒。

编辑本段的特点

计算机病毒具有以下特点：

寄生

计算机病毒寄生在其他程序中。程序执行时，病毒会起到破坏作用，在程序启动前不易被发现。

传染性

计算机病毒不仅具有破坏性，而且具有传染性。一旦病毒被复制或变异，它的速度就难以预防。传染性是病毒的基本特征。在生物世界中，病毒通过感染从一种生物体传播到另一种生物体。在适当的条件下，它可以繁殖并导致受感染的生物体生病甚至死亡。同样，计算机病毒也会通过各种途径从受感染的计算机传播到未受感染的计算机，在某些情况下会导致受感染的计算机发生故障甚至瘫痪计算机网络。

瘫痪。与生物病毒不同，计算机病毒是由人类编译的一段计算机程序代码。该程序代码一旦进入计算机并被执行，就会搜索其他符合其感染条件的程序或存储介质，确定目标，然后将自身发送给计算机。代码插入其中，达到自我复制的目的。只要有一台计算机被感染，如果不及时处理，病毒就会在这台机器上迅速传播，大量文件（通常是可执行文件）会被感染。被感染的文件成为新的感染源，再与其他机器进行数据交换或通过网络联系，病毒就会继续感染。普通的计算机程序一般不会强行将自己的代码链接到其他程序。然而，该病毒可以强制自己的代码感染所有符合其感染条件的未感染程序。计算机病毒可以通过各种可能的途径感染其他计算机，例如软盘和计算机网络。当您在一台机器上发现病毒时，通常该机器上使用的软盘已被感染，而与该机器相连的其他计算机也可能感染了病毒。是否具有传染性是判断一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并将自身嵌入其中来实现病毒感染和传播。嵌入式程序称为宿主程序；计算机病毒可以通过各种可能的途径感染其他计算机，例如软盘和计算机网络。当您在一台机器上发现病毒时，通常该机器上使用的软盘已被感染，而与该机器相连的其他计算机也可能感染了病毒。是否具有传染性是判断一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并将自身嵌入其中来实现病毒感染和传播。嵌入式程序称为宿主程序；计算机病毒可以通过各种可能的途径感染其他计算机，例如软盘和计算机网络。当您在一台机器上发现病毒时，通常该机器上使用的软盘已被感染，而与该机器相连的其他计算机也可能感染了病毒。是否具有传染性是判断一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并将自身嵌入其中来实现病毒感染和传播。嵌入式程序称为宿主程序；是否具有传染性是判断一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并将自身嵌入其中来实现病毒感染和传播。嵌入式程序称为宿主程序；是否具有传染性是判断一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并将自身嵌入其中来实现病毒感染和传播。嵌入式程序称为宿主程序；

潜

有些病毒就像定时炸弹，有预先设定好的攻击时间。例如，在预定时间之前根本无法检测到黑色星期五病毒。当条件满足时，它会爆炸并损坏系统。精心设计的计算机病毒程序通常不会在进入系统后立即攻击。它可以在几周、几个月甚至几年内隐藏在法律文件中，从而在不被发现的情况下感染其他系统。那么，它在系统中存在的时间越长，病毒传播的范围就越广。潜伏期的第一个表现是，如果没有专门的检测程序，病毒程序是无法被检测到的，所以病毒可以悄悄地在磁盘或磁带中潜伏几天甚至几年。一旦时机成熟，它将获得运行的机会。，它会繁殖、传播并继续危害。延迟的第二种表现形式是指计算机病毒内部往往存在触发机制。当不满足触发条件时，计算机病毒除了感染外不会造成任何损害。一旦满足触发条件，有的在屏幕上显示信息、图形或特殊标识，有的执行破坏系统的操作，如格式化磁盘、删除磁盘文件、加密数据文件、屏蔽键盘、系统死锁等；

