計(jì)算機(jī)病毒原理介紹
計(jì)算機(jī)病毒原理介紹
系統(tǒng)運(yùn)行時(shí), 病毒通過病毒載體即系統(tǒng)外存儲(chǔ)器進(jìn)入系統(tǒng)內(nèi)存儲(chǔ)器, 常駐內(nèi)存該病毒系統(tǒng)內(nèi)存監(jiān)視系統(tǒng)運(yùn)行, 下面由學(xué)校啦小編給你做出詳細(xì)的電腦病毒原理介紹!希望對(duì)你有幫助!
電腦病毒原理介紹:
電腦病毒原理一、
病毒定義 所謂病毒就是一段代碼,其本質(zhì)和大家使用的QQ、WORD什么的程序沒有區(qū)別,只不過制作者令其具有了自我復(fù)制和定時(shí)發(fā)作進(jìn)行破壞功能。一般病毒都在1K到數(shù)K大小。
電腦病毒原理二、
病毒種類 我們所遇到的病毒可分引導(dǎo)型(感染磁盤引導(dǎo)區(qū))程序型(感染可執(zhí)行文件)宏病毒(感染W(wǎng)ORD文檔)等。
電腦病毒原理三、
病毒工作原理 計(jì)算機(jī)系統(tǒng)的內(nèi)存是一個(gè)非常重要的資源,我們可以認(rèn)為所有的工作都需要在內(nèi)存中運(yùn)行(相當(dāng)與人的大腦),所以控制了內(nèi)存就相當(dāng)于控制了人的大腦,病毒一般都是通過各種方式把自己植入內(nèi)存,獲取系統(tǒng)最高控制權(quán),然后感染在內(nèi)存中運(yùn)行的程序。(注意,所有的程序都在內(nèi)存中運(yùn)行,也就是說,在感染了病毒后,你所有運(yùn)行過的程序都有可能被傳染上,感染那些文件這由病毒的特性所決定)
1、程序型病毒的工作原理。 這是目前最多的一類病毒,主要感染.exe 和 .dll 等可執(zhí)行文件和動(dòng)態(tài)連接庫(kù)文件,比如很多的蠕蟲病毒都是這樣。注意蠕蟲病毒不是一個(gè)病毒,而是一個(gè)種類。他的特點(diǎn)是針對(duì)目前INTERNET高速發(fā)展,主要在網(wǎng)絡(luò)上傳播,當(dāng)他感染了一臺(tái)計(jì)算機(jī)之后,可以自動(dòng)的把自己通過網(wǎng)絡(luò)發(fā)送出去,比如發(fā)送給同一居欲網(wǎng)的用戶或者自動(dòng)讀取你的EMAIL列表,自動(dòng)給你的朋友發(fā)EMAIL等等。感染了蠕蟲病毒的機(jī)器一秒種可能會(huì)發(fā)送幾百個(gè)包來探測(cè)起周圍的機(jī)器。會(huì)造成網(wǎng)絡(luò)資源的巨大浪費(fèi)。所以這次我們殺毒主要是針對(duì)這種病毒。 那么病毒是怎么傳染的那? 切記:病毒傳染的前提就是,他必須把自己復(fù)制到內(nèi)存中,硬盤中的帶毒文件如果沒有被讀入內(nèi)寸,是不會(huì)傳染的,這在殺毒中非常重要。而且,計(jì)算機(jī)斷電后內(nèi)存內(nèi)容會(huì)丟失這我想大家都知道。 所以:病毒和殺毒軟件斗爭(zhēng)的焦點(diǎn)就在于爭(zhēng)奪啟動(dòng)后的內(nèi)存控制權(quán)。
