计算机病毒特征与分类：了解计算机网络与信息安全

（一）计算机病毒的特征

计算机病毒是一种特殊程序，这类程序的主要包括以下几个特征。

1.非法性

在正常情况下，当计算机用户调用执行一个合法程序时，会把系统控制权交给这个程序，并给其分配相应的系统资源，如内存。从而使之能够运行以达到用户的目的，程序执行的过程对用户是可知的，因此，这种程序是“合法”的。

而计算机病毒是非法程序，计算机用户不会明知是病毒程序而故意去执行它。但由于计算机病毒具有正常程序的一切特性，它会将自己隐藏在合法的程序或数据中，当用户运行正常合法程序或调用正常数据时，病毒伺机窃取到系统的控制权，得以抢先运行，然而此时用户还认为在执行正常程序。由此可见，病毒的行为都是在未获得计算机用户的允许下“悄悄”进行的，而病毒所进行的操作，绝大多数都是违背用户意愿和利益的。从这种意义上来讲，计算机病毒具有“非法性”。

例如木马病毒，有些木马病毒会将自己加载到启动项中，用户每一次启动计算机或运行某些常用程序时都会“顺便”激活病毒，一般的计算机使用者很难察觉。

2.可执行性

计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。在病毒运行时，与合法程序争夺系统的控制权。

计算机病毒只有当它在计算机内得以运行时，才具有传染性和破坏性等活性，也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行，而不运行带病毒的程序，则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字，查看计算机病毒的代码，打印病毒的代码，甚至复制病毒程序，却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作，他们的计算机虽也存有各种计算机病毒的代码，但已置这些病毒于控制之下，计算机不会运行病毒程序，整个系统是安全的。相反，计算机病毒一经在计算机上运行，就会造成在同一台计算机内病毒程序与正常系统程序，或某种病毒与其他病毒程序争夺系统控制权从而导致系统崩溃，最终使得计算机系统瘫痪。

3.传染性

计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒代码一旦进入计算机并执行，它就会搜寻其他符合传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。

计算机病毒可以通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时，病毒窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。

4.隐藏性

隐藏性是计算机病毒最基本的特征，计算机病毒是“非法的”程序，不可能正大光明地运行。换句话说，如果计算机病毒不具备隐藏性，也就失去了“生命力”，从而也就不能达到其传播和破坏的目的。另一方面，经过伪装的病毒还可能被用户当作正常的程序运行，这也是触发病毒的一种手段。

从病毒程序本身来讲，计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。一般只有几百字节或几千字节，而PC对DOS文件的存取速度可达每秒几百千字节以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使之很难被察觉，从而更好地隐藏自己。

从病毒隐藏的位置来看，有些病毒将自己隐藏在磁盘上被标为坏簇的扇区中，以及一些空闲概率较大的扇区中；也有个别的病毒以隐含文件的形式存在；还有一种比较常见的隐藏方式是将病毒文件放在Windows系统目录下，并将文件命名为类似Windows系统文件的名称，使对计算机操作系统不熟悉的人不敢轻易删除它。

不同类型病毒的隐藏方式也是多种多样的。引导型病毒通常将自己隐藏在引导扇区中，在系统启动前就会发作。一些蠕虫病毒非常注重隐藏和伪装自己，例如某些通过邮件传播的蠕虫病毒，不但伪造邮件的主题和正文，还会利用社会工程学知识引诱用户打开邮件，并且可以使用双扩展名的病毒文件作为附件，例如将病毒体命名为ABC.jpg.exe，使用户以为病毒是一个图形文件，从而丧失警惕。还有些病毒借助系统的漏洞传播，利用漏洞来隐藏和传播病毒体，如果用户没有对操作系统添加或安装相应的补丁程序，病毒便无法被彻底清除。

如果用户不进行代码分析，很难区分病毒程序与正常程序。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，用户不会感到任何异常。总之，病毒会使用更巧妙的方法隐藏自己，使之不容易被发现。正是由于具有隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。计算机用户如果掌握了这些病毒的隐藏方式，加强对日常文件的管理，计算机病毒便无处藏身了。

