计算机病毒发展：网络安全技术与实例

1.DoS引导阶段

1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。

当时的计算机硬件较少，功能简单，一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”。

2.DoS可执行阶段

1989年，可执行文件型病毒出现，它们利用DoS系统加载执行文件的机制工作，代表为“耶路撒冷”和“星期天”病毒。病毒代码在系统执行文件时取得控制权，修改DoS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。

3.伴随、批次型阶段

1992年，伴随型病毒出现，它们利用DoS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒，它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体，这样，在DoS加载文件时，病毒就取得控制权。这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。

4.幽灵、多形阶段

1994年，随着汇编语言的发展，实现同一功能可以用不同的方式完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。此类病毒可以产生一段有上亿种可能的解码运算程序，病毒体隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

5.生成器、变体机阶段

1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机地插入一些空操作和无关指令，也不影响运算的结果，这样，一段解码算法就可以由生成器生成。当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器”，而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是病毒制造机VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时就不能使用传统的特征识别法，需要在宏观上分析指令，解码后查解病毒。

6.网络、蠕虫阶段(www.xing528.com)

1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在非DoS操作系统中，蠕虫是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

7.视窗病毒阶段

1996年，随着Windows和Windows95日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873。这类病毒的机制更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。

8.宏病毒阶段

1996年，随着Windows Word功能的增强，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开，这类病毒查解比较困难。

9.互联网阶段

1997年，随着Internet的发展，各种病毒也开始利用Internet进行传播，一些携带病毒的数据包和邮件越来越多。随着万维网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail－Bomb病毒，严重影响因特网的效率。

10.主动攻击型阶段

2003年，全球爆发“冲击波”病毒和“震荡波”病毒。这些病毒利用操作系统的漏洞进行进攻型的扩散，并不需要任何媒介或操作，用户只要接入互联网络就有可能被感染。

11.利益驱动阶段

针对国家政治、商业竞争与侵财活动相关的病毒日益增多。2008年“中华吸血鬼”病毒传播案中，山东潍坊两家物流公司为抢夺客户资源，雇用黑客利用DDoS手段大面积入侵联网电脑，导致潍坊40万网通用户一个月不能正常上网。