计算机病毒的原理和防范.pdfVIP

计算机病毒的原理和防范

病毒依附存储介质软盘、硬盘等构成传染源。病毒传染的媒介由工作的环境来定。

病毒激活是将病毒放在内存，并设置触发条件，触发的条件是多样化的，可以是时钟，

系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传

染对象中，进行各种破坏活动等。病毒的传染是病毒性能的一个重要标志。在传染环节中，

病毒复制一个自身副本到传染对象中去。

感染策略为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写操作。基

于这个原因计算机病毒工作原理，许多病毒都是将自己附着在合法的可执行文件上。如果

用户企图运行该可执行文件，那么病毒就有机会运行。病毒可以根据运行时所表现出来的

行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染，之后再将控制权交给

被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒

会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。

非常驻型病毒非常驻型病毒可以被想成具有有哪些信誉好的足球投注网站模块和复制模块的程序。有哪些信誉好的足球投注网站模块负责查

找可被感染的文件，一旦有哪些信誉好的足球投注网站到该文件，有哪些信誉好的足球投注网站模块就会启动复制模块进行感染。

常驻型病毒常驻型病毒包含复制模块，其角色类似于非常驻型病毒中的复制模块。复

制模块在常驻型病毒中不会被有哪些信誉好的足球投注网站模块调用。病毒在被运行时会将复制模块加载内存，并

确保当操作系统运行特定动作时，该复制模块会被调用。例如，复制模块会在操作系统运

行其它文件时被调用。在这个例子中，所有可以被运行的文件均会被感染。常驻型病毒有

时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如，

一个计算机病毒工作原理快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成

特别的问题。当运行全系统防护时，杀毒软件需要扫描所有可能会被感染的文件。如果杀

毒软件没有察觉到内存中有快速感染者，快速感染者可以借此搭便车，利用杀毒软件扫描

文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容

易被侦测到，这是因为其行为会使得系统性能降低，进而增加被杀毒软件侦测到的风险。

相反的，慢速感染者被设计成偶而才对目标进行感染，如此一来就可避免被侦测到的机会。

例如，有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图

避免被侦测到的作法似乎并不成功。

免杀技术以及新特征免杀是指：对病毒的处理，使之躲过杀毒软件查杀的一种技术。

通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说“病毒比杀毒软件

还新，所以杀毒软件根本无法识别它是病毒”，但由于传播后部分用户中毒向杀毒软件公

司举报的原因，就会引起安全公司的注意并将之特征码收录到自己的病毒库当中，病毒就

会被杀毒软件所识别。

病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻

易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。

美国的NortonAntivirus、McAfee、PC-cillin，俄罗斯的KasperskyAnti-Virus，

斯洛伐克的NOD32等产品在国际上口碑较好，但杀毒、查壳能力都有限，目前病毒库总数

量也都仅在数十万个左右。

自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新，得到最

新的免杀版本的病毒并继续在用户感染的计算机上运行，比如熊猫烧香病毒的作者就创建

了“病毒升级服务器”，在最勤时一天要对病毒升级8次，比有些杀毒软件病毒库的更新

速度还快，所以就造成了杀毒软件无法识别病毒。

除了自身免杀自我更新之外，很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙

产品反病毒软件的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的杀

毒软件和防火墙产品，如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程，可

以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗，自动修改系统时间导致一

些杀毒软件厂商的正版认证作废以致杀毒软件作废，从而病毒生存能力更加强大。

免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依赖

于特征码技术检测的杀毒软件带来很大困扰。近年来，国际反病毒行业普遍开展了各种前

瞻性技术研究，试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是

基于虚拟机技术的启发式扫描软件，代表厂商NOD32，Dr.Web，和基于行为分析技术的主

动防御软件，代表