“下麵來說說怎樣製作病毒,製作病毒,我相信上1節講的大家都記下了吧,為什麼講這一節呢,因為我們隻有了解怎樣製作病毒,才能製作防火牆,,隻有充分了解這一節,和上一節我所講的內容,我們才能充分的防護,防止黑客和病毒入侵。
下麵先概括一下電腦病毒誰能說一下電腦病毒”
“我來說”王寶龍搶先說道,“所謂電腦病毒就是一種程序,隻是這種程序區別於其他程序的事,這種程序帶有攻擊性。”
“很好。不過不是很全麵。”她接著說,“我來和大家聊一聊,所謂電腦病毒編製或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程序代碼被稱為計算機病毒(ComputerVirus)。具有破壞性,複製性和傳染性。”
病毒指“編製者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟件和硬件所固有的脆弱性編製的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)裏,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!”
那計算機病毒是怎樣產生的呢病毒不是來源於突發的原因。電腦病毒的製造卻來自於一次偶然的事件,那時的研究人員為了計算出當時互聯網的在線人數,然而它卻自己“繁殖”了起來導致了整個服務器的崩潰和堵塞,有時一次突發的停電和偶然的錯誤,會在計算機的磁盤和內存中產生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的係統網絡環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼產生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和產地信息,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程序員為了表現自己和證明自己的能力,出於對上司的不滿,為了好奇,為了報複,為了祝賀和求愛,為了得到控製口令,為了軟件拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方麵的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒
大家都明白了嗎
“明白了!”所有人回答道。
“下麵我再來說一說怎樣預防提高係統的安全性是防病毒的一個重要方麵,但完美的係統是不存在的,過於強調提高係統的安全性將使係統多數時間用於病毒檢查,係統失去了可用性、實用性和易用性,另一方麵,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。加強內部網絡管理人員以及使用人員的安全意識很多計算機係統常用口令來控製對係統資源的訪問,這是防病毒進程中,最容易和最經濟的方法之一。這是最基本的,也是最有效的方法”
我再來講一下電腦病毒的特點性計算機病毒可以像生物病毒一樣進行繁殖,當正常程序運行的時候,它也進行運行自身複製,是否具有繁殖、感染的特征是判斷某段程序為計算機病毒的首要條件。
破壞性
計算機中毒後,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複製或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編製的計算機程序代碼,這段程序代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。隻要一台計算機染毒,如不及時處理,那麼病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如軟盤、硬盤、移動硬盤、計算機網絡去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的軟盤已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。
潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對係統進行破壞。一個編製精巧的計算機病毒程序,進入係統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁盤或磁帶裏呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續危害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機製,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞係統的操作,如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使係統死鎖等。
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機製就是用來控製感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機製檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏
我們再來講一下電腦病毒的分類和發展史分類依據根據多年對計算機病毒的研究,按照科學的、係統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下麵的屬性進行分類:
按病毒存在的媒體
根據病毒存在的媒體,病毒可以劃分為網絡病毒,文件病毒,引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件,文件病毒感染計算機中的文件(如:COM,EXE,DOC等),引導型病毒感染啟動扇區(Boot)和硬盤的係統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有複雜的算法,它們使用非常規的辦法侵入係統,同時使用了加密和變形算法。
按病毒傳染的方法
根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的內存駐留部分放在內存(RAM)中,這一部分程序掛接係統調用並合並到操作係統中去,他處於激活狀態,一直到關機或重新啟動.非駐留型病毒在得到機會激活時並不感染計算機內存,一些病毒在內存中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
按病毒破壞的能力
無害型:除了傳染時減少磁盤的可用空間外,對係統沒有其它影響。
無危險型:這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。
危險型:這類病毒在計算機係統操作中造成嚴重的錯誤。
