病毒特徵

病毒特徵

計算機病毒特徵是指病毒相對其他軟體所特有的特徵,與其他程序軟體不同,這方面研究在殺毒領域比較成熟,對於接觸網際網路不深的用戶可能比較陌生,比較容易忽略,對於自學者或許是一個不錯的課題。

可執行性


計算機病毒與其他合法程序一樣,是一段可執行程序,但它不是一個完整的程序,而是寄生在其他可執行程序上,因此它享有一切程序所能得到的權力。在病毒運行時,與合法程序爭奪系統的控制權。
計算機病毒只有當它在計算機內得以運行時,才具有傳染性和破壞性等活性。也就是說計算機CPU的控制權是關鍵問題。若計算機在正常程序控制下運行,而不運行帶病毒的程序,則這台計算機總是可靠的。在這台計算機上可以查看病毒文件的名字,查看計算機病毒的代碼,列印病毒的代碼,甚至拷貝病毒程序,卻都不會感染上病毒。反病毒技術人員整天就是在這樣的環境下工作。他們的計算機雖也存有各種計算機病毒的代碼,但己置這些病毒於控制之下,計算機不會運行病毒程序,整個系統是安全的。相反,計算機病毒一經在計算機上運行,在同一台計算機內病毒程序與正常系統程序,或某種病毒與其他病毒程序爭奪系統控制權時往往會造成系統崩潰,導致計算機癱瘓。

可傳染性


傳染性是生物病毒的基本特徵。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編製的計算機程序代碼,這段程序代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標后再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那麼病毒會在這台機子上迅速擴散,其中的大量文件(一般是可執行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數據交換或通過網路接觸,病毒會繼續進行傳染。

可破壞性


所有的計算機病毒都是一種可執行程序,而這一可執行程序又必然要運行,所以對系統來講,所有的計算機病毒都存在一個共同的危害,即降低計算機系統的工作效率,佔用系統資源,其具體情況取決於入侵系統的病毒程序。同時計算機病毒的破壞性主要取決於計算機病毒設計者的目的,如果病毒設計者的目的在於徹底破壞系統的正常運行的話,那麼這種病毒對於計算機系統進行攻擊造成的後果是難以設想的,它可以毀掉系統的部分數據,也可以破壞全部數據並使之無法恢復。但並非所有的病毒都對系統產生極其惡劣的破壞作用。有時幾種本沒有多大破壞作用的病毒交叉感染,也會導致系統崩潰等重大惡果。

可潛伏性


一個編製精巧的計算機病毒程序,進入系統之後一般不會馬上發作,可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中,對其他系統進行傳染,而不被人發現,潛伏性愈好,其在系統中的存在時間就會愈長,病毒的傳染範圍就會愈大。潛伏性的第一種表現是指,病毒程序不用專用檢測程序是檢查不出來的,因此病毒可以靜靜地躲在磁碟里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。

可隱蔽性


病毒一般是具有很高編程技巧,短小精悍的程序。通常附在正常程序中或磁碟較隱蔽的地方,也有個別的以隱含文件形式出現。目的是不讓用戶發現它的存在。如果不經過代碼分析,病毒程序與正常程序是不容易區別開來的。一般在沒有防護措施的情況下,計算機病毒程序取得系統控制權后,可以在很短的時間裡傳染大量程序。而且受到傳染后,計算機系統通常仍能正常運行,使用戶不會感到任何異常,好像不曾在計算機內發生過什麼。正是由於隱蔽性,計算機病毒得以在用戶沒有察覺的情況下擴散並遊盪於世界上百萬台計算機中。大部分的病毒的代碼之所以設計得非常短小,也是為了隱藏。病毒一般只有幾百或1K位元組,而PC機對DOS文件的存取速度可達每秒幾百KB以上,所以病毒轉瞬之間便可將這短短的幾百位元組附著到正常程序之中,使人非常不易察覺。

可針對性


計算機病毒一般都是針對於特定的操作系統,比如說微軟的Windows98、2000和XP。還有針對特定的應用程序,現在比較典型的微軟的Outlook、IE、伺服器,叫CQ蠕蟲,通過感染資料庫伺服器進行傳播的,具有非常強的針對性,針對一個特定的應用程序或者就是針對操作系統進行攻擊,一旦攻擊成功,它會發作。這種針對性有兩個特點,一個是如果對方就是他要攻擊的機器,他能完全對操作系統獲得對方的管理許可權,就可以肆意妄為。還有如果對方不是他針對的操作系統,比如對方用的不是微軟的Windows,用的可能是Unix,這種病毒就會失效。

可觸發性


病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。