所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序使其含有该病毒程序的一个拷贝。病毒可以做其他程序所做的任何事情，唯一的区别在于它将自己附在另一个程序上，并且在宿主程序运行时秘密执行。一旦病毒执行时，它可以完成任何功能，例如删除文件和程序等。

在病毒的生存期内，典型的病毒经历了下面4个阶段:

    (1)潜伏阶段。病毒是空闲的。病毒最终要通过某个事件来激活，例如一个日期、另一个程序或文件的存在，或者磁盘的容量超出了某个限制。并不是所有的病毒都要经过这个阶段。

    (2)繁殖阶段。病毒将与自身完全相同的副本放入其他程序或者磁盘上的特定系统区域。每个受感染的程序现在将包含病毒的一个克隆，这个病毒本身进入了一个繁殖阶段。

    (3)触发阶段。病毒被激活来进行它想要完成的功能。和潜伏阶段一样，触发阶段可能被不同的系统事件所引起。

    (4)执行阶段。功能被完成。

    大多数病毒按照一种与特定操作系统有关的，或者在某种情况下，与特定硬件平台有关的方式来完成它们的工作。因此，它们可以被设计成利用特定系统的细节和弱点工作。

    一旦病毒通过感染一个程序获得了系统的入口，当被感染的程序执行时，它就处于感染部分或者全部其他可执行文件的位置。因此，通过在第一步防止病毒获得入口就可以完全避免主要的感染。不幸的是，防止工作非常困难，因为病毒可以是系统以外任何程序的一部分。因此，如果系统不是采用绝对的裸机并且编写所有自己的系统和应用程序的活，它就是易受攻击的。

  病毒的类型

    自从病毒第一次出现以来，在病毒编写者和反病毒软件作者之间就存在着一个连续的战争赛跑。当对已经存在的病毒类型开发了有效的对策时，新的类型又开发出来了。对于最重要的病毒类型，建议如下的分类方法。

    寄生病毒。传统的并且仍是最常见的病毒形式。寄生病毒将自己附加到可执行文件中，当被感染的程序执行时，找到其他可执行文件并感染。

    存储器驻留病毒。寄宿在主存中，作为驻留程序的一部分。从那时开始，病毒感染每个执行的程序。

    引导区病毒。感染主引导记录或引导记录，并且当系统从包含了病毒的磁盘启动时进行传播。

    隐形病毒。病毒的一种形式，明确地设计成能够在反病毒软件检测时隐藏自己。

    多形病毒。每次感染时会改变的病毒，使得不可能通过病毒的“签名”来检测自己。

    2.反病毒的方法

    对于病毒威胁最理想的解决办法是防止，即在第一步就不允许病毒进入系统。一般来说，防止虽然可以减少病毒攻击成功的次数，但这个目标一般不可能实现。次佳的方法是能够完成下面的工作。

    (1)检测。一旦发生了感染，确定它的发生并且定位病毒。

    (2)标识。一旦检测完成了，识别感染程序的特定病毒。

    (3)清除。一旦标识了特定病毒，从被感染的程序中消除病毒的所有痕迹，将程序恢复到原来的状态。从所有被感染的系统中清除病毒使其不能进一步传播。

    病毒和反病毒技术是携手进步的。早期的病毒是相对简单的代码片断，可以是用相对简单的反病毒软件包进行标识和清除。随着时间的推移，病毒和反病毒软件都变得越来越复杂和精密。反病毒软件也经历了4个阶段。

    (1)简单的扫描程序(第一代)。需要病毒的签名来识别病毒。病毒可能包含“通配符”，但本质上所有的副本具有相同的结构和位模式。这样，与签名有关的扫描程序受限只能检测已知的病毒。另一种类型的第一代扫描程序维护了程序长度的记录，并且查找长度的改变。

    (2)启发式的扫描程序(第二代)。不依赖专门的签名。相反，扫描程序使用启发式的规

则来搜索可能的病毒感染，这种扫描程序的一个类别是查找经常和病毒联系在一起的代段。

另一种第二代方法是完整性检查。可以为每个程序附加检验和，如果病毒感染了程序，但没有修改检验和，那么一次完整性检查将会抓住变化。为了对付可以在感染程序时修改检验和的复杂病毒，可以使用加密的散列函数。加密密钥和程序分开存放，使得病毒不能生成新的散列代码并对其加密。通过使用散列函数而不是更简单的检验和，可以避免病毒像以前一样调整程序来产生同样散列代码。

    (3)行为陷阱(第三代)。是一些存储器驻留程序，它们通过病毒的动作而不是通过其在被感染程序中的结构来识别病毒。这样的程序的优点在于它不必为数量巨大的病毒开发签名和启发式规则.相反，只需识别一个小的指示了感染正在进行的动作集合，然后进行干涉。

    (4)全方位的保护(第四代)。是一些由不同的联合使用的反病毒技术组成的软件包。这些技术中包括了扫描和行为陷阱构件。另外，这样的软件包括了访问控制能力，它同时限制了病毒渗透系统的能力和病毒对文件进行修改的能力。

3.先进的反病毒技术

    更加先进的反病毒方法和产品不断出现，其中两个重要的如下。

    (1)类属解密(Generic Decryption, GD )。使得反病毒程序可以容易地检测出甚至是最复

杂的多形病毒，同时保持快速的扫描速度。考虑当包含了一个多形病毒的文件在执行时，病毒必须解密自身来激活。为了检测这样的结构，可执行文件通过GD扫描来运行。设计GD扫描器最困难的问题就是确定每一次解释运行多长时间。典型地，程序开始执行之后很快就会激活病毒部分，但这个需求并不总是成立的。扫描模拟一个程序的时间越长，它就越可能抓住所有隐藏的病毒。但是，反病毒程序只可以花费有限的时间和资源，否则用户就会抱怨。

    (2)数字免疫系统。数字免疫系统是IBM开发的一个病毒保护的综合方法，开发这个系统的动机是基于因特网的病毒繁殖日益增长的威胁。该系统对前述的程序模拟的使用进行扩展，提供了一个通用的模拟和病毒检测系统。其目标是提供快速的相应时间，使得病毒被引入时立刻就能识别出来。当一个新病毒进入一个组织时，免疫系统自动地抓住它、叹分析它、为它增加检测和隔离物、删除它并且将有关这个病毒的信息传递给运行着的IBM痴认s_的系统，使得病毒在其他地方运行之前能被检测出来。

Tags：信阳市潢川县北大青鸟中心,信阳市淮滨县北大青鸟评价,信阳市商城县北大青鸟师资,信阳市新县北大青鸟it学院,信阳市息县北大青鸟初中,郑州适合初中生上的技校