項目病毒發展、分類與表現1病毒的發展、分類及表現課題引入計算機病毒的定義計算機病毒的分類計算機病毒的結構計算機病毒的危害項目病毒發展、分類與表現課題引入－項目背景計算機病毒的概念起源非常早，在第一部商用電腦出現之前好幾年，計算機的先驅者馮·諾伊曼（JohnVonNeumann）在他的一篇論文《復雜自動裝置的理論及組識的進行》里，已經勾勒出病毒程序的藍圖。不過在當時，絕大部分的電腦專家都無法想像會有這種能自我繁殖的程序。項目病毒發展、分類與表現課題引入－項目背景1983年計算機病毒首次被確認，到1987年，計算機病毒才開始受到世界范圍內的普遍重視；我國于1989年發現了計算機病毒；至今，在全世界發現的病毒已經幾十萬種，病毒的花樣不斷翻新，編程高手越來越多，令人防不勝防。計算機病毒的起源，到現在還沒有一一個為大家所公認的確切說法。盡管如此，對于計算機病毒的發源地，大家一致認為是美國。關于計算機病毒的起源，現在有幾種說法，但是沒有一個被人們確認，也沒有實質性的論述予以證明項目病毒發展、分類與表現課題引入－項目背景1975年，美國科普作家約翰·布魯勒爾（JohnBrLiiler）寫了一本名為《震蕩波騎士》的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。1977年夏天，托馬斯·捷·瑞安的科幻小說《P-1的春天》成為美國的暢銷書，作者在這本書中描寫了一種可以在計算機中互相傳染的病毒，病毒最后控制了7,000臺計算機，造成了一場災難。這是世界上第一個幻想出來的計算機病毒,僅僅在10年之后，這種幻想的計算機病毒在世界各地大規模泛濫。項目病毒發展、分類與表現課題引入－項目背景人類社會有許多現行的科學技術，都是在先有幻想之后才成為現實的。因此，我們不能否認這些書的問世對計算機病毒的產生所起的作用。也許是有些人受到了這些書的啟發才頓開茅塞，借助于他們對計算機硬件系統及軟件系統的深入了解，發現了計算機病毒實現的可能并設計出了計算機病毒。與《P-1的春天》成為暢銷書差不多同一時間，美國著名的AT&T貝爾實驗室中，三個年輕人在工作之余，很無聊的玩起一種游戲:彼此撰寫出能夠吃掉別人程序的程序來互相作戰。這個叫做“磁芯大戰”的游戲，進一步將電腦病毒“感染性”的概念體現出來。項目病毒發展、分類與表現課題引入－項目背景1983年11月3日，一位南加州大學的學生弗雷德·科恩在UNIX系統下，寫了一個會引起系統死機的程序，但是這個程序并未引起一些教授的注意與認同。科恩為了證明其理論而將這些程序以論文發表，在當時引起了不小的震撼。科恩的程序，讓電腦病毒具備破壞性的概念具體成形。這種具備感染與破壞性的程序被真正稱之為“病毒”，則是在兩年后的一本《科學美國人》的月刊中。一位叫作杜特尼的專欄作家在討論“磁芯大戰”與蘋果二型電腦（當時流行的正是蘋果二型電腦，在那個時侯，我們熟悉的PC根本還不見蹤影）時，開始把這種程序稱之為病毒。從此以后我們對于這種具備感染性和破壞性的程序，終于有一個“病毒”的名字可以稱呼了。項目病毒發展、分類與表現課題引入－項目背景到了1987年，第一個電腦病毒C-BRAIN終于誕生了（這可不是一件值得慶賀的事）。一般而言，業界都公認這是真正具備完整特征的電腦病毒始祖。這個病毒程序是由一對巴基斯坦兄弟：巴斯特和阿姆捷特所寫的，他們在當地經營一家販賣個人電腦的商店，由于當地盜拷軟件的風氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會發作，將盜拷者的硬盤剩余空間給吃掉。項目病毒發展、分類與表現課題引入－項目背景這個病毒在當時并沒有太大的殺傷力，但后來一些有心人士以C-BRAIN為藍圖，制作出一些變形的病毒。而其他新的病毒創作，也紛紛出籠，不僅有個人創作，甚至出現不少創作集團（如NuKE,Phalcon/Skism,VDV）。各類掃毒、防毒與殺毒軟件以及專業公司也紛紛出現。一時間，各種病毒創作與反病毒程序，不斷推陳出新，如同百家爭鳴。項目病毒發展、分類與表現課題引入－項目分析完成本項目需要解決的問題：什么是計算機病毒？計算機病毒如何分類？計算機病毒采用何種結構存儲？計算機病毒有哪些危害？