中國計算機病毒發展史

[摘要] 計算機病毒，是一段附着在其餘程序上的，能夠實現自我繁殖的程序代碼。自從1985年在美國被當衆證實其存在性以後，計算機病毒技術獲得了日新月異的發展； 各路高手出於種種目的，紛紛編寫了各式各樣的計算機病毒，在Win-Intel平臺上掀起了一股股計算機病毒狂潮。在這股狂潮中，做爲一個計算機技術高速發展中的國家，中國首當其衝，受到了猛烈的衝擊。　　計算機病毒，是一段附着在其餘程序上的，能夠實現自我繁殖的程序代碼。自從1985年在美國被當衆證實其存在性以後，計算機病毒技術獲得了日新月異的發展； 各路高手出於種種目的，紛紛編寫了各式各樣的計算機病毒，在Win-Intel平臺上掀起了一股股計算機病毒狂潮。在這股狂潮中，做爲一個計算機技術高速發展中的國家，中國首當其衝，受到了猛烈的衝擊。

　　嶄露頭角

　　大約是在1988年，隨着軟件交流，石頭和小球病毒跟隨軟盤悄悄地經過香港和美國進入了中國內地，並在人們的懵懂之間在大型企業和研究所間廣爲傳播。直到病毒發做，人們才猛然驚醒！目前通常認爲，小球病毒是國內發現的第一個計算機病毒。因爲當時廣泛使用軟盤來啓動系統，所以這兩個系統病毒在大江南北廣爲流傳，成了當時國內最流行的計算機系統病毒。跟隨系統病毒以後，各路文件病毒也迅速登錄，巴基斯坦、維也納和雨點等病毒令國人大爲震驚之餘，對其精湛的編程技藝，也有耳目一新的感受。

　　風聲鶴唳

　　1989到1991年是計算機病毒在中國迅速壯大的階段，各色病毒揭竿而起，在中國大遍地開花。那時因爲家庭電腦還沒有普及，所以各家研究所和高等院校等計算機密集的地區成了計算機病毒的重災區，並且每每是多種不一樣病毒反覆交叉感染。米開朗琪羅和黑色星期五這兩個文件病毒首開破壞軟件系統之先河，在神州大地上大肆破壞。以致於中央電視臺新聞聯播等各大新聞媒體紛紛報道，聲勢之大，一時無兩，決不遜色於名震世界的CIH病毒，甚至出現了「帶口罩防計算機病毒傳染」的笑話。更嚴重的是，國內的程序開發高手在通過短暫的迷惑以後，經過剖析病毒體，迅速掌握了病毒的編寫技術，廣州一號、中國×××、「六·四」和毛毛蟲等各類國產病毒紛紛登場亮相。這個時期出版的各類剖析計算機病毒的書刊，不能說不起了推波助瀾的做用；而好奇的大學生們，則成爲了國產病毒的最早試製者。例如廣州一號，就是廣州大學一位在校學生研究病毒的副產品。不過，隨着軟件技術的發展，國人逐漸瞭解和掌握了計算機病毒，計算機病毒已再也不神祕；SCAN和TBAV等反病毒軟件紛紛從國外引入，雷軍等人也開始嘗試本身編寫一些國產反病毒軟件。而華星等硬件防病毒卡更是風行一時，其硬件防病毒技術當時即便在全世界範圍內也是處於領先地位的。

　　巔峯之做

　　在人們逐漸掌握反計算機病毒的以後，計算機病毒開始試圖經過各類方式來掩飾本身。長達4K的世紀病毒，經過全面地接管系統功能調用，作到了在帶毒環境下，除了反彙編內存以外，其餘軟件都絲絕不能覺察病毒的存在，能夠說是一個編寫得最認真的病毒。到了1992年，舊的計算機病毒技術已經徹底被掌握，一些防病毒卡甚至宣稱能夠防範全部的已知和未知的病毒，人們彷佛已經看到了計算機病毒的末日了。此時，一個叫作DIR II的病毒橫空出世。這個病毒編寫得是如此之巧妙，短短的512個字節的程序代碼，就鑽入了DOS操做系統的核心，實現了加密、解密和傳染的功能，並且巧妙地躲過了各類防病毒軟件和防毒卡的防線，達到增一分則太多，減一分則太少的境界。其高超的編程技術使人歎爲觀止，至今仍爲計算機病毒的典範之做。DIR II病毒迅速摧毀了各類防病毒卡，爲防病毒軟件開闢了一條新的道路。人們開始認識到，反計算機病毒是一個漫長而曲折的過程，而防病毒軟件由於其良好的兼容性，低廉的價格和方便的升級能力而逐漸獲得了廣大用戶的承認。