5.潜伏性

一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘里待上几天，甚至几年，一旦时机成熟，得到运行机会，就四处繁殖、扩散。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件进行加密、封锁键盘以及使系统死锁等。

6.破坏性

任何病毒只要侵入系统，就会对系统及应用程序产生程度不同的影响。轻则会降低计算机工作效率，占用系统资源；重则可导致系统崩溃。根据病毒的这一特性可将病毒分为良性病毒与恶性病毒。良性病毒可能只显示些画面或无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，这类病毒表现较为温和。恶性病毒则有明确的目的，或破坏数据、删除文件，或加密磁盘、格式化磁盘，甚至造成不可挽回的损失。表现和破坏是病毒的最终目的。

7.可触发性

计算机病毒一般都有一个或者几个触发条件，满足其触发条件或者激活病毒的传染机制就会使病毒发作或使之进行传染。激发的本质是一种条件控制，病毒体根据病毒炮制者的设定，被激活并发起攻击。病毒被激发的条件可以与多种情况联系起来，如满足特定的时间或日期，期待特定用户识别符出现，特定文件的出现或使用，一个文件使用的次数超过设定数等。

按照时间触发的病毒很多，如CIH病毒。它的vl.2版本的发作日期是每年的4月26日，这个时间指的是计算机的系统时间；而CIH病毒的vl.3版本的发作日期是每年的6月26日；vl.4版本的发作日期是每月的26日。很多人都有一个错误的想法，以为只要将系统时间调整到其他的日期，就可以避免病毒的发作。其实按照时间发作只是病毒触发的条件之一，而且系统时间没有及时调整回来，或者满足病毒的其他触发条件时，病毒还是会被触发的。调整时间只是应急的办法，根本的解决办法还是彻底清除病毒体。

按照一定条件触发的病毒也很多，比如，当你试图更改或运行某些文件时病毒就发作。Happytime（欢乐时光）病毒发作的条件是月份与日期之和等于13，这是按照一定的逻辑条件来发作的病毒。另外，“求职信”病毒在单月的6日和13日发作。但绝大多数病毒是随机发作或者运行后发作的。

要注意的是，病毒的传播和发作是两个完全不同的问题，平时所遇到的大多数问题是病毒发作引起的，因为病毒发作的现象比较明显，比如文件被删除或计算机无法使用。而病毒传播时由于其所具有的隐蔽性和潜伏性，通常不被人们注意，但其一旦发作就会造成重大的损失。所以要尽可能在病毒传播时及时清除病毒，等到病毒发作时才意识到，可能为时已晚了。

（二）计算机病毒的分类

目前全球大约有几十万种病毒，根据各种计算机病毒的特点，计算机病毒有不同的分类方法。按照不同的体系可对计算机病毒进行以下分类。

1.按病毒寄生方式分类

根据病毒的寄生方式，病毒可以划分为网络病毒、文件病毒、引导型病毒和混合型病毒。

（1）网络病毒

通过计算机网络传播感染网络中的可执行文件。

（2）文件病毒

感染计算机中的文件（如DOS下的COM、EXE和Windows的PE文件等）。

（3）引导型病毒

感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。(www.chuimin.cn)

（4）混合型病毒

混合型病毒是上述3种情况的混合。例如，多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

2.按传播媒介分类

（l）单机病毒

单机病毒的载体是磁盘或光盘。常见的传播途径是通过磁盘或光盘传入硬盘，感染系统后，再传染给其他磁盘或光盘，然后又感染给其他系统。

（2）网络病毒

网络为病毒提供了很好的传播途径。通过网络传播的病毒传染能力强，破坏力大，主要利用网络协议或命令进行传播。

3.按病毒破坏性分类

根据病毒破坏的能力，计算机病毒可划分为良性病毒和恶性病毒。

（1）良性病毒

良性病毒是不包含对计算机系统产生直接破坏作用代码的计算机病毒。这类病毒为了表现其存在，只是不停地进行传播，并不破坏计算机内的数据。但它会使系统资源急剧减少，可用空间越来越少，最终导致系统崩溃。良性病毒又可分为无危害病毒和无危险病毒。无危害病毒是指除了传染时减少磁盘的可用空间外，对系统没有其他影响；无危险病毒是指在传播过程中不仅减少内存和硬盘空间，还伴随显示图像、发出声音等。

