计算机病毒分析报告 计算机病毒的现状分析
计算机病毒的概念和特征计算机是一组具有自我复制和传输能力的程序代码。高级计算机病毒有变异进化的能力,可以对付杀毒程序。编写计算机病毒的目的是破坏计算机功能和数据,从
计算机病毒的概念和特征
计算机是一组具有自我复制和传输能力的程序代码。
高级计算机病毒有变异进化的能力,可以对付杀毒程序。
编写计算机病毒的目的是破坏计算机功能和数据,从而影响计算机使用。
计算机病毒感染和攻击的症状:
计算机屏幕显示异常机器不能引导启动磁盘存储容量异常减少磁盘操作异常的读写出现异常的声音执行程序文件无法执行文件长度和日期发生变化系统死机频繁系统不承认硬盘中断向量表发生异常变化内存可用空间异常变化或减少系统运行速度性能下降系统配置文件改变系统参数改变
计算机有以下四个基本特征:
1)隐蔽性:计算机病毒附着在正常的软件或文档中,如可执行程序、电子邮件、Word文档等。一旦用户意识不到它们,病毒就会触发执行并潜入受害者的电脑。病毒的隐蔽性使得受害者在不知情的情况下感染了病毒,对受害者的电脑造成了一系列的有害操作。正因为如此,计算机病毒传播开来。
2)传染性:计算机病毒的传染性是指计算机病毒可以自我复制,将复制的病毒附着在无病毒的程序上,或者替换磁盘引导区的记录,使附着病毒的程序或磁盘成为新的病毒源,它们可以复制病毒,重复原来的感染过程。计算机病毒和其他程序的本质区别在于,计算机病毒会传染,而其他程序不会。没有传染性的程序不是计算机病毒。
3)潜伏期:电脑病毒感染正常电脑后,一般不会立即发作。相反,它会等到满足触发条件后再执行病毒的恶意功能,从而造成损害。计算机病毒的常见触发条件是特定的日期。
4)破坏性:计算机病毒对系统的危害程度取决于病毒设计者的设计意图。有些只是恶作剧,有些破坏系统数据。简而言之,病毒的后果是未知的。由于计算机病毒是一种恶意程序,所有常规程序使用的计算机资源都可能被计算机病毒破坏。据统计,病毒爆发后,造成的损害主要有数据部分丢失、系统无法使用、浏览器配置被修改、网络无法使用、使用受限、远程控制、数据全部丢失等。据统计分析,最常见的是浏览器配置被修改,数据丢失,网络无法使用,如图。
计算机组成和运行机制
计算机由三部分组成:
复制传染部件(replicator):控制病毒向其他文件的传染隐藏部件(concealer):是防止病毒被检测到破坏部件(bomb):当病毒符合激活条件后,执行破坏操作
计算机的生命周期有两个主要阶段:
第一阶段,计算机病毒的复制传播阶段 这一阶段有可能持续一个星期到几年。计算机病毒在这个阶段尽可能地隐蔽其行为,不干扰正常系统的功能。计算机病毒主动搜寻新的主机进行感染,如将病毒附在其他的软件程序中,或者渗透操作系统。同时,可执行程序中的计算机病毒获取程序控制权。在这一阶段,发现计算机病毒特别困难,这主要是因为计算机病毒只感染少量的文件,难以引起用户警觉。第二阶段,计算机病毒的激活阶段 计算机病毒在该阶段开始逐渐或突然破坏系统。计算机病毒的主要工作是根据数学公式判断激活条件是否满足,用作计算机病毒的激活条件常有日期、时间、感染文件数或其他。
计算机病毒的常见类型和技术
1.领先病毒
A型引导病毒通过感染计算机系统的引导区来控制计算机系统。病毒会修改或替换真正的引导区内容。病毒程序执行后,操作系统启动。所以感染了龙头病毒的电脑系统看似运行正常,但实际上病毒一直隐藏在系统中,伺机感染和攻击。引导病毒通常驻留在内存中,典型的引导病毒有磁盘杀手病毒、AntiExe病毒等。
2.宏病毒(宏病毒)
宏是1995年出现的一种应用编程语言。它自动化了文档处理中复杂的击键。宏病毒是指通过宏语言实现的计算机病毒。宏病毒的出现改变了病毒的传播方式。以前病毒的载体主要是可执行文件,现在文档或数据也可以作为宏病毒的载体。
3.多态病毒
多态病毒每次感染一个新的对象,都会通过改变加密算法来改变其现有的形式。有些多态病毒的呈现形式超过20亿种,这意味着杀毒软件往往很难检测到,一般需要启发式分析才能发现。
多态病毒有三个主要组成部分;混乱的病毒体,解密程序,变异引擎。
在多态病毒中,变化引擎和病毒体都是加密的。一旦用户执行被多态病毒感染的程序,解密例程首先获得计算机的控制权,然后解密病毒体和变更引擎。接下来,解密例程将控制权转移给病毒,并开始再次感染新程序。此时,病毒自我复制,变化引擎随机访问RAM。病毒调用变更引擎随机生成解密例程,可以解锁新病毒。病毒加密产生新的病毒体和变化引擎,病毒把解密例程和新加密的病毒和变化引擎一起放入程序。这样,不仅病毒体被加密,而且病毒的解密套路也随着感染而变化。因此,多态病毒没有固定的特征和加密套路,可以逃避基于静态特征的病毒扫描器的检测。
4.隐藏的病毒
病毒试图隐藏自己的存在形式,让操作系统和杀毒软件找不到。病毒采用许多技术进行隐藏,主要包括:
隐藏文件的日期、时间的变化;隐藏文件大小的变化;病毒加密。
