为什么说免费且高质的服务是病毒扩散的基础呢
计算机 计算机病毒的定义 计算机病毒个程序,一段可码 ,对计算机的正常使用进行破坏,使脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。
轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。
通常就把这种具有破坏作用的程序称为计算机病毒。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。
当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。
若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
1.计算机病毒的特点 计算机病毒具有以下几个特点: (1) 寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
(2) 传染性 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。
(3) 潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。
比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。
(4) 隐蔽性 计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
2.计算机病毒的表现形式 计算机受到病毒感染后,会表现出不同的症状,下边把一些经常碰到的现象列出来,供用户参考。
(1) 机器不能正常启动 加电后机器根本不能启动,或者可以启动,但所需要的时间比原来的启动时间变长了。
有时会突然出现黑屏现象。
(2) 运行速度降低 如果发现在运行某个程序时,读取数据的时间比原来长,存文件或调文件的时间都增加了,那就可能是由于病毒造成的。
(3) 磁盘空间迅速变小 由于病毒程序要进驻内存,而且又能繁殖,因此使内存空间变小甚至变为“0”,用户什么信息也进不去。
(4) 文件内容和长度有所改变 一个文件存入磁盘后,本来它的长度和其内容都不会改变,可是由于病毒的干扰,文件长度可能改变,文件内容也可能出现乱码。
有时文件内容无法显示或显示后又消失了。
(5) 经常出现“死机”现象 正常的操作是不会造成死机现象的,即使是初学者,命令输入不对也不会死机。
如果机器经常死机,那可能是由于系统被病毒感染了。
(6) 外部设备工作异常 因为外部设备受系统的控制,如果机器中有病毒,外部设备在工作时可能会出现一些异常情况,出现一些用理论或经验说不清道不明的现象。
以上仅列出一些比较常见的病毒表现形式,肯定还会遇到一些其他的特殊现象,这就需要由用户自己判断了。
3.计算机病毒的预防 前面介绍了计算机病毒,现在讲一下怎样预防病毒的问题。
首先,在思想上重视,加强管理,止病毒的入侵。
凡是从外来的软盘往机器中拷信息,都应该先对软盘进行查毒,若有病毒必须清除,这样可以保证计算机不被新的病毒传染。
此外,由于病毒具有潜伏性,可能机器中还隐蔽着某些旧病毒,一旦时机成熟还将发作,所以,要经常对磁盘进行检查,若发现病毒就及时杀除。
思想重视是基础,采取有效的查毒与消毒方法是技术保证。
检查病毒与消除病毒目前通常有两种手段,一种是在计算机中加一块防病毒卡,另一种是使用防病毒软件工作原理基本一样,一般用防病毒软件的用户更多一些。
切记要注意一点,预防与消除病毒是一项长期的工作任务,不是一劳永逸的,应坚持不懈。
计算机病毒是在什么情况下出现的? 计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。
它产生的背景是: (1)计算机病毒是计算机犯罪的一种新的衍化形式 计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。
不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。
是某些人恶作剧和报复心态在计算机应用领域的表现。
(2)计算机软硬件产品的危弱性是根本的技术原因 计算机是电子产品。
数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式, 效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。
这些脆弱性就为病毒的侵入提供了方便。
(3)微机的普及应用是计算机病毒产生的必要环境 1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。
几年前计算机病毒就迅速蔓延, 到我国才是近年来的事。
而这几年正是我国微型计算机普及应用热潮。
微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。
目前, 在IBM PC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
计算机病毒是如何分类的? 计算机病毒可以从不同的角度分类。
若按其表现性质可分为良性的和恶性的。
良性的危害性小, 不破坏系统和数据, 但大量占用系统开销, 将使机器无法正常工作,陷于瘫痪。
如国内出现的圆点病毒就是良性的。
恶性病毒可能会毁坏数据文件, 也可能使计算机停止工作。
若按激活的时间可分为定时的和随机的。
定时病毒仅在某一特定时间才发作, 而随机病毒一般不是由时钟来激活的。
若按其入侵方式可分操作系统型病毒( 圆点病毒和大麻病毒是典型的操作系统病毒), 这种病毒具有很强的破坏力(用它自己的程序意图加入或取代部分操作系统进行工作), 可以导致整个系统的瘫痪;原码病毒, 在程序被编译之前插入到FORTRAN、C、或PASCAL等语言编制的源程序里, 完成这一工作的病毒程序一般是在语言处理程序或连接程序中;外壳病毒, 常附在主程序的首尾, 对源程序不作更改, 这种病毒较常见, 易于编写, 也易于发现, 一般测试可执行文件的大小即可知;入侵病毒, 侵入到主程序之中, 并替代主程序中部分不常用到的功能模块或堆栈区, 这种病毒一般是针对某些特定程序而编写的。
若按其是否有传染性又可分为不可传染性和可传染性病毒。