隐瞒

计算机病毒具有高度隐蔽性，有的病毒软件可以检测到，有的根本无法检测到，有的有时是不可见的、多变的。通常很难处理此类病毒。

破坏性的

电脑中毒后，可能会导致正常程序无法运行、删除电脑中的文件或不同程度的损坏。通常表现为：添加、删除、修改、移动。

可触发性

病毒由于某种事件或值的出现而引起病毒感染或攻击的特性称为可触发性。为了隐藏自己，病毒必须处于休眠状态并且很少移动。如果它一动不动，一直潜伏，病毒既不能感染，也不能破坏，也就失去了杀伤力。要使病毒保持隐蔽和致命，它必须是可触发的。病毒的触发机制用于控制感染和破坏的频率。病毒具有预先确定的触发条件，可能是时间、日期、文件类型或某些特定数据。当病毒运行时，触发机制检查是否满足预定条件。如果是，则启动感染或破坏动作，使病毒感染或攻击；如果没有满足，

分类

根据对计算机病毒的多年研究，按照科学、系统、严谨的方法，计算机病毒可以分为以下几类： 按照计算机病毒属性的方法，计算机病毒可以按照以下属性分类：

病毒存在的介质

根据病毒存在的媒介，病毒可分为网络病毒、文件病毒和引导病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM、EXE、DOC等），引导病毒感染引导扇区（Boot）以及硬盘的系统引导扇区（MBR），以及三者的混合，例如：多型病毒（文件和引导）同时感染文件和引导扇区目标计算机病毒实际上是一种什么，此类病毒通常具有复杂的算法，它们使用非常规的方法入侵在系统中，使用了加密和变形算法。

通过病毒感染

按病毒感染方式可分为驻留病毒和非驻留病毒。驻留病毒感染计算机后，会将自己的内存驻留部分放入内存（RAM）中。这部分程序挂钩系统调用并并入操作系统，它保持活动状态直到关机或重新启动。非常驻病毒在有机会激活时不会感染计算机内存。有些病毒会在内存中留下一小部分，但不通过这部分感染，这类病毒也被归类为非常驻病毒。

病毒破坏能力

无害：除了在感染时减少可用磁盘空间外，对系统没有影响。非危险：这种类型的病毒只是减少内存、显示图像、发出声音等。危险：这类病毒会导致计算机系统运行出现严重错误。非常危险：这类病毒会删除程序、破坏数据、清除系统内存区域和操作系统中的重要信息。这些病毒对系统造成的危害，并不是它们自己的算法中有危险的调用，而是它们在传播时造成不可预测的灾难性破坏。由病毒引起的其他程序引起的错误也可以破坏文件和扇区，这些病毒也根据它们造成的破坏力进行分类。今天的一些’ s 无害病毒也可能对较新版本的 DOS、Windows 和其他操作系统造成严重破坏。例如：在早期的病毒中，有一种“Denzuk”病毒在360K磁盘上运行良好，没有造成任何损坏，但在后来的高密度软盘上造成大量数据丢失。

病毒算法

伴生病毒，这类病毒不会改变文件本身，它们根据算法生成EXE文件的伴生文件，同名不同扩展名（COM），例如：XCOPY.EXE的伴生文件是XCOPY-COM . 病毒将自身写入 COM 文件，不会更改 EXE 文件。当 DOS 加载文件时，先执行伴随体，然后伴随体加载并执行原始的 EXE 文件。“蠕虫”型病毒通过计算机网络传播而不改变文件和数据信息。它利用网络从一台机器的内存传播到其他机器的内存，计算网络地址，通过网络发送自己的病毒。有时它们存在于系统中，一般不占用内存以外的其他资源。除了伴随型和“蠕虫”型外，寄生病毒也可以称为寄生病毒。它们附加到系统的引导扇区或文件，并通过系统的功能传播。根据它们的算法，可以分为： 运动型 病毒包含错误，不能很好地传播，例如一些病毒处于调试阶段。秘密病毒一般不会直接修改DOS中断和扇区数据，而是通过设备技术、文件缓冲区等DOS内部修改使用更先进的技术，这些技术不容易看到资源。使用DOS的空闲数据区工作。变种病毒（也称为幽灵病毒） 这类病毒使用复杂的算法，使自身的每次传输都具有不同的内容和长度。

编辑本段发展

在病毒发展史上，病毒的出现是有规律的。一般情况下，一种新的病毒技术出现后，病毒会迅速发展，然后反病毒技术的发展会抑制其传播。操作系统升级后，病毒也会调整到新的方式，产生新的病毒技术。它可以分为：

