1.1病毒大事记 （1/25）
病毒，作为计算机技术催生的恶之花，注定会如影随形般地随着计算机的发展而发展。
20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。
20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

1.1病毒大事记（2/25）
1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒初期版本只传染软盘,后来的变种也感染硬盘。这就是最早在世界上流行的一个真正的病毒。

1.1病毒大事记（3/25）
1988年11月2日发生在美国的重要的计算机网络Internet上的莫里斯蠕虫事件是一场损失巨大、影响深远的大规模“病毒”疫情。美国康乃尔大学一年级研究生罗特·莫里斯写了一个蠕虫程序。
从11月2日早上5点开始,到下午5点已使联网的6000多台Unix、VAX、Sun工作站受到感染。虽然莫里斯蠕虫程序并不删除文件,但无限的繁殖抢占了大量时间和空间资源,使许多联网机器被迫停机。直接经济损失在6000万美元以上,莫里斯也受到了法律的制裁。

1.1病毒大事记（4/25）
1988年至1989年，我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒，该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA！”，也称为“大麻”病毒”等。该病毒感染软硬盘0面0道1扇区，并修改部分中断向量表。该病毒不隐藏也不加密自身代码，所以很容易被查出和解除。。而国产的有Bloody、 Torch、Disk Killer等病毒，实际上它们大多数是Stoned病毒的翻版。

1.1病毒大事记（5/25）
20世纪90年代初，感染文件的病毒有Jerusalem（黑色13号星期五）、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062，4096等，主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表，被感染的文件明显的增加了字节数，并且病毒代码主体没有加密，也容易被查出和解除。这些病毒中， 略有对抗反病毒手段的只有Yankee Doole病毒， 当它发现你用DEBUG工具跟踪它的话，它会自动从文件中逃走。

1.1病毒大事记（6/25）
接着，又一些能对自身进行简单加密的病毒相继出现，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时， 用DIR列目录表，病毒会掩盖被感染文件所增加的字节数，使看起来字节数很正常。而1345-64185病毒却每传染一个目标就增加一个字节， 增到64185个字节时，文件就被破坏。

1.1病毒大事记（7/25）
以后又出现了引导区、文件型“双料”病毒，这类病毒既感染磁盘引导区、又感染可执行文件，常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水）、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等，如果只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重新感染文件。如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主引导区感染。

1.1病毒大事记（8/25）
Flip/Omicron（颠倒）、XqR（New century新世纪）这两种病毒都设计有对抗反病毒技术的手段，Flip（颠倒）病毒对其自身代码进行了随机加密，变化无穷，使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，该病毒在主引导区只潜藏了少量的代码，病毒另将自身全部代码潜藏于硬盘最后６个扇区中，并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了６个扇区，所以再次起动系统后， 硬盘的实用空间就减少了6个扇区。

1.1病毒大事记（9/25）
XqR(New century新世纪)病毒也有它更狡猾的一面，它监视着INT13、INT21中断有关参数，当你要查看或搜索被其感染了的主引导记录时，病毒就调换出正常的主引导记录给你查看或让你搜索，使你认为一切正常，病毒却蒙混过关。病毒的这种对抗方法，我们在此称为：病毒在内存时，具有“反串”（反转）功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/ Burglar/ 1150、 3783病毒等

1.1病毒大事记（10/25）
1345、 1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位，从外表上看，文件一个字节也没增加。
INT60(0002)病毒隐藏的更加神秘，它不修改主引导记录， 只将硬盘分区表修改了两个字节，使那些只检查主引导记录的程序认为完全正常，病毒主体却隐藏在这两个字节指向的区域。硬盘引导时，ROM-BIOS程序糊理糊涂的按这两个字节的引向，将病毒激活。病毒太狡猾了，只需两个字节，就可以牵着机器的鼻子走.

1.1病毒大事记（11/25）
Monkey（猴子）、PC_LOCK（加密锁）病毒将硬盘分区表加密后再隐藏起来， 如果轻易将硬盘主引导记录更换，或用FDISK/MBR格式轻易将硬盘主引导记录更换， 那么，就再进不了硬盘了，数据也取不出来了，所以，不要轻易使用FDISK/MBR格式。

1.1病毒大事记（12/25）
1992年以来，DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现，具有感染力极强，无任何表现，不修改中断向量表，而直接修改系统关键中断的内核，修改可执行文件的首簇数， 将文件名字与文件代码主体分离。 在系统有此病毒的情况下，一切就象没发生一样。而在系统无病毒时，你用无病毒的文件去覆盖有病毒的文件，灾难就会发生，全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现，使病毒又多了一种新类型。

