计算机病毒的特征

关于计算机病毒的知识介绍

计算机病毒的知识

计算机病毒(ComputerVirus)是编制者在计算机程序中插⼊的破坏计算机功能或者数据的代码，能影响计算机使⽤，能

⾃我复制的⼀组计算机指令或者程序代码。有盟pe系统官⽹介绍。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的⽣命周期：开发期→传

染期→潜伏期→发作期→发现期→消化期→消亡期。

计算机病毒是⼀个程序，⼀段可执⾏码。就像⽣物病毒⼀样，具有⾃我繁殖、互相传染以及激活再⽣等⽣物病毒特征。

计算机病毒有独特的复制能⼒，它们能够快速蔓延，⼜常常难以根除。它们能把⾃⾝附着在各种类型的⽂件上，当⽂件

被复制或从⼀个⽤户传送到另⼀个⽤户时，它们就随同⽂件⼀起蔓延开来。有盟pe系统官⽹介绍。

定义

计算机病毒(ComputerVirus)在《中华⼈民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算

机程序中插⼊的破坏计算机功能或者破坏数据，影响计算机使⽤并且能够⾃我复制的⼀组计算机指令或者程序代码”。

计算机病毒与医学上的“病毒”不同，计算机病毒不是天然存在的，是⼈利⽤计算机软件和硬件所固有的脆弱性编制的⼀

组指令集或程序代码。它能潜伏在计算机的存储介质(或程序)⾥，条件满⾜时即被激活，通过修改其他程序的⽅法将⾃

⼰的精确拷贝或者可能演化的形式放⼊其他程序中。从⽽感染其他程序，对计算机资源进⾏破坏，所谓的病毒就是⼈为

造成的，对其他⽤户的危害性很⼤，有盟pe系统官⽹介绍。

特征

繁殖性

计算机病毒可以像⽣物病毒⼀样进⾏繁殖，当正常程序运⾏时，它也进⾏运⾏⾃⾝复制，是否具有繁殖、感染的特征是

判断某段程序为计算机病毒的⾸要条件。

破坏性

计算机中毒后，可能会导致正常的程序⽆法运⾏，把计算机内的⽂件删除或受到不同程度的损坏。破坏引导扇区及

BIOS，硬件环境破坏。

传染性

计算机病毒传染性是指计算机病毒通过修改别的程序将⾃⾝的复制品或其变体传染到其它⽆毒的对象上，这些对象可以

是⼀个程序也可以是系统中的某⼀个部件。

潜伏性

计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄⽣的能⼒，侵⼊后的病毒潜伏到条件成熟才发作，会使电脑变

慢。

隐蔽性

计算机病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，隐蔽性计算机病毒时隐时现、变化⽆常，这类病毒处