項目病毒發展、分類與表現課題引入－教學目標完成本項目需要實現的教學目標：計算機病毒的定義（理解）計算機病毒的分類（理解）計算機病毒的結構（重點掌握）計算機病毒的危害（掌握）項目病毒發展、分類與表現課題引入－應達到的職業能力了解計算機病毒的定義及分類熟練掌握計算機病毒的結構掌握計算機病毒帶來的危害項目病毒發展、分類與表現項目問題1－計算機病毒的定義計算機病毒一詞是從生物醫學病毒概念中引申而來的。在生物界，病毒（Virus）是一種沒有細胞結構、只有由蛋白質的外殼和被包裹著的一小段遺傳物質兩部分組成的比細菌還要小的病原體生物，如大腸桿菌、口蹄疫、狂犬病毒、天花病毒、肺結核病毒、禽流感病毒等。絕大多數的病毒只能在顯微鏡下才能看到，而且不能獨立生存，必須寄生在其他生物的活細胞里才能生存。由于病毒利用寄主細胞的營養生長和繁殖后代，因此給寄主生物造成極大的危害。計算機病毒之所以被稱為病毒，是因為它們與生物醫學上的病毒也有著很多的相同點。例如，它們都具有寄生性、傳染性和破壞性。項目病毒發展、分類與表現項目問題1－計算機病毒的定義我們通常所說的計算機病毒應該是為達到特殊目的制作和傳播的計算機代碼或程序，簡單說就是惡意代碼。有些惡意代碼會像生物病毒寄生在其它生物細胞中一樣，它們隱藏和寄生在其它計算機用戶的正常文件中伺機發作，并大量復制病毒體，感染計算機中的其它正常文件；很多計算機病毒也會像生物病毒給寄主帶來極大傷害一樣，給寄生的計算機造成巨大的破壞，給人類社會造成不利的影響，造成巨大的經濟損失。同時，計算機病毒與生物病毒也有很多不同，例如，計算機病毒并不是天然存在的，它們是由一些別有用心的人利用計算機軟、硬件所固有的缺陷有目的的編制而成的。項目病毒發展、分類與表現項目問題1－計算機病毒的定義從廣義上講，凡是人為編制的，干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞計算機數據的可自我復制的計算機程序或指令集合都是計算機病毒。在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。項目病毒發展、分類與表現項目問題1－計算機病毒的定義計算機病毒具有非法性、隱蔽性、潛伏性、觸發性、表現性、破壞性、傳染性、針對性、變異性和不可預見性。單獨根據某一個特性是不能判斷某個程序是否是病毒。例如“觸發性”來講，很多應用程序都具有一定的觸發性，例如殺毒軟件可以在滿足一定條件下自動進行系統的病毒掃描，但是并不能說它就是病毒，而且恰恰相反，它是病毒的防護軟件。因此，必須對病毒的特性有一個全面的了解項目病毒發展、分類與表現計算機病毒的主要特性非法性隱藏性潛伏性可觸發性破壞性傳染性表現性：病毒對操作系統的運行造成影響（cpu、內寸）針對性：針對不同機器或操作系統的病毒變異性：在發展和演化過程中產生變種不可預見性：破壞表現類似，但源代碼千差萬別項目病毒發展、分類與表現項目問題2－計算機病毒的分類從計算機病毒問世以來，病毒的發展非常迅速。從已經發現的計算機病毒來看，小到只有幾十條命令，大到由上萬條指令組成（簡直就像個操作系統）。它們有的傳播速度快，有的潛伏期長，有的感染計算機的所有程序和數據，有的進行自身繁衍占據磁盤空間，有的具有強大的破壞性。因此，認識這些復雜多樣的病毒就需要對其進行分門別類。由于病毒的多樣化發展，無法使用單一的分類方法進行區別，因此我們從不同的角度對病毒進行一下劃分。項目病毒發展、分類與表現按照計算機病毒攻擊的系統分類攻擊DOS系統的病毒——這類病毒出現最早、數量最多，變種也最多。攻擊Windows系統的病毒——由于Windows系統是多用戶多任務的圖形界面操作系統，深受用戶的歡迎，Windows系統正逐漸成為病毒攻擊的主要對象。攻擊UNIX系統的病毒——當前，UNIX系統應用非常廣泛，并且許多大型的網絡設備均采用UNIX作為其主要的操作系統，所以UNIX病毒的出現，對人類的信息安全是一個嚴重的威脅。項目病毒發展、分類與表現按照計算機病毒的鏈接方式分類源碼型病毒——該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到源程序中，經編譯成為合法程序的一部分。