1.1病毒大事记（13/25）
20世纪内，决大多数病毒是基于DOS系统的，有80％的病毒能在WINDOWS中传染。TPVO/3783病毒是“双料性”、（传染引导区、文件）“双重性”（DOS、WINDOWS）病毒，这是病毒随着操作系统发展而发展。当然，Internet的广泛应用，Java恶意代码病毒也出现了。

1.1病毒大事记（14/25）
脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。该病毒利用体内VBScript代码在本地的可执行性（通过Windows Script Host进行），对当前计算机进行感染和破坏。即，一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时，不必打开信件，就能受到HAPPYTIME“快乐时光”病毒的感染，该病毒传染能力很强。

1.1病毒大事记（15/25）
近几年，出现了近万种WORD(MACRO宏)病毒，并以迅猛的势头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，不分操作系统，再加上Internet网上用WORD格式文件进行大量的交流，宏病毒会潜伏在这些WORD文件里，被人们在Internet网上传来传去。

1.1病毒大事记（16/25）
早在1995年时，出现了一个更危险的信号，在我们对众多的病毒剥析中，发现部分病毒好象出于一个家族，其“遗传基因”相同，简单的说，是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。
“改形”病毒的定义此应简单的说，与“原种”病毒的代码长度相差不大，绝大多数病毒代码与“原种”的代码相同，并且相同的代码其位置也相同，否则就是一种新的病毒。

1.1病毒大事记（17/25）
大量具有相同“遗传基因”的“同族”病毒的涌现，使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件可不用绞尽脑汁的去编程序，便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是，这些病毒的主体构造和原理基本相同。

1.1病毒大事记（18/25）
香港已有人也模仿欧美的Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即“疯狂贵族变形金刚病毒生产机”， 已放出了几种变形病毒， 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是，编程者公然在BBS站和国际互联网Internet中纵恿他人下传。“病毒生产机”的存在，随时就有可能存在着“病毒暴增”的危机！

1.1病毒大事记（19/25）
Windows9x、win2000操作系统的发展，也使病毒种类和样随其变化而变化。以下例举几个点型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是驻留内存的Win32病毒，它感染本地和网络中的PE格式文件。该病毒的产生是来源一种32位的Windows“CAW病毒生产机”， 该“CAW病毒生产机”是国际上一家有名的病毒编写组织开发的。

1.1病毒大事记（20/25）
“CAW病毒生产机”能生产出来各种各样的CAW病毒，有加密的和不加密的，其字节数一般在1000至2000内。目前在国内流行的有：CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等，在国际上流行的CAW.1XXX病毒种类更多。

1.1病毒大事记（21/25）
WIN32.FunLove.4099病毒感染本地和网络中的PE-EXE文件。病毒本身就是只具有';.code';部分PE格式的可执行文件。当染毒的文件被运行时，该病毒将在Windows\system目录下创建FLCSS.EXE文件，在其中只写入病毒的纯代码部分，并运行这个生成的文件。一旦在创建FLCSS.EXE文件的时候发生错误，病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行，主机程序在执行时几乎没有可察觉的延时。

1.1病毒大事记（22/25）
WIN32.KRIZ.4250病毒已大面积传播, 这是一个变形病毒, 变化多端, 每年的12月25日象CIH病毒一样破坏硬盘数据与主板BIOS，该病毒目前也有许多字节数不同的变种。
病毒的种类、传染和攻击的手法越来越高超，一种流传到国内的“子母弹”病毒Demiurg，被北京江民公司反病毒应急中心捕获。该病毒被激活后，会象“子母弹”一样，分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件

1.1病毒大事记（23/25）
Internet网的发展，激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏，为世界带来了一次一次的巨大灾难。
1999年2月，“美丽杀”病毒席卷欧美大陆，是世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。

1.1病毒大事记（24/25）
1998年2月，台湾省的陈盈豪，编写出了破坏性极大的Windows恶性病毒CIH-1.2版，并定于每年的4月26日发作破坏，然后，悄悄的潜伏在网上的一些供人下载的软件中。可是，两个月的时间，被人下载的不多，到了4月26日，病毒只在台湾省少量发作，并没引起重视。心理扭曲的陈盈豪不甘心，又炮制了CIH-1.3版，并将破坏时间设在6月26日。1.3版被人下载的不多，6月26日也没多大破坏。心理扭曲到极点的陈盈豪有点恼怒，没看到很大的破坏，心理很不痛快。7月，又炮制出了CIH-1.4版。

1.1病毒大事记（25/25）
“美丽杀”病毒对欧美的破坏，比CIH病毒对亚洲的破坏要大的多。“美丽杀”病毒对亚洲没什么破坏，而“CIH”病毒同样对欧美有较大的破坏。欧美所谓先进的反病毒软件也不堪一击，所谓全球病毒监测网如同虚构。
随着Internet网的发展，使病毒传播更加方便、更加广泛，网络蠕虫病毒已成为病毒主力，这应使我们严加防犯。