理起来⾮常困难。

可触发性

编制计算机病毒的⼈，⼀般都为病毒程序设定了⼀些触发条件，例如，系统时钟的某个时间或⽇期、系统运⾏了某些程

序等。⼀旦条件满⾜，计算机病毒就会“发作”，使系统遭到破坏。

序等。⼀旦条件满⾜，计算机病毒就会“发作”，使系统遭到破坏。

原理

病毒依附存储介质软盘、硬盘等构成传染源。病毒传染的媒介由⼯作的环境来定。病毒激活是将病毒放在内存，并设

置触发条件，触发的条件是多样化的，可以是时钟，系统的⽇期，⽤户标识符，也可以是系统⼀次通信等。条件成熟病

毒就开始⾃我复制到传染对象中，进⾏各种破坏活动等。

病毒的传染是病毒性能的⼀个重要标志。在传染环节中，病毒复制⼀个⾃⾝副本到传染对象中去。

感染策略

为了能够复制其⾃⾝，病毒必须能够运⾏代码并能够对内存运⾏写操作。基于这个原因，许多病毒都是将⾃⼰附着在合

法的可执⾏⽂件上。如果⽤户企图运⾏该可执⾏⽂件，那么病毒就有机会运⾏。病毒可以根据运⾏时所表现出来的⾏为

分成两类。⾮常驻型病毒会⽴即查找其它宿主并伺机加以感染，之后再将控制权交给被感染的应⽤程序。常驻型病毒被

运⾏时并不会查找其它宿主。相反的，⼀个常驻型病毒会将⾃⼰加载内存并将控制权交给宿主。该病毒于背景中运⾏并

伺机感染其它⽬标。有盟pe系统官⽹介绍。

⾮常驻型病毒

⾮常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的⽂件，⼀旦搜索到该⽂件，搜

索模块就会启动复制模块进⾏感染。有盟pe系统官⽹介绍。

常驻型病毒

常驻型病毒包含复制模块，其⾓⾊类似于⾮常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调⽤。

病毒在被运⾏时会将复制模块加载内存，并确保当操作系统运⾏特定动作时，该复制模块会被调⽤。例如，复制模块会

在操作系统运⾏其它⽂件时被调⽤。在这个例⼦中，所有可以被运⾏的⽂件均会被感染。常驻型病毒有时会被区分成快

速感染者和慢速感染者。快速感染者会试图感染尽可能多的⽂件。例如，⼀个快速感染者可以感染所有被访问到的⽂

件。这会对杀毒软件造成特别的问题。当运⾏全系统防护时，杀毒软件需要扫描所有可能会被感染的⽂件。如果杀毒软

件没有察觉到内存中有快速感染者，快速感染者可以借此搭便车，利⽤杀毒软件扫描⽂件的同时进⾏感染。快速感染者

依赖其快速感染的能⼒。但这同时会使得快速感染者容易被侦测到，这是因为其⾏为会使得系统性能降低，进⽽增加被

杀毒软件侦测到的风险。相反的，慢速感染者被设计成偶⽽才对⽬标进⾏感染，如此⼀来就可避免被侦测到的机会。例

如，有些慢速感染者只有在其它⽂件被拷贝时才会进⾏感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成

功。有盟pe系统官⽹介绍。

分类

破坏性

良性病毒、恶性病毒、极恶性病毒、灾难性病毒。

传染⽅式

引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的"主引导记录"。

⽂件型病毒是⽂件感染者，也称为“寄⽣病毒”。它运⾏在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型

的⽂件。

混合型病毒具有引导区型病毒和⽂件型病毒两者的特点。

宏病毒是指⽤BASIC语⾔编写的病毒程序寄存在Office⽂档上的宏代码。宏病毒影响对⽂档的各种操作。

连接⽅式

源码型病毒攻击⾼级语⾔编写的源程序，在源程序编译之前插⼊其中，并随源程序⼀起编译、连接成可执⾏⽂件。源码

型病毒较为少见，亦难以编写。有盟pe系统官⽹介绍。

型病毒较为少见，亦难以编写。有盟pe系统官⽹介绍。

⼊侵型病毒可⽤⾃⾝代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。⼀般情况下

也难以被发现，清除起来也较困难。

操作系统型病毒可⽤其⾃⾝部分加⼊或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较⼤。

外壳型病毒通常将⾃⾝附在正常程序的开头或结尾，相当于给正常程序加了个外壳。⼤部份的⽂件型病毒都属于这⼀

类。有盟pe系统官⽹介绍。

计算机病毒种类繁多⽽且复杂，按照不同的⽅式以及计算机病毒的特点及特性，可以有多种不同的分类⽅法。同时，根

据不同的分类⽅法，同⼀种计算机病毒也可以属于不同的计算机病毒种类。

按照计算机病毒属性的⽅法进⾏分类，计算机病毒可以根据下⾯的属性进⾏分类。

根据病毒存在的媒体划分：

⽹络病毒——通过计算机⽹络传播感染⽹络中的可执⾏⽂件。

⽂件病毒——感染计算机中的⽂件(如：COM，EXE，DOC等)。

引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。

还有这三种情况的混合型，例如：多型病毒(⽂件和引导型)感染⽂件和引导扇区两种⽬标，这样的病毒通常都具有复杂

的算法，它们使⽤⾮常规的办法侵⼊系统，同时使⽤了加密和变形算法。

根据病毒传染渠道划分：

驻留型病毒——这种病毒感染计算机后，把⾃⾝的内存驻留部分放在内存(RAM)中，这⼀部分程序挂接系统调⽤并合并

