Fwd: 黑色技术——计算机病毒简史（一）

---------- Forwarded message ----------
From: 科学松鼠会 <rssfwd@rssfwd.com>
Date: Thu, 14 Aug 2008 09:16:38 +0000
Subject: 黑色技术——计算机病毒简史（二）
To: auvvua@gmail.com

就像我们在有些科幻动作电影中看到的那样，整件事超出了他的控制。他的撰写的这个程序有点问题，开始无休止地复制自身，占据了大量磁盘空间、运算资源以及网络带宽，最终导致网络瘫痪和计算机死机。他的这个程序感染了大约6，000台计算机，而受到影响的则包括5个计算机中心和12个地区结点以及在政府、大学、研究所和企业中的超过250，000万台计算机。美国国防部马上成立了计算机应急行动小组，来削弱这次事件的影响并且减少损失。据估计，这个程序造成的经济损失大约在9，600万美元左右。人们从这时开始，才意识到病毒能够带来什么样的危害。

后来他被判处1万美元罚款和400小时的社区服务。由此看来，从事计算机科学的研究也是有风险的。他的这个小小实验给计算机病毒添加了一个全新的分类，叫做"蠕虫"（Worm）。

有趣的是，早在1977年出版的一本小说中就提到了类似的概念。加拿大作家托马斯·J·瑞安（Thomas.J.Ryan）写那本科幻小说叫做《P-1的青春期》（The
Adolescence of P-1，一译《P-1的春天》），在那本小说里，一个叫做"P-1"的人工智能程序几乎传染了所有美国的计算机。后来，加拿大以此拍了一部叫做《捉迷藏》（Hide
and Seek）的电视电影，获得了不错的评价，在IMDB上得分高达8.9分。

说到这里的时候，我们得大概谈一下计算机操作系统和互联网。虽然公认的电子计算机发明于1946年，但是此后很长时间都不是普通大众能够买得起的。那时候的计算机过于庞大，过于昂贵，并且过于复杂，只有一些政府机构和大型企业才能够购买和使用。一直到20世纪70年代初的时候，Intel才创造性地推出了8008芯片，把计算机的运算器部分全部做在了一个小小的硅芯片上。第二年，他们推出了8080，速度是8008的十倍。微软（Microsoft）公司的创始人比尔·盖茨（William
"Bill" Henry Gates III）和保罗·艾伦（Paul Gardner
Allen）在1975年1月份的《大众电子学》（popular
electronics）杂志封面上看到了真正的微型计算机的广告，那是一台由MITS（Micro Instrumentation and
Telemetry Systems）设计和制造的叫做牵牛星8800（Altair
8800）的方头方脑的家伙，以现在的眼光看起来简单得可怕。它没有我们现在看来司空见惯的屏幕，而是通过发光二极管的点亮或者熄灭来表示信息。就是这样一个方盒子促使比尔·盖茨和保罗·艾伦创建了传奇般的微软公司。在他们创建微软公司的时候，苹果公司（Apple
Inc）要到第二年的愚人节才会成立，国际商用机器公司（International Business Machines
Corporation，IBM）已经有了79年的历史，惠普（Hewlett-Packard
Company，HP）也已经36岁了，而迈克尔·戴尔（Michael Dell）这个DELL公司的创始人才十岁，还没开始做他的邮票生意呢。

[1][2]

带有Altair 8800广告的《大众电子学》封面

七十年代是计算机发展的战国时期。每一个厂商都在试图与其他厂商采用不同的标准，以巩固自己的顾客群，使他们不会很容易就转到别的厂商的机器上。1980年，IBM提出了"兼容机"（Compatible
Machine）概念，占据了大量的市场份额。微软公司推出了MS-DOS（Microsoft Disk Operating
System），并且和IBM的PC捆绑销售，很快就流行了起来，进而慢慢奠定了软件业巨头的地位。随后其他计算机厂商也迅速跟进，纷纷生产能够和IBM
PC兼容的硬件。而苹果公司，虽然推出了广受欢迎的苹果-II（Apple-II）型，但是因为坚持不开放硬件和软件标准的原因，市场份额开始快速地萎缩了。

刚才提过的"巴基斯坦"病毒就是感染DOS下磁盘引导区的病毒。一般来说，一种病毒只能在一种操作系统上运行，DOS的流行成了"巴基斯坦"病毒流行的先决条件。

再来看看造就了"蠕虫"的互联网。我们现在使用的互联网（Internet，也叫做因特网）脱胎于1968年末美国国防部国防先进技术研究署（Defense
Advanced Research Projects Agency，DARPA）的一个计划。这个计划叫做"ARPANET"（Advanced
Research Projects Agency
Network，先进技术研究署网络），本意是连接各个厂商生产的不同计算机，从而保障在战争时期的通信和指挥依然通畅。项目进行得很顺利，1969年就开始实验，连接了美国本土的四所大学和研究机构。后来越来越多的大学和机构都加入了这个网络，并且企业和个人也开始尝试通过网络来传递信息，最终成为了我们现在所使用的互联网。附图是1977年APRANet的示意图，我们可以看到，当时麻省理工学院（MIT）就已经在连接在这个网络上了。

[3][4]

ARPANET，1977（点击可看大图）

1989年11月9日柏林墙塌了，1991年12月25日苏联解体了，持续了数十年的"冷战"时代终于终结了。互联网开始迅速发展，不仅仅应用于研究和军事领域，大量的商业信息也在互联网上传递起来。1994年年，互联网上的商业信息首次超过了科研信息，互联网作为一个商业平台的潜质开始慢慢地为人们所了解。我国在这年加入了互联网，同时打开了一条病毒进入国内的高速公路。