1.2病毒起因 （1/11）
计算机病毒的起因多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚等等。

1.2.1恶作剧论（2/11）
这种论点认为计算机病毒源于一些爱好计算机的青少年的恶作剧。
美国康奈尔大学的莫里斯，编写蠕虫程序肇事后，被称为软件奇才。一些公司出高薪争相聘用他。莫里斯的父亲曾在1983年强调指出：“一些懂技术的聪敏的孩子们的恶作剧在与公司或军方安全专家的智斗中可能取胜”。

1.2.1恶作剧论（3/11）
几年后，小莫里斯用蠕虫证实了老莫里斯的预言。一个由著名专家组成的委员会在蠕虫事件调查报告中认为：莫里斯释放蠕虫是一种“忽视了明显的潜在后果的青少年行为”，“莫里斯可能没有企图用蠕虫去破坏数据或文件．他可能企图使蠕虫广泛传播，但是，没有证据证明他企图使蠕虫失去控制地传播。”

1.2.1恶作剧论（4/11）
决不可以轻视这些会编写病毒的年轻人。莫里斯在蠕虫事件之后，等待审判期间，许多公司视之为软件奇才，花高薪争相聘用他。何以会出现此类怪事呢莫里斯在编写蠕虫程序时，单枪匹马地破译了采用DES对称密码加密的口令字。对DES密码，IBM公司曾组织了一批密码专家，花费18人一年未能找到破译方法。莫里斯的技术能力令人震惊。他成了最著名的攻击者。由于他的超人能力，被哈佛大学的Aikcn中心授予超级用户的特权。会编病毒的年轻人是一群“可畏的后生”。

1.2.2 加密陷阱论（5/11）
这种观点认为计算机病毒起源于软件加密技术。
软件产品是一种知识密集的高技术产品。研制软件耗资很大，出于现行计算机体系结构对程序开发有种种限制，缺乏一种证明程序正确性的手段。因此，软件生产率很低，生产很难。但是，复制软件却异常简单

1.2.2 加密陷阱论（6/11）
由于社会立法对软件产品未能提供有力保护，非法拷贝和非法使用软件产品，严重损害了软件产业的利益，危及软件产业的生存。为了保护软件产品，防止非法复利和非法使用，软件产业发展了软件加密技术，赋予软件产品以用户只能使用不能复制的特性。

1.2.2 加密陷阱论（7/11）
加密技术的基本原理是在磁盘上做一个难以复制的加密记号。加密程序运行时，首先判断软盘是否有预定的加密记号。如果有，说明用户合法，程序王常运行；如果没有，说明用户不合法，程序跌入加密陷阱。早期的加密陷阱是自卫性的。它可以使程序死锁、使非法用户不能运行该软件。还可以使磁盘“自杀”，使非法用户不能重复地对软件进行破译探索。在加密技术与破译技术的激烈对抗中，加密陷阱由自卫性转化为攻击性，加密陷阱演化为病毒

1.2.2 加密陷阱论（8/11）
著名的巴基斯坦病毒(C—Brain)是世界上发现的唯一给出病毒作者姓名、地址的病毒，它是由巴基斯坦一家名为BRAIN COMPUTER SHOP的电脑商店的两兄弟编写的。目的是追踪软件产品的非法用户。

1.2.2 加密陷阱论（9/11）
从技术上看，加密工具程序，在完全不了解加密程序内部功能和逻辑结构的前提下，可以把识别用户身份的程序编码放入被加密程序、同时保证两者都能正常运行．这种行为可以广义地称之为“感染”．它与病毒感染的唯一差别是被加密程序不能将其接收的代码再“传染”给其他程序。由此可看出加密技术与病毒技术之间的“近亲”关系，越雷池一步，即可由此及彼。

1.2.3游戏程序起源说（10/11）
有人认为计算机病毒起源于游戏程序。
1960年美国的约翰康维在编写“生命游戏”程序时，萌发了程序自我复制技术。他的游戏程序运行时，在屏幕上有许多“生命元素”图案在运动变化，这些元素过于拥挤时、会因缺少生存空间而死亡。如果元素过于稀疏会由于相互隔绝失去生命支持系统，也会死亡。只有处于合适环境的元素非常活跃，它们能自我复制并进行传播。

1.2.3游戏程序起源说（11/11）
麻省理工学院的一些年青科学家在贝尔实验室从事人工智能的基础研究工作。这些青年科学家在业余时间研究了机器内核代码，并操纵内存中的数据和程序来娱乐。
他们编写的程序可以在调度数据时消毁其他程序，有的人在研究自我复制程序方面相互比赛才智．有的人做程序对奕，胜方可以消毁对方的游戏程序。
涉及上述内核战争的人数很少，他们都是才华横溢、严肃的科学家，深知滥用这些技术的潜在危害，因此多年来对这些技术缄口不言。

