作者：黑蛋

在電視劇《你安全嗎？》第七集中，因?yàn)橹苡蔚乃览p爛打，秦淮第一次提起了他和陳默以前的事情，也給出了之前虎迫公司開除陳默的原因：陳默媽媽被詐騙團(tuán)伙騙掉所有積蓄，又因?yàn)榇耸伦呱癯隽塑嚨湆?dǎo)致癱瘓，陳默一心想要查到詐騙集團(tuán)線索，于是研究出病毒“復(fù)仇”：

但是事情敗露，被公安局帶走。

這就導(dǎo)致陳默在網(wǎng)絡(luò)安全界名聲臭到頂峰，一個(gè)技術(shù)大牛不利用技術(shù)做正事，卻研究病毒投放網(wǎng)站，被圈內(nèi)人唾棄。今天我們就借此淺聊一下病毒。

一、計(jì)算機(jī)病毒簡介

計(jì)算機(jī)病毒是人為制造的，有破壞性，又有傳染性和潛伏性的，對計(jì)算機(jī)信息或系統(tǒng)起破壞作用的程序。它不是獨(dú)立存在的，而是隱蔽在其他可執(zhí)行的程序之中。計(jì)算機(jī)中病毒后，輕則影響機(jī)器運(yùn)行速度，重則死機(jī)系統(tǒng)破壞；因此，病毒給用戶帶來很大的損失，通常情況下，我們稱這種具有破壞作用的程序?yàn)橛?jì)算機(jī)病毒。

二、計(jì)算機(jī)病毒分類

（1）媒體分類：

?引導(dǎo)型病毒：指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。此種病毒利用系統(tǒng)引導(dǎo)時(shí)，不對主引導(dǎo)區(qū)的內(nèi)容正確與否進(jìn)行判別的缺點(diǎn)，在引導(dǎo)型系統(tǒng)的過程中侵入系統(tǒng)，駐留內(nèi)存，監(jiān)視系統(tǒng)運(yùn)行，待機(jī)傳染和破壞。

?文件型病毒：主要通過感染計(jì)算機(jī)中的可執(zhí)行文件（.exe）和命令文件(.com)。文件型病毒是對計(jì)算機(jī)的源文件進(jìn)行修改，使其成為新的帶毒文件。一旦計(jì)算機(jī)運(yùn)行該文件就會(huì)被感染，從而達(dá)到傳播的目的。

?混合型病毒：指具有引導(dǎo)型病毒和文件型病毒寄生方式的計(jì)算機(jī)病毒

（2）鏈接方式分類：

?源碼型病毒：攻擊高級語言編寫的程序，病毒在高級語言編寫的程序編譯之前插入到源程序中，經(jīng)編譯成功后成為合法程序的一部分。

?嵌入型病毒：指病毒是將自身嵌入到現(xiàn)有程序中，把計(jì)算機(jī)病毒的主體程序與其攻擊的對象以插入的方式鏈接。

?操作系統(tǒng)型病毒：用它自己的程序加入操作系統(tǒng)或者取代部分操作系統(tǒng)進(jìn)行工作，具有很強(qiáng)的破壞力，會(huì)導(dǎo)致整個(gè)系統(tǒng)癱瘓。而且由于感染了操作系統(tǒng)，這種病毒在運(yùn)行時(shí)，會(huì)用自己的程序片斷取代操作系統(tǒng)的合法程序模塊。

（3）攻擊系統(tǒng)分類：

?DOS病毒：只能在DOS環(huán)境下運(yùn)行（引導(dǎo)型病毒不局限于DOS操作系統(tǒng)而存在，早期的某些單純占用引導(dǎo)記錄來作為病毒體的病毒，至今仍可破壞計(jì)算機(jī)硬盤引導(dǎo)記錄），傳染的計(jì)算機(jī)病毒，是最早出現(xiàn)的計(jì)算機(jī)病毒。

?Windows病毒：指能感染W(wǎng)indows可執(zhí)行程序并可在Windows下運(yùn)行的一類病毒。

?UNIX、Linux病毒：只感染Unix、Linux操作系統(tǒng)的病毒。

?物聯(lián)網(wǎng)病毒：針對硬件進(jìn)行感染。

?APP病毒：對移動(dòng)APP進(jìn)行感染。

（4）功能分類：

?蠕蟲：可以自我復(fù)制并感染其它計(jì)算機(jī)病毒。

?后門：攻擊者可以繞過安全認(rèn)證，遠(yuǎn)程控制受感染的計(jì)算機(jī)。

?僵尸網(wǎng)絡(luò)：由大量被感染的計(jì)算機(jī)組成的網(wǎng)絡(luò)，可以發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊，例如DDOS攻擊。

?木馬：通過特定的程序木馬程序來控制另一臺計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序，一個(gè)是控制端，另一個(gè)是被控制端，與一般的病毒不同，它不會(huì)自我繁殖，也并不刻意地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機(jī)的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機(jī)。

?下載器、啟動(dòng)器：用來下載和執(zhí)行其它病毒的惡意代碼。

?間諜軟件：從受害者計(jì)算機(jī)上收集信息并發(fā)送給攻擊者的惡意代碼。

?廣告軟件：附帶廣告的電腦程序，以廣告作為盈利來源的軟件。此類軟件往往會(huì)強(qiáng)制安裝并無法卸載;在后臺收集用戶信息牟利，危及用戶隱私;頻繁彈出廣告，消耗系統(tǒng)資源，使其運(yùn)行變慢等。

?捆綁軟件：捆綁軟件是指用戶安裝一個(gè)軟件時(shí)，該軟件會(huì)自動(dòng)安裝單個(gè)或多個(gè)軟件。安裝時(shí)它是在靜默安裝，并沒有告訴用戶是否要安裝這個(gè)軟件。

