病毒的发展史与特性计算机病毒被公认为数据安全的头号大敌，据调查显示全球每天就有1万个新病毒出现1，从1987年电脑病毒受到世界范围内的普遍重视，我国也于1989年首次发现电脑病毒。

目前，新型病毒正向更具破坏性、更加隐秘、感染率更高、传播速度更快等方向发展。

因此，必须深入了解电脑病毒的发展史与基本常识，加强对电脑病毒的防范。

病毒的设想：第一份关于计算机病毒理论的学术工作（虽然"病毒"一词在当时并未使用）于1949年由约翰·冯·诺伊曼完成。

当时是以"Theory and Organization of Complicated Automata"为题的一场在伊利诺伊大学的演讲，稍后改以"Theory of self-reproducing automata"为题出版。

冯·诺伊曼在他的论文中描述一个计算机程序如何复制其自身。

1972年，Veith Risak根据冯·诺伊曼在自我复制上的工作为基础发表"Self-reproducing automata with minimal information exchange"1一公司调查显示全球每天就有1万个新病毒出现互联网档案馆的存档，存档日期2005-03-15.，新华网一文。

该文描述一个以西门子4004/35计算机系统为目标，用汇编语言编写，具有完整功能的计算机病毒。

1980年，Jürgen Kraus于多特蒙德大学撰写他的学位论文"Self-reproduction of programs"。

在他的论文中，他假设计算机程序可以表现出如同病毒般的行为。

“病毒”一词最早用来表达此意是在弗雷德·科恩（Fred Cohen）1984年的论文《电脑病毒实验》。

而病毒一词广为人知是得力于科幻小说。

一部是1970年代中期大卫·杰洛德（David Gerrold）的《When H.A.R.L.I.E. was One》，描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序；另一部是约翰·布鲁勒尔（John Brunner）1975年的小说《震荡波骑士》，描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。

2病毒雏形的诞生：1960年代初，贝尔实验室中等一群年轻的研究员制作出了称为Core War的小游戏供闲暇时消遣，将两个人所写的程序放入同一台电脑之后，这两个程序会互相攻击直到有一方失效为止。

这个以最终生存为目标的游戏程序运用了内存重写技术和受困时自我复制以脱离险境等防御其它程序攻击的手法，已经具有了一些计算机病毒的面貌，也被普遍认为是病毒程序的最初原型。

2黑色的病毒产业，新华网文件病毒时代：早期的计算机病毒大都采用将自己寄生于文件的方式进行传播，作为主要的文件交换方式，软盘乃至光盘等文件介质成为病毒滋生的温床。

不过在这个年代，病毒的破坏力普遍不强，病毒作者们热衷于显示一些稀奇古怪的信息，以告诉感染病毒的用户自己是被玩耍的对象。

不过在一些编写失误的病毒感染后，用户的程序可能会遭到破坏，不过这个时代的用户已经习惯于不断的从DOS软盘中复制干净的程序以恢复自己的工作环境。

事实上，文件病毒的统治即使到了今天也没有完全结束，它的基因一直被各种后裔所延续。

包括威金这样的现代化蠕虫，其中也集成了文件寄生机制，透过宿主文件进行感染、隐蔽和传播，已经成为病毒家族的通用战法。

随着网络技术的不断发展，这些精力旺盛的程序员掌握了更快速传播病毒的方法，纯粹的文件病毒开始走向了没落，文件病毒时代也悄悄地结束了。

宏病毒的盛行：由于办公应用软件的功能日益强大，将病毒代码植入到文档当中也可以达到植入可执行文件类似的效果，这让很多编写病毒的程序员欣喜不已，因为文档的交换频率要远远大过可执行文件。

这种基于办公软件宏功能的病毒被理所当然地称之为宏病毒，宏病毒的最早范例已经很难追溯，Concept作为一个典型的宏病毒程序一般被公认是这种病毒的开端。

当微软在打造自己的Office王朝时，肯定没有意识到伴随所生的这种影响深远的病毒种类。

有趣的一点在于，宏病毒的起源似乎就是来自于微软内部，而微软则将这种程序视为一个恶作剧，甚至有一些软件公司贸然地将宏病毒程序打包在自己的软件发行版中。

好在更多的人认识到了这类程序的危险性，否则这个事件真的有可能发展成为一个巨大的玩笑。

随着微软Office不断的发展，宏病毒也进入一个全盛的时期，甚至成为当年发作最多的病毒类型。

直到微软改进了自己的文档格式并采用了更严格的安全规则之后，宏病毒才逐步退出了历史的舞台。

3电子邮件病毒的狂欢：最初的电子邮件都是以文本形式存在的，虽然有可能携带恶意代码，但是病毒本身并不利用电子邮件进行传播。

例如，早期通过电子邮件传播的蠕虫病毒主要依靠操作系统和电子邮件服务的漏洞进行3浅析计算机病毒的危害与防范．万方．2019传播。

真正将电子邮件作为一个传播途径并引起广泛关注的病毒，是被称为Melissa的散播带毒邮件的病毒。

在1999年的3月，就像希腊神话中的女妖Medusa头上的毒蛇一样，Melissa将大量的电子发送到世界的各个角落，就好似巨浪一般席卷了全球用户的电子邮箱。

事实上，Melissa不仅仅是一个电子邮件病毒，它是一个多种元素的综合体，所采用的机制被之后出现的各种流行病毒所效仿，这使其在病毒发展史上具有非凡的意义。

例如，它利用了Word的宏机制、具有蠕虫病毒的繁殖特性、从Outlook地址簿中获得传播地址、使用带有社交工程意味的欺骗性邮件标题，难怪作者在病毒的代码中写下了“It's a new age!”的字样。