DOS启动阶段

1987年，计算机病毒主要是bootstrap病毒，最具代表性的是“ball”和“stone”病毒。那时计算机硬件少，功能简单。一般需要从软盘启动后使用。引导型病毒利用软盘的启动原理进行工作。他们修改了系统引导扇区，在计算机启动时首先获得了控制权，减少了系统内存，修改了磁盘。读写中断影响系统效率，在系统访问磁盘时传播；1989年，开发出感染硬盘的引导型病毒，典型代表是“石头2”；

DOS可执行阶段

1989年，出现了可执行文件病毒。他们利用DOS系统中加载和执行文件的机制来工作，以“耶路撒冷”和“星期日”病毒为代表。病毒代码在系统执行文件、修改 DOS 中断和执行系统调用时获得控制权。被感染后，它会将自身附加到可执行文件中，从而增加文件长度。1990年发展为复合病毒，可感染COM和EXE文件。

伴随式，批次式舞台

1992年，伴随病毒出现，他们利用DOS的优先顺序加载文件工作。代表作是“金蝉”病毒，它感染EXE文件并生成与EXE同名但扩展名为COM的伴侣；它在感染文件时，将原来的COM文件改成同名的EXE文件，然后生成一个原名的伴侣，文件扩展名为COM，这样当DOS加载文件时，病毒就会获得控制权. 该类病毒的特点是不改变原文件内容、日期和属性，只是在删除病毒时删除附带的正文。在非DOS操作系统中，一些伴随病毒使用操作系统的描述语言进行工作，典型代表是“

幽灵，多态阶段

1994年，随着汇编语言的发展，同一个功能的实现可以用不同的方式来完成，这些方式的组合使得看似随机的一段代码产生相同的运算结果。鬼病毒每次被感染时都使用此功能生成不同的代码。例如，一个“半”病毒生成一个程序，有上亿次可能的解码操作，病毒体隐藏在解码前的数据中。要解决这种病毒，就必须能够解码这些数据，从而提高检测效率。困难。多态病毒是一种综合性病毒，既可以感染引导区，也可以感染程序区。他们中的大多数都有解码算法。一个病毒通常需要两个以上的子程序才能被释放。

生成器 , 变体 阶段

1995年，在汇编语言中，将一些数据操作放在不同的通用寄存器中，可以得到相同的结果。在不影响操作结果的情况下，随机插入了一些无操作和不相关的指令。这样，一个解码算法就可以由生成器生成了。当生成器的结果是病毒时，就产生了这种复杂的“病毒生成器”，而变种机就是增加解码复杂度的指令生成机制。这一阶段的典型代表是“病毒制造者”VCL，它可以在瞬间产生数千种不同的病毒。传统的特征识别方法无法用于分析，需要对指令进行宏观分析。检查病毒。

网络，蠕虫阶段

1995年，随着网络的普及，病毒开始利用网络传播，它们只是前几代病毒的改进。在非DOS操作系统中，“蠕虫”是典型代表，它不占用内存以外的任何资源，不修改磁盘文件，使用网络函数搜索网络地址，将自身传播到下一个地址，有时存在在网络服务器和启动文件中。

窗台

1996年，随着Windows和Windows95的日益普及，利用Windows工作的病毒开始发展，它们修改（NE、PE）文件，典型代表是DS.3873，这类病毒的机制比较复杂，它们利用保护模式和API调用接口起作用，释放方法也比较复杂。宏病毒阶段 1996年，随着Windows Word功能的增强，Word宏语言也可用于编译病毒。该病毒使用Basic语言，易于编写，感染Word文档和其他文件。Excel 和 AmiPro 中出现了相同的工作机制。病毒也属于这一类。由于Word文档格式未公开，因此很难查出此类病毒；

互联网阶段

1997年，随着互联网的发展，各种病毒也开始通过互联网传播，携带病毒的数据包和电子邮件越来越多。如果这些邮件被不小心打开了，机器可能会中毒；

邮件炸弹阶段

1997年，随着Java在万维网（Wold Wide Web）上的普及，使用Java语言进行传播和数据获取的病毒开始出现。典型代表是Java Snake 病毒，而一些利用邮件服务器进行传播和破坏的病毒，如Mail-Bomb 病毒，会严重影响Internet 的效率。