不可传染性病毒有可能比可传染性病毒更具有危险性和难以预防。
若按传染方式可分磁盘引导区传染的计算机病毒、操作系统传染的计算机病毒和一般应用程序传染的计算机病毒。
若按其病毒攻击的机种分类, 攻击微型计算机的, 攻击小型机的, 攻击工作站的, 其中以攻击微型计算机的病毒为多, 世界上出现的病毒几乎90%是攻击IBM PC机及其兼容机。
计算机病毒的定义 一 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
二 计算机病毒的特点计算机病毒是人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。
三 病毒存在的必然性计算机的信息需要存取、复制、传送,病毒作为信息的一种形式可以随之繁殖、感染、破坏,而当病毒取得控制权之后,他们会主动寻找感染目标,使自身广为流传。
四 计算机病毒的长期性病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。
病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
五 计算机病毒的产生病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。
病毒是人为的特制程序现在流行的病毒是由人为故意编写的,多数病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒. 六 计算机病毒分类根据多年对计算机病毒的研究,按照科学的、系统的、严密的方法,计算机病毒可分类如下:按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类: 其他计算机病毒介绍 按照计算机病毒存在的媒体进行分类根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
按照计算机病毒破坏的能力进行分类根据病毒破坏的能力可划分为以下几种:无害型除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型这类病毒在计算机系统操作中造成严重的错误。
非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。
由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。
一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。
例如:在早期的病毒中,有一个“Denzuk”病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
按照计算机病毒特有的算法进行分类根据病毒特有的算法,病毒可以划分为:伴随型病毒这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。
病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。
有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同可分为:练习型病毒病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。
利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒)这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。
它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
七、计算机病毒的发展在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。
操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。
它可划分为: DOS引导阶段 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。
当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播.1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。
DOS可执行阶段1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。
1990年,发展为复合型病毒,可感染COM和EXE文件。
伴随,批次型阶段1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM,这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。
在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。
批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。
幽灵,多形阶段1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。
幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。
例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。
多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
生成器,变体机阶段1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器” ,而变体机就是增加解码复杂程度的指令生成机制。
这一阶段的典型代表是“病毒制造机” VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。
网络,蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
