病毒的演变和发展

病毒的演变和发展

摘要

生活在二十一世纪，计算机技术发展已相当迅猛，不仅促进了全球科学技术的迅猛发展提高了人类生产能力及创新能力还给人们的生活和生产带来了更多的方便和快捷。然而层出不穷且破坏性越来越大的计算机病毒却给我们带来了巨大的破坏和威胁，俨然已成为当今社会计算机信息进步的致命杀手。

关键字：病毒产生病毒特点演变发展防治

计算机病毒（Computer Virus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，指的是“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒已成为当代信息社会的致命杀手，尤其是病毒与黑客技术相结合，使其对抗反病毒技术的能力越来越强。面对这种严峻形势，人们急需要了解病毒的特征和反病毒技术，做到防杀结合，才能立于不败之地。

一、计算机病毒简介

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。

所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

二、计算机病毒的发展与演变

在病毒的发展史上，病毒的出现是有规律的。通常在一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的反站会遏制其流传。当病毒库或操作系统升级后，病毒也会调整为新的方式，产生新的病毒。病毒的发展可以分为一下几个阶段。

（一）萌芽阶段

20世纪80年代早期出现了第一批计算机病毒。这些早期的病毒大部分是试

验性的，并且是相对简单的自行复制的文件，它们仅在执行时显示简单的恶作剧而已。随着计算机技术的发展，各种破坏性越来越大的计算机病毒层出不穷。

这一阶段从1986年到1989年，这期间出现的病毒可以称为传统的病毒，是计算机病毒的萌芽时期。由于当时应用软件少，而且大多是单机运行环境，因此病毒没有大量流行，病毒种类也比较有限，病毒清除相对比较容易。

1987年，病毒主要以引导型为主，以小球和石头病毒为代表。

1989年，可执行文件型病毒出现，它们利用DOS系统加载可执行文件的机制工作，代表为“耶路撒冷”病毒。

这一阶段的病毒总体上可以分为以下几个特点：

1.病毒攻击的目标单一，只传染引导扇区或可执行文件；

2.病毒程序主要采取截取系统中断向量的方式监恐系统的运行状态，并在一

定的触发条件下进行传播；

3.病毒传染目标以后特征比较明显，容易被人发现；

4.病毒不具有自我保护措施，容易让你分析其原理。

（二）综合发展阶段

这个阶段从1989年到1992年，这个阶段是计算机病毒由简单到复杂，由原始走向成熟的阶段。计算机局域网开始应用与普及，许多软件开始向网络应用发展，但由于当时网络安全防护意识缺乏，给计算机病毒的传播带来了第一次流行高峰。

这个极端的病毒，人们习惯称为混合型病毒，可感染引导扇区，又可以感染执行文件，它们利用DOS加载文件的优先顺序进行工作。这个阶段的病毒具有以下几个特点：

1.病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可能传染可执行文件；

2.病毒程序采取更为隐蔽的方法驻留内存和传染目标；

3.病毒传染目标后没有明显的特征，如磁盘上不出现坏扇区，可执行文件的长度增加不明显，不改变被传染文件原来的建立日期和时间等等；

4.病毒程序往往采取了自我保护措施，如加密技术、反跟踪技术，制造障碍，增加人们分析和解剖的难度，同时也增加了软件检测、解毒的难度；

5.出现许多病毒的变种，这些变种病毒较原病毒的传染性更隐蔽，破坏性更大。

（三）成熟发展阶段

第三代病毒的产生年限可以认为从1992年开始至1995年，此类病毒称为“多态性”病毒或“自我变形”病毒，是最近几年来出现的新型的计算机病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。正是由于这一特点，传统的利用特征码法检测病毒的产品不能检测出此类病毒。

由此可见，第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展，病毒开始向多维化方向发展，即传统病毒传染的过程与病毒自身运行的时间和空间无关，而新型的计算机病毒则将与病毒自身运行的时间、空间和宿主程序紧密相关，这无疑将导致计算机病毒检则和消除的困难。1992年在保加利亚发现的黑夜复仇者病毒变种，这是世界上最早

发现的多态的实战病毒，它可以用独特的加密算法产生几乎无限数量的不同形态的同一病毒。

1994年过内出现了多态病毒“幽灵”，每感染一次就产生不同的代码，为查杀带来了很大的难度。

（四）英特网阶段

90年代中后期，随着远程网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制，这一阶段的病毒，主要是利用网络来进行传播和破坏，同时为更多的病毒爱好者提供了更大的学习空间和舞台。

首先通过广域网传播至局域网内，再在局域网内传播扩散。从某种意义上来讲，微软Word Basic的公开性以及 DOC文档结构的封闭性，宏病毒对文档的破坏已经不仅仅属于普通病毒的概念，如果放任宏病毒泛滥，不采取强有力的彻底解决方法，宏病毒对中国的信息产业将会产生不测的后果。这一时期的病毒的最大特点是利用Internet作为其主要传播途径，因而，病毒传播快、隐蔽性强、破坏性大。此外，随着Windows95的应用，出现了Windows 环境下的病毒。这些都给病毒防治和传统DOS版杀毒软件带来新的挑战。

（五）迅速壮大的阶段

2000年以后，计算机病毒的发展可谓真正到了一个成熟繁荣的阶段，计算机病毒的更新和传播手段更加多样性，网络病毒的目的性也更强。出现了木马，恶意软件等为了特定目的而存在的程序。

这个阶段的病毒的主要特点，技术综合利用，病毒变种速度大大加快，有些病毒程序一天甚至出现多次更新和变种。恶意软件和病毒程序直接把矛头对向了杀毒软件，国内更出现了“AV终结者”、熊猫烧香等关闭杀毒软件，屏蔽病毒字样的目的性很强，并在被感染的计算机后台大量下载其他病毒木马的恶意程序和病毒。计算机病毒技术和反病毒技术的竞争进一步激化，反病毒技术也面临着新的洗牌。

三、计算机病毒的防治

通过采取技术上和管理上的措施，计算机病毒是完全可以防范的。虽然难免仍有新出现的病毒，采用更隐秘的手段，利用现有计算机操作系统安全防护机制的漏洞，以及反病毒防御技术上尚存在的缺陷，使病毒能够一时得以在某一台计算机机上存活并进行某种破坏，但是只要在思想上有反病毒的警惕性，依靠使用反病毒技术和管理措施，这新病毒就无法逾越计算机安全保护屏障，从而不能广泛传播。这类病毒一旦被捕捉到，反病毒防御系统就可以立即改进性能，提供对计算机的进一步保护功能。

对于计算机病毒，有病毒防护意识的人和没有病毒防护意识的人会采取完全不同的态度。例如对于反病毒研究人员，机器内存储的上千种病毒不会随意进行破坏，所采取的防护措施也并不复杂。其实，只要稍有警惕，病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。再运用病毒检测程序和 DEBUG进行人工检测是完全可以提前发现病毒，或在病毒进行传染的过程中就能发现它。下面介绍我们日常应用的防毒措施：

（一）安装杀毒软件和网络防火墙

上网前或启动机器后马上运行这些软件，就好像给你的机器“穿”上了一层厚厚的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒“拒之门外”。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效。