　　末路狂奔

　　1993年之後，隨着DIR II病毒被完全識穿，以及在 KILL、SCAN和KVXXX系列等各類反病毒軟件的一路窮追猛打下，計算機病毒在中國彷佛已經窮途末路了。各類新病毒都只能是曇花一現，不再能掀起什麼大的波瀾。值得注意的是，1995年之後，因爲家用電腦的普及和盜版光盤的興起，一些病毒也藉助於盜版光盤之勢，迅速壯大。

　　最著名的是夜賊病毒，當時幾乎在全部的盜版光盤上都有它的影蹤。當年就爲了安全帶毒安裝光盤上的軟件（光盤上的病毒但是沒法殺除的），特意編寫了一個ANTI1150程序。不過，火山爆發老是在沉寂之中醞釀的。此時，國外出現了各類專門討論計算機病毒技術的地下站點，他們編寫病毒雜誌，散發IVP、VCL和G2000等各類專門的計算病毒引擎。 藉助於這些工具，任何懂得簡單的彙編語言的人，均可以編寫出本身須要的計算機病毒。1997年，以上這幾個計算病毒引擎軟件都經過互連網絡和盜版光盤傳入中國，並帶來必定的危害。在這個時期，病毒的數量呈現了幾何數級的增加，截至止1996年，估計各類病毒及其變體就超過了一萬種。

　　死灰復燃

　　1996年，計算機病毒技術又有了日新月異，爲了躲避反病毒軟件的監視，新的變種病毒應運而生。之前例如雨點等病毒只是運用簡單的一維變形技術來掩飾本身，如今，二維變形以致於無窮變形病毒開始出現，之前那種採用特徵代碼串來標識計算機病毒的技術又開始失效。真是道高一尺，魔高一丈。最早傳入中國的是「幽靈」，隨後是「猴子」等兩棲（同時感染系統和文件）變形病毒，這些病毒前後在必定範圍內流行。不過因爲反病毒軟件的及時跟進，以及國人已經習慣於綜合使用各類反病毒軟件，所以這些病毒都沒有能掀起太大的風浪。不過使人擔心的是，隨着國際互連網絡的普及，計算機病毒編寫者開始經過互連網絡來交流編程技術和心得體會。網上也出現了專門的變種病毒工具，使用這些工具，任何人均可以編寫出帶無窮變形的計算機病毒。國內的福州大學系列變形病毒就是這些工具的產品。值得慶幸的是，隨着計算機硬件的提升，Windows以致於Windows 95逐漸成爲國人通用的操做系統。與DOS系統技術完全被掌握不一樣， Windows以及Windows 95徹底沒有被公開，其中的不少系統功能和特色還沒有被通常人掌握，所以針對Windows和Windows95的病毒不多見，之前一直只在一些地下站點看見過，並且都是一些試驗產品，技術還沒有徹底成熟。在Windows平臺下，系統和文件病毒的數量要大大減小了。

　　黃昏插曲

　　提到中國的病毒的發展，就不能不提如下的這一段插曲。

　　1997年，有好事者在美國的地球村免費網站上創建了一個叫作「毒島論壇」的站點，專門討論反病毒技術，評比國內的反病毒軟件和提供它們的的解密程序。這年有一種不甚起眼，可是不能不提的888病毒，這是一個系統病毒，實際上並不流行， 只是由於某一軟件公司的大肆宣揚，才使之在業界廣爲人知。雖然業界盛傳某公司利用製毒、放毒和殺毒來宣傳本身，可是事實一直沒有什麼端倪。到了97年的下半年，「毒島論壇」宣稱KV300軟件中有病毒！而且迅速在網上公佈了病毒的反彙編代碼（因爲KV 300軟件是通過加密的，所以通常人沒法簡單地看到這一段代碼）。數天以後，出於種種考慮，數家反病毒軟件公司在京召開了記者招待會，聲討這種行爲。而江民公司本身則辯稱這是一個「邏輯鎖」，不是病毒。通過反彙編了相關的代碼，發現「邏輯鎖」的機理與之前宣傳的888病毒徹底相同！它利用了微軟的 MS-DOS編程上的一個小錯誤，致使系統啓動時進入死循環。其實早在1992年就有人在《電腦》雜誌上介紹了這個問題，並把它用於加密硬盤。而IBM的PC-DOS就沒有這個錯誤。事情最後以江民公司被認定違反了《計算機安全管理條例》，罰款3000元了結，而KV300彷佛沒有受到太大的影響，「毒島論壇」還所以被查封。不過業界公司應該從中吸收經驗教訓，若是此事發生在國外，則違法的公司極可能被客戶告得傾家蕩產。

