【電腦病毒的5個特點】什麼是電腦病毒 |電腦病毒 |個常見病毒 |
電腦病毒(英語:computer virus),或稱電子計算機病毒,是一種人或非人為情況下產生、用户不知情或未批准下,能自我複製或運行電腦程序。電腦病毒往往會影響受感染電腦運作,或是控制而自知,電腦運作盜竊資料、或者利用做其他用途用户發啟動行為。
有製作病毒黑客逮捕及起訴,判決各國,如羅馬尼亞西歐班尼花費15分鐘寫MSBlast.F變種感染了1,000台電腦,羅馬尼亞法律他有可能會被判15年有期徒刑。1998年台灣病毒作者陳盈豪寫CIH病毒猜測造成全球600萬台電腦癱瘓,但他因為逮捕後無人起訴而免於法律制裁,2001年有人CIH受害者身份起訴陳盈豪,使他逮捕,台灣當時法律,他被判損毀罪,面臨3年以下有期徒刑。
中國大陸木馬程序「證券大盜」作者張勇使用其木馬程序截獲股民賬户密碼,盜賣股票價值1,141.9萬元人民幣,非法獲利38.6萬元人民幣,判決結果是無期徒刑。
第一份關於計算機病毒理論學術工作(雖然”病毒”一詞當時使用)於 1949年約翰·馮·諾伊曼完成。當時是”Theory and Organization of Complicated Automata”題一場伊利諾伊大學演講,後改以”Theory of self-reproducing automata”題出版。馮·諾伊曼他論文中描述一個計算機程式如何複製其自身。
1972年,Veith Risak馮·諾伊曼自我複製上工作基礎發表”Self-reproducing automata with minimal information exchange”一文。該文描述一個以西門子4004/35計算機系統為目標,組合語言編寫,具有功能計算機病毒。
1980年,Jürgen Kraus於多特蒙德大學撰寫他學位論文”Self-reproduction of programs”。他論文中,他假設計算機程式可以表現出病毒行為。
能夠複製其自身,病毒能夠執行代碼並能夠內存執行寫操作。基於這個原因,許多病毒是自己附著合法執行檔上。如果使用者企圖執行該執行檔,那麼病毒有機會運行。病毒可以執行時所表現出來行為分成兩類。駐型病毒會尋找其它宿主並加以感染,後控制權交給感染應用程式。駐型病毒執行時並會尋找其它宿主。相反,一個駐型病毒會自己載入內存並控制權交宿主。該病毒於背景中執行並感染其它目標。
駐型病毒可以想成具有搜尋模組和複製模組程式。搜尋模組負責尋找可感染檔案,搜尋到該檔案,搜尋模組會啟動複製模組進行感染。
駐型病毒包含複製模組,其角色類似於駐型病毒中複製模組。複製模組駐型病毒中會搜尋模組調用。病毒執行時會複製模組載入內存,保當作業系統執行動作時,該複製模組會調用。例如,複製模組會作業系統執行其它檔案時調用。這個例子中,所有可以執行檔案會感染。駐型病毒有時會區分成感染者和感染者。感染者會試圖感染盡可能多檔案。例如,一個感染者可以感染所有存取到檔案。這會防毒軟體造成問題。執行系統防護時,防毒軟體需要掃描所有可能會感染檔案。如果防毒軟體有察覺到內存中有感染者,感染者可以藉此搭便車,利用防毒軟體掃描檔案同時進行感染。感染者依賴其感染能力。但這同時會使得感染者偵測到,這是因為其行會使得系統效能降低,進而增加防毒軟體偵測到風險。相反,感染者設計成目標進行感染,如此可避免偵測到機會。例如,有些感染者只有在其它檔案拷貝時會進行感染。但是感染者此種試圖避免偵測到作法並。
市面上大多可移動驅動器是屬於可讀寫模式,因此很寫入Autorun.inf檔案以及許多程式。受到感染USB隨身碟病毒插入電腦裡後,病毒會躲藏在作業系統中處理程序,偵測電腦上。當使用者將其他乾USB隨身碟插入受感染電腦裡,病毒會複製到乾USB隨身碟裡,然後一傳十、十傳百。公用電腦使用導致USB病毒散播。[5]
病毒會藉由攔截防毒軟體作業系統呼叫來欺騙防毒軟體。當防毒軟體要求作業系統讀取檔案時,病毒可以攔截並處理此項要求,而非交給作業系統執行該要求。病毒可以返回一個未感染檔案防毒軟體,使得防毒軟體認為該檔案是乾感染。如此,病毒可以將自己隱藏起來。現在防毒軟體使用各種技術來反擊這種手段。要反擊病毒匿蹤,唯一完全可靠方法是一個已知是乾媒介開始啟動。
大部分防毒軟體透過所謂病毒特徵碼來偵知一個檔案是否有感染。病毒,或是同屬於一個家族病毒會具有可辨識特徵。如果防毒軟體偵測到檔案具有病毒特徵碼,它會通知使用者該檔案感染。使用者可以刪除或是修復感染檔案。某些病毒會利用一些技巧使得透過病毒特徵碼進行偵測困難。這些病毒會每一次感染時修改其自身代碼。換言之,每個感染檔案包含是病毒變種。只能重灌或下載防毒軟體.
