仅仅在几年前,我们还可以清晰地辩明哪些软件是具有恶意的而哪些软件是无害的,然而在今天,病毒无论在种类还是数量上都呈现出爆炸性的增长,甚至有大量的非授权软件已经超过了病毒的意义范畴,恶意程序已经形成了一个大的族群。早期危害计算机的恶意程序主要是计算机病毒,但是随着网络基础设施和软件应用的不断发展,恶意程序的形态也在不断变化。之前的几年时间里,网络蠕虫成为了对网络用户的最主要威胁,快速的传播能力和摧毁用户系统的能力令计算机用户们疲于招架。然而这一切都没有结束,由于网络经济带来的巨大利益,疯狂吞噬用户钱袋的间谍软件再次打击了用户对网络社会的信任。人类战胜过许多疾病,那些疾病都是自然产生的,但是因为人类自己的任意妄为而出现的疾病,人类却显得有些手忙脚乱。而计算机病毒,这又是一个我们自己亲手制造的灾难,面对它,我们的境况不容乐观。纵观人类历史,每一次我们成功战胜一种灾祸,都是因为我们了解了灾祸的本质,在面对计算机病毒的时候,我们必须首先了解它,才能够失去对它的恐惧,才能够拥有必要的武器与之对抗。我们必须知道我们的敌人是谁,我们的敌人如何展开进攻,我们的敌人都有哪些弱点,我们可以使用哪些工具,乃至我们是否还有同盟。
病毒的定义
计算机病毒是一种能够通过修改自身来或复制自身而传染其他程序和文件的程序,这是关于病毒的一个比较古老也比较经典的定义。从技术角度来说,病毒必须具有两个基本特性,首先是能够自我复制,其次是能够感染其它程序,一般当一个程序具有了这两种特性就可以视为具备了病毒的特征。不过这里边有几个问题需要澄清一下,在这个病毒定义当中并没有说明病毒程序是否具有破坏性,这与大众对病毒的理解有一些分歧。也许一个普通的计算机用户会以一个程序是否造成了破坏来界定它是正常程序还是病毒程序,而对于技术研究者来说,破坏性并不是一个病毒的必要组成部分。例如,有一些程序秘密地种植在用户的计算机上,它们将用户的信息回发到互联网上,但是由于他们并不执行复制自己也不感染计算机上的其它程序,所以通常不应称之为病毒而可能称之为特洛伊木马。
病毒与恶意程序
在安全研究领域,还有另外一个名词用来形容那些“没有带来有效作用却会带来危险或用户不希望看到的效果”的程序,这个名词就是恶意程序(Malware),有时也被翻译为恶意软件。也许绝大多数用户已经习惯了用病毒这个名词来概括所有不受欢迎的软件程序,但是从比较正统的划分原则出发,恶意程序才是金字塔的塔尖,而病毒只是恶意程序的一个组成部分而已。病毒和恶意程序这两个概念的混淆主要是来自于一些历史原因,病毒概念的诞生要早于恶意程序,当时还没有如此众多种类的非法程序,直到有更多种类的程序出现之后技术研究领域才开始使用恶意程序这一名词统扩性地对之加以称呼。加之大众媒体和用户群体也一直习沿用最初以病毒称呼不受欢迎程序的习惯,也使得病毒的牵涉范围在很大程度上被放大了。
|
恶意程序大家族
也许您希望更清晰的界定各种恶意程序,那么我们就来看看恶意程序大家族都包含哪些成员,我们又是如何区分它们的。病毒仍旧是恶意程序的重要组成部分,就像我们在病毒定义中提到的那样,自我复制能力和感染其它程序文件是病毒的两个基本特征,事实上这也是很多恶意程序所具有的特征。我们将蠕虫看作一种特殊的病毒,因为两者之间的差异很小,蠕虫也能够自我复制,但是在传播过程中并不感染其它程序。尽管一些人认为蠕虫所感染的操作系统也是一种软件程序,但我们更愿意忽略这种意见,以免让思维陷入混乱。
特洛伊木马可以让我们松一口气了,纯粹意义上的特洛伊木马既不自我复制也不感染其它程序,这种恶意程序就像历史传说中那样“声明自己是某些东西、能做某些事情,但是却做一些其它不受欢迎的事情”。也许您觉得这和间谍软件有些相象,但两者之间还是有所区别。间谍软件的隐秘特征是它与所有其它恶意程序最大的不同,它不声称自己是什么也不声称自己能完成什么,只有那些在用户毫不知情的情况下完成非授权工作的程序才有资格被称为间谍软件。后门程序想方设法制造一条以更高权限进入系统的途径的程序,如果一个程序具有这种特殊的功能性和明确的目的性,那么我们就可以将它视为后门程序。远程控制程序的界定就要困难一些了,它允许一台计算机通过网络控制另一台计算机,一些人认为它的本质是特洛伊木马,也有人将其视为后门程序。最终的区分原则恐怕在于完成的功能,特洛伊木马和后门程序确实都允许执行远程控制功能,但是一个远程控制程序未必会具备特洛伊木马和后门程序的特性。最后,我们还应该提到玩笑程序,一般我们认为玩笑程序是指那些不会造成真正的破坏,但是会妨碍到计算机的某些功能或无谓地消耗了计算机资源。还有其它一些恶意程序种类我们没有提到,也确实存在其它一些更细致的区分原则和特例,但是相信您已经能够大致的区分出恶意程序大家族的成员了。
|
病毒的基本构成
病毒的结构体系主要由三部分机制组成:感染、触发、作用。感染机制对病毒最为重要也是必须具备的机制,事实上一个不能感染其它程序或文件的程序也就不能被称为病毒了。感染机制令病毒程序能够自我繁殖并感染其它程序,其中包括可能包括很多的动作,例如检测自己的状态、复制自己、寻找感染目标、插入感染代码等等。触发机制类似一个监听机制,在很多情况下病毒在完成感染之后并不马上执行预定的动作,而是在用户执行了某个特定动作或系统达到某个特定条件后才触发预定动作的执行。例如,病毒作者可能预设在到达某个特定时间或用户双击了感染后的文件才执行删除用户数据的动作。作用机制是指病毒的预定动作被出发后给系统带来的实际影响,这种影响可能是文件丢失、系统设置改变、用户击键失灵、屏幕显示特定内容等等。作用机制决定着一个病毒的破坏能力,但是并非所有病毒程序都包含作用机制,一些技术验证性质的病毒并不包含作用机制,而一些设计错误所以运作失灵的病毒也可能不会对用户的系统造成任何影响。
本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/88940,如需转载请自行联系原作者
