计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
“计算机病毒”一词最早是由美国计算机病毒研究专家F.Cohen博士提出的。世界上第一例被证实的计算机病毒是在1983年出现在计算机病毒传播的研究报告中,同时有人提出了蠕虫病毒程序的设计思想。1984 年,美国人Thompson开发出了针对UNIX操作系统的病毒程序。1988 年11月2日晚,美国康尔大学研究生罗特。莫里斯将计算机蠕虫病毒投放到网络中。该病毒程序迅速扩展,导致大批计算机瘫痪,甚至欧洲联网的计算机也受到了影响,造成直接经济损失近亿美元。
计算机病毒实际是一个程序,一段可执行代码,如同生物病毒样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件的使用一起蔓延开来。除了复制能力外,某些计算机病毒还有其他一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字或图像上时,它们可能已毁坏了文件、再格式化了你的硬盘驱动器或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存储空间给你带来麻烦,并降低计算机的全部性能。
“计算机病毒”有很多种定义,国外流行的定义是指一段附着在其他程序上的可以实现自我“繁殖”的程序代码。可以从不同角度给出计算机病毒的定义: -一种定义是通过磁盘、磁带和网络等媒介传播扩散,能“传染”其他程序的程序;另-一种是能够实现自身复制且借助定的载体存在的具有潜伏性、传染性和破坏性的程序;第3种定义是种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里,当某种条件或时机成熟时,它会自身复制并传播,使计算机的资源受到不同程度的破坏等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒相似之处是能够侵人计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(程序)里 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
在《中华人民共和国计算机信息系统安全保护条例》中明确定义,病毒是“指编制或者在计算机程序中插人的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
在这里我们要知道计算机病毒也是一个程序, 或者是段可执行的代码。 而这个程序或者可执行代码对计算机功能或者数据具有破坏性,并且具有传播、隐蔽、偷窃等特性。
特征:
繁殖性
计算机病毒可以像生物病毒一样进行繁殖,当正常程序运行时,它也进行运行自身复制,是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。
破坏性
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS,硬件环境破坏。
传染性
计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上,这些对象可以是一个程序也可以是系统中的某一个部件。
潜伏性
计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作, 会使电脑变慢。
隐蔽性
计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。
可触发性
编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足,计算机病毒就会“发作”,使系统遭到破坏。
根据病毒存在的媒体划分:
- 网络病毒——通过计算机网络传播感染网络中的可执行文件。
- 文件病毒——感染计算机中的文件(如:COM,EXE,DOC等)。
- 引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。
还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
根据病毒传染渠道划分:
- 驻留型病毒——这种病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动
- 非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
根据破坏能力划分:
- 无害型——除了传染时减少磁盘的可用空间外,对系统没有其它影响。
- 无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。
- 危险型——这类病毒在计算机系统操作中造成严重的错误。
- 非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
根据算法划分:
- 伴随型病毒——这类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
- “蠕虫”型病毒——通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算机将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
- 寄生型病毒——除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同还可细分为以下几类。
练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒,它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等对DOS内部进行修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。