计算机病毒概述

任务概述

由计算机病毒造成的经济损失是不可估量的，为了更好地防范计算机病毒，必须对它的发展、结构、特征和工作原理有一个清楚的认识。

任务目标

●能够掌握计算机病毒的定义

●能够了解计算机病毒的发展历史

●能够掌握计算机病毒的危害

●能够掌握计算机病毒的特征与分类

学习内容

一、计算机病毒的定义

我国1994年2月18日颁布的《中华人民共和国计算机安全保护条例》对病毒的定义如下:“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”

二、计算机病毒的发展历史

第一个被称作计算机病毒的程序是在1983年11月由弗雷德·科恩博士研制出来的。它是一种运行在VAX11/750计算机系统上，可以复制自身的破坏性程序，这是人们在真实的实验环境中编制出的一段具有历史意义的特殊代码，使得计算机病毒完成了从构思到构造的飞跃。

1988年11月，美国23岁的研究生罗伯特·莫里斯编写的“蠕虫病毒”虽然并没有恶意，但这种“蠕虫”却在美国的Internet网上到处爬行，6000多台计算机被病毒感染，并被不断复制充满整个系统使之不能正常运行，造成巨额损失。这是一次非常典型的计算机病毒入侵计算机网络的事件。

概括来讲，计算机病毒的发展可分为以下几个主要阶段:DOS引导阶段，DOS可执行阶段，伴随、批次性阶段，幽灵、多形阶段，生成器、变体机阶段，网络、蠕虫阶段，Windows阶段，宏病毒阶段，互联网阶段，邮件炸弹阶段。

三、计算机病毒的危害

随着计算机网络的不断发展，病毒的种类也越来越繁多，如果没有对系统加上安全防范措施，计算机病毒可能会破坏系统的数据甚至导致系统瘫痪。归纳起来，计算机病毒的危害大致有如下方面:

（1）破坏磁盘文件分配表，使磁盘的信息丢失。这时使用DIR命令查看文件，就会发现文件还在，但是文件的主体已经失去联系，文件已经无法再使用。

（2）删除软盘或磁盘上的可执行文件或数据文件，使文件丢失。

（3）修改或破坏文件中的数据，这时文件的格式是正常的，但是内容已发生了变化。这对于军事或金融系统的破坏是致命的。

（4）产生垃圾文件，占据磁盘空间，使磁盘空间逐渐减少。

（5）破坏硬盘的主引导扇区，使计算机无法启动。

（6）对整个磁盘或磁盘的特定扇区进行格式化，使磁盘中的全部或部分信息丢失。

（7）破坏计算机主板上的BIOS内容，使计算机无法正常工作。

（8）破坏网络中的资源。

（9）占用CPU运行时间，使运行效率降低。

（10）破坏屏幕正常显示，干扰用户的操作。

（11）破坏键盘的输入程序，使用户的正常输入出现错误。

（12）破坏系统设置或对系统信息加密，使系统工作紊乱。

四、计算机病毒的特征

计算机病毒是一种特殊的程序，除与其他正常程序一样可以存储和执行之外，还具有传染性、潜伏性、破坏性、触发性等多种特征。

1.传染性

计算机病毒的传染性是计算机病毒的再生机制，即病毒具有把自身复制到其他程序中的特性。

带有病毒的程序一旦运行，那些病毒代码就成为活动的程序，它会搜寻符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，与系统中的程序连接在一起，达到自我繁殖的目的。被感染的程序有可能被运行，再次感染其他程序，特别是系统命令程序。通过被感染的软盘、移动硬盘等存储介质被移到其他的计算机中，或者是通过计算机网络扩散，只要有一台计算机感染，若不及时处理，病毒就会迅速扩散。可以说，感染性是病毒的根本属性，也是判断一个程序是否被病毒感染的主要依据。

2.潜伏性

计算机病毒的潜伏性是指计算机感染病毒后并非是马上发作，而是要潜伏一段时间。从病毒感染某个计算机系统开始到该病毒发作为止的这段时期，称为病毒的潜伏期。病毒之间潜伏性的差异很大。有的病毒非常外露，有的病毒却不容易发现，这种隐蔽型的病毒更加可怕。著名的“黑色星期五”病毒是逢13日的星期五发作，CIH病毒是4月26日发作。这些病毒在平时隐藏得很好，只有在发作日才会露出本来的面目。

3.破坏性

破坏是计算机病毒的最终表现，只要它侵入计算机系统，就会对系统及应用程序产生不同程度的影响。由于病毒就是一种计算机程序，程序能够实现对计算机的所有控制，病毒也一样可以做到。其中恶性病毒可以修改系统的配置信息、删除数据、破坏硬盘分区表、引导记录等，甚至格式化磁盘、导致系统崩溃，对数据造成不可挽回的破坏。

4.隐蔽性

计算机病毒为了隐藏，一般将病毒代码设计得非常短小精悍，一般只有几百个字节或1k B大小，所以病毒瞬间就可将这短短的代码附加到正常程序中或磁盘较隐蔽的地方，使人不易察觉。正是由于计算机病毒的这种不露声色的特点，使得它可以在用户没有丝毫察觉的情况下扩散到上百万台计算机中。