视窗阶段1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
宏病毒阶段1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没有公开,这类病毒查解比较困难 互连网阶段1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒. 爪哇(Java),邮件炸弹阶段1997年,随着万维网(Wold Wide Web)上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒,还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。
八 他的破坏行为计算机病毒的破坏行为体现了病毒的杀伤能力。
病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。
数以万计不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,而且难以做全面的描述,根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下: 攻击系统数据区,攻击部位包括:硬盘主引寻扇区、Boot扇区、FAT表、文件目录等。
一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
攻击文件病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件等。
攻击内存内存是计算机的重要资源,也是病毒攻击的主要目标之一,病毒额外地占用和消耗系统的内存资源,可以导致一些较的大程序难以运行。
病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存等。
干扰系统运行病毒会干扰系统的正常运行,以此做为自己的破坏行为,此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、使文件打不开、使内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串行口、并行口等。
速度下降病毒激活时,其内部的时间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
攻击磁盘攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。
扰乱屏幕显示病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。
键盘病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。
喇叭许多病毒运行时,会使计算机的喇叭发出响声。
有的病毒作者通过喇叭发出种种声音,有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富,已发现的喇叭发声有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。
攻击CMOS 在机器的CMOS区中,保存着系统的重要数据,例如系统时钟、磁盘类型、内存容量等,并具有校验和。
有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
干扰打印机典型现象为:假报警、间断性打印、更换字符等。
九、计算机病毒的危害性计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。
1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络,致使这个拥有数万台计算机的网络被堵塞。
这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。
1988年下半年,我国在统计局系统首次发现了“小球”病毒,它对统计系统影响极大,此后由计算机病毒发作而引起的“病毒事件”接连不断,前一段时间发现的CIH、美丽杀等病毒更是给社会造成了很大损失。
3.计算机病毒是一个程序,一段可执行码。
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。
当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。
若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。
一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。
另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。
还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。
当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。
这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。
它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
计算机病毒寄生方式有哪几种? (1)寄生在磁盘引导扇区中:任何操作系统都有个自举过程, 例如DOS在启动时, 首先由系统读入引导扇区记录并执行它, 将DOS读入内存。
病毒程序就是利用了这一点, 自身占据了引导扇区而将原来的引导扇区内容及其病毒的其他部分放到磁盘的其他空间, 并给这些扇区标志为坏簇。
这样, 系统的一次初始化, 病毒就被激活了。
它首先将自身拷贝到内存的高端并占据该范围, 然后置触发条件如INT 13H中断(磁盘读写中断)向量的修改, 置内部时钟的某一值为条件等, 最后引入正常的操作系统。
以后一旦触发条件成熟, 如一个磁盘读或写的请求, 病毒就被触发。
如果磁盘没有被感染(通过识别标志)则进行传染。