?Rootkit:獲得計(jì)算機(jī)root權(quán)限的工具，可以用來隱藏其它計(jì)算機(jī)病毒。

?勒索軟件：通過加密受感染用戶的文件或硬盤，索要贖金的病毒。

?垃圾郵件發(fā)送病毒：感染用戶計(jì)算機(jī)之后，使用系統(tǒng)與網(wǎng)絡(luò)資源來發(fā)送大量的垃圾郵件，例如廣告郵件、釣魚郵件等。

（5）攻擊目標(biāo)分類：

?大眾型的計(jì)算機(jī)病毒：比如勒索軟件，采用的是一種撒網(wǎng)撈魚的方法，設(shè)計(jì)目標(biāo)是感染盡可能多的機(jī)器。這類惡意代碼比較普遍，惡意行為比較明顯，容易被檢測和防御。

?針對型的計(jì)算機(jī)病毒：比如特質(zhì)的后門病毒，是針對特定組織而研制的。不是廣泛傳播的，樣本收集難度大。代碼非常復(fù)雜，病毒分析往往要借助于一些高分析技巧。例如震網(wǎng)病毒，定向攻擊工業(yè)系統(tǒng)。

三、計(jì)算機(jī)病毒傳播途徑

（1）通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行病毒傳播：如U盤、CD、軟盤、移動(dòng)硬盤等都可以是傳播病毒的路徑，而且因?yàn)樗鼈兘?jīng)常被移動(dòng)和使用，所以它們更容易得到計(jì)算機(jī)病毒的目標(biāo)，成為計(jì)算機(jī)病毒的攜帶者。

（2）通過網(wǎng)絡(luò)來傳播：這里描述的網(wǎng)絡(luò)方法也不同，網(wǎng)頁、電子郵件、QQ、BBS等都可以是計(jì)算機(jī)病毒網(wǎng)絡(luò)傳播的途徑，特別是近年來，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和互聯(lián)網(wǎng)的運(yùn)行頻率，計(jì)算機(jī)病毒的速度越來越快，范圍也在逐步擴(kuò)大。

（3）利用計(jì)算機(jī)系統(tǒng)和應(yīng)用軟件的漏洞傳播：近年來，越來越多的計(jì)算機(jī)病毒利用應(yīng)用系統(tǒng)和軟件漏洞傳播出去因此這種途徑也被劃分在計(jì)算機(jī)病毒基本傳播方式中

四、計(jì)算機(jī)病毒危害

1、破壞內(nèi)存，電腦破壞內(nèi)存的方法主要是大量占用你的計(jì)算機(jī)內(nèi)存、禁止分配內(nèi)存、修改內(nèi)存容量和消耗內(nèi)存4種。病毒在運(yùn)行時(shí)占用大量的內(nèi)存和消耗大量的內(nèi)存資源，導(dǎo)致系統(tǒng)資源匱乏，進(jìn)而導(dǎo)致死機(jī)。

2、破壞文件，病毒破壞文件的方式主要包括重命名、刪除、替換內(nèi)容、顛倒或復(fù)制內(nèi)容、丟失部分程序代碼、寫入時(shí)間空白、分割或假冒文件、丟失文件簇和丟失數(shù)據(jù)文件等。受到病毒壞的文件，如果不及時(shí)殺毒，將不能使用。

3、影響電腦運(yùn)行速度，病毒在電腦中一旦被集火，就會(huì)不停的運(yùn)行，占用了電腦大量的系統(tǒng)資源，使電腦的系統(tǒng)資源，使電腦的運(yùn)行速度明顯減慢。

4、影響操作系統(tǒng)正常運(yùn)行， 電腦病毒還會(huì)破壞操作系統(tǒng)的正常運(yùn)行，主要表現(xiàn)方式包括自動(dòng)重啟電腦、無故死機(jī)、不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、打不開文件、虛假報(bào)警、占用特殊數(shù)據(jù)區(qū)、強(qiáng)制啟動(dòng)軟件和擾亂各種輸出/入口等。

5、破壞硬盤，電腦病毒攻擊硬盤主要表現(xiàn)包括破壞硬盤中存儲(chǔ)的數(shù)據(jù)、不讀/寫盤、交換操作和不完全寫盤等。

6、破壞系統(tǒng)數(shù)據(jù)區(qū)，由于硬盤的數(shù)據(jù)區(qū)中保存了很多的文件及重要數(shù)據(jù)，電腦病毒對其進(jìn)行破壞通常會(huì)引起毀滅性的后果。病毒主要攻擊的是硬盤主引導(dǎo)扇區(qū)、BOOT扇區(qū)、FAT表和文件目錄等區(qū)域，當(dāng)這些位置被病毒破壞的時(shí)候，只能通過專業(yè)的數(shù)據(jù)恢復(fù)來還原數(shù)據(jù)了。

五、計(jì)算機(jī)病毒防范

（1）安裝最新的殺毒軟件，經(jīng)常升級病毒庫，定期對計(jì)算機(jī)進(jìn)行病毒查殺；

（2）不要盲目從網(wǎng)上下載東西，應(yīng)該在相應(yīng)官網(wǎng)或者正規(guī)途徑的軟件商店下載；

（3）不要使用來歷不明的移動(dòng)存儲(chǔ)設(shè)備；

（4）及時(shí)更新系統(tǒng)和軟件最新版本。

六、計(jì)算機(jī)病毒相應(yīng)崗位舉例

另外，如果有朋友對計(jì)算機(jī)病毒感興趣，卻沒有學(xué)習(xí)方向，可以了解一下我們極安御信高級攻防課程以及最新的直播班紅隊(duì)安全。