嵌入型病毒——這種病毒是將自身嵌入到現有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。項目病毒發展、分類與表現按照計算機病毒的鏈接方式分類外殼型病毒——將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發現，一般測試文件的大小即可知。操作系統型病毒——這種病毒用它自己的程序意圖加入或取代部分操作系統的程序模塊進行工作，具有很強的破壞力，可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。項目病毒發展、分類與表現按照計算機病毒的破壞情況分類良性計算機病毒——是指其不包含有立即對計算機系統產生直接破壞作用的代碼。這類病毒為了表現其存在，只是不停地進行擴散，從一臺計算機傳染到另一臺，并不破壞計算機內的數據。其實良性、惡性都是相對而言的。良性病毒取得系統控制權后，會導致整個系統運行效率降低，系統可用內存總數減少，使某些應用程序不能運行。它還與操作系統和應用程序爭搶CPU的控制權，適時導致整個系統死鎖，給正常操作帶來麻煩。因此也不能輕視所謂良性病毒對計算機系統造成的損害。項目病毒發展、分類與表現按照計算機病毒的破壞情況分類惡性計算機病毒——是指在其代碼中包含有損傷和破壞計算機系統的操作，在其傳染或發作時會對系統產生直接的破壞作用。這些操作代碼都是刻意編寫進病毒的，這是其本性之一。因此這類惡性病毒是很危險的，應當注意防范。所幸防病毒系統可以通過監控系統內的這類異常動作識別出計算機病毒的存在與否，至少發出警報提醒用戶注意。項目病毒發展、分類與表現根據寄生部位或傳染對象分類磁盤引導區傳染的計算機病毒——磁盤引導區傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導記錄，而將正常的引導記錄隱藏在磁盤的其他地方。由于引導區是磁盤能正常使用的先決條件，因此，這種病毒在運行的一開始（如系統啟動）就能獲得控制權，其傳染性較大。由于在磁盤的引導區內存儲著需要使用的重要信息，如果對磁盤上被移走的正常引導記錄不進行保護，則在運行過程中就會導致引導記錄的破壞。引導區傳染的計算機病毒較多，例如，“大麻”和“小球”病毒就是這類病毒。項目病毒發展、分類與表現根據寄生部位或傳染對象分類操作系統傳染的計算機病毒——操作系統是一個計算機系統得以運行的支持環境，它包括COM、EXE等許多可執行程序及程序模塊。操作系統傳染的計算機病毒就是利用操作系統中所提供的一些程序及程序模塊寄生并傳染的。通常，這類病毒作為操作系統的一部分，只要計算機開始工作，病毒就處在隨時被觸發的狀態。而操作系統的開放性和不絕對完善性給這類病毒出現的可能性與傳染性提供了方便。操作系統傳染的病毒目前已廣泛存在，“黑色星期五”即為此類病毒。項目病毒發展、分類與表現根據寄生部位或傳染對象分類可執行程序傳染的計算機病毒。可執行程序傳染的病毒通常寄生在可執行程序中，一旦程序被執行，病毒也就被激活，病毒程序首先被執行，并將自身駐留內存，然后設置觸發條件，進行傳染。項目病毒發展、分類與表現按照計算機病毒激活的時間分類定時型病毒——定時病毒是在某一特定時間發作的病毒，它是以時間為發作的觸發條件，如果時間不滿足，此類病毒將不會進行破壞活動。隨機型病毒——與定時型病毒不同的是隨機型病毒，此類病毒不是通過時鐘進行觸發。項目病毒發展、分類與表現按照傳播媒介分類單機病毒——單機病毒的載體是磁盤，常見的是病毒從軟盤傳人硬盤，感染系統，然后再傳染其他軟盤，軟盤又傳染其他系統。網絡病毒——網絡病毒的傳播媒介不再是移動式載體，而是網絡通道，這種病毒的傳染能力更強，破壞力更大。項目病毒發展、分類與表現項目問題3－計算機病毒的結構計算機病毒與其它客觀存在的事物一樣，都有一定的結構。如果沒有這些結構的支撐，它就無法體現計算機病毒的諸多特性，無法實現病毒的各種功能。病毒本身是一些計算機程序代碼，就必定擁有一定的程序結構。當今計算機的設計思想都來源于馮·諾伊曼，病毒作為程序就必定需要一定的存儲結構。我們了解計算機病毒的結構，主要是了解計算機病毒的程序結構和計算機病毒的存儲結構。