理论教育 病毒性质:信息安全基础

病毒性质:信息安全基础

时间:2023-11-24 理论教育 版权反馈
【摘要】:1986年,Brain病毒被首次发现。附着在程序文件上的病毒,能够做该程序可以做的任何事情。因此,病毒能够感染系统中任何可执行的内容。这导致了利用活动内容的宏病毒的出现。当前,病毒通常采用现代恶意软件使用的传播机制来传播,包括利用蠕虫和木马进行传播。载荷指病毒除传播之外的活动。病毒最终会被某些事件激活。

病毒性质:信息安全基础

计算机病毒是一种通过修改其他程序来感染它们的软件片段。这种修改包括向其他程序注入病毒代码来复制病毒程序,被注入病毒代码的程序会继续感染其他程序。1986年,Brain病毒被首次发现。它是一个以MSDOS系统为目标的病毒,在当时感染了大量的计算机。

典型的病毒会把自己嵌入到程序文件中。当被感染的程序文件运行时,病毒也得到了运行,它就会继续感染其他程序文件。当毫无戒心的用户通过磁盘、U盘或网络交换被病毒感染的程序或数据时,病毒就在计算机之间传播开来。在网络环境下,访问其他计算机上的文档、程序或系统服务的能力,为病毒的传播提供了温床。

附着在程序文件上的病毒,能够做该程序可以做的任何事情。当宿主程序运行时,病毒也会偷偷地运行。一旦病毒代码运行,它就能执行当前用户的权限所允许的任何功能,如删除文件和程序。在早些年,病毒在恶意软件中占绝对优势的一个原因,是当时的个人计算机缺少用户认证和访问控制。因此,病毒能够感染系统中任何可执行的内容。另外,大量的程序通过软盘来分享也让病毒的传播变得容易了,尽管速度可能较慢。具有严格访问控制功能的现代操作系统,显著地限制了这种传统的、机器可执行代码形式的病毒的传播。这导致了利用活动内容的宏病毒的出现。某些类型的文档,如微软的Word、PowerPoint、Excel文档,或Adobe的PDF文档都支持活动内容。这些文档即使在用户正常使用系统时也容易被用户修改和共享,并且它们没有像程序那样受到访问控制的保护。当前,病毒通常采用现代恶意软件使用的传播机制来传播,包括利用蠕虫和木马进行传播。

计算机病毒由三个部分构成:感染机制、触发条件和载荷。更普遍地讲,很多现代的恶意软件也包括了这三个部件的一个或多个变体。感染机制指病毒传播以实现自我复制的方式。触发条件指激活或释放病毒载荷的事件或条件,有时被称为逻辑炸弹(Logic Bomb)。载荷指病毒除传播之外的活动。载荷可能包括破坏性的活动,也可能包括无破坏但引人注意的活动。

在病毒的生命期中,病毒通常会经历以下4个阶段:

休眠阶段:病毒处于停顿状态。病毒最终会被某些事件激活。如某个日期、某个程序或文件的出现,或者磁盘的容量超过某个限度。注意,并不是所有的病毒都有这个阶段。(www.daowen.com)

传播阶段:病毒将其自身的一个副本嵌入到其他程序中,或者嵌入到磁盘上某些系统区域中。这个副本可能与传播中的版本不同,因为病毒经常通过变形来逃避检测。每个被感染的程序现在都包含病毒的一个副本,这些副本自身也会进入传播阶段。

触发阶段:病毒被激活以执行其预先设定的功能。与休眠阶段一样,触发阶段可以由各种系统事件引起,包括该病毒副本复制自身的次数。

执行阶段:执行病毒功能。有些可能是无害的,如在屏幕上的显示一条信息,有些则具有破坏性,如破坏程序和数据文件。

感染可执行程序文件的大多数病毒,是以基于某个特定操作系统的特定方式运行的,在某些情况下,还可能针对某个特定的硬件平台。因此,它们在设计时都会利用这些特定系统的细节和漏洞。不过,宏病毒针对的是特定类型的文档,而这些文档通常得到各种系统的支持。

在感染可执行程序文件时,传统的病毒会把自己的代码添加到程序文件的首部或尾部,或者嵌入到程序文件的内部。无论如何,当被感染的程序运行时,病毒代码会首先得到执行,然后才执行程序的原始代码。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