Hacker（25）----病毒攻防之认识病毒

　　Internet中，计算机病毒是威胁计算机安全的程序。对于计算机病毒，用户不仅需要掌握其基础知识，还要认识常见的病毒及简单病毒制作方法。无论病毒基础还是制作简单病毒，用户需要掌握防御病毒的有效措施和专业软件。

　　计算机病毒不是由于突发或偶然因素产生的，是人为编写的程序。计算机病毒会破坏计算机功能或数据、影响计算机使用，且能够自我复制。若要全面认识病毒，则需要了解病毒的分类、特征、传播途径及计算机中毒后的常见症状。

一、病毒分类

　　Internet中存在数不清的计算机病毒，且它们的分类没有固定的标准，同一种病毒按照不同分类标准可能属于不同类型。常见划分标准：按操作系统分类、按传播媒介分类、按链接形式分类或按病毒破坏情况分类。

1、按操作系统分类　　

　　可分为：Windows系统病毒、Unix/Linux病毒两种。

　　1）Windows系统病毒：该类病毒也称Windows病毒。由于Windows系统广泛使用，该系统成了计算机病毒攻击的主要对象。Windows病毒除了感染文件的病毒外，还有各种宏病毒，包括感染Office文件的病毒。其中Concept病毒是一款比较著名的Word宏病毒。

　　2）Unix/Linux病毒：Unix和Linux曾经是免遭病毒侵袭的操做系统，随着计算机病毒的发展，病毒目标开始瞄准Unix和Linux。Bliss病毒是一款比较著名的攻击Linux系统的病毒，接着又出现了能跨平台的Win32.Winux病毒。它能够同时感染Windows系统中的PE文件和Linux系统中的ELF文件。

Tips：攻击其他系统的病毒

　　除以上两种常见的病毒外，还有攻击其他操做系统的病毒。如攻击Mac OS系统的MacMag病毒，攻击智能手机操作系统的VBS.Timofonica病毒等。

2、按传播媒介分类

　　可分为单机病毒和网络病毒两种。

　　1）单机病毒：这类病毒载体是磁盘，会通过磁盘感染操作系统，然后再感染其他磁盘、可移动设备等，进而感染其他的计算机。早期的计算机病毒都属于此类。

　　2）网络病毒：传播媒介是Internet。随着Internet用户增加，网络病毒的传播速度更快，范围更广，造成的危害更大。网络病毒往往会造成网络堵塞、修改网页，甚至与其他病毒结合修改或破坏文件。如GPI病毒是世界上第一个专门攻击计算机网络的病毒，而CIH、Sircam、Code RedXode Red H Xode Blue、Nimda.a等病毒在Internet中肆虐程度越来越严重，已成为病毒中危害程度最大的种类。

3、按链接形式分类

　　计算机病毒必须进入系统后才能进行感染和破坏操作，因而计算机病毒必须与操作系统内可能被执行的文件建立链接。这些被链接的文件既可能是系统文件，又可能是应用程序，还可能是应用程序所用到的数据文件（如Word文档）。根据计算机病毒对这些文件的链接形式不同，可分为执行文件感染病毒和操做系统型病毒两种。

　　1）可执行文件感染病毒：这类病毒感染可执行程序，将病毒代码和可执行程序联系起来，当可执行程序被执行时，病毒会随之启动。

　　2）操作系统型病毒：这类病毒程序用自己的逻辑部分取代一部分操作系统中的合法程序模块，从而寄生在系统分区中。启动计算机时，病毒程序被优先运行，然后再运行启动程序，这类病毒有很强的破坏力，可使系统无法启动，甚至瘫痪。

Tips：源码型病毒

　　源码型病毒在高级语言所编写的程序被编译之前插入源程序之中，经过编译后成为合法程序的一部分。这类病毒一般寄生在编译处理程序链接序中。目前这种病毒并不多见。

4、按病毒破坏情况分类

　　　　按病毒破坏情况可将计算机病毒分为良性病毒和恶性病毒。

　　1）良性病毒：指那些指表现自己，而不破坏操做系统的病毒。这类病毒多出自一些恶作剧作者之手，他们编制这类病毒的目的不是为了破坏计算机系统，而是为了显示自己在编程方面的技巧和才华。虽然这类病毒没有破坏性，但它们会影响操作系统的正常运行，占用计算机资源。

　　2）恶性病毒：相比良性病毒，恶性病毒后果更严重。这类病毒具有破坏系统信息资源的功能。有些恶性病毒能够删除操作系统中存储的数据和文件；有些恶性病毒随意对磁盘进行写入操作，从表面上看不出病毒破坏的痕迹，但文件和数据内容已被改变；还有一些恶性病毒格式化整个磁盘或特定扇区，使磁盘中的数据全部消失。

二、病毒特征

　　虽然Internet中存在很多病毒，且分类不统一，但特征可以大致概括为：破坏性、传染性、隐蔽性、潜伏性和不可预见性。

1、破坏性

　　计算机遭受病毒入侵后，可能会导致正常程序无法运行，病毒按照内置指令对计算机内文件进行删除、修改等操作，甚至可能会格式化磁盘分区。

2、传染性

　　病毒不但具有破坏性，还具有传染性。传染性是计算机病毒的基本特征，一旦病毒被复制或产生变种，其传播速度快的令人难以预防。

3、隐蔽性

　　病毒成功入侵系统后，目标计算机仍然可以正常运行，被感染的程序也能正常运行，用户不会感到明显异常。因为病毒在入侵系统后会自动隐藏在系统中，直到满足提前设置的触发条件，该病毒才会根据指令来破坏操作系统或文件。

4、潜伏性

　　潜伏性主要表现在两个方面：

　　第一，指用户若不使用专业的检测程序（通常指杀毒软件）无法检测出系统中潜在的计算机病毒，因而病毒可以在系统中静静呆上几天、几个月，甚至几年，一旦时机成熟，就会继续繁殖和传播；

　　第二，指计算机病毒内部被预设了一种触发机制，不满足触发条件时，计算机病毒除了传染外将不会进行任何的破坏，一旦出发条件满足，它将会对系统造成极大破坏。

5、不可预见性

　　随着科学技术发展，病毒的制作技术也在不断地提高，计算机病毒永远走在杀毒软件的前面。新操做系统和应用软件的出现，为计算机病毒提供新的空间，这也使得对未来病毒预测更加困难，因此用户需要不断提高对计算机病毒得认识，同时增强防范病毒意识。

Tips：夺取系统控制权

　　计算机病毒成功入侵目标计算机后，通常会夺取该操作系统得控制权，从而达到感染和破坏系统得目的。反病毒技术正是抓住了这一特点，抢在病毒之前掌握系统控制权，从而阻止计算机病毒夺取。