计算机病毒程序结构

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来的
第一份关于计算机病毒理论的学术工作（ "病毒" 一词当时并未使用）于 1949 年由约翰·冯·诺伊曼完成。以 "Theory and Organization of Complicated Automata" 为题的一场在伊利诺伊大学的演讲，后改以 "Theory of self-reproducing automata" 为题出版。冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。
1980 年，Jürgen Kraus 于多特蒙德大学撰写他的学位论文 "Self-reproduction of programs"。论文中假设计算机程序可以表现出如同病毒般的行为。
“病毒”一词最早用来表达此意是在弗雷德·科恩（Fred Cohen）1984年的论文《电脑病毒实验》。[7]
1983 年 11月，在一次国际计算机安全学术会议上，美国学者科恩第一次明确提出计算机病毒的概念，并进行了演示。
1986年年初，巴基斯坦兄弟编写了“大脑（Brain）”病毒，又被称为“巴基斯坦”病毒。
1987年，第一个电脑病毒C-BRAIN诞生。由巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）编写。计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。
1988年在财政部的计算机上发现的，中国最早的计算机病毒。
1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”。
1990年，发展为复合型病毒，可感染COM和EXE文件。
1992年，利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒。
1995年，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器” ，幽灵病毒流行中国。[8] 典型病毒代表是“病毒制造机” “VCL”。
1998年台湾大同工学院学生刘盈豪编制了CIH病毒。
2000年最具破坏力的10种病毒分别是：Kakworm，爱虫， Apology-B， Marker ， Pretty ，Stages-A，Navidad，Ska-Happy99 ，WM97/Thus ，XM97/Jin。[9]
2003年，中国大陆地区发作最多的十个病毒，分别是：红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH。[1]
2005年，1月到10月，金山反病毒监测中心共截获或监测到的病毒达到50179个，其中木马、蠕虫、黑客病毒占其中的91%，以盗取用户有价账号的木马病毒（如网银、QQ、网游）为主，病毒多达2000多种。[11]
2007年1月，病毒累计感染了中国80%的用户，其中78%以上的病毒为木马、后门病毒。[12] 熊猫烧香肆虐全球。[13]
2010年，越南全国计算机数量已500万台，其中93%受过病毒感染，感染电脑病毒共损失59000万亿越南盾
病毒分为五种特性

1繁殖性
计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。
2破坏性
计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。破坏引导扇区及BIOS，硬件环境破坏。
传染性
计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件。
3潜伏性
计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作， 会使电脑变慢。
4隐蔽性
计算机病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，隐蔽性计算机病毒时隐时现、变化无常，这类病毒处理起来非常困难。
5可触发性
编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏.
计算机的病毒原理是
病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存， 并设置触发条件，触发的条件是多样化的， 可以是时钟，系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中，进行各种破坏活动等。
病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去
感染的策略
为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写操作。基于这个原因，许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件，那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找其它宿主并伺机加以感染，之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。[22]

非常驻型病毒
非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的文件，一旦搜索到该文件，搜索模块就会启动复制模块进行感染。[23]