5.触发性

计算机病毒因某个事件的出现，诱发病毒进行感染或进行破坏，称为病毒的触发。病毒为了又隐蔽自己又保持杀伤力，就必须给自己设置合理的触发条件。每个病毒都有自己的触发条件，这些条件可能是时间、日期、文件类型或某些特定的数据。

6.衍生性

衍生性表现为两个方面:一方面，有些计算机病毒本身在传染过程中会通过一套变换机制，产生出许多与原代码不同的病毒;另一方面，有些恶作剧者或恶意攻击者人为地修改病毒的原代码。这两种方式都有可能产生出不同于原病毒代码的变种病毒，使人们防不胜防。

7.寄生性

寄生性是指病毒对其他文件或系统进行一系列非法操作，使其带有这种病毒，并成为该病毒的一个新的传染源的过程。这也是病毒的最基本特征。

8.持久性

持久性是指计算机病毒被发现以后，数据和程序的恢复都非常困难。特别是在网络操作的情况下，由于病毒程序由一个受感染的程序通过网络反复传播，这样就使得病毒的清除非常麻烦。

五、计算机病毒的分类

在对计算机病毒进行分类时，可以根据病毒的诸多特点从不同的角度进行划分:按照病毒的传染途径可以分为引导型病毒、文件型病毒和混合型病毒;按照病毒的传播媒介可以分为单机病毒和网络病毒;按照病毒的表现性质可分为良性病毒和恶性病毒;按病毒的破坏能力可以划分为无害型、无危险型、危险型和非常危险型病毒;按病毒的攻击对象分为攻击DOS的病毒、攻击Windows的病毒和攻击网络的病毒等。

1.按照病毒的传染途径进行分类

按照计算机病毒的传染途径进行分类，可划分为引导型病毒、文件型病毒和混合型病毒。

（1）引导型病毒:引导型病毒的感染对象是计算机存储介质的引导扇区。病毒将自身的全部或部分程序取代正常的引导记录，而将正常的引导记录隐藏在介质的其他存储空间中。由于引导扇区是计算机系统正常工作的先决条件，所以此类病毒会在计算机操作启动之前就获得系统的控制权，因此其传染性较强。

（2）文件型病毒:文件型病毒通常感染带有.COM、.EXE、.DRV、.OVL、.SYS等扩展名的可执行文件。它们在每次激活时，感染文件把自身复制到其他可执行的文件中，并能在内存中保存很长的时间，直到病毒被激活。当用户调用感染了病毒的可执行文件时，病毒首先被运行，然后病毒驻留在内存中等待感染其他文件或直接感染其他文件。这种病毒的特点是依附于正常文件中，成为程序文件的一个外壳或部件，如宏病毒等。

（3）混合型病毒:混合型病毒兼有引导型病毒和文件型病毒的特点，既感染引导区又感染文件，因此扩大了这种病毒的传染途径。这种病毒的破坏力比前两种病毒更大，而且也难以根除。

2.按照病毒的传播媒介分类

按照计算机病毒的传播媒介来划分，可以分为单机病毒和网络病毒。

（1）单机病毒:单机病毒就是DOS病毒、Windows病毒和能在多操作系统下运行的宏病毒。单机病毒常用的传播媒介是软盘、硬盘、光盘、U盘、移动硬盘等存储介质。

（2）网络病毒:网络病毒是通过计算机网络来传播，感染网络中的可执行文件的病毒。此种病毒具有传播速度快、危害性大、难以控制、难以根治、容易产生更多的变种等特点。

3.按照病毒的表现性质分类

按照病毒的表现性质可分为良性病毒和恶性病毒。

（1）良性病毒:良性病毒是指那些仅为了表现自己，而不想破坏计算机系统资源的病毒。这些病毒多是出自于一些恶作剧的人之手，病毒发作时常常是在屏幕上出现提示信息或者是发出一些声音等等，病毒的编写者不是为了对计算机系统进行恶意的攻击，仅仅是为了显示他们在计算机编程方面的技巧和才华。尽管它们不会给系统造成巨大的损失，但是也会占用一定的系统资源，从而干扰计算机系统的正常运行。如小球病毒、巴基斯坦病毒等。因此，这种病毒也有必要引起人们的注意。

（2）恶性病毒:恶性病毒就像是计算机系统的恶性肿瘤，它们的目的就是为了破坏计算机系统的资源。常见的恶性病毒的破坏行为就是删除计算机中的数据与文件，甚至还会格式化磁盘;有的不是删除文件，而是让磁盘乱作一团，表面上看不出有什么破坏痕迹，其实原来的数据和文件都已经改变了;甚至还有更严重的破坏行为，例如CIH病毒，它不仅能够破坏计算机系统的资源，甚至能够擦除主板BIOS，造成主板损坏。如黑色星期五病毒、磁盘杀手病毒等。这种病毒的破坏力和杀伤力都很大，人们一定要做好预防工作。