胡搞甚者是病毒本身進行加密。這種情況下,病毒本身會包含數個解密模組和一份加密病毒拷貝。如果每一次感染,病毒密鑰加密,那病毒中唯一部分只有解密模組,會附於檔案尾端。防毒軟體無法直接透過病毒特徵碼偵測病毒,但它可以偵知存在解密模組,這可以間接偵測病毒。因為這部分是存放宿主上面對稱式密鑰,防毒軟體可以利用密鑰將病毒解密,但這並不必要。因為自修改代碼很少見,防毒軟體可以這類檔案標記成可疑。
一個古老但加密技術病毒中每一個位元組和一個常數做邏輯異或,病毒解密只需邏輯異或。一個程式若可修改自身程式碼十分可疑,因此許多病毒定義中,將加解密部分視為病毒特徵碼一部分。
多態是第一個防毒軟體造成威脅技術。像加密病毒,一個多態病毒一個加密自身拷貝感染檔案,並由其解密模組加以解碼。但是其加密模組每一次感染中會有所修改。因此,一個仔細設計多態病毒每一次感染中沒有一個部分是。這使得使用病毒特徵碼進行偵測變得困難。防毒軟體一模擬器上該病毒加以解密進而偵知該病毒,或是利用加密病毒其統計樣板上分析。要使得多態代碼成為可能,病毒其加密處有一個多態引擎(稱突變引擎)。關於多態引擎技術細節請參閲Polymorphic code。
有些多態病毒會限制其突變速率。例如,一個病毒可能隨著時間只有一小部分突變。或是病毒偵知宿主同一個病毒感染,它可以停止自己突變。如此突變其優點於,防毒專家得到該病毒具有代表性本。因為一輪感染中,誘餌檔案會包含或是病毒樣本。這會使得防毒軟體偵測結果變得可靠,而有些病毒會躲過其偵測。
避免防毒軟體模擬而偵知,有些病毒每一次感染完全其自身改寫。利用此種技術病毒稱為可變形。要達到可變形,一個變形引擎是必需。一個變形病毒龐大且複雜。舉例來説,Simile(英語:Simile (computer virus))病毒包含14000行匯編語言,其中90%是變形引擎。
以下表格所示是國際上病毒命名慣用前綴釋義,DOS下病毒無前綴:
中間部分指是病毒英文名,而後綴是變種代號。
計算機科學裡,電腦病毒是類生物病毒一樣程序,它會複製自己並傳播到其他宿主,並宿主造成損害。宿主是程序,是操作系統,從而進一步傳染到其他程序、其他電腦。電腦病毒傳播期間會自己,條件觸發,並開始產生破壞。
電腦病毒具有特徵有傳播性、隱蔽性、感染性、潛伏性、可激發性[6]、表現性或破壞性,表現兩種以上所述特徵可以認定該程序是病毒。
電腦病毒(英語:computer virus),或稱電子計算機病毒,是一種人或非人為情況下產生、用户不知情或未批准下,能自我複製或運行電腦程序。電腦病毒往往會影響受感染電腦運作,或是控制而自知,電腦運作盜竊資料、或者利用做其他用途用户發啟動行為。
有製作病毒黑客逮捕及起訴,判決各國,如羅馬尼亞西歐班尼花費15分鐘寫MSBlast.F變種感染了1,000台電腦,羅馬尼亞法律他有可能會被判15年有期徒刑。1998年台灣病毒作者陳盈豪寫CIH病毒猜測造成全球600萬台電腦癱瘓,但他因為逮捕後無人起訴而免於法律制裁,2001年有人CIH受害者身份起訴陳盈豪,使他逮捕,台灣當時法律,他被判損毀罪,面臨3年以下有期徒刑。
中國大陸木馬程序“證券大盜”作者張勇使用其木馬程序截獲股民賬户密碼,盜賣股票價值1,141.9萬元人民幣,非法獲利38.6萬元人民幣,判決結果是無期徒刑。