非常危險型:這類病毒刪除程序、破壞數據、清除係統內存區和操作係統中重要的信息。這些病毒對係統造成的危害,並不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。
按病毒的算法
伴隨型病毒,這一類病毒並不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
“蠕蟲”型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一台機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在係統存在,一般除了內存不占用其它資源。
寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在係統的引導扇區或文件中,通過係統的功能進行傳播,按其算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。
詭秘型病毒它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩衝區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。
變型病毒(又稱幽靈病毒)這一類病毒使用一個複雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑製其流傳。操作係統升級後,病毒也會調整為新的方式,產生新的病毒技術。它可劃分為:
DOS引導階段1987年,計算機病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。當時的計算機硬件較少,功能簡單,一般需要通過軟盤啟動後使用.引導型病毒利用軟盤的啟動原理工作,它們修改係統啟動扇區,在計算機啟動時首先取得控製權,減少係統內存,修改磁盤讀寫中斷,影響係統工作效率,在係統存取磁盤時進行傳播;
1989年,引導型病毒發展為可以感染硬盤,典型的代表有“石頭2”;
DOS可執行階段1989年,可執行文件型病毒出現,它們利用DOS係統加載執行文件的機製工作,代表為“耶路撒冷”、“星期天”病毒。病毒代碼在係統執行文件時取得控製權,修改DOS中斷,在係統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。
1990年,發展為複合型病毒,可感染COM和EXE文件。
伴隨、批次型階段1992年,伴隨型病毒出現,它們利用DOS加載文件的優先順序進行工作,具有代表性的是“金蟬”病毒,它感染EXE文件時生成一個和EXE同名但擴展名為COM的伴隨體;它感染文件時,改原來的COM文件為同名的EXE文件,再產生一個原名的伴隨體,文件擴展名為COM,這樣,在DOS加載文件時,病毒就取得控製權.這類病毒的特點是不改變原來的文件內容,日期及屬性,解除病毒時隻要將其伴隨體刪除即可。在非DOS操作係統中,一些伴隨型病毒利用操作係統的描述語言進行工作,具有典型代表的是“海盜旗”病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。
幽靈、多形階段1994年,隨著彙編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。
生成器、變體機階段1995年,在彙編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼算法就可以由生成器生成,當生成器的生成結果為病毒時,就產生了這種複雜的“病毒生成器”,而變體機就是增加解碼複雜程度的指令生成機製。這一階段的典型代表是“病毒製造機”VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特征識別法,需要在宏觀上分析指令,解碼後查解病毒。
網絡、蠕蟲階段1995年,隨著網絡的普及,病毒開始利用網絡進行傳播,它們隻是以上幾代病毒的改進。非DOS操作係統中,“蠕蟲”是典型的代表,它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡功能搜索網絡地址,將自身向下一地址進行傳播,有時也在網絡服務器和啟動文件中存在。
視窗階段1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機製更為複雜,它們利用保護模式和API調用接口工作,解除方法也比較複雜。
宏病毒階段1996年,隨著WindowsWord功能的增強,使用Word宏語言也可以編製病毒,這種病毒使用類Basic語言、編寫容易、感染Word文檔等文件,在Excel和AmiPro出現的相同工作機製的病毒也歸為此類,由於Word文檔格式沒有公開,這類病毒查解比較困難。
互聯網階段1997年,隨著因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒;
郵件炸彈階段1997年,隨著萬維網(WorldWideWeb)上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒,還有一些利用郵件服務器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴重影響因特網的效率。
行為
計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全麵的描述,根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下:
攻擊係統數據區,攻擊部位包括:硬盤主引尋扇區、Boot扇區、FAT表、文件目錄等。迫使計算機空轉,計算機速度明顯下降。
攻擊磁盤,攻擊磁盤數據、不寫盤、寫操作變讀操作、寫盤時丟字節等。
擾亂屏幕顯示,病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符等。
鍵盤病毒,幹擾鍵盤操作,已發現有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區字符、重複、輸入紊亂等。喇叭病毒,許多病毒運行時,會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音,有的病毒作者讓病毒演奏旋律優美的世界名曲,在高雅的曲調中去殺戮人們的信息財富,已發現的喇叭發聲有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、哢哢聲、嘀嗒聲等。
攻擊CMOS,在機器的CMOS區中,保存著係統的重要數據,例如係統時鍾、磁盤類型、內存容量等。有的病毒激活時,能夠對CMOS區進行寫入動作,破壞係統CMOS中的數據。幹擾打印機,典型現象為:假報警、間斷性打印、更換字符等