(2)寄生在可执行程序中:这种病毒寄生在正常的可执行程序中, 一旦程序执行病毒就被激活, 于是病毒程序首先被执行, 它将自身常驻内存, 然后置触发条件, 也可能立即进行传染, 但一般不作表现。
做完这些工作后, 开始执行正常的程序, 病毒程序也可能在执行正常程序之后再置触发条件等工作。
病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的长度和一些控制信息, 以保证病毒成为源程序的一部分, 并在执行时首先执行它。
这种病毒传染性比较强。
(3)寄生在硬盘的主引导扇区中:例如大麻病毒感染硬盘的主引导扇区, 该扇区与DOS无关。
计算机病毒的工作过程应包括哪些环节? 计算机病毒的完整工作过程应包括以下几个环节: (1)传染源:病毒总是依附于某些存储介质, 例如软盘、 硬盘等构成传染源。
(2)传染媒介:病毒传染的媒介由工作的环境来定, 可能是计算机网, 也可能是可移动的存储介质, 例如软磁盘等。
(3)病毒激活:是指将病毒装入内存, 并设置触发条件, 一旦触发条件成熟, 病毒就开始作用--自我复制到传染对象中, 进行各种破坏活动等。
(4)病毒触发:计算机病毒一旦被激活, 立刻就发生作用, 触发的条件是多样化的, 可以是内部时钟, 系统的日期, 用户标识符,也可能是系统一次通信等等。
(5)病毒表现:表现是病毒的主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。
可以这样说, 凡是软件技术能够触发到的地方, 都在其表现范围内。
(6)传染:病毒的传染是病毒性能的一个重要标志。
在传染环节中, 病毒复制一个自身副本到传染对象中去。
不同种类的计算机病毒的传染方法有何不同? 从病毒的传染方式上来讲, 所有病毒到目前为止可以归结于三类:感染用户程序的计算机病毒;感染操作系统文件的计算机病毒;感染磁盘引导扇区的计算机病毒。
这三类病毒的传染方式均不相同。
感染用户应用程序的计算机病毒的传染方式是病毒以链接的方式对应用程序进行传染。
这种病毒在一个受传染的应用程序执行时获得控制权, 同时扫描计算机系统在硬盘或软盘上的另外的应用程序, 若发现这些程序时, 就链接在应用程序中, 完成传染, 返回正常的应用程序并继续执行。
感染操作系统文件的计算机病毒的传染方式是通过与操作系统中所有的模块或程序链接来进行传染。
由于操作系统的某些程序是在系统启动过程中调入内存的, 所以传染操作系统的病毒是通过链接某个操作系统中的程序或模块并随着它们的运行进入内存的。
病毒进入内存后就判断是否满足条件时则进行传?\\\/ca>
如何让应用像病毒一样扩散:五大法则
“病毒性”app是指那些用户非常渴望通过互联网、社交网络、邮件、聊天以及口口相传分享给其他人的应用。
对开发者来说,这种情况是最理想的,因为口口相传远比付费广告有效果。
杂乱的广告无处不在,让用户惟恐避之不及。
很少有用户相信广告,并且广告花去了开发者相当大的一部分预算。
但是在人类的发展过程无不充满中分享的行为,我们很自然地建立起病毒分享。
但是,为了让你的app比坊间名人八卦传播的还快,为app挂上Twitter和Facebook的按钮远远不够,它需要在app中实施大量的社交互动活动。
什么是病毒
病毒式传播指的是与用户进行互动,并诱惑他们参与到活动中来。
病毒式传播并不是一项一旦app上线后就可以执行的策略,它需要通判透彻考虑,并且需要在一开始就建立在应用中。
为了获得病毒式传播的成功,你的app必须经过以下四项测试:App必须包含有价值的值得分享的内容。
App必须易于用户进行分享,易于用户朋友们的加入。
App必须对用户的分享进行奖励,并提供好处以激励用户回来。
越多人使用app,就必须为他们创建更有价值的内容。
首先,你的app需要有一些有价值的东西,可以是一张照片、一个回合制游戏、一篇文章、一个播放列表或者五英里的跑步。
它是让用户引以为傲或者高兴的事情,并且是可以共享的。
当用户对此进行分享时,他们会有温暖和信心满满的感觉,从而让他们反复再三进入app。
用户进入的次数越多,他们从中获得的赞美和快乐就越多。
并且,随着用户的成长,app多包含的价值也会逐渐增长。
为了弄清楚你的app是否有值得分享的内容,你需要问自己以下几个问题:我的app是否提供了一些有价值的内容能促使他们进行分享
这些内容值得分享吗
用户分享后如何对他们进行奖励
为什么用户想要分享
为什么他们会希望自己的朋友分享
我的app该如何激励用户才能让他们长期进行分享
老式的病毒传播模式典型的病毒式传播始于用户创建了一些内容并分享,用户主要的朋友发现后下载该款app,这样他们就可以参与到其中。
通过这种方法,最显而易见的方式是在应用中添加按钮,从而为用户提供社交互动的途径,这样用户就可以通过 Twitter、Facebook、邮件以及SMS等多种方法来分享他们创建的内容或者行为。
比如,Faces app可以让用户为朋友设计傻乎乎的形象,并可以通过Facebook、Twitter以及email进行分享。
Faces app的社交互动有着一个典型的病毒流,因为它仅允许用户分享图片。
不幸的是,这种方法错失了很多机会,因为仅有部分用户会分享内容,并且这些用户的朋友中仅有很小比例会看到他们分享的内容,更不必说点击链接和下载app。
为了或者真正的病毒性传播效果,你需要鼓励你的用户。
每次他们都是基于此前的经验来使用你的app,所以他们从中获得了很多有价值的东西。
随着用户成长,app为用户提供的价值也需要不断增长。
比如Facebook、Twitter以及Pinterest。
当人们第一次使用这些app时,或许不会从中获得真正的价值,但是随着他们在其中花费的时间越多,他们越会发现价值所在。
病毒性传播策略的五个法则在遇见viral coefficient之前,你不需要深度挖掘病毒性传播法则。
在Lean Startup中,Eric Ries把病毒性传播定义“how many new customers will use the product as a consequence of each new customer who signs up.”他声称viral coefficient大于1会导致指数式增长,在viral coefficient小于1时,几乎没有任何增长。