这个时候，在DOS上传播的病毒也已经发展了好几个阶段了。从最早的引导区病毒开始，发展到DOS可执行阶段、伴随及批次阶段、幽灵阶段和病毒制造机阶段。而我们现在广泛使用的Windows操作系统的始祖——Windows95还没上市呢。

最早的引导区病毒除了我们提到过的"巴基斯坦"病毒之外，比较知名的还有"小球"（Pingpang）、"石头"（Stone）以及"米开朗基罗"（Michelangelo）病毒。"小球"病毒是最早传入我国的计算机病毒，最早是在大连市统计局被发现的。当这个病毒发作时，计算机屏幕上会出现一个小球弹跳不休，在碰到屏幕边缘的时候就反弹，像乒乓球一样。这也是这个病毒名字的由来。感染了"石头"病毒的计算机屏幕上将会显示"Your
PC is Now Stoned."，并且可能导致某些硬盘和软盘无法再使用。"米开朗基罗"每年3月6号发作——这一天是米开朗基罗的生日——发作起来会删掉当前磁盘上的所有数据。

1989年，出现了可执行文件型的病毒。这类病毒把自己复制到可执行文件中，当用户运行这个可执行文件的时候，病毒就会在内存中复制一份，并且传染那些未被感染的可执行文件。一般来说，被可执行文件型病毒感染的文件，会比正常文件略大一些。例如"1575"、"1465"、"2062"、"4096"等病毒，就是用它们自身所占的字节数来命名的。这一类病毒中最出名的应该算是"黑色星期五"病毒和它的一个变种"耶路撒冷"（又名Stone3）。这种病毒每到既是十三号又是星期五的日子发作，一旦发作计算机里的数据基本上就保不住了。

大概是在1992年，出现了一种叫做"金蝉"（Golden
Cicada）的病毒，给病毒分类又加了一种"伴随型病毒"。这种病毒会把原来的文件改名，如果原来文件的扩展名是"EXE"，那么就改成"COM"；如果是"COM"，就改成"EXE"，然后把自己改成文件本来的名字。扩展名是文件名的点后面的部分，例如"病毒简史.doc"这个文件的扩展名就是"doc"。扩展名是给操作系统看的，操作系统决定用什么程序或软件来打开当前的文件，例如"doc"类型的文件默认情况下是用Word这个软件来打开的，如果计算机上没有安装Word的话，就会用写字板来打开。在DOS和后来的Windows操作系统中，"EXE"扩展名表示这是一个可执行文件，"COM"扩展名表示这是一个命令型文件。一般来说，当同一个文件夹下存在同名的EXE文件和COM文件时，DOS将会先执行COM文件。"金蝉"病毒就是利用了DOS的这个特性，当用户认为自己是在运行一个可执行文件的时候，实际上已经运行了病毒。

又过了两年，出现了幽灵病毒。这是一类新的病毒，在每次感染时都会产生出不同的代码，让过去依据"病毒特征码"来进行查杀的杀毒软件头疼不已。这是随着汇编语言的发展而出现的新技术，在反查杀的技术水平上比过去的病毒高出了一大截。随后病毒制造机也出现了，其中具有代表性的是VCL（Virus
Creation Lab，病毒制造实验室），能够生成上千万种病毒，每一种的特征码都不同。病毒生产开始规模壮大了，并且出现了一些专门研究病毒制造技术的组织，例如VLAD、29A等等。其中位于澳大利亚的VLAD组织是世界上最早编写出能够传染Windows
95和Linux操作系统的病毒的组织，技术实力很强。

在这一阶段，病毒的制造大都是一些计算机爱好者所为，出发点往往在于对技术的迷恋和好奇，而没有什么利益驱动。和杀毒软件设计者斗智，设计紧凑而精巧的代码，发现别人没有发现的漏洞并加以利用——这是这一阶段病毒发展的主题。

这些趴在键盘上彻夜不睡的年轻人只关心他们的技术。他们也许并不知道，这种好奇将会造就大约每年50亿美元的杀毒软件市场。

猛犸 Thu, 14 Aug 2008 02:25:22 +0000

___
Source: http://songshuhui.net/archives/1045.html
--
To unsubscribe from [5]this feed, click [6]here
To manage other subscriptions, click [7]here
~
Powered by [8]RssFwd, a service of [9]Blue Sky Factory, Inc

[1] <http://songshuhui.net/wp-content/uploads/2008/08/06-pe-jan-1975-cover.jpg>
[2] <http://songshuhui.net/wp-content/uploads/2008/08/06-pe-jan-1975-cover-thumb.jpg>
[3] <http://songshuhui.net/wp-content/uploads/2008/08/07-apranet-197703.jpg>
[4] <http://songshuhui.net/wp-content/uploads/2008/08/07-apranet-197703-thumb.jpg>
[5] <http://songshuhui.net/feed>
[6] <http://www.rssfwd.com/rssfwd/unsubscribe?id=475310&email=auvvua%40gmail.com&genpass=508d970d8863163feda2e9fa37017b87>
[7] <http://www.rssfwd.com/rssfwd/opml/auvvua%40gmail.com;508d970d8863163feda2e9fa37017b87>
[8] <http://www.rssfwd.com/>
[9] <http://www.blueskyfactory.com/>