第一份關於計算機病毒理論學術工作(雖然”病毒”一詞當時使用)於 1949年約翰·馮·諾伊曼完成。當時是”Theory and Organization of Complicated Automata”題一場伊利諾伊大學演講,後改以”Theory of self-reproducing automata”題出版。馮·諾伊曼他論文中描述一個計算機程式如何複製其自身。
1972年,Veith Risak馮·諾伊曼自我複製上工作基礎發表”Self-reproducing automata with minimal information exchange”一文。該文描述一個以西門子4004/35計算機系統為目標,組合語言編寫,具有功能計算機病毒。
1980年,Jürgen Kraus於多特蒙德大學撰寫他學位論文”Self-reproduction of programs”。他論文中,他假設計算機程式可以表現出病毒行為。
延伸閱讀…
能夠複製其自身,病毒能夠執行代碼並能夠內存執行寫操作。基於這個原因,許多病毒是自己附著合法執行檔上。如果使用者企圖執行該執行檔,那麼病毒有機會運行。病毒可以執行時所表現出來行為分成兩類。駐型病毒會尋找其它宿主並加以感染,後控制權交給感染應用程式。駐型病毒執行時並會尋找其它宿主。相反,一個駐型病毒會自己載入內存並控制權交宿主。該病毒於背景中執行並感染其它目標。
駐型病毒可以想成具有搜尋模組和複製模組程式。搜尋模組負責尋找可感染檔案,搜尋到該檔案,搜尋模組會啟動複製模組進行感染。
駐型病毒包含複製模組,其角色類似於駐型病毒中複製模組。複製模組駐型病毒中會搜尋模組調用。病毒執行時會複製模組載入內存,保當作業系統執行動作時,該複製模組會調用。例如,複製模組會作業系統執行其它檔案時調用。這個例子中,所有可以執行檔案會感染。駐型病毒有時會區分成感染者和感染者。感染者會試圖感染盡可能多檔案。例如,一個感染者可以感染所有存取到檔案。這會防毒軟體造成問題。執行系統防護時,防毒軟體需要掃描所有可能會感染檔案。如果防毒軟體有察覺到內存中有感染者,感染者可以藉此搭便車,利用防毒軟體掃描檔案同時進行感染。感染者依賴其感染能力。但這同時會使得感染者偵測到,這是因為其行會使得系統效能降低,進而增加防毒軟體偵測到風險。相反,感染者設計成目標進行感染,如此可避免偵測到機會。例如,有些感染者只有在其它檔案拷貝時會進行感染。但是感染者此種試圖避免偵測到作法並。
市面上大多可移動驅動器是屬於可讀寫模式,因此很寫入Autorun.inf檔案以及許多程式。受到感染USB隨身碟病毒插入電腦裡後,病毒會躲藏在作業系統中處理程序,偵測電腦上。當使用者將其他乾USB隨身碟插入受感染電腦裡,病毒會複製到乾USB隨身碟裡,然後一傳十、十傳百。公用電腦使用導致USB病毒散播。[5]
病毒會藉由攔截防毒軟體作業系統呼叫來欺騙防毒軟體。當防毒軟體要求作業系統讀取檔案時,病毒可以攔截並處理此項要求,而非交給作業系統執行該要求。病毒可以返回一個未感染檔案防毒軟體,使得防毒軟體認為該檔案是乾感染。如此,病毒可以將自己隱藏起來。現在防毒軟體使用各種技術來反擊這種手段。要反擊病毒匿蹤,唯一完全可靠方法是一個已知是乾媒介開始啟動。
大部分防毒軟體透過所謂病毒特徵碼來偵知一個檔案是否有感染。病毒,或是同屬於一個家族病毒會具有可辨識特徵。如果防毒軟體偵測到檔案具有病毒特徵碼,它會通知使用者該檔案感染。使用者可以刪除或是修復感染檔案。某些病毒會利用一些技巧使得透過病毒特徵碼進行偵測困難。這些病毒會每一次感染時修改其自身代碼。換言之,每個感染檔案包含是病毒變種。只能重灌或下載防毒軟體.