1.3病毒与计算机犯罪 （1/7）
近十几年来，伴随着计算机突飞猛进的发展，计算机病毒也在不断泛滥，它们侵入研究所、银行、电话交换中心、政府机关甚至航天发射中心，产生了巨大的危害。据不完全统计，每年在世界范围内由于计算机病毒所造成的经济损失高达数百亿美元。由于计算机病毒本身所具有的隐蔽性、突发性、感染性和破坏性，许多年来一直都是令各国警察和计算机专家头痛的事情。

1.3病毒与计算机犯罪（2/7）
1莫里斯事件
1988年11月2日，是一个令大部分美国计算机科技人员永远难忘的日子。大约在2日晚11点，也就是发现第一个蠕虫之后6个小时，联邦调查局已经意识到这将是一场最为严重的计算机犯罪案，调查局有关人员立即赶赴岗位，一个由联邦调查局最干练的警探和纽约州最能干的计算机系统分析专家组成的特别侦破小组已经成立，并开始了一项最为特别的侦破工作。

1.3病毒与计算机犯罪（3/7）
发现蠕虫的消息不断传来，并且发现蠕虫的地点呈辐射状不断地扩展开来。特别侦破小组认定，蠕虫的发源点就在这个辐射网的中心：康奈尔大学。
立刻康奈尔大学计算机系统在11月2日中午12时到下午5时之间上机的所有用户名单传到了侦破小组。在康奈尔大学计算机科学系的配合下。疑点逐渐集中到了该系研究生罗伯特·莫里斯身上。
蠕虫案件立刻轰动了全世界！全球的新闻媒介由此刮起了报导计算机病毒的旋风。

1.3病毒与计算机犯罪（4/7）
2震荡波事件
2004年5月，德国警方破获了一起在全球造成巨大损失的计算机病毒犯罪案。作案者刚刚年满18周岁，是个技术学校的学生。据初步调查，这个显然富有技术才能的年轻人并没有什么更深刻的政治或经济背景，只是为了显示一下自己的才能而已。然而，他造成的损失却难以估量：美国德尔塔航空公司不得不取消周末的全部航班，欧盟委员会1200台计算机失灵，芬兰一家银行不得不关闭全部营业处。

1.3病毒与计算机犯罪（5/7）
计算机病毒问题虽在全世界多次发生，但像这种规模的损失由一个德国小青年造成，还是头一次。这个姓名未予透露的年轻人家住德国北部不来梅附近一个仅有不足千人的村庄，父母经营着一个计算机服务维修店。他早就对计算机有浓厚兴趣，也有志将来以此为职业。他用自己组装的计算机编写的这个名为“震荡波”的程序严格说来，不是通常意义上的病毒，而是一种以某种程序语言编写的程序文本。

1.3病毒与计算机犯罪（6/7）
其危害在于，虽然它不会清除计算机储存的各种数据，却使得任何一台与互联网联网的计算机多次开关。而且，一台计算机受到袭击后，自动把病毒传给下一台。受袭击的主要是使用微软驱动系统“视窗2000”和“视窗XP”的计算机。
在警方突然搜查该青年的住所时，他不仅痛痛快快地承认了事实，而且说，他没有料到损失会如此之大。在此期间，美国中央情报局和联邦调查局曾猜测“震荡波”的基地在美国，后又推测在俄罗斯，却没有料到它出自一个18岁德国青年之手，而且与恐怖活动或诈骗钱财毫无关系，完全是一个人单枪匹马的行动。

1.3病毒与计算机犯罪（7/7）
现在破获的计算机病毒犯罪案件数量还是比较少的。我们要构建一个全国病毒预警系统，一方面是保护用户，另一方面，对警方来说有一个非常重要的任务，通过预警系统最快速的发现病毒，很容易为后续的取证提供。由于病毒制造技术变得很简单，制造出来的病毒造成的破坏又很难查到，这就是一种很被动的局面。

参考文献
[1]王江民.计算机病毒的发展趋势及KV3000的反病毒对策[DB/OL].http://www.
Antiviruschina.org.cn/forum/jiangmin.htm,2003-12.
[2]李旭华.计算机病毒-病毒机制与防范技术[M].重庆：重庆大学出版社，2002.
[3] 张小斌,严望佳.黑客分析与防范技术［M］，北京:清华大学出版社，1999.
[4] John F. Morar and David M. Chess,"Web Browsers – Threat or Menace", Proceedings of the VirusBulletin International Conference; Munich, Germany; October 1998.
[5] Steve R. White .Open Problems in Computer Virus Research, Proceedings of the VirusBulletin International Conference; Munich, Germany; October 1998.