【eNet硅谷动力专稿】在病毒的发展史上,病毒的出现是有规律的。通常在一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的反站会遏制其流传。当病毒库或操作系统升级后,病毒也会调整为新的方式,产生新的病毒。病毒的发展可以分为一下几个阶段。
1.萌芽阶段
这一阶段从1986年到1989年,这期间出现的病毒可以称为传统的病毒,是计算机病毒的萌芽时期。由于当时应用软件少,而且大多是单机运行环境,因此病毒没有大量流行,病毒种类也比较有限,病毒清除相对比较容易。
1987年,病毒主要以引导型为主,以小球和石头病毒为代表。
1989年,可执行文件型病毒出现,它们利用DOS系统加载可执行文件的机制工作,代表为“耶路撒冷”病毒。
这一阶段的病毒总体上可以分为以下几个特点:
病毒攻击的目标单一,只传染引导扇区或可执行文件;
病毒程序主要采取截取系统中断向量的方式监恐系统的运行状态,并在一定的触发条件下进行传播;
病毒传染目标以后特征比较明显,容易被人发现;
病毒不具有自我保护措施,容易让你分析其原理。
2.综合发展阶段
这个阶段从1989年到1992年,这个阶段是计算机病毒由简单到复杂,由原始走向成熟的阶段。计算机局域网开始应用与普及,许多软件开始向网络应用发展,但由于当时网络安全防护意识缺乏,给计算机病毒的传播带来了第一次流行高峰。
这个极端的病毒,人们习惯称为混合型病毒,可感染引导扇区,又可以感染执行文件,它们利用DOS加载文件的优先顺序进行工作。这个阶段的病毒具有以下几个特点:
病毒攻击的目标趋于混合型
病毒程序不采用明显的截获中断向量的方法监视系统,而采用更为隐蔽的方法驻留内存
病毒感染目标后,没有明显的特征
病毒开始采用自我保护措施,如加密技术,反跟踪技术,制造障碍等,增加了对病毒分析的难度
病毒开始出现变种,隐蔽性更强,破坏更大
3.成熟发展阶段
这个阶段从1992到1995年,病毒开始具有多态性质。病毒每次传染目标时,嵌入宿主程序中的病毒程序大部分可变种,正视由于这个特点,传统的特征码检测病毒法开始了新的探索研究。
1992年在保加利亚发现的黑夜复仇者病毒变种,这是世界上最早发现的多态的实战病毒,它可以用独特的加密算法产生几乎无限数量的不同形态的同一病毒。
1994年过内出现了多态病毒“幽灵”,每感染一次就产生不同的代码,为查杀带来了很大的难度。
在这个阶段,病毒的发展主要集中在病毒技术的提高上,病毒开始向多维化方向发展,对反病毒厂商也提出了新的课题。
4.英特网阶段
1995年到2000年,随着网络的普及,大量的病毒开始利用网络传播,蠕虫开始大规模的传播。由于网络的便利和信息的共享,很快又出现了通过E-mail传播的病毒。由于宏病毒编写简单、破坏性强、清除复杂,加上微软未对WORD文档结构公开,给清除宏病毒带来了不便。
这一阶段的病毒,主要是利用网络来进行传播和破坏,同时为更多的病毒爱好者提供了更大的学习空间和舞台。
5.迅速壮大的阶段
2000年以后,计算机病毒的发展可谓真正到了一个成熟繁荣的阶段,计算机病毒的更新和传播手段更加多样性,网络病毒的目的性也更强。出现了木马,恶意软件等为了特定目的而存在的程序。虽然在木马和恶意软件的产生初期,专家经常争论木马是否属于病毒,但是编者以为其直接对用户的信息和财产安全构成了威胁,应该认为是病毒的一种新的形式。
这个阶段的病毒的主要特点,技术综合利用,病毒变种速度大大加快,有些病毒程序一天甚至出现多次更新和变种。恶意软件和病毒程序直接把矛头对向了杀毒软件,国内更出现了“AV终结者”、熊猫烧香等关闭杀毒软件,屏蔽病毒字样的目的性很强,并在被感染的计算机后台大量下载其他病毒木马的恶意程序和病毒。计算机病毒技术和反病毒技术的竞争进一步激化,反病毒技术也面临着新的洗牌。
【责任编辑 张帅】