2、程序型病毒是怎么傳播的。 病毒傳播最主要的途徑是網(wǎng)絡(luò),還有軟盤和光盤。比如,我正在工作時(shí),朋友拿來一個(gè)帶病毒的軟盤,比如,該病毒感染了磁盤里的A文件,我運(yùn)行了一下這個(gè)A文件,病毒就被讀如內(nèi)存,如果你不運(yùn)行染毒文件,程序型病毒是不會(huì)感染你的機(jī)器的(不要罵,我這里說的是程序型病毒,后面我會(huì)說引導(dǎo)型病毒,他只要打開軟盤就會(huì)感染)當(dāng)染毒文件被運(yùn)行,病毒就進(jìn)入內(nèi)存,并獲取了內(nèi)存控制權(quán),開始感染所有之后運(yùn)行的文件。比如我運(yùn)行了WORD。EXE ,則該文件被感染,病毒把自己復(fù)制一份,加在WORD.EXE文件的后面,會(huì)使該文件長(zhǎng)度增加1到幾個(gè)K。(不是所有病毒都這樣,我舉這個(gè)離子只是想介紹病毒感染過程) 好,接下來,比如說我關(guān)機(jī)了,則內(nèi)存中的病毒被清除,我機(jī)子中所有的染毒文件只有WORD.exe。第二天,我又開機(jī)時(shí),內(nèi)存是干凈的。比如我需要用WORD,于是,該染毒文件中的病毒被讀如內(nèi)存,繼續(xù)感染下面運(yùn)行的程序,周而復(fù)始,時(shí)間越長(zhǎng),染毒文件越多。 到了一定時(shí)間,病毒開始發(fā)作(根據(jù)病毒作者定義的條件,有的是時(shí)間,比如CIH,有的是感染規(guī)模等等)執(zhí)行病毒作者定義的操作,比如無限復(fù)制,占用系統(tǒng)資源、刪除文件、將自己向網(wǎng)絡(luò)傳播甚至格式化磁盤等等。 但是,無論如何,病毒只不過是一段代碼,他不可能破壞硬件(歡迎和我討論),就算是CIH也不是破壞硬件,他只是改寫了BIOS中的數(shù)據(jù),實(shí)際上還是軟破壞。什么叫破壞硬件?就是病毒發(fā)作時(shí),你的硬盤啪的一下裂成兩半,可能嗎? 所以,完全不必懼怕病毒,他不會(huì)讓我門受到太大的經(jīng)濟(jì)損失,如果我們養(yǎng)成良好的工作習(xí)慣的話(比如自己的文檔不要保存在C盤等,后面我會(huì)細(xì)說)
3、引導(dǎo)型病毒的工作原理 看了前面的病毒傳染過程,大家很容易想到,只要我啟動(dòng)計(jì)算機(jī)后不運(yùn)行染毒程序,直接刪除不就可以了。實(shí)際上,現(xiàn)在的病毒沒有那么弱智的,下面我門來看看其他的幾種傳染機(jī)制,首先看看引導(dǎo)型病毒 剛才說了,病毒必須進(jìn)入內(nèi)存才可以繼續(xù)感染,只有被運(yùn)行他才可以進(jìn)入內(nèi)存,那么與等用戶來運(yùn)行,如果用戶長(zhǎng)期不用這個(gè)染度文件,豈不是等的花而也謝了。引導(dǎo)型病毒感染的不是文件,而是磁盤引導(dǎo)區(qū),他把自己寫入引導(dǎo)區(qū),這樣,只要磁盤被讀寫,病毒就首先被讀取入內(nèi)存。這就是為什么殺毒要用干凈的啟動(dòng)盤啟動(dòng),為的就是防止引導(dǎo)型病毒。下面我詳細(xì)的談一下磁盤引導(dǎo)區(qū),看不懂的可以跳過去。
4、引導(dǎo)型病毒是如何傳播的 在計(jì)算機(jī)啟動(dòng)時(shí),必須讀取硬盤主引導(dǎo)區(qū)獲得分區(qū)信息,再讀取C:盤引導(dǎo)區(qū)獲取操作系統(tǒng)信息,這時(shí)候任何殺毒軟件都無法控制,這樣我先介紹一下計(jì)算機(jī)的啟動(dòng)順序,大家只要記住一點(diǎn)就是:任何程序都要被讀入內(nèi)存才會(huì)起作用。 計(jì)算機(jī)加電后,內(nèi)存是空的,首先從BIOS中讀取一些啟動(dòng)參數(shù)到內(nèi)存中,這些命令控制計(jì)算機(jī)去做下一步工作就是自檢。