　　異軍突起

　　1997年，在沉寂了一小段時間之後，病毒又找到了新的突破點，此次是微軟的文書處理和電子表格軟件Word和 Excel成了犧牲品。高手門利用了功能強大的宏語言，編制了各色各樣的宏病毒。隨後是各類各樣的好奇者，簡單地利用宏編輯器改造了本身的產品！如今，編寫病毒程序已經不是一門「陽春白雪」的技藝，任何人只要拿一個現成的宏病毒，甚至拿微軟的用戶手冊看一下，就能夠編寫出一種新病毒來！據一些反病毒軟件站點報告，全世界一個星期就有近千種新病毒出現，而其中絕大部分是宏毒。在這一場宏病毒大戰中，我國臺灣的各路高手充分展現了本身的身手，臺灣一號病毒甚至跑到了微軟的正版光盤上。國人們向世界顯示，咱們的電腦技術是先進的！同時，一大批反病毒軟件開發者爲了搞清楚微軟密不公開的Word文檔格式而搞得焦頭爛額。最後，經過不泄努力，國內各家反病毒軟件公司總算又經過了這一關；不過由於沒有微軟的支持，誤殺或者殺壞Word文件也是常有的事。反卻是此時馮志宏閒庭信步，垂手可得地就完成了Word 97之前各版本的Word文件的密碼自動解除工做。

　　風雲再起

　　1997年下半年，一個叫作SPY的能夠***NE（16位Windows格式可執行文件）格式程序的病毒，曾經在南方流行一時，敲響了Windows病毒進攻的警鐘。此病毒是隨着盜版光盤，從港臺傳入的。盜版光盤再次扮演了一個可恥而可怕的角色。到了1998年的年中，Win95.CIH病毒終於攻破了Windows95平臺。這個病毒創造了幾個之最：CIH病毒是第一個流行的***PE格式32位保護模式程序的病毒；CIH病毒是第一個能夠破壞計算機硬件的病毒。之前的病毒最多隻能破壞軟件系統，而CIH病毒不但能夠直接利用IOS指令摧毀硬盤數據（這種方法致使就算你的主板具備防病毒功能，也無能爲力），更經過清洗存儲在Flash EPROM中的BIOS指令，致使系統主板沒法工做，完全破壞機器。CIH病毒利用VXD技術逃過了當時全部的反病毒軟件的監測，而且令當時全部宣稱能夠防病毒的主板大失顏面。從中咱們能夠體會到，反病毒技術的研究是永無止境的。值得慶幸的是，這一次社會各界反映及時，各新聞媒體紛紛報道，各反病毒軟件公司迅速升級本身的產品，使之能夠監測和清除CIH病毒。

　　據網上的一封道歉信報道，CIH病毒是臺灣一個叫作陳盈豪的學生編寫的。經過反編譯發現，這個病毒系利用SIDT指令來獲取系統的核心級執行權限，進而截獲系統的核心功能調用。這實際上能夠說是Windows95系統（Windows98一樣有這個問題）的一個漏洞。所幸的是Windows NT已經封鎖了這一條指令，所以CIH病毒沒法在Windows NT下興風做浪。 通過反編譯了著名的Synmatec（即生產Norton Antivirus的公司）提供的Kill_Cih程序後發現，原來Synmatec就是照搬CIH病毒的原理，實行以毒攻毒，一樣利用SIDT指令來獲取系統的核心級執行權限，以達到檢測、殺除和預防CIH病毒的目的。 能夠說，病毒和反病毒這一正一反兩種技術，就是在這種互相推進中不斷前進的。

　　羣雄逐鹿

　　現在，計算機病毒變得更加活躍，***、蠕蟲、後門病毒等輪番***互聯網，甚至出現了06年炒得火熱的流氓軟件。2000年以來，因爲病毒的基本技術和原理被愈來愈多的人所掌握，新病毒的出現以及原有病毒的變種層出不窮，病毒的增加速度也遠遠超過的以往任什麼時候期。根據最新的07年上半年病毒總結髮現，緊上半年新增病毒就達11萬種，其中以盜取用戶信息爲住的***程序就佔到了7成。

　　科技的進步，老是帶來技術的飛躍，技術的飛躍又老是帶來新的課題。計算機技術被迅速掌握的同時，出現了大批以病毒盈利的程序開發者。有專家總結到，病毒發展到今天，開發者已經不多或再也不以炫耀本身的技術爲主要目的，更多的是把矛頭對準了網絡用戶的信息，網絡犯罪事件大大增長。幸虧，現在國內外各大廠商已經十分重視網絡安全問題，紛紛出臺了不一樣的安全防範措施。科技的進步必將促進計算機病毒與反病毒技術的快速發展。