項目病毒發展、分類與表現計算機病毒的程序結構各種計算機病毒程序大小不同、長短各異，但是它們一般都包含三個部分：引導模塊、傳染模塊、表現或破壞模塊項目病毒發展、分類與表現計算機病毒的存儲結構病毒按照寄生方式可以分為引導型病毒和文件型病毒兩種，同時按照其傳染途徑分成駐留內存型和不駐留內存型。計算機病毒大部分都存儲在磁盤中，其發作又要通過引導模塊將其代碼裝入內存從磁盤存儲結構和內存駐留結構兩方面了解計算機病毒的存儲結構。項目病毒發展、分類與表現病毒的磁盤存儲結構了解病毒的磁盤存儲結構，首先必須了解磁盤的空間劃分。磁盤格式化之后包括主引導記錄區、引導記錄區、文件分區表、目錄區和數據區，根據病毒磁盤的存儲結構不同，病毒主要分成系統型病毒和文件型病毒。系統型病毒是指專門傳染操作系統的啟動扇區，主要是硬盤主引導區和DOS引導扇區的病毒。文件型病毒主要是指感染系統中的可執行文件或者依賴于可執行文件發作的病毒。項目病毒發展、分類與表現病毒的內存駐留結構計算機病毒一般都駐留在常規內存中，相對來講，檢測這些計算機病毒也比較方便。但是，計算機病毒不僅僅只能駐留在常規內存中，現在已經發現駐留在高端內存中的病毒。研究病毒的內存駐留結構可以劃分為系統病毒的內存駐留結構和文件病毒的內存駐留結構，其中文件病毒的內存駐留結構又可以分為高端駐留型、常規駐留型、內存控制鏈駐留型和設備程序補丁駐留型等。

項目病毒發展、分類與表現項目問題4－計算機病毒的危害在計算機病毒產生的初期，人們對病毒的危害主要注重于病毒對計算機信息系統的直接破壞作用。隨著計算機和計算機病毒的發展，人們逐漸意識到，除了對計算機信息系統的破壞之外，病毒的錯誤和兼容性問題可能會帶來不可預測的危害。同時，病毒的傳播與破壞，給計算機用戶的心理造成巨大的壓力，其隱藏的破壞力也是不能低估的。項目病毒發展、分類與表現計算機病毒的危害前面我們介紹了病毒的分類和結構，知道了計算機病毒的復雜多樣性。因此，不同病毒的發作現象也是不同的，總體來說，病毒發作的表現主要集中在以下幾個方面：大部分病毒在發作的時候會直接破壞計算機系統的重要數據，其使用的手段包括格式化磁盤、改寫文件分配表、刪除重要文件、寫入大量的“垃圾數據”等等；計算機病毒作為具有破壞作用的程序或指令，在執行的時候必然會搶占一部分系統資源，尤其是大部分計算機病毒都是常駐內存的，其所需內存長度與病毒本身的長度大致相當，這將導致很多正常的應用程序無法使用；很多計算機病毒的運行需要對計算機的工作狀態進行監控，這就會干擾系統的正常運行，影響計算機的運行速度。項目病毒發展、分類與表現計算機病毒的主要表現現象計算機運行速度的變化——主要現象包括：計算機的反應速度比平時遲鈍很多；應用程序的載入比平時要多花費很長的時間；開機時間過長。計算機磁盤的變化——主要現象包括：對一個簡單的磁盤存儲操作比預期時間長很多；當沒有存取數據時，硬盤指示燈無緣無故的亮了；磁盤的可用空間大量的減少；磁盤的扇區壞道增加；磁盤或者磁盤驅動器不能訪問。項目病毒發展、分類與表現計算機病毒的主要表現現象計算機內存的變化——主要現象包括：系統內存的容量突然間大量的減少；內存中出現了不明的常駐程序。計算機文件系統的變化——主要現象包括：可執行程序的大小被改變了；重要的文件奇怪的消失；文件被加入了一些奇怪的內容；文件的名稱、日期、擴展名等屬性被更改；系統出現一些特殊的文件；驅動程序被修改導致很多外設無法正常工作。項目病毒發展、分類與表現計算機病毒的主要表現現象異常的提示信息和現象——主要現象包括：出現不尋常的錯誤提示信息，例如出現“writeprotecterrorondriverA”，表示病毒試圖存取軟盤進行感染，再例如訪問C盤時提示“NotreadyerrordriveAabort,Retry,Fail?”；開機之后幾秒鐘突然黑屏；無法找到外部設備，例如無法檢索到計算機硬盤；計算機發出奇怪的聲音；計算機經常死機或者重新啟動；啟動應用程序時出現錯誤提示信息對話框；菜單或對話框的顯示失真。項目病毒發展、分類與表現計算機故障與病毒特征區別前面我們介紹了病毒的發作現象，如果計算機出現了某些特別現象不一定說明計算機就是中了病毒，因為計算機本身不可避免的會有一些硬件或者軟件的故障，在判斷是否是病毒的原因導致計算機不正常的時候，也要綜合考慮這些計算機本身的軟件或者硬件故障。項目病毒發展、