计算机病毒
概述
定义
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码
- 自我复制-主动传染
- 被动传染-夹杂文件打开
特征
- 可执行性(程序性)
- 基本特征,最基本的一种表现形式
- 程序性决定了计算机病毒的可防治性、可清除性
- 传染性
- 是判别一个程序是否为计算机病毒的首要条件
- 决定了计算机病毒的可判断性。
- 非授权性
- 隐蔽性
- 传染方式的隐蔽性
- 病毒程序存在的隐蔽
- 潜伏性
- 可触发性
- 破坏性
- 主动性
- 针对性
- 衍生性
- 导致产生变体病毒的必然原因
- 寄生性(依附性)
- 不可预见性
- 诱惑欺骗性
- 持久性
本质
- 人为制造的程序
- 本质特点:无限重复执行 or 复制
分类
- 破坏能力
- 无害型:占用内存
- 无危险型
- 危险型
- 非常危险性
- 破坏情况
- 良性病毒
- 恶性病毒
- 自身算法
- 伴随型病毒:不改变文件本身,根据算法产生文件的伴随体:.exe & .com
- 蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息
- 寄生型:1&2的补集
- 练习型
- 变形病毒(幽灵病毒):一般由一段混有无关指令的解码算法和被变化过的病毒体组成
- 链接方式
- 源码型病毒:插入高级语言源程序,经编译成为合法程序
- 嵌入型病毒(入侵型病毒):主体
- 外壳(Shell)型病毒:首部或者尾部
- 译码型病毒:宏、脚本
- OS型病毒
- 传播媒介
- 单机病毒:磁盘、U盘、光盘、软盘->硬盘->其他软盘
- 网络病毒
- 寄生对象
- 引导型
- 文件型
- 混合型
恶意程序
蠕虫
独立exe:主程序+引导程序
- 主程序:建立后收集处于同一网络的其他计算机信息,远程建立引导程序
- 引导程序:将蠕虫带入它所感染的每一台计算机中
并不需要链入宿主程序达到自我复制的目的
工作流程
特性
- 传染方式多:不同程序、不同协议
- 传播速度快
- 清除难度大
- 破坏性强
特洛伊木马
- 表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序,是一种在远程计算机之间建立连接,使远程计算机能通过网络控制本地计算机的非法程序。木马本身不能传播自身。
- 客户端+服务器 两个程序
- 客户端:攻击者用于远程控制被攻击者的程序
- 服务器端:被攻击者计算机中的木马程序
命名
三元组命名规则:前缀+病毒名+后缀
- 前缀:发作的os、病毒类型。DOS下的病毒一般没有前缀
- 病毒名:名称以及家族
- 后缀:区分改病毒家族中各病毒的不同
优先级
病毒的发现者(或制造者)→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串
危害
- 蓄意破坏
- 偶然性破坏
- 附带性破坏
- 心理、社会危害
病毒与计算机故障的异同
相似的硬件故障
- 硬件配置
- 电源电压
- 插件接触不良
- 软件驱动故障
- CMOS:BIOS设置不当发生死机
相似的软件故障
- 出现“Invalid drive specification(非法驱动器号)”:主引导扇区的分区表参数被破坏或者磁盘标志55AA被修改
- 光盘未格式化:光盘的刻录速度与正在使用的光驱的倍速不匹配
区别
- 磁盘问题导致软件程序或者文档被破坏
- 其他配置不当等问题
传播途径
- 硬件设备:移动+不可移动
- 有线网络:Email、BBS
- 无线通讯:Message、Bluetooth
生命周期
程序设计→传播→潜伏(动态静态:是否在内存中)→触发、运行→实施攻击
文件系统
FAT区存放簇链,0,1簇为系统所用,簇对应的数据在数据区,第一个用户的簇为2
根目录区存放目录以及子目录,目录及文件,倒数6-5为簇号
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Dr.xin's Universe!
- 微信
- 支付宝
相关推荐
评论