胡搞甚者是病毒本身進行加密。這種情況下,病毒本身會包含數個解密模組和一份加密病毒拷貝。如果每一次感染,病毒密鑰加密,那病毒中唯一部分只有解密模組,會附於檔案尾端。防毒軟體無法直接透過病毒特徵碼偵測病毒,但它可以偵知存在解密模組,這可以間接偵測病毒。因為這部分是存放宿主上面對稱式密鑰,防毒軟體可以利用密鑰將病毒解密,但這並不必要。因為自修改代碼很少見,防毒軟體可以這類檔案標記成可疑。
一個古老但加密技術病毒中每一個位元組和一個常數做邏輯異或,病毒解密只需邏輯異或。一個程式若可修改自身程式碼十分可疑,因此許多病毒定義中,將加解密部分視為病毒特徵碼一部分。
多態是第一個防毒軟體造成威脅技術。像加密病毒,一個多態病毒一個加密自身拷貝感染檔案,並由其解密模組加以解碼。但是其加密模組每一次感染中會有所修改。因此,一個仔細設計多態病毒每一次感染中沒有一個部分是。這使得使用病毒特徵碼進行偵測變得困難。防毒軟體一模擬器上該病毒加以解密進而偵知該病毒,或是利用加密病毒其統計樣板上分析。要使得多態代碼成為可能,病毒其加密處有一個多態引擎(稱突變引擎)。關於多態引擎技術細節請參閲Polymorphic code。
有些多態病毒會限制其突變速率。例如,一個病毒可能隨著時間只有一小部分突變。或是病毒偵知宿主同一個病毒感染,它可以停止自己突變。如此突變其優點於,防毒專家得到該病毒具有代表性本。因為一輪感染中,誘餌檔案會包含或是病毒樣本。這會使得防毒軟體偵測結果變得可靠,而有些病毒會躲過其偵測。
避免防毒軟體模擬而偵知,有些病毒每一次感染完全其自身改寫。利用此種技術病毒稱為可變形。要達到可變形,一個變形引擎是必需。一個變形病毒龐大且複雜。舉例來説,Simile(英語:Simile (computer virus))病毒包含14000行匯編語言,其中90%是變形引擎。
延伸閱讀…
以下表格所示是國際上病毒命名慣用前綴釋義,DOS下病毒無前綴:
中間部分指是病毒英文名,而後綴是變種代號。
計算機科學裡,電腦病毒是類生物病毒一樣程序,它會複製自己並傳播到其他宿主,並宿主造成損害。宿主是程序,是操作系統,從而進一步傳染到其他程序、其他電腦。電腦病毒傳播期間會自己,條件觸發,並開始產生破壞。
電腦病毒具有特徵有傳播性、隱蔽性、感染性、潛伏性、可激發性[6]、表現性或破壞性,表現兩種以上所述特徵可以認定該程序是病毒。
於現代人來説,電腦可説是不可或缺工具,不過遇到電腦出問題,想要解決狀況並不是一件事情,是讓人聞之色變病毒、木馬,一但「中標」得付出代價來解決,是時間這樣白白浪費掉了,是讓人覺得搥心肝啊!
避免浪費時間解毒、重灌系統,搞懂病毒木馬、惡意程式哪裡來!
▲PC-cillin 雲端版使用者介面易懂,而且病毒、木馬惡意程式防護之外,提供了系統優化功能。
本站點使用Cookies,繼續瀏覽表示您我們使用Cookies。
Cookies和隱私政策>
計算機病毒是編制者計算機程序中插入破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製一組計算機指令或程序代碼。因其生物學上病毒有相似之處,所以人們這些惡意計算機程序稱為“計算機病毒”,有時簡稱“病毒”。計算機病毒普遍具有感染性、寄生性、隱蔽性、觸發(潛伏)性特性,其傳播速度快,攻擊方式多樣。病毒進入用户主機後會其造成程度危害,佔用系統內存導致系統運行速度減慢,重則導致資料丟失、信息泄露、系統崩潰後果,帶來估量損失。
例如WannaCry勒索軟件。它服務器消息塊(SMB)協議漏洞進行攻擊,入侵用户主機。WannaCry會用户主機重要文件進行加密,並其加密後文件後綴統一修改為”.WNCRY”,用户進行比特幣勒索。WannaCry使得全球範圍內高校、教育、醫療內多個大型信息系統用户受到攻擊,造成安全威脅。
文件型病毒是通過感染操作系統中文件系統進行傳播病毒(如:COM、EXE、DOC、SYS)。文件型病毒嵌入計算機源文件中,該文件運行,病毒進行傳播。
宏病毒一種典型文件型病毒。宏病毒是Microsoft開發系列辦公軟件主產生一種病毒,其主要數據文件或模板文件(字處理文檔、數據表格、演示文檔),如某WORD中感染了宏病毒,當其他用户打開該文檔,宏病毒會轉移。感染了宏病毒文件會提示無法使用“另存為”修改文件保存路徑,只能模板方式存盤,於數據文件和模板文件使用用户多,且跨越多種平台,使得宏病毒得到大規模傳播。
引導型病毒是寄生磁盤引導區或主引導區,引導系統過程中入侵系統。系統加載或啓動時,病毒會加載內存中感染其他文件。
“小球”病毒一種典型引導型病毒。“小球”病毒發現於1988年,是我國發現第一個計算機病毒,“小球”病毒通過軟盤進行傳播,感染後計算機屏幕上出現跳動小球,導致感染“小球”病毒計算機程序無法運行,其破壞性,傳染速度慢。
混合型病毒同時具有文件型病毒和引導型病毒寄生方式,既能通過感染系統引導區方式,能通過感染文件方式進行病毒傳播,具有破壞性和危害性。