01 江湖第一魔道

◎病毒

知己知彼，百战不殆。

NO.1 小白剧场

小白　东哥，现在的计算机病毒就像有了智慧一样，越来越难对付，难道它们也有人工智能了吗？

大东　哈哈，为了生存，小小的病毒也要不断学习升级啊！那我考考你，计算机病毒常分为哪几种啊？

小白　木马、蠕虫之类的？东哥，你说说吧，我不太确定。

大东　计算机病毒常分为文件病毒、引导型病毒、多裂变病毒、隐蔽病毒、异形病毒等。

小白　哦哦，确实是，嘿嘿！

大东　那你知道它们都有什么特点吗？

小白　容易传播，不容易被发现？

大东　你说得很对，但不是很全面，具体特点包括繁殖性、破坏性、传染性、潜伏性、隐蔽性、可触发性。

小白　原来是这样，不愧是我东哥！

大东　哈哈，过奖！

NO.2 话说事件

小白　说到计算机病毒，东哥给我讲几个病毒的例子呗！

大东　20世纪80年代有一种凶恶的计算机病毒。

小白　是“大麻病毒”吗？

大东　不错啊，小白，知道的也不少啊！

小白　那可不，师傅教得好！东哥，那你给我讲一讲这个“大麻病毒”吧！

大东　“大麻病毒”又叫“新西兰病毒”，是一种磁盘操作系统（Disk Operating System，DOS）引导型病毒。这种病毒能感染磁盘的引导扇区，所以叫引导型病毒。

小白　这种病毒有什么特点呢？

大东　这种病毒程序短小精悍，只几百字节的程序，却可以完成驻留内存、截取中断向量、区分软硬盘等动作，并以此来感染不同的引导扇区。

小白　这么强大！那它攻击时有什么现象呢？

大东　它攻击的时候，计算机屏幕上会显示一行字“Your PC is now Stoned.Legalize Marijuana.”大意为你的计算机已经感染了病毒。

小白　那它开始传播之后我们该如何防御呢？

大东　20世纪80年代末，计算机病毒传入我国，我国公安部立即发布了第一款杀毒软件产品——“KILL”。

小白　这个产品在当时有什么样的意义呢？

大东　“KILL”成为我国反病毒软件行业的先驱者、创造者，产品立足于本地化病毒的查杀，为我国软件产品保驾护航。

小白　我们国家好棒啊！东哥，你再给我讲一讲我们国家与病毒的斗争历程吧！

大东　好的！我就跟你说一说计算机病毒的那些事儿吧。

NO.3 大话始末

大东　病毒随着计算机的发展也在自我升级。自从第一个计算机病毒爆发以来，病毒的种类越来越多，破坏力也越来越强。

小白　那病毒最开始是什么样子的呢？

大东　20世纪80年代初，计算机病毒只存在于实验室中。尽管也有一些病毒传播了出去，但绝大多数都被研究人员严格地控制在了实验室中。但之后病毒便渐渐失控。

小白　第一代病毒是什么时候产生的呢？

大东　病毒的萌芽期和滋生期是在1986年至1989年之间。

小白　这一时期的病毒的主要特点是什么呢？

大东　由于当时应用软件少，而且大多是单机运行环境，因此病毒没有大量流行，种类也很有限，清除病毒相对比较容易。

小白　初期病毒的攻击目标是什么呢？

大东　计算机病毒在这一时期的攻击目标很单纯，主要是感染磁盘引导扇区，或者是感染可执行文件，且感染特征比较明显。

小白　哈哈，好稚嫩的“初代小恶魔”！那1989年之后，病毒是不是就变得难对付了？

大东　当然啦！计算机在发展，病毒也在升级。病毒编制者千方百计地躲避反病毒产品的分析、检测和解毒，从而出现了第二代计算机病毒。第二代计算机病毒称为混合型病毒（又称为“超级病毒”）。

小白　那时候计算机还不是很普及，人们的网络安全意识还不是很强，是不是病毒很容易就得手了？

大东　没错，此阶段的病毒无情肆虐！

小白　那病毒这时的攻击目标是什么呢？

大东　这时病毒的攻击目标趋于混合型，一种病毒既可感染磁盘引导扇区，又可感染可执行文件，并采取更为隐蔽的方法驻留内存和感染目标。它们往往拥有自我保护措施，增加了检测、杀毒的难度。