我们对此不作细节分析,但是我们可以了解下这个公式:viral coefficient = (average number of users invited by each active user who invites someone) × (proportion of invited users who actually join or become active) × (proportion of active users who invite others)这个公式中缺失的元素是时间--从用户尝试这款app到与朋友分享这段时间。
关键是要让你的用户尽可能在最短时间内邀请他的朋友。
你该怎么做呢
一个快速但恶劣的方法是进入用户的通讯薄,并给他们的朋友发送垃圾信息或者垃圾邮件。
但你这是在滥用用户而不是照顾他们,最终的效果只能适得其反。
相反,试试以下列出的五项法则。
(以下示例大部分是iOS app,不过这些法则适用于所有平台)法则1: 提高应用的易用性最好的应用使用起来是毫不费力的,以致于设计会渐退于幕后,让手头上的任务非常易于处理。
能让用户完全专注于做喜欢的事情,并且不会为令人迷惑的,繁重的步骤分心。
用户会失去时间感,并且会完全沉浸其中。
这也是为什么你难以停下Minecraft这款游戏,也是为什么你的朋友会在Pinterest上流连3个小时的原因。
为了在应用中创建“flow”,你应该移除所有障碍物和疑问,这样用户可能会使用你的app,并与朋友分享。
接着我们用示例来说明你的app应该怎么做。
提供一次点击即可登录Faceboo或者Twitter,而不是使用专有的用户名和密码。
这么做不仅仅可以让用户快速登录,更可以让你挖掘用户数据以扩张关系网。
500px、Rockmelt以及Snapguide支持通过Facebook或Twitter一键登录在进行身份验证时展示朋友的个人图片,以增加你和朋友们的“观众”。
Foursquare和Vine在进行认证的时候会展示用户朋友的个人图片在应用的第一屏清晰地向用户展示如何扩大他们的社交网络,并开启分享之旅。
Foursquare、Hipvite以及Toast在第一屏提供了一个清晰的路径,方便用户使用社交分享功能优化组织屏幕上的内容,并在视图中直接展示需要进行的操作,让用户知道他们可以做什么。
比如下边SoundCloud 和Wrappit。
让用户一次点击就能把内容分享至多个社交平台。
让分享成为创作过程的一部分,并且让用户一次就能把内容发至多个网站。
Android框架好于iOS的一个地方是它允许app可以和几乎任何其他应用共享内容。
(只要其他应用能收到““share”的消息)Krop Circle允许用户一次性地把内容发至Instagram、Twitter以及Facebook。
Glmps允许用户一次点击即可把内容分享至多个网站。
法则2: 时常奖励如果你想激励某个行为,那就奖励用户,这是最基本的心理学策略。
这个策略从我们初学走路时就已经尝到了它的甜头,它也将激励你的用户与朋友进行分享。
每次用户使用app为你带来朋友,你都要对用户进行奖励。
当某人送出了一份礼物,接受者自然也有回报的冲动。
邀请朋友和与其他人联系应该成为用户日常使用的一部分。
Swombat的联合创始人Daniel Tenner认为每个活跃用户邀请的用户数量将决定你的成功。
因此,邀请朋友应该是app的核心流程,而不是事后的想法。
在app中尝试不同的方法来激励用户邀请他们的朋友。
POP原型app会对用户的登录和朋友间的分享进行奖励同样奖励用户的朋友。
我们对用户的推荐邀请行为进行奖励,但有时候这也会让用户觉得愧疚,因为他们从邀请朋友上获得了收益。
围绕该问题最好的方式是同样对用户的朋友进行奖励,这样用户会觉得他们好像是帮了朋友一个忙。
这样,每个人都得到了奖励。
奖励可以包括:附件存储、免费主题、免费升级、折扣以及样品等等。
在用户邀请朋友的过程中创建一种紧迫感,提供限时促销。
这几乎不会有什么成本,并且可能仅仅是推动你的用户说服他的朋友们下载这款应用。
秘密奖励用户并让用户感到惊喜。
当你在Twitter上“follow”Clear的开发者,或者你在2:00 am完成了某项任务,你安装的Clear会解锁一些隐藏的主题。
每次这种新发现点都会在Twitter上引发狂潮,给应用做了各种各样精彩的免费广告,这也就完成了应用的病毒性扩散。
真金白银奖励用户。
比如应用Shopkick, GymPact以及Viggle等会对使用它们的用户实行现金或者礼物奖励。
Shopkick是一款基于位置的购物应用,用户在app中签到或者走进某个参与活动的店铺就能获得奖励或者积分,如果用户浏览商店内的项目或者进行购买就能获得更多的积分。
作为奖励,用户可以使用积分来解锁礼品卡或者商品。
GymPact可以“引诱”一些不经常做运动的用户走进健身房,完成任务并获得奖励。
用户最初需要与朋友们达成协议,承诺某段时间在健身房进行锻炼,他们可以为彼此的承诺下注,如果某人没有践行自己的承诺去健身房,就会被罚款。
GymPact本质上是通过收取没有践行承诺的人的罚款来奖励积极锻炼的人。
Viggle是一款美国电视社交iOS应用。
只要用户通过Viggle的免费iOS应用观看喜爱的电视节目,他们就能得到礼品卡、电影票和其他赠品。
用户回答细节问题则可以获得更多积分点。
累计积分越多,奖品也越丰厚。
法则3: 给用户更多控制权病毒性传播和用户隐私是对立的两极。
虽然app可以提供分享的内容,但要让用户对“分享什么”有充分的控制权。
如果用户不信任你的app,或者忽然在社交网络上看到了他们不想分享的内容,那么他们将会停止使用你的app,更坏的情况,他们会在iTunes上给出差评。
让app分享的内容透明化。
比如在用户登录应用之前,app Teemo会告诉用户哪些内容将会被分享。
Sonar (iTunes link) 会告知用户除非用户清晰地“告知”app,否则应用不会公布用户的账号信息。
始终允许用户控制哪些内容可以分享。
这一点可以简单地在设置菜单中实现,为用户提供控制共享选项的开关,比如Pinterest。
法则4: 让用户持续不断地返回应用用户下载应用只是一个起点,你得通过让用户不断返回来获得更多,用户下载app不应该是终点线。
给用户发送有用的通知激励他们重返应用。
不要坐等用户打开使用你的app。
坚持不懈地给用户发送有用的信息和使用技巧以鼓励他们使用你的app。
这些通知应该和应用的核心功能有关。
同样,你也可以给用户发送一些友好的提醒和奖励来邀请更多朋友加入,但不要发送无用或者恼人的通知,那是垃圾西信息。