(BIOS就是固化在ROM中的基本輸入輸出系統(tǒng)的意思,ROM是只讀存儲(chǔ)器,因?yàn)橛?jì)算機(jī)是一個(gè)機(jī)電設(shè)備,他不會(huì)自己干什么事情,必須由軟件,也就是人事先寫好的程序來控制他工作,而這些程序必須被讀入內(nèi)存才可以控制計(jì)算機(jī),哈哈越扯越遠(yuǎn)了,不說了,在將就變成計(jì)算機(jī)基礎(chǔ)講座了,哈哈) 接下來,計(jì)算機(jī)自檢,發(fā)現(xiàn)硬盤,讀取硬盤主引導(dǎo)程序到內(nèi)存中,再讀取C盤的引導(dǎo)程序到內(nèi)存中,再讀取操作系統(tǒng)文件到內(nèi)存中,然后開始由操作系統(tǒng)文件控制計(jì)算機(jī)開始啟動(dòng)。啟動(dòng)完畢后,讀入各種自動(dòng)運(yùn)行的文件,比如天網(wǎng)放火墻、QQ、病毒監(jiān)測(cè)軟件、等等, 前面說過,誰先進(jìn)入內(nèi)存,誰先占據(jù)系統(tǒng)控制權(quán),從上面的啟動(dòng)順序可以發(fā)現(xiàn),如果病毒在引導(dǎo)區(qū),那么,他被讀入內(nèi)存的時(shí)候,殺毒軟件還不知道在那里呢。 舉個(gè)離子:比如我拿了一張染有引導(dǎo)型病毒的軟盤用,當(dāng)我雙擊A盤圖標(biāo)后,計(jì)算機(jī)開始讀軟盤,首先讀入軟盤引導(dǎo)區(qū),病毒隨之進(jìn)入內(nèi)存,并立即把自己寫入硬盤引導(dǎo)區(qū)(如果開了病毒檢測(cè),則時(shí)可以檢測(cè)到并殺之)。如果沒有裝殺毒軟件,檢測(cè)布道,則下次開機(jī)時(shí),計(jì)算機(jī)自檢之后,讀硬盤引導(dǎo)區(qū)時(shí)就會(huì)同時(shí)讀入病毒,接下來,病毒獲得系統(tǒng)控制權(quán),改寫操作系統(tǒng)文件,隱藏自己,然后計(jì)算機(jī)繼續(xù)啟動(dòng)進(jìn)入WIN200桌面,然后病毒檢測(cè)才開始運(yùn)行,病毒完全可能已經(jīng)把自己偽裝起來,讓殺毒軟件找不到。 所以這中病毒一定要用啟動(dòng)盤啟動(dòng)后,再殺,就是為了跳過讀硬盤引導(dǎo)區(qū)那一段。在后面我會(huì)纖細(xì)介紹。
5、病毒如何自動(dòng)把自身裝入內(nèi)存。 剛才介紹了現(xiàn)在的病毒不會(huì)等待用戶去運(yùn)行染毒文件才進(jìn)駐內(nèi)存,他們都有自己的辦法運(yùn)行自己,進(jìn)駐內(nèi)存,但是有一個(gè)共同的特征就是,他必須把自己放在合適的位置,讓系統(tǒng)在啟動(dòng)的某個(gè)階段自動(dòng)去調(diào)用他。因?yàn)橛?jì)算機(jī)剛剛加電的時(shí)候,系統(tǒng)控制權(quán)是在BIOS手里的(因?yàn)樗钤缪b入內(nèi)存),而BIOS是保存在只讀的ROM中的,所以這時(shí),系統(tǒng)是無毒的,所以引導(dǎo)型病毒要做的就是在BIOS向操作系統(tǒng)交權(quán)之前也就是讀取啟動(dòng)盤時(shí)截取之。 那么程序型病毒怎么把自身裝如內(nèi)存呢?