当前位置：首页 > news >正文

第8节计算机病毒概念的正式化和安全行业的兴起

news 2025/11/12 7:04:27

80年代初期，计算机技术从大型机向个人计算机过渡，网络连接开始初步扩展。这一时期，病毒概念的正式定义引发了安全领域的关注，推动了专门公司和组织的成立。

1983年，南加州大学研究生Fred Cohen（人称：The Godfather of Computer Viruses）在安全研讨会上演示了首个实验病毒程序，这标志着计算机病毒的理论基础确立。此后，行业响应加速，出现了首批反病毒工具和团体，针对自传播恶意代码的防御成为重点。病毒概念的起源与Fred Cohen的实验计算机病毒的早期想法可追溯到1970年代的理论讨论，但正式定义和演示发生在1983年。

Fred Cohen作为南加州大学电气工程系的研究生，在导师Leonard Adleman的指导下，探索了恶意程序的自复制机制。Adleman是RSA算法的共同发明者，他首次使用“computer virus”一词来描述这种行为，类比生物病毒的感染过程。

Cohen的实验于1983年11月3日启动，并在11月10日的安全研讨会上演示。实验环境是VAX 11/750系统，运行4.2 BSD Unix操作系统。该病毒是一个寄生程序，总长度约几百行代码，使用C语言和shell脚本实现。

其核心原理是附加到可执行文件：病毒代码扫描用户目录下的二进制文件（如命令程序），检查文件头部是否已有病毒标记；如果没有，则将病毒代码插入文件开头，并修改入口点指向病毒部分。执行过程如下：

当感染文件运行时，病毒代码首先执行自身逻辑，包括复制到其他文件。
它使用系统调用如fork()创建子进程，扫描/home或/usr目录下的可执行文件（权限允许范围内）。
通过read()和write()系统调用，将病毒体复制到目标文件头部，调整文件大小和权限以隐藏痕迹。
完成传播后，病毒跳转到原程序代码，继续正常执行，避免用户察觉。

在演示中，Cohen展示了病毒在实验室网络中的传播：从一台主机起始，病毒通过共享文件系统在5分钟内感染50个用户账户，控制了系统操作如文件访问和进程管理。实验证明了病毒的自复制、隐蔽性和破坏潜力，但未造成实际损害，仅用于学术目的。

Cohen的论文《Computer Viruses - Theory and Experiments》（1984年发表）定义病毒为“能感染其他程序的程序，通过修改它们包含自身副本”，并讨论了检测方法如完整性校验和隔离机制。

这一事件虽限于学术圈，但迅速传播到行业，强调了共享系统中的漏洞风险。当时的Unix系统缺乏细粒度访问控制，病毒利用了文件权限的弱点，如setuid位允许提升权限。安全行业的响应与组织成立Cohen的演示后，1980年代中期病毒事件增多，推动了安全公司的兴起。

1986年，Brain病毒作为首个野外病毒出现在PC-DOS系统上，通过引导扇区传播，针对盗版软件。

1988年，Morris蠕虫感染了约6000台Unix主机，利用finger和sendmail漏洞，导致互联网部分瘫痪。

这些事件暴露了网络环境的弱点，促使行业行动。首批安全组织和公司包括：

Chaos Computer Club（CCC）：1981年在德国成立，最初聚焦黑客文化和系统探索。1980年代中期，CCC转向病毒分析，提供公共教育和工具，如1987年的反病毒扫描程序原型。该组织通过会议分享病毒样本，推动欧洲安全社区形成。
McAfee Associates：1987年由John McAfee创立，发布VirusScan作为首个商业反病毒软件。VirusScan使用签名匹配检测已知病毒：扫描文件字节序列，比较预定义模式库；如果匹配，则隔离或删除。早期版本针对DOS病毒，支持实时监控和引导区检查。
Symantec：1982年成立，最初开发数据库软件；1989年收购Peter Norton Computing，推出Norton AntiVirus。Norton工具引入启发式检测：分析程序行为，如自修改代码或异常文件访问，而非仅靠签名。
其他响应：1988年，CERT（Computer Emergency Response Team）在美国卡内基梅隆大学成立，作为首个计算机应急响应团队，协调病毒爆发响应。1988年还出现了Virus-L论坛，作为首个在线反病毒讨论组，通过Usenet分享威胁情报。

这些组织的技术重点是签名数据库和行为监控。