1. 程式人生 > >病毒分析基礎(一)

病毒分析基礎(一)

部分 或操作 傳染性 都對 地方 向量 傳播 -type 工作效率

  計算機病毒是一種人為制造的、能夠進行自我復制的、具有對計算機資源的破壞作用的一組程序或指令的集合。

  計算機病毒特征:

     1. 計算機病毒的可執行性。

        計算機病毒與其他合法程序一樣,是一段可執行程序,但它不是一個完整的程序,而是寄生在其他可執行程序上的一段程序,因此享有一切程序所能得到的權力。通過在運行宿主程序前首先運行自己來搶奪系統的控制權。進一步的說,計算機CPU的控制權是關鍵問題。

     2. 計算機病毒的傳染性。

        計算機病毒一旦進入計算機並得以執行,就會搜尋符合其傳染條件的其他程序或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。

     3. 計算機病毒的非授權性。

        病毒隱藏在正常程序中,對於用戶來說是不可見、不可預知、非授權的,其在系統中的運行流程一般是:做初始化工作—>尋找傳染目標—>竊取系統控制權—>完成傳染、破壞行動。

     4. 計算機病毒的隱蔽性。

        病毒常附在正常程序中或是磁盤較隱蔽的地方,目的是不讓用戶發現它的存在。

        計算機病毒的隱蔽性表現在兩個方面:

          1. 傳染隱蔽性。大多的病毒的代碼都很精小,由於PC機對文件的存取速度使病毒瞬間將病毒附著在正常程序上。
          2. 病毒程序存在的隱蔽性。正常程序被病毒感染後,其原有功能基本上不受影響,病毒附於其上以存活並不斷地得到運行的機會去傳染更多的復制體。

     5. 計算機病毒的潛伏性。

        計算機病毒的內部往往有一種觸發機制,不滿足條件時,計算機病毒除了傳染外不做別的破壞,只有當觸發條件滿足時,才會激活病毒。

     6. 計算機病毒的可觸發性。

        病毒因某個事件或數值的出現,誘使病毒進行感染或攻擊。病毒的預定觸發條件有:時間、日期、文件類型或某些特定數據。病毒的觸發條件越多,則傳染性越強。

     7. 計算機病毒的破壞性。

        所有的計算機病毒都對計算機系統造成不同程度的影響,輕者降低計算機系統工作效率、占用系統資源,重者導致數據丟失、系統崩潰。

     8. 計算機病毒攻擊的主動性。

        病毒對系統的攻擊時主動的,是不以人的意誌為轉移的,計算機系統不可能徹底排除病毒對系統的攻擊。

     9. 計算機病毒的針對性。

        某一種病毒一般只能在某種特定的操作系統和硬件平臺上運行。

     10. 計算機病毒的衍生性。

        病毒的傳染、破壞部分反映了設計者的設計思想和設計目的,但是這可以被其他掌握原理的人以其個人的企圖進行任意改動,從而又衍生出了一種不同於原來版本的新病毒。

     11. 計算機病毒的寄生性(依附性)。

        病毒程序嵌入宿主程序中,依賴於宿主程序的執行而生存,病毒程序在侵入宿主程序中後,會對宿主程序做一定修改,宿主程序一旦執行,病毒程序被激活,從而可以進行自我復制和繁衍或破壞。

     12. 計算機病毒的不可預見性。

        對病毒的檢測方面來看,病毒具有不可預見性,不同種類的病毒,它們的代碼千差萬別,但有一些操作時共有的(駐內存、改中斷)。甚至一些正常程序也使用了類似病毒的操作、借鑒了某些病毒技術,因此軟件種類十分的豐富,這也導致了對病毒的檢測勢必會造成較多的誤報,也就是說,反病毒軟件預防措施和技術手段往往滯後於病毒的產生速度。

     13. 計算機病毒的誘惑欺騙性。

        以特殊的表現方式,引誘、欺騙用戶不自覺地觸發、激活病毒,從而實現其功能。

     14. 計算機病毒的持久性。

        在網絡操作下,病毒程序通過一個受感染的拷貝通過網絡傳播,使得病毒程序的清除非常復雜。

計算機病毒的本質:

      無論是DOS病毒還是病毒,其本質是一致的,都是人為制造的程序,其本質特點時程序的無限重復執行和復制,因為病毒最大的特點是其傳染性,而傳染性的原理時自身程序不斷復制到其他程序中或簡單地在某一系統中不斷地復制自己。計算機病毒通過利用計算機系統在使用過程中不斷使用的中斷或操作,修改中斷向量地址,使病毒指令程序插入中斷程序與正常程序中間。因此,感染計算機病毒後,計算機在每次運行正常程序前,均先運行一次病毒程序,將病毒循環往復地讀入內存或執行病毒指令,從而使病毒不斷被復制。

病毒分析基礎(一)