小白　那反病毒软件有没有什么发展呢？

大东　由于病毒的发展，产生了第一代反病毒引擎——检验法。该方法只能判断系统是否被病毒感染，并不具备病毒清除能力。

小白　单纯检测出来也没用啊，得把它们干掉啊！

大东　先不要急嘛，看你嫉恶如仇的样子，看来平时被病毒欺负得不少啊！

小白　哈哈，东哥，你继续说！

大东　虽然只能判定系统是否感染病毒，不过检验法衍生了真正的反病毒技术——特征码技术。

小白　它具体是什么，怎么反病毒的呢？

大东　它属于第二代反病毒引擎，是反病毒历史上最耀眼的明星。反病毒引擎不但打开了清毒的大门，也为以后反病毒技术的发展打下了坚实的基础。

小白　有没有第二种杀毒技术呢？

大东　第二种杀毒技术叫广谱特征码技术。从本质上说，广谱特征码是一类病毒程序中通用的特征字符串。

小白　那也就是说，例如有10种病毒都使用了一段相同的破坏硬盘的程序，那把公共部分提取出来，就能达到用一个特征码查10个病毒的功效了？

大东　没错，很有悟性嘛！

小白　嘿嘿，过奖了，东哥！那这种技术现在还在用吗？

大东　这种技术方便是方便，但也使误报率大大增加。所以说，对于新病毒的查杀，广谱特征码技术目前已经不是那么有效了。有时候，它还会把正规的程序误当作病毒报给用户。

小白　哦哦，有点“宁可错杀一千，不可放过一个”的意味呢！看来这个武器还是不好用啊！那东哥，给我讲讲变异病毒是怎么回事吧！

大东　此类病毒称为多态性病毒或自我变形病毒。

小白　什么叫多态性呢?

大东　所谓多态性或自我变形，是指此类病毒在每次感染目标时，进入宿主程序中的病毒程序大部分都是可变的，即在搜集到的同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。

小白　那东哥，既然存在变异，提取特征码查杀病毒的这种方法在互联网迅速发展、各种新式病毒层出不穷的时代，是不足以维护网络安全的啊！

大东　没错，但是敌人狡猾，我们也有对策！

小白　什么对策呢？

大东　就是使用“启发式杀毒引擎”！

小白　它有什么特点呢？

大东　它能够通过行为判断、文件结构分析等手段，在较少依赖特征库的情况下查杀未知的木马病毒。

小白　原来如此，这样我们就不怕病毒千变万化了！那在这之后，病毒有没有新发展呢？

大东　随着远程网的兴起、远程访问服务的开通，病毒迅速突破地域限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。

小白　这个时期什么类型的病毒开始猖獗了呢？

大东　这个时期夹杂于电子邮件内的Word宏病毒成为病毒的主流。

小白　这种病毒有什么特点呢？

大东　这一时期的病毒的最大特点是将因特网（Internet）作为其主要传播途径，同时具有传播速度快、隐蔽性强、破坏性大等特点。

小白　网络飞速发展使得病毒的传播速度也加快了！

大东　那是当然！并且病毒的主动性、独立性更强了，变形（变种）速度极快，并向混合型、多样化发展。

NO.4 小白内心说

小白　网络安全日新月异，病毒也在暗自涌动，我们必须要提升反病毒技术！

大东　没错！而且反病毒技术已经成为计算机安全领域的一种新兴的计算机产业（或称反病毒工业）。

小白　还好我们的反病毒技术在进步，每次病毒造成的损失都没给互联网造成致命打击！

大东　小白，那你知道反病毒软件的任务是什么吗？

小白　我还真不知道呢。

大东　反病毒软件的任务是实时监控和扫描磁盘，部分反病毒软件可以通过在系统中添加驱动程序的方式进驻系统，并且可以随着操作系统的启动而启动。大部分的反病毒软件还具有防火墙功能。

小白　但是反病毒软件的实时监控方式也是因软件而异的吧？

大东　确实是，一些反病毒软件可以通过在内存中划分一部分空间的方式，将计算机里流过内存的数据与反病毒软件自身所带的病毒库（包含病毒定义）的特征码进行比较，从而判断其是否为病毒。还有一些反病毒软件则可以在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，并对其行为或结果做出判断。

小白　但是，现在的病毒也是很狡猾的，它们不断变异，不断施展自己的小伎俩！

大东　所以呀，现在的反病毒软件也具有实时升级的功能呢，这种功能最早是由金山毒霸提出的。每一次连接互联网，反病毒软件都自动连接升级服务器来查询升级信息，如果有需要则进行升级。

小白　现在好像还有云查杀技术呢。

大东　没错，更先进的云查杀技术可以实时访问云数据中心进行判断，用户无须频繁升级病毒库即可防御最新病毒。

小白　所以呀，用户不应被厂商大肆宣传的需要每天实时更新病毒库的言论所迷惑。

大东　而且，现在的反病毒软件还具有主动防御功能。这种功能通过动态仿真反病毒专家系统对各种程序动作进行自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定病毒，达到主动防御的目的。

小白　现在的反病毒软件也很“聪明”呢。

大东　没错，毕竟邪不胜正！病毒不断卷土重来，我们也会一次次将其置于死地！正是因为敌人的存在，我们的技术才能不断进步！