让用户控制他们接收到的通知,以及选择什么样的接收方式。
比如像We Heart Pics这样。
创建用户可以参与的比赛。
比如飞爆钻石(Diamond Dash),该游戏引入了非常受用户欢迎的每周赛事。
如果用户打破了此前朋友们创造的记录,那新成绩将会被发布至获胜者的Facebook时间轴上。
当用户游戏级别达到了新水平,获得了勋章或者解锁了新功能,飞爆钻石会把信息发布在用户的Facebook上。
这种做法创建了一个动态的友好的比赛,持续不断地让用户重返游戏。
允许用户组团并邀请其他人参加,比如一个减肥或者锻炼相关的app。
使用特殊内容和活动来推销用户。
把那些关系网强大的高级用户作为目标,这些高级用户一般是某个领域的专家,可以创建最优质的内容。
针对这些高级用户,可以赠送他们一些免费赠品或者让他们做管理员,这样他们可以建立专业的小组。
将高级用户作为示例,建议其他用户“follow”他们。
让用户之间相互促进推销,这可以帮你发现一些潮人。
这些人可能没有很多跟随者,但他们正以一种比较新颖的,令人兴奋的方式使用着你的app。
法则5: app对单个用户也应该有用你的app应该能让用户受益,即便没有社交方面的因素。
这不是必要条件,但却可以提高应用的病毒性传播机会。
它给了用户初次接触应用的机会。
大多数人不会邀请朋友加入app,除非他们认为这是一款很好的app。
为了弄清楚应用是不是一款优秀的应用,他们不得不首先做几次测试。
不邀请朋友的情况下,应用必须对用户的“立刻去做”有一定意义,当你的用户基数不断增长,app主要功能的价值也会随之不断增加。
总结App的病毒性传播并不是事后的想法,它应该是围绕着app的核心功能和特性进行设计的。
你可以通过以下几点提高app的病毒性传播机会:提供有意义的分享透明化app分享的内容以及将要分享的对象。
联系朋友和邀请新用户应该是app的核心。
对用户和用户邀请过来的朋友给予奖励。
通过有用的通知、竞赛以及奖励来激励用户返回应用。
即便是对唯一的用户,这也是病毒性循环的开始。
没有放之四海而皆准的策略,一些app并不能从病毒性传播中获益。
本文来源:网易手机
命运对我不公,我立誓有招一日我会和我的组织创造出丧尸病毒,让丧尸僵尸病毒快速扩散,让病毒快速扩散,
以后都是机器人了,病毒有什么用
多国现勒索病毒迅速扩散 勒索病毒通过什么途
现在已经有其他办法可以解决这个勒索病毒了尤其是对于新的Petya勒索病毒,旧方法不好使了需要安扎un个电脑管家,及时修复电脑漏洞补丁并且保持电脑管家持续开启,才可以更好的保护电脑安全
关于病毒
根据众多高手的见解,总结如下: 计算机病毒类似于生物病毒,它能把自身依附着在文件上或寄生在存储媒体里,能对计算机系统进行各种破坏;同时有独特的复制能力,能够自我复制;具有传染性可以很快地传播蔓延,当文件被复制或在网络中从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来,但又常常难以根除。
与生物病毒不同的是几乎所有的计算机病毒都是人为地制造出来的,是一段可执行代码,一个程序。
一般定义为:计算机病毒是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合需要掌握c语言、卷标语法、即计算机能读懂的命令,和编程规则。
1.Elk Cloner(1982年) 它被看作攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。
它通过苹果Apple II软盘进行传播。
这个病毒被放在一个游戏磁盘上,可以被使用49次。
在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。
2.Brain(1986年) Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而导致它不能再被使用。
3.Morris(1988年) Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量网络的大小。
但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。
4.CIH(1998年) CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。
它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。
此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。
5.Melissa(1999年) Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。
6.Love bug(2000年) Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。
这个病毒以其传播速度和范围让安全专家吃惊。
在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。
7.“红色代码”(2001年) 被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。
该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。
这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。
8.“Nimda”(2001年) 尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。
9.“冲击波”(2003年) 冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。
10.“震荡波”(2004年) 震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重启。
11.“熊猫烧香”(2007年) 熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。