（2）恶性病毒

恶性病毒是指代码中包含有损伤和破坏计算机系统的操作，在其传染激发时会对系统产生直接破坏作用的计算机病毒。例如，破坏磁盘扇区、格式化磁盘导致数据丢失等。这些代码都是刻意写进病毒的，是其本性之一。恶性病毒可分为危险型病毒和非常危险型病毒。危险型病毒是指破坏和干扰计算机系统的操作，从而造成严重的错误的病毒；非常危险型病毒主要会删除程序、破坏数据、清除系统内存和操作系统中重要的信息。

4.按计算机病毒的链接方式分类

由于计算机病毒本身必须有一个攻击对象才能实现对计算机系统的攻击，并且计算机病毒所攻击的对象是计算机系统可执行的部分。因此，根据链接方式计算机病毒可分为源码型病毒、嵌入型病毒、外壳型病毒、译码型病毒、操作系统型病毒。

（1）源码型病毒

该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译前插入源程序中，经编译成为合法程序的一部分。

（2）嵌入型病毒

这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接；这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。

（3）外壳型病毒

外壳型病毒将其自身包围在主程序的四周，对原来的程序不做修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可察觉。

（4）译码型病毒

隐藏在微软Office、AmiPro文档中，如宏病毒、脚本病毒等。

（5）操作系统型病毒

这种病毒用自身的程序加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。

这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的合法程序模块在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。

5.按病毒攻击的操作系统分类

根据病毒的攻击目标，计算机病毒可以分为DOS病毒、Windows病毒和其他系统病毒。

（1）DOS病毒

DOS病毒是针对DOS操作系统开发的病毒。目前几乎没有新制作的DOS病毒，由于Windows病毒的出现，DOS病毒几乎绝迹。但DOS病毒在Windows环境中仍可以进行感染活动，因此若执行染毒文件，Windows用户的系统也会被感染。通常使用杀毒软件能够查杀的病毒中一半以上都属于DOS病毒，可见DOS时代DOS病毒的泛滥程度。但这些众多的病毒中除了少数几个让用户胆战心惊的病毒之外，大部分病毒都只是制作者出于好奇或对公开代码进行一定变形而制作的病毒。

（2）Windows病毒

主要指针对Windows操作系统的病毒。现在的计算机用户一般都安装Windows系统，Windows病毒一般感染Windows系统，其中最典型的病毒有CIH病毒、宏病毒等。一些Windows病毒不仅在早期的Windows操作系统上正常感染，还可以感染Windows NT上的其他文件。

（3）其他系统病毒

主要攻击Linux、UNIX、OS2、Macintosh、嵌入式系统的病毒，以及最近出现的IOS/Android系统病毒。由于系统本身的复杂性，这类病毒数量不是很多，但对于当前的信息处理也产生了严重的威胁。

6.按病毒的攻击类型分类

按计算机病毒攻击的机器类型可将病毒分为攻击微型机的计算机病毒、攻击小型机的计算机病毒和攻击工作站的计算机病毒。其中攻击微型机的计算机病毒是最为庞大的病毒家族。

由于小型机的应用极为广泛，既可以作为网络中的一个节点机，又可以作为小型计算机网络的主机。一般来说，小型机的操作系统比较复杂，而且小型机都采取了一定的安全保护措施，人们认为计算机病毒只有在微型机上才能发生而小型机不会受到侵扰，但自从1988年以来，蠕虫病毒对Internet的攻击改变了病毒只攻击微型机的传统观念。