编辑本段

计算机病毒的破坏行为反映了病毒的查杀能力。病毒破坏行为的强度取决于病毒作者的主观愿望和他所拥有的技术能量。数以万计的病毒在不断地发展壮大，它们的破坏行为如此诡异，无法详尽地列出它们的破坏行为，也很难做出全面的描述。根据现有的病毒数据，该病毒的破坏目标和攻击部位可归纳如下： 攻击系统 在数据区，攻击部位包括：硬盘主搜索扇区、引导扇区、FAT表、文件目录等. 一般来说，攻击系统数据区的病毒是恶性病毒，被破坏的数据不易恢复。攻击文件的方法有很多种。病毒对文件的攻击方式很多，可以列举如下：删除、重命名、内容替换、部分程序代码丢失、内容反转、空白写入时间、碎片、假文件、文件簇丢失、数据文件丢失等攻击内存，内存是计算机的重要资源，也是病毒攻击的主要目标之一。病毒还会占用和消耗系统内存资源，这会使一些大型程序难以运行。病毒攻击内存有以下几种方式：占用大量内存、改变内存总量、禁止内存分配、蚕食内存等。干扰系统运行，这类病毒会干扰系统的正常运行。系统作为其自身的破坏性行为。这样的行为也是多种多样的，可以列举以下几种：不执行命令、干扰内部命令执行、误报、使文件打不开、内部堆栈溢出、特殊数据区被占用、时钟反转、重启、机器死机、强制游戏、串口和并口被干扰等。当速度下降时，当病毒激活时，它的内部延时程序启动，其中包含循环时钟中的时间计数，迫使计算机空闲，计算机速度显着下降。攻击磁盘，攻击磁盘数据，不写入磁盘，将写入操作更改为读取操作，写入磁盘时丢失字节等干扰屏幕显示，病毒破坏屏幕显示的方式有很多，可以列举如下：掉字、换行、反转、显示上一屏、光标掉、滚动、摇晃、乱涂乱画、吃字等。键盘病毒干扰键盘操作，并发现了以下方法：响铃、屏蔽键盘、更改字符、擦除缓存区中的字符、重复、输入混乱等。喇叭病毒，当许多病毒运行时，会使计算机的扬声器发出哔哔声。有的病毒作者通过扩音器发出各种声音，有的病毒作者让病毒用优美的旋律播放世界名曲，用优美的曲调扼杀人们的丰富信息。已发现的喇叭以以下方式发声：演奏曲调、警报器、炸弹声、唧唧声、咔嗒声、滴答声等。攻击CMOS，在机器的CMOS区域，保存系统的重要数据，如系统时钟、磁盘类型、内存容量等，并有校验和。当某些病毒被激活时，它们可以写入 CMOS 区域并破坏系统 CMOS 中的数据。干扰打印机，典型现象有：误报、间歇打印、更换字符等。

编辑本段危险

计算机资源的流失和破坏，不仅会造成资源和财富的巨大浪费，还可能引发社会灾难。随着信息社会的发展，计算机病毒的威胁越来越严重，反病毒的任务也更加艰巨。1988 年 11 月 2 日下午 5 点 1 分 59 秒，23 岁的康奈尔大学计算机系研究生莫里斯将他编写的蠕虫程序输入计算机网络，导致计算机有数十数以千计的计算机。网络被封锁。这一事件犹如一场计算机世界的大地震，引起了巨大的反响，震惊了整个世界，引起了人们对计算机病毒的恐慌，也让更多的计算机专家关注和投身于计算机病毒研究。1988年下半年，我国在统计局系统中首次发现“小球”病毒，对统计系统产生了很大影响。此后，因电脑病毒爆发而引发的“病毒事件”接连不断。沙沙等病毒给社会造成了巨大损失。

