计算机病毒的特点

9.1.2　计算机病毒的特点

要做好反病毒技术的研究，首先要认清计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。根据对计算机病毒的产生、传染和破坏行为的分析，可总结出病毒的几个主要特点。

1.刻意编写，人为破坏

计算机病毒不是偶然自发产生的，而是人为编写、有意破坏的、严谨精巧的程序段，能与所在环境相互适应并紧密配合。有的病毒编制者为了相互交流或合作，甚至形成了专门的病毒组织。

2.自我复制能力

自我复制能力也称“再生”或“传染”。再生机制是判断是不是计算机病毒的最重要依据，是病毒的基本特征。在生物界，病毒从一个生物体扩散到另一个生物体，在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行后，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。一台计算机一旦染毒，如不及时处理，那么病毒就会在这台机子上迅速扩散，并感染其中的大量文件（一般是可执行文件），而被感染的文件又成了新的传染源，在与其他机器进行数据交换或通过网络接触时，病毒会继续进行传染。携带病毒代码的文件称为计算机病毒载体或带毒程序。一台感染了病毒的计算机，本身既是一个受害者，又是一个计算机病毒的传播者，它通过各种可能的渠道，如软盘、光盘、活动硬盘或网络去传染其他的计算机。

正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘也已感染上了病毒，而与这台机器相联网的其他计算机同样可能被该病毒感染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

病毒往往能未经授权而执行。一般正常的程序都是由用户调用，再由系统分配资源，完成用户交给的任务，其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，在用户调用正常程序时窃取系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。

3.夺取系统控制权

病毒为了完成感染、破坏系统的目的，必然要取得系统的控制权，这是计算机病毒的另外一个重要特点。计算机病毒在系统中运行时，首先要做初始化工作，在内存中找到一块安身之地，随后再执行一系列操作取得系统控制权。系统每执行一次操作，病毒就有机会完成病毒代码的传播或进行破坏活动。反病毒技术也正是抓住计算机病毒的这一特点，提前取得系统控制权，阻止病毒取得系统控制权，然后识别出计算机病毒的代码和行为。

4.隐蔽性

病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，其目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。正是由于隐蔽性，计算机病毒才得以在用户没有察觉的情况下扩散到上百万台计算机中。

计算机病毒的隐蔽性还表现在病毒代码本身设计得非常短小，一般只有几百或1K字节，PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人不易察觉，非常便于隐藏到其他程序中或磁盘的某一特定区域内。不经过程序代码分析或计算机病毒代码扫描，人们是很难区分病毒程序与正常程序的。随着病毒编写技巧的提高，病毒代码本身还进行着加密或变形，使得对计算机病毒的查找和分析更困难，很容易造成漏查或错杀。

5.潜伏性

大部分病毒在感染系统后一般不会马上发作，它可长期隐藏在系统中，除了传染外，不表现出破坏性，这样的状态可能保持几天，几个月甚至几年，只有在满足其特定的触发条件后才启动其表现模块，显示发作信息或进行系统破坏。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。

6.破坏性

任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病毒可能只显示些画面或播出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。

7.不可预见性

不同种类病毒的代码千差万别，病毒的制作技术也在不断提高。同反病毒软件相比，病毒永远是超前的。新的操作系统和应用系统的出现以及软件技术的不断发展，也为计算机病毒提供了新的发展空间，对未来病毒的预测将更加困难，这就要求人们不断提高对病毒的认识，增强防范意识。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。所以使用这种方法对病毒进行检测势必会造成较多的误报情况。