特點
繁殖性
計算機病毒可以像生物
病毒一樣進行繁殖,當
正常程式運行的時候,它也進行運行自身複製,是否具有繁殖、感染的特徵是判斷某段程式為計算機病毒的首要條件。
破壞性
計算機中毒後,可能會導致
正常的程式無法運行,把計算機內的檔案刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複製或產生
變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與
生物病毒不同的是,計算機病毒是一段人為編制的電腦程式代碼,這段程式代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或
存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那么病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如
軟碟、
硬碟、
移動硬碟、
計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的
軟碟已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。
潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處
繁殖、擴散,繼續危害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示
信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對數據檔案做加密、封鎖鍵盤以及使系統死鎖等。
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,
啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
病毒狀態
計算機病毒在傳播的過程中存在兩種狀態:靜態和動態.
靜態病毒,是指存在於輔助存儲介質中的病毒,一般不執行破壞能力和表現功能.其傳播只能通過
拷貝實現.靜態病毒未被載入,未進入記憶體,不能獲得系統執行許可權.病毒處於靜態,有兩種可能:1.沒有用戶啟動該病毒或運行感染了該病毒的檔案;2.該病毒存在於不可執行它功能的作業系統中.
當病毒完成引導,進入記憶體,便處於動態.動態病毒處於運行狀態,通過截獲盜用
系統中斷等方式監視系統運行狀態或竊取系統控制權.病毒的主動傳染和破壞作用,都是動態病毒的運行結果.
我們把病毒由
靜態轉化為動態的過程叫做病毒的啟動.記憶體中的動態病毒又存在兩種形式:可激活態和激活態.當記憶體中的病毒代碼能夠被系統的正常機制所執行的時候,動態病毒便處於可激活狀態.系統正在執行病毒代碼時,病毒處於激活狀態.可激活狀態的病毒通過截獲
系統中斷等正常運行機制來獲得系統控制權,轉化為激活狀態.處於可激活狀態的病毒只能獲得部分系統控制權.而處於激活狀態的病毒獲得了全部的系統控制權.
記憶體中的病毒還有一種狀態----失活態.它的出現是用戶對病毒進行了干預.記憶體中的病毒代碼不能被系統機制正常執行,此時處於失活態.它與靜態病毒的不同僅在於其存在記憶體中且得不到執行.如果用戶把
向量中斷表恢復為
正常值,那么病毒將由激活態轉化為失活態.可激活態的病毒將失去可觸發性.一般激活態病毒不會自己轉化為失活態,失活態的出現必然有外在干預.
針對不同狀態的病毒採用不同的清除方法,對於
靜態病毒一般採用靜態代碼分析,從感染的檔案中"摘除"病毒碼即可,而對於動態
病毒,要先保證記憶體乾淨,然後清理.