计算机病毒的发展

在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术
的发展会抑制其流传。操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。它可划分为：
1、DOS引导阶段
&127;&127;1987年，计算机病毒主要是引导型病毒，具有代表性的是:小球和石头病毒。
当时的计算机硬件较少功能简单一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作它们修改系统启
动扇区在计算机启动时首先取得控制权减少系统内存修改磁盘读写中断影响系统工作效率在系统存取磁盘时进行传
播。1989年引导型病毒发展为可以感染硬盘典型的代表有"石头2"。
2、DOS可执行阶段
&127;&127;1989年可执行文件型病毒出现它们利用DOS系统加载执行文件的机制工作代表为"耶路撒冷""星期天"病毒 病毒
代码在系统执行文件时取得控制权修改DOS中断在系统调用时进行传染并将自己附加在可执行文件中使文件长度增加。
1990年发展为复合型病毒可感染COM和EXE文件。
3、伴随、批次型阶段
&127;&127;1992年伴随型病毒出现它们利用DOS加载文件的优先顺序进行工作。具有代表性的是"金蝉"病毒它感染EXE文件时
生成一个和EXE同名的扩展名为COM伴随体; 它感染COM文件时改为原来的COM文件为同名的EXE文件在产生一个原名的伴
随体文件扩展名为COM。这样在 DOS加载文件时病毒就取得控制权。这类病毒的特点是不改变原来的文件内容日期及
属性解除病毒时只要将其伴随体删除即可。在非 DOS操作系统中一些伴随型病毒利用操作系统的描述语言进行工作具
有典型代表的是 "海盗旗"病毒它在得到执行时询问用户名称和口令然后返回一个出错信息将自身删除。批次型病毒
是工作在DOS下的和"海盗旗"病毒类似的一类病毒。
4、幽灵、多形阶段
&127;&127;1994年随着汇编语言的发展实现同一功能可以用不同的方式进行完成这些方式的组合使一段看似随机的代码产生
相同的运算结果。幽灵病毒就是利用这个特点每感染一次就产生不同的代码。例如"一半"病毒就是产生一段有上亿种可
能的解码运算程序病毒体被隐藏在解码前的数据中查解这类病毒就必须能对这段数据进行解码加大了查毒的难度。多
形型病毒是一种综合性病毒它既能感染引导区又能感染程序区多数具有解码算法一种病毒往往要两段以上的子程序方
能解除。
5、生成器、变体机阶段
&127;&127;1995年在汇编语言中一些数据的运算放在不同的通用寄存器中可运算出同样的结果随机的插入一些空操作和无关
指令也不影响运算的结果这样一段解码算法就可以由生成器生成。当生成的是病毒时这种复杂的称之为病毒生成器和
变体机就产生了。具有典型代表的是"病毒制造机" VCL它可以在瞬间制造出成千上万种不同的病毒查解时就不能使用传
统的特征识别法需要在宏观上分析指令解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。
6、网络、蠕虫阶段
&127;&127;1995年随着网络的普及病毒开始利用网络进行传播它们只是以上几代病毒的改进。在非DOS操作系统中"蠕虫"是典
型的代表它不占用除内存以外的任何资源不修改磁盘文件利用网络功能搜索网络地址将自身向下一地址进行传播有时
也在网络服务器和启动文件中存在。
7、视窗阶段
&127;&127;1996年随着Windows和Windows95的日益普及利用Windows进行工作的病毒开始发展它们修改(NEPE)文件典型的代表
是DS.3873这类病毒的机制更为复杂它们利用保护模式和API调用接口工作解除方法也比较复杂。
8、宏病毒阶段
&127;&127;1996年随着Windows Word功能的增强使用Word宏语言也可以编制病毒这种病毒使用类Basic语言编写容易感染Word
文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开这类病毒查解比较困难。
9、互连网阶段
&127;&127;1997年随着因特网的发展各种病毒也开始利用因特网进行传播一些携带病毒的数据包和邮件越来越多如果不小心打
开了这些邮件机器就有可能中毒。
10 Java、邮件炸弹阶段
&127;&127;1997年随着万维网上Java的普及利用Java语言进行传播和资料获取的病毒开始出现典型的代表是JavaSnake病毒。还
有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率