12.“扫荡波”(2008年) 同冲击波和震荡波一样,也是个利用漏洞从网络入侵的程序。
而且正好在黑屏事件,大批用户关闭自动更新以后,这更加剧了这个病毒的蔓延。
这个病毒可以导致被攻击者的机器被完全控制。
13.“Conficker”(2008年) Conficker.C病毒原来要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。
不过,这种病毒实际上没有造成什么破坏。
14.“木马下载器”(2009年) 本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首) 15.“鬼影病毒”(2010年) 该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。
犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。
16 .“极虎病毒”(2010年) 该病毒类似qvod播放器的图标。
感染极虎之后可能会遭遇的情况:计算机进程中莫名其妙的有ping.exe 瑞星和rar.exe进程,并且cpu占用很高,风扇转的很响很频繁(手提电脑),并且这两个进程无法结束。
某些文件会出现usp10.dll、lpk.dll文件,杀毒软件和安全类软件会被自动关闭,如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。
破坏杀毒软件,系统文件,感染系统文件,让杀毒软件无从下手。
极虎病毒最大的危害是造成系统文件被篡改,无法使用杀毒软件进行清理,一旦清理,系统将无法打开和正常运行,同时基于计算机和网络的帐户信息可能会被盗,如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等Backdoor,危害级别:1, 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。
“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm,危害级别:2, 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。
这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail,危害级别:1说明:通过邮件传播 IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己 MSN,危害级别:3,说明:通过MSN传播 QQ,危害级别:4,说明:通过OICQ传播 ICQ危害级别:5,说明:通过ICQ传播 P2P,危害级别:6,说明:通过P2P软件传播 IRC,危害级别:7,说明:通过ICR传播 其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。
这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy,危害级别:1,说明:窃取用户信息(如文件等) PSW,危害级别:2,说明:具有窃取密码的行为 DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG,危害级别:5,说明:通过MSN传播即时消息 QQMSG,危害级别:6,说明:通过OICQ传播即时消息 ICQMSG,危害级别:7,说明:通过ICQ传播即时消息 UCMSG,危害级别:8,说明:通过UC传播即时消息 Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器 Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 AOL、Notifier ,按照原来病毒名命名保留。
Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
逻辑条件引发的事件: 事件1:.释放的文件不是病毒。
操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper黑客工具事件2:释放的文件是病毒。
操作准则: 释放的文件是病毒,确定该文件为:Droper Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit,漏洞探测攻击工具 DDoser,拒绝服务攻击工具 Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 Spam,垃圾邮件 Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具 Binder,危害级别:无 ,说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。
目前的宿主文件有以下几种。
JS 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本 BAT 说明:BAT脚本文件 IRC 说明:IRC脚本途径 计算机病毒之所以称之为病毒是因为其具有传染性的本质。
传统渠道通常有以下几种: (1)通过软盘 通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。
由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。
大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘硬盘通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。
(3)通过光盘 因为光盘容量大,存储了海量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。
以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。
当前,盗版光盘的泛滥给病毒的传播带来了很大的便利。
(4)通过网络 这种传染扩散极快, 能在很短时间内传遍网络上的机器。