编辑本段的症状

1.计算机系统运行缓慢。2.计算机系统经常无缘无故地死机。3.计算机系统中的文件长度发生了变化。4.计算机存储量异常减少。5.系统启动变慢。6.文件丢失或损坏。7.计算机屏幕上出现异常显示。8.电脑系统蜂鸣器异常响。9.磁盘标签已更改。10.系统无法识别硬盘。11.存储系统访问异常。12.键盘输入异常。13.文件的日期、时间、属性等发生了变化。14.无法正确读取、复制或打开文件。15.执行命令时出错。16.误报。17.更改当前磁盘。有些病毒会将当前驱动器切换到C盘。18.时钟倒转。有些病毒会将系统命名为倒计时、倒计时。19.WINDOWS操作系统无故频繁出错。20.系统异常重启。21.部分外接设备工作不正常。22.异常要求用户输入密码。23.WORD或EXCEL提示执行“宏”。24. 是程序驻留内存，不应驻留内存。@0.系统异常重启。21.部分外接设备工作不正常。22.异常要求用户输入密码。23.WORD或EXCEL提示执行“宏”。24. 是程序驻留内存，不应驻留内存。@0.系统异常重启。21.部分外接设备工作不正常。22.异常要求用户输入密码。23.WORD或EXCEL提示执行“宏”。24. 是程序驻留内存，不应驻留内存。

编辑本段出现

计算机病毒的出现是计算机技术发展和以计算机为核心的社会信息化进程到一定阶段的必然产物。它的背景是：(1）计算机病毒是计算机犯罪的一种新的衍生形式。计算机病毒是一种高科技犯罪，具有瞬时性、动态性和随机性，取证不易，风险小，危害大，激发犯罪意识和犯罪活动，是一些人在计算机应用领域的恶作剧和报复心理的表现；（2）计算机软硬件产品的脆弱性是根本的技术原因。计算机是电子产品，从输入、存储、处理、输出等环节的数据很容易被误录，篡改、丢失、欺骗和破坏；程序易于删除和重写；计算机软件设计的人工方法效率低，生产周期长；如果没有错误，只能在运行过程中发现和修改，其中隐藏了多少错误和缺陷是未知的。这些漏洞为病毒入侵提供了便利。

编辑本段

姓名

很多时候，人们使用杀毒软件发现自己的电脑中出现了一串带英文数字的病毒名称，如Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15等。这时，有些人我很困惑。这么长的名字，我怎么知道是什么病毒？其实只要掌握一些病毒的命名规则，就可以通过杀毒软件报告中出现的病毒名称来判断病毒的一些共同特征：一般格式为：病毒前缀。病毒名称。病毒后缀木马病毒

病毒前缀是指一种病毒，用来区分病毒的种族分类。不同类型的病毒有不同的前缀。比如我们常见的木马病毒的前缀是Trojan，蠕虫病毒的前缀是Worm等等，还有其他的。病毒名称是指病毒的家族特征，用于区分和识别病毒家族。例如，著名的CIH病毒的姓统一为“CIH”，振荡蠕虫的姓为“震荡波”。病毒后缀是指病毒的变种特征，用于区分特定病毒家族的变种。一般用26个英文字母来表示。例如，Worm.Sasser.b 指的是振荡波蠕虫的变种 B计算机病毒实际上是一种什么，

这时候需要变种号来区分不同的病毒记录。.如果一个版本号不够用，最多可以扩展3位，都是小写字母az，如：aa、ab、aaa、aab等。由系统自动计算，无需人工输入或选择。辅助名称病毒是具有辅助功能的可运行文件，通常作为病毒添加到病毒库中。这类病毒记录需要一个附属名称，以与病毒主体的病毒记录区分开来。附属名称目前有以下几种： 类型：Client 描述：后门程序的控制端KEY_HOOK 描述：API_HOOK 用于挂接键盘的模块 描述：用于挂接API 安装的模块 描述：用于安装病毒的模块Dll 描述：该文件是一个动态库，包含很多 Function (null) 说明：没有附属名称，这条记录是病毒主记录附属名称变种号。如果病毒的主要行为类型、行为类型、宿主文件类型、主要名称、主要名称变种号、附属名称都相同，则认为是同一家族的病毒。这时候需要一个变种号来区分不同的病毒记录。变体编号不是用字母 az 书写的。如果一个版本号不够用，最多可以扩展3位，如：aa、ab、aaa、aab等。由系统自动计算，无需人工输入或选择。病毒长度 病毒长度字段仅用于主要行为类型为病毒的病毒，该字段的值是一个数字。