到操作系统中去，它处于激活状态，⼀直到关机或重新启动。有盟pe系统官⽹介绍。

⾮驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存，⼀些病毒在内存中留有⼩部分，但是并不通过这⼀

部分进⾏传染，这类病毒也被划分为⾮驻留型病毒。

根据破坏能⼒划分：

⽆害型——除了传染时减少磁盘的可⽤空间外，对系统没有其它影响。

⽆危险型——这类病毒仅仅是减少内存、显⽰图像、发出声⾳及同类影响。

危险型——这类病毒在计算机系统操作中造成严重的错误。

⾮常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

根据算法划分：

伴随型病毒——这类病毒并不改变⽂件本⾝，它们根据算法产⽣EXE⽂件的伴随体，具有同样的名字和不同的扩展名

(COM)，例如：的伴随体是XCOPY-COM。病毒把⾃⾝写⼊COM⽂件并不改变EXE⽂件，当DOS加载⽂

件时，伴随体优先被执⾏到，再由伴随体加载执⾏原来的EXE⽂件。

“蠕⾍”型病毒——通过计算机⽹络传播，不改变⽂件和资料信息，利⽤⽹络从⼀台机器的内存传播到其它机器的内存，

计算机将⾃⾝的病毒通过⽹络发送。有时它们在系统存在，⼀般除了内存不占⽤其它资源。有盟pe系统官⽹介绍。

寄⽣型病毒——除了伴随和“蠕⾍”型，其它病毒均可称为寄⽣型病毒，它们依附在系统的引导扇区或⽂件中，通过系统

的功能进⾏传播，按其算法不同还可细分为以下⼏类。

练习型病毒，病毒⾃⾝包含错误，不能进⾏很好的传播，例如⼀些病毒在调试阶段。

诡秘型病毒，它们⼀般不直接修改DOS中断和扇区数据，⽽是通过设备技术和⽂件缓冲区等对DOS内部进⾏修改，不

易看到资源，使⽤⽐较⾼级的技术。利⽤DOS空闲的数据区进⾏⼯作。

变型病毒(⼜称幽灵病毒)，这⼀类病毒使⽤⼀个复杂的算法，使⾃⼰每传播⼀份都具有不同的内容和长度。它们⼀般的

作法是⼀段混有⽆关指令的解码算法和被变化过的病毒体组成。

征兆预防

病毒征兆

屏幕上出现不应有的特殊字符或图像、字符⽆规则变或脱落、静⽌、滚动、雪花、跳动、⼩球亮点、莫名其妙的信息提

等。

发出尖叫、蜂鸣⾳或⾮正常奏乐等。

经常⽆故死机，随机地发⽣重新启动或⽆法正常启动、运⾏速度明显下降、内存空间变⼩、磁盘驱动器以及其他设备⽆

缘⽆故地

变成⽆效设备等现象。

磁盘标号被⾃动改写、出现异常⽂件、出现固定的坏扇区、可⽤磁盘空间变⼩、⽂件⽆故变⼤、失踪或被改乱、可执⾏

⽂件(exe)变得⽆法运⾏等。

打印异常、打印速度明显降低、不能打印、不能打印汉字与图形等或打印时出现乱码。

收到来历不明的电⼦邮件、⾃动链接到陌⽣的⽹站、⾃动发送电⼦邮件等。

保护预防

程序或数据神秘地消失了，⽂件名不能辨认等;注意对系统⽂件、可执⾏⽂件和数据写保护;不使⽤来历不明的程序或数

据;尽量不⽤软盘进⾏系统引导。

不轻易打开来历不明的电⼦邮件;使⽤新的计算机系统或软件时，先杀毒后使⽤;备份系统和参数，建⽴系统的应急计划

等。安装杀毒软件。分类管理数据。

免杀技术以及新特征

免杀是指：对病毒的处理，使之躲过杀毒软件查杀的⼀种技术。通常病毒刚从病毒作者⼿中传播出去前，本⾝就是免杀

的，甚⾄可以说“病毒⽐杀毒软件还新，所以杀毒软件根本⽆法识别它是病毒”，但由于传播后部分⽤户中毒向杀毒软件

公司举报的原因，就会引起安全公司的注意并将之特征码收录到⾃⼰的病毒库当中，病毒就会被杀毒软件所识别。

病毒作者可以通过对病毒进⾏再次保护如使⽤汇编加花指令或者给⽂档加壳就可以轻易躲过杀毒软件的病毒特征码库⽽

免于被杀毒软件查杀。

美国的NortonAntivirus、McAfee、PC-cillin，俄罗斯的KasperskyAnti-Virus，斯洛伐克的NOD32等产品在国际上⼝碑

较好，但杀毒、查壳能⼒都有限，⽬前病毒库总数量也都仅在数⼗万个左右。

⾃我更新性是近年来病毒的⼜⼀新特征。病毒可以借助于⽹络进⾏变种更新，得到最新的免杀版本的病毒并继续在⽤户

感染的计算机上运⾏，⽐如熊猫烧⾹病毒的作者就创建了“病毒升级服务器”，在最勤时⼀天要对病毒升级8次，⽐有些杀

毒软件病毒库的更新速度还快，所以就造成了杀毒软件⽆法识别病毒。

除了⾃⾝免杀⾃我更新之外，很多病毒还具有了对抗它的“天敌”杀毒软件和防⽕墙产品反病毒软件的全新特征，只要病

毒运⾏后，病毒会⾃动破坏中毒者计算机上安装的杀毒软件和防⽕墙产品，如病毒⾃⾝驱动级Rootkit保护强制检测并退

毒运⾏后，病毒会⾃动破坏中毒者计算机上安装的杀毒软件和防⽕墙产品，如病毒⾃⾝驱动级Rootkit保护强制检测并退

出杀毒软件进程，可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗，⾃动修改系统时间导致⼀些杀毒软件

⼚商的正版认证作废以致杀毒软件作废，从⽽病毒⽣存能⼒更加强⼤。

免杀技术的泛滥使得同⼀种原型病毒理论上可以派⽣出近乎⽆穷⽆尽的变种，给依赖于特征码技术检测的杀毒软件带来

很⼤困扰。近年来，国际反病毒⾏业普遍开展了各种前瞻性技术研究，试图扭转过分依赖特征码所产⽣的不利局⾯。⽬

前⽐较有代表性产品的是基于虚拟机技术的启发式扫描软件，代表⼚商NOD32，，和基于⾏为分析技术的主动

防御软件，代表⼚商中国的微点主动防御软件等。