1995年大量具有相同“遗传基因”的“同族”病 毒的涌现,标志着“病毒生产机”软件已出现。目前 国际上已有上百种“病毒生产机”软件。这种“病毒 生产机”软件不用绞尽脑汁地去编程序,便可以轻易 地自动生产出大量的“同族”新病毒。这些病毒代码 长度各不相同,自我加密、解密的密钥也不相同,原 文件头重要参数的保存地址不同,病毒的发作条件和 现象不同,但主体构造和原理基本相同。这就是病毒 的衍生性。 与此同时, Internet的发展,也为病毒的快速传播 提供了方便途径
1995年大量具有相同“遗传基因”的“同族”病 毒的涌现,标志着“病毒生产机”软件已出现。目前 国际上已有上百种“病毒生产机”软件。这种“病毒 生产机”软件不用绞尽脑汁地去编程序,便可以轻易 地自动生产出大量的“同族”新病毒。这些病毒代码 长度各不相同,自我加密、解密的密钥也不相同,原 文件头重要参数的保存地址不同,病毒的发作条件和 现象不同,但主体构造和原理基本相同。这就是病毒 的衍生性。 与此同时,Internet的发展,也为病毒的快速传播 提供了方便途径
潜伏性和隐蔽性 计算机病毒通常是由技术高超者编写的比较完美的 精巧严谨、短小精悍的程序。它们常常按照严格的秩序 组织,与所在的系统网络环境相适应、相配合。病毒程 序一旦取得系统控制权,可以在极短的时间内传染大量 程序。但是,被感染的程序并不是立即表现出异常,而 是潜伏下来,等待时机 除了不发作外,计算机病毒的潜伏还依赖于其隐蔽 性。为了隐蔽,病毒通常非常短小(一般只有几百或1K 字节,此外还寄生于正常的程序或磁盘较隐蔽的地方, 也有个别以隐含文件形式存在,使人不经过代码分析很 难被发觉
2. 潜伏性和隐蔽性 计算机病毒通常是由技术高超者编写的比较完美的、 精巧严谨、短小精悍的程序。它们常常按照严格的秩序 组织,与所在的系统网络环境相适应、相配合。病毒程 序一旦取得系统控制权,可以在极短的时间内传染大量 程序。但是,被感染的程序并不是立即表现出异常,而 是潜伏下来,等待时机。 除了不发作外,计算机病毒的潜伏还依赖于其隐蔽 性。为了隐蔽,病毒通常非常短小(一般只有几百或1K 字节,此外还寄生于正常的程序或磁盘较隐蔽的地方, 也有个别以隐含文件形式存在,使人不经过代码分析很 难被发觉
20世纪90年代初,计算机病毒开始具有对抗机制。例 如 Yankee Doole病毒,当它发现有人用 Debug工具跟踪它, 就会自动从文件中逃走。此外还相继出现了一些能对自 身进行简单加密的病毒,如1366( Dalian)、1824(N64)、 174l(Dong)、1100等。加密的目的主要是防止跟踪或掩 盖有关特征等。例如在有1741病毒时,用DⅠR列目 录表,病毒会掩盖被感染文件所增加的字节数,使人看 起来字节数很正常
20世纪90年代初,计算机病毒开始具有对抗机制。例 如Yankee Doole病毒,当它发现有人用Debug工具跟踪它, 就会自动从文件中逃走。此外还相继出现了一些能对自 身进行简单加密的病毒,如1366(DaLian)、1824(N64)、 1741(Dong)、1100等。加密的目的主要是防止跟踪或掩 盖有关特征等。例如在内存有1741病毒时,用DIR列目 录表,病毒会掩盖被感染文件所增加的字节数,使人看 起来字节数很正常
3.寄生性 1)病毒的寄生场所 寄生是病毒的重要特征。计算机病毒一般寄生在以下地方: (a)寄生在可执行程序中。一旦程序执行,病毒就被激活,病毒 程序首先被执行并常驻内存,然后置触发条件。感染的文件被执行 后,病毒就会趁机感染下一个文件。 文件型病毒可以分为源码型病毒、嵌入型病毒和外壳型病毒。 源码型病毒是用髙级语言编写的,不进行编译、链接,就无法传染 扩散。嵌入型病毒是嵌入在程序的中间,只能针对某些具体程序 外壳型病毒寄生在宿主程序的前面或后面,并修改程序的第1条指 令,使病毒先于宿主程序执行,以便一执行宿主程序就传染一次
3. 寄生性 (1)病毒的寄生场所 寄生是病毒的重要特征。计算机病毒一般寄生在以下地方: (a)寄生在可执行程序中。一旦程序执行,病毒就被激活,病毒 程序首先被执行并常驻内存,然后置触发条件。感染的文件被执行 后,病毒就会趁机感染下一个文件。 文件型病毒可以分为源码型病毒、嵌入型病毒和外壳型病毒。 源码型病毒是用高级语言编写的,不进行编译、链接,就无法传染 扩散。嵌入型病毒是嵌入在程序的中间,只能针对某些具体程序。 外壳型病毒寄生在宿主程序的前面或后面,并修改程序的第1条指 令,使病毒先于宿主程序执行,以便一执行宿主程序就传染一次
(b)寄生在硬盘的主引导扇区中。这类病毒也称引导 型病毒。任何操作系统都有自举过程,自举依靠引导 模块进行,而操作系统的引导模块总是放在某个固定 位置,这样系统每次启动就会在这个固定的地方来将 引导模块读入内存,紧接着就执行它,来把操作系统 读入内存,实现控制权的转接。引导型病毒程序就是 利用这一点,它自身占据了引导扇区而将原来的引导 扇区的内容和病毒的其他部分放到磁盘的其他空间, 并将这些扇区标志为坏簇,不可写其他信息。这样, 系统的一次初始化,就激活一次病毒,它首先将自身 拷贝到内存,等待触发条件到来
(b)寄生在硬盘的主引导扇区中。这类病毒也称引导 型病毒。任何操作系统都有自举过程,自举依靠引导 模块进行,而操作系统的引导模块总是放在某个固定 位置,这样系统每次启动就会在这个固定的地方来将 引导模块读入内存,紧接着就执行它,来把操作系统 读入内存,实现控制权的转接。引导型病毒程序就是 利用这一点,它自身占据了引导扇区而将原来的引导 扇区的内容和病毒的其他部分放到磁盘的其他空间, 并将这些扇区标志为坏簇,不可写其他信息。这样, 系统的一次初始化,就激活一次病毒,它首先将自身 拷贝到内存,等待触发条件到来