随着Internet的风靡,给病毒的传播又增加了新的途径,它的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。
Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是被下载的文件可能存在病毒。
另一种威胁来自电子邮件。
大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。
网络使用的简易性和开放性使得这种威胁越来越严重。
传染 计算机病毒的传染分两种。
一种是在一定条件下方可进行传染, 即条件传染。
另一种是对一种传染对象的反复传染即无条件传染。
从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。
这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染, 如果是一个新的系统或软件, 首先读特定位置的值, 并进行判断, 如果发现读出的值与自己标识不一致, 则对这一系统或应用程序, 或数据盘进行传染, 这是一种情况;另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等;还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。
例如大麻病毒可以感染硬盘, 又可以感染软盘, 但对B驱动器的软盘进行读写操作时不传染。
但我们也发现有的病毒对传染对象反复传染。
例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。
可见有条件时病毒能传染, 无条件时病毒也可以进行传染。
过程 在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。
该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。
而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。
可执行文件感染病毒后又怎样感染新的可执行文件? 可执行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它驻入内存的条件是在执行被传染的文件时进入内存的。
一旦进入内存, 便开始监视系统的运行。
当它发现被传染的目标时, 进行如下操作: (1)首先对运行的可执行文件特定地址的标识位信息进行判断是否已感染了病毒; (2)当条件满足, 利用INT 13H将病毒链接到可执行文件的首部或尾部或中间, 并存大磁盘中; (3)完成传染后, 继续监视系统的运行, 试图寻找新的攻击目标。
操作系统型病毒是怎样进行传染的? 正常的PC DOS启动过程是: (1)加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测; (2)检测正常后从系统盘0面0道1扇区即逻辑0扇区读入Boot引导程序到内存的0000: 7C00处; (3)转入Boot执行; (4)Boot判断是否为系统盘, 如果不是系统盘则提示; non-system disk or disk error Replace and strike any key when ready 否则, 读入IBM BIO-COM和IBM DOS-COM两个隐含文件; (5)执行IBM BIOCOM和IBM DOS-COM两个隐含文件, 将COMMAND-COM装入内存; (6)系统正常运行, DOS启动成功。
如果系统盘已感染了病毒, PC DOS的启动将是另一番景象, 其过程为: (1)将Boot区中病毒代码首先读入内存的0000: 7C00处; (2)病毒将自身全部代码读入内存的某一安全地区、常驻内存, 监视系统的运行; (3)修改INT 13H中断服务处理程序的入口地址, 使之指向病毒控制模块并执行之。
因为任何一种病毒要感染软盘或者硬盘, 都离不开对磁盘的读写操作, 修改INT 13H中断服务程序的入口地址是一项少不了的操作; (4)病毒程序全部被读入内存后才读入正常的Boot内容到内存的0000: 7C00处, 进行正常的启动过程; (5)病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象, 病毒要进行下列的工作: (1)将目标盘的引导扇区读入内存, 对该盘进行判别是否传染了病毒; (2)当满足传染条件时, 则将病毒的全部或者一部分写入Boot区, 把正常的磁盘的引导区程序写入磁盘特写位置; (3)返回正常的INT 13H中断服务处理程序, 完成了对目标盘的传染。
操作系统型病毒在什么情况下对软、硬盘进行感染? 操作系统型病毒只有在系统引导时进入内存。
如果一个软盘染有病毒, 但并不从它上面引导系统,则病毒不会进入内存, 也就不能活动。
例如圆点病毒感染软盘、硬盘的引导区, 只要用带病毒的盘启动系统后, 病毒便驻留内存, 对哪个盘进行操作, 就对哪个盘进行感染。
操作系统型病毒对非系统盘感染病毒后最简单的处理方法是什么? 因为操作系统型病毒只有在系统引导时才进入内存, 开始活动, 对非系统盘感染病毒后, 不从它上面引导系统, 则病毒不会进入内存。
这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来, 然后将带毒盘重新格式化即可。
如果您还不懂,可以上百科查查
和病毒有关的几个问题
很那说哪个选项是准确的。
首先,病毒传染并不一定需要运行,譬如我有个感染病毒的word文档,我不知道它有病毒,把他拷给你,这就不能算是运行程序。
第二,B选项是不对的,病毒传染不一定要对磁盘进行读写操作(尽管多数病毒如此)。
典型的例子如著名的红色代码病毒(code red),该病毒感染后仅存于内存中,并不对磁盘进行任何读写操作。
第三,C选项是不对的,病毒传染并不一定需要运行可执行程序,典型的例子是Word病毒,可以通过文件的拷贝等途径传染。
第四,D选项也是不准确的。
病毒的传染并非一定要经过文件的复制。
举个例子,你u盘里有病毒,点击的时候运行了存在与U盘中的病毒,这个时侯,病毒要感染你的主机并不一定需要复制文件,它可以将一部分代码增加到某些文件中来实现传染,这种做法并不能视为复制文件。
当然你硬要说是复制了文件似乎也没什么好争的。