常驻型病毒
常驻型病毒包含复制模块，其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存，并确保当操作系统运行特定动作时，该复制模块会被调用。例如，复制模块会在操作系统运行其它文件时被调用。在这个例子中，所有可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如，一个快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成特别的问题。当运行全系统防护时，杀毒软件需要扫描所有可能会被感染的文件。如果杀毒软件没有察觉到内存中有快速感染者，快速感染者可以借此搭便车，利用杀毒软件扫描文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到，这是因为其行为会使得系统性能降低，进而增加被杀毒软件侦测到的风险。相反的，慢速感染者被设计成偶而才对目标进行感染，如此一来就可避免被侦测到的机会。例如，有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。
破坏性
良性病毒、恶性病毒、极恶性病毒、灾难性病毒。
传染方式
引导区型病毒主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的"主引导记录"。
文件型病毒是文件感染者，也称为“寄生病毒”。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。
混合型病毒具有引导区型病毒和文件型病毒两者的特点。
宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。
连接方式
源码型病毒攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。源码型病毒较为少见，亦难以编写。
入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。
操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。
外壳型病毒通常将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。[25]
计算机病毒种类繁多而且复杂，按照不同的方式以及计算机病毒的特点及特性，可以有多种不同的分类方法。同时，根据不同的分类方法，同一种计算机病毒也可以属于不同的计算机病毒种类。
按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类。
根据病毒存在的媒体划分：
网络病毒——通过计算机网络传播感染网络中的可执行文件。
文件病毒——感染计算机中的文件（如：COM，EXE，DOC等）。
引导型病毒——感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。
还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。
根据病毒传染渠道划分：
驻留型病毒——这种病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，它处于激活状态，一直到关机或重新启动
非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。
根据破坏能力划分：
无害型——除了传染时减少磁盘的可用空间外，对系统没有其它影响。
无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。
危险型——这类病毒在计算机系统操作中造成严重的错误。
非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
根据算法划分：
伴随型病毒——这类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。
“蠕虫”型病毒——通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算机将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。
寄生型病毒——除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同还可细分为以下几类。
练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。
诡秘型病毒，它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等对DOS内部进行修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒（又称幽灵病毒），这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
目前的电脑病毒有
WM Word6.0、Word95宏病毒
WM97 Word97宏病毒
XM Excel5.0、Excel95宏病毒
X97M Excel5.0和Excel97版本下发作
XF Excel程序病毒
AM Access95宏病毒
AM97M Access97宏病毒
W95 Windows95、98病毒
Win Windows3.x病毒
W32 32位病毒，感染所有32位Windows系统
WINT 32位Windows病毒，只感染Windows NT
Trojan/Troj 特洛伊木马
VBS VBScript程序语言编写的病毒
VSM Visio VBA宏或script的宏或script病毒
JS JScript编程语言编写的病毒
PE 32位寻址的Windows病毒
OSX OS X的病毒
OSXL OS X Lion或者更新版本的病毒
比特币勒索敲诈病毒
在中国 最有名的还要属2006年年底爆发的熊猫烧香病毒
熊猫烧香（2006年）准确的说是在06年年底开始大规模爆发，以Worm.WhBoy.h为例，由Delphi工具编写，能够终止大量的反病毒软件和防火墙软件进程，病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件，导致用户一打开这些网页文件，IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘和移动硬盘等进行传播，并且利用Windows系统的自动播放功能来运行。
“熊猫烧香”还可以修改注册表启动项，被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。
损失的话大概有上亿美元 此外 这病毒发作的时候 最严重可导致整个互联网瘫痪！ 虽说熊猫烧香病毒已绝亡 但是现在病毒最缺德的要属比特币病毒 这类木马会加密受感染电脑中的docx、pdf、xlsx、jpg等114种格式文件，使其无法正常打开，并弹窗“敲诈”受害者，要求受害者支付3比特币作为“赎金”，而从网上查询到的最近比特币的比价，3比特币差不多人民币也要五六千元。这种木马一般通过全英文邮件传播，木马程序的名字通常为英文，意为“订单”“产品详情”等，并使用传真或表格图标，极具迷惑性。收件人容易误认为是工作文件而点击运行木马程序。这种木马“绑匪”的加密方式复杂，运用的是4096位算法，暴力破解需要数十万年，超级计算机破解需要十几年甚至几十年。而且它使用比特币做“赎金”，这种虚拟货币特点是分散化、匿名、只能在数字世界使用，因此比特币交易难以追踪，而同时木马罪犯也藏身匿名网络，这种名为Tor的匿名网络，曝光了“棱镜计划”的美国中央情报局技术分析员斯诺登曾经推荐使用，因为它可以让用户进行匿名访问，保证其使用的服务器无法被追踪。 还有一种病毒也是你需要注意的 那就是Virus.Win32.Alman.b这个病毒 这是一个感染型的病毒 极短时间内可以感染上千个exe可执行程序和C盘所有文件！
中此病毒的系统，将会很惨，可能不得不备份文档后重装系统。
提醒用户及早升级防范virut病毒，如果不幸中招，可根据受损程度处理。如果系统EXE破坏严重，可以采用备份进行还原，没有备份的情况下，覆盖安装可以最大程度减少损失。实在不想麻烦，可以将机子停用个把星期的时间，然后升级病毒库，再查杀，说不定一切迎刃而解了。
这个病毒使用的加密引擎来自波兰，那个IRC服务器域名为 proxim.ircgalaxy.pl，貌似也是波兰的域名。
1 windows 目录下的linkinfo.dll(33792 字节),正常的linkinfo.dll(19968 字节)在windows\system32目录下,该文件是病毒的感染与传播部分,一旦该文件启动之后,就会从网上下载apphelps.dll(有正常的apphelp.dl文件l,但不在该目录下) 到windows\apppatch目录,并注入explorer.exe,以及多种常见的网游客启端,并利用自带字典猜解局域网内所有机器的共享密码 (sb,估计是从熊猫那学来的,基本上不会成功),若成功则将病毒文件复制过去,并启动守感染程序(ins.exe,只从代码中看出,不过我没有发现这个程序)和守护服务riodrvs.sys(tmd,驱动),那像还会注入一些程序,没仔细看.
2 windows\system32\drivers下的riodrvs.sys,正常的是riodrv.sys,这个程序估计是感染部分exe文件(我的一些exe文件坏了,有些没坏,看不出规律),阻止反编译软件,令icesword,sms之类强力工具不能启动用的,真是强,不过还没有分析这个文件.
还有没有不正常的文件还有待进一步分析.
症状
中毒后压缩文件全部被感染,图标变得肥肿,点击系统盘(简称C盘)以外的盘有时会出现蓝屏,进到系统后,杀毒软件打不开,重装了系统还是不行,再点击C盘以外的盘,又被感染! 想防范这个病毒 不要到陌生网站下载软件 以免被感染。

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。