从Melissa开始，不断有病毒作者利用电子邮件作为传播机制以达到快速而广泛地传播病毒的目的，而Melissa 创下的病毒传播记录也在不断地被刷新。

也许没人能统计出有多少病毒是通过电子邮件传播的，不过至少在目前所发现的流行病毒中，能够通过电子邮件传播者要占到多数。

电子邮件应用的普及性和发送过程的便利性很适合用来进行病毒传播。

特别是当人们收到来自亲朋好友的邮件时，往往会降低警惕。

可能只有当他们发现自己陷入信任危机时，才会意识到自己成了病毒传播的“帮凶”。

网络蠕虫——病毒发展的里程碑：通过网络传播的蠕虫病毒，事实上在整个计算机病毒的现代史上处于统治地位，它的各种特性已经成为现代病毒的基准。

在1988年，莫里斯蠕虫的出现可以算是病毒发展史上的一个里程碑，某大型机构安全主管Robert Morris博士的儿子Robert Tappan Morris编写了一个程序，这个程序可以在特定型号的UNIX主机之间传播。

尽管有多种不同版本的传说，但比较可信的说法是莫里斯只是为了编写一个探测网络范围和组成的程序，因为莫里斯蠕虫的机制是每感染一台主机就会向回传数据包。

该程序惊人的传播能力给美国尚处于襁褓阶段的网络带来了不小的影响，大量的带宽被占用，许多服务器都发生了异常。

莫里斯蠕虫可以通过网络传播，同时具有自我复制特性，这两点也被视为网络蠕虫的基本特性。

可能更为重要的一点在于，这个病毒的传播模式和所造成的破坏性后果令病毒研究团体认识到了病毒程序的威力。

尽管莫里斯蠕虫的释放极有可能是无心之失，但其示范性作用彻底将网络蠕虫时代的大幕拉开了。

在此后的时间里，蠕虫病毒的地位一直在不断增强，进入2000年之后更是达到了顶峰。

各种传播速度极快同时威力极大的网络蠕虫成为了最令计算机用户头痛的安全威胁。

当代：随着软件的大量应用，以及移动电子设备的普及，间谍软件、移动设备病毒等一些新的形式也开始出现。

感染策略：为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写操作。

基于这个原因，许多病毒都是将自己附着在合法的可执行文件上。

如果用户企图运行该可执行文件，那么病毒就有机会运行。

病毒可以根据运行时所表现出来的行为分成两类。

非常驻型病毒会立即查找其它宿主并伺机加以感染，之后再将控制权交给被感染的应用程序。

常驻型病毒被运行时并不会查找其它宿主。

相反的，一个常驻型病毒会将自己加载内存并将控制权交给宿主。

该病毒于背景中运行并伺机感染其它目标。

传播途径和宿主：病毒主要通过网路浏览以及下载，电子邮件以及可移动磁盘等途径迅速传播。

逃避侦测的方法：隐蔽、自修改、随机加密、多态、变形。

主要特征详解：电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性，通常表现两种以上所述的特征就可以认定该程序是病毒。

传播性。

会不断传播。

隐蔽性。

一般的病毒仅在数KB左右，这样除了传播快速之外，隐蔽性也极强。

部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中，所以在任务管理器中找不到它的单独运行进程。

而病毒自身一旦运行后，就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中，如果凭手工查找很难找到病毒。

感染性。

某些病毒具有感染性，比如感染中毒用户计算机上的可执行文件，通过这种方法达到自我复制，对自己生存保护的目的。

通常也可以利用网络共享的漏洞，复制并传播给邻近的计算机用户群，使邻里通过路由器上网的计算机或网吧的计算机的多台计算机的程序全部受到感染。

潜伏性。

部分病毒有一定的“潜伏期”，在特定的日子，如某个节日或者星期几按时爆发。

可激发性。

根据病毒作者的“需求”，设置触发病毒攻击的条件。

表现性。

病毒运行后，如果按照作者的设计，会有一定的表现特征：如CPU占用率100%，在用户无任何操作下读写硬盘或其他磁盘数据，蓝屏死机，鼠标右键无法使用等。

但这样明显的表现特征，反倒帮助被感染病毒者发现自己已经感染病毒，并对清除病毒很有帮助，隐蔽性就不存在了。

类型：1）网络病毒：通过计算机网络感染可执行文件的计算机病毒2）文件病毒：主攻计算机内文件的病毒3）引导型病毒：是一种主攻感染驱动扇区和硬盘系统引导扇区的病毒此外，还可以基于计算机特定算法对计算机病毒进行分类，主要病毒类型是：1）附带型病毒：通常附带于一个EXE文件上，其名称与EXE文件名相同，但扩展是不同的，一般不会破坏更改文件本身，但在DOS 读取时首先激活的就是这类病毒。

2）蠕虫病毒：它不会损害计算机文件和数据，它的破坏性主要取决于计算机网络的部署，可以使用计算机网络从一个计算机存储切换到另一个计算机存储来计算网络地址来感染病毒。

3）可变病毒：可以自行应用复杂的算法，很难发现，因为在另一个地方表现的内容和长度是不同的。

44浅析计算机病毒及预防的现实意义．万方．2019。