他沒有截取控制權(quán)的這個(gè)能力,BIOS會(huì)順利的把控制權(quán)交給操作系統(tǒng),這時(shí),用戶看到的就是開始啟動(dòng)WIN200,由于操作系統(tǒng)在啟動(dòng)時(shí)會(huì)讀取大量的動(dòng)態(tài)聯(lián)結(jié)庫(kù)文件,病毒就可以把自己放在一個(gè)合適的位置上,然后告訴WIN2000啟動(dòng)時(shí)把自己讀如內(nèi)存,這一步很好實(shí)現(xiàn),比如大家都知道,QQ啟動(dòng)時(shí)會(huì)被自動(dòng)運(yùn)行,實(shí)際上,程序型病毒自動(dòng)運(yùn)行自己的辦法和QQ從本質(zhì)上是相同的。就是讓系統(tǒng)在啟動(dòng)的某個(gè)階段自動(dòng)去調(diào)用而已。 下面先介紹蠕蟲病毒,用他攜帶的木馬程序的自動(dòng)運(yùn)行方式來介紹一下這個(gè)過程。
電腦病毒原理四、
關(guān)于蠕蟲病毒 我們學(xué)校網(wǎng)絡(luò)中最多的就是蠕蟲病毒,所以我要單獨(dú)的說一下。 蠕蟲病毒是在INTERNET高速發(fā)展后出現(xiàn)的病毒,他具有了一些新特性。大部分的蠕蟲病毒是程序型的,不會(huì)感染引導(dǎo)區(qū),他們一般通過郵件傳播(注意,不是唯一的傳播方式,所有傳統(tǒng)的傳播方式都會(huì)傳播之,并且許多蠕蟲病毒會(huì)自己搜索網(wǎng)絡(luò)上沒有感染的機(jī)器并感染之,他實(shí)際上是一個(gè)寫的很好的以太網(wǎng)傳輸狀態(tài)的檢測(cè)工具^_^),并且大多攜帶木馬程序,具有根據(jù)微軟服務(wù)軟件的漏洞來入侵計(jì)算機(jī)的攻擊能力,大部分蠕蟲病毒并不破壞計(jì)算機(jī)里的信息,只是瘋狂的去感染其他的計(jì)算機(jī)。感染了蠕蟲病毒的計(jì)算機(jī)會(huì)不停的向外發(fā)送信息包,占用CPU可在80%以上,造成本機(jī)運(yùn)行極其緩慢,網(wǎng)絡(luò)擁塞,甚至可以導(dǎo)致網(wǎng)絡(luò)癱瘓。 一般蠕蟲病毒會(huì)攜帶木馬程序,安裝在系統(tǒng)目錄中,那么他是怎么自動(dòng)運(yùn)行的那,等一會(huì)我通過一個(gè)例子來介紹。
電腦病毒原理五、
什么是木馬 在我校很多機(jī)器中都有木馬軟件。 木馬就是遠(yuǎn)程控制軟件的一種,也稱為后門軟件,其作用就是利用操作系統(tǒng)的漏洞或者使用者的疏忽來進(jìn)入系統(tǒng)并在遠(yuǎn)程控制下從系統(tǒng)內(nèi)部攻擊系統(tǒng)。因特洛伊木馬病毒是一種比較早期的成功的此種軟件,且有古代戰(zhàn)爭(zhēng)典故,想必大家都知道。所以,后來多稱此種帶有攻擊性質(zhì)的遠(yuǎn)程控制軟件為木馬 而其他的一些不帶攻擊性質(zhì)的遠(yuǎn)程控制軟件其實(shí)原理都是一樣的,比如, 塞門鐵客(英文不會(huì)寫)的大名鼎鼎的PCANYWHERE就是一個(gè)很成功的遠(yuǎn)程控制軟件 木馬可以被殺毒軟件查殺,所以,這里也把他作為病毒來處理。
電腦病毒原理六、
殺毒軟件為什么能殺毒
1、 為什么殺毒軟件必須不停的升級(jí) 病毒就是一段代碼,用一些語言寫出來,比如匯編等。沒種病毒都會(huì)有一些特征,叫做病毒特征碼,實(shí)際上就是病毒代碼中的一段讀一無二的字符。舉個(gè)容易理解的例子(實(shí)際上不是這樣):比如有個(gè)病毒發(fā)作后會(huì)格式化C:盤,那么病毒代碼中就會(huì)有這么一句命令:FORMAT C:/U (實(shí)際上病毒不會(huì)去用DOS命令的,那太高級(jí)了,他會(huì)直接調(diào)用13號(hào)中斷寫硬盤,所以這里只是一個(gè)例子),那么就可以用FORMAT C: /U這樣一個(gè)字符串作為這個(gè)病毒的特征代碼,殺毒時(shí),把所有的文件打開,從頭到尾的搜索,如果找到著段代碼,就報(bào)告發(fā)現(xiàn)病毒,然后清除之。 從我描述的這個(gè)過程大家就可以明白,為什么殺毒軟件必須不停的升級(jí),因?yàn)椋挥幸环N病毒被發(fā)現(xiàn)后,他的特征代碼才能被找到,才能被殺毒軟件識(shí)別。
