生命周期(Life Cycle),是指一个对象的生老病死全过程,可通俗地理解为“从摇篮到坟墓”(Cradle-to-Grave)的全过程。生物学范畴的生命周期,已被广泛应用于政治、经济、环境、技术、社会等诸多领域。所谓计算机病毒生命周期,是指从病毒编写诞生开始到病毒被猎杀的生命历程,主要包括诞生、传播、潜伏、发作、检测、凋亡等阶段。从攻防博弈的角度,可将病毒诞生、传播、潜伏、发作等阶段视为病毒攻击范畴,而将病毒检测、凋亡等阶段视为病毒防御范畴(见图1-15)。
图1-15 计算机病毒生命周期
1.病毒攻击阶段
计算机病毒生命周期的攻击阶段,主要涵盖从病毒诞生到传播、潜伏直至发作的具有攻击破坏性质的过程,属病毒主动攻击范畴。病毒攻击阶段主要包括四个环节:诞生,传播,潜伏,发作。
1)病毒诞生
计算机病毒是一种程序代码,而程序代码的生成离不开程序设计(或编程)。程序设计作为一项特殊的智力活动,是程序员及其团队在某种任务驱使下的协作产物。作为程序设计(技术)的产物,计算机病毒的诞生自然受到人性、经济、政治、军事等多重因素影响,主要涉及程序设计、编码心理学、代码复用、病毒生产机,以及基于ChatGPT生成病毒等方面。
2)病毒传播
作为网络空间的威胁行为体,计算机病毒传播是其发挥影响力的关键因素。任何计算机病毒都必须借助各种途径传播出去,才能真正实现其威胁目的。与生物病毒类似,计算机病毒传播也需要借助附着体与传播途径才能完成。从附着体的角度来看,计算机病毒的传播方式很多,主要通过文件寄生、实体注入、漏洞利用等方法完成病毒附着于传播体。从传播途径的角度来看,尽管存在多种计算机病毒传播扩散方法,但社会工程学无疑是最直接、最有效的传播方法。
3)病毒潜伏
计算机病毒在传播至目标系统后,为避免被安全软件查杀及实现其后续目的,通常会采取各类隐匿方法潜伏在目标系统中,静待时机以伺机发作完成致命一击。为完成潜伏功能,计算机病毒会通过诸如隐匿、混淆、多态、加壳等方法,要么改变自身特征,要么劫持API函数调用信息,要么合法利用系统工具,使安全软件难以识别与查杀。
4)病毒发作
计算机病毒在目标系统中潜伏的目的是静待时机以完成致命一击。一旦时机到来,触发条件满足,计算机病毒将从潜伏状态切换至发作状态,开始启动、勒索、泄露、破坏等操作,以完成其使命、达到其目的。
2.病毒防御阶段
在计算机病毒生命周期里,病毒防御阶段的主要目的在于及时检测病毒、实时遏制病毒、有效保障数据安全,其主要涵盖从病毒检测到凋亡的具有防御加固性质的过程,属病毒防御范畴。病毒防御阶段主要包括两个环节:检测,凋亡。病毒检测主要利用各类技术方法检测计算机病毒,而病毒凋亡则发生在有效检测后对病毒进行的猎杀与环境升级。
1)病毒检测
计算机病毒诞生之后,无论其处于传播、潜伏还是发作阶段,都应开启实时检测以及早发现,并及时采取应急响应技术方法,围堵猎杀计算机病毒,保障信息系统安全。计算机病毒检测是计算机病毒防御的第一步,只有对可疑文件、进程进行检测,才能确认其是否为计算机病毒所感染。如确认为计算机病毒,将会进一步杀灭与免疫以绝后患。
2)病毒凋亡
在计算机生态系统中,计算机病毒与安全软件存在天然的猎物与捕食者的关系。计算机病毒在计算机生态系统中传播、潜伏、发作时,都会处处受制于安全软件。当计算机病毒被检测到之后,就会面临拦截、猎杀、凋亡的结局。在走完其生命历程后,计算机病毒又会开始新一轮进化发展。