计算机病毒发展史.ppt

LOGO计算机病毒史计算机病毒史LOGO电脑病毒的老祖宗电脑病毒的老祖宗——核心大战核心大战(core war)n 早在1949年, 距离第一部商用电脑的出现还有好几年时, 电脑先驱者德国科学家冯·诺伊曼(John Von Neumann) 在他所提出的一篇论文《复杂自动装置的理论及组织的进行》中, 就已把病毒程式的蓝图勾勒出来了, 当时绝大部份的电脑专家都无法想像这种会自我繁殖的程式是可能的只有少数几个科学家默默地研究冯·诺伊曼所提出的概念直到十年后, 在美国电报公司(AT&T) 的贝尔(Bell)实验室中，三个年轻的程序员道格拉斯·麦基尔罗伊(H, Douglas McIlroy)、 维克多·维索特斯克(Victor Vysottsky)以及罗伯特.莫里斯(Robert T. Morris)，当时三人年纪都只有二十多岁，常在工作后留在实验室里玩起他们自己创造的电子游戏 ，这种电子游戏叫做“核心大战(core war)“ 　　 n 附注: Robert T. Morris就是后来写了一个Worm病毒把Internet搞的天翻地覆的那个Robert T.Morris Jr.的爸爸，当时大Morris刚好是负责Arpanet网路安全。

冯·诺伊曼2LOGO核心大战定义及玩法 玩法 双方各编一组再生程序，输入同一部电脑中，这两套程序在电脑的记忆系统内互相追杀,有时它们会设下一些关卡，有时会停下来修理(重新写)被对方破坏的几行指令，当它被困时，也可以把自己复制一次，逃离险境这个游戏的特点，在于双方的程序进入计算机内存后，玩游戏的人只能看著屏幕上显示的战况,而不能做任何更改，一直到某一方的程序被另一方的程序完全“吃掉”为止定义 核心大战是个笼统的名称，事实上还可细分成好几种，麦基尔罗伊所写的叫“达尔文”这包含了“[物竞天择，适者生存”的意思它的游戏规则跟以上所描述的最接近，双方以汇编语言(Assembly Language)各编一组再生程序，叫有机体(organism)，这两个“有机体”在电脑里争斗不休，直到一方把另一方杀掉而取代之，便算分出胜负在比赛时 Morris经常击败对手3LOGO世界第一个计算机病毒的出现 前面所讲的核心大战只是计算机“病毒”的第一个雏形而到20世纪70年代，美国作家雷恩在其出版的<>一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

1982年，elk cloner病毒出现在苹果电脑中，这个由里奇·斯克伦塔(Rich Skrenta) 编写的恶作剧程序,是世界上已知的第一个电脑病毒当elk cloner发作时，电脑屏幕上会现出一段韵文 it will get on all your disks（它会占领你所有的磁盘） it will infiltrate your chips（潜入你的芯片） yes it’s cloner! （是的，它就是克隆病毒！） it will stick to you like glue（它会像胶水一样粘着你） it will modify ram too（也会修改你的内存） send in the cloner! （传播这个克隆病毒！） 1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在vax/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中 20世纪80年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导这就是最早在世界上流行的一个真正的病毒。

4LOGO 1998年11月2日美国发生了“蠕虫计算机病毒”事件，给计算机技术的发展罩上了一层阴影蠕虫计算机病毒是由美国CORNELL大学研究生莫里斯编写虽然并无恶意，但在当时，“蠕虫”在Internet上大肆传染，使得数千台联网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点美国6000多台计算机被计算机病毒感染，造成Inter net不能正常运行这一典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组此次事件中遭受攻击的包括5个计算机中心和拥有政府合同的25万台计算机这次计算机病毒事件，计算机系统直接经济损失达9600万美元 这个计算机病毒是历史上第一个通过Internet传播的计算机病毒它的设计者罗伯特-莫里斯正是利用系统存在的弱点编写了入侵Arpanet网的最大的电子入侵者，从而获准参加康奈尔大学的毕业设计，并获得哈佛大学Aiken中心超级用户的特权他也因此被判3年缓刑，罚款1万美元，还被命令进行400小时的新区服务，成为历史上第一个因为制造计算机病毒受到法律惩罚的人，从而揭开了世界上通过法律手段来解决计算机病毒问题的新一页。

世界第一个计算机病毒的出现5LOGO计算机病毒的发展趋势在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术总的说来，病毒可以分为以下几个发展阶段：n 1.DOS引导阶段 1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播n 2.DOS可执行阶段 1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”，“星期天”等病毒可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加1990年，发展为复合型病毒，可感染COM和EXE 文件6LOGO计算机病毒的发展趋势n3.伴随体型阶段 1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。

具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM 文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易其典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除n4.变形阶段 1994年，汇编语言得到了长足的发展要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果而典型的多形病毒─幽灵病毒就是利用这个特点，每感染一次就产生不同的代码例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除7LOGOn5.变种阶段 1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。

这样，某些解码算法可以由生成器生成不同的变种其代表作品─“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度n6.网络、蠕虫阶段 1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在n7.窗口阶段 1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂计算机病毒的发展趋势8LOGOn8.宏病毒阶段 1996年，随着MS Office功能的增强及盛行，使用Word宏语言也可以编制病毒，这种病毒使用类Basic 语言，编写容易，感染Word文件文件由于Word文件格式没有公开，这类病毒查解比较困难。

n9.互联网、感染邮件阶段 1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，电脑就有可能中毒n10.爪哇、邮件炸弹阶段 1997年，随着互联网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率计算机病毒的发展趋势9LOGO病毒的演化及发展过程当前电脑病毒的最新发展趋势主要可以归结为以下几点：n1.病毒在演化 任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病毒，使其功能更完善，病毒在不断的演化，使杀毒软件更难检测n2.千奇百怪病毒出现 现在操作系统很多，因此，病毒也瞄准了很多其他平台，不再仅仅局限于Microsoft Windows平台了 n3.越来越隐蔽 一些新病毒变得越来越隐蔽，同时新型电脑病毒也越来越多，更多的病毒采用复杂的密码技术，在感染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由于随机数算法的结果多达天文数字，所以，放入宿主程序中的病毒程序每次都不相同。

这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难同时，制造病毒和查杀病毒永远是一对矛盾，既然杀毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变因此，反病毒还需要很多专家的努力！10。