2、 一個(gè)病毒從制作、傳播到被殺死過程的例子: 某個(gè)軟件天才某天心情好,寫了一個(gè)病毒,然后開始通過網(wǎng)絡(luò)傳播,然后大批的機(jī)器被感染,然后用戶向殺毒軟件公司抱怨有病毒殺不了,(其實(shí)大部分是殺毒軟件公司的工作人員更早發(fā)現(xiàn)該病毒),然后,軟件公司得到病毒樣本,開始分析樣本,找到病毒特征碼,然后更新其病毒庫(kù),令其在殺毒時(shí)也查找這種病毒碼,然后通知用戶,請(qǐng)他們升級(jí)其購(gòu)買的軟件。然后用戶升級(jí),再殺毒,結(jié)果,該病毒被殺死,同時(shí)新的病毒被發(fā)現(xiàn),周而復(fù)始。 所以,殺毒軟件永遠(yuǎn)跟在病毒的后面這是毫無疑問的。從我的敘述中大家可以發(fā)現(xiàn),實(shí)際上,如果一種病毒被發(fā)現(xiàn),幾乎所有的公司都會(huì)得到他的樣本并分析出他的特征碼,然后另其自己的殺毒軟件可以殺死該毒,那么,各種殺毒軟件的優(yōu)劣從何而來呢?
3、 什么殺毒軟件好? 其實(shí),大家都有一樣的病毒庫(kù),但是,在我剛才描述的查毒過程中,大家不知道有沒有注意到,實(shí)際上他是等于在磁盤的所有文件中尋找某段特征代碼,如果你的硬盤有20G的數(shù)據(jù),他就要把這20G的數(shù)據(jù)過濾一遍,逐個(gè)字符來對(duì)比,其速度我不說你們也能想到。更要命的是一般的病毒庫(kù)都裝了幾萬中病毒代碼,哈哈,這么查上幾萬遍,查下來,估計(jì)你也從我們學(xué)校畢業(yè)了。所以實(shí)際上各個(gè)公司都有自己的殺毒引擎,實(shí)際上這才是核心技術(shù),他使用的獨(dú)特的算法高速檢查,但就算這樣,查一遍下來至少也要幾個(gè)小時(shí)。所以,為了提高殺毒效率,可以令殺毒程序只檢查一些可能被感染的文件,比如。EXE 。DLL等,象。BMP 。MPG就不會(huì)被檢查,這樣,時(shí)間就縮短了很多,然后,他們可以只檢查每個(gè)。EXE文件的文件頭,從這里可以發(fā)現(xiàn)病毒修改的蛛絲馬跡。然后,他們開始把一些不常見的病毒排除出病毒庫(kù)之外,只檢查一些常見的病毒,就是所謂的快速殺毒。這是為什么不同軟件查出不同病毒的原因之一,再下來,也是最關(guān)鍵的一點(diǎn),就是殺毒軟件根據(jù)病毒代碼判斷病毒是完全有可能發(fā)生誤判,錯(cuò)判的,提高判斷的準(zhǔn)確性必須以犧牲查毒時(shí)間為代價(jià)。所以,不同公司的殺毒引擎提供不同的判斷方法,導(dǎo)致了可能有的軟件查不出來的毒別的軟件可以查出。 所以,所有的殺毒軟件都包括兩個(gè)主要的部分,一是殺毒引擎,另一個(gè)是病毒數(shù)據(jù)庫(kù)。病毒數(shù)據(jù)庫(kù)必須不停的更新,就我校的情況我個(gè)人推薦半個(gè)月更新一次。 我認(rèn)為,各種殺毒軟件其實(shí)功能相差不多,主要是看哪個(gè)可以迅速更新,再好的殺毒軟件不跟新等于沒有。
看了“計(jì)算機(jī)病毒原理介紹”文章的還看了: